Az - PHS - Password Hash Sync
基本情報
ドキュメントから: パスワードハッシュ同期は、ハイブリッドアイデンティティを達成するために使用されるサインイン方法の1つです。Azure AD Connectは、オンプレミスのActive DirectoryインスタンスからクラウドベースのAzure ADインスタンスにユーザーのパスワードのハッシュのハッシュを同期します。
これは企業がオンプレミスADをAzure ADと同期させるために最も一般的に使用される方法です。
すべてのユーザーとパスワードハッシュのハッシュがオンプレミスからAzure ADに同期されます。ただし、クリアテキストのパスワードや元のハッシュはAzure ADに送信されません。 さらに、ビルトインセキュリティグループ(ドメイン管理者など)はAzure ADには同期されません。
ハッシュの同期は2分ごとに行われます。ただし、デフォルトでは、Azure ADではパスワードの有効期限とアカウントの有効期限が同期されません。したがって、オンプレミスのパスワードが期限切れ(変更されていない)のユーザーでも、古いパスワードを使用してAzureリソースに引き続きアクセスできます。
オンプレミスユーザーがAzureリソースにアクセスしようとすると、認証はAzure ADで行われます。
PHSは、Identity ProtectionやAAD Domain Servicesなどの機能に必要です。
ピボット
PHSが構成されると、いくつかの特権アカウントが自動的に作成されます:
アカウント**
MSOL_<installationID>
がオンプレミスADに自動的に作成されます。このアカウントにはDirectory Synchronization Accountsロールが付与されます(ドキュメントを参照)。これは、オンプレミスADでレプリケーション(DCSync)権限**を持っていることを意味します。Azure ADには**
Sync_<name of on-prem ADConnect Server>_installationID
というアカウントが作成されます。このアカウントは、Azure ADで任意のユーザーのパスワードをリセット**できます(同期されたユーザーまたはクラウドのみ)。
前述の2つの特権アカウントのパスワードは、Azure AD ConnectがインストールされているサーバーのSQLサーバーに保存されます。管理者はこれらの特権ユーザーのパスワードをクリアテキストで抽出できます。
データベースはC:\Program Files\Microsoft Azure AD Sync\Data\ADSync.mdf
にあります。
テーブルの1つから構成を抽出することが可能で、そのうち1つは暗号化されています:
SELECT private_configuration_xml, encrypted_configuration FROM mms_management_agent;
暗号化された構成はDPAPIで暗号化されており、オンプレミスADの**MSOL_*
ユーザーとAzureADのSync_***のパスワードが含まれています。したがって、これらを侵害すると、ADおよびAzureADへの昇格が可能です。
これらの資格情報がどのように保存および復号化されるかの詳細な概要については、このトークを参照してください。
Azure AD Connectサーバーを見つける
Azure AD Connectがインストールされているサーバーがドメインに参加している場合(ドキュメントで推奨されています)、次の方法で見つけることができます:
MSOL_* の乱用
これらの資格情報を取得するためにadconnectdumpを使用することもできます。
Sync_*を悪用する
Sync_*
アカウントを侵害すると、グローバル管理者を含む任意のユーザーのパスワードをリセットすることが可能です。
クラウドユーザーのパスワードを変更することも可能です(予期しない場合でも)。
このユーザーのパスワードをダンプすることも可能です。
別のオプションは、Syncユーザーが権限を持っているサービス プリンシパルに特権権限を割り当て、そのサービス プリンシパルにアクセスして特権昇格を行う方法です。
シームレス SSO
PHSを使用したシームレス SSOを使用することが可能であり、他の悪用の可能性があります。以下で確認できます:
pageAz - Seamless SSO参考文献
最終更新