Az AD Connect - Hybrid Identity
Podstawowe informacje
Integracja między Lokalnym Katalogiem Active Directory (AD) a Azure AD jest ułatwiana przez Azure AD Connect, oferujący różne metody obsługujące Single Sign-on (SSO). Każda metoda, choć przydatna, może stwarzać potencjalne podatności na naruszenie bezpieczeństwa, które mogą być wykorzystane do kompromitacji środowisk chmurowych lub lokalnych:
Przekazywanie uwierzytelnienia (PTA):
Możliwość naruszenia agenta w lokalnym AD, umożliwiająca weryfikację haseł użytkowników dla połączeń z Azure (lokalnie do chmury).
Możliwość zarejestrowania nowego agenta do weryfikacji uwierzytelniania w nowej lokalizacji (z chmury do lokalnego).
Synchronizacja hasła (PHS):
Potencjalne wydobycie haseł w postaci tekstu jawnego użytkowników uprzywilejowanych z AD, w tym poświadczeń użytkownika AzureAD o wysokich uprawnieniach, generowanych automatycznie.
Federacja:
Kradzież klucza prywatnego używanego do podpisywania SAML, umożliwiająca podszywanie się pod tożsamości lokalne i chmurowe.
Bezproblemowe SSO (Seamless SSO):
Kradzież hasła użytkownika
AZUREADSSOACC
, używanego do podpisywania biletów Kerberos Silver, umożliwiająca podszywanie się pod dowolnego użytkownika chmury.
Zaufanie Kerberos chmury (Cloud Kerberos Trust):
Możliwość eskalacji z Global Admin do on-prem Domain Admin poprzez manipulację nazwami użytkowników i SID-ami AzureAD oraz żądanie TGT z AzureAD.
Domyślne aplikacje (Default Applications):
Kompromitacja konta Administratora aplikacji lub konta synchronizacji lokalnej umożliwia modyfikację ustawień katalogu, przynależności do grup, kont użytkowników, witryn SharePoint i plików OneDrive.
Dla każdej metody integracji, synchronizacja użytkowników jest przeprowadzana, a konto MSOL_<installationidentifier>
jest tworzone w lokalnym AD. Warto zauważyć, że zarówno metoda PHS, jak i PTA umożliwiają Bezproblemowe SSO, umożliwiające automatyczne logowanie dla komputerów Azure AD dołączonych do lokalnej domeny.
Aby zweryfikować instalację Azure AD Connect, można użyć następującej komendy PowerShell, wykorzystującej moduł AzureADConnectHealthSync (zainstalowany domyślnie wraz z Azure AD Connect):
Last updated