Osnovne informacije

Integracija između On-premises Active Directory (AD) i Azure AD je omogućena putem Azure AD Connect-a, koji nudi različite metode koje podržavaju Single Sign-on (SSO). Svaka metoda, iako korisna, predstavlja potencijalne sigurnosne ranjivosti koje mogu biti iskorišćene za kompromitovanje cloud ili on-premises okruženja:

• Pass-Through Authentication (PTA):

• Moguće kompromitovanje agenta na on-prem AD, omogućavajući validaciju korisničkih lozinki za Azure konekcije (on-prem to Cloud).

• Mogućnost registracije novog agenta radi validacije autentifikacija na novoj lokaciji (Cloud to on-prem).

• Password Hash Sync (PHS):

• Potencijalno izvlačenje lozinki u čistom tekstu privilegovanih korisnika iz AD, uključujući akreditive visoko privilegovanog, automatski generisanog AzureAD korisnika.

• Federacija:

• Krađa privatnog ključa koji se koristi za SAML potpisivanje, omogućavajući impersonaciju on-prem i cloud identiteta.

• Seamless SSO:

• Krađa lozinke korisnika AZUREADSSOACC, koja se koristi za potpisivanje Kerberos srebrnih tiketa, omogućavajući impersonaciju bilo kog cloud korisnika.

• Cloud Kerberos Trust:

• Mogućnost eskalacije sa Global Admin na on-prem Domain Admin manipulacijom AzureAD korisničkih imena i SID-ova i zahtevanjem TGT-ova iz AzureAD.

• Default Applications:

• Kompromitovanje naloga Application Administratora ili on-premise Sync naloga omogućava modifikaciju postavki direktorijuma, članstva u grupama, korisničkih naloga, SharePoint sajtova i OneDrive fajlova.

Za svaku metodu integracije, sinhronizacija korisnika se vrši, i kreira se nalog MSOL_<installationidentifier> u on-prem AD. Posebno, kako PHS tako i PTA metode omogućavaju Seamless SSO, omogućavajući automatsku prijavu za Azure AD računare koji su pridruženi on-prem domenu.

Da biste proverili instalaciju Azure AD Connect-a, možete koristiti sledeću PowerShell komandu, koristeći AzureADConnectHealthSync modul (koji je podrazumevano instaliran sa Azure AD Connect-om):

Get-ADSyncConnector