Az AD Connect - Hybrid Identity
Основна інформація
Інтеграція між локальним Active Directory (AD) та Azure AD спрощується за допомогою Azure AD Connect, який пропонує різні методи, що підтримують одноразовий вхід (SSO). Кожен метод, хоча і корисний, може мати потенційні вразливості безпеки, які можуть бути використані для компрометації хмарних або локальних середовищ:
Прохідна аутентифікація (PTA):
Можливе компрометування агента на локальному AD, що дозволяє перевірку паролів користувачів для підключень до Azure (з локального до хмари).
Можливість реєстрації нового агента для перевірки аутентифікацій в новому місці (з хмари на локальний).
Синхронізація хешів паролів (PHS):
Потенційне витягування паролів у відкритому вигляді привілейованих користувачів з AD, включаючи облікові дані високопривілейованого, автоматично створеного користувача AzureAD.
Федерація:
Крадіжка приватного ключа, який використовується для підпису SAML, що дозволяє підробку локальних та хмарних ідентичностей.
Безшовний SSO:
Крадіжка паролю користувача
AZUREADSSOACC
, який використовується для підпису срібних квитків Kerberos, що дозволяє підробку будь-якого хмарного користувача.
Довіра Cloud Kerberos:
Можливість ескалації від Глобального адміністратора до локального адміністратора домену шляхом маніпулювання іменами користувачів AzureAD та SIDs та запиту TGT від AzureAD.
Стандартні додатки:
Компрометація облікового запису адміністратора додатків або облікового запису синхронізації на локальному сервері дозволяє змінювати налаштування каталогу, членство в групах, облікові записи користувачів, сайти SharePoint та файли OneDrive.
Для кожного методу інтеграції виконується синхронізація користувачів, і в локальному AD створюється обліковий запис MSOL_<ідентифікатор_встановлення>
. Зокрема, методи PHS та PTA сприяють Безшовному SSO, що дозволяє автоматичний вхід для комп'ютерів Azure AD, приєднаних до локального домену.
Для перевірки встановлення Azure AD Connect можна використати наступну команду PowerShell, використовуючи модуль AzureADConnectHealthSync (встановлений за замовчуванням з Azure AD Connect):
Last updated