Az - Basic Information
Last updated
Last updated
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Sie können andere Verwaltungsguppen oder Abonnements enthalten.
Dies ermöglicht es, Governance-Kontrollen wie RBAC und Azure Policy einmal auf der Ebene der Verwaltungsguppe anzuwenden und sie von allen Abonnements in der Gruppe vererben zu lassen.
10.000 Verwaltungsguppen können in einem einzigen Verzeichnis unterstützt werden.
Ein Verwaltungsgruppenbaum kann bis zu sechs Ebenen tief sein. Dieses Limit schließt die Wurzelebene oder die Abonnementebene nicht ein.
Jede Verwaltungsguppe und jedes Abonnement kann nur einen Elternteil unterstützen.
Auch wenn mehrere Verwaltungsguppen erstellt werden können, gibt es nur 1 Wurzelverwaltungsguppe.
Die Wurzelverwaltungsguppe enthält alle anderen Verwaltungsguppen und Abonnements und kann nicht verschoben oder gelöscht werden.
Alle Abonnements innerhalb einer einzigen Verwaltungsguppe müssen dem gleichen Entra ID-Mandanten vertrauen.
Es ist ein weiterer logischer Container, in dem Ressourcen (VMs, DBs…) ausgeführt werden können und abgerechnet werden.
Sein Elternteil ist immer eine Verwaltungsguppe (und es kann die Wurzelverwaltungsguppe sein), da Abonnements keine anderen Abonnements enthalten können.
Es vertraut nur einem Entra ID-Verzeichnis
Berechtigungen, die auf der Abonnementebene (oder einer seiner Eltern) angewendet werden, werden auf alle Ressourcen innerhalb des Abonnements vererbt
Aus den Dokumenten: Eine Ressourcengruppe ist ein Container, der verwandte Ressourcen für eine Azure-Lösung enthält. Die Ressourcengruppe kann alle Ressourcen für die Lösung oder nur die Ressourcen, die Sie als Gruppe verwalten möchten, umfassen. Im Allgemeinen fügen Sie Ressourcen hinzu, die den gleichen Lebenszyklus teilen, zur gleichen Ressourcengruppe hinzu, damit Sie sie einfach als Gruppe bereitstellen, aktualisieren und löschen können.
Alle Ressourcen müssen innerhalb einer Ressourcengruppe sein und können nur zu einer Gruppe gehören, und wenn eine Ressourcengruppe gelöscht wird, werden auch alle Ressourcen darin gelöscht.
Jede Ressource in Azure hat eine Azure-Ressourcen-ID, die sie identifiziert.
Das Format einer Azure-Ressourcen-ID ist wie folgt:
/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}
Für eine virtuelle Maschine mit dem Namen myVM in einer Ressourcengruppe myResourceGroup
unter der Abonnement-ID 12345678-1234-1234-1234-123456789012
sieht die Azure-Ressourcen-ID wie folgt aus:
/subscriptions/12345678-1234-1234-1234-123456789012/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM
Azure ist Microsofts umfassende Cloud-Computing-Plattform, die eine Vielzahl von Diensten anbietet, darunter virtuelle Maschinen, Datenbanken, künstliche Intelligenz und Speicher. Es dient als Grundlage für das Hosting und die Verwaltung von Anwendungen, den Aufbau skalierbarer Infrastrukturen und das Ausführen moderner Workloads in der Cloud. Azure bietet Entwicklern und IT-Profis Werkzeuge, um Anwendungen und Dienste nahtlos zu erstellen, bereitzustellen und zu verwalten, und erfüllt eine Vielzahl von Bedürfnissen von Startups bis hin zu großen Unternehmen.
Entra ID ist ein cloudbasierter Identitäts- und Zugriffsverwaltungsdienst, der für die Handhabung von Authentifizierung, Autorisierung und Benutzerzugriffskontrolle konzipiert ist. Er ermöglicht sicheren Zugriff auf Microsoft-Dienste wie Office 365, Azure und viele Drittanbieter-SaaS-Anwendungen. Mit Funktionen wie Single Sign-On (SSO), Multi-Faktor-Authentifizierung (MFA) und bedingten Zugriffsrichtlinien unter anderem.
Entra-Domänendienste erweitern die Möglichkeiten von Entra ID, indem sie verwaltete Domänendienste anbieten, die mit traditionellen Windows Active Directory-Umgebungen kompatibel sind. Es unterstützt veraltete Protokolle wie LDAP, Kerberos und NTLM, sodass Organisationen ältere Anwendungen in der Cloud migrieren oder ausführen können, ohne lokale Domänencontroller bereitzustellen. Dieser Dienst unterstützt auch Gruppenrichtlinien für eine zentrale Verwaltung, was ihn für Szenarien geeignet macht, in denen veraltete oder AD-basierte Workloads mit modernen Cloud-Umgebungen koexistieren müssen.
Neue Benutzer
Geben Sie den E-Mail-Namen und die Domain des ausgewählten Mandanten an
Geben Sie den Anzeigenamen an
Geben Sie das Passwort an
Geben Sie die Eigenschaften an (Vorname, Berufsbezeichnung, Kontaktinformationen…)
Der Standardbenutzertyp ist „Mitglied“
Externe Benutzer
Geben Sie die E-Mail-Adresse zum Einladen und den Anzeigenamen an (kann eine Nicht-Microsoft-E-Mail sein)
Geben Sie die Eigenschaften an
Der Standardbenutzertyp ist „Gast“
Sie können sie in https://learn.microsoft.com/en-us/entra/fundamentals/users-default-permissions überprüfen, aber unter anderem kann ein Mitglied:
Alle Benutzer, Gruppen, Anwendungen, Geräte, Rollen, Abonnements und deren öffentliche Eigenschaften lesen
Gäste einladen (kann deaktiviert werden)
Sicherheitsgruppen erstellen
Nicht versteckte Gruppenmitgliedschaften lesen
Gäste zu eigenen Gruppen hinzufügen
Neue Anwendung erstellen (kann deaktiviert werden)
Bis zu 50 Geräte in Azure hinzufügen (kann deaktiviert werden)
Denken Sie daran, dass der Benutzer eine ausdrückliche Genehmigung für die Berechtigung benötigt, um Azure-Ressourcen aufzulisten.
Mitglieder (Dokumente)
Anwendungen registrieren: Standard Ja
Einschränkung nicht-administrativer Benutzer bei der Erstellung von Mandanten: Standard Nein
Sicherheitsgruppen erstellen: Standard Ja
Zugriff auf das Microsoft Entra-Verwaltungsportal einschränken: Standard Nein
Dies schränkt den API-Zugriff auf das Portal nicht ein (nur Web)
Benutzern erlauben, Arbeits- oder Schulkonten mit LinkedIn zu verbinden: Standard Ja
Benutzer angemeldet halten: Standard Ja
Benutzern die Wiederherstellung des BitLocker-Schlüssels für ihre eigenen Geräte verweigern: Standard Nein (überprüfen in den Geräteeinstellungen)
Andere Benutzer lesen: Standard Ja (über Microsoft Graph)
Gäste
Einschränkungen für den Zugriff von Gastbenutzern
Gastbenutzer haben den gleichen Zugriff wie Mitglieder gewährt allen Mitgliedsbenutzern standardmäßig Berechtigungen für Gastbenutzer.
Gastbenutzer haben eingeschränkten Zugriff auf Eigenschaften und Mitgliedschaften von Verzeichnisobjekten (Standard) schränkt den Gastzugriff standardmäßig auf nur ihr eigenes Benutzerprofil ein. Der Zugriff auf andere Benutzer- und Gruppeninformationen ist nicht mehr erlaubt.
Der Zugriff von Gastbenutzern ist auf Eigenschaften und Mitgliedschaften ihrer eigenen Verzeichnisobjekte beschränkt ist die restriktivste.
Gäste können einladen
Jeder in der Organisation kann Gastbenutzer einladen, einschließlich Gäste und Nicht-Administratoren (am inklusivsten) - Standard
Mitglieder und Benutzer, die bestimmten Administrationsrollen zugewiesen sind, können Gastbenutzer einladen, einschließlich Gäste mit Mitgliedsberechtigungen
Nur Benutzer, die bestimmten Administrationsrollen zugewiesen sind, können Gastbenutzer einladen
Niemand in der Organisation kann Gastbenutzer einladen, einschließlich Administratoren (am restriktivsten)
Externe Benutzer verlassen: Standard Wahr
Externen Benutzern erlauben, die Organisation zu verlassen
Auch wenn standardmäßig eingeschränkt, könnten Benutzer (Mitglieder und Gäste) mit erteilten Berechtigungen die vorherigen Aktionen ausführen.
Es gibt 2 Arten von Gruppen:
Sicherheit: Diese Art von Gruppe wird verwendet, um Mitgliedern Zugriff auf Anwendungen, Ressourcen zu gewähren und Lizenzen zuzuweisen. Benutzer, Geräte, Dienstprinzipale und andere Gruppen können Mitglieder sein.
Microsoft 365: Diese Art von Gruppe wird für die Zusammenarbeit verwendet und gewährt Mitgliedern Zugriff auf ein gemeinsames Postfach, Kalender, Dateien, SharePoint-Website usw. Gruppenmitglieder können nur Benutzer sein.
Dies wird eine E-Mail-Adresse mit der Domain des EntraID-Mandanten haben.
Es gibt 2 Arten von Mitgliedschaften:
Zugewiesen: Ermöglicht das manuelle Hinzufügen spezifischer Mitglieder zu einer Gruppe.
Dynamische Mitgliedschaft: Verwaltet die Mitgliedschaft automatisch mithilfe von Regeln und aktualisiert die Gruppenaufnahme, wenn sich die Attribute der Mitglieder ändern.
Ein Dienstprinzipal ist eine Identität, die für die Nutzung mit Anwendungen, gehosteten Diensten und automatisierten Tools zur Zugriff auf Azure-Ressourcen erstellt wurde. Dieser Zugriff ist durch die zugewiesenen Rollen für den Dienstprinzipal eingeschränkt, was Ihnen die Kontrolle darüber gibt, auf welche Ressourcen zugegriffen werden kann und auf welcher Ebene. Aus Sicherheitsgründen wird immer empfohlen, Dienstprinzipale mit automatisierten Tools zu verwenden, anstatt ihnen zu erlauben, sich mit einer Benutzeridentität anzumelden.
Es ist möglich, sich direkt als Dienstprinzipal anzumelden, indem man ihm ein Geheimnis (Passwort), ein Zertifikat oder den föderierten Zugriff auf Drittanbieterplattformen (z. B. Github Actions) gewährt.
Wenn Sie die Passwort-Authentifizierung (standardmäßig) wählen, speichern Sie das generierte Passwort, da Sie nicht mehr darauf zugreifen können.
Wenn Sie die Zertifikatsauthentifizierung wählen, stellen Sie sicher, dass die Anwendung Zugriff auf den privaten Schlüssel hat.
Eine App-Registrierung ist eine Konfiguration, die es einer Anwendung ermöglicht, sich mit Entra ID zu integrieren und Aktionen auszuführen.
Anwendungs-ID (Client-ID): Eine eindeutige Kennung für Ihre App in Azure AD.
Umleitungs-URIs: URLs, an die Azure AD Authentifizierungsantworten sendet.
Zertifikate, Geheimnisse & föderierte Anmeldeinformationen: Es ist möglich, ein Geheimnis oder ein Zertifikat zu generieren, um sich als Dienstprinzipal der Anwendung anzumelden oder um ihr föderierten Zugriff zu gewähren (z. B. Github Actions).
Wenn ein Zertifikat oder Geheimnis generiert wird, ist es einer Person möglich, sich als Dienstprinzipal mit CLI-Tools anzumelden, indem sie die Anwendungs-ID, das Geheimnis oder Zertifikat und den Mandanten (Domain oder ID) kennt.
API-Berechtigungen: Gibt an, auf welche Ressourcen oder APIs die App zugreifen kann.
Authentifizierungseinstellungen: Definiert die unterstützten Authentifizierungsflüsse der App (z. B. OAuth2, OpenID Connect).
Dienstprinzipal: Ein Dienstprinzipal wird erstellt, wenn eine App erstellt wird (wenn dies über die Webkonsole erfolgt) oder wenn sie in einem neuen Mandanten installiert wird.
Der Dienstprinzipal erhält alle angeforderten Berechtigungen, mit denen er konfiguriert wurde.
Benutzereinwilligung für Anwendungen
Benutzereinwilligung nicht zulassen
Ein Administrator wird für alle Apps erforderlich sein.
Benutzereinwilligung für Apps von verifizierten Herausgebern für ausgewählte Berechtigungen zulassen (empfohlen)
Alle Benutzer können für Berechtigungen, die als "geringfügig" eingestuft sind, für Apps von verifizierten Herausgebern oder Apps, die in dieser Organisation registriert sind, zustimmen.
Standard geringfügige Berechtigungen (obwohl Sie zustimmen müssen, um sie als geringfügig hinzuzufügen):
User.Read - Anmelden und Benutzerprofil lesen
offline_access - Zugriff auf Daten aufrechterhalten, auf die Benutzer Zugriff gewährt haben
openid - Benutzer anmelden
profile - Grundlegendes Benutzerprofil anzeigen
email - E-Mail-Adresse des Benutzers anzeigen
Benutzereinwilligung für Apps zulassen (Standard)
Alle Benutzer können für jede App zustimmen, um auf die Daten der Organisation zuzugreifen.
Anfragen zur Zustimmung des Administrators: Standard Nein
Benutzer können die Zustimmung des Administrators für Apps anfordern, für die sie nicht zustimmen können
Wenn Ja: Es ist möglich, Benutzer, Gruppen und Rollen anzugeben, die Anfragen zustimmen können
Konfigurieren Sie auch, ob Benutzer E-Mail-Benachrichtigungen und Ablaufbenachrichtigungen erhalten
Verwaltete Identitäten in Azure Active Directory bieten eine Lösung zur automatischen Verwaltung der Identität von Anwendungen. Diese Identitäten werden von Anwendungen verwendet, um sich mit Ressourcen zu verbinden, die mit der Azure Active Directory (Azure AD) Authentifizierung kompatibel sind. Dies ermöglicht es, die Notwendigkeit der Hardcodierung von Cloud-Anmeldeinformationen im Code zu entfernen, da die Anwendung in der Lage sein wird, den Metadaten-Dienst zu kontaktieren, um ein gültiges Token zu erhalten, um Aktionen als die angegebene verwaltete Identität in Azure auszuführen.
Es gibt zwei Arten von verwalteten Identitäten:
Systemzugewiesen. Einige Azure-Dienste ermöglichen es Ihnen, eine verwaltete Identität direkt auf einer Dienstinstanz zu aktivieren. Wenn Sie eine systemzugewiesene verwaltete Identität aktivieren, wird ein Dienstprinzipal im Entra ID-Mandanten erstellt, dem das Abonnement, in dem sich die Ressource befindet, vertraut. Wenn die Ressource gelöscht wird, löscht Azure automatisch die Identität für Sie.
Benutzerzugewiesen. Es ist auch möglich, dass Benutzer verwaltete Identitäten generieren. Diese werden innerhalb einer Ressourcengruppe innerhalb eines Abonnements erstellt, und ein Dienstprinzipal wird im EntraID erstellt, dem das Abonnement vertraut. Dann können Sie die verwaltete Identität einer oder mehreren Instanzen eines Azure-Dienstes (mehrere Ressourcen) zuweisen. Bei benutzerzugewiesenen verwalteten Identitäten wird die Identität separat von den Ressourcen verwaltet, die sie verwenden.
Verwaltete Identitäten erzeugen keine ewigen Anmeldeinformationen (wie Passwörter oder Zertifikate), um auf den daran angehängten Dienstprinzipal zuzugreifen.
Es ist einfach eine Tabelle in Azure, um Dienstprinzipale zu filtern und die Anwendungen zu überprüfen, die zugewiesen wurden.
Es ist kein anderer Typ von „Anwendung“, es gibt kein Objekt in Azure, das eine „Unternehmensanwendung“ ist, es ist nur eine Abstraktion, um die Dienstprinzipale, App-Registrierungen und verwalteten Identitäten zu überprüfen.
Verwaltungseinheiten ermöglichen es, Berechtigungen von einer Rolle über einen bestimmten Teil einer Organisation zu gewähren.
Beispiel:
Szenario: Ein Unternehmen möchte, dass regionale IT-Administratoren nur die Benutzer in ihrer eigenen Region verwalten.
Implementierung:
Erstellen Sie Verwaltungseinheiten für jede Region (z. B. "Nordamerika AU", "Europa AU").
Füllen Sie AUs mit Benutzern aus ihren jeweiligen Regionen.
AUs können Benutzer, Gruppen oder Geräte enthalten
AUs unterstützen dynamische Mitgliedschaften
AUs können keine AUs enthalten
Zuweisen von Administrationsrollen:
Gewähren Sie dem regionalen IT-Personal die Rolle „Benutzeradministrator“, die auf die AU ihrer Region beschränkt ist.
Ergebnis: Regionale IT-Administratoren können Benutzerkonten innerhalb ihrer Region verwalten, ohne andere Regionen zu beeinträchtigen.
Um Entra ID zu verwalten, gibt es einige vordefinierte Rollen, die Entra ID-Prinzipalen zugewiesen werden können, um Entra ID zu verwalten.
Überprüfen Sie die Rollen in https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/permissions-reference
Die privilegierteste Rolle ist Global Administrator
In der Beschreibung der Rolle sind ihre detaillierten Berechtigungen zu sehen.
Rollen werden Prinzipalen auf einem Bereich zugewiesen: principal -[HAS ROLE]->(scope)
Rollen, die Gruppen zugewiesen sind, werden von allen Mitgliedern der Gruppe vererbt.
Je nach dem Bereich, dem die Rolle zugewiesen wurde, kann die Rolle auf andere Ressourcen innerhalb des Bereichscontainers vererbt werden. Wenn beispielsweise ein Benutzer A eine Rolle im Abonnement hat, hat er diese Rolle in allen Ressourcengruppen innerhalb des Abonnements und auf allen Ressourcen innerhalb der Ressourcengruppe.
Besitzer |
| Alle Ressourcentypen |
Mitwirkender |
| Alle Ressourcentypen |
Leser | • Alle Ressourcen anzeigen | Alle Ressourcentypen |
Benutzerzugriffsadministrator |
| Alle Ressourcentypen |
Aus den Dokumenten: Azure-Rollenbasierte Zugriffskontrolle (Azure RBAC) hat mehrere Azure vordefinierte Rollen, die Sie Benutzern, Gruppen, Dienstprinzipalen und verwalteten Identitäten zuweisen können. Rollenzuweisungen sind der Weg, wie Sie Zugriff auf Azure-Ressourcen steuern. Wenn die vordefinierten Rollen nicht den spezifischen Bedürfnissen Ihrer Organisation entsprechen, können Sie Ihre eigenen Azure benutzerdefinierten Rollen** erstellen.**
Vordefinierte Rollen gelten nur für die Ressourcen, für die sie bestimmt sind, zum Beispiel überprüfen Sie diese 2 Beispiele für vordefinierte Rollen über Compute-Ressourcen:
Berechtigt, das Backup-Repository zu verwenden, um ein Festplattensicherung durchzuführen. | 3e5e47e6-65f7-47ef-90b5-e5dd4d455f24 | |
Virtuelle Maschinen im Portal anzeigen und sich als regulärer Benutzer anmelden. | fb879df8-f326-4884-b1cf-06f3ad86be52 |
Diese Rollen können auch über logische Container (wie Verwaltungsguppen, Abonnements und Ressourcengruppen) zugewiesen werden, und die betroffenen Prinzipale haben sie über die Ressourcen innerhalb dieser Container.
Finden Sie hier eine Liste mit allen Azure vordefinierten Rollen.
Finden Sie hier eine Liste mit allen Entra ID vordefinierten Rollen.
Es ist auch möglich, benutzerdefinierte Rollen zu erstellen.
Sie werden innerhalb eines Bereichs erstellt, obwohl eine Rolle in mehreren Bereichen (Verwaltungsguppen, Abonnements und Ressourcengruppen) sein kann.
Es ist möglich, alle detaillierten Berechtigungen zu konfigurieren, die die benutzerdefinierte Rolle haben wird.
Es ist möglich, Berechtigungen auszuschließen.
Ein Prinzipal mit einer ausgeschlossenen Berechtigung kann sie nicht verwenden, selbst wenn die Berechtigung anderswo gewährt wird.
Es ist möglich, Platzhalter zu verwenden.
Das verwendete Format ist JSON.
actions
sind zur Steuerung von Aktionen über die Ressource.
dataActions
sind Berechtigungen über die Daten innerhalb des Objekts.
Beispiel für JSON-Berechtigungen für eine benutzerdefinierte Rolle:
Damit ein Principal Zugriff auf eine Ressource hat, muss ihm eine explizite Rolle zugewiesen werden (in welcher Form auch immer), die ihm diese Berechtigung gewährt.
Eine explizite Ablehnungsrollenzuweisung hat Vorrang vor der Rolle, die die Berechtigung gewährt.
Der globale Administrator ist eine Rolle aus Entra ID, die vollständige Kontrolle über den Entra ID-Mandanten gewährt. Standardmäßig gewährt sie jedoch keine Berechtigungen für Azure-Ressourcen.
Benutzer mit der Rolle des globalen Administrators haben die Möglichkeit, sich zum Benutzerzugriffsadministrator-Rolle in der Root-Management-Gruppe zu "erhöhen". Global Administratoren können den Zugriff in allen Azure-Abonnements und Managementgruppen verwalten. Diese Erhöhung kann am Ende der Seite durchgeführt werden: https://portal.azure.com/#view/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/~/Properties
Azure-Richtlinien sind Regeln, die Organisationen helfen, sicherzustellen, dass ihre Ressourcen bestimmten Standards und Compliance-Anforderungen entsprechen. Sie ermöglichen es Ihnen, Einstellungen für Ressourcen in Azure durchzusetzen oder zu überprüfen. Zum Beispiel können Sie die Erstellung von virtuellen Maschinen in einer nicht autorisierten Region verhindern oder sicherstellen, dass alle Ressourcen bestimmte Tags zur Nachverfolgung haben.
Azure-Richtlinien sind proaktiv: Sie können die Erstellung oder Änderung von nicht konformen Ressourcen stoppen. Sie sind auch reaktiv, sodass Sie bestehende nicht konforme Ressourcen finden und beheben können.
Richtliniendefinition: Eine Regel, die in JSON geschrieben ist und angibt, was erlaubt oder erforderlich ist.
Richtlinienzuweisung: Die Anwendung einer Richtlinie auf einen bestimmten Geltungsbereich (z. B. Abonnement, Ressourcengruppe).
Initiativen: Eine Sammlung von Richtlinien, die zusammengefasst sind, um eine breitere Durchsetzung zu ermöglichen.
Wirkung: Gibt an, was passiert, wenn die Richtlinie ausgelöst wird (z. B. "Ablehnen", "Überprüfen" oder "Anhängen").
Einige Beispiele:
Sicherstellen der Einhaltung bestimmter Azure-Regionen: Diese Richtlinie stellt sicher, dass alle Ressourcen in bestimmten Azure-Regionen bereitgestellt werden. Zum Beispiel möchte ein Unternehmen sicherstellen, dass alle seine Daten in Europa für die Einhaltung der DSGVO gespeichert werden.
Durchsetzung von Namensstandards: Richtlinien können Namenskonventionen für Azure-Ressourcen durchsetzen. Dies hilft bei der Organisation und der einfachen Identifizierung von Ressourcen anhand ihrer Namen, was in großen Umgebungen hilfreich ist.
Einschränkung bestimmter Ressourcentypen: Diese Richtlinie kann die Erstellung bestimmter Ressourcentypen einschränken. Zum Beispiel könnte eine Richtlinie festgelegt werden, um die Erstellung teurer Ressourcentypen, wie bestimmter VM-Größen, zur Kostenkontrolle zu verhindern.
Durchsetzung von Tagging-Richtlinien: Tags sind Schlüssel-Wert-Paare, die mit Azure-Ressourcen zur Ressourcenverwaltung verknüpft sind. Richtlinien können durchsetzen, dass bestimmte Tags vorhanden sein müssen oder spezifische Werte haben müssen, für alle Ressourcen. Dies ist nützlich für die Kostenverfolgung, den Besitz oder die Kategorisierung von Ressourcen.
Einschränkung des öffentlichen Zugriffs auf Ressourcen: Richtlinien können durchsetzen, dass bestimmte Ressourcen, wie Speicherkonten oder Datenbanken, keine öffentlichen Endpunkte haben, um sicherzustellen, dass sie nur innerhalb des Netzwerks der Organisation zugänglich sind.
Automatisches Anwenden von Sicherheitseinstellungen: Richtlinien können verwendet werden, um automatisch Sicherheitseinstellungen auf Ressourcen anzuwenden, wie das Anwenden einer bestimmten Netzwerksicherheitsgruppe auf alle VMs oder das Sicherstellen, dass alle Speicherkonten Verschlüsselung verwenden.
Beachten Sie, dass Azure-Richtlinien an jedem Level der Azure-Hierarchie angehängt werden können, aber sie werden häufig in der Root-Management-Gruppe oder in anderen Managementgruppen verwendet.
Azure-Richtlinien JSON-Beispiel:
In Azure können Berechtigungen auf jeden Teil der Hierarchie zugewiesen werden. Dazu gehören Verwaltungsgruppen, Abonnements, Ressourcengruppen und einzelne Ressourcen. Berechtigungen werden von enthaltenen Ressourcen der Entität, wo sie zugewiesen wurden, vererbt.
Diese hierarchische Struktur ermöglicht eine effiziente und skalierbare Verwaltung von Zugriffsberechtigungen.
RBAC (rollenbasierte Zugriffskontrolle) ist das, was wir bereits in den vorherigen Abschnitten gesehen haben: Zuweisen einer Rolle an ein Subjekt, um ihm Zugriff auf eine Ressource zu gewähren. In einigen Fällen möchten Sie jedoch möglicherweise feinere Zugriffsverwaltung bereitstellen oder die Verwaltung von Hunderte von Rollen zuweisungen vereinfachen.
Azure ABAC (attributbasierte Zugriffskontrolle) baut auf Azure RBAC auf, indem es Rollen zuweisungsbedingungen basierend auf Attributen im Kontext spezifischer Aktionen hinzufügt. Eine Rollen zuweisungsbedingung ist eine zusätzliche Überprüfung, die Sie optional zu Ihrer Rollen zuweisung hinzufügen können, um eine feinere Zugriffskontrolle zu bieten. Eine Bedingung filtert die Berechtigungen, die als Teil der Rollendefinition und der Rollen zuweisung gewährt werden. Zum Beispiel können Sie eine Bedingung hinzufügen, die erfordert, dass ein Objekt ein bestimmtes Tag hat, um das Objekt zu lesen. Sie können den Zugriff auf spezifische Ressourcen nicht ausdrücklich verweigern mit Bedingungen.
Privileged Identity Management (PIM) in Azure ist ein Tool, das privilegierten Zugriff verwaltet, kontrolliert und überwacht in Azure Active Directory und Azure. Es verbessert die Sicherheit, indem es just-in-time und zeitlich begrenzten privilegierten Zugriff bereitstellt, Genehmigungsworkflows durchsetzt und zusätzliche Authentifizierung erfordert. Dieser Ansatz minimiert das Risiko unbefugten Zugriffs, indem sichergestellt wird, dass erhöhte Berechtigungen nur gewährt werden, wenn dies erforderlich ist und für eine bestimmte Dauer.
Es gibt drei Arten von Token, die in OIDC verwendet werden:
Zugriffstoken: Der Client präsentiert dieses Token dem Ressourcenserver, um auf Ressourcen zuzugreifen. Es kann nur für eine spezifische Kombination aus Benutzer, Client und Ressource verwendet werden und kann nicht bis zum Ablauf widerrufen werden - das sind standardmäßig 1 Stunde.
ID-Token: Der Client erhält dieses Token vom Autorisierungsserver. Es enthält grundlegende Informationen über den Benutzer. Es ist an eine spezifische Kombination aus Benutzer und Client gebunden.
Aktualisierungstoken: Wird dem Client mit dem Zugriffstoken bereitgestellt. Wird verwendet, um neue Zugriffs- und ID-Token zu erhalten. Es ist an eine spezifische Kombination aus Benutzer und Client gebunden und kann widerrufen werden. Die Standardablaufzeit beträgt 90 Tage für inaktive Aktualisierungstoken und keine Ablaufzeit für aktive Token.
Informationen für bedingten Zugriff werden innerhalb des JWT gespeichert. Wenn Sie also das Token von einer erlaubten IP-Adresse anfordern, wird diese IP im Token gespeichert und dann können Sie dieses Token von einer nicht erlaubten IP verwenden, um auf die Ressourcen zuzugreifen.
Je nach der Aktion, die Sie ausführen möchten, muss die "aud" des Zugriffstokens autorisiert sein, um die API-URL zu kontaktieren, die Sie kontaktieren werden.
Der Befehl az account get-access-token --resource-type [...]
unterstützt die folgenden Typen, und jeder von ihnen wird eine spezifische "aud" im resultierenden Zugriffstoken hinzufügen:
Beachten Sie, dass die folgenden nur die von az account get-access-token
unterstützten APIs sind, es gibt jedoch weitere.
aad-graph (Azure Active Directory Graph API): Wird verwendet, um auf die veraltete Azure AD Graph API (abgekündigt) zuzugreifen, die Anwendungen das Lesen und Schreiben von Verzeichnisdaten in Azure Active Directory (Azure AD) ermöglicht.
https://graph.windows.net/
arm (Azure Resource Manager): Wird verwendet, um Azure-Ressourcen über die Azure Resource Manager API zu verwalten. Dazu gehören Operationen wie das Erstellen, Aktualisieren und Löschen von Ressourcen wie virtuellen Maschinen, Speicherkonten und mehr.
https://management.core.windows.net/ oder https://management.azure.com/
batch (Azure Batch Services): Wird verwendet, um auf Azure Batch zuzugreifen, einen Dienst, der groß angelegte parallele und hochleistungsfähige Rechenanwendungen effizient in der Cloud ermöglicht.
https://batch.core.windows.net/
data-lake (Azure Data Lake Storage): Wird verwendet, um mit Azure Data Lake Storage Gen1 zu interagieren, einem skalierbaren Datenspeicher- und Analysedienst.
https://datalake.azure.net/
media (Azure Media Services): Wird verwendet, um auf Azure Media Services zuzugreifen, die cloudbasierte Medienverarbeitungs- und Bereitstellungsdienste für Video- und Audioinhalte bereitstellen.
https://rest.media.azure.net
ms-graph (Microsoft Graph API): Wird verwendet, um auf die Microsoft Graph API zuzugreifen, den einheitlichen Endpunkt für Microsoft 365-Daten. Es ermöglicht Ihnen den Zugriff auf Daten und Einblicke aus Diensten wie Azure AD, Office 365, Enterprise Mobility und Sicherheitsdiensten.
https://graph.microsoft.com
oss-rdbms (Azure Open Source Relational Databases): Wird verwendet, um auf Azure-Datenbankdienste für Open-Source-Relationale Datenbank-Engines wie MySQL, PostgreSQL und MariaDB zuzugreifen.
https://ossrdbms-aad.database.windows.net
Überprüfen Sie die folgende Seite, um verschiedene Möglichkeiten zu lernen, Zugriffstoken anzufordern und sich mit ihnen anzumelden:
Az - Entra ID (formerly AzureAD - AAD)Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)