Az - File Shares
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Azure Files ist ein vollständig verwalteter Cloud-Dateispeicherdienst, der gemeinsamen Dateispeicher bereitstellt, der über die Standardprotokolle SMB (Server Message Block) und NFS (Network File System) zugänglich ist. Obwohl das Hauptprotokoll SMB ist, werden NFS Azure-Dateifreigaben für Windows nicht unterstützt (laut den Docs). Es ermöglicht Ihnen, hochverfügbare Netzwerkdateifreigaben zu erstellen, die gleichzeitig von mehreren virtuellen Maschinen (VMs) oder lokalen Systemen zugegriffen werden können, was nahtloses Dateifreigeben über verschiedene Umgebungen hinweg ermöglicht.
Transaktionsoptimiert: Optimiert für transaktionsintensive Operationen.
Hot: Ausgewogen zwischen Transaktionen und Speicherung.
Cool: Kostenwirksam für die Speicherung.
Premium: Hochleistungs-Dateispeicher, optimiert für latenzarme und IOPS-intensive Workloads.
Tägliches Backup: Ein Backup-Punkt wird jeden Tag zu einer angegebenen Zeit (z.B. 19.30 UTC) erstellt und für 1 bis 200 Tage gespeichert.
Wöchentliches Backup: Ein Backup-Punkt wird jede Woche an einem angegebenen Tag und zu einer angegebenen Zeit (Sonntag um 19.30) erstellt und für 1 bis 200 Wochen gespeichert.
Monatliches Backup: Ein Backup-Punkt wird jeden Monat an einem angegebenen Tag und zu einer angegebenen Zeit (z.B. erster Sonntag um 19.30) erstellt und für 1 bis 120 Monate gespeichert.
Jährliches Backup: Ein Backup-Punkt wird jedes Jahr an einem angegebenen Tag und zu einer angegebenen Zeit (z.B. Januar erster Sonntag um 19.30) erstellt und für 1 bis 10 Jahre gespeichert.
Es ist auch möglich, manuelle Backups und Snapshots jederzeit durchzuführen. Backups und Snapshots sind in diesem Kontext tatsächlich dasselbe.
On-premises AD DS-Authentifizierung: Es verwendet lokale Active Directory-Anmeldeinformationen, die mit Microsoft Entra ID für identitätsbasierten Zugriff synchronisiert sind. Es erfordert eine Netzwerkverbindung zu on-premises AD DS.
Microsoft Entra Domain Services-Authentifizierung: Es nutzt Microsoft Entra Domain Services (cloudbasiertes AD), um den Zugriff mit Microsoft Entra-Anmeldeinformationen bereitzustellen.
Microsoft Entra Kerberos für hybride Identitäten: Es ermöglicht Microsoft Entra-Benutzern, Azure-Dateifreigaben über das Internet mit Kerberos zu authentifizieren. Es unterstützt hybride Microsoft Entra-verbundene oder Microsoft Entra-verbundene VMs, ohne dass eine Verbindung zu lokalen Domänencontrollern erforderlich ist. Es unterstützt jedoch keine cloud-only Identitäten.
AD Kerberos-Authentifizierung für Linux-Clients: Es ermöglicht Linux-Clients, Kerberos für die SMB-Authentifizierung über on-premises AD DS oder Microsoft Entra Domain Services zu verwenden.
Standardmäßig verwendet die az
CLI einen Kontoschlüssel, um einen Schlüssel zu signieren und die Aktion auszuführen. Um die Berechtigungen des Entra ID-Prinzipals zu verwenden, verwenden Sie die Parameter --auth-mode login --enable-file-backup-request-intent
.
Verwenden Sie den Parameter --account-key
, um den zu verwendenden Kontoschlüssel anzugeben
Verwenden Sie den Parameter --sas-token
mit dem SAS-Token, um über ein SAS-Token zuzugreifen
Dies sind die von Azure zum Zeitpunkt des Schreibens vorgeschlagenen Skripte, um eine File Share zu verbinden:
Sie müssen die Platzhalter <STORAGE-ACCOUNT>
, <ACCESS-KEY>
und <FILE-SHARE-NAME>
ersetzen.
Gleich wie Speicher-Privesc:
Az - Storage PrivescGleich wie Speicher-Persistenz:
Az - Storage PersistenceLerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)