AWS - Directory Services / WorkDocs Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Η υπηρεσία AWS Directory Service για το Microsoft Active Directory είναι μια διαχειριζόμενη υπηρεσία που διευκολύνει την ρύθμιση, λειτουργία και κλιμάκωση ενός καταλόγου στο AWS Cloud. Είναι βασισμένη στο πραγματικό Microsoft Active Directory και ενσωματώνεται στενά με άλλες υπηρεσίες AWS, διευκολύνοντας τη διαχείριση των εργασιών και των πόρων σας που είναι ευαίσθητοι σε καταλόγους. Με το AWS Managed Microsoft AD, μπορείτε να χρησιμοποιήσετε τους υπάρχοντες χρήστες, ομάδες και πολιτικές του Active Directory για να διαχειριστείτε την πρόσβαση στους πόρους AWS. Αυτό μπορεί να βοηθήσει στην απλοποίηση της διαχείρισης ταυτοτήτων σας και στη μείωση της ανάγκης για επιπλέον λύσεις ταυτοτήτων. Το AWS Managed Microsoft AD παρέχει επίσης αυτόματες εφεδρικές αντιγράφες και δυνατότητες αποκατάστασης από καταστροφές, βοηθώντας να διασφαλιστεί η διαθεσιμότητα και η ανθεκτικότητα του καταλόγου σας. Συνολικά, η υπηρεσία AWS Directory Service για το Microsoft Active Directory μπορεί να σας βοηθήσει να εξοικονομήσετε χρόνο και πόρους παρέχοντας μια διαχειριζόμενη, υψηλής διαθεσιμότητας και κλιμακούμενη υπηρεσία Active Directory στο AWS Cloud.
Οι Υπηρεσίες Καταλόγου επιτρέπουν τη δημιουργία 5 τύπων καταλόγων:
AWS Managed Microsoft AD: Που θα εκτελεί ένα νέο Microsoft AD στο AWS. Θα μπορείτε να ορίσετε τον κωδικό πρόσβασης διαχειριστή και να έχετε πρόσβαση στους DCs σε ένα VPC.
Simple AD: Που θα είναι ένας Linux-Samba διακομιστής συμβατός με Active Directory. Θα μπορείτε να ορίσετε τον κωδικό πρόσβασης διαχειριστή και να έχετε πρόσβαση στους DCs σε ένα VPC.
AD Connector: Ένας μεσολαβητής για την ανακατεύθυνση αιτημάτων καταλόγου στο υπάρχον Microsoft Active Directory σας χωρίς να αποθηκεύει καμία πληροφορία στο cloud. Θα ακούει σε ένα VPC και πρέπει να δώσετε διαπιστευτήρια για να έχετε πρόσβαση στο υπάρχον AD.
Amazon Cognito User Pools: Αυτό είναι το ίδιο με τα Cognito User Pools.
Cloud Directory: Αυτό είναι το απλούστερο από όλα. Ένας serverless κατάλογος όπου δηλώνετε το σχήμα που θα χρησιμοποιήσετε και χρεώνεστε σύμφωνα με τη χρήση.
Οι υπηρεσίες AWS Directory επιτρέπουν να συγχρονίσετε με το υπάρχον on-premises Microsoft AD, να εκτελέσετε το δικό σας στο AWS ή να συγχρονίσετε με άλλους τύπους καταλόγων.
Εδώ μπορείτε να βρείτε ένα ωραίο tutorial για να δημιουργήσετε το δικό σας Microsoft AD στο AWS: https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_tutorial_test_lab_base.html
Σημειώστε ότι αν η περιγραφή του καταλόγου περιείχε ένα domain στο πεδίο AccessUrl, είναι επειδή ένας χρήστης μπορεί πιθανώς να συνδεθεί με τα διαπιστευτήρια AD του σε ορισμένες υπηρεσίες AWS:
<name>.awsapps.com/connect (Amazon Connect)
<name>.awsapps.com/workdocs (Amazon WorkDocs)
<name>.awsapps.com/workmail (Amazon WorkMail)
<name>.awsapps.com/console (Amazon Management Console)
<name>.awsapps.com/start (IAM Identity Center)
Ένας χρήστης AD μπορεί να αποκτήσει πρόσβαση στην κονσόλα διαχείρισης AWS μέσω ενός Ρόλου που θα αναλάβει. Το προεπιλεγμένο όνομα χρήστη είναι Admin και είναι δυνατή η αλλαγή του κωδικού πρόσβασης από την κονσόλα AWS.
Επομένως, είναι δυνατή η αλλαγή του κωδικού πρόσβασης του Admin, η δημιουργία ενός νέου χρήστη ή η αλλαγή του κωδικού πρόσβασης ενός χρήστη και η χορήγηση αυτού του χρήστη ενός Ρόλου για να διατηρήσει την πρόσβαση. Είναι επίσης δυνατή η προσθήκη ενός χρήστη σε μια ομάδα μέσα στο AD και η παροχή πρόσβασης σε αυτήν την ομάδα AD σε έναν Ρόλο (για να γίνει αυτή η επιμονή πιο διακριτική).
Είναι δυνατή η κοινή χρήση ενός περιβάλλοντος AD από ένα θύμα σε έναν επιτιθέμενο. Με αυτόν τον τρόπο, ο επιτιθέμενος θα μπορεί να συνεχίσει να έχει πρόσβαση στο περιβάλλον AD. Ωστόσο, αυτό συνεπάγεται την κοινή χρήση του διαχειριζόμενου AD και επίσης τη δημιουργία μιας σύνδεσης VPC peering.
Μπορείτε να βρείτε έναν οδηγό εδώ: https://docs.aws.amazon.com/directoryservice/latest/admin-guide/step1_setup_networking.html
Δεν φαίνεται δυνατό να παραχωρηθεί πρόσβαση AWS σε χρήστες από ένα διαφορετικό περιβάλλον AD σε έναν λογαριασμό AWS.
Η υπηρεσία Amazon Web Services (AWS) WorkDocs είναι μια υπηρεσία αποθήκευσης και κοινής χρήσης αρχείων βασισμένη στο cloud. Είναι μέρος της σουίτας υπηρεσιών υπολογιστικού νέφους της AWS και έχει σχεδιαστεί για να παρέχει μια ασφαλή και κλιμακούμενη λύση για οργανισμούς να αποθηκεύουν, να μοιράζονται και να συνεργάζονται σε αρχεία και έγγραφα.
Η AWS WorkDocs παρέχει μια διαδικτυακή διεπαφή για τους χρήστες να ανεβάζουν, να έχουν πρόσβαση και να διαχειρίζονται τα αρχεία και τα έγγραφά τους. Προσφέρει επίσης δυνατότητες όπως έλεγχο εκδόσεων, συνεργασία σε πραγματικό χρόνο και ενσωμάτωση με άλλες υπηρεσίες AWS και εργαλεία τρίτων.
Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
