Az - Basic Information
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Μπορεί να περιέχει άλλες διαχειριστικές ομάδες ή συνδρομές.
Αυτό επιτρέπει την εφαρμογή ελέγχων διακυβέρνησης όπως RBAC και Azure Policy μία φορά σε επίπεδο διαχειριστικής ομάδας και να κληρονομούνται από όλες τις συνδρομές στην ομάδα.
10.000 διαχειριστικές ομάδες μπορούν να υποστηριχθούν σε έναν μόνο κατάλογο.
Ένα δέντρο διαχειριστικών ομάδων μπορεί να υποστηρίξει έως έξι επίπεδα βάθους. Αυτό το όριο δεν περιλαμβάνει το ριζικό επίπεδο ή το επίπεδο συνδρομής.
Κάθε διαχειριστική ομάδα και συνδρομή μπορεί να υποστηρίξει μόνο έναν γονέα.
Ακόμα και αν μπορούν να δημιουργηθούν πολλές διαχειριστικές ομάδες, υπάρχει μόνο 1 ριζική διαχειριστική ομάδα.
Η ριζική διαχειριστική ομάδα περιέχει όλες τις άλλες διαχειριστικές ομάδες και συνδρομές και δεν μπορεί να μετακινηθεί ή να διαγραφεί.
Όλες οι συνδρομές εντός μιας μόνο διαχειριστικής ομάδας πρέπει να εμπιστεύονται τον ίδιο ενοικιαστή Entra ID.
Είναι ένα άλλο λογικό δοχείο όπου οι πόροι (VMs, DBs…) μπορούν να εκτελούνται και θα χρεώνονται.
Ο γονέας του είναι πάντα μια διαχειριστική ομάδα (και μπορεί να είναι η ριζική διαχειριστική ομάδα) καθώς οι συνδρομές δεν μπορούν να περιέχουν άλλες συνδρομές.
Εμπιστεύεται μόνο έναν κατάλογο Entra ID
Δικαιώματα που εφαρμόζονται σε επίπεδο συνδρομής (ή οποιουδήποτε από τους γονείς της) κληρονομούνται σε όλους τους πόρους μέσα στη συνδρομή
Από τα έγγραφα: Μια ομάδα πόρων είναι ένα δοχείο που περιέχει σχετικούς πόρους για μια λύση Azure. Η ομάδα πόρων μπορεί να περιλαμβάνει όλους τους πόρους για τη λύση ή μόνο εκείνους τους πόρους που θέλετε να διαχειριστείτε ως ομάδα. Γενικά, προσθέστε πόρους που μοιράζονται τον ίδιο κύκλο ζωής στην ίδια ομάδα πόρων ώστε να μπορείτε να τους αναπτύξετε, να τους ενημερώσετε και να τους διαγράψετε εύκολα ως ομάδα.
Όλοι οι πόροι πρέπει να είναι μέσα σε μια ομάδα πόρων και μπορούν να ανήκουν μόνο σε μια ομάδα και αν μια ομάδα πόρων διαγραφεί, όλοι οι πόροι μέσα σε αυτήν διαγράφονται επίσης.
Κάθε πόρος στο Azure έχει μια Ταυτότητα Πόρου Azure που τον προσδιορίζει.
Η μορφή μιας Ταυτότητας Πόρου Azure είναι η εξής:
/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}
Για μια εικονική μηχανή με όνομα myVM σε μια ομάδα πόρων myResourceGroup κάτω από την ταυτότητα συνδρομής 12345678-1234-1234-1234-123456789012, η Ταυτότητα Πόρου Azure φαίνεται ως εξής:
/subscriptions/12345678-1234-1234-1234-123456789012/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM
Azure είναι η ολοκληρωμένη πλατφόρμα υπολογιστικού νέφους της Microsoft, προσφέροντας μια ευρεία γκάμα υπηρεσιών, συμπεριλαμβανομένων εικονικών μηχανών, βάσεων δεδομένων, τεχνητής νοημοσύνης και αποθήκευσης. Λειτουργεί ως θεμέλιο για τη φιλοξενία και τη διαχείριση εφαρμογών, την κατασκευή κλιμακούμενων υποδομών και την εκτέλεση σύγχρονων φορτίων εργασίας στο νέφος. Το Azure παρέχει εργαλεία για προγραμματιστές και επαγγελματίες IT για να δημιουργούν, να αναπτύσσουν και να διαχειρίζονται εφαρμογές και υπηρεσίες χωρίς προβλήματα, καλύπτοντας μια ποικιλία αναγκών από νεοφυείς επιχειρήσεις έως μεγάλες επιχειρήσεις.
Entra ID είναι μια υπηρεσία διαχείρισης ταυτότητας και πρόσβασης που βασίζεται στο νέφος, σχεδιασμένη να χειρίζεται την αυθεντικοποίηση, την εξουσιοδότηση και τον έλεγχο πρόσβασης χρηστών. Εξασφαλίζει ασφαλή πρόσβαση σε υπηρεσίες της Microsoft όπως το Office 365, το Azure και πολλές τρίτες εφαρμογές SaaS. Με δυνατότητες όπως η ενιαία είσοδος (SSO), η πολυπαραγοντική αυθεντικοποίηση (MFA) και οι πολιτικές πρόσβασης υπό προϋποθέσεις μεταξύ άλλων.
Οι Υπηρεσίες Τομέα Entra επεκτείνουν τις δυνατότητες του Entra ID προσφέροντας διαχειριζόμενες υπηρεσίες τομέα συμβατές με παραδοσιακά περιβάλλοντα Windows Active Directory. Υποστηρίζει παλαιές πρωτόκολλες όπως LDAP, Kerberos και NTLM, επιτρέποντας στις οργανώσεις να μεταναστεύσουν ή να εκτελούν παλαιότερες εφαρμογές στο νέφος χωρίς να αναπτύσσουν τοπικούς ελεγκτές τομέα. Αυτή η υπηρεσία υποστηρίζει επίσης την Πολιτική Ομάδας για κεντρική διαχείριση, καθιστώντας την κατάλληλη για σενάρια όπου τα φορτία εργασίας που βασίζονται σε παλαιά ή AD πρέπει να συνυπάρχουν με σύγχρονα περιβάλλοντα νέφους.
Νέοι χρήστες
Υποδείξτε το όνομα email και το τομέα από τον επιλεγμένο ενοικιαστή
Υποδείξτε το όνομα εμφάνισης
Υποδείξτε τον κωδικό πρόσβασης
Υποδείξτε τις ιδιότητες (όνομα, τίτλος εργασίας, πληροφορίες επαφής…)
Ο προεπιλεγμένος τύπος χρήστη είναι “μέλος”
Εξωτερικοί χρήστες
Υποδείξτε το email για πρόσκληση και το όνομα εμφάνισης (μπορεί να είναι ένα μη Microsoft email)
Υποδείξτε τις ιδιότητες
Ο προεπιλεγμένος τύπος χρήστη είναι “Επισκέπτης”
Μπορείτε να τις ελέγξετε στο https://learn.microsoft.com/en-us/entra/fundamentals/users-default-permissions αλλά μεταξύ άλλων ενεργειών, ένα μέλος θα μπορεί να:
Διαβάσει όλους τους χρήστες, Ομάδες, Εφαρμογές, Συσκευές, Ρόλους, Συνδρομές και τις δημόσιες ιδιότητές τους
Προσκαλέσει Επισκέπτες (μπορεί να απενεργοποιηθεί)
Δημιουργήσει Ομάδες Ασφαλείας
Διαβάσει μη κρυφές συμμετοχές Ομάδας
Προσθέσει επισκέπτες σε Ιδιοκτησίες ομάδων
Δημιουργήσει νέα εφαρμογή (μπορεί να απενεργοποιηθεί)
Προσθέσει έως 50 συσκευές στο Azure (μπορεί να απενεργοποιηθεί)
Θυμηθείτε ότι για να απαριθμήσετε τους πόρους Azure, ο χρήστης χρειάζεται ρητή χορήγηση της άδειας.
Μέλη (έγγραφα)
Εγγραφή Εφαρμογών: Προεπιλεγμένο Ναι
Περιορισμός μη διαχειριστικών χρηστών από τη δημιουργία ενοικιαστών: Προεπιλεγμένο Όχι
Δημιουργία ομάδων ασφαλείας: Προεπιλεγμένο Ναι
Περιορισμός πρόσβασης στην πύλη διαχείρισης Microsoft Entra: Προεπιλεγμένο Όχι
Αυτό δεν περιορίζει την πρόσβαση API στην πύλη (μόνο στο web)
Επιτρέψτε στους χρήστες να συνδέουν τον λογαριασμό εργασίας ή σχολείου με το LinkedIn: Προεπιλεγμένο Ναι
Εμφάνιση διατήρησης του χρήστη συνδεδεμένου: Προεπιλεγμένο Ναι
Περιορισμός χρηστών από την ανάκτηση του κλειδιού BitLocker για τις συσκευές τους: Προεπιλεγμένο Όχι (ελέγξτε στις Ρυθμίσεις Συσκευής)
Διαβάστε άλλους χρήστες: Προεπιλεγμένο Ναι (μέσω Microsoft Graph)
Επισκέπτες
Περιορισμοί πρόσβασης επισκεπτών
Οι επισκέπτες έχουν την ίδια πρόσβαση με τα μέλη παραχωρούν όλες τις άδειες χρηστών μελών στους επισκέπτες από προεπιλογή.
Οι επισκέπτες έχουν περιορισμένη πρόσβαση σε ιδιότητες και συμμετοχές αντικειμένων καταλόγου (προεπιλογή) περιορίζουν την πρόσβαση των επισκεπτών μόνο στο δικό τους προφίλ χρήστη από προεπιλογή. Η πρόσβαση σε άλλους χρήστες και πληροφορίες ομάδας δεν επιτρέπεται πλέον.
Η πρόσβαση των επισκεπτών περιορίζεται σε ιδιότητες και συμμετοχές των δικών τους αντικειμένων καταλόγου είναι η πιο περιοριστική.
Οι επισκέπτες μπορούν να προσκαλούν
Οποιοσδήποτε στην οργάνωση μπορεί να προσκαλέσει επισκέπτες, συμπεριλαμβανομένων των επισκεπτών και μη διαχειριστών (η πιο περιεκτική) - Προεπιλογή
Οι χρήστες μέλη και οι χρήστες που έχουν ανατεθεί σε συγκεκριμένους ρόλους διαχειριστή μπορούν να προσκαλέσουν επισκέπτες, συμπεριλαμβανομένων των επισκεπτών με άδειες μέλους
Μόνο οι χρήστες που έχουν ανατεθεί σε συγκεκριμένους ρόλους διαχειριστή μπορούν να προσκαλέσουν επισκέπτες
Κανείς στην οργάνωση δεν μπορεί να προσκαλέσει επισκέπτες, συμπεριλαμβανομένων των διαχειριστών (η πιο περιοριστική)
Εξωτερικοί χρήστες μπορούν να αποχωρήσουν: Προεπιλεγμένο Αληθές
Επιτρέψτε στους εξωτερικούς χρήστες να αποχωρήσουν από την οργάνωση
Ακόμα και αν περιορίζονται από προεπιλογή, οι χρήστες (μέλη και επισκέπτες) με παραχωρημένα δικαιώματα θα μπορούσαν να εκτελέσουν τις προηγούμενες ενέργειες.
Υπάρχουν 2 τύποι ομάδων:
Ασφάλειας: Αυτός ο τύπος ομάδας χρησιμοποιείται για να δώσει πρόσβαση στα μέλη σε εφαρμογές, πόρους και να αναθέσει άδειες. Χρήστες, συσκευές, υπηρεσίες και άλλες ομάδες μπορούν να είναι μέλη.
Microsoft 365: Αυτός ο τύπος ομάδας χρησιμοποιείται για συνεργασία, δίνοντας στα μέλη πρόσβαση σε κοινόχρηστο ταχυδρομείο, ημερολόγιο, αρχεία, ιστότοπο SharePoint κ.λπ. Τα μέλη της ομάδας μπορούν να είναι μόνο χρήστες.
Αυτή θα έχει μια διεύθυνση email με το τομέα του ενοικιαστή EntraID.
Υπάρχουν 2 τύποι συμμετοχών:
Καθορισμένες: Επιτρέπουν την προσθήκη συγκεκριμένων μελών σε μια ομάδα χειροκίνητα.
Δυναμική συμμετοχή: Διαχειρίζεται αυτόματα τη συμμετοχή χρησιμοποιώντας κανόνες, ενημερώνοντας την ένταξη της ομάδας όταν αλλάζουν τα χαρακτηριστικά των μελών.
Ένας Service Principal είναι μια ταυτότητα που δημιουργείται για χρήση με εφαρμογές, φιλοξενούμενες υπηρεσίες και αυτοματοποιημένα εργαλεία για πρόσβαση σε πόρους Azure. Αυτή η πρόσβαση είναι περιορισμένη από τους ρόλους που έχουν ανατεθεί στον service principal, δίνοντάς σας έλεγχο σχετικά με ποιοι πόροι μπορούν να προσπελαστούν και σε ποιο επίπεδο. Για λόγους ασφαλείας, συνιστάται πάντα να χρησιμοποιείτε service principals με αυτοματοποιημένα εργαλεία αντί να τους επιτρέπετε να συνδέονται με μια ταυτότητα χρήστη.
Είναι δυνατόν να συνδεθείτε απευθείας ως service principal δημιουργώντας του ένα μυστικό (κωδικό πρόσβασης), ένα πιστοποιητικό ή παρέχοντας ομοσπονδιακή πρόσβαση σε τρίτες πλατφόρμες (π.χ. Github Actions) πάνω σε αυτό.
Εάν επιλέξετε αυθεντικοποίηση με κωδικό πρόσβασης (προεπιλογή), αποθηκεύστε τον κωδικό πρόσβασης που δημιουργήθηκε καθώς δεν θα μπορείτε να έχετε ξανά πρόσβαση σε αυτόν.
Εάν επιλέξετε αυθεντικοποίηση με πιστοποιητικό, βεβαιωθείτε ότι η εφαρμογή θα έχει πρόσβαση στο ιδιωτικό κλειδί.
Μια Εγγραφή Εφαρμογής είναι μια ρύθμιση που επιτρέπει σε μια εφαρμογή να ενσωματωθεί με το Entra ID και να εκτελεί ενέργειες.
Ταυτότητα Εφαρμογής (Client ID): Ένας μοναδικός αναγνωριστικός αριθμός για την εφαρμογή σας στο Azure AD.
Διευθύνσεις URL Ανακατεύθυνσης: Διευθύνσεις URL στις οποίες το Azure AD στέλνει τις απαντήσεις αυθεντικοποίησης.
Πιστοποιητικά, Μυστικά & Ομοσπονδιακά Διαπιστευτήρια: Είναι δυνατόν να δημιουργηθεί ένα μυστικό ή ένα πιστοποιητικό για να συνδεθείτε ως service principal της εφαρμογής ή να παραχωρήσετε ομοσπονδιακή πρόσβαση σε αυτήν (π.χ. Github Actions).
Εάν δημιουργηθεί ένα πιστοποιητικό ή μυστικό, είναι δυνατόν σε ένα άτομο να συνδεθεί ως service principal με εργαλεία CLI γνωρίζοντας την ταυτότητα εφαρμογής, το μυστικό ή το πιστοποιητικό και τον ενοικιαστή (τομέα ή ID).
Άδειες API: Προσδιορίζει ποιους πόρους ή APIs μπορεί να προσπελάσει η εφαρμογή.
Ρυθμίσεις Αυθεντικοποίησης: Ορίζει τις υποστηριζόμενες ροές αυθεντικοποίησης της εφαρμογής (π.χ., OAuth2, OpenID Connect).
Service Principal: Ένας service principal δημιουργείται όταν δημιουργείται μια εφαρμογή (εάν γίνει από την ιστοσελίδα) ή όταν εγκαθίσταται σε έναν νέο ενοικιαστή.
Ο service principal θα αποκτήσει όλες τις ζητούμενες άδειες με τις οποίες έχει ρυθμιστεί.
Συγκατάθεση χρηστών για εφαρμογές
Μην επιτρέπετε τη συγκατάθεση χρηστών
Ένας διαχειριστής θα απαιτείται για όλες τις εφαρμογές.
Επιτρέψτε τη συγκατάθεση χρηστών για εφαρμογές από επαληθευμένους εκδότες, για επιλεγμένες άδειες (Συνιστάται)
Όλοι οι χρήστες μπορούν να συναινέσουν για άδειες που ταξινομούνται ως "χαμηλής επίπτωσης", για εφαρμογές από επαληθευμένους εκδότες ή εφαρμογές που είναι εγγεγραμμένες σε αυτήν την οργάνωση.
Προεπιλεγμένες άδειες χαμηλής επίπτωσης (αν και πρέπει να αποδεχθείτε να τις προσθέσετε ως χαμηλές):
User.Read - είσοδος και ανάγνωση προφίλ χρήστη
offline_access - διατήρηση πρόσβασης σε δεδομένα στα οποία οι χρήστες έχουν δώσει πρόσβαση
openid - είσοδος χρηστών
profile - προβολή βασικού προφίλ χρήστη
email - προβολή διεύθυνσης email χρήστη
Επιτρέψτε τη συγκατάθεση χρηστών για εφαρμογές (Προεπιλογή)
Όλοι οι χρήστες μπορούν να συναινέσουν για οποιαδήποτε εφαρμογή να έχει πρόσβαση στα δεδομένα της οργάνωσης.
Αιτήματα συγκατάθεσης διαχειριστή: Προεπιλεγμένο Όχι
Οι χρήστες μπορούν να ζητήσουν συγκατάθεση διαχειριστή για εφαρμογές στις οποίες δεν μπορούν να συναινέσουν
Εάν Ναι: Είναι δυνατόν να υποδείξετε Χρήστες, Ομάδες και Ρόλους που μπορούν να συναινέσουν σε αιτήματα
Ρυθμίστε επίσης αν οι χρήστες θα λαμβάνουν ειδοποιήσεις μέσω email και υπενθυμίσεις λήξης
Οι διαχειριζόμενες ταυτότητες στο Azure Active Directory προσφέρουν μια λύση για αυτόματη διαχείριση της ταυτότητας των εφαρμογών. Αυτές οι ταυτότητες χρησιμοποιούνται από τις εφαρμογές για τον σκοπό της σύνδεσης σε πόρους συμβατούς με την αυθεντικοποίηση Azure Active Directory (Azure AD). Αυτό επιτρέπει την αφαίρεση της ανάγκης σκληρής κωδικοποίησης διαπιστευτηρίων νέφους στον κώδικα καθώς η εφαρμογή θα είναι σε θέση να επικοινωνήσει με την υπηρεσία μεταδεδομένων για να αποκτήσει ένα έγκυρο διακριτικό για να εκτελεί ενέργειες ως η υποδεικνυόμενη διαχειριζόμενη ταυτότητα στο Azure.
Υπάρχουν δύο τύποι διαχειριζόμενων ταυτοτήτων:
Αυτοματοποιημένες. Ορισμένες υπηρεσίες Azure σας επιτρέπουν να ενεργοποιήσετε μια διαχειριζόμενη ταυτότητα απευθείας σε μια υπηρεσία. Όταν ενεργοποιείτε μια αυτοματοποιημένη διαχειριζόμενη ταυτότητα, δημιουργείται ένας service principal στον ενοικιαστή Entra ID που εμπιστεύεται τη συνδρομή όπου βρίσκεται ο πόρος. Όταν ο πόρος διαγραφεί, το Azure αυτόματα διαγράφει την ταυτότητα για εσάς.
Χρήστη-καθορισμένες. Είναι επίσης δυνατό για τους χρήστες να δημιουργούν διαχειριζόμενες ταυτότητες. Αυτές δημιουργούνται μέσα σε μια ομάδα πόρων σε μια συνδρομή και θα δημιουργηθεί ένας service principal στον EntraID που εμπιστεύεται τη συνδρομή. Στη συνέχεια, μπορείτε να αναθέσετε τη διαχειριζόμενη ταυτότητα σε μία ή περισσότερες περιπτώσεις μιας υπηρεσίας Azure (πολλοί πόροι). Για τις διαχειριζόμενες ταυτότητες που καθορίζονται από τον χρήστη, η ταυτότητα διαχειρίζεται ξεχωριστά από τους πόρους που τη χρησιμοποιούν.
Οι Διαχειριζόμενες Ταυτότητες δεν δημιουργούν αιώνια διαπιστευτήρια (όπως κωδικούς πρόσβασης ή πιστοποιητικά) για πρόσβαση ως ο service principal που συνδέεται με αυτήν.
Είναι απλώς ένας πίνακας στο Azure για φιλτράρισμα service principals και έλεγχο των εφαρμογών που έχουν ανατεθεί σε αυτούς.
Δεν είναι ένας άλλος τύπος “εφαρμογής”, δεν υπάρχει κανένα αντικείμενο στο Azure που να είναι “Επιχειρησιακή Εφαρμογή”, είναι απλώς μια αφαίρεση για να ελέγξετε τους Service principals, τις Εγγραφές Εφαρμογών και τις διαχειριζόμενες ταυτότητες.
Οι διοικητικές μονάδες επιτρέπουν να δώσουν άδειες από έναν ρόλο σε μια συγκεκριμένη περιοχή μιας οργάνωσης.
Παράδειγμα:
Σενάριο: Μια εταιρεία θέλει οι περιφερειακοί διαχειριστές IT να διαχειρίζονται μόνο τους χρήστες στην περιοχή τους.
Υλοποίηση:
Δημιουργήστε Διοικητικές Μονάδες για κάθε περιοχή (π.χ., "Βόρεια Αμερική AU", "Ευρώπη AU").
Συμπληρώστε τις Διοικητικές Μονάδες με χρήστες από τις αντίστοιχες περιοχές τους.
Οι Διοικητικές Μονάδες μπορούν να περιέχουν χρήστες, ομάδες ή συσκευές
Οι Διοικητικές Μονάδες υποστηρίζουν δυναμικές συμμετοχές
Οι Διοικητικές Μονάδες δεν μπορούν να περιέχουν Διοικητικές Μονάδες
Αναθέστε Ρόλους Διαχειριστή:
Δώστε τον ρόλο "Διαχειριστής Χρηστών" στο περιφερειακό προσωπικό IT, περιορισμένο στην AU της περιοχής τους.
Αποτέλεσμα: Οι περιφερειακοί διαχειριστές IT μπορούν να διαχειρίζονται λογαριασμούς χρηστών εντός της περιοχής τους χωρίς να επηρεάζουν άλλες περιοχές.
Για να διαχειριστείτε το Entra ID υπάρχουν μερικοί ενσωματωμένοι ρόλοι που μπορούν να ανατεθούν σε principals Entra ID για να διαχειριστούν το Entra ID
Ελέγξτε τους ρόλους στο https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/permissions-reference
Ο πιο προνομιούχος ρόλος είναι ο Παγκόσμιος Διαχειριστής
Στην περιγραφή του ρόλου είναι δυνατόν να δείτε τις λεπτομερείς άδειές του
Ρόλοι είναι ανατεθειμένοι σε principals σε ένα πεδίο: principal -[HAS ROLE]->(scope)
Ρόλοι που ανατίθενται σε ομάδες κληρονομούνται από όλα τα μέλη της ομάδας.
Ανάλογα με το πεδίο στο οποίο ανατέθηκε ο ρόλος, ο ρόλος μπορεί να κληρονομηθεί σε άλλους πόρους μέσα στο δοχείο πεδίου. Για παράδειγμα, εάν ένας χρήστης A έχει έναν ρόλο στη συνδρομή, θα έχει αυτόν τον ρόλο σε όλες τις ομάδες πόρων μέσα στη συνδρομή και σε όλους τους πόρους μέσα στην ομάδα πόρων.
Ιδιοκτήτης
Πλήρης πρόσβαση σε όλους τους πόρους
Μπορεί να διαχειρίζεται την πρόσβαση για άλλους χρήστες
Όλοι οι τύποι πόρων
Συνεργάτης
Πλήρης πρόσβαση σε όλους τους πόρους
Δεν μπορεί να διαχειρίζεται την πρόσβαση
Όλοι οι τύποι πόρων
Αναγνώστης
• Προβολή όλων των πόρων
Όλοι οι τύποι πόρων
Διαχειριστής Πρόσβασης Χρηστών
Προβολή όλων των πόρων
Μπορεί να διαχειρίζεται την πρόσβαση για άλλους χρήστες
Όλοι οι τύποι πόρων
Από τα έγγραφα: Ο έλεγχος πρόσβασης βάσει ρόλων Azure (Azure RBAC) έχει αρκετούς ενσωματωμένους ρόλους Azure που μπορείτε να αναθέσετε σε χρήστες, ομάδες, service principals και διαχειριζόμενες ταυτότητες. Οι αναθέσεις ρόλων είναι ο τρόπος που ελέγχετε την πρόσβαση στους πόρους Azure. Εάν οι ενσωματωμένοι ρόλοι δεν καλύπτουν τις συγκεκριμένες ανάγκες της οργάνωσής σας, μπορείτε να δημιουργήσετε τους δικούς σας προσαρμοσμένους ρόλους Azure.
Οι Ενσωματωμένοι ρόλοι ισχύουν μόνο για τους πόρους για τους οποίους προορίζονται, για παράδειγμα ελέγξτε αυτά τα 2 παραδείγματα Ενσωματωμένων ρόλων πάνω σε Πόρους Υπολογισμού:
Παρέχει άδεια στο vault αντιγράφων ασφαλείας για να εκτελεί αντίγραφο δίσκου.
3e5e47e6-65f7-47ef-90b5-e5dd4d455f24
Προβολή Εικονικών Μηχανών στην πύλη και σύνδεση ως κανονικός χρήστης.
fb879df8-f326-4884-b1cf-06f3ad86be52
Αυτοί οι ρόλοι μπορούν επίσης να ανατεθούν πάνω σε λογικά δοχεία (όπως διαχειριστικές ομάδες, συνδρομές και ομάδες πόρων) και οι principals που επηρεάζονται θα τους έχουν πάνω στους πόρους μέσα σε αυτά τα δοχεία.
Βρείτε εδώ μια λίστα με όλους τους ενσωματωμένους ρόλους Azure.
Βρείτε εδώ μια λίστα με όλους τους ενσωματωμένους ρόλους Entra ID.
Είναι επίσης δυνατό να δημιουργήσετε προσαρμοσμένους ρόλους
Δημιουργούνται μέσα σε ένα πεδίο, αν και ένας ρόλος μπορεί να είναι σε αρκετά πεδία (διαχειριστικές ομάδες, συνδρομή και ομάδες πόρων)
Είναι δυνατόν να ρυθμίσετε όλες τις λεπτομερείς άδειες που θα έχει ο προσαρμοσμένος ρόλος
Είναι δυνατόν να εξαιρέσετε άδειες
Ένας principal με μια εξαιρεθείσα άδεια δεν θα μπορεί να τη χρησιμοποιήσει ακόμα και αν η άδεια παραχωρείται αλλού
Είναι δυνατόν να χρησιμοποιήσετε χαρακτήρες μπαλαντέρ
Η χρησιμοποιούμενη μορφή είναι JSON
actions είναι για τον έλεγχο ενεργειών πάνω στον πόρο
dataActions είναι άδειες πάνω στα δεδομένα εντός του αντικειμένου
Παράδειγμα άδειας JSON για έναν προσαρμοσμένο ρόλο:
Για να έχει ένας principal πρόσβαση σε έναν πόρο, χρειάζεται να του παραχωρηθεί ρητά ένας ρόλος (με οποιονδήποτε τρόπο) που του δίνει αυτή την άδεια.
Μια ρητή ανάθεση ρόλου άρνησης έχει προτεραιότητα σε σχέση με τον ρόλο που παραχωρεί την άδεια.
Ο Global Administrator είναι ένας ρόλος από το Entra ID που παραχωρεί πλήρη έλεγχο πάνω στον ενοικιαστή Entra ID. Ωστόσο, δεν παραχωρεί καμία άδεια πάνω στους πόρους Azure από προεπιλογή.
Οι χρήστες με τον ρόλο Global Administrator έχουν τη δυνατότητα να 'ανεβάσουν' σε ρόλο User Access Administrator Azure στην Κεντρική Διαχείριση. Έτσι, οι Global Administrators μπορούν να διαχειρίζονται την πρόσβαση σε όλες τις συνδρομές Azure και τις ομάδες διαχείρισης. Αυτή η αναβάθμιση μπορεί να γίνει στο τέλος της σελίδας: https://portal.azure.com/#view/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/~/Properties
Azure Policies είναι κανόνες που βοηθούν τους οργανισμούς να διασφαλίσουν ότι οι πόροι τους πληρούν συγκεκριμένα πρότυπα και απαιτήσεις συμμόρφωσης. Επιτρέπουν να επιβάλλετε ή να ελέγχετε ρυθμίσεις σε πόρους στο Azure. Για παράδειγμα, μπορείτε να αποτρέψετε τη δημιουργία εικονικών μηχανών σε μη εξουσιοδοτημένη περιοχή ή να διασφαλίσετε ότι όλοι οι πόροι έχουν συγκεκριμένες ετικέτες για παρακολούθηση.
Οι Azure Policies είναι προληπτικές: μπορούν να σταματήσουν τη δημιουργία ή την αλλαγή μη συμμορφούμενων πόρων. Είναι επίσης αντιδραστικές, επιτρέποντάς σας να βρείτε και να διορθώσετε υπάρχοντες μη συμμορφούμενους πόρους.
Policy Definition: Ένας κανόνας, γραμμένος σε JSON, που καθορίζει τι επιτρέπεται ή απαιτείται.
Policy Assignment: Η εφαρμογή μιας πολιτικής σε συγκεκριμένο πεδίο (π.χ., συνδρομή, ομάδα πόρων).
Initiatives: Μια συλλογή πολιτικών που ομαδοποιούνται για ευρύτερη επιβολή.
Effect: Καθορίζει τι συμβαίνει όταν ενεργοποιείται η πολιτική (π.χ., "Deny," "Audit," ή "Append").
Ορισμένα παραδείγματα:
Διασφάλιση Συμμόρφωσης με Συγκεκριμένες Περιοχές Azure: Αυτή η πολιτική διασφαλίζει ότι όλοι οι πόροι αναπτύσσονται σε συγκεκριμένες περιοχές Azure. Για παράδειγμα, μια εταιρεία μπορεί να θέλει να διασφαλίσει ότι όλα τα δεδομένα της αποθηκεύονται στην Ευρώπη για συμμόρφωση με το GDPR.
Επιβολή Προτύπων Ονοματοδοσίας: Οι πολιτικές μπορούν να επιβάλλουν συμβάσεις ονοματοδοσίας για τους πόρους Azure. Αυτό βοηθά στην οργάνωση και την εύκολη αναγνώριση των πόρων με βάση τα ονόματά τους, κάτι που είναι χρήσιμο σε μεγάλες περιβάλλοντα.
Περιορισμός Ορισμένων Τύπων Πόρων: Αυτή η πολιτική μπορεί να περιορίσει τη δημιουργία ορισμένων τύπων πόρων. Για παράδειγμα, μια πολιτική θα μπορούσε να ρυθμιστεί για να αποτρέψει τη δημιουργία ακριβών τύπων πόρων, όπως ορισμένα μεγέθη VM, για τον έλεγχο του κόστους.
Επιβολή Πολιτικών Ετικετών: Οι ετικέτες είναι ζεύγη κλειδιού-τιμής που σχετίζονται με τους πόρους Azure και χρησιμοποιούνται για τη διαχείριση πόρων. Οι πολιτικές μπορούν να επιβάλλουν ότι ορισμένες ετικέτες πρέπει να είναι παρούσες ή να έχουν συγκεκριμένες τιμές για όλους τους πόρους. Αυτό είναι χρήσιμο για την παρακολούθηση κόστους, την ιδιοκτησία ή την κατηγοριοποίηση πόρων.
Περιορισμός Δημόσιας Πρόσβασης σε Πόρους: Οι πολιτικές μπορούν να επιβάλλουν ότι ορισμένοι πόροι, όπως οι λογαριασμοί αποθήκευσης ή οι βάσεις δεδομένων, δεν έχουν δημόσιες τελικές σημεία, διασφαλίζοντας ότι είναι προσβάσιμοι μόνο εντός του δικτύου του οργανισμού.
Αυτόματη Εφαρμογή Ρυθμίσεων Ασφαλείας: Οι πολιτικές μπορούν να χρησιμοποιηθούν για την αυτόματη εφαρμογή ρυθμίσεων ασφαλείας σε πόρους, όπως η εφαρμογή μιας συγκεκριμένης ομάδας ασφαλείας δικτύου σε όλες τις VM ή η διασφάλιση ότι όλοι οι λογαριασμοί αποθήκευσης χρησιμοποιούν κρυπτογράφηση.
Σημειώστε ότι οι Azure Policies μπορούν να προσαρτηθούν σε οποιοδήποτε επίπεδο της ιεραρχίας Azure, αλλά χρησιμοποιούνται συνήθως στην κεντρική ομάδα διαχείρισης ή σε άλλες ομάδες διαχείρισης.
Azure policy json example:
Στο Azure τα δικαιώματα μπορούν να ανατεθούν σε οποιοδήποτε μέρος της ιεραρχίας. Αυτό περιλαμβάνει ομάδες διαχείρισης, συνδρομές, ομάδες πόρων και μεμονωμένους πόρους. Τα δικαιώματα κληρονομούνται από τους περιεχόμενους πόρους της οντότητας όπου ανατέθηκαν.
Αυτή η ιεραρχική δομή επιτρέπει την αποδοτική και κλιμακούμενη διαχείριση των δικαιωμάτων πρόσβασης.
RBAC (έλεγχος πρόσβασης βάσει ρόλου) είναι αυτό που έχουμε δει ήδη στις προηγούμενες ενότητες: Ανάθεση ενός ρόλου σε έναν κύριο για να του παραχωρηθεί πρόσβαση σε έναν πόρο. Ωστόσο, σε ορισμένες περιπτώσεις μπορεί να θέλετε να παρέχετε πιο λεπτομερή διαχείριση πρόσβασης ή να απλοποιήσετε τη διαχείριση εκατοντάδων αναθέσεων ρόλων.
Το Azure ABAC (έλεγχος πρόσβασης βάσει χαρακτηριστικών) βασίζεται στο Azure RBAC προσθέτοντας συνθήκες ανάθεσης ρόλου βάσει χαρακτηριστικών στο πλαίσιο συγκεκριμένων ενεργειών. Μια συνθήκη ανάθεσης ρόλου είναι μια επιπλέον επαλήθευση που μπορείτε προαιρετικά να προσθέσετε στην ανάθεση ρόλου σας για να παρέχετε πιο λεπτομερή έλεγχο πρόσβασης. Μια συνθήκη φιλτράρει τα δικαιώματα που παραχωρούνται ως μέρος του ορισμού ρόλου και της ανάθεσης ρόλου. Για παράδειγμα, μπορείτε να προσθέσετε μια συνθήκη που απαιτεί ένα αντικείμενο να έχει μια συγκεκριμένη ετικέτα για να διαβάσετε το αντικείμενο. Δεν μπορείτε να αρνηθείτε ρητά την πρόσβαση σε συγκεκριμένους πόρους χρησιμοποιώντας συνθήκες.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
