Az - Basic Information

Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Angalia mpango wa usajili!
Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au fuata sisi kwenye Twitter 🐦 @hacktricks_live.
Shiriki mbinu za hacking kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.

Hierarchi ya Shirika

Makundi ya Usimamizi

Ikiwa shirika lako lina usajili mwingi wa Azure, unaweza kuhitaji njia ya kusimamia ufikiaji, sera, na ufuatiliaji wa ushirikiano kwa ajili ya usajili hizo. Makundi ya usimamizi yanatoa muktadha wa utawala juu ya usajili.

Kumbuka kuwa makundi 10,000 ya usimamizi yanaweza kuungwa mkono katika directory moja na mti wa kundi la usimamizi unaweza kuunga mkono hadi viwango sita vya kina.

Kutoka kwenye hati: Kila directory inapata kundi moja la juu la usimamizi linaloitwa mzizi wa kundi la usimamizi. Kundi la usimamizi la mzizi limejengwa ndani ya hierarchi ili kuwa na makundi yote ya usimamizi na usajili yanayojumuika kwake. Kundi hili la usimamizi la mzizi linaruhusu sera za kimataifa na ugawaji wa majukumu ya Azure kutumika katika kiwango cha directory. Azure AD Msimamizi wa Kimataifa anahitaji kujitenga kwa jumuia ya Usimamizi wa Ufikiaji wa Mtumiaji wa kundi hili la mzizi awali. Baada ya kujitenga, msimamizi anaweza kuteua jukumu lolote la Azure kwa watumiaji wengine wa directory au makundi ili kusimamia hierarchi. Kama msimamizi, unaweza kuteua akaunti yako mwenyewe kama mmiliki wa kundi la usimamizi la mzizi.

Kundi la usimamizi la mzizi halitaweza kuhamishwa au kufutwa, tofauti na makundi mengine ya usimamizi.

Makundi ya usimamizi yanakupa usimamizi wa kiwango cha biashara kwa kiwango chochote bila kujali aina ya usajili ulionao. Hata hivyo, usajili wote ndani ya kundi moja la usimamizi lazima uamini tenant moja ya Azure Active Directory (Azure AD).

Usajili wa Azure

Katika Azure, usajili hutumikia kama konteina ya mantiki kwa ajili ya kutoa rasilimali za biashara au kiufundi. Koteina hii inahifadhi maelezo ya rasilimali kama vile mashine za virtual (VMs), hifadhidata, miongoni mwa nyingine. Wakati wa kuunda rasilimali ya Azure, kama vile VM, usajili unaohusishwa nao unatajwa. Muundo huu unarahisisha ugawaji wa ufikiaji, ukitumia mitambo ya udhibiti wa ufikiaji kulingana na jukumu.

Makundi ya Rasilimali

Kutoka kwenye hati: Kundi la rasilimali ni konteina inayoshikilia rasilimali zinazohusiana kwa suluhisho la Azure. Kundi la rasilimali linaweza kujumuisha rasilimali zote za suluhisho, au zile tu rasilimali ambazo unataka kusimamia kama kundi. Kwa ujumla, ongeza rasilimali zinazoshiriki mzunguko sawa kwenye kundi moja la rasilimali ili uweze kupeleka, kuboresha, na kufuta kwa urahisi kama kundi.

Rasilimali zote **lazima ziwe ndani ya kundi la rasilimali na zinaweza kumilikiwa tu na kundi moja na ikiwa kundi la rasilimali litafutwa, rasilimali zote ndani yake pia zitafutwa.

Vitengo vya Utawala

Kutoka kwenye hati: Vitengo vya utawala vinakuruhusu kugawanya shirika lako katika kitengo chochote unachotaka, na kisha kuteua wasimamizi maalum wanaoweza kusimamia tu wanachama wa kitengo hicho. Kwa mfano, unaweza kutumia vitengo vya utawala kuhamasisha ruhusa kwa wasimamizi wa kila shule katika chuo kikuu kikubwa, ili waweze kudhibiti ufikiaji, kusimamia watumiaji, na kuweka sera tu katika Shule ya Uhandisi.

Ni watumiaji, makundi na vifaa pekee ndivyo vinaweza kuwa wanachama wa kitengo cha utawala.

Hivyo, Kitengo cha Utawala kitakuwa na baadhi ya wanachama na wengine wakuu watapewa ruhusa juu ya kitengo hicho cha utawala ambacho wanaweza kutumia ili kusimamia wanachama wa kitengo cha utawala.

Azure vs Azure AD vs Azure AD Domain Services

Ni muhimu kutambua kuwa Azure AD ni huduma ndani ya Azure. Azure ni jukwaa la wingu la Microsoft wakati Azure AD ni huduma ya utambulisho ya biashara katika Azure. Zaidi ya hayo, Azure AD si kama Windows Active Directory, ni huduma ya utambulisho inayofanya kazi kwa njia tofauti kabisa. Ikiwa unataka kuendesha Msimamizi wa Kikoa katika Azure kwa mazingira yako ya Windows Active Directory unahitaji kutumia Huduma za Kikoa za Azure AD.

Wakuu

Azure inasaidia aina tofauti za wakuu:

Mtumiaji: Mtu wa kawaida aliye na sifa za ufikiaji.
Kundi: Kundi la wakuu linalosimamiwa pamoja. Ruhusa zinazotolewa kwa makundi zinarithiwa na wanachama wake.
Mwakilishi wa Huduma/Programu za Biashara: Ni utambulisho ulioanzishwa kwa matumizi na programu, huduma zilizoandaliwa, na zana za kiotomatiki kufikia rasilimali za Azure. Ufikiaji huu unadhibitiwa na majukumu yaliyotolewa kwa mwakilishi wa huduma, na kukupa udhibiti juu ya rasilimali zipi zinaweza kufikiwa na kwa kiwango gani. Kwa sababu za usalama, kila wakati inashauriwa kutumia wakilishi wa huduma na zana za kiotomatiki badala ya kuwapa ruhusa kuingia kwa utambulisho wa mtumiaji.

Wakati wa kuunda mwakilishi wa huduma unaweza kuchagua kati ya uthibitishaji wa nenosiri au uthibitishaji wa cheti.

Ikiwa unachagua uthibitishaji wa nenosiri (kwa default), hifadhi nenosiri lililotengenezwa kwani huwezi kulifikia tena.
Ikiwa unachagua uthibitishaji wa cheti, hakikisha programu itakuwa na ufikiaji wa funguo za faragha.
Utambulisho wa Kusimamiwa (Metadata Creds): Utambulisho wa kusimamiwa katika Azure Active Directory unatoa suluhisho la kusimamia kiotomatiki utambulisho wa programu. Utambulisho huu unatumika na programu kwa ajili ya kuungana na rasilimali zinazofaa na uthibitishaji wa Azure Active Directory (Azure AD). Kwa kutumia utambulisho wa kusimamiwa, programu zinaweza kulinda token za Azure AD huku zikiondoa haja ya kushughulikia sifa moja kwa moja. Kuna aina mbili za utambulisho wa kusimamiwa:
Iliyotolewa na mfumo. Huduma zingine za Azure zinakuruhusu kuwezesha utambulisho wa kusimamiwa moja kwa moja kwenye mfano wa huduma. Unapowezesha utambulisho wa kusimamiwa uliopewa mfumo, utambulisho unaundwa katika Azure AD. Utambulisho huu umeunganishwa na mzunguko wa maisha wa mfano wa huduma hiyo. Wakati rasilimali inafutwa, Azure kiotomatiki inafuta utambulisho kwa ajili yako. Kwa muundo, ni rasilimali hiyo ya Azure pekee inayoweza kutumia utambulisho huu kuomba token kutoka Azure AD.
Iliyotolewa na mtumiaji. Unaweza pia kuunda utambulisho wa kusimamiwa kama rasilimali huru ya Azure. Unaweza kuunda utambulisho wa kusimamiwa wa mtumiaji na kupewa kwa mfano mmoja au zaidi ya huduma ya Azure (rasilimali nyingi). Kwa utambulisho wa kusimamiwa wa mtumiaji, utambulisho unasimamiwa tofauti na rasilimali zinazoutumia.

Majukumu na Ruhusa

Majukumu yanapewa wakuu kwenye muktadha: principal -[HAS ROLE]->(scope)

Majukumu yaliyotolewa kwa makundi yanarithiwa na wanachama wote wa kundi hilo.

Kulingana na muktadha ambao jukumu lilitolewa, jukumu linaweza kurithiwa kwa rasilimali nyingine ndani ya konteina ya muktadha. Kwa mfano, ikiwa mtumiaji A ana jukumu kwenye usajili, atakuwa na jukumu hilo kwenye makundi yote ya rasilimali ndani ya usajili na kwenye rasilimali zote ndani ya kundi la rasilimali.

Majukumu ya Kawaida

Mmiliki

Ufikiaji kamili kwa rasilimali zote
Anaweza kusimamia ufikiaji kwa watumiaji wengine

Aina zote za rasilimali

Mchangiaji

Ufikiaji kamili kwa rasilimali zote
Haiwezi kusimamia ufikiaji

Aina zote za rasilimali

Msomaji

• Tazama rasilimali zote

Aina zote za rasilimali

Msimamizi wa Ufikiaji wa Mtumiaji

Tazama rasilimali zote
Anaweza kusimamia ufikiaji kwa watumiaji wengine

Aina zote za rasilimali

Majukumu Yaliyojengwa Ndani

Kutoka kwenye hati: Udhibiti wa ufikiaji wa Azure kulingana na jukumu (Azure RBAC) una majukumu kadhaa ya Azure yaliyojengwa ndani ambayo unaweza kuyateua kwa watumiaji, makundi, wakilishi wa huduma, na utambulisho wa kusimamiwa. Ugawaji wa majukumu ndiyo njia unayodhibiti ufikiaji wa rasilimali za Azure. Ikiwa majukumu yaliyojengwa ndani hayakidhi mahitaji maalum ya shirika lako, unaweza kuunda majukumu ya kawaida ya Azure.

Majukumu Yaliyojengwa Ndani yanatumika tu kwa rasilimali ambazo zimekusudiwa, kwa mfano angalia mifano hii 2 ya Majukumu Yaliyojengwa Ndani juu ya rasilimali za Compute:

Msomaji wa Nakala ya Disk

Inatoa ruhusa kwa vault ya backup kufanya nakala ya disk.

3e5e47e6-65f7-47ef-90b5-e5dd4d455f24

Mtumiaji wa Kuingia kwenye Mashine ya Virtual

Tazama Mashine za Virtual kwenye portal na kuingia kama mtumiaji wa kawaida.

fb879df8-f326-4884-b1cf-06f3ad86be52

Majukumu haya yanaweza pia kutolewa juu ya konteina za mantiki (kama vile makundi ya usimamizi, usajili na makundi ya rasilimali) na wakuu walioathiriwa watakuwa nayo juu ya rasilimali ndani ya hizo konteina.

Pata hapa orodha ya majukumu yote ya Azure yaliyojengwa ndani.
Pata hapa orodha ya majukumu yote ya Azure AD yaliyojengwa ndani.

Majukumu ya Kawaida

Azure pia inaruhusu kuunda majukumu ya kawaida yenye ruhusa ambazo mtumiaji anahitaji.

Ruhusa Zimekataliwa

Ili mkuu kuwa na ufikiaji juu ya rasilimali anahitaji jukumu wazi kutolewa kwake (kwa namna yoyote) kumruhusu hiyo ruhusa.
Ugawaji wa jukumu la kukataa wazi unachukua kipaumbele juu ya jukumu linalotoa ruhusa.

Msimamizi wa Kimataifa

Watumiaji wenye jukumu la Msimamizi wa Kimataifa wana uwezo wa 'kujiinua' kuwa Msimamizi wa Ufikiaji wa Mtumiaji wa Azure kwa kundi la usimamizi la mzizi. Hii inamaanisha kwamba Msimamizi wa Kimataifa ataweza kusimamia ufikiaji wa usajili wote wa Azure na makundi ya usimamizi. Kujitenga huku kunaweza kufanywa mwishoni mwa ukurasa: https://portal.azure.com/#view/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/~/Properties

Sera za Azure

Sera za Azure ni seti ya kanuni na taratibu katika Microsoft Azure, huduma ya kompyuta ya wingu, inayosaidia kusimamia na kutekeleza viwango vya shirika na kutathmini ufuatiliaji kwa kiwango. Sera hizi zinaweka sheria tofauti juu ya rasilimali zako za Azure, kuhakikisha kwamba rasilimali hizo zinabaki kufuata viwango vya kampuni na makubaliano ya kiwango cha huduma.

Sera za Azure ni muhimu kwa utawala wa wingu na usalama, kusaidia kuhakikisha kwamba rasilimali zinatumika ipasavyo na kwa ufanisi, na kwamba zinatii kanuni za nje na sera za ndani. Mfano kadhaa:

Kuhakikisha Ufuatiliaji na Mikoa Maalum ya Azure: Sera hii inahakikisha kwamba rasilimali zote zinapelekwa katika mikoa maalum ya Azure. Kwa mfano, kampuni inaweza kutaka kuhakikisha kwamba data yake yote inahifadhiwa barani Ulaya kwa ajili ya ufuatiliaji wa GDPR.
Kutekeleza Viwango vya Ujumuishaji: Sera zinaweza kutekeleza kanuni za ujumuishaji kwa rasilimali za Azure. Hii inasaidia katika kuandaa na kutambua kwa urahisi rasilimali kulingana na majina yao, ambayo ni muhimu katika mazingira makubwa.
Kukataza Aina Fulani za Rasilimali: Sera hii inaweza kukataza uundaji wa aina fulani za rasilimali. Kwa mfano, sera inaweza kuwekwa kuzuia uundaji wa aina za rasilimali ghali, kama vile ukubwa fulani wa VM, ili kudhibiti gharama.
Kutekeleza Sera za Uwekaji Alama: Alama ni jozi za funguo-thamani zinazohusishwa na rasilimali za Azure zinazotumika kwa usimamizi wa rasilimali. Sera zinaweza kutekeleza kwamba alama fulani lazima ziwepo, au kuwa na thamani maalum, kwa rasilimali zote. Hii ni muhimu kwa ufuatiliaji wa gharama, umiliki, au uainishaji wa rasilimali.
Kukataza Ufikiaji wa Umma kwa Rasilimali: Sera zinaweza kutekeleza kwamba rasilimali fulani, kama vile akaunti za hifadhi au hifadhidata, hazina mwisho wa umma, kuhakikisha kwamba zinapatikana tu ndani ya mtandao wa shirika.
Kutekeleza Mipangilio ya Usalama Kiotomatiki: Sera zinaweza kutumika kutekeleza mipangilio ya usalama kiotomatiki kwa rasilimali, kama vile kuweka kundi maalum la usalama wa mtandao kwa VMs zote au kuhakikisha kwamba akaunti zote za hifadhi zinatumia usimbaji.

Kumbuka kuwa Sera za Azure zinaweza kuunganishwa kwenye kiwango chochote cha hierarchi ya Azure, lakini mara nyingi hutumiwa katika kundi la usimamizi la mzizi au katika makundi mengine ya usimamizi.

Muktadha wa Ruhusa

Katika Azure ruhusa zinaweza kutolewa kwa sehemu yoyote ya hierarchi. Hii inajumuisha makundi ya usimamizi, usajili, makundi ya rasilimali, na rasilimali binafsi. Ruhusa zinarithiwa na rasilimali zilizomo ndani ya chombo ambacho zilitolewa.

Muundo huu wa hierarchi unaruhusu usimamizi wa ufikiaji wa ruhusa kwa ufanisi na kwa kiwango.

Azure RBAC vs ABAC

RBAC (udhibiti wa ufikiaji kulingana na jukumu) ni kile tulichokiona tayari katika sehemu zilizopita: Kutoa jukumu kwa mkuu ili kumruhusu ufikiaji juu ya rasilimali. Hata hivyo, katika baadhi ya matukio unaweza kutaka kutoa usimamizi wa ufikiaji wa kina zaidi au rahisisha usimamizi wa mamia ya ugawaji wa majukumu.

Azure ABAC (udhibiti wa ufikiaji kulingana na sifa) inajengwa juu ya Azure RBAC kwa kuongeza masharti ya ugawaji wa jukumu kulingana na sifa katika muktadha wa vitendo maalum. Masharti ya ugawaji wa jukumu ni ukaguzi wa ziada ambao unaweza kuongeza kwa hiari kwenye ugawaji wako wa jukumu ili kutoa udhibiti wa ufikiaji wa kina zaidi. Masharti yanachuja ruhusa zinazotolewa kama sehemu ya ufafanuzi wa jukumu na ugawaji wa jukumu. Kwa mfano, unaweza kuongeza sharti linalohitaji kitu kuwa na alama maalum ili kusoma kitu hicho. Huwezi kukataa ufikiaji kwa rasilimali maalum ukitumia masharti.

Ruhusa za Mtumiaji za Kawaida

Mtumiaji wa msingi atakuwa na baadhi ya ruhusa za kawaida za kuorodhesha baadhi ya sehemu za AzureAD:

Soma watumiaji wote, Makundi, Programu, Vifaa, Majukumu, Usajili, na mali zao za umma
Karibisha Wageni (inaweza kuzuiwa)
Unda Makundi ya Usalama
Soma uanachama wa Kundi usiofichwa
Ongeza wageni kwenye makundi yaliyomilikiwa
Unda programu mpya (inaweza kuzuiwa)
Ongeza hadi vifaa 50 kwenye Azure (inaweza kuzuiwa)

Unaweza kuona orodha kamili ya ruhusa za kawaida za watumiaji kwenye hati. Zaidi ya hayo, kumbuka kuwa katika orodha hiyo unaweza pia kuona orodha ya ruhusa za kawaida za wageni.

Kumbuka kwamba ili kuorodhesha rasilimali za Azure mtumiaji anahitaji ruhusa wazi ya ufikiaji.

Usimamizi wa Utambulisho wa Kipekee (PIM)

Usimamizi wa Utambulisho wa Kipekee (PIM) katika Azure ni zana inayosimamia, kudhibiti, na kufuatilia ufikiaji wa kipekee katika Azure Active Directory na Azure. Inaboresha usalama kwa kutoa ufikiaji wa kipekee wa muda na wa muda mfupi, kuweka taratibu za idhini, na kuhitaji uthibitishaji wa ziada. Njia hii inapunguza hatari ya ufikiaji usioidhinishwa kwa kuhakikisha kwamba ruhusa zilizoinuliwa zinatolewa tu wakati inahitajika na kwa muda maalum.

Token za Uthibitishaji

Kuna aina tatu za token zinazotumika katika OIDC:

Token za Ufikiaji: Mteja anawasilisha token hii kwa seva ya rasilimali ili kufikia rasilimali. Inaweza kutumika tu kwa mchanganyiko maalum wa mtumiaji, mteja, na rasilimali na haiwezi kufutwa hadi ipite muda - ambayo ni saa 1 kwa default. Ugunduzi ni mdogo kwa kutumia hii.
Token za ID: Mteja anapata token hii kutoka kwa seva ya idhini. Inajumuisha maelezo ya msingi kuhusu mtumiaji. Inahusishwa na mchanganyiko maalum wa mtumiaji na mteja.
Token za Kurefresh: Zinapatikana kwa mteja pamoja na token ya ufikiaji. Zinatumika kupata token mpya za ufikiaji na ID. Inahusishwa na mchanganyiko maalum wa mtumiaji na mteja na inaweza kufutwa. Muda wa kawaida wa kuisha ni siku 90 kwa token za kurefresh zisizofanya kazi na hakuna muda wa kuisha kwa token za kazi.

Taarifa za ufikiaji wa masharti zimehifadhiwa ndani ya JWT. Hivyo, ikiwa unahitaji token kutoka anwani ya IP iliyoidhinishwa, hiyo IP itahifadhiwa kwenye token na kisha unaweza kutumia token hiyo kutoka IP isiyoidhinishwa ili kufikia rasilimali.

Angalia ukurasa ufuatao kujifunza njia tofauti za kuomba token za ufikiaji na kuingia nazo:

Az - AzureAD (AAD)

Mikondo ya API inayotumika zaidi ni:

Msimamizi wa Rasilimali za Azure (ARM): management.azure.com
Microsoft Graph: graph.microsoft.com (Azure AD Graph ambayo imeondolewa ni graph.windows.net)

Marejeleo

Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Angalia mpango wa usajili!
Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au fuata sisi kwenye Twitter 🐦 @hacktricks_live.
Shiriki mbinu za hacking kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.

PreviousAzure Pentesting NextAz - Unauthenticated Enum & Initial Entry

Last updated 1 month ago