Az - Persistence

Illicit Consent Grant

Kwa default, mtumiaji yeyote anaweza kujiandikisha programu katika Azure AD. Hivyo unaweza kujiandikisha programu (tu kwa ajili ya mpangilio wa lengo) inayohitaji ruhusa zenye athari kubwa kwa idhini ya admin (na kuidhinisha ikiwa wewe ni admin) - kama kutuma barua kwa niaba ya mtumiaji, usimamizi wa majukumu n.k. Hii itaturuhusu kutekeleza mashambulizi ya phishing ambayo yatakuwa na faida kubwa endapo yatakuwa na mafanikio.

Zaidi ya hayo, unaweza pia kukubali programu hiyo kwa mtumiaji wako kama njia ya kudumisha ufikiaji juu yake.

Applications and Service Principals

Kwa ruhusa za Msimamizi wa Programu, GA au jukumu la kawaida lenye ruhusa microsoft.directory/applications/credentials/update, tunaweza kuongeza akreditivu (siri au cheti) kwa programu iliyopo.

Inawezekana kulenga programu yenye ruhusa kubwa au kuongeza programu mpya yenye ruhusa kubwa.

Jukumu la kuvutia kuongeza kwenye programu litakuwa jukumu la msimamizi wa uthibitishaji wenye ruhusa kwani linaruhusu kurekebisha nenosiri la Wasimamizi wa Kimataifa.

Teknolojia hii pia inaruhusu kuzidi MFA.

• Kwa uthibitisho wa msingi wa cheti

Federation - Token Signing Certificate

Kwa privileges za DA kwenye AD ya ndani, inawezekana kuunda na kuingiza vyeti vipya vya kusaini Token na vyeti vya Kufichua Token ambavyo vina muda mrefu wa uhalali. Hii itaturuhusu kuingia kama mtumiaji yeyote ambaye ImuutableID yake tunajua.

Kimbia amri iliyo hapa chini kama DA kwenye seva za ADFS kuunda vyeti vipya (nenosiri la default 'AADInternals'), viweke kwenye ADFS, zima auto rollver na anzisha huduma:

Kisha, sasisha taarifa za cheti na Azure AD:

Federation - Trusted Domain

Kwa kuwa na haki za GA kwenye mpangilio, inawezekana kuongeza kikoa kipya (lazima kiwe na uthibitisho), kuunda aina yake ya uthibitishaji kuwa ya Shirikisho na kuunda kikoa ili kuamini cheti maalum (any.sts katika amri iliyo hapa chini) na mtoaji:

References