Last updated
Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Вона може містити інші групи управління або підписки.
Це дозволяє застосовувати контроль управління такі як RBAC та Azure Policy один раз на рівні групи управління і мати їх успадкованими всіма підписками в групі.
10,000 груп управління можуть підтримуватися в одному каталозі.
Дерево груп управління може підтримувати до шести рівнів глибини. Це обмеження не включає кореневий рівень або рівень підписки.
Кожна група управління та підписка можуть підтримувати тільки одного батька.
Навіть якщо кілька груп управління можуть бути створені, існує лише 1 коренева група управління.
Коренева група управління містить всі інші групи управління та підписки і не може бути переміщена або видалена.
Всі підписки в межах однієї групи управління повинні довіряти одному й тому ж орендарю Entra ID.
Це ще один логічний контейнер, де можуть бути запущені ресурси (ВМ, БД…) і за які буде виставлено рахунок.
Його батьком завжди є група управління (і це може бути коренева група управління), оскільки підписки не можуть містити інші підписки.
Він довіряє лише одному каталогу Entra ID
Дозволи, застосовані на рівні підписки (або будь-якого з її батьків), успадковуються всіма ресурсами всередині підписки
З документації: Група ресурсів - це контейнер, який містить пов'язані ресурси для рішення Azure. Група ресурсів може включати всі ресурси для рішення або лише ті ресурси, які ви хочете керувати як групою. Загалом, додавайте ресурси, які мають один життєвий цикл, до однієї групи ресурсів, щоб ви могли легко розгортати, оновлювати та видаляти їх як групу.
Всі ресурси повинні бути всередині групи ресурсів і можуть належати лише до однієї групи, і якщо група ресурсів видаляється, всі ресурси всередині неї також видаляються.
Кожен ресурс в Azure має ідентифікатор ресурсу Azure, який його ідентифікує.
Формат ідентифікатора ресурсу Azure виглядає так:
/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}
Для віртуальної машини з назвою myVM у групі ресурсів myResourceGroup під підпискою ID 12345678-1234-1234-1234-123456789012, ідентифікатор ресурсу Azure виглядає так:
/subscriptions/12345678-1234-1234-1234-123456789012/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM
Azure - це всебічна хмарна обчислювальна платформа Microsoft, яка пропонує широкий спектр послуг, включаючи віртуальні машини, бази даних, штучний інтелект та зберігання. Вона слугує основою для хостингу та управління додатками, створення масштабованих інфраструктур і виконання сучасних навантажень у хмарі. Azure надає інструменти для розробників та ІТ-фахівців для створення, розгортання та управління додатками та послугами безперешкодно, задовольняючи різноманітні потреби від стартапів до великих підприємств.
Entra ID - це хмарна служба управління ідентифікацією та доступом, призначена для обробки аутентифікації, авторизації та контролю доступу користувачів. Вона забезпечує безпечний доступ до служб Microsoft, таких як Office 365, Azure та багатьох сторонніх SaaS-додатків. З функціями, такими як єдине входження (SSO), багатофакторна аутентифікація (MFA) та умовні політики доступу серед інших.
Послуги домену Entra розширюють можливості Entra ID, пропонуючи керовані доменні послуги, сумісні з традиційними середовищами Windows Active Directory. Вони підтримують застарілі протоколи, такі як LDAP, Kerberos та NTLM, що дозволяє організаціям мігрувати або запускати старі додатки в хмарі без розгортання локальних контролерів домену. Ця служба також підтримує групову політику для централізованого управління, що робить її придатною для сценаріїв, де застарілі або на основі AD навантаження повинні співіснувати з сучасними хмарними середовищами.
Нові користувачі
Вказати ім'я електронної пошти та домен з вибраного орендаря
Вказати відображуване ім'я
Вказати пароль
Вказати властивості (ім'я, посада, контактна інформація…)
Тип користувача за замовчуванням - “член”
Зовнішні користувачі
Вказати електронну пошту для запрошення та відображуване ім'я (може бути електронна пошта не від Microsoft)
Вказати властивості
Тип користувача за замовчуванням - “Гість”
Ви можете перевірити їх у https://learn.microsoft.com/en-us/entra/fundamentals/users-default-permissions, але серед інших дій член зможе:
Читати всіх користувачів, групи, додатки, пристрої, ролі, підписки та їх публічні властивості
Запрошувати гостей (може бути вимкнено)
Створювати групи безпеки
Читати неприховані членства груп
Додавати гостей до власних груп
Створювати нові додатки (може бути вимкнено)
Додавати до 50 пристроїв до Azure (може бути вимкнено)
Пам'ятайте, що для перерахунку ресурсів Azure користувачеві потрібен явний дозвіл.
Члени (документи)
Реєстрація додатків: за замовчуванням Так
Обмежити неадміністративним користувачам створення орендарів: за замовчуванням Ні
Створення груп безпеки: за замовчуванням Так
Обмежити доступ до порталу адміністрування Microsoft Entra: за замовчуванням Ні
Це не обмежує доступ API до порталу (тільки веб)
Дозволити користувачам підключати робочий або шкільний обліковий запис до LinkedIn: за замовчуванням Так
Показати, щоб користувач залишався підписаним: за замовчуванням Так
Обмежити користувачів від відновлення ключа BitLocker для їхніх власних пристроїв: за замовчуванням Ні (перевірте в налаштуваннях пристрою)
Читати інших користувачів: за замовчуванням Так (через Microsoft Graph)
Гості
Обмеження доступу для користувачів-гостей
Користувачі-гості мають такий же доступ, як і члени, за замовчуванням надає всі дозволи користувачів-членів користувачам-гостям.
Користувачі-гості мають обмежений доступ до властивостей та членств об'єктів каталогу (за замовчуванням) обмежує доступ гостей лише до їхнього власного профілю користувача за замовчуванням. Доступ до інформації про інших користувачів та групи більше не дозволяється.
Доступ користувачів-гостей обмежений до властивостей та членств їхніх власних об'єктів каталогу є найобмежувальнішим.
Гості можуть запрошувати
Будь-хто в організації може запрошувати користувачів-гостей, включаючи гостей та неадміністраторів (найбільш інклюзивно) - За замовчуванням
Користувачі-члени та користувачі, призначені на конкретні адміністративні ролі, можуть запрошувати користувачів-гостей, включаючи гостей з правами членів
Тільки користувачі, призначені на конкретні адміністративні ролі, можуть запрошувати користувачів-гостей
Ніхто в організації не може запрошувати користувачів-гостей, включаючи адміністраторів (найбільш обмежувально)
Зовнішні користувачі можуть залишити: за замовчуванням Правда
Дозволити зовнішнім користувачам залишити організацію
Навіть якщо за замовчуванням обмежено, користувачі (члени та гості) з наданими дозволами можуть виконувати попередні дії.
Є 2 типи груп:
Безпекова: Цей тип групи використовується для надання членам доступу до додатків, ресурсів та призначення ліцензій. Користувачі, пристрої, службові принципали та інші групи можуть бути членами.
Microsoft 365: Цей тип групи використовується для співпраці, надаючи членам доступ до спільної поштової скриньки, календаря, файлів, сайту SharePoint тощо. Членами групи можуть бути лише користувачі.
Це матиме електронну адресу з доменом орендаря EntraID.
Є 2 типи членства:
Призначене: Дозволяє вручну додавати конкретних членів до групи.
Динамічне членство: Автоматично керує членством за допомогою правил, оновлюючи включення групи, коли змінюються атрибути членів.
Службовий принципал - це ідентифікація, створена для використання з додатками, хостинговими службами та автоматизованими інструментами для доступу до ресурсів Azure. Цей доступ обмежений ролями, призначеними службовому принципалу, що дає вам контроль над тим, які ресурси можуть бути доступні і на якому рівні. З міркувань безпеки завжди рекомендується використовувати службові принципали з автоматизованими інструментами, а не дозволяти їм входити з ідентифікацією користувача.
Можливо безпосередньо увійти як службовий принципал, створивши для нього секрет (пароль), сертифікат або надавши федеративний доступ до сторонніх платформ (наприклад, Github Actions).
Якщо ви виберете автентифікацію за паролем (за замовчуванням), збережіть згенерований пароль, оскільки ви не зможете отримати до нього доступ знову.
Якщо ви виберете автентифікацію за сертифікатом, переконайтеся, що додаток матиме доступ до приватного ключа.
Реєстрація додатка - це конфігурація, яка дозволяє додатку інтегруватися з Entra ID та виконувати дії.
Ідентифікатор додатка (Client ID): Унікальний ідентифікатор для вашого додатку в Azure AD.
URI перенаправлення: URL-адреси, куди Azure AD надсилає відповіді на аутентифікацію.
Сертифікати, секрети та федеративні облікові дані: Можливо згенерувати секрет або сертифікат для входу як службовий принципал додатку або надати федеративний доступ до нього (наприклад, Github Actions).
Якщо сертифікат або секрет згенеровано, особа може увійти як службовий принципал за допомогою CLI-інструментів, знаючи ідентифікатор додатка, секрет або сертифікат та орендар (домен або ID).
API Дозволи: Визначає, до яких ресурсів або API додаток може отримати доступ.
Налаштування аутентифікації: Визначає підтримувані потоки аутентифікації додатку (наприклад, OAuth2, OpenID Connect).
Службовий принципал: Службовий принципал створюється, коли створюється додаток (якщо це робиться з веб-консолі) або коли він встановлюється в новому орендарі.
Службовий принципал отримає всі запитувані дозволи, з якими він був налаштований.
Згода користувачів на додатки
Не дозволяти згоду користувачів
Адміністратор буде потрібен для всіх додатків.
Дозволити згоду користувачів на додатки від перевірених видавців, для вибраних дозволів (рекомендується)
Усі користувачі можуть дати згоду на дозволи, класифіковані як "низький вплив", для додатків від перевірених видавців або додатків, зареєстрованих в цій організації.
Стандартні дозволи низького впливу (хоча вам потрібно прийняти, щоб додати їх як низькі):
User.Read - увійти та прочитати профіль користувача
offline_access - підтримувати доступ до даних, до яких користувачі надали доступ
openid - входити користувачів
profile - переглядати основний профіль користувача
email - переглядати електронну адресу користувача
Дозволити згоду користувачів на додатки (за замовчуванням)
Усі користувачі можуть дати згоду на будь-який додаток для доступу до даних організації.
Запити на згоду адміністратора: за замовчуванням Ні
Користувачі можуть запитувати згоду адміністратора на додатки, на які вони не можуть дати згоду
Якщо Так: Можливо вказати Користувачів, Групи та Ролі, які можуть давати згоду на запити
Налаштуйте також, чи отримуватимуть користувачі електронні сповіщення та нагадування про закінчення терміну
Керовані ідентичності в Azure Active Directory пропонують рішення для автоматичного управління ідентичністю додатків. Ці ідентичності використовуються додатками для підключення до ресурсів, сумісних з аутентифікацією Azure Active Directory (Azure AD). Це дозволяє усунути необхідність жорсткого кодування облікових даних хмари в коді, оскільки додаток зможе звертатися до служби метаданих, щоб отримати дійсний токен для виконання дій як вказана керована ідентичність в Azure.
Існує два типи керованих ідентичностей:
Призначена системою. Деякі служби Azure дозволяють вам увімкнути керовану ідентичність безпосередньо на екземплярі служби. Коли ви увімкнете керовану ідентичність, призначену системою, службовий принципал створюється в орендарі Entra ID, довіреному підписці, де розташований ресурс. Коли ресурс видаляється, Azure автоматично видаляє ідентичність за вас.
Призначена користувачем. Також можливо, щоб користувачі генерували керовані ідентичності. Вони створюються всередині групи ресурсів в межах підписки, і службовий принципал буде створено в EntraID, довіреному підписці. Потім ви можете призначити керовану ідентичність одному або кільком екземплярам служби Azure (кільком ресурсам). Для керованих ідентичностей, призначених користувачем, ідентичність управляється окремо від ресурсів, які її використовують.
Керовані ідентичності не генерують вічні облікові дані (як паролі або сертифікати) для доступу як службовий принципал, прикріплений до них.
Це просто таблиця в Azure для фільтрації службових принципалів та перевірки додатків, які були призначені.
Це не ще один тип "додатку", в Azure немає жодного об'єкта, який є "підприємницьким додатком", це просто абстракція для перевірки службових принципалів, реєстрацій додатків та керованих ідентичностей.
Адміністративні одиниці дозволяють надавати дозволи з ролі над конкретною частиною організації.
Приклад:
Сценарій: Компанія хоче, щоб регіональні ІТ-адміністратори управляли лише користувачами у своїй власній області.
Реалізація:
Створіть адміністративні одиниці для кожного регіону (наприклад, "Північна Америка AU", "Європа AU").
Заповніть AU користувачами з їхніх відповідних регіонів.
AU можуть містити користувачів, групи або пристрої
AU підтримують динамічні членства
AU не можуть містити AU
Призначте адміністративні ролі:
Надати роль "Адміністратор користувачів" регіональному ІТ-персоналу, обмежену до AU їхнього регіону.
Результат: Регіональні ІТ-адміністратори можуть управляти обліковими записами користувачів у межах свого регіону, не впливаючи на інші регіони.
Для управління Entra ID існують деякі вбудовані ролі, які можуть бути призначені принципалам Entra ID для управління Entra ID
Найпривілейованішою роллю є Глобальний адміністратор
У описі ролі можна побачити її деталізовані дозволи
Ролі призначаються принципалам на обсязі: principal -[HAS ROLE]->(scope)
Ролі, призначені групам, успадковуються всіма членами групи.
Залежно від обсягу, до якого була призначена роль, роль може бути успадкована до інших ресурсів всередині контейнера обсягу. Наприклад, якщо користувач A має роль на підписці, він матиме цю роль на всіх групах ресурсів всередині підписки та на всіх ресурсах всередині групи ресурсів.
Власник |
| Усі типи ресурсів |
Співробітник |
| Усі типи ресурсів |
Читач | • Переглядати всі ресурси | Усі типи ресурсів |
Адміністратор доступу користувачів |
| Усі типи ресурсів |
З документації: Azure рольова модель доступу (Azure RBAC) має кілька вбудованих ролей Azure, які ви можете призначити користувачам, групам, службовим принципалам та керованим ідентичностям. Призначення ролей - це спосіб контролю доступу до ресурсів Azure. Якщо вбудовані ролі не відповідають конкретним потребам вашої організації, ви можете створити свої власні кастомні ролі Azure.
Вбудовані ролі застосовуються лише до ресурсів, для яких вони призначені, наприклад, перевірте ці 2 приклади вбудованих ролей для ресурсів Compute:
Надає дозвіл резервному сховищу виконувати резервне копіювання диска. | 3e5e47e6-65f7-47ef-90b5-e5dd4d455f24 | |
Переглядати віртуальні машини в порталі та входити як звичайний користувач. | fb879df8-f326-4884-b1cf-06f3ad86be52 |
Ці ролі також можуть призначатися над логічними контейнерами (такими як групи управління, підписки та групи ресурсів), і принципали, які підпадають під їхній вплив, матимуть їх над ресурсами всередині цих контейнерів.
Знайдіть тут список з усіма вбудованими ролями Azure.
Знайдіть тут список з усіма вбудованими ролями Entra ID.
Також можливо створити кастомні ролі
Вони створюються всередині обсягу, хоча роль може бути в кількох обсягах (групи управління, підписка та групи ресурсів)
Можливо налаштувати всі детальні дозволи, які матиме кастомна роль
Можливо виключити дозволи
Принципал з виключеним дозволом не зможе його використовувати, навіть якщо дозвіл надається в іншому місці
Можливо використовувати шаблони
Використовуваний формат - JSON
actions призначені для контролю дій над ресурсом
dataActions - це дозволи над даними в об'єкті
Приклад JSON дозволів для кастомної ролі:
Щоб суб'єкт мав доступ до ресурсу, йому потрібно явно надати роль (будь-яким чином), яка надає йому це дозволення.
Явне призначення ролі заборони має пріоритет над роллю, що надає дозволення.
Global Administrator — це роль з Entra ID, яка надає повний контроль над орендою Entra ID. Однак за замовчуванням вона не надає жодних дозволів на ресурси Azure.
Користувачі з роллю Global Administrator мають можливість 'підвищити' до ролі User Access Administrator Azure в кореневій групі управління. Таким чином, Global Administrators можуть керувати доступом у всіх підписках Azure та групах управління. Це підвищення можна здійснити в кінці сторінки: https://portal.azure.com/#view/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/~/Properties
Azure Policies — це правила, які допомагають організаціям забезпечити відповідність їх ресурсів певним стандартам і вимогам. Вони дозволяють застосовувати або перевіряти налаштування на ресурсах в Azure. Наприклад, ви можете заборонити створення віртуальних машин в несанкціонованому регіоні або забезпечити, щоб усі ресурси мали певні теги для відстеження.
Azure Policies є проактивними: вони можуть зупинити створення або зміну несумісних ресурсів. Вони також є реактивними, дозволяючи вам знаходити та виправляти існуючі несумісні ресурси.
Policy Definition: Правило, написане в JSON, яке визначає, що дозволено або вимагається.
Policy Assignment: Застосування політики до конкретної області (наприклад, підписка, група ресурсів).
Initiatives: Збірка політик, об'єднаних для більш широкого застосування.
Effect: Визначає, що відбувається, коли політика спрацьовує (наприклад, "Deny", "Audit" або "Append").
Деякі приклади:
Забезпечення відповідності певним регіонам Azure: Ця політика забезпечує, щоб усі ресурси розгорталися в певних регіонах Azure. Наприклад, компанія може захотіти, щоб усі її дані зберігалися в Європі для відповідності GDPR.
Забезпечення стандартів іменування: Політики можуть забезпечувати дотримання стандартів іменування для ресурсів Azure. Це допомагає в організації та легкому ідентифікуванні ресурсів за їхніми іменами, що корисно в великих середовищах.
Обмеження певних типів ресурсів: Ця політика може обмежити створення певних типів ресурсів. Наприклад, політика може бути встановлена для заборони створення дорогих типів ресурсів, таких як певні розміри ВМ, для контролю витрат.
Забезпечення політик тегування: Теги — це пари ключ-значення, пов'язані з ресурсами Azure, які використовуються для управління ресурсами. Політики можуть забезпечувати, щоб певні теги були присутні, або мали певні значення, для всіх ресурсів. Це корисно для відстеження витрат, власності або категоризації ресурсів.
Обмеження публічного доступу до ресурсів: Політики можуть забезпечувати, щоб певні ресурси, такі як облікові записи зберігання або бази даних, не мали публічних кінцевих точок, забезпечуючи їх доступність лише в межах мережі організації.
Автоматичне застосування налаштувань безпеки: Політики можуть використовуватися для автоматичного застосування налаштувань безпеки до ресурсів, таких як застосування певної групи безпеки мережі до всіх ВМ або забезпечення того, щоб усі облікові записи зберігання використовували шифрування.
Зверніть увагу, що Azure Policies можуть бути прикріплені до будь-якого рівня ієрархії Azure, але вони зазвичай використовуються в кореневій групі управління або в інших групах управління.
Azure policy json example:
У Azure дозволи можуть бути призначені будь-якій частині ієрархії. Це включає управлінські групи, підписки, групи ресурсів та окремі ресурси. Дозволи спадкуються від вміщених ресурсів сутності, до якої вони були призначені.
Ця ієрархічна структура дозволяє ефективно та масштабовано управляти доступом до дозволів.
RBAC (контроль доступу на основі ролей) - це те, що ми вже бачили в попередніх розділах: призначення ролі суб'єкту для надання йому доступу до ресурсу. Однак у деяких випадках ви можете захотіти надати більш детальне управління доступом або спростити управління сотнями призначень ролей.
Azure ABAC (контроль доступу на основі атрибутів) базується на Azure RBAC, додаючи умови призначення ролей на основі атрибутів у контексті конкретних дій. Умова призначення ролі - це додаткова перевірка, яку ви можете за бажанням додати до свого призначення ролі для надання більш детального контролю доступу. Умова фільтрує дозволи, надані в рамках визначення ролі та призначення ролі. Наприклад, ви можете додати умову, яка вимагає, щоб об'єкт мав певний тег для його читання. Ви не можете явно відмовити у доступі до конкретних ресурсів за допомогою умов.
Управління привілейованими ідентичностями (PIM) в Azure - це інструмент, який управляє, контролює та моніторить привілейований доступ в Azure Active Directory та Azure. Він підвищує безпеку, надаючи доступ з обмеженим часом та за запитом, забезпечуючи затвердження робочих процесів та вимагаючи додаткову аутентифікацію. Цей підхід мінімізує ризик несанкціонованого доступу, забезпечуючи, щоб підвищені дозволи надавалися лише тоді, коли це необхідно, і на певний період.
Існує три типи токенів, що використовуються в OIDC:
Токени доступу: Клієнт представляє цей токен серверу ресурсів для доступу до ресурсів. Він може використовуватися лише для конкретної комбінації користувача, клієнта та ресурсу і не може бути відкликаний до закінчення терміну дії - за замовчуванням це 1 година.
ID токени: Клієнт отримує цей токен від сервера авторизації. Він містить основну інформацію про користувача. Він прив'язаний до конкретної комбінації користувача та клієнта.
Токени оновлення: Надаються клієнту разом з токеном доступу. Використовуються для отримання нових токенів доступу та ID токенів. Він прив'язаний до конкретної комбінації користувача та клієнта і може бути відкликаний. Термін дії за замовчуванням - 90 днів для неактивних токенів оновлення та без терміну дії для активних токенів.
Інформація для умовного доступу зберігається всередині JWT. Тому, якщо ви запитуєте токен з дозволеної IP-адреси, ця IP буде збережена в токені, і тоді ви зможете використовувати цей токен з недозволеної IP для доступу до ресурсів.
Залежно від дії, яку ви хочете виконати, "aud" токена доступу має бути авторизованим для контакту з API URL, з яким ви будете зв'язуватися.
Команда az account get-access-token --resource-type [...] підтримує наступні типи, і кожен з них додасть конкретний "aud" у результативний токен доступу:
Зверніть увагу, що наступні - це лише API, підтримувані az account get-access-token, але їх більше.
aad-graph (Azure Active Directory Graph API): Використовується для доступу до застарілого Azure AD Graph API (декласований), який дозволяє додаткам читати та записувати дані каталогу в Azure Active Directory (Azure AD).
https://graph.windows.net/
arm (Azure Resource Manager): Використовується для управління ресурсами Azure через API Azure Resource Manager. Це включає операції, такі як створення, оновлення та видалення ресурсів, таких як віртуальні машини, облікові записи зберігання тощо.
https://management.core.windows.net/ or https://management.azure.com/
batch (Azure Batch Services): Використовується для доступу до Azure Batch, служби, яка дозволяє ефективно виконувати великомасштабні паралельні та високопродуктивні обчислювальні програми в хмарі.
https://batch.core.windows.net/
data-lake (Azure Data Lake Storage): Використовується для взаємодії з Azure Data Lake Storage Gen1, яка є масштабованою службою зберігання даних та аналітики.
https://datalake.azure.net/
media (Azure Media Services): Використовується для доступу до Azure Media Services, які надають хмарні послуги обробки та доставки медіа для відео та аудіо контенту.
https://rest.media.azure.net
ms-graph (Microsoft Graph API): Використовується для доступу до Microsoft Graph API, єдиного кінцевого пункту для даних служб Microsoft 365. Це дозволяє отримувати дані та аналітику з таких служб, як Azure AD, Office 365, Enterprise Mobility та Security services.
https://graph.microsoft.com
oss-rdbms (Azure Open Source Relational Databases): Використовується для доступу до служб бази даних Azure для реляційних баз даних з відкритим кодом, таких як MySQL, PostgreSQL та MariaDB.
https://ossrdbms-aad.database.windows.net
Перевірте наступну сторінку, щоб дізнатися різні способи запиту токенів доступу та входу з ними:
Az - Entra ID (formerly AzureAD - AAD)Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
