Az - File Shares

Basic Information

Azure Files - це повністю керована служба зберігання файлів у хмарі, яка надає спільне зберігання файлів, доступне через стандартні протоколи SMB (Server Message Block) та NFS (Network File System). Хоча основним протоколом є SMB, спільні файли Azure не підтримуються для Windows (згідно з документацією). Це дозволяє створювати високо доступні мережеві спільні файли, до яких можуть одночасно отримувати доступ кілька віртуальних машин (VM) або локальних систем, що забезпечує безперешкодний обмін файлами між середовищами.

Access Tiers

• Transaction Optimized: Оптимізовано для операцій з великою кількістю транзакцій.

• Hot: Збалансовано між транзакціями та зберіганням.

• Cool: Економічно вигідно для зберігання.

• Premium: Високопродуктивне зберігання файлів, оптимізоване для навантажень з низькою затримкою та інтенсивними IOPS.

Backups

• Daily backup: Точка резервного копіювання створюється щодня в зазначений час (наприклад, 19.30 UTC) і зберігається від 1 до 200 днів.

• Weekly backup: Точка резервного копіювання створюється щотижня в зазначений день і час (неділя о 19.30) і зберігається від 1 до 200 тижнів.

• Monthly backup: Точка резервного копіювання створюється щомісяця в зазначений день і час (наприклад, перша неділя о 19.30) і зберігається від 1 до 120 місяців.

• Yearly backup: Точка резервного копіювання створюється щороку в зазначений день і час (наприклад, перша неділя січня о 19.30) і зберігається від 1 до 10 років.

• Також можливе виконання ручних резервних копій та знімків у будь-який час. Резервні копії та знімки насправді є однаковими в цьому контексті.

Supported Authentications via SMB

• On-premises AD DS Authentication: Використовує локальні облікові дані Active Directory, синхронізовані з Microsoft Entra ID для доступу на основі ідентичності. Вимагає мережевої підключеності до локального AD DS.

• Microsoft Entra Domain Services Authentication: Використовує Microsoft Entra Domain Services (хмарний AD) для надання доступу за допомогою облікових даних Microsoft Entra.

• Microsoft Entra Kerberos for Hybrid Identities: Дозволяє користувачам Microsoft Entra аутентифікувати спільні файли Azure через Інтернет за допомогою Kerberos. Підтримує гібридні Microsoft Entra приєднані або Microsoft Entra приєднані VM без вимоги підключення до локальних контролерів домену. Але не підтримує тільки хмарні ідентичності.

• AD Kerberos Authentication for Linux Clients: Дозволяє клієнтам Linux використовувати Kerberos для аутентифікації SMB через локальний AD DS або Microsoft Entra Domain Services.

Enumeration

# Get storage accounts
az storage account list #Get the account name from here

# List file shares
az storage share list --account-name <name>
# Get dirs/files inside the share
az storage file list --account-name <name> --share-name <share-name>
## If type is "dir", you can continue enumerating files inside of it
az storage file list --account-name <name> --share-name <prev_dir/share-name>
# Download a complete share (with directories and files inside of them)
az storage file download-batch -d . --source <share-name> --account-name <name>

# Get snapshots/backups
az storage share list --account-name <name> --include-snapshots --query "[?snapshot != null]"
# List contents of a snapshot/backup
az storage file list --account-name <name> --share-name <share-name> --snapshot <snapshot-version> #e.g. "2024-11-25T11:26:59.0000000Z"
# Download snapshot/backup
az storage file download-batch -d . --account-name <name> --source <share-name> --snapshot <snapshot-version>

Підключення

Це скрипти, запропоновані Azure на момент написання, для підключення до File Share:

Вам потрібно замінити заповнювачі <STORAGE-ACCOUNT>, <ACCESS-KEY> та <FILE-SHARE-NAME>.

$connectTestResult = Test-NetConnection -ComputerName filescontainersrdtfgvhb.file.core.windows.net -Port 445
if ($connectTestResult.TcpTestSucceeded) {
# Save the password so the drive will persist on reboot
cmd.exe /C "cmdkey /add:`"<STORAGE-ACCOUNT>.file.core.windows.net`" /user:`"localhost\<STORAGE-ACCOUNT>`" /pass:`"<ACCESS-KEY>`""
# Mount the drive
New-PSDrive -Name Z -PSProvider FileSystem -Root "\\<STORAGE-ACCOUNT>.file.core.windows.net\<FILE-SHARE-NAME>" -Persist
} else {
Write-Error -Message "Unable to reach the Azure storage account via port 445. Check to make sure your organization or ISP is not blocking port 445, or use Azure P2S VPN, Azure S2S VPN, or Express Route to tunnel SMB traffic over a different port."
}

sudo mkdir /mnt/disk-shareeifrube
if [ ! -d "/etc/smbcredentials" ]; then
sudo mkdir /etc/smbcredentials
fi
if [ ! -f "/etc/smbcredentials/<STORAGE-ACCOUNT>.cred" ]; then
sudo bash -c 'echo "username=<STORAGE-ACCOUNT>" >> /etc/smbcredentials/<STORAGE-ACCOUNT>.cred'
sudo bash -c 'echo "password=<ACCESS-KEY>" >> /etc/smbcredentials/<STORAGE-ACCOUNT>.cred'
fi
sudo chmod 600 /etc/smbcredentials/<STORAGE-ACCOUNT>.cred

sudo bash -c 'echo "//<STORAGE-ACCOUNT>.file.core.windows.net/<FILE-SHARE-NAME> /mnt/<FILE-SHARE-NAME> cifs nofail,credentials=/etc/smbcredentials/<STORAGE-ACCOUNT>.cred,dir_mode=0777,file_mode=0777,serverino,nosharesock,actimeo=30" >> /etc/fstab'
sudo mount -t cifs //<STORAGE-ACCOUNT>.file.core.windows.net/<FILE-SHARE-NAME> /mnt/<FILE-SHARE-NAME> -o credentials=/etc/smbcredentials/<STORAGE-ACCOUNT>.cred,dir_mode=0777,file_mode=0777,serverino,nosharesock,actimeo=30

open smb://<STORAGE-ACCOUNT>:<ACCESS-KEY>@<STORAGE-ACCOUNT>.file.core.windows.net/<FILE-SHARE-NAME>

Регулярна енумерація сховищ (ключі доступу, SAS...)

Підвищення привілеїв

Так само, як і підвищення привілеїв сховища:

Постексплуатація

Постійність

Так само, як і постійність сховища: