Directory Services

AWS Directory Service for Microsoft Active Directory एक प्रबंधित सेवा है जो AWS Cloud में डायरेक्टरी सेटअप, संचालन, और स्केल करना आसान बनाती है। यह वास्तविक Microsoft Active Directory पर आधारित है और अन्य AWS सेवाओं के साथ कसकर एकीकृत है, जिससे आपके डायरेक्टरी-जागरूक वर्कलोड्स और AWS संसाधनों का प्रबंधन आसान हो जाता है। AWS Managed Microsoft AD के साथ, आप अपने मौजूदा Active Directory उपयोगकर्ताओं, समूहों, और नीतियों का उपयोग करके अपने AWS संसाधनों के प्रबंधन को संभाल सकते हैं। यह आपके पहचान प्रबंधन को सरल बना सकता है और अतिरिक्त पहचान समाधानों की आवश्यकता को कम कर सकता है। AWS Managed Microsoft AD स्वचालित बैकअप और आपदा पुनर्प्राप्ति क्षमताएं भी प्रदान करता है, जो आपकी डायरेक्टरी की उपलब्धता और स्थायित्व को सुनिश्चित करने में मदद करता है। कुल मिलाकर, AWS Directory Service for Microsoft Active Directory आपको AWS Cloud में प्रबंधित, उच्च उपलब्धता, और स्केलेबल Active Directory सेवा प्रदान करके समय और संसाधनों की बचत करने में मदद कर सकती है।

विकल्प

Directory Services 5 प्रकार की डायरेक्टरीज़ बनाने की अनुमति देती है:

• AWS Managed Microsoft AD: जो AWS में एक नया Microsoft AD चलाएगा। आप एडमिन पासवर्ड सेट कर सकते हैं और VPC में DCs तक पहुंच सकते हैं।

• Simple AD: जो एक Linux-Samba Active Directory–संगत सर्वर होगा। आप एडमिन पासवर्ड सेट कर सकते हैं और VPC में DCs तक पहुंच सकते हैं।

• AD Connector: एक प्रॉक्सी जो आपके मौजूदा Microsoft Active Directory के लिए डायरेक्टरी अनुरोधों को पुनर्निर्देशित करती है बिना किसी जानकारी को क्लाउड में कैश किए बिना। यह एक VPC में सुनने वाला होगा और आपको मौजूदा AD तक पहुंचने के लिए क्रेडेंशियल्स देने होंगे।

• Amazon Cognito User Pools: यह Cognito User Pools के समान है।

• Cloud Directory: यह सबसे सरल है। एक सर्वरलेस डायरेक्टरी जहां आप स्कीमा को इंगित करते हैं और उपयोग के अनुसार बिल किया जाता है।

AWS Directory services आपको अपने मौजूदा ऑन-प्रिमाइसेस Microsoft AD के साथ सिंक्रोनाइज़ करने, AWS में अपना खुद का एक चलाने, या अन्य डायरेक्टरी प्रकारों के साथ सिंक्रोनाइज़ करने की अनुमति देती है।

लैब

यहां आप AWS में अपना खुद का Microsoft AD बनाने के लिए एक अच्छा ट्यूटोरियल पा सकते हैं: https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_tutorial_test_lab_base.html

Enumeration

# Get directories and DCs
aws ds describe-directories
aws ds describe-domain-controllers --directory-id <id>
# Get directory settings
aws ds describe-trusts
aws ds describe-ldaps-settings --directory-id <id>
aws ds describe-shared-directories --owner-directory-id <id>
aws ds get-directory-limits
aws ds list-certificates --directory-id <id>
aws ds describe-certificate --directory-id <id> --certificate-id <id>

लॉगिन

ध्यान दें कि यदि डायरेक्टरी के विवरण में AccessUrl फील्ड में एक डोमेन होता है, तो इसका मतलब है कि एक उपयोगकर्ता अपने AD प्रमाण-पत्र के साथ कुछ AWS सेवाओं में लॉगिन कर सकता है:

• <name>.awsapps.com/connect (Amazon Connect)

• <name>.awsapps.com/workdocs (Amazon WorkDocs)

• <name>.awsapps.com/workmail (Amazon WorkMail)

• <name>.awsapps.com/console (Amazon Management Console)

• <name>.awsapps.com/start (IAM Identity Center)

विशेषाधिकार वृद्धि

स्थायित्व

एक AD उपयोगकर्ता का उपयोग करते हुए

एक AD उपयोगकर्ता को AWS मैनेजमेंट कंसोल पर पहुँच दी जा सकती है विशेष रोल के माध्यम से। डिफ़ॉल्ट उपयोगकर्ता नाम Admin है और AWS कंसोल से इसका पासवर्ड बदलना संभव है।

इसलिए, Admin का पासवर्ड बदलना, नया उपयोगकर्ता बनाना या किसी उपयोगकर्ता का पासवर्ड बदलना और उस उपयोगकर्ता को रोल देना संभव है ताकि पहुँच बनाए रखी जा सके। यह भी संभव है कि AD के अंदर एक समूह में उपयोगकर्ता को जोड़ा जाए और उस AD समूह को रोल की पहुँच दी जाए (इस स्थायित्व को अधिक गुप्त बनाने के लिए)।

AD को साझा करना (पीड़ित से हमलावर तक)

एक AD पर्यावरण को पीड़ित से हमलावर तक साझा करना संभव है। इस तरह हमलावर AD पर्यावरण तक पहुँच जारी रख सकता है। हालांकि, इसमें प्रबंधित AD को साझा करना और VPC पीयरिंग कनेक्शन बनाना शामिल है।

आप यहाँ एक गाइड पा सकते हैं: https://docs.aws.amazon.com/directoryservice/latest/admin-guide/step1_setup_networking.html

AD को साझा करना (हमलावर से पीड़ित तक)

यह संभव नहीं लगता कि एक अलग AD पर्यावरण के उपयोगकर्ताओं को एक AWS खाते में AWS पहुँच प्रदान की जा सके।

WorkDocs

Amazon Web Services (AWS) WorkDocs एक क्लाउड-आधारित फ़ाइल संग्रहण और साझा करने की सेवा है। यह AWS क्लाउड कंप्यूटिंग सेवाओं के सूट का हिस्सा है और संगठनों को फ़ाइलों और दस्तावेज़ों को संग्रहित करने, साझा करने और सहयोग करने के लिए एक सुरक्षित और स्केलेबल समाधान प्रदान करने के लिए डिज़ाइन किया गया है।

AWS WorkDocs उपयोगकर्ताओं को अपनी फ़ाइलों और दस्तावेज़ों को अपलोड करने, पहुँचने और प्रबंधित करने के लिए एक वेब-आधारित इंटरफ़ेस प्रदान करता है। इसमें संस्करण नियंत्रण, वास्तविक समय सहयोग, और अन्य AWS सेवाओं और तृतीय-पक्ष उपकरणों के साथ एकीकरण जैसी सुविधाएँ भी शामिल हैं।

गणना

# Get AD users (Admin not included)
aws workdocs describe-users --organization-id <directory-id>
# Get AD groups (containing "a")
aws workdocs describe-groups --organization-id d-9067a0285c --search-query a

# Create user (created inside the AD)
aws workdocs create-user --username testingasd --given-name testingasd --surname testingasd --password <password> --email-address name@directory.domain --organization-id <directory-id>

# Get what each user has created
aws workdocs describe-activities --user-id "S-1-5-21-377..."

# Get what was created in the directory
aws workdocs describe-activities --organization-id <directory-id>

# Get folder content
aws workdocs describe-folder-contents --folder-id <fold-id>

# Get file (a url to access with the content will be retreived)
aws workdocs get-document --document-id <doc-id>

# Get resource permissions if any
aws workdocs describe-resource-permissions --resource-id <value>

# Add permission so anyway can see the file
aws workdocs add-resource-permissions --resource-id <id> --principals Id=anonymous,Type=ANONYMOUS,Role=VIEWER
## This will give an id, the file will be acesible in: https://<name>.awsapps.com/workdocs/index.html#/share/document/<id>

Privesc