Az - Persistence
अवैध सहमति अनुदान
डिफ़ॉल्ट रूप से, कोई भी उपयोगकर्ता Azure AD में एक एप्लिकेशन पंजीकृत कर सकता है। इसलिए आप एक एप्लिकेशन को पंजीकृत कर सकते हैं (केवल लक्षित किरायेदार के लिए) जिसे व्यवस्थापक सहमति के साथ उच्च प्रभाव अनुमतियों की आवश्यकता होती है (यदि आप व्यवस्थापक हैं तो इसे स्वीकृत करें) - जैसे किसी के लिए मेल भेजना, भूमिका प्रबंधन आदि। यह हमें फिशिंग हमले को सफलता के मामले में बहुत फलदायक होगा।
इसके अतिरिक्त, आप उस एप्लिकेशन को अपने उपयोगकर्ता के रूप में स्वीकार कर सकते हैं ताकि उस पर पहुंच बनाए रख सकें।
एप्लिकेशन और सेवा प्रिंसिपल्स
एप्लिकेशन प्रशासक, GA या microsoft.directory/applications/credentials/update अनुमतियों के साथ एक कस्टम भूमिका के साथ, हम मौजूदा एप्लिकेशन में क्रेडेंशियल (गुप्त या प्रमाणपत्र) जोड़ सकते हैं।
उच्च अनुमतियों वाले एप्लिकेशन को लक्षित करना या उच्च अनुमतियों वाला एक नया एप्लिकेशन जोड़ना संभव है।
एप्लिकेशन में जोड़ने के लिए एक दिलचस्प भूमिका होगी विशेषाधिकारित प्रमाणीकरण प्रबंधक भूमिका क्योंकि यह वैश्विक प्रशासकों का पासवर्ड रीसेट करने की अनुमति देता है।
यह तकनीक भी MFA को छलना अनुमति देती है।
प्रमाणपत्र आधारित प्रमाणीकरण के लिए
संघ - टोकन हस्ताक्षर प्रमाणपत्र
DA विशेषाधिकार के साथ on-prem AD पर, नए टोकन हस्ताक्षर और टोकन डिक्रिप्ट प्रमाणपत्र बनाना और आयात करना संभव है जिनकी बहुत लंबी मान्यता हो। यह हमें उन सभी उपयोगकर्ता के रूप में लॉग-इन करने की अनुमति देगा जिनका ImuutableID हमें पता है।
नीचे दिए गए कमांड को ADFS सर्वर(ओं) पर DA के रूप में चलाएं नए प्रमाणपत्र बनाने के लिए (डिफ़ॉल्ट पासवर्ड 'AADInternals'), उन्हें ADFS में जोड़ें, स्वचालित रोलवर को अक्षम करें और सेवा को पुनः आरंभ करें:
फिर, Azure AD के साथ प्रमाणपत्र सूचना को अपडेट करें:
संघ - विश्वसनीय डोमेन
एक टेनेंट पर जीए प्रिविलेज के साथ, एक नए डोमेन जोड़ना संभव है (सत्यापित होना चाहिए), इसकी प्रमाणीकरण प्रकार को संघीय और डोमेन को विशिष्ट प्रमाणपत्र (नीचे दिए गए कमांड में any.sts) और जारीकर्ता पर भरोसा करने के लिए कॉन्फ़िगर करना:
संदर्भ
Last updated