Az - Basic Information

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Hierarquia da Organização

Grupos de Gerenciamento

Se sua organização possui muitas assinaturas Azure, você pode precisar de uma maneira eficiente de gerenciar acesso, políticas e conformidade para essas assinaturas. Grupos de gerenciamento fornecem um escopo de governança acima das assinaturas.

Note que 10.000 grupos de gerenciamento podem ser suportados em um único diretório e uma árvore de grupo de gerenciamento pode suportar até seis níveis de profundidade.

Dos documentos: Cada diretório recebe um único grupo de gerenciamento de nível superior chamado grupo de gerenciamento raiz. O grupo de gerenciamento raiz é incorporado à hierarquia para que todos os grupos de gerenciamento e assinaturas se dobrem a ele. Este grupo de gerenciamento raiz permite que políticas globais e atribuições de funções do Azure sejam aplicadas no nível do diretório. O Administrador Global do Azure AD precisa se elevar para a função de Administrador de Acesso de Usuário deste grupo raiz inicialmente. Após elevar o acesso, o administrador pode atribuir qualquer função do Azure a outros usuários ou grupos do diretório para gerenciar a hierarquia. Como administrador, você pode atribuir sua própria conta como proprietário do grupo de gerenciamento raiz.

O grupo de gerenciamento raiz não pode ser movido ou excluído, ao contrário de outros grupos de gerenciamento.

Grupos de gerenciamento oferecem gerenciamento em escala de nível empresarial, independentemente do tipo de assinaturas que você possa ter. No entanto, todas as assinaturas dentro de um único grupo de gerenciamento devem confiar no mesmo locatário do Azure Active Directory (Azure AD).

Assinaturas Azure

No Azure, uma assinatura serve como um contêiner lógico para fins de provisionamento de recursos empresariais ou técnicos. Este contêiner mantém os detalhes dos recursos como máquinas virtuais (VMs), bancos de dados, entre outros. Ao criar um recurso Azure, como uma VM, a assinatura associada a ele é especificada. Esta estrutura facilita a delegação de acesso, utilizando mecanismos de controle de acesso baseado em função.

Grupos de Recursos

Dos documentos: Um grupo de recursos é um contêiner que mantém recursos relacionados para uma solução Azure. O grupo de recursos pode incluir todos os recursos para a solução, ou apenas aqueles recursos que você deseja gerenciar como um grupo. Geralmente, adicione recursos que compartilham o mesmo ciclo de vida ao mesmo grupo de recursos para que você possa facilmente implantá-los, atualizá-los e excluí-los como um grupo.

Todos os recursos devem estar dentro de um grupo de recursos e podem pertencer apenas a um grupo e, se um grupo de recursos for excluído, todos os recursos dentro dele também serão excluídos.

Unidades Administrativas

Dos documentos: Unidades administrativas permitem que você subdivida sua organização em qualquer unidade que desejar, e então atribua administradores específicos que podem gerenciar apenas os membros dessa unidade. Por exemplo, você poderia usar unidades administrativas para delegar permissões a administradores de cada escola em uma grande universidade, para que eles pudessem controlar o acesso, gerenciar usuários e definir políticas apenas na Escola de Engenharia.

Apenas usuários, grupos e dispositivos podem ser membros de uma unidade administrativa.

Portanto, uma unidade administrativa conterá alguns membros e outros principais terão permissões atribuídas sobre essa unidade administrativa que eles podem usar para gerenciar os membros da unidade administrativa.

Azure vs Azure AD vs Azure AD Domain Services

É importante notar que Azure AD é um serviço dentro do Azure. Azure é a plataforma de nuvem da Microsoft, enquanto Azure AD é um serviço de identidade empresarial no Azure. Além disso, Azure AD não é como o Windows Active Directory, é um serviço de identidade que funciona de maneira completamente diferente. Se você deseja executar um Controlador de Domínio no Azure para seu ambiente Windows Active Directory, você precisa usar Azure AD Domain Services.

Principais

Azure suporta diferentes tipos de principais:

Usuário: Uma pessoa regular com credenciais para acessar.
Grupo: Um grupo de principais gerenciados juntos. Permissões concedidas a grupos são herdadas por seus membros.
Service Principal/Enterprise Applications: É uma identidade criada para uso com aplicações, serviços hospedados e ferramentas automatizadas para acessar recursos Azure. Este acesso é restrito pelos papéis atribuídos ao service principal, dando-lhe controle sobre quais recursos podem ser acessados e em que nível. Por razões de segurança, é sempre recomendado usar service principals com ferramentas automatizadas em vez de permitir que façam login com uma identidade de usuário.

Ao criar um service principal você pode escolher entre autenticação por senha ou autenticação por certificado.

Se você escolher autenticação por senha (por padrão), salve a senha gerada pois você não poderá acessá-la novamente.
Se você escolher autenticação por certificado, certifique-se de que a aplicação terá acesso à chave privada.
Managed Identity (Metadata Creds): Identidades gerenciadas no Azure Active Directory oferecem uma solução para gerenciar automaticamente a identidade de aplicações. Essas identidades são usadas por aplicações para fins de conexão a recursos compatíveis com a autenticação do Azure Active Directory (Azure AD). Utilizando identidades gerenciadas, as aplicações podem obter tokens do Azure AD sem a necessidade de lidar diretamente com credenciais. Existem dois tipos de identidades gerenciadas:
Atribuída pelo sistema. Alguns serviços Azure permitem que você habilite uma identidade gerenciada diretamente em uma instância de serviço. Quando você habilita uma identidade gerenciada atribuída pelo sistema, uma identidade é criada no Azure AD. A identidade está vinculada ao ciclo de vida dessa instância de serviço. Quando o recurso é excluído, o Azure exclui automaticamente a identidade para você. Por design, apenas esse recurso Azure pode usar essa identidade para solicitar tokens do Azure AD.
Atribuída pelo usuário. Você também pode criar uma identidade gerenciada como um recurso Azure independente. Você pode criar uma identidade gerenciada atribuída pelo usuário e atribuí-la a uma ou mais instâncias de um serviço Azure (múltiplos recursos). Para identidades gerenciadas atribuídas pelo usuário, a identidade é gerenciada separadamente dos recursos que a utilizam.

Papéis & Permissões

Papéis são atribuídos a principais em um escopo: principal -[HAS ROLE]->(scope)

Papéis atribuídos a grupos são herdados por todos os membros do grupo.

Dependendo do escopo ao qual o papel foi atribuído, o papel pode ser herdado por outros recursos dentro do contêiner de escopo. Por exemplo, se um usuário A tem um papel na assinatura, ele terá esse papel em todos os grupos de recursos dentro da assinatura e em todos os recursos dentro do grupo de recursos.

Papéis Clássicos

Owner

Acesso total a todos os recursos
Pode gerenciar acesso para outros usuários

Todos os tipos de recursos

Contributor

Acesso total a todos os recursos
Não pode gerenciar acesso

Todos os tipos de recursos

Reader

• Visualizar todos os recursos

Todos os tipos de recursos

User Access Administrator

Visualizar todos os recursos
Pode gerenciar acesso para outros usuários

Todos os tipos de recursos

Papéis Integrados

Dos documentos: Azure role-based access control (Azure RBAC) possui vários papéis integrados do Azure que você pode atribuir a usuários, grupos, service principals e identidades gerenciadas. As atribuições de papéis são a maneira de controlar acesso aos recursos Azure. Se os papéis integrados não atenderem às necessidades específicas da sua organização, você pode criar seus próprios papéis personalizados do Azure.

Papéis Integrados aplicam-se apenas aos recursos para os quais são destinados, por exemplo, veja estes 2 exemplos de papéis integrados sobre recursos de Computação:

Disk Backup Reader

Fornece permissão ao cofre de backup para realizar backup de disco.

3e5e47e6-65f7-47ef-90b5-e5dd4d455f24

Virtual Machine User Login

Visualizar Máquinas Virtuais no portal e fazer login como usuário regular.

fb879df8-f326-4884-b1cf-06f3ad86be52

Esses papéis podem também ser atribuídos a contêineres lógicos (como grupos de gerenciamento, assinaturas e grupos de recursos) e os principais afetados os terão sobre os recursos dentro desses contêineres.

Encontre aqui uma lista com todos os papéis integrados do Azure.
Encontre aqui uma lista com todos os papéis integrados do Azure AD.

Papéis Personalizados

Azure também permite criar papéis personalizados com as permissões que o usuário precisa.

Permissão Negada

Para que um principal tenha algum acesso a um recurso, ele precisa de um papel explícito sendo concedido a ele (de qualquer forma) concedendo-lhe essa permissão.
Uma atribuição de papel de negação explícita tem precedência sobre o papel que concede a permissão.

Administrador Global

Usuários com a função de Administrador Global têm a capacidade de 'elevar-se' para a função de Administrador de Acesso de Usuário do Azure ao grupo de gerenciamento raiz. Isso significa que um Administrador Global poderá gerenciar o acesso a todas as assinaturas e grupos de gerenciamento do Azure. Essa elevação pode ser feita no final da página: https://portal.azure.com/#view/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/~/Properties

Políticas Azure

Políticas Azure são um conjunto de regras e regulamentos no Microsoft Azure, um serviço de computação em nuvem, que ajudam a gerenciar e impor padrões organizacionais e a avaliar a conformidade em escala. Essas políticas impõem diferentes regras sobre seus recursos Azure, garantindo que esses recursos permaneçam em conformidade com os padrões corporativos e acordos de nível de serviço.

Políticas Azure são cruciais para governança e segurança na nuvem, ajudando a garantir que os recursos sejam usados corretamente e eficientemente, e que estejam em conformidade com regulamentos externos e políticas internas. Alguns exemplos:

Garantir Conformidade com Regiões Específicas do Azure: Esta política garante que todos os recursos sejam implantados em regiões específicas do Azure. Por exemplo, uma empresa pode querer garantir que todos os seus dados sejam armazenados na Europa para conformidade com o GDPR.
Impor Padrões de Nomeação: Políticas podem impor convenções de nomenclatura para recursos Azure. Isso ajuda a organizar e identificar facilmente os recursos com base em seus nomes, o que é útil em ambientes grandes.
Restringir Certos Tipos de Recursos: Esta política pode restringir a criação de certos tipos de recursos. Por exemplo, uma política pode ser definida para impedir a criação de tipos de recursos caros, como certos tamanhos de VM, para controlar custos.
Impor Políticas de Tagging: Tags são pares chave-valor associados a recursos Azure usados para gerenciamento de recursos. Políticas podem impor que certas tags estejam presentes, ou tenham valores específicos, para todos os recursos. Isso é útil para rastreamento de custos, propriedade ou categorização de recursos.
Limitar Acesso Público a Recursos: Políticas podem garantir que certos recursos, como contas de armazenamento ou bancos de dados, não tenham endpoints públicos, garantindo que sejam acessíveis apenas dentro da rede da organização.
Aplicar Configurações de Segurança Automaticamente: Políticas podem ser usadas para aplicar automaticamente configurações de segurança a recursos, como aplicar um grupo de segurança de rede específico a todas as VMs ou garantir que todas as contas de armazenamento usem criptografia.

Note que Políticas Azure podem ser anexadas a qualquer nível da hierarquia do Azure, mas são comumente usadas no grupo de gerenciamento raiz ou em outros grupos de gerenciamento.

Escopo de Permissões

No Azure, permissões podem ser atribuídas a qualquer parte da hierarquia. Isso inclui grupos de gerenciamento, assinaturas, grupos de recursos e recursos individuais. Permissões são herdadas pelos recursos contidos na entidade onde foram atribuídas.

Esta estrutura hierárquica permite um gerenciamento eficiente e escalável das permissões de acesso.

Azure RBAC vs ABAC

RBAC (controle de acesso baseado em função) é o que já vimos nas seções anteriores: Atribuir um papel a um principal para conceder-lhe acesso a um recurso. No entanto, em alguns casos, você pode querer fornecer gerenciamento de acesso mais granular ou simplificar o gerenciamento de centenas de atribuições de papéis.

Azure ABAC (controle de acesso baseado em atributos) constrói sobre o Azure RBAC adicionando condições de atribuição de papéis baseadas em atributos no contexto de ações específicas. Uma condição de atribuição de papel é uma verificação adicional que você pode opcionalmente adicionar à sua atribuição de papel para fornecer controle de acesso mais granular. Uma condição filtra as permissões concedidas como parte da definição de papel e da atribuição de papel. Por exemplo, você pode adicionar uma condição que exija que um objeto tenha uma tag específica para ler o objeto. Você não pode explicitamente negar acesso a recursos específicos usando condições.

Permissões Padrão do Usuário

Um usuário básico terá algumas permissões padrão para enumerar algumas partes do AzureAD:

Ler todos os usuários, Grupos, Aplicações, Dispositivos, Papéis, Assinaturas e suas propriedades públicas
Convidar Convidados (pode ser desativado)
Criar grupos de Segurança
Ler associações de Grupo não ocultas
Ad

PreviousAzure Pentesting NextAz - Unauthenticated Enum & Initial Entry

Last updated 1 month ago