Az - Basic Information

Jifunze kuhusu kudukua AWS kutoka sifuri hadi shujaa na htARTE (Mtaalam wa Timu Nyekundu ya HackTricks AWS)!

Njia nyingine za kusaidia HackTricks:

Ikiwa unataka kuona kampuni yako ikionekana kwenye HackTricks au kupakua HackTricks kwa PDF Angalia MIPANGO YA USAJILI!
Pata bidhaa rasmi za PEASS & HackTricks
Gundua Familia ya PEASS, mkusanyiko wetu wa kipekee wa NFTs
Jiunge na 💬 Kikundi cha Discord au kikundi cha telegram au tufuate kwenye Twitter 🐦 @hacktricks_live.
Shiriki mbinu zako za kudukua kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud github repos.

Mfumo wa Shirika

Vikundi vya Usimamizi

Ikiwa shirika lako lina vya Azure, unaweza kuhitaji njia ya kudhibiti upatikanaji, sera, na utii kwa vya hivyo. Vikundi vya usimamizi hutoa eneo la utawala juu ya vya.

Tafadhali kumbuka kwamba vikundi vya usimamizi 10,000 vinaweza kusaidiwa katika saraka moja na mti wa vikundi vya usimamizi unaweza kusaidia hadi viwango sita vya kina.

Kutoka kwa nyaraka: Kila saraka inapewa kikundi cha usimamizi cha kiwango cha juu kinachoitwa mizizi. Kikundi cha usimamizi cha mizizi kimejengwa katika muundo wa kuwa na vikundi vyote vya usimamizi na vya vifurushi vinavyo fold up kwake. Kikundi hiki cha usimamizi cha mizizi kuruhusu sera za ulimwengu na utoaji wa majukumu ya Azure kutumika kwa kiwango cha saraka. Azure AD Msimamizi wa Ulimwengu anahitaji kujiongeza kwa jukumu la Msimamizi wa Upatikanaji wa Mtumiaji wa kikundi hiki cha mizizi mwanzoni. Baada ya kuongeza upatikanaji, msimamizi anaweza kutenga jukumu lolote la Azure kwa watumiaji au vikundi vya saraka. Kama msimamizi, unaweza kutenga akaunti yako mwenyewe kama mmiliki wa mizizi ya kikundi cha usimamizi.

Kikundi cha usimamizi cha mizizi hakipatikani au kufutwa, tofauti na vikundi vingine vya usimamizi.

Vikundi vya usimamizi vinakupa usimamizi wa kiwango cha biashara kwa kiwango chochote cha vifurushi unavyoweza kuwa navyo. Walakini, vifurushi vyote ndani ya kikundi kimoja cha usimamizi lazima waamini Azure Active Directory (Azure AD) ile ile.

Vifurushi vya Azure

Katika Azure, vifurushi vinatumika kama chombo cha mantiki kwa madhumuni ya utoaji wa biashara au rasilimali za kiufundi. Chombo hiki kinahifadhi maelezo ya rasilimali kama vile mashine za vitual (VMs), maktaba za data, miongoni mwa mengine. Baada ya kuunda rasilimali ya Azure, kama VM, vifurushi vinavyohusiana navyo vinaelezwa. Muundo huu unarahisisha uteuzi wa upatikanaji, ukitumia mifumo ya kudhibiti upatikanaji kulingana na majukumu.

Vikundi vya Rasilimali

Kutoka kwa nyaraka: Kikundi cha rasilimali ni chombo kinachoshikilia rasilimali zinazohusiana kwa suluhisho la Azure. Kikundi cha rasilimali kinaweza kujumuisha rasilimali zote za suluhisho, au ni rasilimali unazotaka kusimamia kama kikundi. Kwa ujumla, ongeza rasilimali zinazoshiriki mzunguko sawa wa maisha kwenye kikundi kimoja cha rasilimali ili uweze kuziweka, kuzisasisha, na kuzifuta kama kikundi.

Rasilimali zote lazima ziwe ndani ya kikundi cha rasilimali na zinaweza kuwa sehemu ya kikundi kimoja tu na ikiwa kikundi cha rasilimali kitafutwa, rasilimali zote ndani yake pia zitafutwa.

Vitengo vya Utawala

Kutoka kwa nyaraka: Vitengo vya utawala vinakuwezesha kugawanya shirika lako katika kitengo chochote unachotaka, na kisha kutenga wasimamizi maalum ambao wanaweza kusimamia tu wanachama wa kitengo hicho. Kwa mfano, unaweza kutumia vitengo vya utawala kuweka ruhusa kwa wasimamizi wa kila shule katika chuo kikuu kikubwa, ili waweze kudhibiti upatikanaji, kusimamia watumiaji, na kuweka sera tu katika Shule ya Uhandisi.

Ni watumiaji, vikundi na vifaa tu ndio wanaweza kuwa wanachama wa kitengo cha utawala.

Hivyo, Kitengo cha Utawala kitakuwa na wanachama fulani na wakala wengine watakuwa wametengewa ruhusa juu ya hicho kitengo cha utawala ambayo wanaweza kutumia kusimamia wanachama wa kitengo cha utawala.

Azure vs Azure AD vs Huduma za Kikoa za Azure AD

Ni muhimu kutambua kwamba Azure AD ni huduma ndani ya Azure. Azure ni jukwaa la wingu la Microsoft wakati Azure AD ni huduma ya utambulisho wa biashara katika Azure. Zaidi ya hayo, Azure AD sio kama Windows Active Directory, ni huduma ya utambulisho inayofanya kazi kwa njia tofauti kabisa. Ikiwa unataka kuendesha Msimamizi wa Kikoa katika Azure kwa mazingira yako ya Windows Active Directory unahitaji kutumia Huduma za Kikoa za Azure AD.

Mabwana

Azure inasaidia aina tofauti za mabwana:

Mtumiaji: Mtu wa kawaida mwenye vibali vya kupata.
Kikundi: Kikundi cha mabwana kilichosimamiwa pamoja. Ruhusa zilizotolewa kwa vikundi zinaherithiwa na wanachama wake.
Mwakilishi wa Huduma/Maombi ya Kampuni: Ni utambulisho ulioundwa kwa matumizi na programu, huduma zilizohudhuria, na zana za kiotomatiki kupata rasilimali za Azure. Upatikanaji huu unadhibitiwa na majukumu yaliyotengwa kwa mwakilishi wa huduma, ikikupa udhibiti juu ya rasilimali zipi zinaweza kupatikana na kwa kiwango gani. Kwa sababu za usalama, daima inapendekezwa kutumia mabwana wa huduma na zana za kiotomatiki badala ya kuwaruhusu kuingia kwa kitambulisho cha mtumiaji.

Unapounda mwakilishi wa huduma unaweza kuchagua kati ya uthibitishaji wa nywila au uthibitishaji wa cheti.

Ikiwa unachagua uthibitishaji wa nywila (kwa chaguo-msingi), hifadhi nywila iliyoundwa kwani hautaweza kuipata tena.
Ikiwa unachagua uthibitishaji wa cheti, hakikisha programu itakuwa na upatikanaji wa funguo ya faragha.
Utambulisho Uliosimamiwa (Vibali vya Metadata): Utambulisho uliosimamiwa katika Azure Active Directory hutoa suluhisho la kudhibiti utambulisho kiotomatiki wa programu. Utambulisho huu hutumiwa na programu kwa madhumuni ya kuunganisha na rasilimali zinazofaa na utambulisho wa Azure Active Directory (Azure AD). Kwa kutumia utambulisho uliosimamiwa, programu zinaweza kuzilinda alama za Azure AD wakati wa kutokomeza haja ya kushughulikia vibali moja kwa moja. Kuna aina mbili za utambulisho uliosimamiwa:
Uliosimamiwa na Mfumo. Baadhi ya huduma za Azure zinakuruhusu kuwezesha utambulisho uliosimamiwa moja kwa moja kwenye kifaa cha huduma. Unapowezesha utambulisho uliosimamiwa na mfumo, utambulisho unajengwa katika Azure AD. Utambulisho unahusishwa na mzunguko wa maisha wa kifaa hicho cha huduma. Wakati rasilimali inapofutwa, Azure kwa kiotomatiki inafuta utambulisho kwako. Kwa kubuni, huduma hiyo ya Azure pekee inaweza kutumia utambulisho huu kuomba alama kutoka Azure AD.
Uliosimamiwa na Mtumiaji. Unaweza pia kuunda utambulisho uliosimamiwa kama rasilimali ya Azure ya kujitegemea. Unaweza kuunda utambulisho uliosimamiwa na mtumiaji na kumtenga kwa moja au zaidi ya mifano ya huduma ya Azure (rasilimali nyingi). Kwa utambulisho uliosimamiwa na mtumiaji, utambulisho unasimamiwa tofauti na rasilimali zinazotumia.

Majukumu na Ruhusa

Majukumu hupewa wahusika kwenye eneo: wahusika -[ANA JUKUMU]->(eneo)

Majukumu yaliyopewa makundi huereditiwa na wanachama wote wa kundi hilo.

Kulingana na eneo ambalo jukumu limepewa, jukumu linaweza kurithiwa kwa rasilimali nyingine ndani ya chombo cha eneo hilo. Kwa mfano, ikiwa mtumiaji A ana jukumu kwenye usajili, atakuwa na jukumu hilo kwenye vikundi vya rasilimali ndani ya usajili na kwenye rasilimali zote ndani ya kikundi cha rasilimali.

Majukumu ya Kawaida

Mmiliki

Ufikiaji kamili wa rasilimali zote
Anaweza kusimamia ufikiaji kwa watumiaji wengine

Aina zote za rasilimali

Mchangiaji

Ufikiaji kamili wa rasilimali zote
Hawezi kusimamia ufikiaji

Aina zote za rasilimali

Mnunuzi

• Angalia rasilimali zote

Aina zote za rasilimali

Msimamizi wa Ufikiaji wa Mtumiaji

Angalia rasilimali zote
Anaweza kusimamia ufikiaji kwa watumiaji wengine

Aina zote za rasilimali

Majukumu Yaliyojengwa

Kutoka kwa nyaraka: Kudhibiti ufikiaji kulingana na majukumu (Azure RBAC) kuna majukumu yaliyojengwa ya Azure ambayo unaweza kupewa kwa watumiaji, makundi, wahusika wa huduma, na utambulisho uliodhibitiwa. Kutoa majukumu ni njia unayodhibiti ufikiaji wa rasilimali za Azure. Ikiwa majukumu yaliyojengwa hayakidhi mahitaji maalum ya shirika lako, unaweza kuunda majukumu ya kawaida ya Azure.

Majukumu Yaliyojengwa yanatumika tu kwa rasilimali wanazolenga, kwa mfano angalia mifano 2 ya Majukumu Yaliyojengwa kwenye Rasilimali za Kompyuta:

Mnunuzi wa Nakala za Diski

Hutoa idhini kwa ghala la nakala rudufu kufanya nakala rudufu ya diski.

3e5e47e6-65f7-47ef-90b5-e5dd4d455f24

Mtumiaji wa Mashine Halisi ya Kuingia

Angalia Mashine Halisi kwenye portal na kuingia kama mtumiaji wa kawaida.

fb879df8-f326-4884-b1cf-06f3ad86be52

Majukumu haya yanaweza pia kupewa vyombo vya mantiki (kama vile vikundi vya usimamizi, usajili, na vikundi vya rasilimali) na wahusika wanaoathiriwa watakuwa nayo kwenye rasilimali ndani ya vyombo hivyo.

Pata hapa orodha ya majukumu yote yaliyojengwa ya Azure.
Pata hapa orodha ya majukumu yaliyojengwa ya Azure AD.

Majukumu ya Desturi

Azure pia inaruhusu kuunda majukumu ya desturi na ruhusa ambazo mtumiaji anahitaji.

Ruhusa Imekatazwa

Ili wahusika wawe na ufikiaji fulani kwenye rasilimali, wanahitaji jukumu dhahiri lililopewa (kwa njia yoyote ile) kuwapatia idhini hiyo.
Utoaji wa jukumu la kukataa dhahiri unapewa kipaumbele kuliko jukumu linalopatia idhini hiyo.

Msimamizi wa Kijumla

Watumiaji wenye jukumu la Msimamizi wa Kijumla wana uwezo wa 'kuinua' jukumu la Azure la Msimamizi wa Ufikiaji wa Mtumiaji kwa kikundi cha usimamizi cha msingi. Hii inamaanisha kwamba Msimamizi wa Kijumla ataweza kusimamia ufikiaji wa usajili wa Azure na vikundi vya usimamizi vyote. Kuinuliwa huku kunaweza kufanywa mwishoni mwa ukurasa: https://portal.azure.com/#view/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/~/Properties

Sera za Azure

Sera za Azure ni seti ya kanuni na miongozo katika Microsoft Azure, huduma ya kompyuta ya wingu, ambayo husaidia kusimamia na kutekeleza viwango vya shirika na kutathmini ufuatiliaji kwa kiwango kikubwa. Sera hizi hutekeleza kanuni tofauti kwenye rasilimali zako za Azure, kuhakikisha kuwa rasilimali hizo zinabaki zinazingatia viwango vya shirika na makubaliano ya viwango vya huduma.

Sera za Azure ni muhimu kwa utawala wa wingu na usalama, zikisaidia kuhakikisha kuwa rasilimali zinatumika kwa usahihi na ufanisi, na kwamba zinazingatia kanuni za nje na sera za ndani. Baadhi ya mifano:

Kuhakikisha Ufuatiliaji na Mikoa Maalum ya Azure: Sera hii inahakikisha kuwa rasilimali zote zinawekwa katika mikoa maalum ya Azure. Kwa mfano, kampuni inaweza kutaka kuhakikisha kuwa data yote inahifadhiwa Ulaya kwa kufuata GDPR.
Kutekeleza Viwango vya Kutaja: Sera zinaweza kutekeleza viwango vya kutaja kwa rasilimali za Azure. Hii husaidia katika kuandaa na kutambua rasilimali kwa urahisi kulingana na majina yao, ambayo ni muhimu katika mazingira makubwa.
Kizuia Aina Fulani za Rasilimali: Sera hii inaweza kuzuia uundaji wa aina fulani za rasilimali. Kwa mfano, sera inaweza kuwekwa kuzuia uundaji wa aina za rasilimali ghali, kama vile saizi fulani za VM, ili kudhibiti gharama.
Kutekeleza Sera za Kutaja: Vitambulisho ni jozi za thamani muhimu zinazohusishwa na rasilimali za Azure zinazotumiwa kwa usimamizi wa rasilimali. Sera zinaweza kutekeleza kuwa vitambulisho fulani lazima viwepo, au viwe na thamani maalum, kwa rasilimali zote. Hii ni muhimu kwa kufuatilia gharama, umiliki, au kategoria ya rasilimali.
Kizuia Ufikiaji wa Umma kwa Rasilimali: Sera zinaweza kuhakikisha kuwa rasilimali fulani, kama akaunti za kuhifadhi au maktaba za data, hazina vituo vya umma, kuhakikisha kuwa zinapatikana tu ndani ya mtandao wa shirika.
Kutekeleza Mipangilio ya Usalama Kiotomatiki: Sera zinaweza kutumika kiotomatiki kutekeleza mipangilio ya usalama kwa rasilimali, kama vile kutumia kikundi cha usalama wa mtandao maalum kwa VM zote au kuhakikisha kuwa akaunti zote za kuhifadhi zinatumia kifaa cha kuficha.

Tafadhali kumbuka kuwa Sera za Azure zinaweza kuambatishwa kwa kiwango chochote cha muundo wa Azure, lakini mara nyingi hutumiwa kwenye kikundi cha usimamizi cha msingi au kwenye vikundi vingine vya usimamizi.

Upeo wa Ruhusa

Katika Azure ruhusa zinaweza kupewa sehemu yoyote ya muundo. Hii ni pamoja na vikundi vya usimamizi, usajili, vikundi vya rasilimali, na rasilimali binafsi. Ruhusa huereditiwa na rasilimali zilizomo za kipengele ambapo zilipewa.

Muundo huu wa kihierarkia unaruhusu usimamizi wa ufanisi na wa kupimika wa ruhusa za ufikiaji.

Azure RBAC vs ABAC

RBAC (udhibiti wa ufikiaji kulingana na majukumu) ni kama tulivyoona tayari katika sehemu zilizopita: Kupewa jukumu kwa wahusika ili kuwapatia ufikiaji kwenye rasilimali. Hata hivyo, kuna hali ambapo unaweza kutaka kutoa usimamizi wa ufikiaji uliofanywa kwa undani zaidi au kusimplify usimamizi wa maelfu ya utoaji wa majukumu.

Azure ABAC (udhibiti wa ufikiaji kulingana na sifa) unajenga juu ya Azure RBAC kwa kuongeza mazingira ya utoaji wa majukumu kulingana na sifa katika muktadha wa hatua maalum. Hali ya utoaji wa majukumu ni uchunguzi wa ziada ambao unaweza kuongezwa hiari kwenye utoaji wa majukumu yako ili kutoa udhibiti wa ufikiaji uliofanywa kwa undani zaidi. Hali hii inachuja idhini zilizopewa kama sehemu ya ufafanuzi wa jukumu na utoaji wa jukumu. Kwa mfano, unaweza kuongeza hali inayohitaji kitu kuwa na lebo maalum ili kusoma kitu hicho. Hauwezi kukataa ufikiaji kwa rasilimali maalum kwa kutumia hali.

Mamlaka ya Mtumiaji wa Kawaida

Mtumiaji wa kawaida atakuwa na ruhusa za msingi za kutambua sehemu za AzureAD:

Soma watumiaji wote, Vikundi, Maombi, Vifaa, Majukumu, Vichwa vya habari vya Subscriptions, na mali zao za umma
Kuwaalika Wageni (inaweza kuzimwa)
Unda vikundi vya Usalama
Soma uanachama wa Vikundi visivyofichwa
Ongeza wageni kwenye vikundi vilivyomilikiwa
Unda maombi mapya (inaweza kuzimwa)
Ongeza hadi vifaa 50 kwa Azure (inaweza kuzimwa)

Unaweza kuona orodha kamili ya ruhusa za msingi za watumiaji katika nyaraka. Zaidi ya hayo, kumbuka kwamba katika orodha hiyo unaweza pia kuona orodha ya ruhusa za msingi za wageni.

Kumbuka kwamba ili kutambua rasilimali za Azure, mtumiaji anahitaji idhini ya wazi ya ruhusa.

Usimamizi wa Kitambulisho cha Mamlaka (PIM)

Usimamizi wa Kitambulisho cha Mamlaka (PIM) katika Azure ni chombo kinachosimamia, kudhibiti, na kufuatilia ufikiaji wa mamlaka katika Azure Active Directory na Azure. Inaboresha usalama kwa kutoa ufikiaji wa mamlaka wakati unaofaa na wa muda mfupi, kutekeleza mchakato wa idhini, na kuhitaji uthibitisho wa ziada. Hatua hii inapunguza hatari ya ufikiaji usioruhusiwa kwa kuhakikisha kwamba ruhusa zilizoongezwa zinatolewa tu wakati inahitajika na kwa muda maalum.

Vyeti vya Uthibitisho

Kuna aina tatu za vyeti zinazotumiwa katika OIDC:

Vyeti vya Kufikia: Mteja hutoa cheti hiki kwa seva ya rasilimali ili kufikia rasilimali. Inaweza kutumika tu kwa mchanganyiko maalum wa mtumiaji, mteja, na rasilimali na haiwezi kufutwa hadi muda wa kumalizika - ambao ni saa 1 kwa chaguo-msingi. Uchunguzi ni mdogo kutumia hii.
Vyeti vya Kitambulisho: Mteja hupokea cheti hiki kutoka kwa seva ya idhini. Ina habari ya msingi kuhusu mtumiaji. Imefungwa kwa mchanganyiko maalum wa mtumiaji na mteja.
Vyeti vya Kufufua: Hutoa kwa mteja pamoja na cheti cha ufikiaji. Hutumiwa kupata vyeti vipya vya ufikiaji na kitambulisho. Imefungwa kwa mchanganyiko maalum wa mtumiaji na mteja na inaweza kufutwa. Muda wa kumalizika kwa chaguo-msingi ni siku 90 kwa vyeti vya kufufua visivyotumiwa na hakuna muda wa kumalizika kwa vyeti vya aktiva.

Maelezo kuhusu ufikiaji wa hali ya kipekee yame hifadhiwa ndani ya JWT. Kwa hivyo, ikiwa unahitaji cheti kutoka kwa anwani ya IP iliyoruhusiwa, hiyo IP itakuwa hifadhiwa kwenye cheti na kisha unaweza kutumia cheti hicho kutoka kwa anwani ya IP isiyoruhusiwa kufikia rasilimali.

Angalia ukurasa ufuatao kujifunza njia tofauti za kuomba vyeti vya ufikiaji na kuingia kwa kutumia:

pageAz - AzureAD (AAD)

Vipengele vya API vya kawaida ni:

Meneja wa Rasilimali za Azure (ARM): management.azure.com
Grafu ya Microsoft: graph.microsoft.com (Grafu ya Azure AD ambayo imepitwa na wakati ni graph.windows.net)

Marejeo

PreviousAzure Pentesting NextAz - Unauthenticated Enum & Initial Entry

Last updated 1 month ago