Служби каталогів

Служба каталогів AWS для Microsoft Active Directory - це керована служба, яка спрощує створення, експлуатацію та масштабування каталогу в AWS Cloud. Вона побудована на Microsoft Active Directory та тісно інтегрується з іншими службами AWS, що дозволяє легко керувати робочими навантаженнями та ресурсами AWS, які вимагають каталогу. З AWS Managed Microsoft AD ви можете використовувати ваші існуючі користувачів, групи та політики Active Directory для управління доступом до ваших ресурсів AWS. Це може спростити управління вашою ідентичністю та зменшити потребу в додаткових рішеннях для ідентифікації. AWS Managed Microsoft AD також надає автоматичні резервні копії та можливості відновлення після аварії, що допомагає забезпечити доступність та довговічність вашого каталогу. Загалом, служба каталогів AWS для Microsoft Active Directory може допомогти вам заощадити час та ресурси, надаючи керовану, високодоступну та масштабовану службу Active Directory в AWS Cloud.

Опції

Служба каталогів дозволяє створювати 5 типів каталогів:

• AWS Managed Microsoft AD: Це запустить новий Microsoft AD в AWS. Ви зможете встановити пароль адміністратора та отримати доступ до DC в VPC.

• Simple AD: Це буде Linux-Samba сервер, сумісний з Active Directory. Ви зможете встановити пароль адміністратора та отримати доступ до DC в VPC.

• AD Connector: Проксі для перенаправлення запитів каталогу до вашого існуючого Microsoft Active Directory без кешування будь-якої інформації в хмарі. Він буде прослуховувати в VPC, і вам потрібно надати дані для доступу до існуючого AD.

• Amazon Cognito User Pools: Це те саме, що і Cognito User Pools.

• Cloud Directory: Це найпростіший варіант. Безсерверний каталог, де ви вказуєте схему для використання та сплачуєте за використання.

Служби каталогів AWS дозволяють синхронізувати з вашим існуючим локальним Microsoft AD, запустити свій власний в AWS або синхронізувати з іншими типами каталогів.

Лабораторія

Тут ви знайдете гарний посібник для створення свого власного Microsoft AD в AWS: https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_tutorial_test_lab_base.html

Енумерація

# Get directories and DCs
aws ds describe-directories
aws ds describe-domain-controllers --directory-id <id>
# Get directory settings
aws ds describe-trusts
aws ds describe-ldaps-settings --directory-id <id>
aws ds describe-shared-directories --owner-directory-id <id>
aws ds get-directory-limits
aws ds list-certificates --directory-id <id>
aws ds describe-certificate --directory-id <id> --certificate-id <id>

Вхід

Зверніть увагу, що якщо опис каталогу містить домен у полі AccessUrl, це означає, що користувач можливо може увійти за допомогою своїх AD облікових даних в деякі AWS сервіси:

• <name>.awsapps.com/connect (Amazon Connect)

• <name>.awsapps.com/workdocs (Amazon WorkDocs)

• <name>.awsapps.com/workmail (Amazon WorkMail)

• <name>.awsapps.com/console (Amazon Management Console)

• <name>.awsapps.com/start (IAM Identity Center)

Підвищення привілеїв

Постійність

Використання користувача AD

Користувач AD може бути наданий доступ до консолі управління AWS через Роль для припущення. Ім'я користувача за замовчуванням - Admin і можливо змінити його пароль з консолі AWS.

Отже, можливо змінити пароль Admin, створити нового користувача або змінити пароль користувача та надати цьому користувачеві Роль для збереження доступу. Також можливо додати користувача до групи всередині AD та надати цій групі AD доступ до Ролі (щоб зробити цю постійність більш непомітною).

Поділ AD (від жертви до атакуючого)

Можливо поділити середовище AD від жертви до атакуючого. Таким чином атакуючий зможе продовжувати отримувати доступ до середовища AD. Однак це передбачає поділ керованого AD та створення з'єднання VPC peering.

Тут можна знайти посібник: https://docs.aws.amazon.com/directoryservice/latest/admin-guide/step1_setup_networking.html

Поділ AD (від атакуючого до жертви)

Схоже, що неможливо надати доступ AWS користувачам з іншого середовища AD до одного облікового запису AWS.

WorkDocs

Amazon Web Services (AWS) WorkDocs - це хмарна система зберігання та обміну файлами. Вона є частиною набору хмарних обчислювальних послуг AWS і призначена для надання безпечного та масштабованого рішення для організацій щодо зберігання, обміну та співпраці над файлами та документами.

AWS WorkDocs надає веб-інтерфейс для користувачів для завантаження, доступу та управління їх файлами та документами. Вона також пропонує функції, такі як контроль версій, співпраця в реальному часі та інтеграція з іншими сервісами AWS та інструментами сторонніх розробників.

Енумерація

# Get AD users (Admin not included)
aws workdocs describe-users --organization-id <directory-id>
# Get AD groups (containing "a")
aws workdocs describe-groups --organization-id d-9067a0285c --search-query a

# Create user (created inside the AD)
aws workdocs create-user --username testingasd --given-name testingasd --surname testingasd --password <password> --email-address name@directory.domain --organization-id <directory-id>

# Get what each user has created
aws workdocs describe-activities --user-id "S-1-5-21-377..."

# Get what was created in the directory
aws workdocs describe-activities --organization-id <directory-id>

# Get folder content
aws workdocs describe-folder-contents --folder-id <fold-id>

# Get file (a url to access with the content will be retreived)
aws workdocs get-document --document-id <doc-id>

# Get resource permissions if any
aws workdocs describe-resource-permissions --resource-id <value>

# Add permission so anyway can see the file
aws workdocs add-resource-permissions --resource-id <id> --principals Id=anonymous,Type=ANONYMOUS,Role=VIEWER
## This will give an id, the file will be acesible in: https://<name>.awsapps.com/workdocs/index.html#/share/document/<id>

Підвищення привілеїв