diff --git a/src/pentesting-cloud/azure-security/az-services/az-file-shares.md b/src/pentesting-cloud/azure-security/az-services/az-file-shares.md index de119e0e3..c0b220b18 100644 --- a/src/pentesting-cloud/azure-security/az-services/az-file-shares.md +++ b/src/pentesting-cloud/azure-security/az-services/az-file-shares.md @@ -4,7 +4,7 @@ ## Grundlegende Informationen -**Azure Files** ist ein vollständig verwalteter Cloud-Dateispeicherdienst, der gemeinsamen Dateispeicher über die standardmäßigen **SMB (Server Message Block)**- und **NFS (Network File System)**-Protokolle bereitstellt. Obwohl das Hauptprotokoll SMB ist, werden NFS Azure-Dateifreigaben für Windows nicht unterstützt (laut den [**Docs**](https://learn.microsoft.com/en-us/azure/storage/files/files-nfs-protocol)). Es ermöglicht Ihnen, hochverfügbare Netzwerkdateifreigaben zu erstellen, die gleichzeitig von mehreren virtuellen Maschinen (VMs) oder lokalen Systemen zugegriffen werden können, was nahtloses Dateifreigeben über verschiedene Umgebungen hinweg ermöglicht. +**Azure Files** ist ein vollständig verwalteter Cloud-Dateispeicherdienst, der gemeinsamen Dateispeicher über die standardmäßigen **SMB (Server Message Block)** und **NFS (Network File System)** Protokolle bereitstellt. Obwohl das Hauptprotokoll SMB ist, werden NFS Azure-Dateifreigaben für Windows nicht unterstützt (laut den [**Docs**](https://learn.microsoft.com/en-us/azure/storage/files/files-nfs-protocol)). Es ermöglicht Ihnen, hochverfügbare Netzwerkdateifreigaben zu erstellen, die gleichzeitig von mehreren virtuellen Maschinen (VMs) oder lokalen Systemen zugegriffen werden können, was nahtloses Dateifreigeben über verschiedene Umgebungen hinweg ermöglicht. ### Zugriffsebenen @@ -15,15 +15,15 @@ ### Backups -- **Tägliches Backup**: Ein Backup-Punkt wird jeden Tag zu einer angegebenen Zeit (z. B. 19.30 UTC) erstellt und für 1 bis 200 Tage gespeichert. +- **Tägliches Backup**: Ein Backup-Punkt wird jeden Tag zu einer angegebenen Zeit (z.B. 19.30 UTC) erstellt und für 1 bis 200 Tage gespeichert. - **Wöchentliches Backup**: Ein Backup-Punkt wird jede Woche an einem angegebenen Tag und zu einer angegebenen Zeit (Sonntag um 19.30) erstellt und für 1 bis 200 Wochen gespeichert. -- **Monatliches Backup**: Ein Backup-Punkt wird jeden Monat an einem angegebenen Tag und zu einer angegebenen Zeit (z. B. erster Sonntag um 19.30) erstellt und für 1 bis 120 Monate gespeichert. -- **Jährliches Backup**: Ein Backup-Punkt wird jedes Jahr an einem angegebenen Tag und zu einer angegebenen Zeit (z. B. erster Sonntag im Januar um 19.30) erstellt und für 1 bis 10 Jahre gespeichert. +- **Monatliches Backup**: Ein Backup-Punkt wird jeden Monat an einem angegebenen Tag und zu einer angegebenen Zeit (z.B. erster Sonntag um 19.30) erstellt und für 1 bis 120 Monate gespeichert. +- **Jährliches Backup**: Ein Backup-Punkt wird jedes Jahr an einem angegebenen Tag und zu einer angegebenen Zeit (z.B. erster Sonntag im Januar um 19.30) erstellt und für 1 bis 10 Jahre gespeichert. - Es ist auch möglich, **manuelle Backups und Snapshots jederzeit** durchzuführen. Backups und Snapshots sind in diesem Kontext tatsächlich dasselbe. ### Unterstützte Authentifizierungen über SMB -- **On-Premises AD DS-Authentifizierung**: Es verwendet lokale Active Directory-Anmeldeinformationen, die mit Microsoft Entra ID für identitätsbasierten Zugriff synchronisiert sind. Es erfordert eine Netzwerkverbindung zu lokalem AD DS. +- **On-premises AD DS-Authentifizierung**: Es verwendet lokale Active Directory-Anmeldeinformationen, die mit Microsoft Entra ID für identitätsbasierten Zugriff synchronisiert sind. Es erfordert eine Netzwerkverbindung zu lokalem AD DS. - **Microsoft Entra Domain Services-Authentifizierung**: Es nutzt Microsoft Entra Domain Services (cloudbasiertes AD), um den Zugriff mit Microsoft Entra-Anmeldeinformationen bereitzustellen. - **Microsoft Entra Kerberos für hybride Identitäten**: Es ermöglicht Microsoft Entra-Benutzern, Azure-Dateifreigaben über das Internet mit Kerberos zu authentifizieren. Es unterstützt hybride Microsoft Entra-verbundene oder Microsoft Entra-verbundene VMs, ohne dass eine Verbindung zu lokalen Domänencontrollern erforderlich ist. Es unterstützt jedoch keine cloudbasierten Identitäten. - **AD Kerberos-Authentifizierung für Linux-Clients**: Es ermöglicht Linux-Clients, Kerberos für die SMB-Authentifizierung über lokales AD DS oder Microsoft Entra Domain Services zu verwenden. @@ -45,6 +45,11 @@ az storage file list --account-name --share-name az storage file list --account-name --share-name # Download a complete share (with directories and files inside of them) az storage file download-batch -d . --source --account-name +# List snapshots +az storage share snapshot --name +# List file shares, including deleted ones +az rest --method GET \ +--url "https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}/fileServices/default/shares?%24skipToken=&%24maxpagesize=20&%24filter=&%24expand=deleted&api-version=2019-06-01" # Get snapshots/backups az storage share list --account-name --include-snapshots --query "[?snapshot != null]" @@ -80,7 +85,7 @@ Get-AzStorageFile -ShareName "" -Context (New-AzStorageContext -Stor {{#endtabs}} > [!NOTE] -> Standardmäßig verwendet die `az` CLI einen Kontoschlüssel, um einen Schlüssel zu signieren und die Aktion auszuführen. Um die Berechtigungen des Entra ID-Prinzipals zu verwenden, verwenden Sie die Parameter `--auth-mode login --enable-file-backup-request-intent`. +> Standardmäßig verwendet die `az` CLI einen Kontoschlüssel, um einen Schlüssel zu signieren und die Aktion auszuführen. Um die Berechtigungen des Entra ID-Principals zu verwenden, verwenden Sie die Parameter `--auth-mode login --enable-file-backup-request-intent`. > [!TIP] > Verwenden Sie den Parameter `--account-key`, um den zu verwendenden Kontoschlüssel anzugeben\ @@ -88,7 +93,7 @@ Get-AzStorageFile -ShareName "" -Context (New-AzStorageContext -Stor ### Verbindung -Dies sind die Skripte, die Azure zum Zeitpunkt des Schreibens vorschlägt, um eine File Share zu verbinden: +Dies sind die von Azure zum Zeitpunkt des Schreibens vorgeschlagenen Skripte, um eine File Share zu verbinden: Sie müssen die Platzhalter ``, `` und `` ersetzen.