gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2025-12-31 23:15:48 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-cloud/azure-security/az-services/az-file-sha

Browse Source
This commit is contained in:
Translator
2025-01-29 11:34:47 +00:00
parent 9e886f5d50
commit 0f8dd41b0d
1 changed files with 12 additions and 7 deletions
Download Patch File Download Diff File Expand all files Collapse all files

19
src/pentesting-cloud/azure-security/az-services/az-file-shares.md
View File

@@ -4,7 +4,7 @@
## Grundlegende Informationen
**Azure Files** ist ein vollständig verwalteter Cloud-Dateispeicherdienst, der gemeinsamen Dateispeicher über die standardmäßigen **SMB (Server Message Block)**- und **NFS (Network File System)**-Protokolle bereitstellt. Obwohl das Hauptprotokoll SMB ist, werden NFS Azure-Dateifreigaben für Windows nicht unterstützt (laut den [**Docs**](https://learn.microsoft.com/en-us/azure/storage/files/files-nfs-protocol)). Es ermöglicht Ihnen, hochverfügbare Netzwerkdateifreigaben zu erstellen, die gleichzeitig von mehreren virtuellen Maschinen (VMs) oder lokalen Systemen zugegriffen werden können, was nahtloses Dateifreigeben über verschiedene Umgebungen hinweg ermöglicht.
**Azure Files** ist ein vollständig verwalteter Cloud-Dateispeicherdienst, der gemeinsamen Dateispeicher über die standardmäßigen **SMB (Server Message Block)** und **NFS (Network File System)** Protokolle bereitstellt. Obwohl das Hauptprotokoll SMB ist, werden NFS Azure-Dateifreigaben für Windows nicht unterstützt (laut den [**Docs**](https://learn.microsoft.com/en-us/azure/storage/files/files-nfs-protocol)). Es ermöglicht Ihnen, hochverfügbare Netzwerkdateifreigaben zu erstellen, die gleichzeitig von mehreren virtuellen Maschinen (VMs) oder lokalen Systemen zugegriffen werden können, was nahtloses Dateifreigeben über verschiedene Umgebungen hinweg ermöglicht.
### Zugriffsebenen
@@ -15,15 +15,15 @@
### Backups
- **Tägliches Backup**: Ein Backup-Punkt wird jeden Tag zu einer angegebenen Zeit (z. B. 19.30 UTC) erstellt und für 1 bis 200 Tage gespeichert.
- **Tägliches Backup**: Ein Backup-Punkt wird jeden Tag zu einer angegebenen Zeit (z.B. 19.30 UTC) erstellt und für 1 bis 200 Tage gespeichert.
- **Wöchentliches Backup**: Ein Backup-Punkt wird jede Woche an einem angegebenen Tag und zu einer angegebenen Zeit (Sonntag um 19.30) erstellt und für 1 bis 200 Wochen gespeichert.
- **Monatliches Backup**: Ein Backup-Punkt wird jeden Monat an einem angegebenen Tag und zu einer angegebenen Zeit (z. B. erster Sonntag um 19.30) erstellt und für 1 bis 120 Monate gespeichert.
- **Jährliches Backup**: Ein Backup-Punkt wird jedes Jahr an einem angegebenen Tag und zu einer angegebenen Zeit (z. B. erster Sonntag im Januar um 19.30) erstellt und für 1 bis 10 Jahre gespeichert.
- **Monatliches Backup**: Ein Backup-Punkt wird jeden Monat an einem angegebenen Tag und zu einer angegebenen Zeit (z.B. erster Sonntag um 19.30) erstellt und für 1 bis 120 Monate gespeichert.
- **Jährliches Backup**: Ein Backup-Punkt wird jedes Jahr an einem angegebenen Tag und zu einer angegebenen Zeit (z.B. erster Sonntag im Januar um 19.30) erstellt und für 1 bis 10 Jahre gespeichert.
- Es ist auch möglich, **manuelle Backups und Snapshots jederzeit** durchzuführen. Backups und Snapshots sind in diesem Kontext tatsächlich dasselbe.
### Unterstützte Authentifizierungen über SMB
- **On-Premises AD DS-Authentifizierung**: Es verwendet lokale Active Directory-Anmeldeinformationen, die mit Microsoft Entra ID für identitätsbasierten Zugriff synchronisiert sind. Es erfordert eine Netzwerkverbindung zu lokalem AD DS.
- **On-premises AD DS-Authentifizierung**: Es verwendet lokale Active Directory-Anmeldeinformationen, die mit Microsoft Entra ID für identitätsbasierten Zugriff synchronisiert sind. Es erfordert eine Netzwerkverbindung zu lokalem AD DS.
- **Microsoft Entra Domain Services-Authentifizierung**: Es nutzt Microsoft Entra Domain Services (cloudbasiertes AD), um den Zugriff mit Microsoft Entra-Anmeldeinformationen bereitzustellen.
- **Microsoft Entra Kerberos für hybride Identitäten**: Es ermöglicht Microsoft Entra-Benutzern, Azure-Dateifreigaben über das Internet mit Kerberos zu authentifizieren. Es unterstützt hybride Microsoft Entra-verbundene oder Microsoft Entra-verbundene VMs, ohne dass eine Verbindung zu lokalen Domänencontrollern erforderlich ist. Es unterstützt jedoch keine cloudbasierten Identitäten.
- **AD Kerberos-Authentifizierung für Linux-Clients**: Es ermöglicht Linux-Clients, Kerberos für die SMB-Authentifizierung über lokales AD DS oder Microsoft Entra Domain Services zu verwenden.
@@ -45,6 +45,11 @@ az storage file list --account-name <name> --share-name <share-name>
az storage file list --account-name <name> --share-name <prev_dir/share-name>
# Download a complete share (with directories and files inside of them)
az storage file download-batch -d . --source <share-name> --account-name <name>
# List snapshots
az storage share snapshot --name <share-name>
# List file shares, including deleted ones
az rest --method GET \
--url "https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{storageAccountName}/fileServices/default/shares?%24skipToken=&%24maxpagesize=20&%24filter=&%24expand=deleted&api-version=2019-06-01"
# Get snapshots/backups
az storage share list --account-name <name> --include-snapshots --query "[?snapshot != null]"
@@ -80,7 +85,7 @@ Get-AzStorageFile -ShareName "<share-name>" -Context (New-AzStorageContext -Stor
{{#endtabs}}
> [!NOTE]
> Standardmäßig verwendet die `az` CLI einen Kontoschlüssel, um einen Schlüssel zu signieren und die Aktion auszuführen. Um die Berechtigungen des Entra ID-Prinzipals zu verwenden, verwenden Sie die Parameter `--auth-mode login --enable-file-backup-request-intent`.
> Standardmäßig verwendet die `az` CLI einen Kontoschlüssel, um einen Schlüssel zu signieren und die Aktion auszuführen. Um die Berechtigungen des Entra ID-Principals zu verwenden, verwenden Sie die Parameter `--auth-mode login --enable-file-backup-request-intent`.
> [!TIP]
> Verwenden Sie den Parameter `--account-key`, um den zu verwendenden Kontoschlüssel anzugeben\
@@ -88,7 +93,7 @@ Get-AzStorageFile -ShareName "<share-name>" -Context (New-AzStorageContext -Stor
### Verbindung
Dies sind die Skripte, die Azure zum Zeitpunkt des Schreibens vorschlägt, um eine File Share zu verbinden:
Dies sind die von Azure zum Zeitpunkt des Schreibens vorgeschlagenen Skripte, um eine File Share zu verbinden:
Sie müssen die Platzhalter `<STORAGE-ACCOUNT>`, `<ACCESS-KEY>` und `<FILE-SHARE-NAME>` ersetzen.