From 467b7a76489f01fd6978229912d0eee9872eb1ef Mon Sep 17 00:00:00 2001 From: Translator Date: Sun, 26 Jan 2025 15:10:39 +0000 Subject: [PATCH] Translated ['src/pentesting-cloud/azure-security/README.md', 'src/pentes --- src/pentesting-cloud/azure-security/README.md | 70 ++++++++++--------- .../azure-security/az-persistence/README.md | 14 ++-- .../azure-security/az-services/az-azuread.md | 36 +++++----- 3 files changed, 63 insertions(+), 57 deletions(-) diff --git a/src/pentesting-cloud/azure-security/README.md b/src/pentesting-cloud/azure-security/README.md index 7c37f33c4..411bb83ae 100644 --- a/src/pentesting-cloud/azure-security/README.md +++ b/src/pentesting-cloud/azure-security/README.md @@ -12,50 +12,50 @@ az-basic-information/ ## Azure Pentester/Red Team Methodology -AZURE वातावरण का ऑडिट करने के लिए यह बहुत महत्वपूर्ण है: कौन से **सेवाएँ उपयोग की जा रही हैं**, क्या **प्रदर्शित किया जा रहा है**, किसके पास **पहुँच** है, और आंतरिक Azure सेवाएँ और **बाहरी सेवाएँ** कैसे जुड़ी हुई हैं। +AZURE वातावरण का ऑडिट करने के लिए यह जानना बहुत महत्वपूर्ण है: कौन से **सेवाएँ उपयोग की जा रही हैं**, क्या **प्रदर्शित किया जा रहा है**, किसके पास **पहुँच** है, और आंतरिक Azure सेवाएँ और **बाहरी सेवाएँ** कैसे जुड़ी हुई हैं। Red Team के दृष्टिकोण से, **Azure वातावरण को समझौता करने का पहला कदम** कुछ **foothold** प्राप्त करना है। ### External enum & Initial Access -पहला कदम निश्चित रूप से उस टेनेन्ट के बारे में जानकारी इकट्ठा करना है जिसे आप हमला कर रहे हैं और एक foothold प्राप्त करने की कोशिश करना है। +पहला कदम निश्चित रूप से उस टेनेन्ट के बारे में जानकारी इकट्ठा करना है जिसे आप हमला कर रहे हैं और foothold प्राप्त करने की कोशिश करना है। डोमेन नाम के आधार पर यह जानना संभव है **क्या कंपनी Azure का उपयोग कर रही है**, **टेनेन्ट ID** प्राप्त करें, उसी टेनेन्ट में अन्य **मान्य डोमेन** प्राप्त करें (यदि अधिक हैं) और **संबंधित जानकारी** प्राप्त करें जैसे कि SSO सक्षम है या नहीं, मेल कॉन्फ़िगरेशन, मान्य उपयोगकर्ता ईमेल... -**बाहरी एन्यूमरेशन** करने के लिए निम्नलिखित पृष्ठ की जांच करें: +**बाहरी एन्यूमरेशन** करने के लिए निम्नलिखित पृष्ठ देखें: {{#ref}} az-unauthenticated-enum-and-initial-entry/ {{#endref}} -इस जानकारी के साथ, foothold प्राप्त करने के लिए सबसे सामान्य तरीके हैं: -- **OSINT**: GitHub या किसी अन्य ओपन-सोर्स प्लेटफॉर्म पर **leaks** की जांच करें जो **क्रेडेंशियल्स** या दिलचस्प जानकारी रख सकता है। -- **Password** पुन: उपयोग, लीक या [password spraying](az-unauthenticated-enum-and-initial-entry/az-password-spraying.md) -- एक कर्मचारी के लिए क्रेडेंशियल्स खरीदें -- [**Common Phishing**](https://book.hacktricks.wiki/en/generic-methodologies-and-resources/phishing-methodology/index.html) (क्रेडेंशियल्स या Oauth ऐप) +इस जानकारी के साथ foothold प्राप्त करने के लिए सबसे सामान्य तरीके हैं: +- **OSINT**: GitHub या किसी अन्य ओपन-सोर्स प्लेटफॉर्म पर **leaks** की जांच करें जो **credentials** या दिलचस्प जानकारी हो सकती है। +- **Password** पुन: उपयोग, leaks या [password spraying](az-unauthenticated-enum-and-initial-entry/az-password-spraying.md) +- एक कर्मचारी से credentials खरीदें +- [**Common Phishing**](https://book.hacktricks.wiki/en/generic-methodologies-and-resources/phishing-methodology/index.html) (credentials या Oauth App) - [Device Code Authentication Phishing](az-unauthenticated-enum-and-initial-entry/az-device-code-authentication-phishing.md) -- 3rd पार्टी **breached** +- 3rd parties **breached** - Azure-Hosted Applications में कमजोरियाँ - [**Server Side Request Forgery**](https://book.hacktricks.wiki/en/pentesting-web/ssrf-server-side-request-forgery/cloud-ssrf.html) के साथ मेटाडेटा एंडपॉइंट तक पहुँच - **Subdomain takeovers** जैसे [https://godiego.co/posts/STO-Azure/](https://godiego.co/posts/STO-Azure/) - **अन्य Azure सेवाओं की गलत कॉन्फ़िगरेशन** - यदि किसी डेवलपर का लैपटॉप समझौता किया गया है ([WinPEAS और LinPEAS](https://github.com/peass-ng/PEASS-ng) इस जानकारी को खोज सकते हैं): - **`/.Azure`** के अंदर -- **`azureProfile.json`** पिछले लॉगिन उपयोगकर्ताओं के बारे में जानकारी रखता है +- **`azureProfile.json`** पिछले लॉग इन उपयोगकर्ताओं के बारे में जानकारी रखता है - **`clouds.config contains`** सब्सक्रिप्शन के बारे में जानकारी रखता है -- **`service_principal_entries.json`** एप्लिकेशन क्रेडेंशियल्स (टेनेन्ट आईडी, क्लाइंट और सीक्रेट) रखता है। केवल Linux और macOS में +- **`service_principal_entries.json`** एप्लिकेशन के credentials (टेनेन्ट आईडी, क्लाइंट और सीक्रेट) रखता है। केवल Linux और macOS में - **`msal_token_cache.json`** में एक्सेस टोकन और रिफ्रेश टोकन होते हैं। केवल Linux और macOS में - **`service_principal_entries.bin`** और msal_token_cache.bin Windows में उपयोग होते हैं और DPAPI के साथ एन्क्रिप्टेड होते हैं - **`msal_http_cache.bin`** HTTP अनुरोध का कैश है - इसे लोड करें: `with open("msal_http_cache.bin", 'rb') as f: pickle.load(f)` -- **`AzureRmContext.json`** पिछले लॉगिन के बारे में जानकारी रखता है जो Az PowerShell का उपयोग करके किया गया था (लेकिन कोई क्रेडेंशियल्स नहीं) -- **`C:\Users\\AppData\Local\Microsoft\IdentityCache\*`** के अंदर कई `.bin` फ़ाइलें हैं जिनमें **एक्सेस टोकन**, आईडी टोकन और उपयोगकर्ता DPAPI के साथ एन्क्रिप्टेड खाता जानकारी होती है। -- **`C:\Users\\AppData\Local\Microsoft\TokenBroken\Cache\`** के अंदर `.tbres` फ़ाइलों में अधिक **एक्सेस टोकन** मिल सकते हैं, जो DPAPI के साथ बेस64 एन्क्रिप्टेड होते हैं। -- Linux और macOS में आप Az PowerShell (यदि उपयोग किया गया हो) से **एक्सेस टोकन, रिफ्रेश टोकन और आईडी टोकन** प्राप्त कर सकते हैं `pwsh -Command "Save-AzContext -Path /tmp/az-context.json"` चलाकर -- Windows में यह केवल आईडी टोकन उत्पन्न करता है। -- यह देखना संभव है कि क्या Az PowerShell का उपयोग Linux और macOS में किया गया था यह जांचकर कि `$HOME/.local/share/.IdentityService/` मौजूद है (हालांकि इसमें मौजूद फ़ाइलें खाली और बेकार हैं) +- **`AzureRmContext.json`** Az PowerShell का उपयोग करके पिछले लॉगिन के बारे में जानकारी रखता है (लेकिन कोई credentials नहीं) +- **`C:\Users\\AppData\Local\Microsoft\IdentityCache\*`** के अंदर कई `.bin` फ़ाइलें हैं जिनमें **access tokens**, ID tokens और उपयोगकर्ता के DPAPI के साथ एन्क्रिप्टेड खाता जानकारी होती है। +- **`C:\Users\\AppData\Local\Microsoft\TokenBroken\Cache\`** के अंदर `.tbres` फ़ाइलों में अधिक **access tokens** मिल सकते हैं, जो DPAPI के साथ एन्क्रिप्टेड बेस64 होते हैं। +- Linux और macOS में आप Az PowerShell (यदि उपयोग किया गया हो) से **access tokens, refresh tokens और id tokens** प्राप्त कर सकते हैं `pwsh -Command "Save-AzContext -Path /tmp/az-context.json"` चलाकर +- Windows में यह केवल ID tokens उत्पन्न करता है। +- यह देखना संभव है कि क्या Az PowerShell का उपयोग Linux और macOS में किया गया था, यह जांचकर कि `$HOME/.local/share/.IdentityService/` मौजूद है (हालांकि इसमें मौजूद फ़ाइलें खाली और बेकार हैं) -फुटहोल्ड की ओर ले जाने वाली **अन्य Azure सेवाओं की गलत कॉन्फ़िगरेशन** खोजें निम्नलिखित पृष्ठ पर: +फुटहोल प्राप्त करने के लिए **अन्य Azure सेवाओं की गलत कॉन्फ़िगरेशन** खोजें निम्नलिखित पृष्ठ पर: {{#ref}} az-unauthenticated-enum-and-initial-entry/ @@ -72,19 +72,25 @@ az-unauthenticated-enum-and-initial-entry/ az-enumeration-tools.md {{#endref}} -### Bypass Login Conditions +### Bypass Access Policies
-उन मामलों में जहाँ आपके पास कुछ मान्य क्रेडेंशियल्स हैं लेकिन आप लॉगिन नहीं कर सकते, ये कुछ सामान्य सुरक्षा उपाय हैं जो लागू हो सकते हैं: +उन मामलों में जहाँ आपके पास कुछ मान्य credentials हैं लेकिन आप लॉगिन नहीं कर सकते, ये कुछ सामान्य सुरक्षा उपाय हैं जो लागू हो सकते हैं: -- **IP whitelisting** -- आपको एक मान्य IP से समझौता करने की आवश्यकता है +- **IP whitelisting** -- आपको एक मान्य IP से समझौता करना होगा - **Geo restrictions** -- पता करें कि उपयोगकर्ता कहाँ रहता है या कंपनी के कार्यालय कहाँ हैं और उसी शहर (या कम से कम देश) से एक IP प्राप्त करें -- **Browser** -- शायद केवल कुछ OS (Windows, Linux, Mac, Android, iOS) से एक ब्राउज़र की अनुमति है। पता करें कि पीड़ित/कंपनी कौन सा OS उपयोग करती है। -- आप **Service Principal क्रेडेंशियल्स** से भी समझौता करने की कोशिश कर सकते हैं क्योंकि ये आमतौर पर कम सीमित होते हैं और इसका लॉगिन कम समीक्षा किया जाता है +- **Browser** -- शायद केवल कुछ OS (Windows, Linux, Mac, Android, iOS) से एक ब्राउज़र की अनुमति है। पता करें कि पीड़ित/कंपनी कौन सा OS उपयोग कर रही है। +- आप **Service Principal credentials** को भी समझौता करने की कोशिश कर सकते हैं क्योंकि ये आमतौर पर कम सीमित होते हैं और इसका लॉगिन कम समीक्षा किया जाता है इसे बायपास करने के बाद, आप अपनी प्रारंभिक सेटअप पर वापस जाने में सक्षम हो सकते हैं और आपके पास अभी भी पहुँच होगी। +जांचें: + +{{#ref}} +az-privilege-escalation/az-entraid-privesc/az-conditional-access-policies-mfa-bypass.md +{{#endref}} + ### Whoami > [!CAUTION] @@ -135,7 +141,7 @@ Get-AzureADTenantDetail {{#endtabs }} -### Entra ID Enumeration & Privilege Escalation +### Entra ID Enumeration & Privesc डिफ़ॉल्ट रूप से, किसी भी उपयोगकर्ता को **उपयोगकर्ताओं, समूहों, भूमिकाओं, सेवा प्रमुखों** जैसी चीजों को सूचीबद्ध करने के लिए **पर्याप्त अनुमतियाँ होनी चाहिए**... (चेक [default AzureAD permissions](az-basic-information/index.html#default-user-permissions)).\ यहाँ एक गाइड है: @@ -151,25 +157,25 @@ az-enumeration-tools.md#automated-post-exploitation-tools {{#endref}} -### Enumerate Azure Services +### Azure Enumeration -एक बार जब आप जान लेते हैं कि आप कौन हैं, तो आप **Azure सेवाओं को सूचीबद्ध करना शुरू कर सकते हैं जिन तक आपकी पहुँच है**। +एक बार जब आप जान लेते हैं कि आप कौन हैं, तो आप **Azure सेवाओं की सूचीबद्धता शुरू कर सकते हैं जिन तक आपकी पहुँच है**। आपको यह पता लगाना चाहिए कि आपके पास **संसाधनों पर क्या अनुमतियाँ हैं**। इसके लिए: 1. **उस संसाधन को खोजें जिसके लिए आपके पास कुछ पहुँच है**: -Az PoswerShell कमांड **`Get-AzResource`** आपको **जानकारी देता है कि आपके वर्तमान उपयोगकर्ता के पास कौन से संसाधनों पर दृश्यता है**। +Az PoswerShell कमांड **`Get-AzResource`** आपको **जानकारी देता है कि आपके वर्तमान उपयोगकर्ता के पास किन संसाधनों पर दृश्यता है**। -इसके अलावा, आप **वेब कंसोल** में जाकर या "All resources" के लिए खोजकर या निष्पादित करके वही जानकारी प्राप्त कर सकते हैं: `az rest --method GET --url "https://management.azure.com/subscriptions//resources?api-version=2021-04-01"` +इसके अलावा, आप **वेब कंसोल** में [https://portal.azure.com/#view/HubsExtension/BrowseAll](https://portal.azure.com/#view/HubsExtension/BrowseAll) पर जाकर या "All resources" के लिए खोजकर या निष्पादित करके वही जानकारी प्राप्त कर सकते हैं: `az rest --method GET --url "https://management.azure.com/subscriptions//resources?api-version=2021-04-01"` -2. **उन संसाधनों पर आपके पास जो अनुमतियाँ हैं उन्हें खोजें और आपके लिए असाइन की गई भूमिकाएँ खोजें**: +2. **उन संसाधनों पर आपके पास जो अनुमतियाँ हैं उन्हें खोजें जिन तक आपकी पहुँच है और आपके लिए असाइन की गई भूमिकाएँ खोजें**: ध्यान दें कि आपको इस क्रिया को निष्पादित करने के लिए अनुमति **`Microsoft.Authorization/roleAssignments/read`** की आवश्यकता है। -इसके अलावा, पर्याप्त अनुमतियों के साथ, भूमिका **`Get-AzRoleAssignment`** का उपयोग **सदस्यता में सभी भूमिकाओं को सूचीबद्ध करने** या एक विशिष्ट संसाधन पर अनुमति प्राप्त करने के लिए किया जा सकता है जैसे: **`Get-AzRoleAssignment -Scope /subscriptions/9291ff6e-6afb-430e-82a4-6f04b2d05c7f/resourceGroups/Resource_Group_1/providers/Microsoft.RecoveryServices/vaults/vault-m3ww8ut4`**। +इसके अलावा, पर्याप्त अनुमतियों के साथ, भूमिका **`Get-AzRoleAssignment`** का उपयोग **सदस्यता में सभी भूमिकाओं की सूचीबद्धता** करने या एक विशिष्ट संसाधन पर अनुमति प्राप्त करने के लिए किया जा सकता है जैसे: **`Get-AzRoleAssignment -Scope /subscriptions/9291ff6e-6afb-430e-82a4-6f04b2d05c7f/resourceGroups/Resource_Group_1/providers/Microsoft.RecoveryServices/vaults/vault-m3ww8ut4`**। -यह जानकारी प्राप्त करना भी संभव है **`az rest --method GET --uri "https://management.azure.com//providers/Microsoft.Authorization/roleAssignments?api-version=2020-08-01-preview" | jq ".value"`** चलाकर जैसे: +यह जानकारी प्राप्त करने के लिए **`az rest --method GET --uri "https://management.azure.com//providers/Microsoft.Authorization/roleAssignments?api-version=2020-08-01-preview" | jq ".value"`** चलाना भी संभव है जैसे: - **`az rest --method GET --uri "https://management.azure.com//subscriptions/9291ff6e-6afb-430e-82a4-6f04b2d05c7f/resourceGroups/Resource_Group_1/providers/Microsoft.KeyVault/vaults/vault-m3ww8ut4/providers/Microsoft.Authorization/roleAssignments?api-version=2020-08-01-preview" | jq ".value"`** @@ -186,7 +192,7 @@ Az PoswerShell कमांड **`Get-AzResource`** आपको **जानक az-services/ {{#endref}} -### Privilege Escalation, Post-Exploitation & Persistence in Azure Services +### Privilege Escalation, Post-Exploitation & Persistence एक बार जब आप जान लेते हैं कि Azure वातावरण कैसे संरचित है और कौन सी सेवाएँ उपयोग की जा रही हैं, तो आप **अनुमतियों को बढ़ाने, पार्श्व रूप से स्थानांतरित करने, अन्य पोस्ट-एक्सप्लॉइटेशन हमलों को करने और स्थिरता बनाए रखने** के तरीकों की तलाश शुरू कर सकते हैं। diff --git a/src/pentesting-cloud/azure-security/az-persistence/README.md b/src/pentesting-cloud/azure-security/az-persistence/README.md index 17f6033b3..b63f179ea 100644 --- a/src/pentesting-cloud/azure-security/az-persistence/README.md +++ b/src/pentesting-cloud/azure-security/az-persistence/README.md @@ -2,15 +2,15 @@ {{#include ../../../banners/hacktricks-training.md}} -### अवैध सहमति अनुदान +### OAuth Application -डिफ़ॉल्ट रूप से, कोई भी उपयोगकर्ता Azure AD में एक एप्लिकेशन पंजीकृत कर सकता है। इसलिए आप एक एप्लिकेशन पंजीकृत कर सकते हैं (केवल लक्षित टेनेट के लिए) जिसे उच्च प्रभाव वाले अनुमतियों की आवश्यकता होती है जिसमें व्यवस्थापक की सहमति (यदि आप व्यवस्थापक हैं तो इसे स्वीकृत करें) - जैसे कि किसी उपयोगकर्ता की ओर से मेल भेजना, भूमिका प्रबंधन आदि। यह हमें **फिशिंग हमलों को निष्पादित करने** की अनुमति देगा जो सफलता की स्थिति में बहुत **लाभकारी** होंगे। +डिफ़ॉल्ट रूप से, कोई भी उपयोगकर्ता Entra ID में एक एप्लिकेशन पंजीकृत कर सकता है। इसलिए आप एक एप्लिकेशन पंजीकृत कर सकते हैं (केवल लक्षित टेनेट के लिए) जिसे उच्च प्रभाव वाले अनुमतियों की आवश्यकता है जिसमें व्यवस्थापक की सहमति हो (यदि आप व्यवस्थापक हैं तो इसे स्वीकृत करें) - जैसे कि किसी उपयोगकर्ता की ओर से मेल भेजना, भूमिका प्रबंधन आदि। यह हमें **फिशिंग हमलों को निष्पादित करने** की अनुमति देगा जो सफलता की स्थिति में बहुत **लाभकारी** होंगे। -इसके अलावा, आप उस एप्लिकेशन को अपने उपयोगकर्ता के रूप में स्वीकार कर सकते हैं ताकि उस पर पहुंच बनाए रख सकें। +इसके अलावा, आप अपने उपयोगकर्ता के साथ उस एप्लिकेशन को स्वीकार कर सकते हैं ताकि उस पर पहुंच बनाए रख सकें। -### एप्लिकेशन और सेवा प्रमुख +### Applications and Service Principals -एप्लिकेशन प्रशासक, GA या microsoft.directory/applications/credentials/update अनुमतियों के साथ एक कस्टम भूमिका के विशेषाधिकार के साथ, हम एक मौजूदा एप्लिकेशन में क्रेडेंशियल (गुप्त या प्रमाणपत्र) जोड़ सकते हैं। +एप्लिकेशन प्रशासक, GA या microsoft.directory/applications/credentials/update अनुमतियों के साथ कस्टम भूमिका के विशेषाधिकारों के साथ, हम एक मौजूदा एप्लिकेशन में क्रेडेंशियल्स (गुप्त या प्रमाणपत्र) जोड़ सकते हैं। यह **उच्च अनुमतियों वाले एप्लिकेशन को लक्षित करना** या **उच्च अनुमतियों के साथ एक नया एप्लिकेशन जोड़ना** संभव है। @@ -30,7 +30,7 @@ Connect-AzAccount -ServicePrincipal -Tenant -CertificateThumbprint | Get-AzureADApplicationOwner |fl * {{#endtabs }} > [!WARNING] -> एक ऐप जिसमें अनुमति **`AppRoleAssignment.ReadWrite`** है, **Global Admin** के रूप में **उच्चीकृत** हो सकता है।\ +> एक ऐप जिसमें अनुमति **`AppRoleAssignment.ReadWrite`** है, **Global Admin** में **escalate** कर सकता है।\ > अधिक जानकारी के लिए [**यहाँ देखें**](https://posts.specterops.io/azure-privilege-escalation-via-azure-api-permissions-abuse-74aee1006f48). > [!NOTE] @@ -668,9 +668,9 @@ Get-AzureADApplication -ObjectId | Get-AzureADApplicationOwner |fl * > इसलिए, यदि आप इस **पासवर्ड** को ढूंढ लेते हैं, तो आप **service principal** के रूप में **tenant** के **अंदर** पहुँच सकते हैं।\ > ध्यान दें कि यह पासवर्ड केवल उत्पन्न होने पर ही दिखाई देता है (आप इसे बदल सकते हैं लेकिन फिर से प्राप्त नहीं कर सकते)।\ > **एप्लिकेशन** का **स्वामी** इसे **पासवर्ड** जोड़ सकता है (ताकि वह इसकी नकल कर सके)।\ -> इन service principals के रूप में लॉगिन **जोखिमपूर्ण** के रूप में **चिह्नित** नहीं होते हैं और इनमें **MFA** नहीं होगा। +> इन सेवा प्रमुखों के रूप में लॉगिन **जोखिमपूर्ण** के रूप में **चिह्नित नहीं होते** और इनमें **MFA नहीं होगा।** -Microsoft के सामान्य उपयोग किए जाने वाले App IDs की सूची [https://learn.microsoft.com/en-us/troubleshoot/entra/entra-id/governance/verify-first-party-apps-sign-in#application-ids-of-commonly-used-microsoft-applications](https://learn.microsoft.com/en-us/troubleshoot/entra/entra-id/governance/verify-first-party-apps-sign-in#application-ids-of-commonly-used-microsoft-applications) पर पाई जा सकती है। +Microsoft के सामान्य उपयोग किए जाने वाले ऐप IDs की सूची [https://learn.microsoft.com/en-us/troubleshoot/entra/entra-id/governance/verify-first-party-apps-sign-in#application-ids-of-commonly-used-microsoft-applications](https://learn.microsoft.com/en-us/troubleshoot/entra/entra-id/governance/verify-first-party-apps-sign-in#application-ids-of-commonly-used-microsoft-applications) पर पाई जा सकती है। ### Managed Identities @@ -858,7 +858,7 @@ Get-AzureADMSAdministrativeUnit | where { Get-AzureADMSAdministrativeUnitMember > [!WARNING] > यदि एक डिवाइस (VM) **AzureAD से जुड़ा** है, तो AzureAD के उपयोगकर्ता **लॉगिन करने में सक्षम** होंगे।\ -> इसके अलावा, यदि लॉगिन करने वाला उपयोगकर्ता डिवाइस का **स्वामी** है, तो वह **स्थानीय व्यवस्थापक** होगा। +> इसके अलावा, यदि लॉग इन किया हुआ उपयोगकर्ता डिवाइस का **स्वामी** है, तो वह **स्थानीय व्यवस्थापक** होगा। ### प्रशासनिक इकाइयाँ @@ -915,7 +915,7 @@ Get-AzureADMSScopedRoleMembership -Id | fl #Get role ID and role members Azure में विशेषाधिकार पहचान प्रबंधन (PIM) **अधिकतम विशेषाधिकार** को उपयोगकर्ताओं को अनावश्यक रूप से सौंपने से **रोकने** में मदद करता है। -PIM द्वारा प्रदान की जाने वाली मुख्य विशेषताओं में से एक यह है कि यह लगातार सक्रिय प्रिंसिपलों को भूमिकाएँ सौंपने की अनुमति नहीं देता, बल्कि उन्हें **एक निश्चित समय (जैसे 6 महीने)** के लिए **योग्य** बनाता है। फिर, जब भी उपयोगकर्ता उस भूमिका को सक्रिय करना चाहता है, तो उसे उस समय को इंगित करते हुए इसके लिए अनुरोध करना होगा जिसकी उसे आवश्यकता है (जैसे 3 घंटे)। फिर एक **व्यवस्थापक को** अनुरोध को मंजूरी देने की आवश्यकता होती है।\ +PIM द्वारा प्रदान की जाने वाली मुख्य विशेषताओं में से एक यह है कि यह लगातार सक्रिय प्रिंसिपलों को भूमिकाएँ सौंपने की अनुमति नहीं देता, बल्कि उन्हें **एक निश्चित समय (जैसे 6 महीने)** के लिए **योग्य** बनाता है। फिर, जब भी उपयोगकर्ता उस भूमिका को सक्रिय करना चाहता है, तो उसे यह बताना होगा कि उसे विशेषाधिकार की आवश्यकता है (जैसे 3 घंटे)। फिर एक **व्यवस्थापक को** अनुरोध को मंजूरी देने की आवश्यकता होती है।\ ध्यान दें कि उपयोगकर्ता **समय बढ़ाने** के लिए भी अनुरोध कर सकेगा। इसके अलावा, **PIM ईमेल भेजता है** जब किसी को विशेषाधिकार वाली भूमिका सौंपा जा रहा हो। @@ -926,36 +926,36 @@ PIM द्वारा प्रदान की जाने वाली म - सक्रियण की अधिकतम अवधि (घंटे) - सक्रियण पर MFA की आवश्यकता -- सक्रियण संदर्भ के लिए शर्तीय पहुँच प्रमाणीकरण की आवश्यकता +- शर्तीय पहुँच प्रमाणीकरण संदर्भ की आवश्यकता - सक्रियण पर औचित्य की आवश्यकता - सक्रियण पर टिकट जानकारी की आवश्यकता -- सक्रियण के लिए अनुमोदन की आवश्यकता +- सक्रिय करने के लिए अनुमोदन की आवश्यकता - योग्य असाइनमेंट की समाप्ति के लिए अधिकतम समय - जब उस भूमिका के साथ कुछ क्रियाएँ होती हैं, तो सूचनाएँ भेजने के लिए और भी बहुत सी कॉन्फ़िगरेशन -### शर्तीय पहुँच नीतियाँ +### शर्तीय पहुँच नीतियाँ -जाँच करें: +जाँचें: {{#ref}} ../az-privilege-escalation/az-entraid-privesc/az-conditional-access-policies-mfa-bypass.md {{#endref}} -### Entra पहचान सुरक्षा +### Entra पहचान सुरक्षा -Entra पहचान सुरक्षा एक सुरक्षा सेवा है जो **यह पहचानने** की अनुमति देती है कि जब कोई उपयोगकर्ता या साइन-इन बहुत जोखिम भरा होता है तो उसे स्वीकार नहीं किया जा सकता, जिससे उपयोगकर्ता या साइन-इन प्रयास को **ब्लॉक** किया जा सकता है। +Entra पहचान सुरक्षा एक सुरक्षा सेवा है जो **यह पहचानने की अनुमति देती है कि जब कोई उपयोगकर्ता या साइन-इन बहुत जोखिम भरा होता है** तो उसे स्वीकार नहीं किया जा सकता, जिससे उपयोगकर्ता या साइन-इन प्रयास को **ब्लॉक** किया जा सकता है। -यह व्यवस्थापक को इसे इस तरह कॉन्फ़िगर करने की अनुमति देता है कि जब जोखिम "कम और ऊपर", "मध्यम और ऊपर" या "उच्च" हो, तो प्रयासों को **ब्लॉक** किया जाए। हालाँकि, डिफ़ॉल्ट रूप से यह पूरी तरह से **निष्क्रिय** है: +यह व्यवस्थापक को इसे **ब्लॉक** करने के लिए कॉन्फ़िगर करने की अनुमति देता है जब जोखिम "कम और ऊपर", "मध्यम और ऊपर" या "उच्च" होता है। हालाँकि, डिफ़ॉल्ट रूप से यह पूरी तरह से **निष्क्रिय** है:
> [!TIP] -> आजकल, इन प्रतिबंधों को शर्तीय पहुँच नीतियों के माध्यम से जोड़ने की सिफारिश की जाती है जहाँ समान विकल्पों को कॉन्फ़िगर करना संभव है। +> आजकल, यह अनुशंसा की जाती है कि इन प्रतिबंधों को शर्तीय पहुँच नीतियों के माध्यम से जोड़ा जाए जहाँ समान विकल्पों को कॉन्फ़िगर करना संभव हो। ### Entra पासवर्ड सुरक्षा Entra पासवर्ड सुरक्षा ([https://portal.azure.com/index.html#view/Microsoft_AAD_ConditionalAccess/PasswordProtectionBlade](https://portal.azure.com/#view/Microsoft_AAD_ConditionalAccess/PasswordProtectionBlade)) एक सुरक्षा विशेषता है जो **कमजोर पासवर्ड के दुरुपयोग को रोकने में मदद करती है जब कई असफल लॉगिन प्रयास होते हैं**।\ -यह आपको एक कस्टम पासवर्ड सूची **बैन** करने की अनुमति भी देती है जिसे आपको प्रदान करना होगा। +यह एक कस्टम पासवर्ड सूची को **बैन** करने की अनुमति भी देती है जिसे आपको प्रदान करना होगा। यह **क्लाउड स्तर** और ऑन-प्रिमाइसेस सक्रिय निर्देशिका दोनों पर **लागू** किया जा सकता है।