gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-02-04 19:11:41 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-cloud/azure-security/README.md', 'src/pentes

Browse Source
This commit is contained in:
Translator
2025-01-26 15:10:06 +00:00
parent 4f6a76436a
commit 677ef33c3e
3 changed files with 49 additions and 43 deletions
Download Patch File Download Diff File Expand all files Collapse all files

56
src/pentesting-cloud/azure-security/README.md
View File

@@ -4,7 +4,7 @@
## Basic Information
Μάθετε τα βασικά του Azure και του Entra ID στην παρακάτω σελίδα:
Μάθετε τα βασικά για το Azure και το Entra ID στην παρακάτω σελίδα:
{{#ref}}
az-basic-information/
@@ -36,9 +36,9 @@ az-unauthenticated-enum-and-initial-entry/
- [Phishing με Κωδικό Συσκευής](az-unauthenticated-enum-and-initial-entry/az-device-code-authentication-phishing.md)
- 3rd parties **breached**
- Ευπάθειες σε εφαρμογές που φιλοξενούνται στο Azure
- [**Server Side Request Forgery**](https://book.hacktricks.wiki/en/pentesting-web/ssrf-server-side-request-forgery/cloud-ssrf.html) με πρόσβαση στο endpoint μεταδεδομένων
- **Αναλήψεις υποτομέων** όπως στο [https://godiego.co/posts/STO-Azure/](https://godiego.co/posts/STO-Azure/)
- **Άλλες κακοδιαχειρίσεις υπηρεσιών Azure**
- [**Server Side Request Forgery**](https://book.hacktricks.wiki/en/pentesting-web/ssrf-server-side-request-forgery/cloud-ssrf.html) με πρόσβαση στο metadata endpoint
- **Subdomain takeovers** όπως στο [https://godiego.co/posts/STO-Azure/](https://godiego.co/posts/STO-Azure/)
- **Άλλες κακορυθμίσεις υπηρεσιών Azure**
- Αν κάποιο laptop προγραμματιστή έχει συμβιβαστεί ([WinPEAS και LinPEAS](https://github.com/peass-ng/PEASS-ng) μπορούν να βρουν αυτές τις πληροφορίες):
- Μέσα στο **`<HOME>/.Azure`**
- **`azureProfile.json`** περιέχει πληροφορίες σχετικά με τους συνδεδεμένους χρήστες από το παρελθόν
@@ -49,13 +49,13 @@ az-unauthenticated-enum-and-initial-entry/
- **`msal_http_cache.bin`** είναι μια cache HTTP αιτημάτων
- Φορτώστε το: `with open("msal_http_cache.bin", 'rb') as f: pickle.load(f)`
- **`AzureRmContext.json`** περιέχει πληροφορίες σχετικά με προηγούμενες συνδέσεις χρησιμοποιώντας Az PowerShell (αλλά όχι credentials)
- Μέσα στο **`C:\Users\<username>\AppData\Local\Microsoft\IdentityCache\*`** υπάρχουν αρκετά αρχεία `.bin` με **access tokens**, ID tokens και πληροφορίες λογαριασμού κρυπτογραφημένα με το DPAPI των χρηστών.
- Μέσα στο **`C:\Users\<username>\AppData\Local\Microsoft\IdentityCache\*`** υπάρχουν διάφορα αρχεία `.bin` με **access tokens**, ID tokens και πληροφορίες λογαριασμού κρυπτογραφημένα με το DPAPI των χρηστών.
- Είναι δυνατόν να βρείτε περισσότερα **access tokens** στα αρχεία `.tbres` μέσα στο **`C:\Users\<username>\AppData\Local\Microsoft\TokenBroken\Cache\`** που περιέχουν ένα base64 κρυπτογραφημένο με DPAPI με access tokens.
- Σε Linux και macOS μπορείτε να αποκτήσετε **access tokens, refresh tokens και id tokens** από το Az PowerShell (αν χρησιμοποιείται) εκτελώντας `pwsh -Command "Save-AzContext -Path /tmp/az-context.json"`
- Σε Windows αυτό απλώς δημιουργεί id tokens.
- Είναι δυνατόν να δείτε αν χρησιμοποιήθηκε το Az PowerShell σε Linux και macOS ελέγχοντας αν υπάρχει το `$HOME/.local/share/.IdentityService/` (αν και τα περιεχόμενα αρχεία είναι κενά και άχρηστα)
Βρείτε **άλλες κακοδιαχειρίσεις υπηρεσιών Azure** που μπορούν να οδηγήσουν σε ένα foothold στην παρακάτω σελίδα:
Βρείτε **άλλες κακορυθμίσεις υπηρεσιών Azure** που μπορούν να οδηγήσουν σε ένα foothold στην παρακάτω σελίδα:
{{#ref}}
az-unauthenticated-enum-and-initial-entry/
@@ -72,7 +72,7 @@ az-unauthenticated-enum-and-initial-entry/
az-enumeration-tools.md
{{#endref}}
### Bypass Login Conditions
### Bypass Access Policies
<figure><img src="../../images/image (268).png" alt=""><figcaption></figcaption></figure>
@@ -80,10 +80,16 @@ az-enumeration-tools.md
- **IP whitelisting** -- Πρέπει να συμβιβάσετε μια έγκυρη IP
- **Geo restrictions** -- Βρείτε πού ζει ο χρήστης ή πού βρίσκονται τα γραφεία της εταιρείας και αποκτήστε μια IP από την ίδια πόλη (ή τουλάχιστον από τη χώρα)
- **Browser** -- Ίσως επιτρέπεται μόνο ένας browser από συγκεκριμένο OS (Windows, Linux, Mac, Android, iOS). Ανακαλύψτε ποιο OS χρησιμοποιεί το θύμα/εταιρεία.
- Μπορείτε επίσης να προσπαθήσετε να **συμβιβάσετε τα credentials του Service Principal** καθώς συνήθως είναι λιγότερο περιορισμένα και η σύνδεσή τους ελέγχεται λιγότερο.
- **Browser** -- Ίσως μόνο ένας browser από ορισμένα OS (Windows, Linux, Mac, Android, iOS) να επιτρέπεται. Ανακαλύψτε ποιο OS χρησιμοποιεί το θύμα/εταιρεία.
- Μπορείτε επίσης να προσπαθήσετε να **συμβιβάσετε τα credentials του Service Principal** καθώς συνήθως είναι λιγότερο περιορισμένα και η σύνδεσή τους ελέγχεται λιγότερο
Αφού το παρακάμψετε, μπορεί να είστε σε θέση να επιστρέψετε στην αρχική σας ρύθμιση και θα έχετε ακόμα πρόσβαση.
Αφού παρακάμψετε αυτό, μπορεί να είστε σε θέση να επιστρέψετε στην αρχική σας ρύθμιση και θα έχετε ακόμα πρόσβαση.
Ελέγξτε:
{{#ref}}
az-privilege-escalation/az-entraid-privesc/az-conditional-access-policies-mfa-bypass.md
{{#endref}}
### Whoami
@@ -135,27 +141,27 @@ Get-AzureADTenantDetail
{{#endtabs }}
### Εντοπισμός & Κλιμάκωση Δικαιωμάτων Entra ID
### Entra ID Enumeration & Privesc
Από προεπιλογή, οποιοσδήποτε χρήστης θα πρέπει να έχει **αρκετά δικαιώματα για να εντοπίσει** πράγματα όπως χρήστες, ομάδες, ρόλους, υπηρεσίες... (ελέγξτε [default AzureAD permissions](az-basic-information/index.html#default-user-permissions)).\
Από προεπιλογή, οποιοσδήποτε χρήστης θα πρέπει να έχει **αρκετές άδειες για να καταγράψει** πράγματα όπως χρήστες, ομάδες, ρόλους, υπηρεσιακούς κύριους... (ελέγξτε [default AzureAD permissions](az-basic-information/index.html#default-user-permissions)).\
Μπορείτε να βρείτε εδώ έναν οδηγό:
{{#ref}}
az-services/az-azuread.md
{{#endref}}
Ελέγξτε τα **Post-Exploitation tools** για να βρείτε εργαλεία για την κλιμάκωση δικαιωμάτων στο Entra ID όπως το **AzureHound:**
Ελέγξτε τα **Post-Exploitation tools** για να βρείτε εργαλεία για την κλιμάκωση των δικαιωμάτων στο Entra ID όπως το **AzureHound:**
{{#ref}}
az-enumeration-tools.md#automated-post-exploitation-tools
{{#endref}}
### Εντοπισμός Υπηρεσιών Azure
### Azure Enumeration
Μόλις γνωρίζετε ποιος είστε, μπορείτε να αρχίσετε να εντοπίζετε τις **υπηρεσίες Azure στις οποίες έχετε πρόσβαση**.
Μόλις γνωρίζετε ποιος είστε, μπορείτε να αρχίσετε να καταγράφετε τις **υπηρεσίες Azure στις οποίες έχετε πρόσβαση**.
Πρέπει να αρχίσετε να ανακαλύπτετε τα **δικαιώματα που έχετε** πάνω στους πόρους. Για αυτό:
Πρέπει να αρχίσετε να ανακαλύπτετε τις **άδειες που έχετε** πάνω στους πόρους. Για αυτό:
1. **Βρείτε τον πόρο στον οποίο έχετε κάποια πρόσβαση**:
@@ -163,34 +169,34 @@ az-enumeration-tools.md#automated-post-exploitation-tools
Επιπλέον, μπορείτε να αποκτήσετε τις ίδιες πληροφορίες στην **ιστοσελίδα** πηγαίνοντας στο [https://portal.azure.com/#view/HubsExtension/BrowseAll](https://portal.azure.com/#view/HubsExtension/BrowseAll) ή αναζητώντας "Όλοι οι πόροι" ή εκτελώντας: `az rest --method GET --url "https://management.azure.com/subscriptions/<subscription-id>/resources?api-version=2021-04-01"`
2. **Βρείτε τα δικαιώματα που έχετε πάνω στους πόρους στους οποίους έχετε πρόσβαση και βρείτε τους ρόλους που σας έχουν ανατεθεί**:
2. **Βρείτε τις άδειες που έχετε πάνω στους πόρους στους οποίους έχετε πρόσβαση και βρείτε τους ρόλους που σας έχουν ανατεθεί**:
Σημειώστε ότι χρειάζεστε το δικαίωμα **`Microsoft.Authorization/roleAssignments/read`** για να εκτελέσετε αυτή την ενέργεια.
Σημειώστε ότι χρειάζεστε την άδεια **`Microsoft.Authorization/roleAssignments/read`** για να εκτελέσετε αυτήν την ενέργεια.
Επιπλέον, με αρκετά δικαιώματα, ο ρόλος **`Get-AzRoleAssignment`** μπορεί να χρησιμοποιηθεί για να **εντοπίσετε όλους τους ρόλους** στην υπογραφή ή τα δικαιώματα πάνω σε έναν συγκεκριμένο πόρο υποδεικνύοντάς τον όπως σε: **`Get-AzRoleAssignment -Scope /subscriptions/9291ff6e-6afb-430e-82a4-6f04b2d05c7f/resourceGroups/Resource_Group_1/providers/Microsoft.RecoveryServices/vaults/vault-m3ww8ut4`**.
Επιπλέον, με αρκετές άδειες, ο ρόλος **`Get-AzRoleAssignment`** μπορεί να χρησιμοποιηθεί για να **καταγράψει όλους τους ρόλους** στην υπογραφή ή την άδεια πάνω σε έναν συγκεκριμένο πόρο υποδεικνύοντάς τον όπως σε: **`Get-AzRoleAssignment -Scope /subscriptions/9291ff6e-6afb-430e-82a4-6f04b2d05c7f/resourceGroups/Resource_Group_1/providers/Microsoft.RecoveryServices/vaults/vault-m3ww8ut4`**.
Είναι επίσης δυνατό να αποκτήσετε αυτές τις πληροφορίες εκτελώντας **`az rest --method GET --uri "https://management.azure.com/<Scope>/providers/Microsoft.Authorization/roleAssignments?api-version=2020-08-01-preview" | jq ".value"`** όπως σε:
- **`az rest --method GET --uri "https://management.azure.com//subscriptions/9291ff6e-6afb-430e-82a4-6f04b2d05c7f/resourceGroups/Resource_Group_1/providers/Microsoft.KeyVault/vaults/vault-m3ww8ut4/providers/Microsoft.Authorization/roleAssignments?api-version=2020-08-01-preview" | jq ".value"`**
3. **Βρείτε τα λεπτομερή δικαιώματα των ρόλων που σας έχουν ανατεθεί**:
3. **Βρείτε τις λεπτομερείς άδειες των ρόλων που σας έχουν ανατεθεί**:
Στη συνέχεια, για να αποκτήσετε τα λεπτομερή δικαιώματα μπορείτε να εκτελέσετε **`(Get-AzRoleDefinition -Id "<RoleDefinitionId>").Actions`**.
Στη συνέχεια, για να αποκτήσετε την λεπτομερή άδεια μπορείτε να εκτελέσετε **`(Get-AzRoleDefinition -Id "<RoleDefinitionId>").Actions`**.
Ή να καλέσετε την API απευθείας με **`az rest --method GET --uri "https://management.azure.com//subscriptions/<subscription-id>/providers/Microsoft.Authorization/roleDefinitions/<RoleDefinitionId>?api-version=2020-08-01-preview" | jq ".properties"`**.
Στην επόμενη ενότητα μπορείτε να βρείτε **πληροφορίες σχετικά με τις πιο κοινές υπηρεσίες Azure και πώς να τις εντοπίσετε**:
Στην επόμενη ενότητα μπορείτε να βρείτε **πληροφορίες σχετικά με τις πιο κοινές υπηρεσίες Azure και πώς να τις καταγράψετε**:
{{#ref}}
az-services/
{{#endref}}
### Κλιμάκωση Δικαιωμάτων, Post-Exploitation & Διατήρηση στην Υπηρεσία Azure
### Privilege Escalation, Post-Exploitation & Persistence
Μόλις γνωρίζετε πώς είναι δομημένο το περιβάλλον Azure και ποιες υπηρεσίες χρησιμοποιούνται, μπορείτε να αρχίσετε να αναζητάτε τρόπους για να **κλιμακώσετε δικαιώματα, να μετακινηθείτε οριζόντια, να εκτελέσετε άλλες επιθέσεις post-exploitation και να διατηρήσετε την επιμονή**.
Μόλις γνωρίζετε πώς είναι δομημένο το περιβάλλον Azure και ποιες υπηρεσίες χρησιμοποιούνται, μπορείτε να αρχίσετε να αναζητάτε τρόπους για να **κλιμακώσετε τα δικαιώματα, να μετακινηθείτε οριζόντια, να εκτελέσετε άλλες επιθέσεις post-exploitation και να διατηρήσετε την επιμονή**.
Στην επόμενη ενότητα μπορείτε να βρείτε πληροφορίες σχετικά με το πώς να κλιμακώσετε δικαιώματα στις πιο κοινές υπηρεσίες Azure:
Στην επόμενη ενότητα μπορείτε να βρείτε πληροφορίες σχετικά με το πώς να κλιμακώσετε τα δικαιώματα στις πιο κοινές υπηρεσίες Azure:
{{#ref}}
az-privilege-escalation/

12
src/pentesting-cloud/azure-security/az-persistence/README.md
View File

@@ -2,11 +2,11 @@
{{#include ../../../banners/hacktricks-training.md}}
### Illicit Consent Grant
### OAuth Application
Από προεπιλογή, οποιοσδήποτε χρήστης μπορεί να καταχωρήσει μια εφαρμογή στο Azure AD. Έτσι, μπορείτε να καταχωρήσετε μια εφαρμογή (μόνο για τον στοχευμένο ενοικιαστή) που χρειάζεται υψηλές άδειες με έγκριση διαχειριστή (και να την εγκρίνετε αν είστε ο διαχειριστής) - όπως η αποστολή email εκ μέρους ενός χρήστη, η διαχείριση ρόλων κ.λπ. Αυτό θα μας επιτρέψει να **εκτελέσουμε επιθέσεις phishing** που θα ήταν πολύ **κερδοφόρες** σε περίπτωση επιτυχίας.
Από προεπιλογή, οποιοσδήποτε χρήστης μπορεί να εγγραφεί μια εφαρμογή στο Entra ID. Έτσι, μπορείτε να εγγραφείτε μια εφαρμογή (μόνο για τον στοχευμένο ενοικιαστή) που χρειάζεται υψηλές άδειες με τη συγκατάθεση του διαχειριστή (και να την εγκρίνετε αν είστε ο διαχειριστής) - όπως η αποστολή email εκ μέρους ενός χρήστη, η διαχείριση ρόλων κ.λπ. Αυτό θα μας επιτρέψει να **εκτελέσουμε επιθέσεις phishing** που θα ήταν πολύ **αποδοτικές** σε περίπτωση επιτυχίας.
Επιπλέον, θα μπορούσατε επίσης να αποδεχθείτε αυτή την εφαρμογή με τον χρήστη σας ως τρόπο διατήρησης πρόσβασης σε αυτήν.
Επιπλέον, θα μπορούσατε επίσης να αποδεχθείτε αυτή την εφαρμογή με τον χρήστη σας ως έναν τρόπο για να διατηρήσετε την πρόσβαση σε αυτήν.
### Applications and Service Principals
@@ -14,7 +14,7 @@
Είναι δυνατόν να **στοχεύσουμε μια εφαρμογή με υψηλές άδειες** ή **να προσθέσουμε μια νέα εφαρμογή** με υψηλές άδειες.
Ένας ενδιαφέρον ρόλος για να προστεθεί στην εφαρμογή θα ήταν ο **ρόλος διαχειριστή προνομιακής πιστοποίησης** καθώς επιτρέπει την **επανεκκίνηση κωδικού πρόσβασης** των Παγκόσμιων Διαχειριστών.
Ένας ενδιαφέρον ρόλος για να προστεθεί στην εφαρμογή θα ήταν ο **ρόλος διαχειριστή προνομιακής πιστοποίησης** καθώς επιτρέπει να **επαναφέρετε τον κωδικό πρόσβασης** των Παγκόσμιων Διαχειριστών.
Αυτή η τεχνική επιτρέπει επίσης να **παρακαμφθεί το MFA**.
```bash
@@ -28,9 +28,9 @@ Connect-AzAccount -ServicePrincipal -Tenant <TenantId> -CertificateThumbprint <T
```
### Federation - Token Signing Certificate
Με **δικαιώματα DA** σε on-prem AD, είναι δυνατόν να δημιουργήσουμε και να εισάγουμε **νέα πιστοποιητικά υπογραφής Token** και **πιστοποιητικά αποκρυπτογράφησης Token** που έχουν πολύ μεγάλη διάρκεια ισχύος. Αυτό θα μας επιτρέψει να **συνδεθούμε ως οποιοσδήποτε χρήστης** του οποίου το ImuutableID γνωρίζουμε.
Με **δικαιώματα DA** σε on-prem AD, είναι δυνατό να δημιουργήσουμε και να εισάγουμε **νέα πιστοποιητικά υπογραφής Token** και **πιστοποιητικά αποκρυπτογράφησης Token** που έχουν πολύ μεγάλη διάρκεια ισχύος. Αυτό θα μας επιτρέψει να **συνδεθούμε ως οποιοσδήποτε χρήστης** του οποίου το ImuutableID γνωρίζουμε.
**Εκτελέστε** την παρακάτω εντολή ως **DA στους ADFS server(s)** για να δημιουργήσετε νέα πιστοποιητικά (προεπιλεγμένος κωδικός πρόσβασης 'AADInternals'), να τα προσθέσετε στο ADFS, να απενεργοποιήσετε την αυτόματη ανανέωση και να επανεκκινήσετε την υπηρεσία:
**Εκτελέστε** την παρακάτω εντολή ως **DA στον ADFS server(s)** για να δημιουργήσετε νέα πιστοποιητικά (προεπιλεγμένος κωδικός 'AADInternals'), να τα προσθέσετε στο ADFS, να απενεργοποιήσετε την αυτόματη ανανέωση και να επανεκκινήσετε την υπηρεσία:
```bash
New-AADIntADFSSelfSignedCertificates
```

24
src/pentesting-cloud/azure-security/az-services/az-azuread.md
View File

@@ -4,9 +4,9 @@
## Basic Information
Το Azure Active Directory (Azure AD) λειτουργεί ως η υπηρεσία της Microsoft για τη διαχείριση ταυτοτήτων και προσβάσεων στο cloud. Είναι καθοριστικής σημασίας για την επιτρεπτικότητα στους υπαλλήλους να συνδέονται και να αποκτούν πρόσβαση σε πόρους, τόσο εντός όσο και εκτός του οργανισμού, περιλαμβάνοντας το Microsoft 365, την πύλη Azure και μια πληθώρα άλλων SaaS εφαρμογών. Ο σχεδιασμός του Azure AD επικεντρώνεται στην παροχή βασικών υπηρεσιών ταυτοποίησης, περιλαμβάνοντας κυρίως **authentication, authorization, and user management**.
Το Azure Active Directory (Azure AD) λειτουργεί ως η υπηρεσία της Microsoft για τη διαχείριση ταυτοτήτων και προσβάσεων στο cloud. Είναι καθοριστικής σημασίας για την επιτρεπτικότητα των υπαλλήλων να συνδέονται και να αποκτούν πρόσβαση σε πόρους, τόσο εντός όσο και εκτός της οργάνωσης, περιλαμβάνοντας το Microsoft 365, την πύλη Azure και μια πληθώρα άλλων SaaS εφαρμογών. Ο σχεδιασμός του Azure AD επικεντρώνεται στην παροχή βασικών υπηρεσιών ταυτοποίησης, περιλαμβάνοντας κυρίως **authentication, authorization, and user management**.
Τα κύρια χαρακτηριστικά του Azure AD περιλαμβάνουν **multi-factor authentication** και **conditional access**, μαζί με απρόσκοπτη ενσωμάτωση με άλλες υπηρεσίες ασφαλείας της Microsoft. Αυτά τα χαρακτηριστικά αυξάνουν σημαντικά την ασφάλεια των ταυτοτήτων των χρηστών και ενδυναμώνουν τους οργανισμούς να εφαρμόζουν και να επιβάλλουν αποτελεσματικά τις πολιτικές πρόσβασης τους. Ως θεμελιώδης συνιστώσα του οικοσυστήματος υπηρεσιών cloud της Microsoft, το Azure AD είναι κρίσιμο για τη διαχείριση ταυτοτήτων χρηστών στο cloud.
Τα κύρια χαρακτηριστικά του Azure AD περιλαμβάνουν **multi-factor authentication** και **conditional access**, μαζί με απρόσκοπτη ενσωμάτωση με άλλες υπηρεσίες ασφαλείας της Microsoft. Αυτά τα χαρακτηριστικά αυξάνουν σημαντικά την ασφάλεια των ταυτοτήτων των χρηστών και ενδυναμώνουν τις οργανώσεις να εφαρμόζουν και να επιβάλλουν αποτελεσματικά τις πολιτικές πρόσβασης τους. Ως θεμελιώδης συνιστώσα του οικοσυστήματος υπηρεσιών cloud της Microsoft, το Azure AD είναι κρίσιμο για τη διαχείριση ταυτοτήτων χρηστών στο cloud.
## Enumeration
@@ -185,7 +185,7 @@ $token = Invoke-Authorize -Credential $credential `
-Verbose -Debug `
-InformationAction Continue
```
### Ενοικιαστές
### Tenants
{{#tabs }}
{{#tab name="az cli" }}
@@ -664,7 +664,7 @@ Get-AzureADApplication -ObjectId <id> | Get-AzureADApplicationOwner |fl *
> Για περισσότερες πληροφορίες [**ελέγξτε αυτό**](https://posts.specterops.io/azure-privilege-escalation-via-azure-api-permissions-abuse-74aee1006f48).
> [!NOTE]
> Μια μυστική συμβολοσειρά που χρησιμοποιεί η εφαρμογή για να αποδείξει την ταυτότητά της κατά την αίτηση ενός token είναι ο κωδικός πρόσβασης της εφαρμογής.\
> Μια μυστική αλφαριθμητική συμβολοσειρά που χρησιμοποιεί η εφαρμογή για να αποδείξει την ταυτότητά της κατά την αίτηση ενός token είναι ο κωδικός πρόσβασης της εφαρμογής.\
> Έτσι, αν βρείτε αυτόν τον **κωδικό πρόσβασης** μπορείτε να έχετε πρόσβαση ως **service principal** **μέσα** στον **tenant**.\
> Σημειώστε ότι αυτός ο κωδικός πρόσβασης είναι ορατός μόνο όταν δημιουργείται (μπορείτε να τον αλλάξετε αλλά δεν μπορείτε να τον αποκτήσετε ξανά).\
> Ο **ιδιοκτήτης** της **εφαρμογής** μπορεί να **προσθέσει έναν κωδικό πρόσβασης** σε αυτήν (έτσι μπορεί να την προσποιηθεί).\
@@ -857,7 +857,7 @@ Get-AzureADMSAdministrativeUnit | where { Get-AzureADMSAdministrativeUnitMember
{{#endtabs }}
> [!WARNING]
> Αν μια συσκευή (VM) είναι **συνδεδεμένη με AzureAD**, οι χρήστες από το AzureAD θα μπορούν να **συνδεθούν**.\
> Αν μια συσκευή (VM) είναι **συνδεδεμένη με AzureAD**, οι χρήστες από το AzureAD θα είναι **σε θέση να συνδεθούν**.\
> Επιπλέον, αν ο συνδεδεμένος χρήστης είναι **Ιδιοκτήτης** της συσκευής, θα είναι **τοπικός διαχειριστής**.
### Διοικητικές Μονάδες
@@ -922,7 +922,7 @@ Get-AzureADMSScopedRoleMembership -Id <id> | fl #Get role ID and role members
<figure><img src="../../../images/image (354).png" alt=""><figcaption></figcaption></figure>
Όταν το PIM είναι ενεργοποιημένο, είναι δυνατόν να ρυθμιστεί κάθε ρόλος με ορισμένες απαιτήσεις όπως:
Όταν το PIM είναι ενεργοποιημένο, είναι δυνατή η ρύθμιση κάθε ρόλου με συγκεκριμένες απαιτήσεις όπως:
- Μέγιστη διάρκεια (ώρες) ενεργοποίησης
- Απαιτεί MFA κατά την ενεργοποίηση
@@ -931,9 +931,9 @@ Get-AzureADMSScopedRoleMembership -Id <id> | fl #Get role ID and role members
- Απαιτεί πληροφορίες εισιτηρίου κατά την ενεργοποίηση
- Απαιτεί έγκριση για ενεργοποίηση
- Μέγιστος χρόνος λήξης των επιλέξιμων εκχωρήσεων
- Πολλές άλλες ρυθμίσεις σχετικά με το πότε και ποιος θα στέλνει ειδοποιήσεις όταν συμβαίνουν ορισμένες ενέργειες με αυτόν τον ρόλο
- Πολλές άλλες ρυθμίσεις σχετικά με το πότε και ποιος θα στέλνει ειδοποιήσεις όταν συμβαίνουν συγκεκριμένες ενέργειες με αυτόν τον ρόλο
### Πολιτικές Conditional Access <a href="#title-text" id="title-text"></a>
### Πολιτικές Conditional Access
Ελέγξτε:
@@ -941,11 +941,11 @@ Get-AzureADMSScopedRoleMembership -Id <id> | fl #Get role ID and role members
../az-privilege-escalation/az-entraid-privesc/az-conditional-access-policies-mfa-bypass.md
{{#endref}}
### Προστασία Ταυτότητας Entra <a href="#title-text" id="title-text"></a>
### Προστασία Ταυτότητας Entra
Η Προστασία Ταυτότητας Entra είναι μια υπηρεσία ασφαλείας που επιτρέπει να **ανιχνεύει πότε ένας χρήστης ή μια είσοδος είναι πολύ ριψοκίνδυνη** για να γίνει αποδεκτή, επιτρέποντας να **μπλοκάρει** τον χρήστη ή την προσπάθεια εισόδου.
Η Προστασία Ταυτότητας Entra είναι μια υπηρεσία ασφαλείας που επιτρέπει να **ανιχνεύει πότε ένας χρήστης ή μια είσοδος είναι πολύ επικίνδυνη** για να γίνει αποδεκτή, επιτρέποντας να **μπλοκάρει** τον χρήστη ή την προσπάθεια εισόδου.
Επιτρέπει στον διαχειριστή να το ρυθμίσει ώστε να **μπλοκάρει** τις προσπάθειες όταν ο κίνδυνος είναι "Χαμηλός και άνω", "Μέτριος και άνω" ή "Υψηλός". Αν και, από προεπιλογή είναι εντελώς **απενεργοποιημένο**:
Επιτρέπει στον διαχειριστή να το ρυθμίσει ώστε να **μπλοκάρει** τις προσπάθειες όταν ο κίνδυνος είναι "Χαμηλός και άνω", "Μεσαίος και άνω" ή "Υψηλός". Αν και, από προεπιλογή είναι εντελώς **απενεργοποιημένο**:
<figure><img src="../../../images/image (356).png" alt=""><figcaption></figcaption></figure>
@@ -954,7 +954,7 @@ Get-AzureADMSScopedRoleMembership -Id <id> | fl #Get role ID and role members
### Προστασία Κωδικών Entra
Η Προστασία Κωδικών Entra ([https://portal.azure.com/index.html#view/Microsoft_AAD_ConditionalAccess/PasswordProtectionBlade](https://portal.azure.com/#view/Microsoft_AAD_ConditionalAccess/PasswordProtectionBlade)) είναι μια λειτουργία ασφαλείας που **βοηθά στην πρόληψη της κακής χρήσης αδύναμων κωδικών κλειδιών αποκλείοντας λογαριασμούς όταν συμβαίνουν πολλές αποτυχημένες προσπάθειες σύνδεσης**.\
Η Προστασία Κωδικών Entra ([https://portal.azure.com/index.html#view/Microsoft_AAD_ConditionalAccess/PasswordProtectionBlade](https://portal.azure.com/#view/Microsoft_AAD_ConditionalAccess/PasswordProtectionBlade)) είναι μια λειτουργία ασφαλείας που **βοηθά στην πρόληψη της κακής χρήσης αδύναμων κωδικών κλειδώνοντας λογαριασμούς όταν συμβαίνουν πολλές αποτυχημένες προσπάθειες σύνδεσης**.\
Επιτρέπει επίσης να **απαγορεύσετε μια προσαρμοσμένη λίστα κωδικών** που πρέπει να παρέχετε.
Μπορεί να **εφαρμοστεί τόσο** σε επίπεδο cloud όσο και σε τοπικό Active Directory.