diff --git a/src/pentesting-cloud/azure-security/README.md b/src/pentesting-cloud/azure-security/README.md index f41150845..1b60e7319 100644 --- a/src/pentesting-cloud/azure-security/README.md +++ b/src/pentesting-cloud/azure-security/README.md @@ -20,7 +20,7 @@ Kutoka kwa mtazamo wa Red Team, **hatua ya kwanza ya kuathiri mazingira ya Azure Hatua ya kwanza ni bila shaka kuhesabu taarifa kuhusu mpangilio unayoshambulia na kujaribu kupata mwanzo. -Kulingana na jina la kikoa, inawezekana kujua **kama kampuni inatumia Azure**, kupata **tenant ID**, kupata **viwango vingine halali** katika mpangilio huo (ikiwa vipo) na kupata **taarifa muhimu** kama SSO imewezeshwa, mipangilio ya barua, barua pepe halali za watumiaji... +Kulingana na jina la kikoa, inawezekana kujua **kama kampuni inatumia Azure**, kupata **tenant ID**, kupata **viwango vingine halali** katika mpangilio huo (ikiwa vipo) na kupata **taarifa muhimu** kama SSO imewezeshwa, mipangilio ya barua, barua pepe za watumiaji halali... Angalia ukurasa ufuatao kujifunza jinsi ya kufanya **external enumeration**: @@ -28,7 +28,7 @@ Angalia ukurasa ufuatao kujifunza jinsi ya kufanya **external enumeration**: az-unauthenticated-enum-and-initial-entry/ {{#endref}} -Kwa taarifa hii, njia za kawaida za kujaribu kupata mwanzo ni: +Kwa taarifa hii njia za kawaida za kujaribu kupata mwanzo ni: - **OSINT**: Angalia kwa **leaks** katika Github au jukwaa lolote la chanzo wazi ambalo linaweza kuwa na **credentials** au taarifa za kuvutia. - **Password** reuse, leaks au [password spraying](az-unauthenticated-enum-and-initial-entry/az-password-spraying.md) - Nunua credentials kutoka kwa mfanyakazi @@ -44,16 +44,16 @@ Kwa taarifa hii, njia za kawaida za kujaribu kupata mwanzo ni: - **`azureProfile.json`** ina taarifa kuhusu watumiaji walioingia kutoka zamani - **`clouds.config contains`** taarifa kuhusu usajili - **`service_principal_entries.json`** ina credentials za maombi (tenant id, clients na siri). Tu katika Linux & macOS -- **`msal_token_cache.json`** ina tokens za ufikiaji na tokens za kuboresha. Tu katika Linux & macOS +- **`msal_token_cache.json`** ina tokens za ufikiaji na tokens za upya. Tu katika Linux & macOS - **`service_principal_entries.bin`** na msal_token_cache.bin zinatumika katika Windows na zimefungwa kwa DPAPI - **`msal_http_cache.bin`** ni cache ya ombi la HTTP - Load it: `with open("msal_http_cache.bin", 'rb') as f: pickle.load(f)` -- **`AzureRmContext.json`** ina taarifa kuhusu kuingia kwa awali kutumia Az PowerShell (lakini hakuna credentials) +- **`AzureRmContext.json`** ina taarifa kuhusu kuingia kwa awali kwa kutumia Az PowerShell (lakini hakuna credentials) - Ndani ya **`C:\Users\\AppData\Local\Microsoft\IdentityCache\*`** kuna faili kadhaa za `.bin` zenye **access tokens**, ID tokens na taarifa za akaunti zilizofungwa kwa DPAPI ya watumiaji. - Inawezekana kupata **access tokens** zaidi katika faili za `.tbres` ndani ya **`C:\Users\\AppData\Local\Microsoft\TokenBroken\Cache\`** ambazo zina base64 iliyofungwa kwa DPAPI yenye access tokens. - Katika Linux na macOS unaweza kupata **access tokens, refresh tokens na id tokens** kutoka Az PowerShell (ikiwa imetumika) ukikimbia `pwsh -Command "Save-AzContext -Path /tmp/az-context.json"` - Katika Windows hii inazalisha tu id tokens. -- Inawezekana kuona kama Az PowerShell ilitumika katika Linux na macOS kwa kuangalia kama `$HOME/.local/share/.IdentityService/` ipo (ingawa faili zilizomo ni tupu na hazina maana) +- Inawezekana kuona kama Az PowerShell ilitumika katika Linux na macOS kwa kuangalia kama `$HOME/.local/share/.IdentityService/` ipo (ingawa faili zilizomo ni tupu na hazina matumizi) Pata **mikosefu mingine ya Huduma za Azure** ambayo inaweza kupelekea mwanzo katika ukurasa ufuatao: @@ -62,28 +62,34 @@ az-unauthenticated-enum-and-initial-entry/ {{#endref}} > [!NOTE] -> Kumbuka kwamba kawaida sehemu ya **kelele** ya kuhesabu ni **kuingia**, si kuhesabu yenyewe. +> Kumbuka kwamba kawaida sehemu ya **kelele** katika hesabu ni **kuingia**, si hesabu yenyewe. ### Azure & Entra ID tooling -Zana zifuatazo zitakuwa muhimu sana kuhesabu wapangilio wa Entra ID na mazingira ya Azure polepole (ili kuepuka kugundulika) au kiotomatiki (ili kuokoa muda): +Zana zifuatazo zitakuwa muhimu sana kuhesabu wapangilio wa Entra ID na mazingira ya Azure polepole (ili kuepuka kugunduliwa) au kiotomatiki (ili kuokoa muda): {{#ref}} az-enumeration-tools.md {{#endref}} -### Bypass Login Conditions +### Bypass Access Policies
-Katika hali ambapo una credentials halali lakini huwezi kuingia, hizi ni baadhi ya ulinzi wa kawaida ambao unaweza kuwepo: +Katika kesi ambapo una credentials halali lakini huwezi kuingia, hizi ni baadhi ya ulinzi wa kawaida ambao unaweza kuwepo: - **IP whitelisting** -- Unahitaji kuathiri IP halali - **Geo restrictions** -- Pata mahali ambapo mtumiaji anaishi au ofisi za kampuni na pata IP kutoka jiji moja (au nchi angalau) -- **Browser** -- Huenda ni kivinjari tu kutoka OS fulani (Windows, Linux, Mac, Android, iOS) kinachoruhusiwa. Jua ni OS ipi mhasiriwa/kampuni inatumia. +- **Browser** -- Huenda ni kivinjari tu kutoka OS fulani (Windows, Linux, Mac, Android, iOS) kinachoruhusiwa. Jua ni OS ipi mwathirika/kampuni inatumia. - Unaweza pia kujaribu **kuathiri credentials za Service Principal** kwani kawaida hazina mipaka mingi na kuingia kwake hakuchunguzwi sana -Baada ya kuweza kuzunguka, unaweza kurudi kwenye mipangilio yako ya awali na bado utakuwa na ufikiaji. +Baada ya kupita, unaweza kuwa na uwezo wa kurudi kwenye mipangilio yako ya awali na bado utakuwa na ufikiaji. + +Angalia: + +{{#ref}} +az-privilege-escalation/az-entraid-privesc/az-conditional-access-policies-mfa-bypass.md +{{#endref}} ### Whoami @@ -135,39 +141,39 @@ Get-AzureADTenantDetail {{#endtabs }} -### Uainishaji wa Entra ID & Kuinua Privilege +### Entra ID Enumeration & Privesc -Kwa kawaida, mtumiaji yeyote anapaswa kuwa na **idhini ya kutosha kuainisha** mambo kama watumiaji, vikundi, majukumu, wahusika wa huduma... (angalia [idhini za AzureAD za kawaida](az-basic-information/index.html#default-user-permissions)).\ +Kwa kawaida, mtumiaji yeyote anapaswa kuwa na **idhini ya kutosha kuhesabu** mambo kama watumiaji, vikundi, majukumu, wahusika wa huduma... (angalia [default AzureAD permissions](az-basic-information/index.html#default-user-permissions)).\ Unaweza kupata hapa mwongozo: {{#ref}} az-services/az-azuread.md {{#endref}} -Angalia **Zana za Baada ya Utekelezaji** ili kupata zana za kuinua mamlaka katika Entra ID kama **AzureHound:** +Angalia **Post-Exploitation tools** ili kupata zana za kupandisha madaraka katika Entra ID kama **AzureHound:** {{#ref}} az-enumeration-tools.md#automated-post-exploitation-tools {{#endref}} -### Uainishe Huduma za Azure +### Azure Enumeration -Mara tu unavyojua wewe ni nani, unaweza kuanza kuainisha **huduma za Azure unazofikia**. +Mara tu unavyojua wewe ni nani, unaweza kuanza kuhesabu **huduma za Azure unazoweza kufikia**. Unapaswa kuanza kugundua **idhini ulizonazo** juu ya rasilimali. Kwa hili: -1. **Pata rasilimali unazofikia**: +1. **Pata rasilimali unazoweza kufikia**: Amri ya Az PowerShell **`Get-AzResource`** inakuwezesha **kujua rasilimali ambazo mtumiaji wako wa sasa anaonekana nazo**. -Zaidi ya hayo, unaweza kupata taarifa hiyo hiyo katika **konsoli ya wavuti** kwa kutembelea [https://portal.azure.com/#view/HubsExtension/BrowseAll](https://portal.azure.com/#view/HubsExtension/BrowseAll) au kutafuta "Rasilimali zote" au kutekeleza: `az rest --method GET --url "https://management.azure.com/subscriptions//resources?api-version=2021-04-01"` +Zaidi ya hayo, unaweza kupata taarifa hiyo hiyo katika **konsoli ya wavuti** kwa kutembelea [https://portal.azure.com/#view/HubsExtension/BrowseAll](https://portal.azure.com/#view/HubsExtension/BrowseAll) au kutafuta "All resources" au kutekeleza: `az rest --method GET --url "https://management.azure.com/subscriptions//resources?api-version=2021-04-01"` -2. **Pata idhini ulizonazo juu ya rasilimali unazofikia na pata majukumu yaliyotolewa kwako**: +2. **Pata idhini ulizonazo juu ya rasilimali unazoweza kufikia na pata majukumu yaliyotolewa kwako**: Kumbuka kuwa unahitaji idhini **`Microsoft.Authorization/roleAssignments/read`** ili kutekeleza hatua hii. -Zaidi ya hayo, kwa idhini za kutosha, jukumu **`Get-AzRoleAssignment`** linaweza kutumika ku **ainisha majukumu yote** katika usajili au idhini juu ya rasilimali maalum kwa kuonyesha kama katika: **`Get-AzRoleAssignment -Scope /subscriptions/9291ff6e-6afb-430e-82a4-6f04b2d05c7f/resourceGroups/Resource_Group_1/providers/Microsoft.RecoveryServices/vaults/vault-m3ww8ut4`**. +Zaidi ya hayo, kwa idhini za kutosha, jukumu **`Get-AzRoleAssignment`** linaweza kutumika ku **hesabu majukumu yote** katika usajili au idhini juu ya rasilimali maalum kwa kuonyesha kama katika: **`Get-AzRoleAssignment -Scope /subscriptions/9291ff6e-6afb-430e-82a4-6f04b2d05c7f/resourceGroups/Resource_Group_1/providers/Microsoft.RecoveryServices/vaults/vault-m3ww8ut4`**. Pia inawezekana kupata taarifa hii kwa kutekeleza **`az rest --method GET --uri "https://management.azure.com//providers/Microsoft.Authorization/roleAssignments?api-version=2020-08-01-preview" | jq ".value"`** kama katika: @@ -180,23 +186,23 @@ Kisha, ili kupata idhini za kina unaweza kutekeleza **`(Get-AzRoleDefinition -Id Au piga simu kwa API moja kwa moja kwa **`az rest --method GET --uri "https://management.azure.com//subscriptions//providers/Microsoft.Authorization/roleDefinitions/?api-version=2020-08-01-preview" | jq ".properties"`**. -Katika sehemu ifuatayo unaweza kupata **taarifa kuhusu huduma za kawaida za Azure na jinsi ya kuziainisha**: +Katika sehemu ifuatayo unaweza kupata **taarifa kuhusu huduma za kawaida za Azure na jinsi ya kuhesabu**: {{#ref}} az-services/ {{#endref}} -### Kuinua Privilege, Baada ya Utekelezaji & Kudumisha Katika Huduma za Azure +### Privilege Escalation, Post-Exploitation & Persistence -Mara tu unavyojua jinsi mazingira ya Azure yalivyojengwa na huduma zipi zinatumika, unaweza kuanza kutafuta njia za **kuinua mamlaka, kuhamasisha kwa upande, kutekeleza mashambulizi mengine ya baada ya utekelezaji na kudumisha kudumu**. +Mara tu unavyojua jinsi mazingira ya Azure yalivyojengwa na huduma zipi zinatumika, unaweza kuanza kutafuta njia za **kupandisha madaraka, kuhamasisha kwa upande, kutekeleza mashambulizi mengine ya baada ya unyakuzi na kudumisha kudumu**. -Katika sehemu ifuatayo unaweza kupata taarifa kuhusu jinsi ya kuinua mamlaka katika huduma za kawaida za Azure: +Katika sehemu ifuatayo unaweza kupata taarifa kuhusu jinsi ya kupandisha madaraka katika huduma za kawaida za Azure: {{#ref}} az-privilege-escalation/ {{#endref}} -Katika ifuatayo unaweza kupata taarifa kuhusu jinsi ya kutekeleza mashambulizi ya baada ya utekelezaji katika huduma za kawaida za Azure: +Katika ifuatayo unaweza kupata taarifa kuhusu jinsi ya kutekeleza mashambulizi ya baada ya unyakuzi katika huduma za kawaida za Azure: {{#ref}} az-post-exploitation/ diff --git a/src/pentesting-cloud/azure-security/az-persistence/README.md b/src/pentesting-cloud/azure-security/az-persistence/README.md index ebd3cee0e..29dddd96d 100644 --- a/src/pentesting-cloud/azure-security/az-persistence/README.md +++ b/src/pentesting-cloud/azure-security/az-persistence/README.md @@ -2,9 +2,9 @@ {{#include ../../../banners/hacktricks-training.md}} -### Illicit Consent Grant +### OAuth Application -Kwa default, mtumiaji yeyote anaweza kujiandikisha programu katika Azure AD. Hivyo unaweza kujiandikisha programu (tu kwa ajili ya mpangilio wa lengo) inayohitaji ruhusa zenye athari kubwa kwa idhini ya admin (na kuidhinisha ikiwa wewe ni admin) - kama kutuma barua kwa niaba ya mtumiaji, usimamizi wa majukumu n.k. Hii itaturuhusu **kutekeleza mashambulizi ya phishing** ambayo yatakuwa na **faida** kubwa endapo yatakuwa na mafanikio. +Kwa default, mtumiaji yeyote anaweza kujiandikisha programu katika Entra ID. Hivyo unaweza kujiandikisha programu (tu kwa ajili ya mpangilio wa lengo) inayohitaji ruhusa zenye athari kubwa kwa idhini ya admin (na kuidhinisha ikiwa wewe ni admin) - kama kutuma barua kwa niaba ya mtumiaji, usimamizi wa majukumu n.k. Hii itaturuhusu **kutekeleza mashambulizi ya phishing** ambayo yatakuwa na **faida** kubwa endapo yatakuwa na mafanikio. Zaidi ya hayo, unaweza pia kukubali programu hiyo kwa mtumiaji wako kama njia ya kudumisha ufikiaji juu yake. @@ -14,7 +14,7 @@ Kwa ruhusa za Msimamizi wa Programu, GA au jukumu la kawaida lenye ruhusa micros Inawezekana **kulenga programu yenye ruhusa kubwa** au **kuongeza programu mpya** yenye ruhusa kubwa. -Jukumu la kuvutia kuongeza kwenye programu ingekuwa **Jukumu la msimamizi wa uthibitishaji wa Privileged** kwani linaruhusu **kurekebisha nenosiri** la Wasimamizi wa Kimataifa. +Jukumu la kuvutia kuongeza kwenye programu litakuwa **jukumu la msimamizi wa uthibitishaji wenye ruhusa** kwani linaruhusu **kurekebisha nenosiri** la Wasimamizi wa Kimataifa. Teknolojia hii pia inaruhusu **kuzidi MFA**. ```bash @@ -40,7 +40,7 @@ Update-AADIntADFSFederationSettings -Domain cyberranges.io ``` ### Federation - Trusted Domain -Kwa kuwa na haki za GA kwenye mpangilio, inawezekana **kuongeza kikoa kipya** (lazima kiwe na uthibitisho), kuweka aina yake ya uthibitishaji kuwa Federated na kuweka kikoa ku **amini cheti maalum** (any.sts katika amri iliyo hapa chini) na mtoaji: +With GA privileges on a tenant, it's possible to **add a new domain** (must be verified), configure its authentication type to Federated and configure the domain to **trust a specific certificate** (any.sts in the below command) and issuer: ```bash # Using AADInternals ConvertTo-AADIntBackdoor -DomainName cyberranges.io diff --git a/src/pentesting-cloud/azure-security/az-services/az-azuread.md b/src/pentesting-cloud/azure-security/az-services/az-azuread.md index e7f540b9e..7f75b64bf 100644 --- a/src/pentesting-cloud/azure-security/az-services/az-azuread.md +++ b/src/pentesting-cloud/azure-security/az-services/az-azuread.md @@ -4,9 +4,9 @@ ## Basic Information -Azure Active Directory (Azure AD) inatoa huduma ya Microsoft ya msingi ya wingu kwa usimamizi wa utambulisho na ufikiaji. Ni muhimu katika kuwezesha wafanyakazi kuingia na kupata rasilimali, ndani na nje ya shirika, ikiwa ni pamoja na Microsoft 365, lango la Azure, na maombi mengine mengi ya SaaS. Muundo wa Azure AD unalenga kutoa huduma muhimu za utambulisho, ikiwa ni pamoja na **uthibitishaji, ruhusa, na usimamizi wa watumiaji**. +Azure Active Directory (Azure AD) inatoa huduma ya Microsoft ya msingi ya wingu kwa usimamizi wa utambulisho na ufikiaji. Ni muhimu katika kuwezesha wafanyakazi kuingia na kupata rasilimali, ndani na nje ya shirika, ikiwa ni pamoja na Microsoft 365, lango la Azure, na maombi mengine mengi ya SaaS. Muundo wa Azure AD unalenga kutoa huduma muhimu za utambulisho, hasa ikiwa ni pamoja na **uthibitishaji, ruhusa, na usimamizi wa watumiaji**. -Vipengele muhimu vya Azure AD vinajumuisha **uthibitishaji wa hatua nyingi** na **ufikiaji wa masharti**, pamoja na uunganisho usio na mshono na huduma nyingine za usalama za Microsoft. Vipengele hivi vinainua usalama wa utambulisho wa watumiaji na kuweza kuwezesha mashirika kutekeleza na kutekeleza sera zao za ufikiaji kwa ufanisi. Kama sehemu ya msingi ya mfumo wa huduma za wingu za Microsoft, Azure AD ni muhimu kwa usimamizi wa utambulisho wa watumiaji kwa msingi wa wingu. +Vipengele muhimu vya Azure AD vinajumuisha **uthibitishaji wa hatua nyingi** na **ufikiaji wa masharti**, pamoja na uunganisho usio na mshono na huduma nyingine za usalama za Microsoft. Vipengele hivi vinainua kwa kiasi kikubwa usalama wa utambulisho wa watumiaji na kuweza kuwezesha mashirika kutekeleza na kutekeleza sera zao za ufikiaji kwa ufanisi. Kama sehemu ya msingi ya mfumo wa huduma za wingu za Microsoft, Azure AD ni muhimu kwa usimamizi wa utambulisho wa watumiaji kwa msingi wa wingu. ## Enumeration @@ -156,7 +156,7 @@ Connect-AzureAD -AccountId test@corp.onmicrosoft.com -AadAccessToken $token {{#endtab }} {{#endtabs }} -Wakati unapo **ingia** kupitia **CLI** kwenye Azure kwa programu yoyote, unatumia **Azure Application** kutoka **tenant** inayomilikiwa na **Microsoft**. Programu hizi, kama zile unazoweza kuunda kwenye akaunti yako, **zina client id**. Hutaweza **kuona zote** katika **orodha za programu zilizoruhusiwa** unazoweza kuona kwenye console, **lakini zinaruhusiwa kwa default**. +Wakati unapo **ingia** kupitia **CLI** kwenye Azure kwa programu yoyote, unatumia **Azure Application** kutoka **tenant** inayomilikiwa na **Microsoft**. Programu hizi, kama zile unazoweza kuunda kwenye akaunti yako, **zina client id**. **Hutaweza kuona zote** katika **orodha za programu zilizoruhusiwa** unazoweza kuona kwenye console, **lakini zinaruhusiwa kwa default**. Kwa mfano, **powershell script** inayofanya **uthibitisho** inatumia programu yenye client id **`1950a258-227b-4e31-a9cf-717495945fc2`**. Hata kama programu hiyo haitokei kwenye console, sysadmin anaweza **kuzuia programu hiyo** ili watumiaji wasiweze kufikia kwa kutumia zana zinazounganisha kupitia programu hiyo. @@ -307,9 +307,9 @@ $password = "ThisIsTheNewPassword.!123" | ConvertTo- SecureString -AsPlainText (Get-AzureADUser -All $true | ?{$_.UserPrincipalName -eq "victim@corp.onmicrosoft.com"}).ObjectId | Set- AzureADUserPassword -Password $password –Verbose ``` -### MFA & Sera za Ufikiaji wa Masharti +### MFA & Sera za Upatikanaji wa Masharti -Inapendekezwa sana kuongeza MFA kwa kila mtumiaji, hata hivyo, baadhi ya kampuni hazitaweka au zinaweza kuziweka kwa Ufikiaji wa Masharti: Mtumiaji atakuwa **na hitaji la MFA ikiwa** ataingia kutoka eneo fulani, kivinjari au **hali fulani**. Sera hizi, ikiwa hazijawekwa vizuri zinaweza kuwa na uwezekano wa **kuepukwa**. Angalia: +Inapendekezwa sana kuongeza MFA kwa kila mtumiaji, hata hivyo, baadhi ya kampuni hazitaweka au zinaweza kuziweka kwa Upatikanaji wa Masharti: Mtumiaji atakuwa **na hitaji la MFA ikiwa** atajiunga kutoka eneo maalum, kivinjari au **hali fulani**. Sera hizi, ikiwa hazijapangwa vizuri zinaweza kuwa na uwezekano wa **kuepukwa**. Angalia: {{#ref}} ../az-privilege-escalation/az-entraid-privesc/az-conditional-access-policies-mfa-bypass.md @@ -405,8 +405,8 @@ Wamiliki wa kundi wanaweza kuongeza watumiaji wapya kwenye kundi Add-AzureADGroupMember -ObjectId -RefObjectId -Verbose ``` > [!WARNING] -> Makundi yanaweza kuwa ya dinamik, ambayo kimsingi inamaanisha kwamba **ikiwa mtumiaji atatimiza masharti fulani atajumuishwa katika kundi**. Bila shaka, ikiwa masharti yanategemea **sifa** ambazo **mtumiaji** anaweza **kudhibiti**, anaweza kutumia kipengele hiki vibaya ili **kuingia katika makundi mengine**.\ -> Angalia jinsi ya kutumia vibaya makundi ya dinamik katika ukurasa ufuatao: +> Makundi yanaweza kuwa ya kidinamik, ambayo kimsingi inamaanisha kwamba **ikiwa mtumiaji atatimiza masharti fulani ataongezwa kwenye kundi**. Bila shaka, ikiwa masharti yanategemea **sifa** ambazo **mtumiaji** anaweza **kudhibiti**, anaweza kutumia kipengele hiki vibaya ili **kuingia kwenye makundi mengine**.\ +> Angalia jinsi ya kutumia vibaya makundi ya kidinamik kwenye ukurasa ufuatao: {{#ref}} ../az-privilege-escalation/az-entraid-privesc/dynamic-groups.md @@ -610,7 +610,7 @@ Kwa maelezo zaidi kuhusu Maombi angalia: Wakati programu inaundwa aina 2 za ruhusa zinatolewa: -- **Ruhusa** zinazotolewa kwa **Huduma Kuu** +- **Ruhusa** zinazotolewa kwa **Huduma Kiongozi** - **Ruhusa** ambazo **programu** inaweza kuwa nazo na kutumia kwa **niaba ya mtumiaji**. {{#tabs }} @@ -660,17 +660,17 @@ Get-AzureADApplication -ObjectId | Get-AzureADApplicationOwner |fl * {{#endtabs }} > [!WARNING] -> Programu yenye ruhusa **`AppRoleAssignment.ReadWrite`** inaweza **kujiinua kuwa Global Admin** kwa kujipatia nafasi hiyo.\ +> Programu yenye ruhusa **`AppRoleAssignment.ReadWrite`** inaweza **kuinua hadhi hadi Global Admin** kwa kujipatia nafasi hiyo.\ > Kwa maelezo zaidi [**angalia hii**](https://posts.specterops.io/azure-privilege-escalation-via-azure-api-permissions-abuse-74aee1006f48). > [!NOTE] > Mfuatano wa siri ambao programu inatumia kuthibitisha utambulisho wake wakati wa kuomba token ni nenosiri la programu.\ > Hivyo, ukipata **nenosiri** hili unaweza kufikia kama **service principal** **ndani** ya **tenant**.\ > Kumbuka kwamba nenosiri hili linaonekana tu wakati linapotengenezwa (unaweza kulibadilisha lakini huwezi kulipata tena).\ -> **Mmiliki** wa **programu** anaweza **kuongeza nenosiri** kwake (hivyo anaweza kujifanya kuwa yeye).\ -> Kuingia kama service principals hawa **hakutajwa kuwa na hatari** na hawatakuwa na MFA. +> **Mmiliki** wa **programu** anaweza **kuongeza nenosiri** kwake (ili aweze kujifanya kuwa yeye).\ +> Kuingia kama service principals hawa **hakutajwi kama hatari** na hawatakuwa na MFA.** -Inawezekana kupata orodha ya App IDs zinazotumiwa mara kwa mara ambazo ni za Microsoft katika [https://learn.microsoft.com/en-us/troubleshoot/entra/entra-id/governance/verify-first-party-apps-sign-in#application-ids-of-commonly-used-microsoft-applications](https://learn.microsoft.com/en-us/troubleshoot/entra/entra-id/governance/verify-first-party-apps-sign-in#application-ids-of-commonly-used-microsoft-applications) +Inawezekana kupata orodha ya App IDs zinazotumika mara kwa mara zinazomilikiwa na Microsoft katika [https://learn.microsoft.com/en-us/troubleshoot/entra/entra-id/governance/verify-first-party-apps-sign-in#application-ids-of-commonly-used-microsoft-applications](https://learn.microsoft.com/en-us/troubleshoot/entra/entra-id/governance/verify-first-party-apps-sign-in#application-ids-of-commonly-used-microsoft-applications) ### Managed Identities @@ -752,9 +752,9 @@ Headers = @{ {{#endtab }} {{#endtabs }} -### Entra ID Majukumu +### Entra ID Roles -Kwa maelezo zaidi kuhusu majukumu ya Azure angalia: +Kwa maelezo zaidi kuhusu Azure roles angalia: {{#ref}} ../az-basic-information/ @@ -915,7 +915,7 @@ Get-AzureADMSScopedRoleMembership -Id | fl #Get role ID and role members Privileged Identity Management (PIM) katika Azure inasaidia **kuzuia mamlaka kupita kiasi** kutolewa kwa watumiaji bila sababu. -Moja ya sifa kuu zinazotolewa na PIM ni kwamba inaruhusu kutokutoa majukumu kwa wakuu ambao wako hai kila wakati, lakini kuwafanya **kuwa na haki kwa kipindi fulani (mfano miezi 6)**. Kisha, kila wakati mtumiaji anapotaka kuanzisha jukumu hilo, anahitaji kuomba akionyesha muda anahitaji mamlaka (mfano masaa 3). Kisha **meneja anahitaji kuidhinisha** ombi hilo.\ +Moja ya sifa kuu zinazotolewa na PIM ni kwamba inaruhusu kutokutoa majukumu kwa wakuu ambao wako hai kila wakati, bali kuwafanya **kuwa na haki kwa kipindi fulani (mfano miezi 6)**. Kisha, kila wakati mtumiaji anapotaka kuanzisha jukumu hilo, anahitaji kuomba akionyesha muda anahitaji mamlaka (mfano masaa 3). Kisha **meneja anahitaji kuidhinisha** ombi hilo.\ Kumbuka kwamba mtumiaji pia atakuwa na uwezo wa kuomba **kupanua** muda. Zaidi ya hayo, **PIM inatuma barua pepe** kila wakati jukumu lenye mamlaka linapopewa mtu. @@ -933,7 +933,7 @@ Wakati PIM imewezeshwa, inawezekana kuweka kila jukumu na mahitaji fulani kama: - Muda wa juu wa kuisha kwa ugawaji unaostahiki - Mengi zaidi ya usanidi kuhusu wakati na nani wa kutuma arifa wakati vitendo fulani vinapotokea na jukumu hilo -### Conditional Access Policies +### Conditional Access Policies Angalia: @@ -941,11 +941,11 @@ Angalia: ../az-privilege-escalation/az-entraid-privesc/az-conditional-access-policies-mfa-bypass.md {{#endref}} -### Entra Identity Protection +### Entra Identity Protection -Entra Identity Protection ni huduma ya usalama inayoruhusu **kubaini wakati mtumiaji au kuingia kuna hatari kubwa** kukubaliwa, ikiruhusu **kuzuia** mtumiaji au jaribio la kuingia. +Entra Identity Protection ni huduma ya usalama inayoruhusu **kubaini wakati mtumiaji au kuingia kuna hatari kubwa** ili kukubaliwa, ikiruhusu **kuzuia** mtumiaji au jaribio la kuingia. -Inaruhusu meneja kuiseti ili **kuzuia** majaribio wakati hatari ni "Chini na juu", "Kati na juu" au "Juu". Ingawa, kwa kawaida ime **zimwa** kabisa: +Inaruhusu meneja kuiseti ili **kuzuia** majaribio wakati hatari ni "Chini na juu", "Kati na juu" au "Juu". Ingawa, kwa default ime **zimwa** kabisa:
@@ -957,9 +957,9 @@ Inaruhusu meneja kuiseti ili **kuzuia** majaribio wakati hatari ni "Chini na juu Entra Password Protection ([https://portal.azure.com/index.html#view/Microsoft_AAD_ConditionalAccess/PasswordProtectionBlade](https://portal.azure.com/#view/Microsoft_AAD_ConditionalAccess/PasswordProtectionBlade)) ni kipengele cha usalama ambacho **kinasaidia kuzuia matumizi mabaya ya nywila dhaifu kwa kufunga akaunti wakati majaribio kadhaa yasiyofanikiwa ya kuingia yanapotokea**.\ Inaruhusu pia **kufungia orodha ya nywila maalum** ambayo unahitaji kutoa. -Inaweza **kutumika kwa kiwango cha wingu na kwenye Active Directory ya ndani**. +Inaweza **kutumika kwa kiwango cha wingu na pia kwenye Active Directory ya ndani**. -Mode ya kawaida ni **Ukaguzi**: +Njia ya default ni **Ukaguzi**: