gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-02-04 19:11:41 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-cloud/azure-security/README.md', 'src/pentes

Browse Source
This commit is contained in:
Translator
2025-01-26 15:10:17 +00:00
parent 309e37e88a
commit aa164958d3
3 changed files with 56 additions and 50 deletions
Download Patch File Download Diff File Expand all files Collapse all files

56
src/pentesting-cloud/azure-security/README.md
View File

@@ -10,11 +10,11 @@ Azure ve Entra ID'nin temellerini öğrenmek için aşağıdaki sayfayı ziyaret
az-basic-information/
{{#endref}}
## Azure Pentester/Kırmızı Takım Metodolojisi
## Azure Pentester/Kırmızı Ekip Metodolojisi
AZURE ortamını denetlemek için bilmek çok önemlidir: hangi **hizmetlerin kullanıldığı**, neyin **açık olduğu**, kimin neye **erişimi** olduğu ve iç Azure hizmetlerinin ve **dış hizmetlerin** nasıl bağlandığı.
AZURE ortamını denetlemek için bilmek çok önemlidir: hangi **hizmetlerin kullanıldığı**, neyin **açık olduğu**, kimin neye **erişimi olduğu** ve iç Azure hizmetlerinin ve **dış hizmetlerin** nasıl bağlandığı.
Kırmızı Takım bakış açısından, bir Azure ortamını ele geçirmenin **ilk adımı** bazı **ayak izleri** elde etmektir.
Kırmızı Ekip perspektifinden, bir Azure ortamını ele geçirmenin **ilk adımı** bazı **ayak izleri** elde etmektir.
### Dış Enum & İlk Erişim
@@ -29,13 +29,13 @@ az-unauthenticated-enum-and-initial-entry/
{{#endref}}
Bu bilgilerle, bir ayak izi elde etmeye çalışmanın en yaygın yolları şunlardır:
- **OSINT**: **kimlik bilgileri** veya ilginç bilgiler içerebilecek Github veya başka bir açık kaynak platformda **sızıntıları** kontrol edin.
- **Şifre** yeniden kullanımı, sızıntılar veya [şifre püskürtme](az-unauthenticated-enum-and-initial-entry/az-password-spraying.md)
- **OSINT**: **leak**'leri Github veya kimlik bilgileri veya ilginç bilgiler içerebilecek diğer açık kaynak platformlarda kontrol edin.
- **Şifre** tekrar kullanımı, leak'ler veya [şifre püskürtme](az-unauthenticated-enum-and-initial-entry/az-password-spraying.md)
- Bir çalışandan kimlik bilgileri satın almak
- [**Yaygın Phishing**](https://book.hacktricks.wiki/en/generic-methodologies-and-resources/phishing-methodology/index.html) (kimlik bilgileri veya Oauth Uygulaması)
- [Cihaz Kodu Kimlik Avı](az-unauthenticated-enum-and-initial-entry/az-device-code-authentication-phishing.md)
- [Cihaz Kodu Kimlik Doğrulama Phishing](az-unauthenticated-enum-and-initial-entry/az-device-code-authentication-phishing.md)
- 3. tarafların **ihlal edilmesi**
- Azure'da Barındırılan Uygulamalardaki Güvenlik Açıkları
- Azure'da barındırılan uygulamalardaki güvenlik açıkları
- [**Sunucu Tarafı İstek Sahteciliği**](https://book.hacktricks.wiki/en/pentesting-web/ssrf-server-side-request-forgery/cloud-ssrf.html) ile meta veri uç noktasına erişim
- **Alt alan devralmaları** gibi [https://godiego.co/posts/STO-Azure/](https://godiego.co/posts/STO-Azure/)
- **Diğer azure hizmetleri yanlış yapılandırmaları**
@@ -44,15 +44,15 @@ Bu bilgilerle, bir ayak izi elde etmeye çalışmanın en yaygın yolları şunl
- **`azureProfile.json`** geçmişte oturum açmış kullanıcılar hakkında bilgi içerir
- **`clouds.config`** abonelikler hakkında bilgi içerir
- **`service_principal_entries.json`** uygulama kimlik bilgilerini içerir (kiracı id'si, istemciler ve gizli anahtar). Sadece Linux & macOS'ta
- **`msal_token_cache.json`** erişim belirteçlerini ve yenileme belirteçlerini içerir. Sadece Linux & macOS'ta
- **`msal_token_cache.json`** erişim jetonları ve yenileme jetonlarını içerir. Sadece Linux & macOS'ta
- **`service_principal_entries.bin`** ve msal_token_cache.bin Windows'ta kullanılır ve DPAPI ile şifrelenmiştir
- **`msal_http_cache.bin`** HTTP isteği önbelleğidir
- Yükleyin: `with open("msal_http_cache.bin", 'rb') as f: pickle.load(f)`
- **`AzureRmContext.json`** Az PowerShell kullanarak önceki oturum açma bilgilerini içerir (ancak kimlik bilgileri yoktur)
- **`C:\Users\<username>\AppData\Local\Microsoft\IdentityCache\*`** içinde, kullanıcıların DPAPI ile şifrelenmiş **erişim belirteçleri**, ID belirteçleri ve hesap bilgileri içeren birkaç `.bin` dosyası vardır.
- **`C:\Users\<username>\AppData\Local\Microsoft\TokenBroken\Cache\`** içindeki `.tbres` dosyalarında daha fazla **erişim belirteci** bulmak mümkündür; bu dosyalar DPAPI ile şifrelenmiş base64 içerir.
- Linux ve macOS'ta, Az PowerShell'den **erişim belirteçleri, yenileme belirteçleri ve id belirteçleri** almak için `pwsh -Command "Save-AzContext -Path /tmp/az-context.json"` komutunu çalıştırabilirsiniz (kullanıldıysa).
- Windows'ta bu sadece id belirteçleri üretir.
- **`C:\Users\<username>\AppData\Local\Microsoft\IdentityCache\*`** içinde, kullanıcıların DPAPI ile şifrelenmiş **erişim jetonları**, ID jetonları ve hesap bilgileri içeren birkaç `.bin` dosyası vardır.
- **`C:\Users\<username>\AppData\Local\Microsoft\TokenBroken\Cache\`** içindeki `.tbres` dosyalarında daha fazla **erişim jetonu** bulmak mümkündür; bu dosyalar DPAPI ile şifrelenmiş base64 içerir.
- Linux ve macOS'ta, Az PowerShell'den **erişim jetonları, yenileme jetonları ve id jetonları** almak için `pwsh -Command "Save-AzContext -Path /tmp/az-context.json"` komutunu çalıştırabilirsiniz (kullanıldıysa).
- Windows'ta bu sadece id jetonları üretir.
- Linux ve macOS'ta Az PowerShell'in kullanılıp kullanılmadığını kontrol etmek için `$HOME/.local/share/.IdentityService/` var mı diye bakmak mümkündür (içerdiği dosyalar boş ve işe yaramaz olsa da).
Aşağıdaki sayfada bir ayak izi elde etmeye yol açabilecek **diğer Azure Hizmetleri yanlış yapılandırmalarını** bulun:
@@ -66,29 +66,35 @@ az-unauthenticated-enum-and-initial-entry/
### Azure & Entra ID Araçları
Aşağıdaki araçlar, hem Entra ID kiracılarını hem de Azure ortamlarını yavaşça (tespit edilmemek için) veya otomatik olarak (zaman kazanmak için) listelemek için çok faydalı olacaktır:
Aşağıdaki araçlar, hem Entra ID kiracılarını hem de Azure ortamlarını yavaşça (tespit edilmemek için) veya otomatik olarak (zaman kazanmak için) listelemek için çok yararlı olacaktır:
{{#ref}}
az-enumeration-tools.md
{{#endref}}
### Giriş Koşullarını Aşma
### Erişim Politikalarını Aşma
<figure><img src="../../images/image (268).png" alt=""><figcaption></figcaption></figure>
Geçerli kimlik bilgileriniz olsa bile giriş yapamadığınız durumlarda, mevcut olabilecek bazı yaygın korumalar şunlardır:
Geçerli kimlik bilgilerine sahip olduğunuz ancak giriş yapamadığınız durumlarda, mevcut olabilecek bazı yaygın korumalar şunlardır:
- **IP beyaz listeleme** -- Geçerli bir IP'yi ele geçirmeniz gerekir
- **Coğrafi kısıtlamalar** -- Kullanıcının nerede yaşadığını veya şirketin ofislerinin nerede olduğunu bulup aynı şehirden (veya en azından aynı ülkeden) bir IP almak
- **Tarayıcı** -- Belki de yalnızca belirli bir işletim sisteminden (Windows, Linux, Mac, Android, iOS) bir tarayıcıya izin verilmektedir. Kurbanın/şirketin hangi işletim sistemini kullandığını öğrenin.
- Ayrıca, genellikle daha az sınırlı olan ve girişi daha az incelenen **Hizmet Prensibi kimlik bilgilerini** ele geçirmeyi de deneyebilirsiniz.
- Ayrıca, genellikle daha az sınırlı olan ve girişleri daha az incelenen **Hizmet Prensibi kimlik bilgilerini** ele geçirmeyi de deneyebilirsiniz.
Bunu aştıktan sonra, başlangıç ayarınıza geri dönebilir ve hala erişiminiz olabilir.
Bunu aştıktan sonra, başlangıç ayarlarınıza geri dönebilir ve hala erişiminiz olabilir.
Kontrol edin:
{{#ref}}
az-privilege-escalation/az-entraid-privesc/az-conditional-access-policies-mfa-bypass.md
{{#endref}}
### Whoami
> [!CAUTION]
> [**Az - Entra ID**](az-services/az-azuread.md) bölümünde az cli, AzureAD ve Az PowerShell'in **nasıl yükleneceğini** öğrenin.
> [**Az - Entra ID**](az-services/az-azuread.md) bölümünde az cli, AzureAD ve Az PowerShell'in **nasıl kurulacağını** öğrenin.
Bilmeniz gereken ilk şey **kim olduğunuzdur** (hangi ortamda olduğunuz):
@@ -135,7 +141,7 @@ Get-AzureADTenantDetail
{{#endtabs }}
### Entra ID Sayımı ve Yetki Yükseltme
### Entra ID Sayımı & Yetki Yükseltme
Varsayılan olarak, herhangi bir kullanıcının **kullanıcılar, gruplar, roller, hizmet ilkeleri gibi şeyleri saymak için yeterli izinlere sahip olması gerekir**... (bakınız [varsayılan AzureAD izinleri](az-basic-information/index.html#default-user-permissions)).\
Burada bir kılavuz bulabilirsiniz:
@@ -144,14 +150,14 @@ Burada bir kılavuz bulabilirsiniz:
az-services/az-azuread.md
{{#endref}}
Entra ID'de yetki yükseltmek için **AzureHound** gibi araçlar bulmak için **Post-Exploitation araçlarına** göz atın:
**Yetki Yükseltme araçlarını** kontrol edin, Entra ID'de yetki yükseltmek için **AzureHound** gibi araçlar bulabilirsiniz:
{{#ref}}
az-enumeration-tools.md#automated-post-exploitation-tools
{{#endref}}
### Azure Hizmetlerini Sayma
### Azure Sayımı
Kendinizi tanıdıktan sonra, **erişim sağladığınız Azure hizmetlerini saymaya** başlayabilirsiniz.
@@ -169,7 +175,7 @@ Bu işlemi gerçekleştirmek için **`Microsoft.Authorization/roleAssignments/re
Ayrıca, yeterli izinlerle, **`Get-AzRoleAssignment`** rolü, abonelikteki **tüm rolleri** saymak veya belirli bir kaynak üzerindeki izni belirtmek için kullanılabilir, örneğin: **`Get-AzRoleAssignment -Scope /subscriptions/9291ff6e-6afb-430e-82a4-6f04b2d05c7f/resourceGroups/Resource_Group_1/providers/Microsoft.RecoveryServices/vaults/vault-m3ww8ut4`**.
Bu bilgiyi **`az rest --method GET --uri "https://management.azure.com/<Scope>/providers/Microsoft.Authorization/roleAssignments?api-version=2020-08-01-preview" | jq ".value"`** komutunu çalıştırarak da alabilirsiniz:
Bu bilgiyi elde etmek için **`az rest --method GET --uri "https://management.azure.com/<Scope>/providers/Microsoft.Authorization/roleAssignments?api-version=2020-08-01-preview" | jq ".value"`** komutunu çalıştırarak da alabilirsiniz, örneğin:
- **`az rest --method GET --uri "https://management.azure.com//subscriptions/9291ff6e-6afb-430e-82a4-6f04b2d05c7f/resourceGroups/Resource_Group_1/providers/Microsoft.KeyVault/vaults/vault-m3ww8ut4/providers/Microsoft.Authorization/roleAssignments?api-version=2020-08-01-preview" | jq ".value"`**
@@ -186,7 +192,7 @@ Aşağıdaki bölümde **en yaygın Azure hizmetleri ve bunları nasıl sayacağ
az-services/
{{#endref}}
### Yetki Yükseltme, Post-Exploitation ve Azure Hizmetlerinde Süreklilik
### Yetki Yükseltme, Post-Exploitation & Süreklilik
Azure ortamının nasıl yapılandığını ve hangi hizmetlerin kullanıldığını öğrendikten sonra, **yetki yükseltme, yan hareket etme, diğer post-exploitation saldırılarını gerçekleştirme ve sürekliliği sağlama** yollarını aramaya başlayabilirsiniz.
@@ -196,13 +202,13 @@ Aşağıdaki bölümde en yaygın Azure hizmetlerinde yetki yükseltme hakkında
az-privilege-escalation/
{{#endref}}
Aşağıdaki bölümde en yaygın Azure hizmetlerinde post-exploitation saldırıları gerçekleştirme hakkında bilgi bulabilirsiniz:
Sonraki bölümde en yaygın Azure hizmetlerinde post-exploitation saldırıları gerçekleştirme hakkında bilgi bulabilirsiniz:
{{#ref}}
az-post-exploitation/
{{#endref}}
Aşağıdaki bölümde en yaygın Azure hizmetlerinde sürekliliği sağlama hakkında bilgi bulabilirsiniz:
Bir sonraki bölümde en yaygın Azure hizmetlerinde sürekliliği sağlama hakkında bilgi bulabilirsiniz:
{{#ref}}
az-persistence/

10
src/pentesting-cloud/azure-security/az-persistence/README.md
View File

@@ -2,9 +2,9 @@
{{#include ../../../banners/hacktricks-training.md}}
### İzin Verilmeyen Onay
### OAuth Uygulaması
Varsayılan olarak, herhangi bir kullanıcı Azure AD'de bir uygulama kaydedebilir. Bu nedenle, yüksek etki izinlerine ihtiyaç duyan (ve eğer admin iseniz onaylayabileceğiniz) bir uygulama kaydedebilirsiniz - örneğin, bir kullanıcının adına mail göndermek, rol yönetimi vb. Bu, başarılı olması durumunda **oltalama saldırıları** gerçekleştirmemizi sağlayacaktır ki bu da çok **verimli** olacaktır.
Varsayılan olarak, herhangi bir kullanıcı Entra ID'de bir uygulama kaydedebilir. Bu nedenle, yüksek etki izinlerine ihtiyaç duyan (ve eğer admin iseniz onaylayabileceğiniz) bir uygulama kaydedebilirsiniz - örneğin, bir kullanıcının adına mail göndermek, rol yönetimi vb. Bu, başarılı olursa **oltalama saldırıları** gerçekleştirmemizi sağlayacaktır ki bu da çok **verimli** olacaktır.
Ayrıca, bu uygulamayı kullanıcı olarak kabul ederek ona erişimi sürdürme yolunu da seçebilirsiniz.
@@ -14,7 +14,7 @@ Uygulama Yöneticisi, GA veya microsoft.directory/applications/credentials/updat
**Yüksek izinlere sahip bir uygulamayı hedef almak** veya **yüksek izinlere sahip yeni bir uygulama eklemek** mümkündür.
Uygulamaya eklenebilecek ilginç bir rol, **Ayrıcalıklı kimlik doğrulama yöneticisi rolü** olacaktır çünkü bu, Küresel Yöneticilerin **şifresini sıfırlama** yetkisi verir.
Uygulamaya eklemek için ilginç bir rol, **Ayrıcalıklı kimlik doğrulama yöneticisi rolü** olacaktır çünkü bu, Küresel Yöneticilerin **şifresini sıfırlama** yetkisi verir.
Bu teknik ayrıca **MFA'yı atlatmayı** da sağlar.
```bash
@@ -38,9 +38,9 @@ Sonra, sertifika bilgilerini Azure AD ile güncelleyin:
```bash
Update-AADIntADFSFederationSettings -Domain cyberranges.io
```
### Federation - Güvenilir Alan
### Federation - Trusted Domain
GA ayrıcalıkları ile bir kiracıda, **yeni bir alan eklemek** mümkündür (doğrulanması gerekir), kimlik doğrulama türünü Federated olarak yapılandırmak ve alanı **belirli bir sertifikaya** (aşağıdaki komutta any.sts) ve vericiye güvenecek şekilde yapılandırmak mümkündür:
GA ayrıcalıkları ile bir kiracıda, **yeni bir alan adı eklemek** (doğrulanması gerekir), kimlik doğrulama türünü Federated olarak yapılandırmak ve alan adını **belirli bir sertifikaya** (aşağıdaki komutta any.sts) ve vericiye güvenecek şekilde yapılandırmak mümkündür:
```bash
# Using AADInternals
ConvertTo-AADIntBackdoor -DomainName cyberranges.io

40
src/pentesting-cloud/azure-security/az-services/az-azuread.md
View File

@@ -156,11 +156,11 @@ Connect-AzureAD -AccountId test@corp.onmicrosoft.com -AadAccessToken $token
{{#endtab }}
{{#endtabs }}
Azure'a herhangi bir programla **CLI** üzerinden **giriş yaptığınızda**, **Microsoft**'a ait bir **tenant**'tan bir **Azure Uygulaması** kullanıyorsunuz. Bu Uygulamalar, hesabınızda oluşturabileceğinizler gibi, **bir istemci kimliğine** sahiptir. **Hepsini göremeyeceksiniz** **konsolda görebileceğiniz izin verilen uygulama listelerinde**, **ancak varsayılan olarak izinlidirler**.
Azure'a **CLI** üzerinden giriş yaptığınızda, **Microsoft**'a ait bir **tenant**'tan bir **Azure Uygulaması** kullanıyorsunuz. Bu Uygulamalar, hesabınızda oluşturabileceğinizler gibi, **bir istemci kimliğine** sahiptir. **Hepsini göremeyeceksiniz** **izin verilen uygulamalar listesinde** konsolda, **ancak varsayılan olarak izinlidirler**.
Örneğin, **kimlik doğrulayan** bir **powershell script** istemci kimliği **`1950a258-227b-4e31-a9cf-717495945fc2`** olan bir uygulama kullanır. Uygulama konsolda görünmese bile, bir sistem yöneticisi **o uygulamayı engelleyebilir** böylece kullanıcılar o Uygulama üzerinden bağlanamaz.
Örneğin, **kimlik doğrulayan** bir **powershell script** istemci kimliği **`1950a258-227b-4e31-a9cf-717495945fc2`** olan bir uygulamayı kullanır. Uygulama konsolda görünmese bile, bir sistem yöneticisi bu uygulamayı **engelleyebilir** böylece kullanıcılar bu Uygulama üzerinden bağlanamazlar.
Ancak, **Azure'a bağlanmanıza izin verecek** **başka istemci kimlikleri** de vardır:
Ancak, **Azure'a bağlanmanıza izin verecek** **diğer istemci kimlikleri** vardır:
```bash
# The important part is the ClientId, which identifies the application to login inside Azure
@@ -301,7 +301,7 @@ Get-AzRoleAssignment -SignInName test@corp.onmicrosoft.com
{{#endtab }}
{{#endtabs }}
#### Kullanıcı Parolasını Değiştir
#### Kullanıcı Şifresini Değiştir
```bash
$password = "ThisIsTheNewPassword.!123" | ConvertTo- SecureString -AsPlainText Force
@@ -309,13 +309,13 @@ $password = "ThisIsTheNewPassword.!123" | ConvertTo- SecureString -AsPlainText
```
### MFA & Conditional Access Policies
Her kullanıcıya MFA eklenmesi şiddetle önerilir, ancak bazı şirketler bunu ayarlamayabilir veya belirli bir konum, tarayıcı veya **bazı koşul** ile giriş yapıldığında kullanıcıdan **MFA istenecektir** şeklinde bir Koşullu Erişim ayarlayabilir. Bu politikalar, doğru yapılandırılmazsa **bypass**'lara karşı hassas olabilir. Kontrol edin:
Her kullanıcıya MFA eklenmesi şiddetle önerilir, ancak bazı şirketler bunu ayarlamayabilir veya bunu bir Conditional Access ile ayarlayabilir: Kullanıcı, belirli bir konumdan, tarayıcıdan veya **bazı koşul** ile giriş yapıyorsa **MFA gereklidir**. Bu politikalar, doğru yapılandırılmazsa **bypass**'lara karşı hassas olabilir. Kontrol edin:
{{#ref}}
../az-privilege-escalation/az-entraid-privesc/az-conditional-access-policies-mfa-bypass.md
{{#endref}}
### Gruplar
### Groups
Entra ID grupları hakkında daha fazla bilgi için kontrol edin:
@@ -405,8 +405,8 @@ Grup sahipleri yeni kullanıcıları gruba ekleyebilir.
Add-AzureADGroupMember -ObjectId <group_id> -RefObjectId <user_id> -Verbose
```
> [!WARNING]
> Gruplar dinamik olabilir, bu da temelde **bir kullanıcı belirli koşulları yerine getirirse bir gruba ekleneceği** anlamına gelir. Elbette, koşullar **kullanıcının** **kontrol edebileceği** **niteliklere** dayanıyorsa, bu özelliği **diğer gruplara girmek için** kötüye kullanabilir.\
> Dinamik grupları nasıl kötüye kullanacağınızı aşağıdaki sayfada kontrol edin:
> Gruplar dinamik olabilir, bu da temelde **bir kullanıcının belirli koşulları yerine getirmesi durumunda bir gruba ekleneceği** anlamına gelir. Elbette, koşullar **kullanıcının** **kontrol edebileceği** **niteliklere** dayanıyorsa, bu özelliği **diğer gruplara girmek için** kötüye kullanabilir.\
> Dinamik grupları nasıl kötüye kullanacağınızı kontrol edin:
{{#ref}}
../az-privilege-escalation/az-entraid-privesc/dynamic-groups.md
@@ -495,7 +495,7 @@ Get-AzureADServicePrincipal -ObjectId <id> | Get-AzureADServicePrincipalMembersh
<details>
<summary>Her Enterprise App üzerinde bir istemci sırrı eklemeyi listele ve dene</summary>
<summary>Her Enterprise App üzerinde bir istemci sırrı listele ve eklemeyi dene</summary>
```bash
# Just call Add-AzADAppSecret
Function Add-AzADAppSecret
@@ -664,10 +664,10 @@ Get-AzureADApplication -ObjectId <id> | Get-AzureADApplicationOwner |fl *
> Daha fazla bilgi için [**bunu kontrol et**](https://posts.specterops.io/azure-privilege-escalation-via-azure-api-permissions-abuse-74aee1006f48).
> [!NOTE]
> Uygulamanın bir token talep ederken kimliğini kanıtlamak için kullandığı gizli dize, uygulama şifresidir.\
> Bu nedenle, bu **şifreyi** bulursanız, **tenant** içinde **service principal** olarak erişim sağlayabilirsiniz.\
> Bu şifrenin yalnızca oluşturulduğunda görünür olduğunu unutmayın (değiştirebilirsiniz ama tekrar alamazsınız).\
> **Uygulamanın** **sahibi**, ona **bir şifre ekleyebilir** (böylece onu taklit edebilir).\
> Bir uygulamanın bir token talep ederken kimliğini kanıtlamak için kullandığı gizli dize, uygulama parolasıdır.\
> Bu nedenle, bu **parolayı** bulursanız, **tenant** içinde **service principal** olarak erişim sağlayabilirsiniz.\
> Bu parolanın yalnızca oluşturulduğunda görünür olduğunu unutmayın (değiştirebilirsiniz ama tekrar alamazsınız).\
> **Uygulamanın** **sahibi**, ona **bir parola ekleyebilir** (böylece onu taklit edebilir).\
> Bu service principal'lar olarak girişler **riskli olarak işaretlenmez** ve **MFA'ya sahip olmazlar.**
Microsoft'a ait yaygın olarak kullanılan App ID'lerinin bir listesini [https://learn.microsoft.com/en-us/troubleshoot/entra/entra-id/governance/verify-first-party-apps-sign-in#application-ids-of-commonly-used-microsoft-applications](https://learn.microsoft.com/en-us/troubleshoot/entra/entra-id/governance/verify-first-party-apps-sign-in#application-ids-of-commonly-used-microsoft-applications) adresinde bulmak mümkündür.
@@ -915,10 +915,10 @@ Get-AzureADMSScopedRoleMembership -Id <id> | fl #Get role ID and role members
Azure'daki Ayrıcalıklı Kimlik Yönetimi (PIM), kullanıcıların gereksiz yere **aşırı ayrıcalıklar** almasını **önlemeye** yardımcı olur.
PIM'in sağladığı ana özelliklerden biri, sürekli aktif olan ilkelere roller atanmamasını sağlamasıdır; bunun yerine onları **belirli bir süre (örneğin 6 ay)** için **uygun** hale getirir. Kullanıcı bu rolü etkinleştirmek istediğinde, ihtiyaç duyduğu süreyi belirterek talep etmesi gerekir (örneğin 3 saat). Ardından, bir **yönetici talebi onaylamalıdır**.\
PIM'in sağladığı ana özelliklerden biri, sürekli aktif olan ilkelere roller atanmamasını sağlamasıdır, ancak onları **belirli bir süre (örneğin 6 ay)** için **uygun** hale getirir. Daha sonra, kullanıcı o rolü etkinleştirmek istediğinde, ihtiyaç duyduğu süreyi belirterek talep etmesi gerekir (örneğin 3 saat). Ardından, bir **yönetici talebi onaylamalıdır**.\
Kullanıcının ayrıca süreyi **uzatma** talep edebileceğini unutmayın.
Ayrıca, **PIM, ayrıcalıklı bir rol birine atandığında** e-posta gönderir.
Ayrıca, **PIM,** ayrıcalıklı bir rol birine atandığında e-posta gönderir.
<figure><img src="../../../images/image (354).png" alt=""><figcaption></figcaption></figure>
@@ -931,9 +931,9 @@ PIM etkinleştirildiğinde, her rolü belirli gereksinimlerle yapılandırmak m
- Etkinleştirme sırasında bilet bilgisi gerektir
- Etkinleştirmek için onay gerektir
- Uygun atamaların süresinin dolması için maksimum süre
- Belirli eylemler gerçekleştiğinde bildirimlerin kime ve ne zaman gönderileceği hakkında daha fazla yapılandırma
- Belirli eylemler gerçekleştiğinde bildirimlerin kime ve ne zaman gönderileceği konusunda daha fazla yapılandırma
### Koşullu Erişim Politikaları <a href="#title-text" id="title-text"></a>
### Koşullu Erişim Politikaları
Kontrol et:
@@ -941,7 +941,7 @@ Kontrol et:
../az-privilege-escalation/az-entraid-privesc/az-conditional-access-policies-mfa-bypass.md
{{#endref}}
### Entra Kimlik Koruma <a href="#title-text" id="title-text"></a>
### Entra Kimlik Koruma
Entra Kimlik Koruma, bir kullanıcının veya oturum açmanın kabul edilemeyecek kadar **riskli olduğunu tespit etmeye** olanak tanıyan bir güvenlik hizmetidir ve kullanıcının veya oturum açma girişiminin **engellenmesini** sağlar.
@@ -950,11 +950,11 @@ Yönetici, riski "Düşük ve üzeri", "Orta ve üzeri" veya "Yüksek" olduğund
<figure><img src="../../../images/image (356).png" alt=""><figcaption></figcaption></figure>
> [!TIP]
> Günümüzde, aynı seçeneklerin yapılandırılabileceği Koşullu Erişim politikaları aracılığıyla bu kısıtlamaların eklenmesi önerilmektedir.
> Günümüzde, aynı seçenekleri yapılandırmanın mümkün olduğu Koşullu Erişim politikaları aracılığıyla bu kısıtlamaların eklenmesi önerilmektedir.
### Entra Şifre Koruma
Entra Şifre Koruma ([https://portal.azure.com/index.html#view/Microsoft_AAD_ConditionalAccess/PasswordProtectionBlade](https://portal.azure.com/#view/Microsoft_AAD_ConditionalAccess/PasswordProtectionBlade)), **birden fazla başarısız oturum açma girişimi olduğunda hesapları kilitleyerek zayıf şifrelerin kötüye kullanılmasını önlemeye yardımcı olan** bir güvenlik özelliğidir.\
Entra Şifre Koruma ([https://portal.azure.com/index.html#view/Microsoft_AAD_ConditionalAccess/PasswordProtectionBlade](https://portal.azure.com/#view/Microsoft_AAD_ConditionalAccess/PasswordProtectionBlade)), **birden fazla başarısız giriş denemesi olduğunda hesapları kilitleyerek zayıf şifrelerin kötüye kullanılmasını önlemeye yardımcı olan** bir güvenlik özelliğidir.\
Ayrıca, sağlamanız gereken **özel bir şifre listesini yasaklama** olanağı da sunar.
Bu, hem bulut düzeyinde hem de yerel Active Directory'de **uygulanabilir**.