diff --git a/src/pentesting-cloud/azure-security/README.md b/src/pentesting-cloud/azure-security/README.md index 15312fcc4..aed4f97de 100644 --- a/src/pentesting-cloud/azure-security/README.md +++ b/src/pentesting-cloud/azure-security/README.md @@ -10,11 +10,11 @@ Azure ve Entra ID'nin temellerini öğrenmek için aşağıdaki sayfayı ziyaret az-basic-information/ {{#endref}} -## Azure Pentester/Kırmızı Takım Metodolojisi +## Azure Pentester/Kırmızı Ekip Metodolojisi -AZURE ortamını denetlemek için bilmek çok önemlidir: hangi **hizmetlerin kullanıldığı**, neyin **açık olduğu**, kimin neye **erişimi** olduğu ve iç Azure hizmetlerinin ve **dış hizmetlerin** nasıl bağlandığı. +AZURE ortamını denetlemek için bilmek çok önemlidir: hangi **hizmetlerin kullanıldığı**, neyin **açık olduğu**, kimin neye **erişimi olduğu** ve iç Azure hizmetlerinin ve **dış hizmetlerin** nasıl bağlandığı. -Kırmızı Takım bakış açısından, bir Azure ortamını ele geçirmenin **ilk adımı** bazı **ayak izleri** elde etmektir. +Kırmızı Ekip perspektifinden, bir Azure ortamını ele geçirmenin **ilk adımı** bazı **ayak izleri** elde etmektir. ### Dış Enum & İlk Erişim @@ -29,13 +29,13 @@ az-unauthenticated-enum-and-initial-entry/ {{#endref}} Bu bilgilerle, bir ayak izi elde etmeye çalışmanın en yaygın yolları şunlardır: -- **OSINT**: **kimlik bilgileri** veya ilginç bilgiler içerebilecek Github veya başka bir açık kaynak platformda **sızıntıları** kontrol edin. -- **Şifre** yeniden kullanımı, sızıntılar veya [şifre püskürtme](az-unauthenticated-enum-and-initial-entry/az-password-spraying.md) +- **OSINT**: **leak**'leri Github veya kimlik bilgileri veya ilginç bilgiler içerebilecek diğer açık kaynak platformlarda kontrol edin. +- **Şifre** tekrar kullanımı, leak'ler veya [şifre püskürtme](az-unauthenticated-enum-and-initial-entry/az-password-spraying.md) - Bir çalışandan kimlik bilgileri satın almak - [**Yaygın Phishing**](https://book.hacktricks.wiki/en/generic-methodologies-and-resources/phishing-methodology/index.html) (kimlik bilgileri veya Oauth Uygulaması) -- [Cihaz Kodu Kimlik Avı](az-unauthenticated-enum-and-initial-entry/az-device-code-authentication-phishing.md) +- [Cihaz Kodu Kimlik Doğrulama Phishing](az-unauthenticated-enum-and-initial-entry/az-device-code-authentication-phishing.md) - 3. tarafların **ihlal edilmesi** -- Azure'da Barındırılan Uygulamalardaki Güvenlik Açıkları +- Azure'da barındırılan uygulamalardaki güvenlik açıkları - [**Sunucu Tarafı İstek Sahteciliği**](https://book.hacktricks.wiki/en/pentesting-web/ssrf-server-side-request-forgery/cloud-ssrf.html) ile meta veri uç noktasına erişim - **Alt alan devralmaları** gibi [https://godiego.co/posts/STO-Azure/](https://godiego.co/posts/STO-Azure/) - **Diğer azure hizmetleri yanlış yapılandırmaları** @@ -44,15 +44,15 @@ Bu bilgilerle, bir ayak izi elde etmeye çalışmanın en yaygın yolları şunl - **`azureProfile.json`** geçmişte oturum açmış kullanıcılar hakkında bilgi içerir - **`clouds.config`** abonelikler hakkında bilgi içerir - **`service_principal_entries.json`** uygulama kimlik bilgilerini içerir (kiracı id'si, istemciler ve gizli anahtar). Sadece Linux & macOS'ta -- **`msal_token_cache.json`** erişim belirteçlerini ve yenileme belirteçlerini içerir. Sadece Linux & macOS'ta +- **`msal_token_cache.json`** erişim jetonları ve yenileme jetonlarını içerir. Sadece Linux & macOS'ta - **`service_principal_entries.bin`** ve msal_token_cache.bin Windows'ta kullanılır ve DPAPI ile şifrelenmiştir - **`msal_http_cache.bin`** HTTP isteği önbelleğidir - Yükleyin: `with open("msal_http_cache.bin", 'rb') as f: pickle.load(f)` - **`AzureRmContext.json`** Az PowerShell kullanarak önceki oturum açma bilgilerini içerir (ancak kimlik bilgileri yoktur) -- **`C:\Users\\AppData\Local\Microsoft\IdentityCache\*`** içinde, kullanıcıların DPAPI ile şifrelenmiş **erişim belirteçleri**, ID belirteçleri ve hesap bilgileri içeren birkaç `.bin` dosyası vardır. -- **`C:\Users\\AppData\Local\Microsoft\TokenBroken\Cache\`** içindeki `.tbres` dosyalarında daha fazla **erişim belirteci** bulmak mümkündür; bu dosyalar DPAPI ile şifrelenmiş base64 içerir. -- Linux ve macOS'ta, Az PowerShell'den **erişim belirteçleri, yenileme belirteçleri ve id belirteçleri** almak için `pwsh -Command "Save-AzContext -Path /tmp/az-context.json"` komutunu çalıştırabilirsiniz (kullanıldıysa). -- Windows'ta bu sadece id belirteçleri üretir. +- **`C:\Users\\AppData\Local\Microsoft\IdentityCache\*`** içinde, kullanıcıların DPAPI ile şifrelenmiş **erişim jetonları**, ID jetonları ve hesap bilgileri içeren birkaç `.bin` dosyası vardır. +- **`C:\Users\\AppData\Local\Microsoft\TokenBroken\Cache\`** içindeki `.tbres` dosyalarında daha fazla **erişim jetonu** bulmak mümkündür; bu dosyalar DPAPI ile şifrelenmiş base64 içerir. +- Linux ve macOS'ta, Az PowerShell'den **erişim jetonları, yenileme jetonları ve id jetonları** almak için `pwsh -Command "Save-AzContext -Path /tmp/az-context.json"` komutunu çalıştırabilirsiniz (kullanıldıysa). +- Windows'ta bu sadece id jetonları üretir. - Linux ve macOS'ta Az PowerShell'in kullanılıp kullanılmadığını kontrol etmek için `$HOME/.local/share/.IdentityService/` var mı diye bakmak mümkündür (içerdiği dosyalar boş ve işe yaramaz olsa da). Aşağıdaki sayfada bir ayak izi elde etmeye yol açabilecek **diğer Azure Hizmetleri yanlış yapılandırmalarını** bulun: @@ -66,29 +66,35 @@ az-unauthenticated-enum-and-initial-entry/ ### Azure & Entra ID Araçları -Aşağıdaki araçlar, hem Entra ID kiracılarını hem de Azure ortamlarını yavaşça (tespit edilmemek için) veya otomatik olarak (zaman kazanmak için) listelemek için çok faydalı olacaktır: +Aşağıdaki araçlar, hem Entra ID kiracılarını hem de Azure ortamlarını yavaşça (tespit edilmemek için) veya otomatik olarak (zaman kazanmak için) listelemek için çok yararlı olacaktır: {{#ref}} az-enumeration-tools.md {{#endref}} -### Giriş Koşullarını Aşma +### Erişim Politikalarını Aşma
-Geçerli kimlik bilgileriniz olsa bile giriş yapamadığınız durumlarda, mevcut olabilecek bazı yaygın korumalar şunlardır: +Geçerli kimlik bilgilerine sahip olduğunuz ancak giriş yapamadığınız durumlarda, mevcut olabilecek bazı yaygın korumalar şunlardır: - **IP beyaz listeleme** -- Geçerli bir IP'yi ele geçirmeniz gerekir - **Coğrafi kısıtlamalar** -- Kullanıcının nerede yaşadığını veya şirketin ofislerinin nerede olduğunu bulup aynı şehirden (veya en azından aynı ülkeden) bir IP almak - **Tarayıcı** -- Belki de yalnızca belirli bir işletim sisteminden (Windows, Linux, Mac, Android, iOS) bir tarayıcıya izin verilmektedir. Kurbanın/şirketin hangi işletim sistemini kullandığını öğrenin. -- Ayrıca, genellikle daha az sınırlı olan ve girişi daha az incelenen **Hizmet Prensibi kimlik bilgilerini** ele geçirmeyi de deneyebilirsiniz. +- Ayrıca, genellikle daha az sınırlı olan ve girişleri daha az incelenen **Hizmet Prensibi kimlik bilgilerini** ele geçirmeyi de deneyebilirsiniz. -Bunu aştıktan sonra, başlangıç ayarınıza geri dönebilir ve hala erişiminiz olabilir. +Bunu aştıktan sonra, başlangıç ayarlarınıza geri dönebilir ve hala erişiminiz olabilir. + +Kontrol edin: + +{{#ref}} +az-privilege-escalation/az-entraid-privesc/az-conditional-access-policies-mfa-bypass.md +{{#endref}} ### Whoami > [!CAUTION] -> [**Az - Entra ID**](az-services/az-azuread.md) bölümünde az cli, AzureAD ve Az PowerShell'in **nasıl yükleneceğini** öğrenin. +> [**Az - Entra ID**](az-services/az-azuread.md) bölümünde az cli, AzureAD ve Az PowerShell'in **nasıl kurulacağını** öğrenin. Bilmeniz gereken ilk şey **kim olduğunuzdur** (hangi ortamda olduğunuz): @@ -135,7 +141,7 @@ Get-AzureADTenantDetail {{#endtabs }} -### Entra ID Sayımı ve Yetki Yükseltme +### Entra ID Sayımı & Yetki Yükseltme Varsayılan olarak, herhangi bir kullanıcının **kullanıcılar, gruplar, roller, hizmet ilkeleri gibi şeyleri saymak için yeterli izinlere sahip olması gerekir**... (bakınız [varsayılan AzureAD izinleri](az-basic-information/index.html#default-user-permissions)).\ Burada bir kılavuz bulabilirsiniz: @@ -144,14 +150,14 @@ Burada bir kılavuz bulabilirsiniz: az-services/az-azuread.md {{#endref}} -Entra ID'de yetki yükseltmek için **AzureHound** gibi araçlar bulmak için **Post-Exploitation araçlarına** göz atın: +**Yetki Yükseltme araçlarını** kontrol edin, Entra ID'de yetki yükseltmek için **AzureHound** gibi araçlar bulabilirsiniz: {{#ref}} az-enumeration-tools.md#automated-post-exploitation-tools {{#endref}} -### Azure Hizmetlerini Sayma +### Azure Sayımı Kendinizi tanıdıktan sonra, **erişim sağladığınız Azure hizmetlerini saymaya** başlayabilirsiniz. @@ -169,7 +175,7 @@ Bu işlemi gerçekleştirmek için **`Microsoft.Authorization/roleAssignments/re Ayrıca, yeterli izinlerle, **`Get-AzRoleAssignment`** rolü, abonelikteki **tüm rolleri** saymak veya belirli bir kaynak üzerindeki izni belirtmek için kullanılabilir, örneğin: **`Get-AzRoleAssignment -Scope /subscriptions/9291ff6e-6afb-430e-82a4-6f04b2d05c7f/resourceGroups/Resource_Group_1/providers/Microsoft.RecoveryServices/vaults/vault-m3ww8ut4`**. -Bu bilgiyi **`az rest --method GET --uri "https://management.azure.com//providers/Microsoft.Authorization/roleAssignments?api-version=2020-08-01-preview" | jq ".value"`** komutunu çalıştırarak da alabilirsiniz: +Bu bilgiyi elde etmek için **`az rest --method GET --uri "https://management.azure.com//providers/Microsoft.Authorization/roleAssignments?api-version=2020-08-01-preview" | jq ".value"`** komutunu çalıştırarak da alabilirsiniz, örneğin: - **`az rest --method GET --uri "https://management.azure.com//subscriptions/9291ff6e-6afb-430e-82a4-6f04b2d05c7f/resourceGroups/Resource_Group_1/providers/Microsoft.KeyVault/vaults/vault-m3ww8ut4/providers/Microsoft.Authorization/roleAssignments?api-version=2020-08-01-preview" | jq ".value"`** @@ -186,7 +192,7 @@ Aşağıdaki bölümde **en yaygın Azure hizmetleri ve bunları nasıl sayacağ az-services/ {{#endref}} -### Yetki Yükseltme, Post-Exploitation ve Azure Hizmetlerinde Süreklilik +### Yetki Yükseltme, Post-Exploitation & Süreklilik Azure ortamının nasıl yapılandığını ve hangi hizmetlerin kullanıldığını öğrendikten sonra, **yetki yükseltme, yan hareket etme, diğer post-exploitation saldırılarını gerçekleştirme ve sürekliliği sağlama** yollarını aramaya başlayabilirsiniz. @@ -196,13 +202,13 @@ Aşağıdaki bölümde en yaygın Azure hizmetlerinde yetki yükseltme hakkında az-privilege-escalation/ {{#endref}} -Aşağıdaki bölümde en yaygın Azure hizmetlerinde post-exploitation saldırıları gerçekleştirme hakkında bilgi bulabilirsiniz: +Sonraki bölümde en yaygın Azure hizmetlerinde post-exploitation saldırıları gerçekleştirme hakkında bilgi bulabilirsiniz: {{#ref}} az-post-exploitation/ {{#endref}} -Aşağıdaki bölümde en yaygın Azure hizmetlerinde sürekliliği sağlama hakkında bilgi bulabilirsiniz: +Bir sonraki bölümde en yaygın Azure hizmetlerinde sürekliliği sağlama hakkında bilgi bulabilirsiniz: {{#ref}} az-persistence/ diff --git a/src/pentesting-cloud/azure-security/az-persistence/README.md b/src/pentesting-cloud/azure-security/az-persistence/README.md index 61b12bddf..bd7e02589 100644 --- a/src/pentesting-cloud/azure-security/az-persistence/README.md +++ b/src/pentesting-cloud/azure-security/az-persistence/README.md @@ -2,9 +2,9 @@ {{#include ../../../banners/hacktricks-training.md}} -### İzin Verilmeyen Onay +### OAuth Uygulaması -Varsayılan olarak, herhangi bir kullanıcı Azure AD'de bir uygulama kaydedebilir. Bu nedenle, yüksek etki izinlerine ihtiyaç duyan (ve eğer admin iseniz onaylayabileceğiniz) bir uygulama kaydedebilirsiniz - örneğin, bir kullanıcının adına mail göndermek, rol yönetimi vb. Bu, başarılı olması durumunda **oltalama saldırıları** gerçekleştirmemizi sağlayacaktır ki bu da çok **verimli** olacaktır. +Varsayılan olarak, herhangi bir kullanıcı Entra ID'de bir uygulama kaydedebilir. Bu nedenle, yüksek etki izinlerine ihtiyaç duyan (ve eğer admin iseniz onaylayabileceğiniz) bir uygulama kaydedebilirsiniz - örneğin, bir kullanıcının adına mail göndermek, rol yönetimi vb. Bu, başarılı olursa **oltalama saldırıları** gerçekleştirmemizi sağlayacaktır ki bu da çok **verimli** olacaktır. Ayrıca, bu uygulamayı kullanıcı olarak kabul ederek ona erişimi sürdürme yolunu da seçebilirsiniz. @@ -14,7 +14,7 @@ Uygulama Yöneticisi, GA veya microsoft.directory/applications/credentials/updat **Yüksek izinlere sahip bir uygulamayı hedef almak** veya **yüksek izinlere sahip yeni bir uygulama eklemek** mümkündür. -Uygulamaya eklenebilecek ilginç bir rol, **Ayrıcalıklı kimlik doğrulama yöneticisi rolü** olacaktır çünkü bu, Küresel Yöneticilerin **şifresini sıfırlama** yetkisi verir. +Uygulamaya eklemek için ilginç bir rol, **Ayrıcalıklı kimlik doğrulama yöneticisi rolü** olacaktır çünkü bu, Küresel Yöneticilerin **şifresini sıfırlama** yetkisi verir. Bu teknik ayrıca **MFA'yı atlatmayı** da sağlar. ```bash @@ -38,9 +38,9 @@ Sonra, sertifika bilgilerini Azure AD ile güncelleyin: ```bash Update-AADIntADFSFederationSettings -Domain cyberranges.io ``` -### Federation - Güvenilir Alan +### Federation - Trusted Domain -GA ayrıcalıkları ile bir kiracıda, **yeni bir alan eklemek** mümkündür (doğrulanması gerekir), kimlik doğrulama türünü Federated olarak yapılandırmak ve alanı **belirli bir sertifikaya** (aşağıdaki komutta any.sts) ve vericiye güvenecek şekilde yapılandırmak mümkündür: +GA ayrıcalıkları ile bir kiracıda, **yeni bir alan adı eklemek** (doğrulanması gerekir), kimlik doğrulama türünü Federated olarak yapılandırmak ve alan adını **belirli bir sertifikaya** (aşağıdaki komutta any.sts) ve vericiye güvenecek şekilde yapılandırmak mümkündür: ```bash # Using AADInternals ConvertTo-AADIntBackdoor -DomainName cyberranges.io diff --git a/src/pentesting-cloud/azure-security/az-services/az-azuread.md b/src/pentesting-cloud/azure-security/az-services/az-azuread.md index 8c8d74901..7ddb2dbca 100644 --- a/src/pentesting-cloud/azure-security/az-services/az-azuread.md +++ b/src/pentesting-cloud/azure-security/az-services/az-azuread.md @@ -156,11 +156,11 @@ Connect-AzureAD -AccountId test@corp.onmicrosoft.com -AadAccessToken $token {{#endtab }} {{#endtabs }} -Azure'a herhangi bir programla **CLI** üzerinden **giriş yaptığınızda**, **Microsoft**'a ait bir **tenant**'tan bir **Azure Uygulaması** kullanıyorsunuz. Bu Uygulamalar, hesabınızda oluşturabileceğinizler gibi, **bir istemci kimliğine** sahiptir. **Hepsini göremeyeceksiniz** **konsolda görebileceğiniz izin verilen uygulama listelerinde**, **ancak varsayılan olarak izinlidirler**. +Azure'a **CLI** üzerinden giriş yaptığınızda, **Microsoft**'a ait bir **tenant**'tan bir **Azure Uygulaması** kullanıyorsunuz. Bu Uygulamalar, hesabınızda oluşturabileceğinizler gibi, **bir istemci kimliğine** sahiptir. **Hepsini göremeyeceksiniz** **izin verilen uygulamalar listesinde** konsolda, **ancak varsayılan olarak izinlidirler**. -Örneğin, **kimlik doğrulayan** bir **powershell script** istemci kimliği **`1950a258-227b-4e31-a9cf-717495945fc2`** olan bir uygulama kullanır. Uygulama konsolda görünmese bile, bir sistem yöneticisi **o uygulamayı engelleyebilir** böylece kullanıcılar o Uygulama üzerinden bağlanamaz. +Örneğin, **kimlik doğrulayan** bir **powershell script** istemci kimliği **`1950a258-227b-4e31-a9cf-717495945fc2`** olan bir uygulamayı kullanır. Uygulama konsolda görünmese bile, bir sistem yöneticisi bu uygulamayı **engelleyebilir** böylece kullanıcılar bu Uygulama üzerinden bağlanamazlar. -Ancak, **Azure'a bağlanmanıza izin verecek** **başka istemci kimlikleri** de vardır: +Ancak, **Azure'a bağlanmanıza izin verecek** **diğer istemci kimlikleri** vardır: ```bash # The important part is the ClientId, which identifies the application to login inside Azure @@ -301,7 +301,7 @@ Get-AzRoleAssignment -SignInName test@corp.onmicrosoft.com {{#endtab }} {{#endtabs }} -#### Kullanıcı Parolasını Değiştir +#### Kullanıcı Şifresini Değiştir ```bash $password = "ThisIsTheNewPassword.!123" | ConvertTo- SecureString -AsPlainText –Force @@ -309,13 +309,13 @@ $password = "ThisIsTheNewPassword.!123" | ConvertTo- SecureString -AsPlainText ``` ### MFA & Conditional Access Policies -Her kullanıcıya MFA eklenmesi şiddetle önerilir, ancak bazı şirketler bunu ayarlamayabilir veya belirli bir konum, tarayıcı veya **bazı koşul** ile giriş yapıldığında kullanıcıdan **MFA istenecektir** şeklinde bir Koşullu Erişim ayarlayabilir. Bu politikalar, doğru yapılandırılmazsa **bypass**'lara karşı hassas olabilir. Kontrol edin: +Her kullanıcıya MFA eklenmesi şiddetle önerilir, ancak bazı şirketler bunu ayarlamayabilir veya bunu bir Conditional Access ile ayarlayabilir: Kullanıcı, belirli bir konumdan, tarayıcıdan veya **bazı koşul** ile giriş yapıyorsa **MFA gereklidir**. Bu politikalar, doğru yapılandırılmazsa **bypass**'lara karşı hassas olabilir. Kontrol edin: {{#ref}} ../az-privilege-escalation/az-entraid-privesc/az-conditional-access-policies-mfa-bypass.md {{#endref}} -### Gruplar +### Groups Entra ID grupları hakkında daha fazla bilgi için kontrol edin: @@ -405,8 +405,8 @@ Grup sahipleri yeni kullanıcıları gruba ekleyebilir. Add-AzureADGroupMember -ObjectId -RefObjectId -Verbose ``` > [!WARNING] -> Gruplar dinamik olabilir, bu da temelde **bir kullanıcı belirli koşulları yerine getirirse bir gruba ekleneceği** anlamına gelir. Elbette, koşullar **kullanıcının** **kontrol edebileceği** **niteliklere** dayanıyorsa, bu özelliği **diğer gruplara girmek için** kötüye kullanabilir.\ -> Dinamik grupları nasıl kötüye kullanacağınızı aşağıdaki sayfada kontrol edin: +> Gruplar dinamik olabilir, bu da temelde **bir kullanıcının belirli koşulları yerine getirmesi durumunda bir gruba ekleneceği** anlamına gelir. Elbette, koşullar **kullanıcının** **kontrol edebileceği** **niteliklere** dayanıyorsa, bu özelliği **diğer gruplara girmek için** kötüye kullanabilir.\ +> Dinamik grupları nasıl kötüye kullanacağınızı kontrol edin: {{#ref}} ../az-privilege-escalation/az-entraid-privesc/dynamic-groups.md @@ -495,7 +495,7 @@ Get-AzureADServicePrincipal -ObjectId | Get-AzureADServicePrincipalMembersh
-Her Enterprise App üzerinde bir istemci sırrı eklemeyi listele ve dene +Her Enterprise App üzerinde bir istemci sırrı listele ve eklemeyi dene ```bash # Just call Add-AzADAppSecret Function Add-AzADAppSecret @@ -664,10 +664,10 @@ Get-AzureADApplication -ObjectId | Get-AzureADApplicationOwner |fl * > Daha fazla bilgi için [**bunu kontrol et**](https://posts.specterops.io/azure-privilege-escalation-via-azure-api-permissions-abuse-74aee1006f48). > [!NOTE] -> Uygulamanın bir token talep ederken kimliğini kanıtlamak için kullandığı gizli dize, uygulama şifresidir.\ -> Bu nedenle, bu **şifreyi** bulursanız, **tenant** içinde **service principal** olarak erişim sağlayabilirsiniz.\ -> Bu şifrenin yalnızca oluşturulduğunda görünür olduğunu unutmayın (değiştirebilirsiniz ama tekrar alamazsınız).\ -> **Uygulamanın** **sahibi**, ona **bir şifre ekleyebilir** (böylece onu taklit edebilir).\ +> Bir uygulamanın bir token talep ederken kimliğini kanıtlamak için kullandığı gizli dize, uygulama parolasıdır.\ +> Bu nedenle, bu **parolayı** bulursanız, **tenant** içinde **service principal** olarak erişim sağlayabilirsiniz.\ +> Bu parolanın yalnızca oluşturulduğunda görünür olduğunu unutmayın (değiştirebilirsiniz ama tekrar alamazsınız).\ +> **Uygulamanın** **sahibi**, ona **bir parola ekleyebilir** (böylece onu taklit edebilir).\ > Bu service principal'lar olarak girişler **riskli olarak işaretlenmez** ve **MFA'ya sahip olmazlar.** Microsoft'a ait yaygın olarak kullanılan App ID'lerinin bir listesini [https://learn.microsoft.com/en-us/troubleshoot/entra/entra-id/governance/verify-first-party-apps-sign-in#application-ids-of-commonly-used-microsoft-applications](https://learn.microsoft.com/en-us/troubleshoot/entra/entra-id/governance/verify-first-party-apps-sign-in#application-ids-of-commonly-used-microsoft-applications) adresinde bulmak mümkündür. @@ -915,10 +915,10 @@ Get-AzureADMSScopedRoleMembership -Id | fl #Get role ID and role members Azure'daki Ayrıcalıklı Kimlik Yönetimi (PIM), kullanıcıların gereksiz yere **aşırı ayrıcalıklar** almasını **önlemeye** yardımcı olur. -PIM'in sağladığı ana özelliklerden biri, sürekli aktif olan ilkelere roller atanmamasını sağlamasıdır; bunun yerine onları **belirli bir süre (örneğin 6 ay)** için **uygun** hale getirir. Kullanıcı bu rolü etkinleştirmek istediğinde, ihtiyaç duyduğu süreyi belirterek talep etmesi gerekir (örneğin 3 saat). Ardından, bir **yönetici talebi onaylamalıdır**.\ +PIM'in sağladığı ana özelliklerden biri, sürekli aktif olan ilkelere roller atanmamasını sağlamasıdır, ancak onları **belirli bir süre (örneğin 6 ay)** için **uygun** hale getirir. Daha sonra, kullanıcı o rolü etkinleştirmek istediğinde, ihtiyaç duyduğu süreyi belirterek talep etmesi gerekir (örneğin 3 saat). Ardından, bir **yönetici talebi onaylamalıdır**.\ Kullanıcının ayrıca süreyi **uzatma** talep edebileceğini unutmayın. -Ayrıca, **PIM, ayrıcalıklı bir rol birine atandığında** e-posta gönderir. +Ayrıca, **PIM,** ayrıcalıklı bir rol birine atandığında e-posta gönderir.
@@ -931,9 +931,9 @@ PIM etkinleştirildiğinde, her rolü belirli gereksinimlerle yapılandırmak m - Etkinleştirme sırasında bilet bilgisi gerektir - Etkinleştirmek için onay gerektir - Uygun atamaların süresinin dolması için maksimum süre -- Belirli eylemler gerçekleştiğinde bildirimlerin kime ve ne zaman gönderileceği hakkında daha fazla yapılandırma +- Belirli eylemler gerçekleştiğinde bildirimlerin kime ve ne zaman gönderileceği konusunda daha fazla yapılandırma -### Koşullu Erişim Politikaları +### Koşullu Erişim Politikaları Kontrol et: @@ -941,7 +941,7 @@ Kontrol et: ../az-privilege-escalation/az-entraid-privesc/az-conditional-access-policies-mfa-bypass.md {{#endref}} -### Entra Kimlik Koruma +### Entra Kimlik Koruma Entra Kimlik Koruma, bir kullanıcının veya oturum açmanın kabul edilemeyecek kadar **riskli olduğunu tespit etmeye** olanak tanıyan bir güvenlik hizmetidir ve kullanıcının veya oturum açma girişiminin **engellenmesini** sağlar. @@ -950,11 +950,11 @@ Yönetici, riski "Düşük ve üzeri", "Orta ve üzeri" veya "Yüksek" olduğund
> [!TIP] -> Günümüzde, aynı seçeneklerin yapılandırılabileceği Koşullu Erişim politikaları aracılığıyla bu kısıtlamaların eklenmesi önerilmektedir. +> Günümüzde, aynı seçenekleri yapılandırmanın mümkün olduğu Koşullu Erişim politikaları aracılığıyla bu kısıtlamaların eklenmesi önerilmektedir. ### Entra Şifre Koruma -Entra Şifre Koruma ([https://portal.azure.com/index.html#view/Microsoft_AAD_ConditionalAccess/PasswordProtectionBlade](https://portal.azure.com/#view/Microsoft_AAD_ConditionalAccess/PasswordProtectionBlade)), **birden fazla başarısız oturum açma girişimi olduğunda hesapları kilitleyerek zayıf şifrelerin kötüye kullanılmasını önlemeye yardımcı olan** bir güvenlik özelliğidir.\ +Entra Şifre Koruma ([https://portal.azure.com/index.html#view/Microsoft_AAD_ConditionalAccess/PasswordProtectionBlade](https://portal.azure.com/#view/Microsoft_AAD_ConditionalAccess/PasswordProtectionBlade)), **birden fazla başarısız giriş denemesi olduğunda hesapları kilitleyerek zayıf şifrelerin kötüye kullanılmasını önlemeye yardımcı olan** bir güvenlik özelliğidir.\ Ayrıca, sağlamanız gereken **özel bir şifre listesini yasaklama** olanağı da sunar. Bu, hem bulut düzeyinde hem de yerel Active Directory'de **uygulanabilir**.