在本次Black Hills信息安全（BHIS）网络研讨会中，您将学习针对Microsoft Azure环境执行渗透测试的工具与技术。随着越来越多组织将资源迁移至云端，若对攻击面缺乏扎实理解，配置错误的风险将显著增加。虽然传统本地渗透测试与云渗透测试存在诸多相似之处，但后者具有独特特性。本研讨会旨在厘清针对Microsoft Azure环境（包括Microsoft 365）的云渗透测试中的模糊概念。

为充分评估攻击面，研讨会重点强调了适当的覆盖范围。Azure资源与Microsoft 365之间的差异常令人困惑，但了解这些差异对于实现权限提升和横向移动至关重要。条件访问策略虽能有效定义用户安全认证场景，但也可能存在配置错误。某些密码攻击防护机制可被绕过。最终，本次演讲提供了测试Azure环境的方法论及配套工具与技术。

时间线摘要：

• 00:00 – 主题演讲：云渗透测试入门——Azure
• 02:32 – 讲者介绍（https://www.nobandwidth.io）
• 03:20 – 演讲路线图
• 05:33 – 为何选择Azure？
• 08:06 – 攻击面识别
• 12:50 – 侦察与外部攻击
• 19:31 – 密码攻击
• 21:37 – 密码保护与智能锁定
• 23:05 – 认证机制
• 26:52 – 条件访问策略与多因素认证
• 34:11 – 入侵后操作
• 36:46 – 命令行访问
• 37:40 – 云渗透测试速查表：https://github.com/dafthack/CloudPentestCheatsheets
• 37:53 – Azure订阅层级结构
• 41:31 – 资源特定问题
• 41:55 – 无服务器环境变量
• 48:59 – 扫描工具运用
• 51:11 – 关键要点总结
• 52:37 – 会后问答环节