Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
安全未来倡议保护工程系统的支柱首先开发,以保护Microsoft自己的软件资产和基础设施。 从此内部工作中获得的实践和见解现在与客户共享,使你能够增强自己的环境。
这些建议侧重于确保对组织的工程系统和资源的最小特权访问。
安全建议
正确配置紧急访问帐户
Microsoft建议组织有两个仅限云的紧急访问帐户永久分配全局管理员角色。 这些帐户具有很高的特权,不会分配给特定个人。 这些帐户仅限于紧急或“破窗式”场景,在这种场景下,普通帐户无法使用,或者所有其他管理员被意外锁定。
全局管理员角色激活触发审批工作流
如果没有审批工作流,通过网络钓鱼、凭据填充或其他身份验证绕过技术入侵全局管理员凭据的威胁参与者可以立即激活租户中特权最高的角色,而无需任何其他验证或监督。 Privileged Identity Management(PIM)允许符合条件的角色在几秒钟内激活,因此泄露的凭据可以几乎瞬间导致特权升级。 激活后,威胁参与者可以使用全局管理员角色使用以下攻击路径获取对租户的持久访问权限:
- 创建新的特权帐户
- 修改条件访问策略以排除这些新帐户
- 建立备用身份验证方法,例如基于证书的身份验证或具有高特权的应用程序注册
全局管理员角色提供对 Microsoft Entra ID 的管理功能,以及使用 Microsoft Entra 身份的服务(如 Microsoft Defender XDR、Microsoft Purview、Exchange Online 和 SharePoint Online)的访问权限。 如果没有审批关卡,威胁行为者可以快速提升至完全控制租户,窃取敏感数据,危害所有用户账户,并通过服务主体账户或联合修改建立长期后门,这种后门即使在检测到初始入侵后仍可保留。
修正操作
全局管理员对Azure订阅没有默认访问权限
具有持续访问Azure订阅的全局管理员扩展了威胁参与者的攻击面。 如果全局管理员帐户遭到入侵,攻击者可以立即枚举资源、修改配置、分配角色,以及跨所有订阅外泄敏感数据。 要求对订阅访问进行即时提升会引入可检测的信号、减缓攻击者的速度,并通过可观测的控制点路由高影响操作。
修正操作
创建新的应用程序和服务主体仅限于特权用户
如果非特权用户可以创建应用程序和服务主体,则这些帐户可能配置不当或授予的权限超过必要权限,从而为攻击者创建新的途径以获取初始访问权限。 攻击者可以利用这些帐户在环境中建立有效的凭据,并绕过一些安全控制。
如果这些非特权帐户被错误地授予了提升的应用程序所有者权限,攻击者可以使用它们从较低级别的访问权限转移到更特权的访问级别。 入侵非特权帐户的攻击者可能会添加自己的凭据或更改与非特权用户创建的应用程序关联的权限,以确保他们能够继续访问未检测到的环境。
攻击者可以使用服务主体与合法的系统进程和活动融合在一起。 由于服务主体经常执行自动化任务,因此在这些帐户下执行的恶意活动可能不会标记为可疑。
修正操作
非活动应用程序没有高特权Microsoft 图形 API权限
攻击者可能会利用仍然具有提升权限的有效但非活动应用程序。 这些应用程序可用于获取初始访问权限,而不会发出警报,因为它们是合法的应用程序。 从那里,攻击者可以使用应用程序特权来计划或执行其他攻击。 攻击者可能通过操控非活动应用程序(例如添加凭据)来维持访问权限。 此持久性可确保即使检测到主要访问方法,它们以后也能重新获得访问权限。
修正操作
- 禁用特权服务主体
- 调查应用程序是否有合法用例
- 如果服务主体没有合法的用例,请将其删除
非活动应用程序没有高特权的内置角色
攻击者可能会利用仍然具有提升权限的有效但非活动应用程序。 这些应用程序可用于获取初始访问权限,而不会发出警报,因为它们是合法的应用程序。 从那里,攻击者可以使用应用程序特权来计划或执行其他攻击。 攻击者可能通过操控非活动应用程序(例如添加凭据)来维持访问权限。 此持久性可确保即使检测到主要访问方法,它们以后也能重新获得访问权限。
修正操作
- 禁用非活动特权服务主体
- 调查应用程序是否有合法的用例。 如果是这样,分析 OAuth2 权限是否更适合
- 如果服务主体没有合法的用例,请将其删除
应用程序注册使用安全重定向 URI
使用包含通配符的 URL 配置的 OAuth 应用程序,或 URL 缩短器会增加威胁参与者的攻击面。 不安全的重定向 URI(回复 URL)可能允许攻击者操控身份验证请求、劫持授权代码,并通过将用户定向到攻击者控制的终结点来拦截令牌。 通配符条目通过允许意外域处理身份验证响应来扩大风险,而缩短 URL 可能会促进在不受控制的环境中进行钓鱼和令牌被盗。
如果不严格验证重定向 URI,攻击者可以绕过安全控制、模拟合法应用程序并提升其特权。 这种配置错误使得通过不力的 OAuth 实施不被检测地渗透到受保护资源,从而实现持久性、未经授权的访问和横向移动。
修正操作
- 检查应用程序注册信息中的重定向 URI。 请确保重定向 URI 没有 *.chinacloudsites.cn、通配符或 URL 缩短符。
服务主体使用安全重定向 URI
使用包含通配符、localhost 或 URL 缩短器的 URL 配置的非Microsoft和多租户应用程序会增加威胁参与者的攻击面。 这些不安全的重定向 URI(回复 URL)可能允许攻击者操控身份验证请求、劫持授权代码,并通过将用户定向到攻击者控制的终结点来拦截访问令牌。 通配符条目通过允许意外域处理身份验证响应来扩大风险,而 localhost 和缩短 URL 可能会促进在不受控制的环境中进行钓鱼和令牌被盗。
如果不严格验证重定向 URI,攻击者可以绕过安全控制、模拟合法应用程序并提升其特权。 这种配置错误使得通过不力的 OAuth 实施不被检测地渗透到受保护资源,从而实现持久性、未经授权的访问和横向移动。
修正操作
- 检查应用程序注册信息中的重定向 URI。 确保重定向 URI 没有 localhost、*.chinacloudsites.cn、通配符或 URL 缩短符。
应用注册不得具有无效或废弃的域重定向 URI
在应用程序注册中,未维护或孤立的重定向 URI 若引用不再指向活跃资源的域名,它们会形成严重的安全漏洞。 威胁参与者可以通过在已放弃的域上预配资源来利用这些“悬空”DNS 条目,从而有效地控制重定向终结点。 此漏洞使攻击者能够在 OAuth 2.0 流期间截获身份验证令牌和凭据,这可能导致未经授权的访问、会话劫持以及潜在的更广泛的组织泄露。
修正操作
资源特定的许可受到限制
如果允许组所有者同意Microsoft Entra ID中的应用程序,请创建一个横向升级路径,恶意执行组件可以使用该路径来保存和窃取没有管理员凭据的数据。 如果攻击者攻破了群组拥有者账户,他们可以注册或使用恶意应用程序,并同意授予高权限的“图形 API”权限范围到该组。 攻击者可能会读取所有 Teams 消息、访问SharePoint文件或管理组成员身份。 此同意操作会创建一个具有委派权限或应用程序权限的长期有效的应用程序标识。 攻击者使用 OAuth 令牌保持持久性,从团队频道和文件窃取敏感数据,并通过消息传递或电子邮件权限模拟用户。 如果不集中实施应用同意策略,安全团队就会失去可见性,从而导致恶意应用程序在不被察觉的情况下传播,进而在协作平台上实现多阶段攻击。
修正操作
将组织的 Resource-Specific 许可(RSC)配置设置为 EnabledForPreApprovedAppsOnly 并为每个需要 RSC 权限的应用创建预批准策略。 不要使用默认 ManagedByMicrosoft 状态。
工作负载标识没有被分配给特权角色
如果管理员将特权角色分配给工作负荷标识(例如服务主体或托管标识),则如果这些标识遭到入侵,租户可能会面临重大风险。 拥有特权工作负荷身份的威胁行为者可以执行侦查来枚举资源、提升权限以及操控或泄露敏感数据。 攻击链通常从凭据盗窃或滥用易受攻击的应用程序开始。 下一步是通过分配的角色进行权限提升,跨云资源进行横向移动,最后通过其他角色的分配或凭据的更新来实现持久性。 工作负荷标识通常用于自动化,可能不会像用户帐户一样密切监视。 然后,威胁参与者可以不受检测,从而保持对关键资源的访问和控制。 工作负荷标识不受以用户为中心的保护(如 MFA)的约束,因此最低特权分配和定期评审至关重要。
修正操作
- 查看和删除特权角色分配。
- 遵循工作负荷标识的最佳做法。
- 了解 Microsoft Entra ID 中的特权角色和权限
企业应用程序必须要求显式分配或按范围预配
当企业应用程序缺少显式分配要求和作用域内预配控制时,威胁参与者可以利用这种双重弱点来获得对敏感应用程序和数据的未经授权的访问。 使用默认设置配置应用程序时,将发生最高风险:“需要分配”设置为“否”, 且无需进行预配或范围限定。 这种危险的组合允许威胁参与者入侵租户中的任何用户帐户,以立即访问具有广泛用户群的应用程序,从而扩展其攻击面,并有可能在组织内部横向移动。
虽然具有开放分配但适当的预配范围(如基于部门的筛选器或组成员身份要求)的应用程序通过预配层维护安全控制,但缺少这两种控制的应用程序会创建威胁参与者可以利用的不受限制的访问路径。 当应用程序为没有分配限制的所有用户预配帐户时,威胁参与者可能会滥用泄露的帐户来执行侦查活动、枚举多个系统中的敏感数据,或使用应用程序作为针对已连接资源的进一步攻击的暂存点。 对于具有提升权限或连接到关键业务系统的应用程序,这种不受限制的访问模型很危险。 威胁参与者可以使用任何泄露的用户帐户来访问敏感信息、修改数据或执行应用程序权限允许的未经授权的作。 分配控制和预配范围的缺失也阻止组织实施适当的访问治理。 如果没有适当的治理,很难跟踪谁有权访问哪些应用程序、何时授予访问权限,以及是否应根据角色更改或就业状态吊销访问权限。 此外,具有广泛预配范围的应用程序可能会创建级联安全风险,其中单个被入侵的帐户提供对连接应用程序和服务的整个生态系统的访问权限。
修正操作
- 评估业务要求以确定适当的访问控制方法。 将Microsoft Entra应用分配给一组用户。
- 将企业应用程序配置为需要分配敏感应用程序。 了解“分配必需”企业应用程序属性。
企业应用程序具有所有者
没有所有者的企业应用程序成为威胁参与者可以利用的孤立资产。 这些应用程序通常保留提升的权限和对敏感资源的访问权限,同时缺乏适当的监督和安全治理。
没有所有者的应用程序在安全监视中创建盲点,攻击者可以利用现有的应用程序权限访问数据或创建后门帐户来建立持久性。 缺少所有权也会阻止适当的访问评审和权限审核,从而允许具有过多权限或过时配置的应用程序保持非托管状态。
分配所有者可实现有效的应用程序生命周期管理,并确保适当的安全监督。
修正操作
将每个用户的最大设备数限制为 10
控制设备扩散非常重要。 对每个用户可以在Microsoft Entra ID租户中注册的设备数设置合理的限制。 限制设备注册可保持安全性,同时允许业务灵活性。 默认情况下,Microsoft Entra ID允许用户注册最多 50 台设备。 将此数字减少到 10 可最大程度地减少攻击面并简化设备管理。
修正操作
- 了解如何 限制每个用户的最大设备数。
特权访问工作站的条件访问策略已配置
如果特权角色激活不局限于专用特权访问工作站(PAWs),威胁行为者可能会利用受损的终端设备,从未管理或不合规的工作站执行特权升级攻击。 标准生产力工作站通常包含攻击途径,例如不受限制的 Web 浏览、易受网络钓鱼的电子邮件客户端以及本地安装的应用程序,并存在潜在漏洞。 当管理员从这些工作站激活特权角色时,通过恶意软件、浏览器攻击或社交工程获得初始访问权限的威胁参与者可以使用本地缓存的特权凭据或劫持现有经过身份验证的会话来提升其特权。 特权角色激活可跨Microsoft Entra ID和连接服务授予广泛的管理权限,因此攻击者可以创建新的管理帐户、修改安全策略、访问所有组织资源的敏感数据,以及在整个环境中部署恶意软件或后门以建立持久访问。 这种从已被攻破的终端进行横向移动到特权云资源的行为,代表了一条绕过许多传统安全控制的关键攻击路径。 如果是从经过身份验证的管理员会话发起的,特权访问似乎是合法的。
如果此检查通过,则租户有一个条件访问策略,用于限制对 PAW 设备的特权角色访问,但这不是完全启用 PAW 解决方案所需的唯一控制。 还需要配置 Intune 设备配置和符合性策略和设备筛选器。
修正操作
-
部署特权访问工作站解决方案
- 提供指导,以配置条件访问以及 Intune 设备配置和合规策略。
- 在条件访问中配置设备筛选器以限制特权访问