为零信任配置Microsoft Entra：保护工程系统

为了保护Microsoft自己的软件资产和基础设施，最初开发了“安全未来计划”支柱，用于保护工程系统。 从此内部工作中获得的实践和见解现在与客户共享，使你能够增强自己的环境。

这些建议侧重于确保对组织的工程系统和资源的最小特权访问。

安全建议

正确配置紧急访问帐户

Microsoft建议组织拥有两个仅限云使用的紧急访问帐户，并将其永久分配为全局管理员角色。 这些帐户具有很高的特权，不会分配给特定个人。 这些帐户仅限于紧急或“破窗式”场景，在这种场景下，普通帐户无法使用，或者所有其他管理员被意外锁定。

修正操作

按照 紧急访问帐户建议创建帐户。

全局管理员角色激活触发审批工作流

如果没有审批工作流，通过网络钓鱼、凭据填充或其他身份验证绕过技术入侵全局管理员凭据的威胁参与者可以立即激活租户中特权最高的角色，而无需任何其他验证或监督。 Privileged Identity Management （PIM） 允许符合条件的角色激活在几秒钟内处于活动状态，因此泄露的凭据可以允许近乎即时的特权提升。 激活后，威胁参与者可以使用全局管理员角色使用以下攻击路径获取对租户的持久访问权限：

• 创建新的特权帐户
• 修改条件访问策略以排除这些新帐户
• 建立备用身份验证方法，例如基于证书的身份验证或具有高特权的应用程序注册

全局管理员角色提供对使用 Microsoft Entra 标识（包括 Microsoft Defender XDR、Microsoft Purview、Exchange Online 和 SharePoint Online）Microsoft Entra ID 和服务中的管理功能的访问权限。 如果没有审批入口，威胁参与者可以快速升级为完成租户接管、泄露敏感数据、损害所有用户帐户，并通过服务主体或联合修改建立长期后门，即使在检测到初始入侵后仍保留。

修正操作

• 配置角色设置以要求批准全局管理员激活
• 为特权角色设置审批工作流

全局管理员无权访问 Azure 订阅

对 Azure 订阅具有持久访问权限的全局管理员扩展了威胁参与者的攻击面。 如果全局管理员帐户遭到入侵，攻击者可以立即枚举资源、修改配置、分配角色，以及跨所有订阅外泄敏感数据。 要求对订阅访问进行实时提升会引入可检测信号、减缓攻击者速度，并通过可观测的控制点路由高影响作。

修正操作

• 监视身份验证方法活动

创建新的应用程序和服务主体仅限于特权用户

如果非特权用户可以创建应用程序和服务主体，则这些帐户可能配置不当或授予的权限超过必要权限，从而为攻击者创建新的途径以获取初始访问权限。 攻击者可以利用这些帐户在环境中建立有效的凭据，并绕过一些安全控制。

如果这些非特权帐户被错误地授予了提升的应用程序所有者权限，攻击者可以使用它们从较低级别的访问权限转移到更特权的访问级别。 入侵非特权帐户的攻击者可能会添加自己的凭据或更改与非特权用户创建的应用程序关联的权限，以确保他们能够继续访问未检测到的环境。

攻击者可以使用服务主体与合法的系统进程和活动融合在一起。 由于服务主体经常执行自动化任务，因此在这些帐户下执行的恶意活动可能不会标记为可疑。

修正操作

• 阻止非特权用户创建应用

非活动应用程序没有高特权Microsoft图形 API 权限

攻击者可能会利用仍然具有提升权限的有效但非活动应用程序。 这些应用程序可用于获取初始访问权限，而不会发出警报，因为它们是合法的应用程序。 从那里，攻击者可以使用应用程序特权来计划或执行其他攻击。 攻击者还可以通过作非活动应用程序（例如添加凭据）来维护访问权限。 此持久性可确保即使检测到主要访问方法，它们以后也能重新获得访问权限。

修正操作

• 禁用特权服务主体
• 调查应用程序是否有合法用例
• 如果服务主体没有合法的用例，请将其删除

非活动应用程序没有高特权的内置角色

攻击者可能会利用仍然具有提升权限的有效但非活动应用程序。 这些应用程序可用于获取初始访问权限，而不会发出警报，因为它们是合法的应用程序。 从那里，攻击者可以使用应用程序特权来计划或执行其他攻击。 攻击者还可以通过作非活动应用程序（例如添加凭据）来维护访问权限。 此持久性可确保即使检测到主要访问方法，它们以后也能重新获得访问权限。

修正操作

• 禁用非活动特权服务主体
• 调查应用程序是否有合法的用例。 如果是这样，分析 OAuth2 权限是否更适合
• 如果服务主体没有合法的用例，请将其删除

应用注册使用安全的重定向 URI

使用包含通配符的 URL 配置的 OAuth 应用程序，或 URL 缩短器会增加威胁参与者的攻击面。 不安全的重定向 URI（回复 URL）可能允许攻击者通过将用户定向到攻击者控制的终结点来作身份验证请求、劫持授权代码和拦截令牌。 通配符条目通过允许意外域处理身份验证响应来扩大风险，而缩短 URL 可能会促进在不受控制的环境中进行钓鱼和令牌被盗。

如果不严格验证重定向 URI，攻击者可以绕过安全控制、模拟合法应用程序并提升其特权。 这种配置错误使持久性、未经授权的访问和横向移动，因为攻击者利用弱 OAuth 强制措施渗透到未检测到的受保护资源。

修正操作

• 检查应用程序的重定向 URI。 请确保重定向 URI 没有 *.chinacloudsites.cn、通配符或 URL 缩短符。

服务主体使用安全重定向 URI

配置了包含通配符、localhost 或 URL 缩短程序的非Microsoft和多租户应用程序会增加威胁参与者的攻击面。 这些不安全的重定向 URI（回复 URL）可能允许攻击者通过将用户定向到攻击者控制的终结点来作身份验证请求、劫持授权代码和拦截令牌。 通配符条目通过允许意外域处理身份验证响应来扩大风险，而 localhost 和缩短 URL 可能会促进在不受控制的环境中进行钓鱼和令牌被盗。

如果不严格验证重定向 URI，攻击者可以绕过安全控制、模拟合法应用程序并提升其特权。 这种配置错误使持久性、未经授权的访问和横向移动，因为攻击者利用弱 OAuth 强制措施渗透到未检测到的受保护资源。

修正操作

• 检查应用程序的重定向 URI。 确保重定向 URI 没有 localhost、*.chinacloudsites.cn、通配符或 URL 缩短符。

应用注册不得具有悬而未完成或放弃的域重定向 URI

当应用注册中未托管或孤立的重定向 URI 在引用不再指向活动资源的域时，它们会创建严重的安全漏洞。 威胁参与者可以通过在已放弃的域上预配资源来利用这些“悬空”DNS 条目，从而有效地控制重定向终结点。 此漏洞使攻击者能够在 OAuth 2.0 流期间截获身份验证令牌和凭据，这可能导致未经授权的访问、会话劫持以及潜在的更广泛的组织泄露。

修正操作

• 重定向 URI（回复 URL）概述和限制

对应用程序的特定于资源的许可受到限制

让组所有者同意Microsoft Entra ID 中的应用程序会创建横向升级路径，允许威胁参与者在没有管理员凭据的情况下持久保存和窃取数据。 如果攻击者入侵组所有者帐户，他们可以注册或使用恶意应用程序，并同意限定为组的高特权图形 API 权限。 攻击者可能会读取所有 Teams 消息、访问 SharePoint 文件或管理组成员身份。 此同意作创建具有委派权限或应用程序权限的长期应用程序标识。 攻击者使用 OAuth 令牌保持持久性，从团队频道和文件窃取敏感数据，并通过消息传递或电子邮件权限模拟用户。 如果不集中实施应用同意策略，安全团队就会失去可见性，并且恶意应用程序分散在雷达下，从而跨协作平台实现多阶段攻击。

修正作 配置 Resource-Specific 许可（RSC）权限的预批准。

• 预批准 RSC 权限

工作负荷标识未分配特权角色

如果管理员将特权角色分配给工作负荷标识（例如服务主体或托管标识），则如果这些标识遭到入侵，租户可能会面临重大风险。 有权访问特权工作负荷标识的威胁参与者可以执行侦查来枚举资源、提升特权以及作或泄露敏感数据。 攻击链通常从凭据盗窃或滥用易受攻击的应用程序开始。 下一步是通过分配的角色、跨云资源的横向移动，最后通过其他角色分配或凭据更新进行持久性。 工作负荷标识通常用于自动化，可能不会像用户帐户一样密切监视。 然后，威胁参与者可以不受检测，从而保持对关键资源的访问和控制。 工作负荷标识不受以用户为中心的保护（如 MFA）的约束，因此最低特权分配和定期评审至关重要。

修正操作

• 查看和删除特权角色分配。
• 遵循工作负荷标识的最佳做法。
• 了解 Microsoft Entra ID 中的特权角色和权限

企业应用程序必须要求显式分配或作用域内预配

当企业应用程序缺少显式分配要求和作用域内预配控制时，威胁参与者可以利用这种双重弱点来获得对敏感应用程序和数据的未经授权的访问。 使用默认设置配置应用程序时，将发生最高风险：“需要分配”设置为“否” ， 并且不需要预配或限定范围。 这种危险的组合允许威胁参与者入侵租户中的任何用户帐户，以立即访问具有广泛用户群的应用程序，从而扩展其攻击面，并有可能在组织内部横向移动。

虽然具有开放分配但适当的预配范围（如基于部门的筛选器或组成员身份要求）的应用程序通过预配层维护安全控制，但缺少这两种控制的应用程序会创建威胁参与者可以利用的不受限制的访问路径。 当应用程序为没有分配限制的所有用户预配帐户时，威胁参与者可能会滥用泄露的帐户来执行侦查活动、枚举多个系统中的敏感数据，或使用应用程序作为针对已连接资源的进一步攻击的暂存点。 对于具有提升权限或连接到关键业务系统的应用程序，这种不受限制的访问模型很危险。 威胁参与者可以使用任何泄露的用户帐户来访问敏感信息、修改数据或执行应用程序权限允许的未经授权的作。 分配控制和预配范围的缺失也阻止组织实施适当的访问治理。 如果没有适当的治理，很难跟踪谁有权访问哪些应用程序、何时授予访问权限，以及是否应根据角色更改或就业状态吊销访问权限。 此外，具有广泛预配范围的应用程序可能会创建级联安全风险，其中单个被入侵的帐户提供对连接应用程序和服务的整个生态系统的访问权限。

修正操作

• 评估业务要求以确定适当的访问控制方法。 将 Microsoft Entra 应用限制为一组用户。
• 将企业应用程序配置为需要分配敏感应用程序。 了解“分配必需”企业应用程序属性。

已配置特权访问工作站的条件访问策略

如果特权角色激活不限于专用的特权访问工作站（PAW），威胁参与者可以利用受损的终结点设备来执行非托管或不符合工作站的特权升级攻击。 标准生产力工作站通常包含攻击途径，例如不受限制的 Web 浏览、易受网络钓鱼的电子邮件客户端以及本地安装的应用程序，并存在潜在漏洞。 当管理员从这些工作站激活特权角色时，通过恶意软件、浏览器攻击或社交工程获得初始访问权限的威胁参与者可以使用本地缓存的特权凭据或劫持现有经过身份验证的会话来提升其特权。 特权角色激活可跨 Microsoft Entra ID 和连接服务授予广泛的管理权限，以便攻击者可以创建新的管理帐户、修改安全策略、跨所有组织资源访问敏感数据，以及在整个环境中部署恶意软件或后门以建立持久访问。 这种横向从已泄露的终结点迁移到特权云资源表示绕过许多传统安全控制的关键攻击路径。 从经过身份验证的管理员会话发起时，特权访问看起来合法。

如果此检查通过，则租户有一个条件访问策略，用于限制对 PAW 设备的特权角色访问，但这不是完全启用 PAW 解决方案所需的唯一控制。 还需要配置 Intune 设备配置和符合性策略和设备筛选器。

修正操作

• 部署特权访问工作站解决方案
  • 提供有关配置条件访问和 Intune 设备配置和符合性策略的指导。
• 在条件访问中配置设备筛选器以限制特权访问