用户和应用程序身份验证和授权是标识和机密基础结构的入口点。 保护所有标识和机密是零信任之旅和 安全未来计划支柱的基础步骤。
建议和零信任检查是此支柱的一部分,有助于降低未经授权的访问风险。 保护标识和机密表示 Microsoft Entra 中零信任的核心。 主题包括正确使用机密和证书、对特权帐户的适当限制以及新式无密码身份验证方法。
零信任安全建议
应用程序未配置客户端机密
使用客户端机密的应用程序可能会将它们存储在配置文件中,在脚本中对其进行硬编码,或者以其他方式风险暴露它们。 机密管理的复杂性使客户端机密容易受到泄漏和对攻击者的吸引力。 在公开客户端机密时,向攻击者提供将活动与合法作混合的能力,从而更轻松地绕过安全控制。 如果攻击者入侵应用程序的客户端密码,他们可以在系统中升级其特权,从而导致更广泛的访问和控制,具体取决于应用程序的权限。
具有Microsoft Graph API 或其他 API 权限的应用程序和服务主体具有更高的风险,因为攻击者可能会利用这些附加权限。
修正操作
-
将应用程序从共享机密转移到托管标识,并采用更安全的做法。
- 对 Azure 资源使用托管标识
- 部署用于工作负载标识的条件访问策略
- 实现机密扫描
- 部署应用程序身份验证策略以强制实施安全身份验证做法
- 创建最低特权自定义角色以轮换应用程序凭据
- 确保有一个对应用程序进行会审和监视的过程
应用程序没有过期时间超过 180 天的证书
攻击者可以提取和利用证书(如果未安全存储),从而导致未经授权的访问。 长期证书在一段时间内更有可能公开。 在公开凭据时,向攻击者提供将活动与合法作混合的能力,从而更轻松地绕过安全控制。 如果攻击者入侵应用程序的证书,他们可以在系统中升级其特权,从而导致更广泛的访问和控制,具体取决于应用程序的特权。
修正操作
需要定期轮换应用程序证书
如果未定期轮换证书,则可以为威胁执行组件提供一个扩展窗口来提取和利用它们,从而导致未经授权的访问。 当此类凭据公开时,攻击者可以将恶意活动与合法作混合,从而更轻松地绕过安全控制。 如果攻击者入侵应用程序的证书,他们可以在系统中提升其特权,从而根据应用程序的特权,导致更广泛的访问和控制。
查询具有证书凭据的所有服务主体和应用程序注册。 确保证书开始日期小于 180 天。
修正操作
Microsoft服务应用程序未配置凭据
Microsoft租户中运行的服务应用程序被标识为所有者组织 ID 为“f8cdef31-a31e-4b4a-93e4-5f571e91255a”的服务主体。这些服务主体在租户中配置凭据时,可能会创建威胁参与者可以利用的潜在攻击途径。 如果管理员添加了凭据,并且不再需要凭据,他们可能会成为攻击者的目标。 尽管在特权活动上实施适当的预防和侦探控制时的可能性较低,但威胁参与者也可以恶意添加凭据。 无论哪种情况,威胁参与者都可以使用这些凭据作为服务主体进行身份验证,获得与Microsoft服务应用程序相同的权限和访问权限。 如果应用程序具有高级权限,则此初始访问权限可能会导致特权升级,从而允许跨租户横向移动。 然后,攻击者可以通过创建其他后门凭据继续执行数据外泄或持久性建立。
为租户中的这些服务主体配置凭据(如客户端机密或证书)时,这意味着某人(管理员或恶意参与者)允许他们在环境中独立进行身份验证。 应调查这些凭据,以确定其合法性和必要性。 如果不再需要它们,应将其删除以降低风险。
如果未通过此检查,建议“调查”,因为需要识别并查看配置了未使用的凭据的任何应用程序。
修正操作
- 确认添加的凭据是否仍然是有效的用例。 否则,请从Microsoft服务应用程序中删除凭据,以减少安全风险。
- 在Microsoft Entra 管理中心,浏览到 标识>应用程序>应用注册 并选择受影响的应用程序。
- 转到 “证书和机密 ”部分,删除不再需要的任何凭据。
用户同意设置受到限制
如果没有受限的用户同意设置,威胁参与者可以利用宽松的应用程序许可配置来获得对敏感数据的未经授权的访问。 当用户同意不受限制时,攻击者可以:
- 使用社会工程和非法同意授予攻击来欺骗用户批准恶意应用程序。
- 模拟合法服务以请求广泛的权限,例如访问电子邮件、文件、日历和其他关键业务数据。
- 获取绕过外围安全控制的合法 OAuth 令牌,使访问对安全监视系统看起来正常。
- 建立对组织资源的持久访问,跨 Microsoft 365 服务进行侦察,横向通过连接的系统移动,并可能提升特权。
不受限制的用户同意还限制了组织对应用程序访问强制实施集中治理的能力,使得难以保持对非Microsoft应用程序有权访问敏感数据的可见性。 这种差距可造成合规性风险,其中未经授权的应用程序可能会违反数据保护法规或组织安全策略。
修正操作
- 配置受限的用户同意设置 ,以阻止非法许可授予,方法是禁用用户同意或仅将其限制为具有低风险权限的已验证发布者。
已启用管理员同意工作流
在 Microsoft Entra 租户中启用管理员同意工作流是一项重要的安全措施,可缓解与未经授权的应用程序访问和特权提升相关的风险。 此检查非常重要,因为它可确保请求提升权限的任何应用程序在授予许可之前接受指定管理员的评审过程。 Microsoft Entra ID 中的管理员同意工作流会根据应用程序的合法性和必要性通知评估和批准或拒绝同意请求的审阅者。 如果此检查未通过,这意味着工作流已禁用,则任何应用程序都可以请求并可能接收提升的权限,而无需管理评审。 这会带来巨大的安全风险,因为恶意参与者可以利用这种缺乏监督来获得对敏感数据的未经授权的访问、执行特权提升或执行其他恶意活动。
修正操作
对于管理员同意请求,设置 用户可以请求管理员同意他们无法同意 设置为 “是”的应用。 指定其他设置,例如谁可以查看请求。
- 启用管理员许可工作流
- 或使用 Update adminConsentRequestPolicy API 将
isEnabled属性设置为 true 和其他设置
特权帐户是云本机标识
如果本地帐户遭到入侵并同步到 Microsoft Entra,攻击者也可能获得对租户的访问权限。 此风险会增加,因为本地环境通常由于较旧的基础结构和有限的安全控制而具有更多的攻击面。 攻击者可能还针对用于在本地环境和 Microsoft Entra 之间实现连接的基础结构和工具。 这些目标可能包括Microsoft Entra Connect 或 Active Directory 联合身份验证服务等工具,可在其中模拟或其他作其他本地用户帐户。
如果特权云帐户与本地帐户同步,则获取本地凭据的攻击者可以使用这些相同的凭据访问云资源,并横向迁移到云环境。
修正操作
对于具有高特权的每个角色(通过Microsoft Entra Privileged Identity Management 永久分配或符合条件),应执行以下作:
- 查看具有 onPremisesImmutableId 和 onPremisesSyncEnabled 集的用户。 请参阅 Microsoft图形 API 用户资源类型。
- 为这些人创建仅限云的用户帐户,并从特权角色中删除其混合标识。
所有特权角色分配都实时激活,不会永久处于活动状态
威胁执行组件以特权帐户为目标,因为它们有权访问所需的数据和资源。 这可能包括对 Microsoft Entra 租户、Microsoft SharePoint 中的数据或建立长期持久性的能力的更多访问权限。 如果没有实时(JIT)激活模型,管理权限将持续公开,为攻击者提供一个扩展窗口来作未检测到。 实时访问通过额外的控制(如审批、理由和条件访问策略)强制实施限时特权激活来缓解风险,确保仅在需要时和有限的持续时间授予高风险权限。 此限制可最大程度地减少攻击面、破坏横向移动,并强制对手触发可在需要时进行专门监视和拒绝的作。 如果不进行实时访问,泄露的管理员帐户将授予无限期的控制,让攻击者禁用安全控制、擦除日志和维护隐身,从而放大入侵的影响。
使用Microsoft Entra Privileged Identity Management (PIM)提供对特权角色分配的实时访问。 使用 Microsoft Entra ID Governance 中的访问评审定期评审特权访问权限,以确保持续需要。
修正操作
需要管理员角色的密码重置通知
在 Microsoft Entra ID 中为管理员角色配置密码重置通知可增强安全性,方法是在其他管理员重置其密码时通知特权管理员。 此可见性有助于检测可能指示凭据泄露或内部威胁的未经授权的活动或可疑活动。 如果没有这些通知,恶意参与者可能会利用提升的权限来建立持久性、提升访问权限或提取敏感数据。 主动通知支持快速作、保持特权访问完整性,并增强整体安全态势。
修正操作
阻止传统身份验证
旧式身份验证协议(如 SMTP 和 IMAP 的基本身份验证)不支持多重身份验证(MFA)等新式安全功能,这对于防止未经授权的访问至关重要。 这种缺乏保护使使用这些协议的帐户容易受到基于密码的攻击,并为攻击者提供使用被盗凭据或猜测凭据获得初始访问权限的方法。
当攻击者成功获得对凭据的未经授权的访问时,他们可以使用它们来访问链接服务,使用弱身份验证方法作为入口点。 通过旧式身份验证获取访问权限的攻击者可能会更改 Microsoft Exchange,例如配置邮件转发规则或更改其他设置,从而允许他们保持对敏感通信的持续访问。
旧式身份验证还为攻击者提供了一种一致的方法来重新输入使用泄露凭据的系统,而无需触发安全警报或要求重新进行身份验证。
从那里,攻击者可以使用旧协议访问通过泄露的帐户访问的其他系统,从而促进横向移动。 使用旧协议的攻击者可以与合法的用户活动混合在一起,从而使安全团队难以区分正常使用和恶意行为。
修正操作
从旧 MFA 和 SSPR 策略迁移
Microsoft Entra ID 中的旧式多重身份验证(MFA)和自助密码重置(SSPR)策略单独管理身份验证方法,从而导致碎片配置和欠佳用户体验。 此外,单独管理这些策略会增加管理开销和配置错误的风险。
迁移到合并的身份验证方法策略可将 MFA、SSPR 和无密码身份验证方法的管理合并到单个策略框架中。 这种统一允许更精细的控制,使管理员能够将特定的身份验证方法定向到用户组,并在整个组织中强制实施一致的安全措施。 此外,统一策略还支持新式身份验证方法,例如 FIDO2 安全密钥和 Windows Hello 企业版,从而增强组织的安全态势。
Microsoft宣布弃用旧的 MFA 和 SSPR 策略,其停用日期定于 2025 年 9 月 30 日。 建议组织在此日期之前完成到身份验证方法策略的迁移,以避免潜在的中断,并受益于统一策略的增强安全性和管理功能。
修正操作
禁用短信和语音呼叫身份验证方法
在Microsoft Entra ID 中保持启用短信和语音呼叫等弱身份验证方法时,威胁参与者可以通过多个攻击途径利用这些漏洞。 最初,攻击者通常通过社会工程或技术扫描使用这些较弱的身份验证方法来识别组织。 然后,他们可以通过凭据填充攻击、密码喷洒或面向用户凭据的网络钓鱼活动来执行初始访问。
基本凭据泄露后,威胁参与者在短信和基于语音的身份验证中使用这些弱点。 短信可以通过 SIM 交换攻击、SS7 网络漏洞或移动设备上的恶意软件截获,而语音呼叫容易受到语音钓鱼(vishing)和呼叫转接作的影响。 绕过这些薄弱的第二个因素后,攻击者通过注册自己的身份验证方法来实现持久性。 入侵的帐户可用于通过内部网络钓鱼或社交工程面向更高特权的用户,从而允许攻击者提升组织内的特权。 最后,威胁参与者通过数据外泄、横向移动到关键系统或部署其他恶意工具来实现其目标,同时使用安全日志中正常出现的合法身份验证路径来保持隐身性。
修正操作
保护 MFA 注册(我的安全信息)页
如果没有保护安全信息注册的条件访问策略,威胁参与者可以利用未受保护的注册流来破坏身份验证方法。 当用户注册多重身份验证和自助密码重置方法时,没有适当的控制,威胁参与者可以通过中间攻击者攻击拦截这些注册会话,或者利用从不受信任的位置访问注册的非托管设备。 一旦威胁参与者获得对不受保护的注册流的访问权限,他们就可以注册自己的身份验证方法,从而有效地劫持了目标的身份验证配置文件。 威胁参与者可以绕过安全控制,并可能在整个环境中提升特权,因为它们可以通过控制 MFA 方法来维护持久访问。 然后,入侵的身份验证方法将成为横向移动的基础,因为威胁参与者可以在多个服务和应用程序中作为合法用户进行身份验证。
修正操作
使用云身份验证
本地联合服务器通过充当云应用程序的中心身份验证点来引入关键攻击面。 威胁参与者通常通过网络钓鱼、凭据填充或利用弱密码等攻击来损害特权用户(例如技术支持代表或运营工程师)的立足点。 它们也可能针对基础结构中未修补的漏洞、使用远程代码执行攻击、攻击 Kerberos 协议或使用传递哈希攻击来提升特权。 配置错误的远程访问工具(如远程桌面协议(RDP)、虚拟专用网络(VPN)或跳转服务器提供其他入口点,而供应链泄露或恶意内部人员会进一步增加风险。 进入后,威胁参与者可以作身份验证流、伪造安全令牌来模拟任何用户,并透视到云环境。 建立持久性后,可以禁用安全日志、逃避检测和外泄敏感数据。
用户配置了强身份验证方法
如果未普遍实施多重身份验证(MFA),或者存在异常,攻击者可能会获得访问权限。 攻击者可以通过利用较弱的 MFA 方法(如短信和电话呼叫)的漏洞,通过社会工程技术获得访问权限。 这些技术可能包括 SIM 交换或钓鱼,以截获身份验证代码。
攻击者可能会将这些帐户用作租户中的入口点。 通过使用截获的用户会话,攻击者可以将其活动伪装成合法的用户作、逃避检测并继续攻击,而不会引起怀疑。 从那里,他们可能会尝试作 MFA 设置,以根据被入侵帐户的权限建立持久性、计划和执行进一步的攻击。
修正操作
用户登录活动使用令牌保护
威胁参与者可以截获或提取来自内存、合法设备上的本地存储或检查网络流量的身份验证令牌。 攻击者可能会重播这些令牌,以绕过用户和设备上的身份验证控制,获取对敏感数据的未经授权的访问,或运行进一步的攻击。 由于这些令牌有效且有时间限制,因此传统异常情况检测通常无法标记活动,这可能允许持续访问,直到令牌过期或吊销。
令牌保护(也称为令牌绑定)通过确保令牌仅可从预期设备使用,帮助防止令牌被盗。 令牌保护使用加密,以便没有客户端设备密钥,任何人都无法使用令牌。
修正操作
限制设备代码流
设备代码流是专为输入约束设备设计的跨设备身份验证流。 可以在网络钓鱼攻击中利用它,攻击者启动流,并欺骗用户在其设备上完成流,从而将用户的令牌发送到攻击者。 鉴于设备代码流的安全风险和不经常合法使用,应启用条件访问策略,以默认阻止此流。
修正操作
身份验证传输被阻止
阻止Microsoft Entra ID 中的身份验证传输是一个关键的安全控制。 它通过防止使用设备令牌在其他设备或浏览器上以无提示方式进行身份验证,帮助防止令牌被盗和重播攻击。 启用身份验证传输后,有权访问一台设备的威胁参与者可以访问对未批准的设备的资源,绕过标准身份验证和设备符合性检查。 当管理员阻止此流时,组织可以确保每个身份验证请求必须源自原始设备,从而保持设备符合性和用户会话上下文的完整性。
修正操作
Authenticator 应用显示登录上下文
如果没有登录上下文,威胁参与者可以通过向用户充斥推送通知来利用身份验证疲劳,从而增加用户意外批准恶意请求的可能性。 当用户在没有应用程序名称或地理位置的情况下获得通用推送通知时,他们没有做出明智的审批决策所需的信息。 这种缺乏上下文使用户容易受到社会工程攻击,尤其是在威胁参与者在合法用户活动期间请求时。 当威胁参与者通过凭据收获或密码喷洒攻击获得初始访问权限时,此漏洞尤其危险,然后通过批准来自意外应用程序或位置的多重身份验证(MFA)请求来建立持久性。 如果没有上下文信息,用户无法检测到异常的登录尝试,从而允许威胁参与者在绕过初始身份验证屏障后通过系统横向移动来维护访问和提升特权。 如果没有应用程序和位置上下文,安全团队也会丢失宝贵的遥测数据,以检测可疑的身份验证模式,这些模式可以指示正在进行的泄露或侦察活动。
修正作 为用户提供做出明智的审批决策所需的上下文。 通过设置身份验证方法策略以包括应用程序名称和地理位置来配置Microsoft Authenticator 通知。
密码过期已禁用
当密码过期策略保持启用状态时,威胁参与者可以利用用户通常遵循的可预测密码轮换模式(强制定期更改密码)。 用户经常通过对现有密码进行最小修改(例如递增数字或添加顺序字符)来创建较弱的密码。 威胁参与者可以通过凭据填充攻击或有针对性的密码喷洒活动轻松预测和利用这些类型的更改。 这些可预测的模式使威胁参与者能够通过以下方法建立持久性:
- 凭据泄露
- 通过针对具有弱轮换密码的管理帐户提升的权限
- 通过预测将来的密码变体来维护长期访问
研究表明,用户被迫过期时会创建更弱、更可预测的密码。 这些可预测的密码更易于经验丰富的攻击者破解,因为它们通常对现有密码进行简单的修改,而不是创建全新的强密码。 此外,当用户需要频繁更改密码时,他们可能会采取不安全的做法,例如写下密码或将其存储在易于访问的位置,从而为威胁参与者在物理侦察或社会工程活动期间利用的更多攻击途径。
修正操作
- 使用 Microsoft Graph 禁用密码过期。
-
使用 Microsoft Graph PowerShell 将单个用户密码设置为永不过期
Update-MgUser -UserId <UserID> -PasswordPolicies DisablePasswordExpiration
要求使用用户作对设备加入和设备注册进行多重身份验证
威胁参与者可以在新设备注册期间利用缺乏多重身份验证。 经过身份验证后,他们可以注册恶意设备、建立持久性并规避绑定到受信任终结点的安全控制。 此立足点使攻击者能够外泄敏感数据、部署恶意应用程序或横向移动,具体取决于攻击者使用的帐户的权限。 如果没有执行 MFA,攻击者可能会不断升级风险,因此可以持续重新进行身份验证、逃避检测和执行目标。
修正操作
启用Microsoft Entra ID 安全性默认值
在 Microsoft Entra 中启用安全默认值对于具有 Microsoft Entra Free 许可证的组织至关重要,以防止与标识相关的攻击。 这些攻击可能导致未经授权的访问、财务损失和声誉损失。 安全默认设置要求所有用户注册多重身份验证(MFA),确保管理员使用 MFA 并阻止旧式身份验证协议。 这大大减少了成功攻击的风险,因为超过 99% 常见的标识相关攻击通过使用 MFA 来阻止旧式身份验证。 安全默认值提供基线保护,无需额外付费,使所有组织都可以访问它们。
修正操作
- 在 Microsoft Entra ID 中启用安全默认值