通过

配置 Microsoft Entra 以提高安全性(预览版)

本文档中的安全建议旨在帮助你在 Microsoft Entra 中改进安全状况。 这些建议受接受的行业标准的影响,例如 NIST 开发的行业标准、我们在Microsoft内部使用的配置基线以及与客户的体验。 这些建议按 安全未来计划 支柱进行组织:

  • 保护标识和机密
  • 保护租户并隔离生产系统
  • 保护网络
  • 保护工程系统
  • 监视和检测网络威胁
  • 加速响应和修正

Tip

一些组织可能会按照书面说明采取这些建议,而另一些组织可能选择根据自己的业务需求进行修改。 在本指南的初始版本中,我们将重点介绍传统的 劳动力租户。 这些员工租户适用于员工、内部业务应用和其他组织资源。

建议在可用许可证的情况下实现以下所有控制措施。 这些模式和做法有助于为基于此解决方案构建的其他资源提供基础。 随着时间推移,将向本文档添加更多控件。

保护标识和机密

应用程序未配置客户端机密

使用客户端机密的应用程序可能会将它们存储在配置文件中,在脚本中对其进行硬编码,或者以其他方式风险暴露它们。 机密管理的复杂性使客户端机密容易受到泄漏和对攻击者的吸引力。 在公开客户端机密时,向攻击者提供将活动与合法作混合的能力,从而更轻松地绕过安全控制。 如果攻击者入侵应用程序的客户端密码,他们可以在系统中升级其特权,从而导致更广泛的访问和控制,具体取决于应用程序的权限。

具有Microsoft Graph API 或其他 API 权限的应用程序和服务主体具有更高的风险,因为攻击者可能会利用这些附加权限。

修正作

应用程序没有过期时间超过 180 天的证书

攻击者可以提取和利用证书(如果未安全存储),从而导致未经授权的访问。 长期证书在一段时间内更有可能公开。 在公开凭据时,向攻击者提供将活动与合法作混合的能力,从而更轻松地绕过安全控制。 如果攻击者入侵应用程序的证书,他们可以在系统中升级其特权,从而导致更广泛的访问和控制,具体取决于应用程序的特权。

修正作

需要定期轮换应用程序证书

如果未定期轮换证书,则可以为威胁执行组件提供一个扩展窗口来提取和利用它们,从而导致未经授权的访问。 当此类凭据公开时,攻击者可以将恶意活动与合法作混合,从而更轻松地绕过安全控制。 如果攻击者入侵应用程序的证书,他们可以在系统中提升其特权,从而根据应用程序的特权,导致更广泛的访问和控制。

查询具有证书凭据的所有服务主体和应用程序注册。 确保证书开始日期小于 180 天。

修正作

Microsoft服务应用程序未配置凭据

Microsoft租户中运行的服务应用程序被标识为所有者组织 ID 为“f8cdef31-a31e-4b4a-93e4-5f571e91255a”的服务主体。这些服务主体在租户中配置凭据时,可能会创建威胁参与者可以利用的潜在攻击途径。 如果管理员添加了凭据,并且不再需要凭据,他们可能会成为攻击者的目标。 尽管在特权活动上实施适当的预防和侦探控制时的可能性较低,但威胁参与者也可以恶意添加凭据。 无论哪种情况,威胁参与者都可以使用这些凭据作为服务主体进行身份验证,获得与Microsoft服务应用程序相同的权限和访问权限。 如果应用程序具有高级权限,则此初始访问权限可能会导致特权升级,从而允许跨租户横向移动。 然后,攻击者可以通过创建其他后门凭据继续执行数据外泄或持久性建立。

为租户中的这些服务主体配置凭据(如客户端机密或证书)时,这意味着某人(管理员或恶意参与者)允许他们在环境中独立进行身份验证。 应调查这些凭据,以确定其合法性和必要性。 如果不再需要它们,应将其删除以降低风险。

如果未通过此检查,建议“调查”,因为需要识别并查看配置了未使用的凭据的任何应用程序。

修正作

  • 确认添加的凭据是否仍然是有效的用例。 否则,请从Microsoft服务应用程序中删除凭据,以减少安全风险。
    • 在Microsoft Entra 管理中心,浏览到 标识>应用程序>应用注册 并选择受影响的应用程序。
    • 转到 “证书和机密 ”部分,删除不再需要的任何凭据。

如果没有受限的用户同意设置,威胁参与者可以利用宽松的应用程序许可配置来获得对敏感数据的未经授权的访问。 当用户同意不受限制时,攻击者可以:

  • 使用社会工程和非法同意授予攻击来欺骗用户批准恶意应用程序。
  • 模拟合法服务以请求广泛的权限,例如访问电子邮件、文件、日历和其他关键业务数据。
  • 获取绕过外围安全控制的合法 OAuth 令牌,使访问对安全监视系统看起来正常。
  • 建立对组织资源的持久访问,跨 Microsoft 365 服务进行侦察,横向通过连接的系统移动,并可能提升特权。

不受限制的用户同意还限制了组织对应用程序访问强制实施集中治理的能力,使得难以保持对非Microsoft应用程序有权访问敏感数据的可见性。 这种差距可造成合规性风险,其中未经授权的应用程序可能会违反数据保护法规或组织安全策略。

修正作

在 Microsoft Entra 租户中启用管理员同意工作流是一项重要的安全措施,可缓解与未经授权的应用程序访问和特权提升相关的风险。 此检查非常重要,因为它可确保请求提升权限的任何应用程序在授予许可之前接受指定管理员的评审过程。 Microsoft Entra ID 中的管理员同意工作流会根据应用程序的合法性和必要性通知评估和批准或拒绝同意请求的审阅者。 如果此检查未通过,这意味着工作流已禁用,则任何应用程序都可以请求并可能接收提升的权限,而无需管理评审。 这会带来巨大的安全风险,因为恶意参与者可以利用这种缺乏监督来获得对敏感数据的未经授权的访问、执行特权提升或执行其他恶意活动。

修正作

对于管理员同意请求,设置 用户可以请求管理员同意他们无法同意 设置为 “是”的应用。 指定其他设置,例如谁可以查看请求。

特权帐户是云本机标识

如果本地帐户遭到入侵并同步到 Microsoft Entra,攻击者也可能获得对租户的访问权限。 此风险会增加,因为本地环境通常由于较旧的基础结构和有限的安全控制而具有更多的攻击面。 攻击者可能还针对用于在本地环境和 Microsoft Entra 之间实现连接的基础结构和工具。 这些目标可能包括Microsoft Entra Connect 或 Active Directory 联合身份验证服务等工具,可在其中模拟或其他作其他本地用户帐户。

如果特权云帐户与本地帐户同步,则获取本地凭据的攻击者可以使用这些相同的凭据访问云资源,并横向迁移到云环境。

修正作

对于具有高特权的每个角色(通过Microsoft Entra Privileged Identity Management 永久分配或符合条件),应执行以下作:

  • 查看具有 onPremisesImmutableId 和 onPremisesSyncEnabled 集的用户。 请参阅 Microsoft图形 API 用户资源类型
  • 为这些人创建仅限云的用户帐户,并从特权角色中删除其混合标识。

所有特权角色分配都实时激活,不会永久处于活动状态

威胁执行组件以特权帐户为目标,因为它们有权访问所需的数据和资源。 这可能包括对 Microsoft Entra 租户、Microsoft SharePoint 中的数据或建立长期持久性的能力的更多访问权限。 如果没有实时(JIT)激活模型,管理权限将持续公开,为攻击者提供一个扩展窗口来作未检测到。 实时访问通过额外的控制(如审批、理由和条件访问策略)强制实施限时特权激活来缓解风险,确保仅在需要时和有限的持续时间授予高风险权限。 此限制可最大程度地减少攻击面、破坏横向移动,并强制对手触发可在需要时进行专门监视和拒绝的作。 如果不进行实时访问,泄露的管理员帐户将授予无限期的控制,让攻击者禁用安全控制、擦除日志和维护隐身,从而放大入侵的影响。

使用Microsoft Entra Privileged Identity Management (PIM)提供对特权角色分配的实时访问。 使用 Microsoft Entra ID Governance 中的访问评审定期评审特权访问权限,以确保持续需要。

修正作

特权用户具有生存期较短的登录会话

允许特权用户在不定期重新身份验证的情况下维护长期登录会话时,威胁参与者可以获得利用泄露凭据或劫持活动会话的扩展机会窗口。 特权帐户通过凭据盗窃、网络钓鱼或会话修复等技术泄露后,延长会话超时允许威胁参与者长时间在环境中保持持久性。 使用长期会话,威胁参与者可以跨系统执行横向移动、进一步提升特权和访问敏感资源,而无需触发另一个身份验证质询。 延长会话持续时间还会增加会话劫持攻击的窗口,其中威胁参与者可以窃取会话令牌并模拟特权用户。 在特权会话中建立威胁参与者后,他们可以:

  • 创建后门帐户
  • 修改安全策略
  • 访问敏感数据
  • 建立更多持久性机制

缺少定期重新身份验证要求意味着,即使检测到原始入侵,威胁参与者仍可能会继续使用被劫持的特权会话作,直到会话自然过期或用户手动注销。

修正作

需要管理员角色的密码重置通知

在 Microsoft Entra ID 中为管理员角色配置密码重置通知可增强安全性,方法是在其他管理员重置其密码时通知特权管理员。 此可见性有助于检测可能指示凭据泄露或内部威胁的未经授权的活动或可疑活动。 如果没有这些通知,恶意参与者可能会利用提升的权限来建立持久性、提升访问权限或提取敏感数据。 主动通知支持快速作、保持特权访问完整性,并增强整体安全态势。

修正作

阻止传统身份验证

旧式身份验证协议(如 SMTP 和 IMAP 的基本身份验证)不支持多重身份验证(MFA)等新式安全功能,这对于防止未经授权的访问至关重要。 这种缺乏保护使使用这些协议的帐户容易受到基于密码的攻击,并为攻击者提供使用被盗凭据或猜测凭据获得初始访问权限的方法。

当攻击者成功获得对凭据的未经授权的访问时,他们可以使用它们来访问链接服务,使用弱身份验证方法作为入口点。 通过旧式身份验证获取访问权限的攻击者可能会更改 Microsoft Exchange,例如配置邮件转发规则或更改其他设置,从而允许他们保持对敏感通信的持续访问。

旧式身份验证还为攻击者提供了一种一致的方法来重新输入使用泄露凭据的系统,而无需触发安全警报或要求重新进行身份验证。

从那里,攻击者可以使用旧协议访问通过泄露的帐户访问的其他系统,从而促进横向移动。 使用旧协议的攻击者可以与合法的用户活动混合在一起,从而使安全团队难以区分正常使用和恶意行为。

修正作

部署以下条件访问策略:

从旧 MFA 和 SSPR 策略迁移

Microsoft Entra ID 中的旧式多重身份验证(MFA)和自助密码重置(SSPR)策略单独管理身份验证方法,从而导致碎片配置和欠佳用户体验。 此外,单独管理这些策略会增加管理开销和配置错误的风险。

迁移到合并的身份验证方法策略可将 MFA、SSPR 和无密码身份验证方法的管理合并到单个策略框架中。 这种统一允许更精细的控制,使管理员能够将特定的身份验证方法定向到用户组,并在整个组织中强制实施一致的安全措施。 此外,统一策略还支持新式身份验证方法,例如 FIDO2 安全密钥和 Windows Hello 企业版,从而增强组织的安全态势。

Microsoft宣布弃用旧的 MFA 和 SSPR 策略,其停用日期定于 2025 年 9 月 30 日。 建议组织在此日期之前完成到身份验证方法策略的迁移,以避免潜在的中断,并受益于统一策略的增强安全性和管理功能。

修正作

禁用短信和语音呼叫身份验证方法

在Microsoft Entra ID 中保持启用短信和语音呼叫等弱身份验证方法时,威胁参与者可以通过多个攻击途径利用这些漏洞。 最初,攻击者通常通过社会工程或技术扫描使用这些较弱的身份验证方法来识别组织。 然后,他们可以通过凭据填充攻击、密码喷洒或面向用户凭据的网络钓鱼活动来执行初始访问。

基本凭据泄露后,威胁参与者在短信和基于语音的身份验证中使用这些弱点。 短信可以通过 SIM 交换攻击、SS7 网络漏洞或移动设备上的恶意软件截获,而语音呼叫容易受到语音钓鱼(vishing)和呼叫转接作的影响。 绕过这些薄弱的第二个因素后,攻击者通过注册自己的身份验证方法来实现持久性。 入侵的帐户可用于通过内部网络钓鱼或社交工程面向更高特权的用户,从而允许攻击者提升组织内的特权。 最后,威胁参与者通过数据外泄、横向移动到关键系统或部署其他恶意工具来实现其目标,同时使用安全日志中正常出现的合法身份验证路径来保持隐身性。

修正作

保护 MFA 注册(我的安全信息)页

如果没有保护安全信息注册的条件访问策略,威胁参与者可以利用未受保护的注册流来破坏身份验证方法。 当用户注册多重身份验证和自助密码重置方法时,没有适当的控制,威胁参与者可以通过中间攻击者攻击拦截这些注册会话,或者利用从不受信任的位置访问注册的非托管设备。 一旦威胁参与者获得对不受保护的注册流的访问权限,他们就可以注册自己的身份验证方法,从而有效地劫持了目标的身份验证配置文件。 威胁参与者可以绕过安全控制,并可能在整个环境中提升特权,因为它们可以通过控制 MFA 方法来维护持久访问。 然后,入侵的身份验证方法将成为横向移动的基础,因为威胁参与者可以在多个服务和应用程序中作为合法用户进行身份验证。

修正作

使用云身份验证

本地联合服务器通过充当云应用程序的中心身份验证点来引入关键攻击面。 威胁参与者通常通过网络钓鱼、凭据填充或利用弱密码等攻击来损害特权用户(例如技术支持代表或运营工程师)的立足点。 它们也可能针对基础结构中未修补的漏洞、使用远程代码执行攻击、攻击 Kerberos 协议或使用传递哈希攻击来提升特权。 配置错误的远程访问工具(如远程桌面协议(RDP)、虚拟专用网络(VPN)或跳转服务器提供其他入口点,而供应链泄露或恶意内部人员会进一步增加风险。 进入后,威胁参与者可以作身份验证流、伪造安全令牌来模拟任何用户,并透视到云环境。 建立持久性后,可以禁用安全日志、逃避检测和外泄敏感数据。

用户配置了强身份验证方法

如果未普遍实施多重身份验证(MFA),或者存在异常,攻击者可能会获得访问权限。 攻击者可以通过利用较弱的 MFA 方法(如短信和电话呼叫)的漏洞,通过社会工程技术获得访问权限。 这些技术可能包括 SIM 交换或钓鱼,以截获身份验证代码。

攻击者可能会将这些帐户用作租户中的入口点。 通过使用截获的用户会话,攻击者可以将其活动伪装成合法的用户作、逃避检测并继续攻击,而不会引起怀疑。 从那里,他们可能会尝试作 MFA 设置,以根据被入侵帐户的权限建立持久性、计划和执行进一步的攻击。

修正作

用户登录活动使用令牌保护

威胁参与者可以截获或提取来自内存、合法设备上的本地存储或检查网络流量的身份验证令牌。 攻击者可能会重播这些令牌,以绕过用户和设备上的身份验证控制,获取对敏感数据的未经授权的访问,或运行进一步的攻击。 由于这些令牌有效且有时间限制,因此传统异常情况检测通常无法标记活动,这可能允许持续访问,直到令牌过期或吊销。

令牌保护(也称为令牌绑定)通过确保令牌仅可从预期设备使用,帮助防止令牌被盗。 令牌保护使用加密,以便没有客户端设备密钥,任何人都无法使用令牌。

修正作
创建条件访问策略以设置令牌保护。

限制设备代码流

设备代码流是专为输入约束设备设计的跨设备身份验证流。 可以在网络钓鱼攻击中利用它,攻击者启动流,并欺骗用户在其设备上完成流,从而将用户的令牌发送到攻击者。 鉴于设备代码流的安全风险和不经常合法使用,应启用条件访问策略,以默认阻止此流。

修正作

身份验证传输被阻止

阻止Microsoft Entra ID 中的身份验证传输是一个关键的安全控制。 它通过防止使用设备令牌在其他设备或浏览器上以无提示方式进行身份验证,帮助防止令牌被盗和重播攻击。 启用身份验证传输后,有权访问一台设备的威胁参与者可以访问对未批准的设备的资源,绕过标准身份验证和设备符合性检查。 当管理员阻止此流时,组织可以确保每个身份验证请求必须源自原始设备,从而保持设备符合性和用户会话上下文的完整性。

修正作

Authenticator 应用显示登录上下文

如果没有登录上下文,威胁参与者可以通过向用户充斥推送通知来利用身份验证疲劳,从而增加用户意外批准恶意请求的可能性。 当用户在没有应用程序名称或地理位置的情况下获得通用推送通知时,他们没有做出明智的审批决策所需的信息。 这种缺乏上下文使用户容易受到社会工程攻击,尤其是在威胁参与者在合法用户活动期间请求时。 当威胁参与者通过凭据收获或密码喷洒攻击获得初始访问权限时,此漏洞尤其危险,然后通过批准来自意外应用程序或位置的多重身份验证(MFA)请求来建立持久性。 如果没有上下文信息,用户无法检测到异常的登录尝试,从而允许威胁参与者在绕过初始身份验证屏障后通过系统横向移动来维护访问和提升特权。 如果没有应用程序和位置上下文,安全团队也会丢失宝贵的遥测数据,以检测可疑的身份验证模式,这些模式可以指示正在进行的泄露或侦察活动。

修正作 为用户提供做出明智的审批决策所需的上下文。 通过设置身份验证方法策略以包括应用程序名称和地理位置来配置Microsoft Authenticator 通知。

启用自助式密码重置

如果没有启用 Self-Service 密码重置(SSPR),具有密码相关问题的用户必须联系技术支持支持人员,这可能会导致作延迟和工作效率下降。 在管理密码重置所需的延长时间范围内,还存在潜在的安全漏洞。 这些延迟不仅降低了员工效率(特别是在时间敏感角色中),而且还增加了支持成本和 IT 资源紧张。 在此期间,威胁参与者可能会通过面向技术支持人员的社会工程攻击利用锁定的帐户。 威胁参与者可能会说服支持人员重置他们不合法控制的帐户的密码,从而对用户凭据进行初始访问。

当用户无法通过安全、自动化的过程重置自己的密码时,他们经常求助于不安全的解决方法。 示例包括与同事共享帐户、使用易于记住的弱密码,或在可发现的位置写下密码,所有这些都扩展了凭据收获技术的攻击面。 缺少 SSPR 会强制用户在管理重置之间长时间维护静态密码。 这种类型的密码策略会增加威胁参与者对以前违规或密码喷洒攻击中凭据泄露的可能性。这些凭据仍然有效且可用。 缺少用户控制的密码重置功能也会延迟用户在怀疑泄露时保护其帐户的响应时间。 此延迟允许威胁执行组件扩展入侵帐户中的持久性,以执行侦查、建立其他访问方法,或在帐户最终通过管理通道重置之前外泄敏感数据

修正作

密码过期已禁用

当密码过期策略保持启用状态时,威胁参与者可以利用用户通常遵循的可预测密码轮换模式(强制定期更改密码)。 用户经常通过对现有密码进行最小修改(例如递增数字或添加顺序字符)来创建较弱的密码。 威胁参与者可以通过凭据填充攻击或有针对性的密码喷洒活动轻松预测和利用这些类型的更改。 这些可预测的模式使威胁参与者能够通过以下方法建立持久性:

  • 凭据泄露
  • 通过针对具有弱轮换密码的管理帐户提升的权限
  • 通过预测将来的密码变体来维护长期访问

研究表明,用户被迫过期时会创建更弱、更可预测的密码。 这些可预测的密码更易于经验丰富的攻击者破解,因为它们通常对现有密码进行简单的修改,而不是创建全新的强密码。 此外,当用户需要频繁更改密码时,他们可能会采取不安全的做法,例如写下密码或将其存储在易于访问的位置,从而为威胁参与者在物理侦察或社会工程活动期间利用的更多攻击途径。

修正作

已启用本地密码保护

如果未启用或强制实施本地密码保护,威胁参与者可以使用具有常见变体(如季+年+符号或本地条款)的低速密码喷洒来获取对 Active Directory 域服务帐户的初始访问权限。 当以下任一语句为 true 时,域控制器(DC)可以接受弱密码:

  • Microsoft未安装 Entra Password Protection DC 代理
  • 密码保护租户设置处于禁用或仅审核模式

借助有效的本地凭据,攻击者通过跨终结点重复使用密码、通过本地管理员重用或服务帐户升级到域管理员,并通过添加后门来持久保存,而弱或禁用强制实施会减少阻止事件和可预测的信号。 Microsoft的设计要求代理从 Microsoft Entra ID 和 DC 代理中转站策略,该代理在密码更改/重置时强制实施合并的全局和租户自定义禁止列表;一致的强制要求对域中的所有 DC 进行 DC 代理覆盖,并在审核评估后使用“强制”模式。

修正作

要求使用用户作对设备加入和设备注册进行多重身份验证

威胁参与者可以在新设备注册期间利用缺乏多重身份验证。 经过身份验证后,他们可以注册恶意设备、建立持久性并规避绑定到受信任终结点的安全控制。 此立足点使攻击者能够外泄敏感数据、部署恶意应用程序或横向移动,具体取决于攻击者使用的帐户的权限。 如果没有执行 MFA,攻击者可能会不断升级风险,因此可以持续重新进行身份验证、逃避检测和执行目标。

修正作

启用Microsoft Entra ID 安全性默认值

在 Microsoft Entra 中启用安全默认值对于具有 Microsoft Entra Free 许可证的组织至关重要,以防止与标识相关的攻击。 这些攻击可能导致未经授权的访问、财务损失和声誉损失。 安全默认设置要求所有用户注册多重身份验证(MFA),确保管理员使用 MFA 并阻止旧式身份验证协议。 这大大减少了成功攻击的风险,因为超过 99% 常见的标识相关攻击通过使用 MFA 来阻止旧式身份验证。 安全默认值提供基线保护,无需额外付费,使所有组织都可以访问它们。

修正作

保护租户并隔离生产系统

创建新租户的权限仅限于租户创建者角色

如果不存在任何限制,威胁参与者或有意但未知情的员工可以创建新的Microsoft Entra 租户。 默认情况下,创建租户的用户会自动分配全局管理员角色。 如果没有适当的控制,此作将通过在组织的治理和可见性之外创建租户来破坏标识外围。 它引入了风险,尽管影子标识平台可用于令牌颁发、品牌模拟、同意钓鱼或持久性过渡基础结构。 由于流氓租户可能不受企业行政或监视平面的束缚,因此传统防御对它的创建、活动和潜在的滥用是盲目的。

修正作

启用 “限制非管理员用户”创建租户 设置。 对于需要创建租户的功能的用户,请为其分配租户创建者角色。 还可以查看Microsoft Entra 审核日志中的租户创建事件。

配置允许/拒绝域列表以限制外部协作

如果没有为外部协作配置域允许/拒绝列表,组织就缺少充当安全模型中的一线防御的基本域级访问控制。 域允许/拒绝列表在租户级别运行,优先于跨租户访问策略(XTAP),阻止拒绝列表中的域发出的邀请,而不考虑跨租户访问设置。 虽然 XTAP 为特定的受信任租户启用精细控制,但域限制对于防止未明确允许的未知或未验证的域的邀请至关重要。

如果没有这些限制,内部用户可以邀请来自任何域的外部帐户,包括可能遭到入侵或受攻击者控制的域。 威胁参与者可以注册看似合法的域来执行社会工程攻击,从而欺骗用户发送协作邀请,以规避 XTAP 的目标保护。 授予访问权限后,这些外部来宾帐户可用于侦查、映射内部资源、用户关系和协作模式。

这些受邀帐户提供在审核日志和安全监视系统中显示为合法的持久访问。 攻击者可以长期保持状态,以收集数据、访问为外部协作配置的共享资源、文档和应用程序,并可能通过授权通道外泄数据,而无需触发警报。

修正作

来宾未分配高特权目录角色

当为来宾用户分配高特权目录角色(如全局管理员或特权角色管理员)时,组织会创建严重的安全漏洞,威胁参与者可以通过泄露的外部帐户或业务合作伙伴环境利用这些漏洞进行初始访问。 由于来宾用户源自外部组织,且不直接控制安全策略,因此入侵这些外部标识的威胁参与者可以获得对目标组织的Microsoft Entra 租户的特权访问权限。

当威胁参与者通过权限提升的已泄露的来宾帐户获取访问权限时,他们可以升级自己的权限,以创建其他后门帐户、修改安全策略或为自己分配组织中的永久角色。 已泄露的特权来宾帐户使威胁参与者能够建立持久性,然后进行所有需要保持未检测到的更改。 例如,他们可以创建仅限云的帐户,绕过应用于内部用户的条件访问策略,即使在来宾的主组织检测到泄露后,也能维护访问权限。 然后,威胁参与者可以使用管理特权进行横向移动,以访问敏感资源、修改审核设置或在整个租户中禁用安全监视。 威胁参与者可以通过外部来宾帐户来源保持合理的可否认性,从而彻底破坏组织的标识基础结构。

修正作

来宾无法邀请其他来宾

外部用户帐户通常用于向属于与企业有业务关系的组织的业务合作伙伴提供访问权限。 如果这些帐户在其组织中遭到入侵,攻击者可以使用有效的凭据获取对环境的初始访问权限,通常由于其合法性而绕过传统防御。

允许外部用户加入其他外部用户会增加未经授权的访问风险。 如果攻击者入侵外部用户帐户,他们可以使用它创建更多外部帐户,将访问点乘以访问点,并更难检测入侵。

修正作

来宾对目录对象的访问受限

外部用户帐户通常用于向属于与企业有业务关系的组织的业务合作伙伴提供访问权限。 如果这些帐户在其组织中遭到入侵,攻击者可以使用有效的凭据获取对环境的初始访问权限,通常由于其合法性而绕过传统防御。

具有读取目录对象权限的外部帐户为攻击者提供更广泛的初始访问权限(如果遭到入侵)。 这些帐户允许攻击者从目录中收集其他信息,以便进行侦查。

修正作

为所有多租户应用程序配置应用实例属性锁

在应用程序在另一租户中预配应用程序后,应用实例属性锁可防止更改多租户应用程序的敏感属性。 如果没有锁定,关键属性(如应用程序凭据)可能会受到恶意或无意的修改,从而导致中断、风险增加、未经授权的访问或特权升级。

修正作 为所有多租户应用程序启用应用实例属性锁,并指定要锁定的属性。

来宾没有长时间的登录会话

具有扩展登录会话的来宾帐户会增加威胁参与者可以利用的风险外围应用。 当来宾会话持续到必要的时间范围之外时,威胁参与者通常会尝试通过凭据填充、密码喷洒或社交工程攻击获得初始访问权限。 获得访问权限后,他们可以在长时间内保持未经授权的访问,而无需重新进行身份验证质询。 这些遭到入侵和扩展的会话:

  • 允许未经授权的访问Microsoft Entra 项目,使威胁参与者能够识别敏感资源和映射组织结构。
  • 允许威胁参与者使用合法身份验证令牌在网络中保留,从而使检测更具挑战性,因为活动显示为典型的用户行为。
  • 通过访问共享资源、发现更多凭据或利用系统之间的信任关系等技术,为威胁参与者提供更长的时间范围来提升特权。

如果没有适当的会话控制,威胁参与者可以跨组织的基础结构实现横向移动,访问超出原始来宾帐户预期访问范围的关键数据和系统。

来宾访问受强身份验证方法的保护

外部用户帐户通常用于向属于与组织有业务关系的组织的业务合作伙伴提供访问权限。 如果这些帐户在其组织中遭到入侵,攻击者可以使用有效的凭据获取对环境的初始访问权限,通常由于其合法性而绕过传统防御。

如果多重身份验证(MFA)未普遍实施,或者存在异常,攻击者可能会获得外部用户帐户的访问权限。 他们还可能利用较弱的 MFA 方法(如短信和电话呼叫)的漏洞(如 SIM 交换或钓鱼)来拦截身份验证代码,从而获得访问权限。

一旦攻击者在没有 MFA 或具有弱 MFA 方法的会话的情况下获取对帐户的访问权限,他们可能会尝试作 MFA 设置(例如,注册攻击者控制的方法),以建立持久性,以便根据被入侵帐户的权限来规划和执行进一步的攻击。

修正作

禁用通过用户流进行来宾自助注册

启用来宾自助注册后,威胁参与者可以通过创建合法的来宾帐户来利用它建立未经授权的访问,而无需获得授权人员的批准。 这些帐户可以限定为特定服务,以减少检测并有效地绕过基于邀请的控制,以验证外部用户合法性。

创建后,自预配的来宾帐户提供对组织资源和应用程序的持久访问权限。 威胁参与者可以使用它们执行侦察活动,以映射内部系统、识别敏感数据存储库,并规划进一步的攻击途径。 这种持久性允许攻击者在重启、凭据更改和其他中断期间保持访问权限,而来宾帐户本身提供了看似合法的标识,可能逃避专注于外部威胁的安全监视。

此外,泄露的来宾标识可用于建立凭据持久性并可能提升特权。 攻击者可以利用来宾帐户与内部资源之间的信任关系,或者将来宾帐户用作横向向更高特权组织资产移动的过渡地。

修正作

配置出站跨租户访问设置

允许与未经验证的组织进行不受限制的外部协作可能会增加租户的风险外围应用,因为它允许可能没有适当安全控制的来宾帐户。 威胁参与者可以通过破坏这些松散管理的外部租户中的标识来尝试获取访问权限。 授予来宾访问权限后,他们可以使用合法的协作途径渗透租户中的资源,并尝试获取敏感信息。 威胁参与者还可以利用配置不当的权限来提升特权,并尝试不同类型的攻击。

如果不审查你与之协作的组织的安全性,恶意外部帐户可以持久保存未检测到、泄露机密数据并注入恶意有效负载。 这种类型的暴露可能会削弱组织控制,并启用跨租户攻击,绕过传统的外围防御并破坏数据完整性和作复原能力。 Microsoft Entra 中出站访问的跨租户设置提供默认情况下阻止与未知组织的协作的功能,从而减少攻击面。

修正作

来宾不在租户中拥有应用

如果不限制来宾用户注册和拥有应用程序,威胁参与者可以利用外部用户帐户通过可能逃避传统安全监视的应用程序注册建立对组织资源的持久后门访问。 当来宾用户拥有应用程序时,泄露的来宾帐户可用于利用可能具有广泛权限的来宾拥有的应用程序。 此漏洞使威胁参与者能够请求访问敏感组织数据,例如电子邮件、文件和用户信息,而无需对内部用户拥有的应用程序进行相同级别的审查。

此攻击途径很危险,因为来宾拥有的应用程序可配置为请求高特权权限,并且一旦获得许可,就会向威胁参与者提供合法的 OAuth 令牌。 此外,来宾拥有的应用程序可以充当命令和控制基础结构,因此威胁执行组件可以在检测到和修正泄露的来宾帐户后维护访问权限。 应用程序凭据和权限可能独立于原始来宾用户帐户保留,因此威胁参与者可以保留访问权限。 来宾拥有的应用程序也使安全审核和治理工作复杂化,因为组织可能对外部用户注册的应用程序的目的和安全状况具有有限的可见性。 应用程序生命周期管理中的这些隐藏弱点使得通过看似合法的应用程序注册来评估授予非Microsoft实体的数据访问的真正范围变得困难。

修正作

  • 从应用程序和服务主体中删除来宾用户作为所有者,并实施控制以防止将来的来宾用户应用程序所有权。
  • 限制来宾用户访问权限

所有客人都有赞助商

邀请外部来宾有利于组织协作。 但是,如果没有为每个来宾分配的内部发起人,这些帐户可能会保留在目录中,而无需明确的责任。 这种监督会产生风险:威胁参与者可能会损害未使用或未受监视的来宾帐户,然后在租户中建立初始立足点。 将访问权限授予为明显的“合法”用户后,攻击者可能会探索可访问的资源并尝试特权提升,最终可能会公开敏感信息或关键系统。 因此,不受监视的来宾帐户可能会成为未经授权的数据访问或重大安全漏洞的载体。 典型的攻击序列可能使用以下模式,所有模式都以标准外部协作者为掩码实现:

  1. 通过泄露的来宾凭据获得的初始访问权限
  2. 由于缺乏监督,持久性。
  3. 如果来宾帐户拥有组成员身份或提升的权限,则进一步升级或横向移动。
  4. 执行恶意目标。

要求为每个来宾帐户分配给发起人,从而直接缓解此风险。 此类要求可确保每个外部用户都链接到应定期监视和证明来宾持续访问需求的责任内部方。 Microsoft Entra ID 中的发起人功能通过跟踪邀请者并防止“孤立”来宾帐户激增来支持问责。 当发起人管理来宾帐户生命周期(例如在协作结束时删除访问权限)时,威胁参与者利用被忽视的帐户的机会将大幅减少。 此最佳做法与Microsoft指南一致,要求为业务来宾提供赞助,作为有效的来宾访问治理策略的一部分。 它在启用协作和执行安全性之间达成平衡,因为它保证每个来宾用户的状态和权限仍在进行内部监督中。

修正作

已禁用或删除非活动来宾标识

当来宾标识保持活动状态但长时间未使用时,威胁参与者可以利用这些休眠帐户作为进入组织的入口途径。 非活动来宾帐户表示严重的攻击面,因为它们通常保持对资源、应用程序和数据的持久访问权限,同时不受安全团队监视。 威胁参与者经常通过凭据填充、密码喷洒或损害来宾的主组织获取横向访问权限来针对这些帐户。 非活动来宾帐户泄露后,攻击者可以利用现有访问权限授予来:

  • 在租户中横向移动
  • 通过组成员身份或应用程序权限提升特权
  • 通过创建更多服务主体或修改现有权限等技术建立持久性

这些帐户长时间的休眠使攻击者可以延长停留时间,以便进行侦察、外泄敏感数据,并在未检测到的情况下建立后门,因为组织通常将监视工作集中在活动内部用户而不是外部来宾帐户上。

修正作

根据已知网络配置工作负荷标识的条件访问策略

当工作负荷标识在没有基于网络的条件访问限制的情况下运行时,威胁参与者可以通过各种方法(例如代码存储库中公开的机密或截获的身份验证令牌)损害服务主体凭据。 然后,威胁参与者可以从全局任何位置使用这些凭据。 这种不受限制的访问使威胁参与者能够在看起来合法时执行侦查活动、枚举资源并映射租户的基础结构。 在环境中建立威胁参与者后,他们可以在服务之间横向移动、访问敏感数据存储,并通过利用过于宽松的服务到服务权限来提升特权。 缺乏网络限制使得无法基于位置检测异常访问模式。 这种差距允许威胁参与者在较长时间内保持持久访问和外泄数据,而不会触发通常标记来自意外网络或地理位置的连接的安全警报。

修正作

保护网络

已配置命名位置

如果没有在 Microsoft Entra ID 中配置的命名位置,威胁参与者可以利用没有位置情报来执行攻击,而无需触发基于位置的风险检测或安全控制。 当组织无法为受信任的网络、分支机构和已知地理区域定义命名位置时,Microsoft Entra ID 保护无法评估基于位置的风险信号。 没有这些策略可能会导致误报增加,从而造成警报疲劳,并可能掩盖真正的威胁。 此配置差距可防止系统区分合法位置和非法位置。 例如,来自公司网络的合法登录以及来自高风险位置的可疑身份验证尝试(匿名代理网络、Tor 退出节点或组织没有业务存在的区域)。 威胁参与者可以使用这种不确定性来执行凭据填充攻击、密码喷洒活动以及恶意基础结构的初始访问尝试,而无需触发通常将此类活动标记为可疑的基于位置的检测。 组织还可以失去实施自适应安全策略的能力,这些策略可以自动应用更严格的身份验证要求或完全阻止来自不受信任的地理区域的访问。 威胁参与者可以保持持久性,并从任何全球位置进行横向移动,而不会遇到基于位置的安全屏障,这应该充当防止未经授权的访问尝试的额外防御层。

修正作

已配置租户限制 v2 策略

租户限制 v2(TRv2)允许组织强制实施策略,以限制对指定Microsoft Entra 租户的访问,从而阻止使用本地帐户向外部租户泄露公司数据。 如果没有 TRv2,威胁参与者可能会利用此漏洞,这会导致潜在的数据外泄和合规性冲突,然后是凭据捕获(如果这些外部租户具有较弱的控制)。 获取凭据后,威胁参与者可以获得对这些外部租户的初始访问权限。 TRv2 提供了阻止用户向未经授权的租户进行身份验证的机制。 否则,威胁参与者可以横向移动、提升特权并可能外泄敏感数据,同时显示为合法的用户活动,从而绕过专注于内部租户监视的传统数据丢失防护控制。

实施 TRv2 会强制实施限制对指定租户的访问的策略,通过确保身份验证和数据访问仅限于授权租户来缓解这些风险。

如果此检查通过,则租户配置了 TRv2 策略,但需要执行更多步骤来验证方案端到端。

修正作

保护工程系统

正确配置紧急访问帐户

Microsoft建议组织拥有两个仅限云使用的紧急访问帐户,并将其永久分配为全局管理员角色。 这些帐户具有很高的特权,不会分配给特定个人。 这些帐户仅限于紧急或“破窗式”场景,在这种场景下,普通帐户无法使用,或者所有其他管理员被意外锁定。

全局管理员角色激活触发审批工作流

如果没有审批工作流,通过网络钓鱼、凭据填充或其他身份验证绕过技术入侵全局管理员凭据的威胁参与者可以立即激活租户中特权最高的角色,而无需任何其他验证或监督。 Privileged Identity Management (PIM) 允许符合条件的角色激活在几秒钟内处于活动状态,因此泄露的凭据可以允许近乎即时的特权提升。 激活后,威胁参与者可以使用全局管理员角色使用以下攻击路径获取对租户的持久访问权限:

  • 创建新的特权帐户
  • 修改条件访问策略以排除这些新帐户
  • 建立备用身份验证方法,例如基于证书的身份验证或具有高特权的应用程序注册

全局管理员角色提供对使用 Microsoft Entra 标识(包括 Microsoft Defender XDR、Microsoft Purview、Exchange Online 和 SharePoint Online)Microsoft Entra ID 和服务中的管理功能的访问权限。 如果没有审批入口,威胁参与者可以快速升级为完成租户接管、泄露敏感数据、损害所有用户帐户,并通过服务主体或联合修改建立长期后门,即使在检测到初始入侵后仍保留。

修正作

全局管理员无权访问 Azure 订阅

对 Azure 订阅具有持久访问权限的全局管理员扩展了威胁参与者的攻击面。 如果全局管理员帐户遭到入侵,攻击者可以立即枚举资源、修改配置、分配角色,以及跨所有订阅外泄敏感数据。 要求对订阅访问进行实时提升会引入可检测信号、减缓攻击者速度,并通过可观测的控制点路由高影响作。

修正作

全局管理员的最大数量不超过 8 个用户

过多的全局管理员帐户会创建一个扩展的攻击面,威胁参与者可以通过各种初始访问途径利用这些攻击面。 每个额外的特权帐户表示威胁参与者的潜在入口点。 过度的全局管理员帐户会破坏最低特权原则。 Microsoft建议组织不超过 8 个全局管理员。

修正作

创建新的应用程序和服务主体仅限于特权用户

如果非特权用户可以创建应用程序和服务主体,则这些帐户可能配置不当或授予的权限超过必要权限,从而为攻击者创建新的途径以获取初始访问权限。 攻击者可以利用这些帐户在环境中建立有效的凭据,并绕过一些安全控制。

如果这些非特权帐户被错误地授予了提升的应用程序所有者权限,攻击者可以使用它们从较低级别的访问权限转移到更特权的访问级别。 入侵非特权帐户的攻击者可能会添加自己的凭据或更改与非特权用户创建的应用程序关联的权限,以确保他们能够继续访问未检测到的环境。

攻击者可以使用服务主体与合法的系统进程和活动融合在一起。 由于服务主体经常执行自动化任务,因此在这些帐户下执行的恶意活动可能不会标记为可疑。

修正作

具有高特权Microsoft图形 API 权限的企业应用程序具有所有者

如果没有所有者,企业应用程序将成为威胁参与者可以通过凭据收获和特权提升技术利用的孤立资产。 这些应用程序通常保留提升的权限和对敏感资源的访问权限,同时缺乏适当的监督和安全治理。 所有者的特权提升可能会引发安全问题,具体取决于应用程序的权限。 更关键的是,没有所有者的应用程序可以在安全监视中产生不确定性,威胁参与者可以使用现有的应用程序权限访问数据或创建后门帐户来建立持久性,而无需触发基于所有权的检测机制。

当应用程序缺少所有者时,安全团队无法有效地执行应用程序生命周期管理。 这种差距使应用程序具有可能过多的权限、过时的配置或威胁参与者可以通过枚举技术和利用发现凭据在环境中横向移动。 缺少所有权也会阻止适当的访问评审和权限审核,从而允许威胁参与者通过应解除授权或降低其权限的应用程序维护长期访问。 不维护干净的应用程序组合可以提供持久访问矢量,这些矢量可用于数据外泄或环境进一步泄露。

修正作

非活动应用程序没有高特权Microsoft图形 API 权限

攻击者可能会利用仍然具有提升权限的有效但非活动应用程序。 这些应用程序可用于获取初始访问权限,而不会发出警报,因为它们是合法的应用程序。 从那里,攻击者可以使用应用程序特权来计划或执行其他攻击。 攻击者还可以通过作非活动应用程序(例如添加凭据)来维护访问权限。 此持久性可确保即使检测到主要访问方法,它们以后也能重新获得访问权限。

修正作

非活动应用程序没有高特权的内置角色

攻击者可能会利用仍然具有提升权限的有效但非活动应用程序。 这些应用程序可用于获取初始访问权限,而不会发出警报,因为它们是合法的应用程序。 从那里,攻击者可以使用应用程序特权来计划或执行其他攻击。 攻击者还可以通过作非活动应用程序(例如添加凭据)来维护访问权限。 此持久性可确保即使检测到主要访问方法,它们以后也能重新获得访问权限。

修正作

应用注册使用安全的重定向 URI

使用包含通配符的 URL 配置的 OAuth 应用程序,或 URL 缩短器会增加威胁参与者的攻击面。 不安全的重定向 URI(回复 URL)可能允许攻击者通过将用户定向到攻击者控制的终结点来作身份验证请求、劫持授权代码和拦截令牌。 通配符条目通过允许意外域处理身份验证响应来扩大风险,而缩短 URL 可能会促进在不受控制的环境中进行钓鱼和令牌被盗。

如果不严格验证重定向 URI,攻击者可以绕过安全控制、模拟合法应用程序并提升其特权。 这种配置错误使持久性、未经授权的访问和横向移动,因为攻击者利用弱 OAuth 强制措施渗透到未检测到的受保护资源。

修正作

服务主体使用安全重定向 URI

配置了包含通配符、localhost 或 URL 缩短程序的非Microsoft和多租户应用程序会增加威胁参与者的攻击面。 这些不安全的重定向 URI(回复 URL)可能允许攻击者通过将用户定向到攻击者控制的终结点来作身份验证请求、劫持授权代码和拦截令牌。 通配符条目通过允许意外域处理身份验证响应来扩大风险,而 localhost 和缩短 URL 可能会促进在不受控制的环境中进行钓鱼和令牌被盗。

如果不严格验证重定向 URI,攻击者可以绕过安全控制、模拟合法应用程序并提升其特权。 这种配置错误使持久性、未经授权的访问和横向移动,因为攻击者利用弱 OAuth 强制措施渗透到未检测到的受保护资源。

修正作

应用注册不得具有悬而未完成或放弃的域重定向 URI

当应用注册中未托管或孤立的重定向 URI 在引用不再指向活动资源的域时,它们会创建严重的安全漏洞。 威胁参与者可以通过在已放弃的域上预配资源来利用这些“悬空”DNS 条目,从而有效地控制重定向终结点。 此漏洞使攻击者能够在 OAuth 2.0 流期间截获身份验证令牌和凭据,这可能导致未经授权的访问、会话劫持以及潜在的更广泛的组织泄露。

修正作

让组所有者同意Microsoft Entra ID 中的应用程序会创建横向升级路径,允许威胁参与者在没有管理员凭据的情况下持久保存和窃取数据。 如果攻击者入侵组所有者帐户,他们可以注册或使用恶意应用程序,并同意限定为组的高特权图形 API 权限。 攻击者可能会读取所有 Teams 消息、访问 SharePoint 文件或管理组成员身份。 此同意作创建具有委派权限或应用程序权限的长期应用程序标识。 攻击者使用 OAuth 令牌保持持久性,从团队频道和文件窃取敏感数据,并通过消息传递或电子邮件权限模拟用户。 如果不集中实施应用同意策略,安全团队就会失去可见性,并且恶意应用程序分散在雷达下,从而跨协作平台实现多阶段攻击。

修正作 配置 Resource-Specific 许可(RSC)权限的预批准。

工作负荷标识未分配特权角色

如果管理员将特权角色分配给工作负荷标识(例如服务主体或托管标识),则如果这些标识遭到入侵,租户可能会面临重大风险。 有权访问特权工作负荷标识的威胁参与者可以执行侦查来枚举资源、提升特权以及作或泄露敏感数据。 攻击链通常从凭据盗窃或滥用易受攻击的应用程序开始。 下一步是通过分配的角色、跨云资源的横向移动,最后通过其他角色分配或凭据更新进行持久性。 工作负荷标识通常用于自动化,可能不会像用户帐户一样密切监视。 然后,威胁参与者可以不受检测,从而保持对关键资源的访问和控制。 工作负荷标识不受以用户为中心的保护(如 MFA)的约束,因此最低特权分配和定期评审至关重要。

修正作

企业应用程序必须要求显式分配或作用域内预配

当企业应用程序缺少显式分配要求和作用域内预配控制时,威胁参与者可以利用这种双重弱点来获得对敏感应用程序和数据的未经授权的访问。 使用默认设置配置应用程序时,将发生最高风险:“需要分配”设置为“否” 并且不需要预配或限定范围。 这种危险的组合允许威胁参与者入侵租户中的任何用户帐户,以立即访问具有广泛用户群的应用程序,从而扩展其攻击面,并有可能在组织内部横向移动。

虽然具有开放分配但适当的预配范围(如基于部门的筛选器或组成员身份要求)的应用程序通过预配层维护安全控制,但缺少这两种控制的应用程序会创建威胁参与者可以利用的不受限制的访问路径。 当应用程序为没有分配限制的所有用户预配帐户时,威胁参与者可能会滥用泄露的帐户来执行侦查活动、枚举多个系统中的敏感数据,或使用应用程序作为针对已连接资源的进一步攻击的暂存点。 对于具有提升权限或连接到关键业务系统的应用程序,这种不受限制的访问模型很危险。 威胁参与者可以使用任何泄露的用户帐户来访问敏感信息、修改数据或执行应用程序权限允许的未经授权的作。 分配控制和预配范围的缺失也阻止组织实施适当的访问治理。 如果没有适当的治理,很难跟踪谁有权访问哪些应用程序、何时授予访问权限,以及是否应根据角色更改或就业状态吊销访问权限。 此外,具有广泛预配范围的应用程序可能会创建级联安全风险,其中单个被入侵的帐户提供对连接应用程序和服务的整个生态系统的访问权限。

修正作

已配置特权访问工作站的条件访问策略

如果特权角色激活不限于专用的特权访问工作站(PAW),威胁参与者可以利用受损的终结点设备来执行非托管或不符合工作站的特权升级攻击。 标准生产力工作站通常包含攻击途径,例如不受限制的 Web 浏览、易受网络钓鱼的电子邮件客户端以及本地安装的应用程序,并存在潜在漏洞。 当管理员从这些工作站激活特权角色时,通过恶意软件、浏览器攻击或社交工程获得初始访问权限的威胁参与者可以使用本地缓存的特权凭据或劫持现有经过身份验证的会话来提升其特权。 特权角色激活可跨 Microsoft Entra ID 和连接服务授予广泛的管理权限,以便攻击者可以创建新的管理帐户、修改安全策略、跨所有组织资源访问敏感数据,以及在整个环境中部署恶意软件或后门以建立持久访问。 这种横向从已泄露的终结点迁移到特权云资源表示绕过许多传统安全控制的关键攻击路径。 从经过身份验证的管理员会话发起时,特权访问看起来合法。

如果此检查通过,则租户有一个条件访问策略,用于限制对 PAW 设备的特权角色访问,但这不是完全启用 PAW 解决方案所需的唯一控制。 还需要配置 Intune 设备配置和符合性策略和设备筛选器。

修正作

监视和检测网络威胁

已为所有Microsoft Entra 日志配置诊断设置

Microsoft Entra 中的活动日志和报告可以帮助检测未经授权的访问尝试或确定租户配置更改的时间。 当日志存档或与安全信息和事件管理(SIEM)工具集成时,安全团队可以实施强大的监视和检测安全控制、主动威胁搜寻和事件响应过程。 日志和监视功能可用于评估租户运行状况,并提供合规性和审核的证据。

如果未定期存档日志或发送到 SIEM 工具进行查询,则调查登录问题很困难。 缺少历史日志意味着安全团队可能会错过失败登录尝试、异常活动和其他泄露指标的模式。 这种缺乏可见性可以防止及时检测漏洞,使攻击者能够在长时间内保持未检测到的访问。

修正作

特权角色激活已配置监视和警报

对于高特权角色,没有正确激活警报的组织在用户访问这些关键权限时缺乏可见性。 威胁参与者可以通过在不检测的情况下激活高特权角色来利用此监视差距来执行特权提升,然后通过管理员帐户创建或安全策略修改建立持久性。 如果没有实时警报,攻击者就可以进行横向移动、修改审核配置并禁用安全控制,而无需触发即时响应过程。

修正作

所有用户登录活动都使用强身份验证方法

如果未普遍实施多重身份验证(MFA),或者存在异常,攻击者可能会获得访问权限。 攻击者可以通过利用较弱的 MFA 方法(如短信和电话呼叫)的漏洞,通过社会工程技术获得访问权限。 这些技术可能包括 SIM 交换或钓鱼,以截获身份验证代码。

攻击者可能会将这些帐户用作租户中的入口点。 通过使用截获的用户会话,攻击者可以将其活动伪装成合法的用户作、逃避检测并继续攻击,而不会引起怀疑。 从那里,他们可能会尝试作 MFA 设置,以根据被入侵帐户的权限建立持久性、计划和执行进一步的攻击。

修正作

解决了高优先级Microsoft Entra 建议

让高优先级Microsoft Entra 建议的取消配置可能会给组织的安全状况造成差距,从而为威胁参与者提供利用已知弱点的机会。 不对这些项执行作可能会导致攻击面面积增加、作欠佳或用户体验不佳。

修正作

没有旧式身份验证登录活动

旧式身份验证协议(如 SMTP 和 IMAP 的基本身份验证)不支持多重身份验证(MFA)等新式安全功能,这对于防止未经授权的访问至关重要。 这种缺乏保护使使用这些协议的帐户容易受到基于密码的攻击,并为攻击者提供使用被盗凭据或猜测凭据获得初始访问权限的方法。

当攻击者成功获得对凭据的未经授权的访问时,他们可以使用它们来访问链接服务,使用弱身份验证方法作为入口点。 通过旧式身份验证获取访问权限的攻击者可能会更改 Microsoft Exchange,例如配置邮件转发规则或更改其他设置,从而允许他们保持对敏感通信的持续访问。

旧式身份验证还为攻击者提供了一种一致的方法来重新输入使用泄露凭据的系统,而无需触发安全警报或要求重新进行身份验证。

从那里,攻击者可以使用旧协议访问通过泄露的帐户访问的其他系统,从而促进横向移动。 使用旧协议的攻击者可以与合法的用户活动混合在一起,从而使安全团队难以区分正常使用和恶意行为。

修正作

解决了所有Microsoft Entra 建议

Microsoft Entra 建议为组织提供了实施最佳做法和优化其安全状况的机会。 不对这些项执行作可能会导致攻击面面积增加、作欠佳或用户体验不佳。

修正作

加速响应和修正

根据风险策略配置工作负荷标识

在 Microsoft Entra ID 中基于风险策略为工作负荷标识设置基于风险的条件访问策略,以确保只有受信任的和已验证的工作负荷使用敏感资源。 如果没有这些策略,威胁参与者可以通过最少的检测来破坏工作负荷标识,并执行进一步的攻击。 如果没有条件控制来检测异常活动和其他风险,则不会检查恶意作,例如令牌伪造、对敏感资源的访问和工作负荷中断。 缺少自动包含机制会增加停留时间,并影响关键服务的保密性、完整性和可用性。

限制对高风险用户的访问

假设威胁参与者会危及高风险。 如果没有调查和修正,威胁参与者可以执行脚本、部署恶意应用程序或作 API 调用,以根据可能泄露的用户权限建立持久性。 然后,威胁参与者可以利用错误配置或滥用 OAuth 令牌,在文档、SaaS 应用程序或 Azure 资源等工作负载之间横向移动。 威胁参与者可以获取对敏感文件、客户记录或专有代码的访问权限,并通过合法云服务保持隐身性,并将其外泄到外部存储库。 最后,威胁参与者可能会通过修改配置、加密赎金数据或使用被盗信息进行进一步攻击来破坏作,从而导致财务、信誉和监管后果。

使用密码的组织可以依靠密码重置来自动修正有风险的用户。

使用无密码凭据的组织已经缓解了用户风险级别累积的大多数风险事件,因此风险用户的数量应该要低得多。 在调查和修正用户风险之前,必须阻止组织中使用无密码凭据的风险用户进行访问。

相关内容