通过

为零信任配置Microsoft Entra:保护标识和机密

用户和应用程序身份验证和授权是标识和机密基础结构的入口点。 保护所有标识和机密是零信任之旅和 安全未来计划支柱的基础步骤。

建议和零信任检查是此支柱的一部分,有助于降低未经授权的访问风险。 保护标识和机密表示 Microsoft Entra 中零信任的核心。 主题包括正确使用机密和证书、对特权帐户的适当限制以及新式无密码身份验证方法。

零信任安全建议

应用程序未配置客户端机密

使用客户端机密的应用程序可能会将它们存储在配置文件中,在脚本中对其进行硬编码,或者以其他方式风险暴露它们。 机密管理的复杂性使客户端机密容易受到泄漏和对攻击者的吸引力。 在公开客户端机密时,向攻击者提供将活动与合法作混合的能力,从而更轻松地绕过安全控制。 如果攻击者入侵应用程序的客户端密码,他们可以在系统中升级其特权,从而导致更广泛的访问和控制,具体取决于应用程序的权限。

具有Microsoft Graph API 或其他 API 权限的应用程序和服务主体具有更高的风险,因为攻击者可能会利用这些附加权限。

修正操作

服务主体没有与其关联的证书或凭据

没有正确身份验证凭据的服务主体(证书或客户端机密)会创建安全漏洞,使威胁参与者能够模拟这些标识。 这可能会导致环境中未经授权的访问、横向移动、特权升级和难以检测和修正的持久访问。

修正操作

应用程序没有过期时间超过 180 天的证书

攻击者可以提取和利用证书(如果未安全存储),从而导致未经授权的访问。 长期证书在一段时间内更有可能公开。 在公开凭据时,向攻击者提供将活动与合法作混合的能力,从而更轻松地绕过安全控制。 如果攻击者入侵应用程序的证书,他们可以在系统中升级其特权,从而导致更广泛的访问和控制,具体取决于应用程序的特权。

修正操作

需要定期轮换应用程序证书

如果未定期轮换证书,则可以为威胁执行组件提供一个扩展窗口来提取和利用它们,从而导致未经授权的访问。 当此类凭据公开时,攻击者可以将恶意活动与合法作混合,从而更轻松地绕过安全控制。 如果攻击者入侵应用程序的证书,他们可以在系统中提升其特权,从而根据应用程序的特权,导致更广泛的访问和控制。

查询具有证书凭据的所有服务主体和应用程序注册。 确保证书开始日期小于 180 天。

修正操作

强制实施应用机密和证书的标准

如果没有适当的应用程序管理策略,威胁参与者可以利用弱或配置错误的应用程序凭据来获取对组织资源的未经授权的访问。 使用长期密码机密或证书的应用程序会创建扩展攻击窗口,其中泄露的凭据在较长时间内保持有效。 如果应用程序使用在配置文件中硬编码的客户端机密或具有弱密码要求,威胁执行组件可以通过不同的方式(包括源代码存储库、配置转储或内存分析)提取这些凭据。 如果威胁行为者获取这些凭据,他们可以在环境中进行横向移动,如果应用程序具有提升的权限,可以提升权限,创建更多后门凭据以建立持久性,修改应用程序配置或外泄数据。 缺少凭据生命周期管理允许泄露的凭据无限期保持活动状态,使威胁参与者能够持续访问组织资产,以及执行数据外泄、系统作或部署更多恶意工具的能力,而无需检测。

配置适当的应用管理策略有助于组织预防这些威胁。

修正操作

Microsoft服务应用程序未配置凭据

Microsoft租户中运行的服务应用程序被标识为所有者组织 ID 为“f8cdef31-a31e-4b4a-93e4-5f571e91255a”的服务主体。这些服务主体在租户中配置凭据时,可能会创建威胁参与者可以利用的潜在攻击途径。 如果管理员添加了凭据,并且不再需要凭据,他们可能会成为攻击者的目标。 尽管在特权活动上实施适当的预防和侦探控制时的可能性较低,但威胁参与者也可以恶意添加凭据。 无论哪种情况,威胁参与者都可以使用这些凭据作为服务主体进行身份验证,获得与Microsoft服务应用程序相同的权限和访问权限。 如果应用程序具有高级权限,则此初始访问权限可能会导致特权升级,从而允许跨租户横向移动。 然后,攻击者可以通过创建其他后门凭据继续执行数据外泄或持久性建立。

为租户中的这些服务主体配置凭据(如客户端机密或证书)时,这意味着某人(管理员或恶意参与者)允许他们在环境中独立进行身份验证。 应调查这些凭据,以确定其合法性和必要性。 如果不再需要它们,应将其删除以降低风险。

如果未通过此检查,建议“调查”,因为需要识别并查看配置了未使用的凭据的任何应用程序。

修正操作

  • 确认添加的凭据是否仍然是有效的用例。 否则,请从Microsoft服务应用程序中删除凭据,以减少安全风险。
    • 在 Microsoft Entra 管理中心,浏览到 Entra ID>应用注册 并选择受影响的应用程序。
    • 转到 “证书和机密 ”部分,删除不再需要的任何凭据。

如果没有受限的用户同意设置,威胁参与者可以利用宽松的应用程序许可配置来获得对敏感数据的未经授权的访问。 当用户同意不受限制时,攻击者可以:

  • 使用社会工程和非法同意授予攻击来欺骗用户批准恶意应用程序。
  • 模拟合法服务以请求广泛的权限,例如访问电子邮件、文件、日历和其他关键业务数据。
  • 获取绕过外围安全控制的合法 OAuth 令牌,使访问对安全监视系统看起来正常。
  • 建立对组织资源的持久访问,跨 Microsoft 365 服务进行侦察,横向通过连接的系统移动,并可能提升特权。

不受限制的用户同意还限制了组织对应用程序访问强制实施集中治理的能力,使得难以保持对非Microsoft应用程序有权访问敏感数据的可见性。 这种差距可造成合规性风险,其中未经授权的应用程序可能会违反数据保护法规或组织安全策略。

修正操作

在 Microsoft Entra 租户中启用管理员同意工作流是一项重要的安全措施,可缓解与未经授权的应用程序访问和特权提升相关的风险。 此检查非常重要,因为它可确保请求提升权限的任何应用程序在授予许可之前接受指定管理员的评审过程。 Microsoft Entra ID 中的管理员同意工作流会根据应用程序的合法性和必要性通知评估和批准或拒绝同意请求的审阅者。 如果此检查未通过,这意味着工作流已禁用,则任何应用程序都可以请求并可能接收提升的权限,而无需管理评审。 这会带来巨大的安全风险,因为恶意参与者可以利用这种缺乏监督来获得对敏感数据的未经授权的访问、执行特权提升或执行其他恶意活动。

修正操作

对于管理员同意请求,设置 用户可以请求管理员同意他们无法同意 设置为 “是”的应用。 指定其他设置,例如谁可以查看请求。

高全局管理员与特权用户比率

当组织相对于其总特权用户群体保持不成比例的高全局管理员比例时,它们会暴露出威胁参与者可能通过各种攻击途径利用的重大安全风险。 过度的全局管理员分配可为可能通过凭据泄露、网络钓鱼攻击或内部威胁利用初始访问来获取对整个 Microsoft Entra ID 租户和连接Microsoft 365 服务的非受限访问权限的威胁参与者创建多个高价值目标。

修正操作

特权帐户是云本机标识

如果本地帐户遭到入侵并同步到 Microsoft Entra,攻击者也可能获得对租户的访问权限。 此风险会增加,因为本地环境通常由于较旧的基础结构和有限的安全控制而具有更多的攻击面。 攻击者可能还针对用于在本地环境和 Microsoft Entra 之间实现连接的基础结构和工具。 这些目标可能包括Microsoft Entra Connect 或 Active Directory 联合身份验证服务等工具,可在其中模拟或其他作其他本地用户帐户。

如果特权云帐户与本地帐户同步,则获取本地凭据的攻击者可以使用这些相同的凭据访问云资源,并横向迁移到云环境。

修正操作

对于具有高特权的每个角色(通过Microsoft Entra Privileged Identity Management 永久分配或符合条件),应执行以下作:

  • 查看具有 onPremisesImmutableId 和 onPremisesSyncEnabled 集的用户。 请参阅 Microsoft图形 API 用户资源类型
  • 为这些人创建仅限云的用户帐户,并从特权角色中删除其混合标识。

所有特权角色分配都实时激活,不会永久处于活动状态

威胁执行组件以特权帐户为目标,因为它们有权访问所需的数据和资源。 这可能包括对 Microsoft Entra 租户、Microsoft SharePoint 中的数据或建立长期持久性的能力的更多访问权限。 如果没有实时(JIT)激活模型,管理权限将持续公开,为攻击者提供一个扩展窗口来作未检测到。 实时访问通过额外的控制(如审批、理由和条件访问策略)强制实施限时特权激活来缓解风险,确保仅在需要时和有限的持续时间授予高风险权限。 此限制可最大程度地减少攻击面、破坏横向移动,并强制对手触发可在需要时进行专门监视和拒绝的作。 如果不进行实时访问,泄露的管理员帐户将授予无限期的控制,让攻击者禁用安全控制、擦除日志和维护隐身,从而放大入侵的影响。

使用Microsoft Entra Privileged Identity Management (PIM)提供对特权角色分配的实时访问。 使用 Microsoft Entra ID Governance 中的访问评审定期评审特权访问权限,以确保持续需要。

修正操作

所有Microsoft Entra 特权角色分配均使用 PIM 进行管理

威胁行为者入侵永久分配的特权帐户,从而持续访问影响重大的目录操作。 此扩展访问允许攻击者建立持久性后门、修改安全配置和禁用监视系统。 如果没有时间限制的访问控制,被入侵的特权帐户将提供无限期的租户控制。

要求实时激活符合条件的角色分配,减少攻击面并限制攻击者停留时间。

修正操作

已启用 Passkey 身份验证方法

威胁执行组件以特权帐户为目标,因为它们有权访问所需的数据和资源。 这可能包括对 Microsoft Entra 租户、Microsoft SharePoint 中的数据或建立长期持久性的能力的更多访问权限。 如果没有实时(JIT)激活模型,管理权限将持续公开,为攻击者提供一个扩展窗口来作未检测到。 实时访问通过额外的控制(如审批、理由和条件访问策略)强制实施限时特权激活来缓解风险,确保仅在需要时和有限的持续时间授予高风险权限。 此限制可最大程度地减少攻击面、破坏横向移动,并强制对手触发可在需要时进行专门监视和拒绝的作。 如果不进行实时访问,泄露的管理员帐户将授予无限期的控制,让攻击者禁用安全控制、擦除日志和维护隐身,从而放大入侵的影响。

使用Microsoft Entra Privileged Identity Management (PIM)提供对特权角色分配的实时访问。 使用 Microsoft Entra ID Governance 中的访问评审定期评审特权访问权限,以确保持续需要。

修正操作

强制实施安全密钥证明

如果未强制实施安全密钥证明,威胁参与者可以利用弱身份验证硬件或遭到入侵的身份验证硬件在组织环境中建立持久性状态。 如果没有证明验证,恶意参与者可以注册未经授权的或伪造的 FIDO2 安全密钥,以绕过硬件支持的安全控制,使他们能够使用模拟合法安全密钥的伪造验证器执行凭据填充攻击。 此初始访问允许威胁参与者使用硬件身份验证方法的受信任性质提升特权,然后在高特权帐户上注册更多受攻击的安全密钥,在环境中横向移动。 缺乏证明强制措施为威胁参与者提供了一条通过基于硬件的持久身份验证方法建立命令和控制的途径,最终导致数据外泄或系统泄露,同时在整个攻击链中保持合法硬件保护的身份验证的外观。

需要管理员角色的密码重置通知

在 Microsoft Entra ID 中为管理员角色配置密码重置通知可增强安全性,方法是在其他管理员重置其密码时通知特权管理员。 此可见性有助于检测可能指示凭据泄露或内部威胁的未经授权的活动或可疑活动。 如果没有这些通知,恶意参与者可能会利用提升的权限来建立持久性、提升访问权限或提取敏感数据。 主动通知支持快速作、保持特权访问完整性,并增强整体安全态势。

修正操作

阻止传统身份验证

旧式身份验证协议(如 SMTP 和 IMAP 的基本身份验证)不支持多重身份验证(MFA)等新式安全功能,这对于防止未经授权的访问至关重要。 这种缺乏保护使使用这些协议的帐户容易受到基于密码的攻击,并为攻击者提供使用被盗凭据或猜测凭据获得初始访问权限的方法。

当攻击者成功获得对凭据的未经授权的访问时,他们可以使用它们来访问链接服务,使用弱身份验证方法作为入口点。 通过旧式身份验证获取访问权限的攻击者可能会更改 Microsoft Exchange,例如配置邮件转发规则或更改其他设置,从而允许他们保持对敏感通信的持续访问。

旧式身份验证还为攻击者提供了一种一致的方法来重新输入使用泄露凭据的系统,而无需触发安全警报或要求重新进行身份验证。

从那里,攻击者可以使用旧协议访问通过泄露的帐户访问的其他系统,从而促进横向移动。 使用旧协议的攻击者可以与合法的用户活动混合在一起,从而使安全团队难以区分正常使用和恶意行为。

修正操作

启用了临时访问通行证

如果没有启用临时访问通道(TAP),组织在安全引导用户凭据方面面临重大挑战,从而导致用户在初始设置期间依赖较弱的身份验证机制,增加了安全漏洞的风险。 当用户由于缺乏现有的强身份验证方法而无法注册具有钓鱼防护性的凭据(如 FIDO2 安全密钥或 Windows Hello 企业版)时,它们仍然受到基于凭据的攻击,包括网络钓鱼、密码喷射或类似攻击。 威胁参与者可以通过在用户最易受攻击的状态(具有有限的身份验证选项可用且必须依赖于传统的用户名 + 密码组合)来利用此注册差距。 这种泄露使威胁参与者能够在关键引导阶段入侵用户帐户,从而截获或操纵更强大的身份验证方法的注册过程,在完全建立安全控制前,最终获得对组织资源的持续访问,并可能进行权限提升。

启用 TAP 并将其与安全信息注册配合使用,以确保防御中可能存在的差距。

修正操作

将临时访问通行证限制为单次使用

当临时访问通道 (TAP) 配置为允许多次使用时,威胁行为者入侵凭据后,可以在其有效期内重复使用,从而在有效期内扩展未经授权的访问窗口,超出预期的单次初始化事件。 这种情况为威胁参与者在凭据生存期内在泄露的帐户下注册其他强身份验证方法来建立持久性提供了延长的机会。 一个可重用的 TAP 落入不当之人手里后,使得威胁参与者能够跨多个会话执行侦察活动,逐步映射环境并识别高价值目标,同时保持看似合法的访问模式。 被入侵的 TAP 还可以充当可靠的后门机制,从而允许威胁参与者保持访问权限,即使检测到并撤销了其他泄露的凭据,因为 TAP 在安全日志中显示为合法的管理工具。

修正操作

从旧 MFA 和 SSPR 策略迁移

如果没有启用临时访问通道(TAP),组织在安全引导用户凭据方面面临重大挑战,从而导致用户在初始设置期间依赖较弱的身份验证机制,增加了安全漏洞的风险。 当用户由于缺乏现有的强身份验证方法而无法注册具有钓鱼防护性的凭据(如 FIDO2 安全密钥或 Windows Hello 企业版)时,它们仍然受到基于凭据的攻击,包括网络钓鱼、密码喷射或类似攻击。 威胁参与者可以通过在用户最易受攻击的状态(具有有限的身份验证选项可用且必须依赖于传统的用户名 + 密码组合)来利用此注册差距。 这种泄露使威胁参与者能够在关键引导阶段入侵用户帐户,从而截获或操纵更强大的身份验证方法的注册过程,在完全建立安全控制前,最终获得对组织资源的持续访问,并可能进行权限提升。

启用 TAP 并将其与安全信息注册配合使用,以确保防御中可能存在的差距。

修正操作

阻止管理员使用 SSPR

管理员自助服务密码重置(SSPR)允许在没有强辅助身份验证因素或管理监督的情况下进行密码更改。 破坏管理凭据的威胁参与者可以使用此功能绕过其他安全控制,并维护对环境的持续访问。

入侵后,攻击者可以立即重置密码以锁定合法管理员。 然后,他们可以建立持久性、提升特权并部署未检测到的恶意有效负载。

修正操作

自助密码重置功能不使用安全问题

允许作为自助服务密码重置(SSPR)方法的安全问题会削弱密码重置过程,因为答案通常是可以猜测的、在站点之间重复使用或通过开源智能(OSINT)发现的。 威胁行为者对用户进行枚举或网络钓鱼,推测可能的回应(家庭名称、学校和位置),然后通过利用较弱的基于知识的关卡来触发密码重置流程,以绕过更强的安全方法。 成功重置不受多重身份验证保护的帐户的密码后,他们可以:获取有效的主凭据、建立会话令牌,并通过横向扩展(如注册更持久的身份验证方法、添加转发规则或外泄敏感数据)来增加权限。

消除此方法会删除密码重置过程中的弱链接。 某些组织可能具有启用安全问题的特定业务原因,但不建议这样做。

修正操作

禁用短信和语音呼叫身份验证方法

在Microsoft Entra ID 中保持启用短信和语音呼叫等弱身份验证方法时,威胁参与者可以通过多个攻击途径利用这些漏洞。 最初,攻击者通常通过社会工程或技术扫描使用这些较弱的身份验证方法来识别组织。 然后,他们可以通过凭据填充攻击、密码喷洒或面向用户凭据的网络钓鱼活动来执行初始访问。

基本凭据泄露后,威胁参与者在短信和基于语音的身份验证中使用这些弱点。 短信可以通过 SIM 交换攻击、SS7 网络漏洞或移动设备上的恶意软件截获,而语音呼叫容易受到语音钓鱼(vishing)和呼叫转接作的影响。 绕过这些薄弱的第二个因素后,攻击者通过注册自己的身份验证方法来实现持久性。 入侵的帐户可用于通过内部网络钓鱼或社交工程面向更高特权的用户,从而允许攻击者提升组织内的特权。 最后,威胁参与者通过数据外泄、横向移动到关键系统或部署其他恶意工具来实现其目标,同时使用安全日志中正常出现的合法身份验证路径来保持隐身性。

修正操作

保护 MFA 注册(我的安全信息)页

如果没有保护安全信息注册的条件访问策略,威胁参与者可以利用未受保护的注册流来破坏身份验证方法。 当用户注册多重身份验证和自助密码重置方法时,没有适当的控制,威胁参与者可以通过中间攻击者攻击拦截这些注册会话,或者利用从不受信任的位置访问注册的非托管设备。 一旦威胁参与者获得对不受保护的注册流的访问权限,他们就可以注册自己的身份验证方法,从而有效地劫持了目标的身份验证配置文件。 威胁参与者可以绕过安全控制,并可能在整个环境中提升特权,因为它们可以通过控制 MFA 方法来维护持久访问。 然后,入侵的身份验证方法将成为横向移动的基础,因为威胁参与者可以在多个服务和应用程序中作为合法用户进行身份验证。

修正操作

使用云身份验证

本地联合服务器通过充当云应用程序的中心身份验证点来引入关键攻击面。 威胁参与者通常通过网络钓鱼、凭据填充或利用弱密码等攻击来损害特权用户(例如技术支持代表或运营工程师)的立足点。 它们也可能针对基础结构中未修补的漏洞、使用远程代码执行攻击、攻击 Kerberos 协议或使用传递哈希攻击来提升特权。 配置错误的远程访问工具(如远程桌面协议(RDP)、虚拟专用网络(VPN)或跳转服务器提供其他入口点,而供应链泄露或恶意内部人员会进一步增加风险。 进入后,威胁参与者可以作身份验证流、伪造安全令牌来模拟任何用户,并透视到云环境。 建立持久性后,可以禁用安全日志、逃避检测和外泄敏感数据。

用户配置了强身份验证方法

如果未普遍实施多重身份验证(MFA),或者存在异常,攻击者可能会获得访问权限。 攻击者可以通过利用较弱的 MFA 方法(如短信和电话呼叫)的漏洞,通过社会工程技术获得访问权限。 这些技术可能包括 SIM 交换或钓鱼,以截获身份验证代码。

攻击者可能会将这些帐户用作租户中的入口点。 通过使用截获的用户会话,攻击者可以将其活动伪装成合法的用户作、逃避检测并继续攻击,而不会引起怀疑。 从那里,他们可能会尝试作 MFA 设置,以根据被入侵帐户的权限建立持久性、计划和执行进一步的攻击。

修正操作

用户登录活动使用令牌保护

威胁参与者可以截获或提取来自内存、合法设备上的本地存储或检查网络流量的身份验证令牌。 攻击者可能会重播这些令牌,以绕过用户和设备上的身份验证控制,获取对敏感数据的未经授权的访问,或运行进一步的攻击。 由于这些令牌有效且有时间限制,因此传统异常情况检测通常无法标记活动,这可能允许持续访问,直到令牌过期或吊销。

令牌保护(也称为令牌绑定)通过确保令牌仅可从预期设备使用,帮助防止令牌被盗。 令牌保护使用加密,以便没有客户端设备密钥,任何人都无法使用令牌。

修正操作

限制设备代码流

设备代码流是专为输入约束设备设计的跨设备身份验证流。 可以在网络钓鱼攻击中利用它,攻击者启动流,并欺骗用户在其设备上完成流,从而将用户的令牌发送到攻击者。 鉴于设备代码流的安全风险和不经常合法使用,应启用条件访问策略,以默认阻止此流。

修正操作

身份验证传输被阻止

阻止Microsoft Entra ID 中的身份验证传输是一个关键的安全控制。 它通过防止使用设备令牌在其他设备或浏览器上以无提示方式进行身份验证,帮助防止令牌被盗和重播攻击。 启用身份验证传输后,有权访问一台设备的威胁参与者可以访问对未批准的设备的资源,绕过标准身份验证和设备符合性检查。 当管理员阻止此流时,组织可以确保每个身份验证请求必须源自原始设备,从而保持设备符合性和用户会话上下文的完整性。

修正操作

Microsoft Authenticator 应用显示登录上下文

如果没有登录上下文,威胁参与者可以通过向用户充斥推送通知来利用身份验证疲劳,从而增加用户意外批准恶意请求的可能性。 当用户在没有应用程序名称或地理位置的情况下获得通用推送通知时,他们没有做出明智的审批决策所需的信息。 这种缺乏上下文使用户容易受到社会工程攻击,尤其是在威胁参与者在合法用户活动期间请求时。 当威胁参与者通过凭据收获或密码喷洒攻击获得初始访问权限时,此漏洞尤其危险,然后通过批准来自意外应用程序或位置的多重身份验证(MFA)请求来建立持久性。 如果没有上下文信息,用户无法检测到异常的登录尝试,从而允许威胁参与者在绕过初始身份验证屏障后通过系统横向移动来维护访问和提升特权。 如果没有应用程序和位置上下文,安全团队也会丢失宝贵的遥测数据,以检测可疑的身份验证模式,这些模式可以指示正在进行的泄露或侦察活动。

修正作 为用户提供做出明智的审批决策所需的上下文。 通过设置身份验证方法策略以包括应用程序名称和地理位置来配置Microsoft Authenticator 通知。

密码过期已禁用

当密码过期策略保持启用状态时,威胁参与者可以利用用户通常遵循的可预测密码轮换模式(强制定期更改密码)。 用户经常通过对现有密码进行最小修改(例如递增数字或添加顺序字符)来创建较弱的密码。 威胁参与者可以通过凭据填充攻击或有针对性的密码喷洒活动轻松预测和利用这些类型的更改。 这些可预测的模式使威胁参与者能够通过以下方法建立持久性:

  • 凭据泄露
  • 通过针对具有弱轮换密码的管理帐户提升的权限
  • 通过预测将来的密码变体来维护长期访问

研究表明,用户被迫过期时会创建更弱、更可预测的密码。 这些可预测的密码更易于经验丰富的攻击者破解,因为它们通常对现有密码进行简单的修改,而不是创建全新的强密码。 此外,当用户需要频繁更改密码时,他们可能会采取不安全的做法,例如写下密码或将其存储在易于访问的位置,从而为威胁参与者在物理侦察或社会工程活动期间利用的更多攻击途径。

修正操作

智能锁定阈值设置为 10 或更少

当智能锁定阈值设置为 10 多个时,威胁参与者可以利用配置执行侦查,在不触发锁定保护的情况下识别有效的用户帐户,并在不检测的情况下建立初始访问。 攻击者获得初始访问权限后,可以使用被入侵的帐户访问资源并提升权限,在环境中横向移动。

智能锁定有助于锁定尝试猜测用户密码或使用暴力破解方法进入的不良参与者。 智能锁定可识别来自有效用户的登录,并将它们视为不同于攻击者和其他未知来源的登录。 超过 10 的阈值提供了针对自动密码喷洒攻击的不足防护,使得威胁参与者在逃避检测机制时更容易入侵帐户。

修正操作

智能锁定机制的持续时间设置为最低 60秒

在默认 60 秒以下配置智能锁定持续时间时,威胁参与者可以利用缩短的锁定期,更有效地执行密码喷射和凭据填充攻击。 锁定窗口减少后,攻击者可以更快速地恢复身份验证尝试,从而增加其成功概率,同时可能逃避依赖于较长观察期的检测系统。

修正操作

将组织术语添加到禁止的密码列表中

未填充和维护自定义禁止密码列表的组织会使自己暴露于系统化的攻击链中,其中威胁行为者利用组织中可预测的密码模式进行攻击。 这些威胁参与者通常从侦察阶段开始,从网站、社交媒体和公共记录收集开源情报(OSINT),以识别可能的密码组件。 通过掌握这些知识,他们发起密码喷洒攻击,以在多个用户帐户中测试组织特定的密码变体,并保持在锁定阈值内,从而避免被检测到。 如果没有提供自定义禁止密码列表的保护,员工通常会将熟悉的组织条款添加到其密码中,例如位置、产品名称和行业术语,从而创建一致的攻击途径。

自定义禁止密码列表可帮助组织填补这一关键差距,以防止容易猜到的密码,这些密码可能导致初始访问和环境中的后续横向移动。

修正操作

要求使用用户作对设备加入和设备注册进行多重身份验证

威胁参与者可以在新设备注册期间利用缺乏多重身份验证。 经过身份验证后,他们可以注册恶意设备、建立持久性并规避绑定到受信任终结点的安全控制。 此立足点使攻击者能够外泄敏感数据、部署恶意应用程序或横向移动,具体取决于攻击者使用的帐户的权限。 如果没有执行 MFA,攻击者可能会不断升级风险,因此可以持续重新进行身份验证、逃避检测和执行目标。

修正操作

本地管理员密码解决方案已部署

如果未部署本地管理员密码解决方案(LAPS),威胁参与者会利用静态本地管理员密码建立初始访问权限。 威胁参与者使用共享本地管理员凭据入侵单个设备后,可以在环境中横向移动,并向共享相同密码的其他系统进行身份验证。 受入侵的本地管理员访问权限提供威胁执行组件系统级特权,让他们禁用安全控制,安装持久后门,泄露敏感数据,并建立命令和控制通道。

自动密码轮换和集中管理 LAPS 可缩小此安全差距,并添加控制,以帮助管理谁有权访问这些关键帐户。 如果没有 LAPS 等解决方案,则无法检测或响应未经授权的使用本地管理员帐户,从而给威胁参与者延长停留时间以实现其目标,同时保持未检测到状态。

修正操作

Entra Connect Sync 配置了服务主体凭据

Microsoft Entra Connect Sync 使用用户帐户而非服务主体,会创建安全漏洞。 使用密码的旧用户帐户身份验证比使用证书的服务主体身份验证更容易遭受凭据盗窃和密码攻击。 泄露的连接器帐户允许威胁参与者作标识同步、创建后门帐户、升级特权或中断混合标识基础结构。

修正操作

租户中未使用 ADAL

Microsoft于 2023 年 6 月 30 日终止了 ADAL 的支持和安全修补程序。 继续使用 ADAL 会绕过仅在 MSAL 中提供的新型安全保护措施,包括条件访问实现、持续访问评估(CAE)以及高级令牌保护。 ADAL 应用程序使用较弱的旧式身份验证模式创建安全漏洞,通常调用已弃用的 Azure AD Graph 终结点,并阻止采用强化的身份验证流,从而缓解将来的安全公告。

修正操作

阻止旧版 Azure AD PowerShell 模块

威胁执行组件经常以旧式管理接口(例如 Azure AD PowerShell 模块(AzureAD 和 AzureADPreview)为目标,该模块不支持新式身份验证、条件访问强制或高级审核日志记录。 继续使用这些模块会使环境面临风险,包括弱身份验证、绕过安全控制,以及管理作的不完全可见性。 攻击者可以利用这些弱点来获取未经授权的访问、提升特权和执行恶意更改。

阻止 Azure AD PowerShell 模块并强制使用 Microsoft Graph PowerShell 或 Microsoft Entra PowerShell,以确保只有安全、受支持和可审核的管理通道可用,从而缩小攻击链中的严重差距。

修正操作

启用Microsoft Entra ID 安全性默认值

在 Microsoft Entra 中启用安全默认值对于具有 Microsoft Entra Free 许可证的组织至关重要,以防止与标识相关的攻击。 这些攻击可能导致未经授权的访问、财务损失和声誉损失。 安全默认设置要求所有用户注册多重身份验证(MFA),确保管理员使用 MFA 并阻止旧式身份验证协议。 这大大减少了成功攻击的风险,因为超过 99% 常见的标识相关攻击通过使用 MFA 来阻止旧式身份验证。 安全默认值提供基线保护,无需额外付费,使所有组织都可以访问它们。

修正操作

  • Last updated on