Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Эта статья является продолжением темы понимания токенов в Microsoft Entra ID. В этой статье предполагается, что вы прочитали статью "Понятие токенов в Microsoft Entra ID", и предоставляет конкретные шаги, которые вы можете предпринять, чтобы снизить риск успешной кражи и повторного использования токенов в вашей среде.
Рекомендации этой статьи охватывают несколько технологических решений Майкрософт, которые имеют ряд требований к лицензированию. Убедитесь, что у вас есть надлежащее лицензирование для:
- Условный доступ
- Microsoft Entra Internet Access для служб Microsoft
- Защита идентификаторов Microsoft Entra
- Защита маркеров
- Microsoft Intune (минимальный план 1)
- Microsoft Defender для конечной точки XDR
Многоуровневая стратегия защиты от кражи токенов
Существует несколько возможностей, которые вы можете включить, чтобы уменьшить область атаки и снизить риск успешной компрометации токена. В следующих разделах мы рассмотрим множество возможностей безопасности Майкрософт, которые входят в одну из трех категорий:
- Свести к минимуму риск: укрепить или уменьшить поверхность атаки, что затрудняет кражу токена.
- Обнаружение и устранение: выявление успешной кражи токена и настройка автоматического устранения, если возможно.
- Защита от воспроизведения: блокировка воспроизведения или уменьшение последствий успешной кражи токена.
Ниже приведена сводка высокого уровня, включающая ключевые области, на которых организации должны сосредоточиться в рамках стратегии защиты от кражи токенов.
Кража токенов — минимизация рисков
Предотвращение инцидента кражи токенов является наиболее эффективным способом защиты вашей организации. Организации должны усилить защиту устройств от методов похищения токенов на базе устройства с помощью Microsoft Defender для Endpoint и Microsoft Intune. Организации также должны развертывать элементы управления, чтобы запретить пользователям получать доступ к вредоносным или рискованным назначениям в Интернете.
Защита устройств
Выполните следующие конфигурации и развертывания, чтобы обеспечить защиту всех устройств и конечных точек в качестве передней линии защиты от кражи маркеров на основе вредоносных программ. Прежде чем приступить к работе, убедитесь, что устройства зарегистрированы в Intune и развернуты Microsoft Defender для конечной точки .
| Контроль | Windows 10/11 | macOS | Линукс |
|---|---|---|---|
| Включите защиту антивирусной программы Microsoft Defender для защиты в режиме реального времени, мониторинга поведения и эвристики для выявления вредоносных программ на основе известных подозрительных и вредоносных действий. | X | X | X |
| Включите антивирусную защиту Microsoft Defender для защиты от вредоносных программ в конечных точках и в сети. | X | X | X |
| Включите защиту сети в Microsoft Defender для конечной точки для защиты устройств от определенных событий на основе Интернета, предотвращая подключения к вредоносным или подозрительным сайтам. | X | X | X |
| Включите защиту от изменения в Microsoft Defender для конечной точки для защиты определенных параметров безопасности, таких как вирус и защита от угроз, от отключения или изменения. | X | X | - |
| Создайте политику соответствия устройств в Intune , требующую обозначения уровня риска компьютера Microsoft Defender для конечной точки как низкое или четкое для соответствия требованиям. | X | X | - |
Даже при использовании политик защиты устройств организации должны создать политику условного доступа , которая требует от пользователей использовать соответствующее устройство для доступа ко всем ресурсам. Это гарантирует, что ваши устройства успешно развернули конфигурации защиты устройств и что пользователи не могут получать доступ к приложениям и ресурсам из неуправляемых или небезопасных устройств.
Другие конфигурации для Windows
- Настройте Credential Guard для изоляции локального центра безопасности, защиты от кражи учетных данных из памяти.
- Просмотрите отчет о подтверждении регистрации Windows. Проверьте, соответствуют ли устройства Windows требованиям TPM. Примите корректирующие меры на любом устройстве, которое не прошло аттестацию TPM.
Другие конфигурации для macOS
- Отключите синхронизацию iCloud Keychain с Microsoft Intune, чтобы предотвратить синхронизацию токенов Entra, которые могут храниться в Keychain.
- Включите подключаемый модуль единого входа Microsoft Enterprise для устройств Apple, чтобы корпоративные приложения могли использовать первичный маркер обновления (PRT) для проверки подлинности.
- Настройте единый вход платформы для устройств macOS (защищённая среда), чтобы обеспечить безопасную, устойчивую к фишингу аутентификацию на устройствах Mac с помощью аппаратно привязанных криптографических ключей.
Защита мобильных устройств
Мобильные устройства, такие как iOS и Android, можно ужесточить с помощью защиты от угроз мобильных устройств. Защита от угроз мобильных устройств включает в себя ряд возможностей, которые могут защитить от скомпрометированных устройств и веб-угроз, блокируя установку вредоносных программ на начальном этапе, предотвращая тем самым кражу маркеров (и другие угрозы) в начале цепочки атак.
Прерывание атак XDR с помощью Microsoft Defender
Злоумышленник-по-середине (AiTM) — это сценарий, охваченный функцией пресечения атак в Microsoft Defender XDR, который обеспечивает координированную защиту от угроз на ранних этапах цепочки атаки. Разверните все рабочие нагрузки Defender XDR (Defender для удостоверений, Defender для Office и Defender для облачных приложений) и убедитесь, что в Microsoft Defender XDR настроено прерывание атаки, следуя всем описанным предварительным требованиям и конфигурациям. Обнаружение и срыв атак выявляют атаки AiTM на ранней стадии и препятствуют атаке, автоматически применяя средства безопасности к конечным точкам и учетным записям.
Защита от интернет-угроз
Организации, использующие Microsoft Edge, должны включить SmartScreen в Microsoft Defender. Фильтр SmartScreen в Microsoft Defender предоставляет систему раннего предупреждения о веб-сайтах, которые могут участвовать в фишинге или попытках распространения вредоносных программ с помощью целенаправленных атак.
Microsoft Entra Internet Access обеспечивает большую защиту всего Интернета. Организации могут развертывать клиенты Глобального безопасного доступа (GSA) на управляемых устройствах, чтобы заблокировать вредоносное и (или) несанкционированное веб-содержимое с помощью фильтрации веб-содержимого. Это снижает вероятность перехода пользователей на вредоносные веб-сайты, которые могут привести к установке вредоносных программ или иначе компрометации устройства. Администраторы должны, по крайней мере, блокировать недопустимую категорию программного обеспечения , но также следует проверить и рассмотреть возможность блокировки всех веб-категорий ответственности.
Ограничение использования потока кода устройства
Поток кода устройства особенно полезен для устройств, имеющих ограниченные возможности ввода или не имеющих веб-браузера. Однако поток кода устройства можно использовать в рамках фишинговой атаки или доступа к корпоративным ресурсам на неуправляемых устройствах. Вы можете настроить управление потоком кода устройства вместе с другими элементами управления в политиках условного доступа. Например, если поток кода устройства используется для устройств конференц-зала, работающих на Android, можно заблокировать поток кода устройства везде, за исключением устройств на Android в определённой сети.
Разрешать поток кода устройства нужно только там, где это необходимо. Корпорация Майкрософт рекомендует блокировать поток кода устройства везде, где это возможно.
Дополнительные сведения о потоках проверки подлинности условного доступа.
Кража маркеров — обнаружение и устранение рисков
Организации должны активно отслеживать успешные или попытки кражи токенов. Существует множество оповещений, создаваемых различными продуктами Майкрософт, которые могут указывать на потенциальные кражи маркеров или компрометации учетных записей. Ниже приведены общие сведения об этих обнаружениях. Подробное руководство по мониторингу, обнаружению и реагированию на кражу маркеров с помощью SIEM см. в сборнике схем кражи маркеров.
Политики условного доступа
Организации должны настроить следующие политики условного доступа:
- Требовать интерактивную повторную проверку подлинности для конфиденциальных операций (контекст проверки подлинности)
- Требовать интерактивную проверку подлинности для рискованных входов
- Обнаружение и исправление пользователей с высоким риском
Эти политики условного доступа обеспечивают более автоматизированное исправление кражи маркеров и (или) устранение других векторов угроз, которые могут использоваться в атаках на основе маркеров.
Требовать интерактивную повторную проверку подлинности для конфиденциальных операций
Организации могут настроить определенные действия с контекстами проверки подлинности, чтобы активировать оценку политик условного доступа за пределами обычных потоков проверки подлинности. Например, политика условного доступа может быть настроена для оценки, когда администратор активирует роль в службе управления привилегированными пользователями (PIM) или когда пользователь выполняет определенное действие в приложении. Администраторы должны настроить политику условного доступа, требующую интерактивной фишинго-устойчивой проверки подлинности (частоту входа, установленную каждый раз) для действий контекста проверки подлинности, которые считаются конфиденциальными. Если злоумышленнику не удается повторно пройти проверку подлинности, доступ запрещен, предотвращая использование украденного сеанса входа для выполнения конфиденциальной операции.
Узнайте, как настроить контекст проверки подлинности в условном доступе.
Узнайте, как использовать контекст проверки подлинности в приложениях (руководство разработчика).
Требовать интерактивную проверку подлинности для рискованных входов
Благодаря защите удостоверений Entra ID, усиленной за счет дополнительных обнаружений из Microsoft Defender для Endpoint, Entra ID может в реальном времени обнаруживать подозрительные попытки входа. Например, если злоумышленник украдет и попытается повторно использовать маркер обновления, защита идентификаций Entra ID может выявить, что вход обладает незнакомыми свойствами, и повысить уровень риска входа для этого события. Администраторы должны настроить политику условного доступа, требующую интерактивной фишинговой проверки подлинности (частоту входа, установленную каждый раз) для среднего или более высокого уровня риска входа. Если злоумышленнику не удается повторно пройти проверку подлинности, доступ запрещен, предотвращая использование украденного сеанса входа для получения или расширения несанкционированного доступа.
Узнайте, как настроить политики условного доступа Risk-Based.
Обнаружение и исправление пользователей с высоким риском
Благодаря Защите идентификации Entra ID, улучшенной благодаря дополнительным обнаружениям от Microsoft Defender для конечных точек, Entra ID создает оценку риска пользователя для каждой учетной записи, указывая степень уверенности в том, была ли скомпрометирована учетная запись. Если Entra ID или Microsoft Defender для конечной точки обнаруживают признаки успешной кражи маркеров, скорее всего, оценка риска пользователя будет иметь высокий. Когда это происходит, вы можете автоматически блокировать или исправлять учетную запись (например, безопасное изменение пароля), предотвращая дальнейшее использование злоумышленником любого несанкционированного доступа, возможно, достигнутого.
Приложения, поддерживающие оценку непрерывного доступа, автоматически отменяют доступ практически в реальном времени при обнаружении высокого риска пользователей, выдавая перенаправление обратно в идентификатор Entra для повторной проверки подлинности и повторной проверки подлинности.
Узнайте, как настроить политики условного доступа Risk-Based.
Microsoft Defender XDR
Развертывание рабочих нагрузок Defender XDR для оповещения о подозрительных или аномальных действиях, связанных с кражей токенов.
- Использование Defender для Office 365 для обнаружения и блокировки вредоносных сообщений электронной почты, ссылок и файлов
- Используйте соединители Microsoft Defender для облачных приложений, Microsoft 365 Defender создает оповещения, связанные с AiTM, в нескольких сценариях. Для клиентов Entra ID, использующих Microsoft Edge, попытки злоумышленников воспроизвести cookie-файлы сеансов для доступа к облачным приложениям обнаруживаются с помощью коннекторов Defender для облачных приложений для Office 365 и Azure.
XDR-система Microsoft Defender может создавать следующие оповещения при использовании соединителей для Defender for Cloud Apps и Defender для Endpoint:
- Использован украденный файл cookie сессии
- Возможная попытка фишинга AiTM
Другие обнаружения
Обнаружение рисков защиты Entra ID
- Аномальный токен
- Злоумышленник в середине
- Необычные свойства входа
Обнаружения Microsoft Defender для Office 365
- Сообщения электронной почты, содержащие вредоносный файл, удалены после доставки
- Сообщения электронной почты из кампании удалены после доставки
- Обнаружен переход по потенциально вредоносному URL-адресу
- Пользователь щелкнул потенциально вредоносный URL-адрес
Обнаружение аномалий в Microsoft Defender для облачных приложений
- Невозможная туристическая активность
- Действия из нетипичных стран.
Мероприятия по предотвращению компрометации деловой электронной почты в Microsoft Defender XDR
- Компрометация бизнес-почты (BEC) связана с атакой на сбор учетных данных
- Подозрительные фишинговые сообщения, отправленные пользователем, связанным с BEC
Кража токенов — защита от повторного воспроизведения
Если злоумышленник успешно украдет токен, организации могут задействовать определенные функции, чтобы автоматически уменьшить вероятность повторной атаки с использованием украденного токена, позволяя предотвратить атаку. К этим возможностям относятся:
- Принудительное использование защиты токенов в условном доступе для безопасных сеансов входа
- Принудительное применение доступа разрешено только через безопасные сети
Принудительное применение защиты токенов
Основной маркер обновления Entra
Для устройств, сопряженных с Entra или зарегистрированных в Entra, идентификатор Entra создает многоцелевой токен обновления, используемый для единого входа в приложение, также известный как первичный токен обновления (PRT).
Первичные маркеры обновления (PRT) защищены криптографически безопасной привязкой между PRT и устройством (секретом клиента), которому PRT выдан. На устройствах Windows секрет клиента безопасно хранится на оборудовании для конкретной платформы, таком как доверенные модули платформы (TPM). Сегодня устройства, отличные от Windows, хранят секрет в программном обеспечении.
Защита токенов в условном доступе
Принудительное обеспечение защиты маркеров в управляемом доступе гарантирует, что используются исключительно маркеры обновления, криптографически привязанные к устройству. Маркеры обновления носителя, которые можно использовать с любого устройства, автоматически отклоняются. Этот метод обеспечивает высокий уровень безопасности для защиты сеансов входа, так как маркер можно использовать только с устройства, на которое оно было выдано. На момент публикации этого поста Защита токенов в условном доступе доступна для приложений Windows, подключающихся к Microsoft Teams, SharePoint и Exchange. Мы постоянно работаем над расширением области защиты токенов, добавляя поддержку дополнительных платформ, приложений и ресурсов. Обновленный список поддерживаемых приложений и ресурсов см. в этой статье. Защита токенов в условном доступе Microsoft Entra — Microsoft Entra ID | Microsoft Learn.
Организациям рекомендуется тестировать и развертывать защиту маркеров для всех поддерживаемых приложений, устройств и платформ. Приложения, которые не поддерживают защиту маркеров, должны быть защищены с помощью других политик, таких как сетевые политики.
Ознакомьтесь со следующей статьей, чтобы узнать больше и получить руководство по развертыванию: Узнайте, как настроить защиту маркеров.
Замечание
Защита токенов в условном доступе требует использования PRT. Такие сценарии, как использование незарегистрированных устройств, недоступны, так как эти устройства не имеют PRT.
Замечание
Защита токенов Entra применяется только к пользователю, вошедшему в систему на устройстве. Например, если вы разблокируете устройство Windows с помощью стандартной учетной записи, но затем обращаетесь к ресурсу, проверяясь под другой учетной записью, последнее удостоверение не может быть защищено Entra Token Protection, так как у него нет допустимого PRT.
Реализация сетевых политик
Хотя защита токенов Entra является наиболее безопасным методом защиты маркеров сеанса входа, её область применения ограничена и распространяется только на пользователя, который вошёл в систему на устройстве. Чтобы уменьшить область атаки, организации могут реализовать политики принудительного применения на основе сети, которые могут охватывать более широкий спектр приложений, часто охватывая все корпоративные приложения. Политики на основе сети также могут охватывать дополнительные удостоверения помимо пользователя, вошедшего в систему на устройстве.
Политики на основе сети препятствуют воспроизведению артефактов сеанса входа (например, токенов обновления) за пределами назначенных сетей, эффективно предотвращая кражу токенов и атаки воспроизведения, которые выводят сеансы входа вне границ вашей организации. Хотя внутренние векторы угроз по-прежнему могут представлять риск из-за их доступа к той же сети, заставляя субъектов угроз работать в пределах вашей организации значительно увеличивает вероятность обнаружения и устранения угроз с помощью других элементов управления безопасностью.
Кроме того, в некоторых сценариях, например, в приложениях, поддерживающих непрерывную оценку доступа, эти меры также могут быть эффективным способом предотвращения кражи токенов и повторного использования токенов сеанса приложения, таких как токены доступа.
Защита сеансов входа с помощью глобального безопасного доступа
Организации должны развернуть глобальный безопасный доступ, чтобы установить безопасное сетевое подключение между клиентскими устройствами и ресурсами, также известной как соответствующая сеть. Затем администраторы могут создать политику условного доступа, которая предписывает использовать соответствующую сеть для доступа к любому корпоративному приложению, интегрированному с идентификатором Entra. Эта мера предотвращает воспроизведение артефактов сеанса входа с устройств, не управляемых организацией.
Защита сеансов входа с помощью традиционных сетевых элементов управления
В качестве альтернативы проверке сети на соответствие требованиям организации могут использовать традиционные сетевые решения, такие как VPN, для защиты сеансов входа. Затем администраторы могут создать политику условного доступа на основе расположения, которая ограничивает проверку подлинности на определенные IP-адреса для исходящего трафика. Однако организации должны учитывать последствия и затраты на производительность, связанные с маршрутизацией трафика через корпоративную сеть. Поэтому корпорация Майкрософт рекомендует использовать Global Secure Access — полностью безопасное, глобально распределенное решение класса Security Service Edge.
Узнайте, как настроить политики условного доступа на основе расположения с идентификатором Entra.
Защита сеансов приложений с помощью сетевых мер принуждения
Создавая политики условного доступа на основе расположения, ограничивающие доступ к определенным IP-адресам исходящего трафика, организации также могут защитить некоторые сеансы приложений. Подмножество приложений Майкрософт, таких как SharePoint Online и Exchange Online, использует протокол непрерывной оценки доступа (CAE). Приложения, поддерживающие CAE, оценивают сетевые принудительные меры и отменяют артефакты сеансов приложений, воспроизводимые вне доверенной сети почти в реальном времени. Организации могут улучшить применение сетевых политик на основе IP-адресов, настроив строгие политики расположения с ЦС, чтобы обеспечить доступность трафика для приложений, поддерживающих ЦС, только из доверенных сетей.
Для приложений, не поддерживающих ЦС, организации могут защищать сеансы приложений с помощью элементов управления, доступных на стороне приложения. Например, некоторые приложения поддерживают принудительное обеспечение политики на основе IP на уровне приложений, кроме тех, которые применяются удостоверяющим центром (IdP). Затем приложение отклоняет использование артефакта сеанса приложения, используемого за пределами доверенной сети. Туннелирование трафика для конкретного приложения через корпоративные сети можно достичь с помощью привязки IP-адресов источника с помощью глобального безопасного доступа, а также других традиционных сетевых решений, таких как виртуальные сети.
Узнайте о привязке исходного IP-адреса с помощью глобального безопасного доступа.
Сводка стратегии защиты токенов
В общем, защита токенов в Microsoft Entra включает в себя многоуровневую стратегию для защиты от кражи токенов и атак воспроизведения. Сюда входят защита устройств от вредоносных программ, использование условного доступа на основе устройств и условного доступа, основанного на рисках, применение токенов, привязанных к устройству, и реализация сетевых механизмов принудительного применения. Кроме того, организации должны развертывать устойчивую к фишингу многофакторную аутентификацию, отслеживать подозрительные попытки входа и настраивать политики условного доступа, чтобы требовать повторную проверку подлинности для конфиденциальных операций. Следуя этим рекомендациям, организации могут значительно снизить риск несанкционированного доступа и обеспечить безопасность сеансов входа и сеансов приложений.