通过

配置 Microsoft Entra 以提高安全性(预览版)

在 Microsoft Entra 中,我们将安全建议分组到几个主要领域。 此结构允许组织以逻辑方式将项目分解成相关的易耗品区块。

提示

一些组织可能会按照书面说明采取这些建议,而另一些组织可能选择根据自己的业务需求进行修改。 在本指南的初始版本中,我们将重点介绍传统的 劳动力租户。 这些员工租户适用于员工、内部业务应用和其他组织资源。

建议在可用许可证的情况下实现以下所有控制措施。 这有助于为基于此解决方案构建的其他资源提供基础。 随着时间推移,将向本文档添加更多控件。

特权访问

特权帐户是云本机标识

如果本地帐户遭到入侵并同步到 Microsoft Entra,攻击者也可能获得对租户的访问权限。 此风险会增加,因为本地环境通常由于较旧的基础结构和有限的安全控制而具有更多的攻击面。 攻击者可能还针对用于在本地环境和 Microsoft Entra 之间实现连接的基础结构和工具。 这些目标可能包括Microsoft Entra Connect 或 Active Directory 联合身份验证服务等工具,可在其中模拟或其他作其他本地用户帐户。

如果特权云帐户与本地帐户同步,则获取本地凭据的攻击者可以使用这些相同的凭据访问云资源,并横向迁移到云环境。

修正作

对于具有高特权的每个角色(通过Microsoft Entra Privileged Identity Management 永久分配或符合条件),应执行以下作:

  • 查看具有 onPremisesImmutableId 和 onPremisesSyncEnabled 集的用户。 请参阅 Microsoft图形 API 用户资源类型
  • 为这些人创建仅限云的用户帐户,并从特权角色中删除其混合标识。

特权帐户注册了防钓鱼方法

如果没有防钓鱼身份验证方法,特权用户更容易受到网络钓鱼攻击。 这些类型的攻击会诱使用户透露其凭据,以授予对攻击者未经授权的访问权限。 如果使用了防钓鱼身份验证方法,攻击者可能会通过中间攻击者攻击等方法截获凭据和令牌,从而破坏特权帐户的安全性。

特权帐户或会话由于身份验证方法薄弱而遭到入侵后,攻击者可能会纵该帐户来维护长期访问、创建其他后门或修改用户权限。 攻击者还可以使用遭到入侵的特权帐户进一步升级其访问权限,从而可能控制更敏感的系统。

修正作

特权用户使用防钓鱼方法登录

如果没有防钓鱼身份验证方法,特权用户更容易受到网络钓鱼攻击。 这些类型的攻击会诱使用户透露其凭据,以授予对攻击者未经授权的访问权限。 如果使用了防钓鱼身份验证方法,攻击者可能会通过中间攻击者攻击等方法截获凭据和令牌,从而破坏特权帐户的安全性。

特权帐户或会话由于身份验证方法薄弱而遭到入侵后,攻击者可能会纵该帐户来维护长期访问、创建其他后门或修改用户权限。 攻击者还可以使用遭到入侵的特权帐户进一步升级其访问权限,从而可能控制更敏感的系统。

修正作

所有特权角色分配都实时激活,不会永久处于活动状态

威胁执行组件以特权帐户为目标,因为它们有权访问所需的数据和资源。 这可能包括对 Microsoft Entra 租户、Microsoft SharePoint 中的数据或建立长期持久性的能力的更多访问权限。 如果没有实时(JIT)激活模型,管理权限将持续公开,为攻击者提供一个扩展窗口来作未检测到。 实时访问通过额外的控制(如审批、理由和条件访问策略)强制实施限时特权激活来缓解风险,确保仅在需要时和有限的持续时间授予高风险权限。 此限制可最大程度地减少攻击面、破坏横向移动,并强制对手触发可在需要时进行专门监视和拒绝的作。 如果不进行实时访问,泄露的管理员帐户将授予无限期的控制,让攻击者禁用安全控制、擦除日志和维护隐身,从而放大入侵的影响。

使用Microsoft Entra Privileged Identity Management (PIM)提供对特权角色分配的实时访问。 使用 Microsoft Entra ID Governance 中的访问评审定期评审特权访问权限,以确保持续需要。

修正作

创建新租户的权限仅限于租户创建者角色

如果不存在任何限制,威胁参与者或有意但未知情的员工可以创建新的Microsoft Entra 租户。 默认情况下,创建租户的用户会自动分配全局管理员角色。 如果没有适当的控制,此作将通过在组织的治理和可见性之外创建租户来破坏标识外围。 它引入了风险,尽管影子标识平台可用于令牌颁发、品牌模拟、同意钓鱼或持久性过渡基础结构。 由于流氓租户可能不受企业行政或监视平面的束缚,因此传统防御对它的创建、活动和潜在的滥用是盲目的。

修正作

启用 “限制非管理员用户”创建租户 设置。 对于需要创建租户的功能的用户,请为其分配租户创建者角色。 还可以查看Microsoft Entra 审核日志中的租户创建事件。

全局管理员无权访问 Azure 订阅

对 Azure 订阅具有持久访问权限的全局管理员扩展了威胁参与者的攻击面。 如果全局管理员帐户遭到入侵,攻击者可以立即枚举资源、修改配置、分配角色,以及跨所有订阅外泄敏感数据。 要求对订阅访问进行实时提升会引入可检测信号、减缓攻击者速度,并通过可观测的控制点路由高影响作。

修正作

特权角色激活已配置监视和警报

对于高特权角色,没有正确激活警报的组织在用户访问这些关键权限时缺乏可见性。 威胁参与者可以通过在不检测的情况下激活高特权角色来利用此监视差距来执行特权提升,然后通过管理员帐户创建或安全策略修改建立持久性。 如果没有实时警报,攻击者就可以进行横向移动、修改审核配置并禁用安全控制,而无需触发即时响应过程。

修正作

全局管理员角色激活触发审批工作流

如果没有审批工作流,通过网络钓鱼、凭据填充或其他身份验证绕过技术入侵全局管理员凭据的威胁参与者可以立即激活租户中特权最高的角色,而无需任何其他验证或监督。 Privileged Identity Management (PIM) 允许符合条件的角色激活在几秒钟内处于活动状态,因此泄露的凭据可以允许近乎即时的特权提升。 激活后,威胁参与者可以使用全局管理员角色使用以下攻击路径获取对租户的持久访问权限:

  • 创建新的特权帐户
  • 修改条件访问策略以排除这些新帐户
  • 建立备用身份验证方法,例如基于证书的身份验证或具有高特权的应用程序注册

全局管理员角色提供对使用 Microsoft Entra 标识(包括 Microsoft Defender XDR、Microsoft Purview、Exchange Online 和 SharePoint Online)Microsoft Entra ID 和服务中的管理功能的访问权限。 如果没有审批入口,威胁参与者可以快速升级为完成租户接管、泄露敏感数据、损害所有用户帐户,并通过服务主体或联合修改建立长期后门,即使在检测到初始入侵后仍保留。

修正作

来宾未分配高特权目录角色

当为来宾用户分配高特权目录角色(如全局管理员或特权角色管理员)时,组织会创建严重的安全漏洞,威胁参与者可以通过泄露的外部帐户或业务合作伙伴环境利用这些漏洞进行初始访问。 由于来宾用户源自外部组织,且不直接控制安全策略,因此入侵这些外部标识的威胁参与者可以获得对目标组织的Microsoft Entra 租户的特权访问权限。

当威胁参与者通过权限提升的已泄露的来宾帐户获取访问权限时,他们可以升级自己的权限,以创建其他后门帐户、修改安全策略或为自己分配组织中的永久角色。 已泄露的特权来宾帐户使威胁参与者能够建立持久性,然后进行所有需要保持未检测到的更改。 例如,他们可以创建仅限云的帐户,绕过应用于内部用户的条件访问策略,即使在来宾的主组织检测到泄露后,也能维护访问权限。 然后,威胁参与者可以使用管理特权进行横向移动,以访问敏感资源、修改审核设置或在整个租户中禁用安全监视。 威胁参与者可以通过外部来宾帐户来源保持合理的可否认性,从而彻底破坏组织的标识基础结构。

修正作

为特权访问工作站配置条件访问策略

如果特权角色激活不限于专用的特权访问工作站(PAW),威胁参与者可以利用受损的终结点设备来执行非托管或不符合工作站的特权升级攻击。 标准生产力工作站通常包含攻击途径,例如不受限制的 Web 浏览、易受网络钓鱼的电子邮件客户端以及本地安装的应用程序,并存在潜在漏洞。 当管理员从这些工作站激活特权角色时,通过恶意软件、浏览器攻击或社交工程获得初始访问权限的威胁参与者可以使用本地缓存的特权凭据或劫持现有经过身份验证的会话来提升其特权。 特权角色激活可跨 Microsoft Entra ID 和连接服务授予广泛的管理权限,以便攻击者可以创建新的管理帐户、修改安全策略、跨所有组织资源访问敏感数据,以及在整个环境中部署恶意软件或后门以建立持久访问。 这种横向从已泄露的终结点迁移到特权云资源表示绕过许多传统安全控制的关键攻击路径。 从经过身份验证的管理员会话发起时,特权访问看起来合法。

如果此检查通过,则租户有一个条件访问策略,用于限制对 PAW 设备的特权角色访问,但这不是完全启用 PAW 解决方案所需的唯一控制。 还需要配置 Intune 设备配置和符合性策略和设备筛选器。

修正作

凭据管理

用户配置了强身份验证方法

如果未普遍实施多重身份验证(MFA),或者存在异常,攻击者可能会获得访问权限。 攻击者可以通过利用较弱的 MFA 方法(如短信和电话呼叫)的漏洞,通过社会工程技术获得访问权限。 这些技术可能包括 SIM 交换或钓鱼,以截获身份验证代码。

攻击者可能会将这些帐户用作租户中的入口点。 通过使用截获的用户会话,攻击者可以将其活动伪装成合法的用户作、逃避检测并继续攻击,而不会引起怀疑。 从那里,他们可能会尝试作 MFA 设置,以根据被入侵帐户的权限建立持久性、计划和执行进一步的攻击。

修正作

从旧 MFA 和 SSPR 策略迁移

Microsoft Entra ID 中的旧式多重身份验证(MFA)和自助密码重置(SSPR)策略单独管理身份验证方法,从而导致碎片配置和欠佳用户体验。 此外,单独管理这些策略会增加管理开销和配置错误的风险。

迁移到合并的身份验证方法策略可将 MFA、SSPR 和无密码身份验证方法的管理合并到单个策略框架中。 这种统一允许更精细的控制,使管理员能够将特定的身份验证方法定向到用户组,并在整个组织中强制实施一致的安全措施。 此外,统一策略还支持新式身份验证方法,例如 FIDO2 安全密钥和 Windows Hello 企业版,从而增强组织的安全态势。

Microsoft宣布弃用旧的 MFA 和 SSPR 策略,其停用日期定于 2025 年 9 月 30 日。 建议组织在此日期之前完成到身份验证方法策略的迁移,以避免潜在的中断,并受益于统一策略的增强安全性和管理功能。

修正作

从旧 MFA 和自助服务密码重置(SSPR)策略迁移

在Microsoft Entra ID 中保持启用短信和语音呼叫等弱身份验证方法时,威胁参与者可以通过多个攻击途径利用这些漏洞。 最初,攻击者通常通过社会工程或技术扫描使用这些较弱的身份验证方法来识别组织。 然后,他们通过凭据填充攻击、密码喷洒或针对用户凭据的网络钓鱼活动执行初始访问。 基本凭据泄露后,威胁参与者使用短信和基于语音的身份验证固有弱点 - 短信可以通过 SIM 交换攻击、SS7 网络漏洞或移动设备上的恶意软件截获,而语音呼叫容易受到语音钓鱼(vishing)和呼叫转接作的影响。 绕过这些薄弱的第二个因素后,攻击者通过注册自己的身份验证方法来实现持久性。 这允许特权提升,因为被入侵的帐户可用于通过内部网络钓鱼或社交工程面向更高特权的用户。 最后,威胁参与者通过数据外泄、横向移动到关键系统或部署其他恶意工具来实现其目标,同时使用安全日志中正常出现的合法身份验证路径来保持隐身性。

修正作

需要管理员角色的密码重置通知

在 Microsoft Entra ID 中为管理员角色配置密码重置通知可增强安全性,方法是在其他管理员重置其密码时通知特权管理员。 此可见性有助于检测可能指示凭据泄露或内部威胁的未经授权的活动或可疑活动。 如果没有这些通知,恶意参与者可能会利用提升的权限来建立持久性、提升访问权限或提取敏感数据。 主动通知支持快速作、保持特权访问完整性,并增强整体安全态势。

修正作

Authenticator 应用显示登录上下文

如果没有登录上下文,威胁参与者可以通过向用户充斥推送通知来利用身份验证疲劳,从而增加用户意外批准恶意请求的可能性。 当用户在没有应用程序名称或地理位置的情况下获得通用推送通知时,他们没有做出明智的审批决策所需的信息。 这种缺乏上下文使用户容易受到社会工程攻击,尤其是在威胁参与者在合法用户活动期间请求时。 当威胁参与者通过凭据收获或密码喷洒攻击获得初始访问权限时,此漏洞尤其危险,然后通过批准来自意外应用程序或位置的多重身份验证(MFA)请求来建立持久性。 如果没有上下文信息,用户无法检测到异常的登录尝试,从而允许威胁参与者在绕过初始身份验证屏障后通过系统横向移动来维护访问和提升特权。 如果没有应用程序和位置上下文,安全团队也会丢失宝贵的遥测数据,以检测可疑的身份验证模式,这些模式可以指示正在进行的泄露或侦察活动。

修正作 为用户提供做出明智的审批决策所需的上下文。 通过设置身份验证方法策略以包括应用程序名称和地理位置来配置Microsoft Authenticator 通知。

如果没有使用,请关闭无缝 SSO

Microsoft Entra 无缝单一登录(无缝 SSO)是一项旧式身份验证功能,旨在为未加入混合Microsoft Entra ID 的已加入域的设备提供无密码访问。 无缝 SSO 依赖于 Kerberos 身份验证,主要适用于 Windows 7 和 Windows 8.1 等较旧的作系统,而 Windows 8.1 不支持主刷新令牌(PRT)。 如果环境中不再存在这些旧系统,则继续使用无缝 SSO 会引入不必要的复杂性和潜在的安全风险。 威胁参与者可能会利用配置错误或过时的 Kerberos 票证,或者入侵 AZUREADSSOACC Active Directory 中的计算机帐户,该帐户包含由 Microsoft Entra ID 使用的 Kerberos 解密密钥。 入侵后,攻击者可能会模拟用户、绕过新式身份验证控制,并获得对云资源的未经授权的访问。 在不再需要无缝 SSO 的环境中禁用无缝 SSO 可减少攻击面,并强制使用提供更强大的保护的新式基于令牌的身份验证机制。

修正作

存取控制

阻止旧式身份验证

旧式身份验证协议(如 SMTP 和 IMAP 的基本身份验证)不支持多重身份验证(MFA)等新式安全功能,这对于防止未经授权的访问至关重要。 这种缺乏保护使使用这些协议的帐户容易受到基于密码的攻击,并为攻击者提供使用被盗凭据或猜测凭据获得初始访问权限的方法。

当攻击者成功获得对凭据的未经授权的访问时,他们可以使用它们来访问链接服务,使用弱身份验证方法作为入口点。 通过旧式身份验证获取访问权限的攻击者可能会更改 Microsoft Exchange,例如配置邮件转发规则或更改其他设置,从而允许他们保持对敏感通信的持续访问。

旧式身份验证还为攻击者提供了一种一致的方法来重新输入使用泄露凭据的系统,而无需触发安全警报或要求重新进行身份验证。

从那里,攻击者可以使用旧协议访问通过泄露的帐户访问的其他系统,从而促进横向移动。 使用旧协议的攻击者可以与合法的用户活动混合在一起,从而使安全团队难以区分正常使用和恶意行为。

修正作

部署以下条件访问策略:

特权Microsoft Entra 内置角色以条件访问策略为目标,以强制实施防钓鱼方法

如果没有防钓鱼身份验证方法,特权用户更容易受到网络钓鱼攻击。 这些类型的攻击会诱使用户透露其凭据,以授予对攻击者未经授权的访问权限。 如果使用了防钓鱼身份验证方法,攻击者可能会通过中间攻击者攻击等方法截获凭据和令牌,从而破坏特权帐户的安全性。

特权帐户或会话由于身份验证方法薄弱而遭到入侵后,攻击者可能会纵该帐户来维护长期访问、创建其他后门或修改用户权限。 攻击者还可以使用遭到入侵的特权帐户进一步升级其访问权限,从而可能控制更敏感的系统。

修正作

限制对高风险用户的访问

假设任何高风险用户都受到威胁参与者的入侵。 如果没有调查和修正,威胁参与者可以执行脚本、部署恶意应用程序或作 API 调用,以根据可能泄露的用户权限建立持久性。 然后,威胁参与者可以利用错误配置或滥用 OAuth 令牌,在文档、SaaS 应用程序或 Azure 资源等工作负载之间横向移动。 威胁参与者可以获取对敏感文件、客户记录或专有代码的访问权限,并通过合法云服务保持隐身性,并将其外泄到外部存储库。 最后,威胁参与者可能会通过修改配置、加密赎金数据或使用被盗信息进行进一步攻击来破坏作,从而导致财务、信誉和监管后果。

修正作

限制设备代码流

设备代码流是专为输入约束设备设计的跨设备身份验证流。 可以在网络钓鱼攻击中利用它,攻击者启动流,并欺骗用户在其设备上完成流,从而将用户的令牌发送到攻击者。 鉴于设备代码流的安全风险和不经常合法使用,应启用条件访问策略,以默认阻止此流。

修正作

要求使用用户作对设备加入和设备注册进行多重身份验证

威胁参与者可以在新设备注册期间利用缺乏多重身份验证。 经过身份验证后,他们可以注册恶意设备、建立持久性并规避绑定到受信任终结点的安全控制。 此立足点使攻击者能够外泄敏感数据、部署恶意应用程序或横向移动,具体取决于攻击者使用的帐户的权限。 如果没有执行 MFA,攻击者可能会不断升级风险,因此可以持续重新进行身份验证、逃避检测和执行目标。

修正作

使用云身份验证

本地联合服务器通过充当云应用程序的中心身份验证点来引入关键攻击面。 威胁参与者通常通过网络钓鱼、凭据填充或利用弱密码等攻击来损害特权用户(例如技术支持代表或运营工程师)的立足点。 它们也可能针对基础结构中未修补的漏洞、使用远程代码执行攻击、攻击 Kerberos 协议或使用传递哈希攻击来提升特权。 配置错误的远程访问工具(如远程桌面协议(RDP)、虚拟专用网络(VPN)或跳转服务器提供其他入口点,而供应链泄露或恶意内部人员会进一步增加风险。 进入后,威胁参与者可以作身份验证流、伪造安全令牌来模拟任何用户,并透视到云环境。 建立持久性后,可以禁用安全日志、逃避检测和外泄敏感数据。

修正作

已配置命名位置

如果没有在 Microsoft Entra ID 中配置的命名位置,威胁参与者可以利用没有位置情报来执行攻击,而无需触发基于位置的风险检测或安全控制。 当组织无法为受信任的网络、分支机构和已知地理区域定义命名位置时,Microsoft Entra ID 保护无法评估基于位置的风险信号。 没有这些策略可能会导致误报增加,从而造成警报疲劳,并可能掩盖真正的威胁。 此配置差距可防止系统区分合法位置和非法位置。 例如,来自公司网络的合法登录以及来自高风险位置的可疑身份验证尝试(匿名代理网络、Tor 退出节点或组织没有业务存在的区域)。 威胁参与者可以使用这种不确定性来执行凭据填充攻击、密码喷洒活动以及恶意基础结构的初始访问尝试,而无需触发通常将此类活动标记为可疑的基于位置的检测。 组织还可以失去实施自适应安全策略的能力,这些策略可以自动应用更严格的身份验证要求或完全阻止来自不受信任的地理区域的访问。 威胁参与者可以保持持久性,并从任何全球位置进行横向移动,而不会遇到基于位置的安全屏障,这应该充当防止未经授权的访问尝试的额外防御层。

修正作

应用程序管理

非活动应用程序没有高特权Microsoft图形 API 权限

攻击者可能会利用仍然具有提升权限的有效但非活动应用程序。 这些应用程序可用于获取初始访问权限,而不会发出警报,因为它们是合法的应用程序。 从那里,攻击者可以使用应用程序特权来计划或执行其他攻击。 攻击者还可以通过作非活动应用程序(例如添加凭据)来维护访问权限。 此持久性可确保即使检测到主要访问方法,它们以后也能重新获得访问权限。

修正作

非活动应用程序没有高特权的内置角色

攻击者可能会利用仍然具有提升权限的有效但非活动应用程序。 这些应用程序可用于获取初始访问权限,而不会发出警报,因为它们是合法的应用程序。 从那里,攻击者可以使用应用程序特权来计划或执行其他攻击。 攻击者还可以通过作非活动应用程序(例如添加凭据)来维护访问权限。 此持久性可确保即使检测到主要访问方法,它们以后也能重新获得访问权限。

修正作

应用程序未配置机密

使用客户端机密的应用程序可能会将它们存储在配置文件中,在脚本中对其进行硬编码,或者以其他方式风险暴露它们。 机密管理的复杂性使客户端机密容易受到泄漏和对攻击者的吸引力。 在公开客户端机密时,向攻击者提供将活动与合法作混合的能力,从而更轻松地绕过安全控制。 如果攻击者入侵应用程序的客户端密码,他们可以在系统中升级其特权,从而导致更广泛的访问和控制,具体取决于应用程序的权限。

具有Microsoft Graph API 或其他 API 权限的应用程序和服务主体具有更高的风险,因为攻击者可能会利用这些附加权限。

修正作

应用程序没有过期时间超过 180 天的证书

攻击者可以提取和利用证书(如果未安全存储),从而导致未经授权的访问。 长期证书在一段时间内更有可能公开。 在公开凭据时,向攻击者提供将活动与合法作混合的能力,从而更轻松地绕过安全控制。 如果攻击者入侵应用程序的证书,他们可以在系统中升级其特权,从而导致更广泛的访问和控制,具体取决于应用程序的特权。

修正作

需要定期轮换应用程序证书

如果未定期轮换证书,则可以为威胁执行组件提供一个扩展窗口来提取和利用它们,从而导致未经授权的访问。 当此类凭据公开时,攻击者可以将恶意活动与合法作混合,从而更轻松地绕过安全控制。 如果攻击者入侵应用程序的证书,他们可以在系统中提升其特权,从而根据应用程序的特权,导致更广泛的访问和控制。

查询具有证书凭据的所有服务主体和应用程序注册。 确保证书开始日期小于 180 天。

修正作

创建新的应用程序和服务主体仅限于特权用户

如果非特权用户可以创建应用程序和服务主体,则这些帐户可能配置不当或授予的权限超过必要权限,从而为攻击者创建新的途径以获取初始访问权限。 攻击者可以利用这些帐户在环境中建立有效的凭据,并绕过一些安全控制。

如果这些非特权帐户被错误地授予了提升的应用程序所有者权限,攻击者可以使用它们从较低级别的访问权限转移到更特权的访问级别。 入侵非特权帐户的攻击者可能会添加自己的凭据或更改与非特权用户创建的应用程序关联的权限,以确保他们能够继续访问未检测到的环境。

攻击者可以使用服务主体与合法的系统进程和活动融合在一起。 由于服务主体经常执行自动化任务,因此在这些帐户下执行的恶意活动可能不会标记为可疑。

修正作

应用注册使用安全的重定向 URI

使用包含通配符、localhost 或 URL 缩短器的 URL 配置的 OAuth 应用程序会增加威胁参与者的攻击面。 不安全的重定向 URI(回复 URL)可能允许攻击者通过将用户定向到攻击者控制的终结点来作身份验证请求、劫持授权代码和拦截令牌。 通配符条目通过允许意外域处理身份验证响应来扩大风险,而 localhost 和缩短 URL 可能会促进在不受控制的环境中进行钓鱼和令牌被盗。

如果不严格验证重定向 URI,攻击者可以绕过安全控制、模拟合法应用程序并提升其特权。 这种配置错误使持久性、未经授权的访问和横向移动,因为攻击者利用弱 OAuth 强制措施渗透到未检测到的受保护资源。

修正作

服务主体使用安全重定向 URI

配置了包含通配符、localhost 或 URL 缩短程序的非Microsoft和多租户应用程序会增加威胁参与者的攻击面。 这些不安全的重定向 URI(回复 URL)可能允许攻击者通过将用户定向到攻击者控制的终结点来作身份验证请求、劫持授权代码和拦截令牌。 通配符条目通过允许意外域处理身份验证响应来扩大风险,而 localhost 和缩短 URL 可能会促进在不受控制的环境中进行钓鱼和令牌被盗。

如果不严格验证重定向 URI,攻击者可以绕过安全控制、模拟合法应用程序并提升其特权。 这种配置错误使持久性、未经授权的访问和横向移动,因为攻击者利用弱 OAuth 强制措施渗透到未检测到的受保护资源。

修正作

在 Microsoft Entra 租户中启用管理员同意工作流是一项重要的安全措施,可缓解与未经授权的应用程序访问和特权提升相关的风险。 此检查非常重要,因为它可确保请求提升权限的任何应用程序在授予许可之前接受指定管理员的评审过程。 Microsoft Entra ID 中的管理员同意工作流会根据应用程序的合法性和必要性通知评估和批准或拒绝同意请求的审阅者。 如果此检查未通过,这意味着工作流已禁用,则任何应用程序都可以请求并可能接收提升的权限,而无需管理评审。 这会带来巨大的安全风险,因为恶意参与者可以利用这种缺乏监督来获得对敏感数据的未经授权的访问、执行特权提升或执行其他恶意活动。

修正作

对于管理员同意请求,设置 用户可以请求管理员同意他们无法同意 设置为 “是”的应用。 指定其他设置,例如谁可以查看请求。

应用注册不得具有悬而未完成或放弃的域重定向 URI

当应用注册中未托管或孤立的重定向 URI 在引用不再指向活动资源的域时,它们会创建严重的安全漏洞。 威胁参与者可以通过在已放弃的域上预配资源来利用这些“悬空”DNS 条目,从而有效地控制重定向终结点。 此漏洞使攻击者能够在 OAuth 2.0 流期间截获身份验证令牌和凭据,这可能导致未经授权的访问、会话劫持以及潜在的更广泛的组织泄露。

修正作

根据风险策略配置工作负荷标识

在 Microsoft Entra ID 中基于风险策略为工作负荷标识设置基于风险的条件访问策略,以确保只有受信任的和已验证的工作负荷使用敏感资源。 如果没有这些策略,威胁参与者可以通过最少的检测来破坏工作负荷标识,并执行进一步的攻击。 如果没有条件控制来检测异常活动和其他风险,则不会检查恶意作,例如令牌伪造、对敏感资源的访问和工作负荷中断。 缺少自动包含机制会增加停留时间,并影响关键服务的保密性、完整性和可用性。

修正作 为工作负荷标识创建基于风险的条件访问策略。

为所有多租户应用程序配置应用实例属性锁

在应用程序在另一租户中预配应用程序后,应用实例属性锁可防止更改多租户应用程序的敏感属性。 如果没有锁定,关键属性(如应用程序凭据)可能会受到恶意或无意的修改,从而导致中断、风险增加、未经授权的访问或特权升级。

修正作 为所有多租户应用程序启用应用实例属性锁,并指定要锁定的属性。

让组所有者同意Microsoft Entra ID 中的应用程序会创建横向升级路径,允许威胁参与者在没有管理员凭据的情况下持久保存和窃取数据。 如果攻击者入侵组所有者帐户,他们可以注册或使用恶意应用程序,并同意限定为组的高特权图形 API 权限。 攻击者可能会读取所有 Teams 消息、访问 SharePoint 文件或管理组成员身份。 此同意作创建具有委派权限或应用程序权限的长期应用程序标识。 攻击者使用 OAuth 令牌保持持久性,从团队频道和文件窃取敏感数据,并通过消息传递或电子邮件权限模拟用户。 如果不集中实施应用同意策略,安全团队就会失去可见性,并且恶意应用程序分散在雷达下,从而跨协作平台实现多阶段攻击。

修正作 配置 Resource-Specific 许可(RSC)权限的预批准。

Microsoft服务应用程序未配置凭据

Microsoft租户中运行的服务应用程序被标识为所有者组织 ID 为“f8cdef31-a31e-4b4a-93e4-5f571e91255a”的服务主体。这些服务主体在租户中配置凭据时,可能会创建威胁参与者可以利用的潜在攻击途径。 如果管理员添加了凭据,并且不再需要凭据,他们可能会成为攻击者的目标。 尽管在特权活动上实施适当的预防和侦探控制时的可能性较低,但威胁参与者也可以恶意添加凭据。 无论哪种情况,威胁参与者都可以使用这些凭据作为服务主体进行身份验证,获得与Microsoft服务应用程序相同的权限和访问权限。 如果应用程序具有高级权限,则此初始访问权限可能会导致特权升级,从而允许跨租户横向移动。 然后,攻击者可以通过创建其他后门凭据继续执行数据外泄或持久性建立。

为租户中的这些服务主体配置凭据(如客户端机密或证书)时,这意味着某人(管理员或恶意参与者)允许他们在环境中独立进行身份验证。 应调查这些凭据,以确定其合法性和必要性。 如果不再需要它们,应将其删除以降低风险。

如果未通过此检查,建议“调查”,因为需要识别并查看配置了未使用的凭据的任何应用程序。

修正作

  • 确认添加的凭据是否仍然是有效的用例。 否则,请从Microsoft服务应用程序中删除凭据,以减少安全风险。
    • 在 Microsoft Entra 管理中心,浏览到 Entra ID>应用注册 并选择受影响的应用程序。
    • 转到 “证书和机密 ”部分,删除不再需要的任何凭据。

外部协作

来宾无法邀请其他来宾

外部用户帐户通常用于向属于与企业有业务关系的组织的业务合作伙伴提供访问权限。 如果这些帐户在其组织中遭到入侵,攻击者可以使用有效的凭据获取对环境的初始访问权限,通常由于其合法性而绕过传统防御。

允许外部用户加入其他外部用户会增加未经授权的访问风险。 如果攻击者入侵外部用户帐户,他们可以使用它创建更多外部帐户,将访问点乘以访问点,并更难检测入侵。

修正作

来宾对目录对象的访问受限

外部用户帐户通常用于向属于与企业有业务关系的组织的业务合作伙伴提供访问权限。 如果这些帐户在其组织中遭到入侵,攻击者可以使用有效的凭据获取对环境的初始访问权限,通常由于其合法性而绕过传统防御。

具有读取目录对象权限的外部帐户为攻击者提供更广泛的初始访问权限(如果遭到入侵)。 这些帐户允许攻击者从目录中收集其他信息,以便进行侦查。

修正作

来宾访问受强身份验证方法的保护

外部用户帐户通常用于向属于与组织有业务关系的组织的业务合作伙伴提供访问权限。 如果这些帐户在其组织中遭到入侵,攻击者可以使用有效的凭据获取对环境的初始访问权限,通常由于其合法性而绕过传统防御。

如果多重身份验证(MFA)未普遍实施,或者存在异常,攻击者可能会获得外部用户帐户的访问权限。 他们还可能利用较弱的 MFA 方法(如短信和电话呼叫)的漏洞(如 SIM 交换或钓鱼)来拦截身份验证代码,从而获得访问权限。

一旦攻击者在没有 MFA 或具有弱 MFA 方法的会话的情况下获取对帐户的访问权限,他们可能会尝试作 MFA 设置(例如,注册攻击者控制的方法),以建立持久性,以便根据被入侵帐户的权限来规划和执行进一步的攻击。

修正作

配置出站跨租户访问设置

允许与未经验证的组织进行不受限制的外部协作可能会增加租户的风险外围应用,因为它允许可能没有适当安全控制的来宾帐户。 威胁参与者可以通过破坏这些松散管理的外部租户中的标识来尝试获取访问权限。 授予来宾访问权限后,他们可以使用合法的协作途径渗透租户中的资源,并尝试获取敏感信息。 威胁参与者还可以利用配置不当的权限来提升特权,并尝试不同类型的攻击。

如果不审查你与之协作的组织的安全性,恶意外部帐户可以持久保存未检测到、泄露机密数据并注入恶意有效负载。 这种类型的暴露可能会削弱组织控制,并启用跨租户攻击,绕过传统的外围防御并破坏数据完整性和作复原能力。 Microsoft Entra 中出站访问的跨租户设置提供默认情况下阻止与未知组织的协作的功能,从而减少攻击面。

修正作

已配置租户限制 v2 策略

租户限制 v2(TRv2)允许组织强制实施策略,以限制对指定Microsoft Entra 租户的访问,从而阻止使用本地帐户向外部租户泄露公司数据。 如果没有 TRv2,威胁参与者可能会利用此漏洞,这会导致潜在的数据外泄和合规性冲突,然后是凭据捕获(如果这些外部租户具有较弱的控制)。 获取凭据后,威胁参与者可以获得对这些外部租户的初始访问权限。 TRv2 提供了阻止用户向未经授权的租户进行身份验证的机制。 否则,威胁参与者可以横向移动、提升特权并可能外泄敏感数据,同时显示为合法的用户活动,从而绕过专注于内部租户监视的传统数据丢失防护控制。

实施 TRv2 会强制实施限制对指定租户的访问的策略,通过确保身份验证和数据访问仅限于授权租户来缓解这些风险。

如果此检查通过,则租户配置了 TRv2 策略,但需要执行更多步骤来验证方案端到端。

修正作

监测

已为所有Microsoft Entra 日志配置诊断设置

Microsoft Entra 中的活动日志和报告可以帮助检测未经授权的访问尝试或确定租户配置更改的时间。 当日志存档或与安全信息和事件管理(SIEM)工具集成时,安全团队可以实施强大的监视和检测安全控制、主动威胁搜寻和事件响应过程。 日志和监视功能可用于评估租户运行状况,并提供合规性和审核的证据。

如果未定期存档日志或发送到 SIEM 工具进行查询,则调查登录问题很困难。 缺少历史日志意味着安全团队可能会错过失败登录尝试、异常活动和其他泄露指标的模式。 这种缺乏可见性可以防止及时检测漏洞,使攻击者能够在长时间内保持未检测到的访问。

修正作

没有旧式身份验证登录活动

旧式身份验证协议(如 SMTP 和 IMAP 的基本身份验证)不支持多重身份验证(MFA)等新式安全功能,这对于防止未经授权的访问至关重要。 这种缺乏保护使使用这些协议的帐户容易受到基于密码的攻击,并为攻击者提供使用被盗凭据或猜测凭据获得初始访问权限的方法。

当攻击者成功获得对凭据的未经授权的访问时,他们可以使用它们来访问链接服务,使用弱身份验证方法作为入口点。 通过旧式身份验证获取访问权限的攻击者可能会更改 Microsoft Exchange,例如配置邮件转发规则或更改其他设置,从而允许他们保持对敏感通信的持续访问。

旧式身份验证还为攻击者提供了一种一致的方法来重新输入使用泄露凭据的系统,而无需触发安全警报或要求重新进行身份验证。

从那里,攻击者可以使用旧协议访问通过泄露的帐户访问的其他系统,从而促进横向移动。 使用旧协议的攻击者可以与合法的用户活动混合在一起,从而使安全团队难以区分正常使用和恶意行为。

修正作

所有用户登录活动都使用强身份验证方法

如果未普遍实施多重身份验证(MFA),或者存在异常,攻击者可能会获得访问权限。 攻击者可以通过利用较弱的 MFA 方法(如短信和电话呼叫)的漏洞,通过社会工程技术获得访问权限。 这些技术可能包括 SIM 交换或钓鱼,以截获身份验证代码。

攻击者可能会将这些帐户用作租户中的入口点。 通过使用截获的用户会话,攻击者可以将其活动伪装成合法的用户作、逃避检测并继续攻击,而不会引起怀疑。 从那里,他们可能会尝试作 MFA 设置,以根据被入侵帐户的权限建立持久性、计划和执行进一步的攻击。

修正作

所有高风险用户均会审

Microsoft Entra ID 防护认为处于高风险的用户很有可能受到威胁参与者的入侵。 威胁参与者可以通过泄露的有效帐户获得初始访问权限,尽管触发了风险指标,但其可疑活动仍在继续。 这种监督可以启用持久性,因为威胁参与者执行通常需要调查的活动,例如异常登录模式或可疑收件箱作。

缺少对这些有风险的用户进行会审,可以展开侦察活动和横向移动,异常行为模式将继续生成未调查的警报。 威胁参与者变得大胆,因为安全团队表明,他们没有积极应对风险指标。

修正作

所有高风险登录都会进行会审

Microsoft Entra ID Protection 标记的风险登录表示未经授权的访问尝试的概率很高。 威胁参与者使用这些登录来获取初始立足点。 如果这些登录未进行调查,攻击者可以通过以合法用户身份反复进行身份验证来建立持久性。

缺乏响应可让攻击者执行侦察、尝试升级其访问并融入正常模式。 当未经审判的登录继续生成警报,并且没有干预时,安全漏洞会扩大,促进横向移动和防御逃避,因为攻击者认识到没有主动的安全响应。

修正作

解决了高优先级 Entra 建议

让高优先级Microsoft Entra 建议的取消配置可能会给组织的安全状况造成差距,从而为威胁参与者提供利用已知弱点的机会。 不对这些项执行作可能会导致攻击面面积增加、作欠佳或用户体验不佳。

修正作

解决了所有Microsoft Entra 建议

Microsoft Entra 建议为组织提供了实施最佳做法和优化其安全状况的机会。 不对这些项执行作可能会导致攻击面面积增加、作欠佳或用户体验不佳。

修正作

用户登录活动使用令牌保护

威胁参与者可以截获或提取来自内存、合法设备上的本地存储或检查网络流量的身份验证令牌。 攻击者可能会重播这些令牌,以绕过用户和设备上的身份验证控制,获取对敏感数据的未经授权的访问,或运行进一步的攻击。 由于这些令牌有效且有时间限制,因此传统异常情况检测通常无法标记活动,这可能允许持续访问,直到令牌过期或吊销。

令牌保护(也称为令牌绑定)通过确保令牌仅可从预期设备使用,帮助防止令牌被盗。 令牌保护使用加密,以便没有客户端设备密钥,任何人都无法使用令牌。

修正作
创建条件访问策略以设置令牌保护。

已启用 ID 保护通知

如果未启用 ID 保护通知,则当威胁参与者入侵用户帐户或执行侦查活动时,组织将丢失关键的实时警报。 当Microsoft Entra ID Protection 检测到有风险的帐户时,它会发送电子邮件警报,其中 检测到有风险的用户被检测 为主题,并链接到 标记为有风险报告的用户 。 如果没有这些通知,安全团队仍不知道活动威胁,从而允许威胁参与者在未检测到入侵的帐户中保持持久性。 可以将这些风险馈送到条件访问等工具中,以做出访问决策,或将其发送到安全信息和事件管理(SIEM)工具,以便进行调查和关联。 威胁参与者可以使用此检测差距执行横向移动活动、特权升级尝试或数据外泄作,而管理员仍不知道正在进行的入侵。 延迟响应使威胁参与者能够建立更多持久性机制、更改用户权限或访问敏感资源,然后才能解决问题。 如果没有主动通知风险检测,组织必须完全依赖于手动监视风险报告,这大大增加了检测和响应基于标识的攻击所需的时间。

修正作

免费安全功能

启用Microsoft Entra ID 安全性默认值

在 Microsoft Entra 中启用安全默认值对于具有 Microsoft Entra Free 许可证的组织至关重要,以防止与标识相关的攻击。 这些攻击可能导致未经授权的访问、财务损失和声誉损失。 安全默认设置要求所有用户注册多重身份验证(MFA),确保管理员使用 MFA 并阻止旧式身份验证协议。 这大大减少了成功攻击的风险,因为超过 99% 常见的标识相关攻击通过使用 MFA 来阻止旧式身份验证。 安全默认值提供基线保护,无需额外付费,使所有组织都可以访问它们。

修正作

相关内容