本文是对了解 Microsoft Entra ID 中的令牌的继续。 本文假设您已阅读了 Microsoft Entra ID 中的《理解令牌》一文,并提供可以采取的具体步骤,以降低在您的环境中令牌被盗和重播攻击成功的风险。
本文的建议涉及多个Microsoft技术解决方案,这些解决方案具有一系列许可要求。 确保你已获得适当的许可:
- 条件访问
- Microsoft 服务的 Entra Internet 访问
- Microsoft Entra ID 保护系统
- 令牌保护
- Microsoft Intune (最低计划 1)
- Microsoft Defender for Endpoint XDR
针对令牌盗窃的深层防御策略
可以启用多种能力来减少攻击面范围,并降低令牌被成功攻击的风险。 在下一部分中,我们将介绍许多Microsoft安全功能,这些功能分为三类之一:
- 最小化风险:强化或缩小攻击面,使令牌被盗成功的可能性降低。
- 检测 + 缓解:检测令牌被盗成功,并在可能的情况下配置自动缓解。
- 防止重播:阻止重播或减少令牌被盗成功后的影响。
下面是一个总体概要,概述了组织在其防止令牌盗窃的策略中应关注的关键领域。
令牌被盗 - 最小化风险
防止令牌盗窃事件成功发生是保护您的组织的最有效方式。 组织应使用 Microsoft Defender for Endpoint 和 Microsoft Intune 针对基于设备的令牌外泄方法强化设备。 组织还应部署控制措施,以防止用户访问 Internet 上的恶意或有风险的目标。
加强设备安全
执行以下配置和部署,将所有设备/终端设备强化为防范恶意软件盗取令牌的第一道防线。 在开始之前,请确保设备已注册 Intune,并且 已部署 Microsoft Defender for Endpoint 。
| 控制 | Windows 10/11 | macOS | Linux |
|---|---|---|---|
| 启用 Microsoft Defender 防病毒始终开启保护,实现实时保护、行为监控和启发式检测,识别基于已知可疑和恶意活动的恶意软件。 | X | X | X |
| 启用 Microsoft Defender 防病毒云保护 ,以帮助防范终结点和网络上的恶意软件。 | X | X | X |
| 在 Microsoft Defender for Endpoint 中启用网络保护 ,通过阻止连接到恶意或可疑站点来保护设备免受某些基于 Internet 的事件的影响。 | X | X | X |
| 在 Microsoft Defender for Endpoint 中启用篡改防护 ,以防止禁用或更改某些安全设置,例如病毒和威胁防护。 | X | X | - |
| 在 Intune 中创建设备符合性策略,要求 Microsoft Defender for Endpoint 将机器风险级别定为 低 或 清除 以达到符合性。 | X | X | - |
即使设备强化策略已到位,组织也必须 创建一个条件访问策略 ,该策略要求用户使用 合规的设备 来访问所有资源。 这可确保设备已成功部署设备强化配置,并且用户无法访问非托管或不安全设备中的应用程序和资源。
Windows 的其他配置
- 配置 Credential Guard 以隔离本地安全机构,防止从内存中窃取凭据。
- 查看 Windows 注册认证 报告。 验证 Windows 设备是否满足 TPM 要求。 对 TPM 证明失败的任何设备采取纠正措施。
macOS 的其他配置
- 禁用 iCloud 密钥链与 Microsoft Intune 同步 ,以防止同步可能存储在 Keychain 中的 Entra 令牌。
- 为 Apple 设备启用Microsoft企业 SSO 插件 ,使企业应用能够利用主刷新令牌(PRT)进行身份验证。
- 配置适用于 macOS 设备( 安全 enclave)的平台 SSO,以使用硬件绑定加密密钥为 Mac 设备提供安全且防钓鱼的身份验证。
强化移动设备
可以使用 移动威胁防御强化 iOS 和 Android 等移动设备。 移动威胁防御包括一系列功能,可以防范被侵入的设备,以及能够阻止恶意软件从一开始就安装的网络威胁,从而在杀伤链的早期阶段防止令牌外泄和其他威胁。
Microsoft Defender XDR 攻击中断
中间人攻击(AiTM)是 Microsoft Defender XDR 中攻击中断涵盖的场景,它在攻击链的早期阶段提供协调的威胁防御。 部署所有 Defender XDR 工作负载(Defender for Identity、Defender for Office 和 Defender for Cloud Apps),并确保在 Microsoft Defender XDR 中配置攻击阻断,方法是遵循所有记录在案的先决条件和配置。 攻击中断能够在早期阶段检测到 AiTM 攻击,并通过自动将缓解性安全控制应用于终端和身份来中断攻击。
强化防范 Internet 威胁
使用 Microsoft Edge 的组织应启用 Microsoft Defender SmartScreen。 Microsoft Defender SmartScreen 针对可能从事钓鱼攻击,或尝试通过集中式攻击分发恶意软件的网站提供早期警告系统。
Microsoft Entra Internet Access 提供了涵盖整个 Internet 的更多保护。 组织可以将全局安全访问(GSA)客户端部署到受管理设备,以使用 Web 内容筛选阻止恶意和/或未经授权的 Web 内容。 这可减少用户导航到恶意网站的可能性,这可能导致安装恶意软件,否则会破坏设备。 管理员应至少阻止 非法软件 类别,但还应审查并考虑阻止所有 责任 Web 类别。
限制设备代码流的使用
对于具有有限输入功能或缺少 Web 浏览器的设备,设备代码流特别有用。 但是,设备代码流可用作网络钓鱼攻击的一部分,或访问非托管设备上的公司资源。 你可以在条件访问策略中配置设备代码流控制以及其他控制。 例如,如果设备代码流用于基于 Android 的会议室设备,则可以选择阻止除特定网络位置中的 Android 设备以外的任何位置的设备代码流。
只应在必要时允许设备代码流。 Microsoft 建议尽可能阻止设备代码流。
令牌被盗 - 检测和缓解
组织应主动监视成功或尝试的令牌盗窃攻击。 有许多警报是从各种Microsoft产品生成的,这些警报可以指示潜在的令牌被盗或帐户泄露。 下面列出了这些发现的总体概述。 有关如何使用 SIEM 监视、检测和响应已识别的令牌被盗的深入指南,请参阅 令牌盗窃作手册。
条件访问策略
组织应配置以下条件访问策略:
- 需要对敏感操作进行交互式重新验证(身份验证上下文)
- 要求对有风险的登录进行交互式身份验证
- 检测和修正高风险用户
这些条件访问策略提供更自动化的令牌盗窃修正和/或解决可用于基于令牌的攻击的其他威胁途径。
需要对敏感操作进行交互式重新身份验证
组织可以配置某些身份验证环境下的动作,以在正常身份验证流之外触发条件访问策略评估。 例如,可以将条件访问策略配置为在 Privileged Identity Management (PIM) 中,当管理员激活一个角色或用户在应用程序中执行特定操作时进行评估。 管理员应该配置条件访问策略,该策略要求进行交互式的防网络钓鱼身份验证(设置为每次登录都需要验证)以执行被视为敏感的身份验证上下文操作。 如果攻击者无法重新验证身份,将拒绝访问,从而阻止被盗的登录会话操作完成敏感操作。
要求对有风险的登录进行交互式身份验证
使用 Entra ID 身份保护,结合 Microsoft Defender for Endpoint 提供的更多检测能力增强,Entra ID 可以实时检测可疑登录尝试。 例如,如果攻击者窃取并尝试重播刷新令牌,Entra ID Identity Protection 可能会确定登录具有不熟悉的属性,并提升此事件的登录风险级别。 管理员应配置条件访问策略,要求针对中等或更高的登录风险级别进行交互式网络钓鱼防护身份验证(登录频率设置为每次登录)。 如果攻击者无法重新进行身份验证,则拒绝访问,从而阻止被盗的登录会话用于获取或扩展未经授权的访问。
检测和修正高风险用户
通过来自 Microsoft Defender for Endpoint 的更多检测增强功能,Entra ID 标识保护为每个帐户生成用户风险评分,这表示该帐户是否已遭入侵的确定性程度。 如果 Entra ID 或 Microsoft Defender for Endpoint 检测到成功盗取令牌的迹象,则很可能将用户的风险分数设置为 “高”。 发生这种情况时,可以自动阻止或修正帐户(例如,安全密码更改),防止攻击者进一步利用他们可能实现的任何未经授权的访问。
检测到高用户风险时,支持持续访问评估的应用程序会在检测到高用户风险时自动撤销访问权限,将重定向发回 Entra ID 以进行重新身份验证和重新授权。
Microsoft Defender XDR
部署 Defender XDR 工作负载,以针对令牌被盗的可疑或异常行为发出警报。
- 使用 Defender for Office 365 检测和阻止恶意电子邮件、链接和文件
- 使用 Microsoft Defender for Cloud Apps 的 连接器,Microsoft 365 Defender 在多个场景中引发与 AiTM 相关的警报。 对于使用 Microsoft Edge 的 Entra ID 客户,通过适用于 Office 365 和 Azure 的 Defender for Cloud Apps 的连接器,可检测到攻击者尝试通过重播会话 Cookie 以访问云应用程序的行为。
使用 Defender for Cloud Apps 连接器和 Defender for Endpoint 时Microsoft Defender XDR 可能会引发以下警报:
- 使用了被盗的会话 Cookie
- 可能存在的 AiTM 网络钓鱼攻击
其他检测
- 异常令牌
- 中间攻击者
- 不熟悉的登录属性
Microsoft Defender for Office 365 侦测结果
- 发送后删除包含恶意文件的电子邮件
- 送达后被删除的活动电子邮件
- 检测到潜在的恶意 URL 点击
- 用户单击某个潜在恶意 URL
Microsoft Defender for Cloud Apps 异常情况检测
- 不可能的旅行活动
- 来自不常见国家/地区的活动
Microsoft Defender XDR 业务电子邮件泄露缓解措施
- 商业电子邮件泄露(BEC)相关凭证窃取攻击
- BEC 相关用户发送的可疑网络钓鱼电子邮件
令牌被盗 - 防止重播
如果攻击者能够成功窃取令牌,组织可以启用某些功能,以自动减少被盗令牌被重播的风险,从而挫败攻击。 这些功能包括:
- 在条件访问中强制实施令牌保护来保护登录会话
- 仅允许通过安全网络强制访问
强制实施令牌保护
Entra 主刷新令牌
对于已加入 Entra 或 Entra 注册的设备,Entra ID 将生成用于应用程序 SSO 的多应用程序刷新令牌,也称为主刷新令牌(PRT)。
主刷新令牌(PRT)通过加密安全措施与颁发PRT的设备(客户端密钥)之间建立联系,从而受到保护。 在 Windows 设备上,客户端机密安全地存储在特定于平台的硬件(如受信任的平台模块(TPM)上。 如今,非 Windows 设备将机密存储在软件中。
条件访问中的令牌保护
在条件访问中强制实施令牌保护可确保仅使用加密绑定到设备的刷新令牌。 持有者刷新令牌(可从任何设备使用)会自动被拒绝。 此方法提供用于保护登录会话的最高安全级别,因为令牌只能从最初颁发给的设备中使用。 发布此文章时,条件访问中的令牌保护适用于连接到 Microsoft Teams、SharePoint 和 Exchange 的 Windows 本机应用程序。 我们不断努力通过添加对额外平台、应用程序和资源的支持来扩展令牌保护的范围。 有关受支持的应用和资源更新的列表,请参阅本文。 Microsoft Entra 条件访问中的令牌保护 - Microsoft Entra ID |Microsoft Learn。
鼓励组织为所有受支持的应用程序、设备和平台试点和部署令牌保护。 不支持令牌保护的应用程序应受到其他策略(如基于网络的策略)的保护。
请查看以下文章以了解详细信息并获取部署指南: 了解如何配置令牌保护。
注释
条件访问中的令牌保护需要使用 PRT。 使用未注册的设备等方案不可用,因为这些设备没有 PRT。
注释
Entra Token Protection 仅适用于登录到设备的用户。 例如,如果使用标准帐户解锁 Windows 设备,但随后访问另一帐户下进行身份验证的资源,则后一个标识不能受到 Entra 令牌保护的保护,因为它们没有有效的 PRT 可用。
实现基于网络的强制措施
虽然 Entra Token Protection 是保护登录会话令牌的最安全方法,但它在应用程序覆盖范围范围内受到限制,仅适用于登录到设备的用户。 为了进一步减少攻击面,组织可以实施基于网络的强制策略,这些策略可以涵盖更广泛的应用程序,通常涵盖所有企业应用。 基于网络的策略还可以涵盖登录到设备的用户以外的其他标识。
基于网络的策略可防止登录会话工件(如刷新令牌)在指定网络外被重复使用,从而有效地阻止令牌盗窃和重复使用攻击,这些攻击会窃取并重用超出组织边界的登录会话。 尽管内部威胁向量可能仍然由于访问同一网络而构成风险,但强制威胁参与者在组织边界内运行,这大大增加了通过其他安全控制检测和缓解威胁的可能性。
此外,在某些情况下(例如支持持续访问评估的应用程序),这些措施也可以是缓解应用程序会话令牌(如访问令牌)的令牌被盗和重播的有效方法。
使用全局安全访问保护登录会话
组织应部署全局安全访问,在客户端设备和资源(也称为合规网络)之间建立安全网络连接。 然后,管理员可以创建一个条件访问策略,该策略强制使用合规网络访问与 Entra ID 集成的任何企业应用。 此措施可防止从组织未管理的设备重播登录会话工件。
使用传统网络控制保护登录会话
作为合规网络检查的替代方法,组织可以利用传统网络解决方案(如 VPN)来保护登录会话。 然后,管理员可以创建基于位置的条件访问策略,该策略将身份验证尝试限制为特定的出口 IP 地址。 但是,组织应考虑与通过企业网络路由流量相关的性能影响和成本。 因此,Microsoft建议使用全局安全访问,这是一种完全安全的全局分布式安全服务边缘解决方案。
了解如何使用 Entra ID 配置基于位置的条件访问策略。
使用基于网络的强制措施保护应用会话
通过创建基于位置的条件访问策略来限制对特定出口 IP 地址的访问,组织还可以保护其某些应用会话。 Microsoft应用程序的子集(如 SharePoint Online 和 Exchange Online)使用 持续访问评估 (CAE) 协议。 CAE感知应用程序会评估基于网络的执行措施,并几乎实时撤销在非受信网络中重播的应用会话信息。 组织可以通过 使用 CAE 配置严格的位置策略 ,进一步改进基于 IP 的网络强制实施,以确保仅可从受信任的网络访问支持 CAE 的应用的流量。
对于不支持 CAE 的应用程序,组织可以使用应用程序端提供的控件保护其应用会话。 例如,某些应用程序支持在应用程序层执行基于 IP 的强制措施,这与标识提供者(IdP)实施的措施类似。 然后,应用程序拒绝任何受信任网络之外使用的应用会话工件的使用。 可以通过源 IP 锚定与全局安全访问,以及其他传统网络解决方案(例如 VPN),通过公司拥有的网络来隧道应用特定的流量。
令牌保护策略摘要
总之,保护 Microsoft Entra 中的令牌涉及多层深层防御策略,以防止令牌盗窃和重播攻击。 这包括针对恶意软件强化设备、利用基于设备的条件访问和基于风险的条件访问、强制实施设备绑定令牌和实现基于网络的强制措施。 此外,组织应部署防钓鱼多重身份验证、监视可疑登录尝试,并配置条件访问策略以要求对敏感作重新进行身份验证。 通过遵循这些准则,组织可以显著降低未经授权的访问风险,并确保其登录会话和应用会话的安全性。