本文是 理解 Microsoft Entra ID 中的標識碼的延續。 本文假設您已閱讀瞭解Microsoft Entra ID 中的令牌,並提供您可以採取的具體步驟來降低環境中成功竊取/重新執行攻擊的風險。
本文的建議橫跨多個具有各種授權需求的多個Microsoft技術解決方案。 請確定您有適當的授權:
- 條件式存取
- Microsoft 服務的 Microsoft Entra Internet Access
- Microsoft Entra ID 保護
- 令牌保護
- Microsoft Intune (最低方案 1)
- 適用於端點 XDR 的 Microsoft Defender
針對令牌竊取的深度防禦策略
您可以啟用數個功能來減少受攻擊面區域,並降低成功入侵令牌的風險。 在下一節中,我們將涵蓋許多Microsoft安全性功能,分為三個類別之一:
- 將風險降至最低:強化或減少受攻擊面,使成功竊取令牌變得更加困難。
- 偵測 + 緩解:偵測成功的令牌竊取,並設定自動緩解措施(如有可能)。
- 防止重播:封鎖重播或減少成功的令牌竊取影響。
以下是提供關鍵領域的高層次摘要,組織應該專注於做為防止令牌被竊取策略的一部分。
令牌竊取 – 將風險降至最低
防止第一次發生成功的令牌竊取事件,是保護貴組織的最有效方式。 組織應使用 Microsoft Defender 適用於端點和 Microsoft Intune,強化對抗裝置上令牌外泄的方法來保護裝置。 組織也應該部署控制措施,以防止使用者存取因特網上的惡意或有風險的目的地。
強化您的裝置
執行下列設定和部署,以強化所有裝置/端點作為防範惡意代碼型令牌竊取的前線。 開始之前,請確定您的裝置已向Intune註冊,且 已部署適用於端點的Defender Microsoft 。
| 管理 | Windows 10/11 | macOS | Linux |
|---|---|---|---|
| 啟用 Microsoft Defender 防病毒軟體一律開啟保護 ,以即時保護、行為監視和啟發學習法,根據已知的可疑和惡意活動來識別惡意代碼。 | X | X | X |
| 啟用 Microsoft Defender 防病毒軟體雲端保護 ,以協助防範端點和網路上的惡意代碼。 | X | X | X |
| 在適用於端點的 Defender Microsoft 中啟用網路保護 ,以防止連線到惡意或可疑網站,以保護裝置免受特定因特網事件的影響。 | X | X | X |
| 在 Microsoft 適用於端點的 Defender 中啟用竄改防護,以保護特定安全性設定,例如病毒和威脅防護,免於被停用或變更。 | X | X | - |
| 在 Intune 中建立裝置合規性規範,該規範要求 Microsoft Defender 進階威脅防護將機器風險等級標示為 低 或 清除,以符合合規性。 | X | X | - |
即使已就地使用裝置強化原則,組織也必須建立條件式 存取原則 ,要求使用者使用 符合規範的裝置 來存取所有資源。 這可確保您的裝置已成功部署裝置強化設定,且使用者無法從非受控或不安全的裝置存取應用程式和資源。
Windows 的其他設定
- 設定 Credential Guard 以隔離本機安全性授權單位,以防止認證被從記憶體竊取。
- 檢閱 您的 Windows 註冊證明 報告。 驗證您的 Windows 裝置符合您的 TPM 需求。 對 TPM 證明失敗的任何裝置採取更正動作。
macOS 的其他設定
- 停用 iCloud Keychain 與 Microsoft Intune 同步 ,以防止同步處理可能儲存在 Keychain 中的 Entra 令牌。
- 為 Apple 裝置啟用Microsoft Enterprise SSO 外掛程式 ,讓企業應用程式能夠利用主要重新整理令牌 (PRT) 進行驗證。
- 設定適用於macOS裝置的平臺SSO (安全區域),以使用硬體綁定的加密金鑰,為 Mac 裝置提供安全且防網路釣魚的驗證。
強化行動裝置
iOS 和 Android 等行動裝置可以使用 行動威脅防禦來強化。 行動威脅防禦包含一系列功能,可防範遭入侵的裝置,以及可阻止惡意代碼一開始就安裝的 Web 威脅,防止在終止鏈中早期發生令牌外洩(和其他威脅)。
Microsoft Defender XDR 攻擊中斷
中間的敵人 (AiTM) 是Microsoft Defender XDR 攻擊中斷的涵蓋案例,可在攻擊的殺傷鏈早期提供協調的威脅防禦。 部署所有 Defender XDR 工作負載(適用於身分識別的 Defender、適用於 Office 的 Defender 和適用於 Cloud Apps 的 Defender),並遵循所有記載 的必要條件和設定,確定在 Microsoft Defender XDR 中設定攻擊中斷。 攻擊中斷機制會在早期階段偵測 AiTM 攻擊,並藉由自動將緩解安全控制套用至端點和身分識別來中斷攻擊。
強化防範因特網威脅
使用 Microsoft Edge 的組織應該啟用 Microsoft Defender SmartScreen。 Microsoft Defender SmartScreen 可針對可能從事網路釣魚攻擊或嘗試透過聚焦攻擊散佈惡意程式碼的網站,協助提供一套早期警告系統。
Microsoft Entra Internet Access 提供涵蓋整個因特網的更多保護。 組織可以將全域安全存取 (GSA) 用戶端部署到受管理裝置,以使用 Web 內容篩選來封鎖惡意和/或未經授權的 Web 內容。 這可降低使用者流覽至惡意網站的可能性,這可能會導致安裝惡意代碼,否則會危害裝置。 系統管理員至少應封鎖 非法軟體 類別,但也應該檢閱並考慮封鎖所有 責任網頁類別。
限制裝置程式代碼流程的使用
裝置程式代碼流程特別適用於具有有限輸入功能或缺少網頁瀏覽器的裝置。 不過,裝置程式代碼流程可作為網路釣魚攻擊的一部分,或用來存取非受控裝置上的公司資源。 您可以在條件式存取原則中設定裝置程式碼流程控制項,以及其他控制項。 例如,如果裝置代碼流程用於 Android 型會議室裝置,您可能會選擇在所有地方封鎖裝置代碼流程,但特定網路位置中的 Android 裝置除外。
您應該只在必要的位置中允許裝置程式碼流程。 Microsoft 建議盡可能封鎖裝置程式碼流程。
令牌竊取 - 偵測並減輕
組織應該主動監視成功或嘗試的令牌竊取攻擊。 許多警示是從各種 Microsoft 產品產生的,這些警示可能指示潛在的令牌竊取或帳戶遭到入侵。 以下列出這些偵測的高階摘要。 如需如何使用 SIEM 監視、偵測及回應已識別令牌竊取的深入指南,請參閱 令牌竊取劇本。
條件式存取原則
組織應該設定下列條件式存取原則:
- 需要針對敏感作業進行互動式重新驗證(驗證情境)
- 針對有風險的登入要求互動式驗證
- 偵測並補救高風險使用者
這些條件式存取原則提供更自動化的令牌竊取補救和/或解決可用於令牌型攻擊的其他威脅向量。
對敏感操作要求互動式重新驗證
組織可以使用驗證內容來設定特定動作,以在一般驗證流程之外觸發條件式存取原則的評估。 例如,條件式存取原則可以設定為評估系統管理員在 Privileged Identity Management (PIM) 中啟動角色,或當使用者在應用程式內執行特定動作時。 系統管理員應設定條件式存取原則,以要求每次登入時進行互動式網路釣魚防護驗證,用於執行已視為敏感的驗證情境動作。 如果攻擊者無法重新驗證,就會拒絕存取,以防止遭竊的登入會話用來完成敏感性作業。
對有風險的登入要求互動式驗證
透過 Microsoft Defender for Endpoint 提供的更多偵測來增強 Entra ID 身分識別保護,Entra ID 可以即時偵測可疑的登入嘗試。 例如,如果攻擊者竊取並嘗試重新執行重新整理令牌,Entra ID Identity Protection 可能會識別登入具有不熟悉的屬性,並提升此事件的登入風險層級。 系統管理員應設定條件式存取原則,以每次登入都需要互動式防網路釣魚驗證的方式,適用於中等或更高的登入風險層級。 如果攻擊者無法重新驗證,就會拒絕存取,防止遭竊的登入會話用來取得或延伸未經授權的存取。
偵測並補救高風險使用者
透過 Microsoft Defender for Endpoint 提供更多偵測來增強 Entra ID Identity Protection,Entra ID 會為每個帳戶生成使用者風險分數,以指示帳戶是否遭到入侵的確定性層級。 如果 Entra ID 或 Microsoft Defender for Endpoint 偵測到成功竊取令牌的跡象,則用戶的風險分數很可能設定為 高。 發生這種情況時,您可以自動封鎖或採取補救措施,例如變更密碼,以防止攻擊者進一步利用他們可能已達成的任何未經授權的存取。
在偵測到高用戶風險時,支持持續存取評估的應用程式會在偵測到高用戶風險時,自動撤銷存取權,並將重新導向傳回 Entra ID 以進行重新驗證和重新授權。
Microsoft Defender XDR
部署Defender XDR工作負載,以警示有關令牌竊取的可疑或異常行為。
- 使用 適用於 Office 365 的 Defender 來偵測及封鎖惡意電子郵件、鏈接和檔案
- 使用 Microsoft Defender for Cloud Apps 的 連接器,Microsoft 365 Defender 會在多個案例中引發 AiTM 相關警示。 針對使用 Microsoft Edge 的 Entra ID 客戶,攻擊者嘗試重播會話 Cookie 以存取雲端應用程式時,會由用於 Office 365 和 Azure 的 Cloud Apps 用 Defender 連接器偵測到。
使用適用於 Cloud Apps 的 Defender 連接器和適用於端點的 Defender 時,Microsoft Defender XDR 可能會引發下列警示:
- 已使用遭竊的會話 Cookie
- 疑似中間人攻擊 (AiTM) 網路釣魚嘗試
其他偵測
- 異常代幣
- 中間攻擊者
- 不熟悉的登入特性
Microsoft Defender for Office 365 偵測項目
- 傳遞後移除包含惡意檔案的電子郵件訊息
- 傳遞後從活動中移除的電子郵件訊息
- 偵測到潛在的惡意URL點擊
- 用戶點選到潛在的惡意 URL
Microsoft Defender for Cloud Apps 異常偵測
- 不可能的旅行活動
- 來自不常使用國家/地區的活動。
Microsoft Defender XDR Business Email Compromise 風險降低
- 商務電子郵件入侵(BEC)相關憑證竊取攻擊
- BEC 相關用戶傳送的可疑網路釣魚電子郵件
令牌竊取 – 防止重放攻击
如果攻擊者能夠成功竊取令牌,組織可以啟用某些功能,以自動減少遭竊令牌的暴露,使其無法重新執行,從而擊敗攻擊。 這些功能包括:
- 強制條件式存取中的令牌保護來保護登入會話
- 僅允許透過安全網路強制執行存取
強制執行令牌保護
Entra 主要刷新令牌
對於已加入 Entra 或 Entra 註冊的裝置,Entra ID 會產生用於應用程式 SSO 的多應用程式重新整理令牌,也稱為主要重新整理令牌 (PRT)。
主要重新整理令牌 (PRT) 會受到 PRT 與 PRT 發出之裝置(用戶端密碼)之間的密碼編譯安全系結保護。 在 Windows 裝置上,客戶端密碼會安全地儲存在平臺特定硬體上,例如信賴平臺模組 (TPM)。 目前,非 Windows 裝置會將秘密儲存在軟體中。
條件式存取中的令牌保護
在條件式存取中強制執行令牌保護可確保只會使用以密碼編譯方式系結至裝置的重新整理令牌。 持有人重新整理令牌,可從任何裝置使用,會自動遭到拒絕。 此方法提供最高層級的安全性來保護登入會話,因為令牌只能從原本發行的裝置使用。 在此文章發佈時,條件式存取中的令牌保護可供連線到 Microsoft Teams、SharePoint 和 Exchange 的 Windows 原生應用程式使用。 我們會藉由新增對額外平臺、應用程式和資源的支持,持續努力擴充令牌保護的範圍。 如需支援的應用程式和資源的更新清單,請參閱這篇文章。 Microsoft Entra 條件式存取中的令牌保護 - Microsoft Entra ID |Microsoft Learn。
鼓勵組織試驗並部署所有支援的應用程式、裝置和平臺的令牌保護。 不支援令牌保護的應用程式應該與其他政策一起被保護,例如網路型政策。
請參閱下列文章以深入瞭解並取得部署指引: 瞭解如何設定令牌保護。
備註
條件式存取中的令牌保護需要使用PRT。 無法使用未註冊裝置之類的案例,因為這些裝置沒有PRT。
備註
Entra Token Protection 僅適用於登入裝置的使用者。 例如,如果您使用標準帳戶解除鎖定 Windows 裝置,但接著存取以不同帳戶進行驗證的資源,則後一個身分識別無法受到 Entra Token Protection 的保護,因為它們沒有有效的 PRT 可用。
實作網路型強制執行
雖然 Entra Token Protection 是保護登入會話令牌的最安全方法,但其應用程式涵蓋範圍有限,且僅適用於登入裝置的使用者。 為了進一步降低受攻擊面,組織可以實作網路型強制執行原則,以涵蓋更廣泛的應用程式,通常涵蓋所有企業應用程式。 網路型原則也可以涵蓋登入裝置的使用者以外的其他身分識別。
網路型原則防止登入會話的工件(例如,刷新令牌)在指定網路之外被重播,有效地阻止令牌竊取和重播攻擊,這些攻擊會使登入會話洩露到超出組織邊界的地方。 雖然內部威脅向量可能仍然因為其存取相同網路而造成風險,但強制威脅執行者在您的組織界限內運作,可大幅提高透過其他安全性控制來偵測和減輕威脅的可能性。
此外,在某些案例中,例如支持持續存取評估的應用程式,這些措施也可以是降低令牌竊取和重新執行應用程式會話令牌的有效方式,例如存取令牌。
使用全域安全存取保護登入會話
組織應部署全域安全存取,以建立用戶端裝置與資源之間的安全網路連線,也稱為相容網路。 系統管理員接著可以建立條件式存取原則,以授權使用相容的網路來存取任何與 Entra ID 整合的企業應用程式。 此措施可防止從組織未管理的裝置重播登入會話憑證。
使用傳統網路控件保護登入會話
除了使用符合規範的網路檢查外,組織還可以利用傳統的網路解決方案,例如 VPN,來保障登入工作階段的安全。 然後,系統管理員可以建立以位置為基礎的條件式存取原則,以限制特定輸出IP位址的驗證嘗試。 不過,組織應該考慮透過公司網路路由傳送流量的效能影響和成本。 因此,Microsoft建議使用全域安全存取,這是一個完全安全的全域分散式 Security Service Edge 解決方案。
瞭解如何使用 Entra ID 設定以位置為基礎的條件式存取原則。
使用網路型強制執行來保護應用程式會話
藉由建立限制特定輸出IP位址存取的位置型條件式存取原則,組織也可以保護其部分應用程式會話。 Microsoft應用程式子集,例如 SharePoint Online 和 Exchange Online,使用 持續存取評估 (CAE) 通訊協定。 CAE 感知應用程式會評估基於網路的控制措施,並在近乎即時的狀態下撤銷在受信任網路之外被重播的應用程式會話記錄。 組織可以透過 CAE 設定嚴格的位置 原則,進一步改善 IP 型網路強制執行,以確保僅可從信任的網路存取 CAE 應用程式的流量。
對於不支援 CAE 的應用程式,組織可以使用應用程式端可用的控件來保護其應用程式會話。 例如,有些應用程式不僅實施由識別提供者 (IdP) 強制執行的規範,還支援在應用層進行 IP 型強制執行。 然後,應用程式會拒絕接受在受信任網路之外使用的任何應用程式會話憑證。 將應用程式特定流量引導至公司擁有的網路,可以利用全域安全存取的來源 IP 錨定,以及其他傳統網路解決方案,例如,VPN 來達成。
令牌保護策略摘要
總而言之,保護Microsoft Entra 中的令牌牽涉到多層式深度防禦策略,以防範令牌竊取和重新執行攻擊。 這包括針對惡意代碼強化裝置、利用裝置型和風險型條件式存取、強制執行裝置系結令牌,以及實作網路型強制執行。 此外,組織應該部署防網路釣魚多重要素驗證、監視可疑的登入嘗試,以及設定條件式存取原則以要求重新驗證敏感性作業。 遵循這些指導方針,組織可以大幅降低未經授權的存取風險,並確保其登入會話和應用程式會話的安全性。