共用方式為

設定Microsoft Entra 以提高安全性 (預覽)

在 Microsoft Entra 中,我們會將安全性建議分組為數個主要領域。 此結構可讓組織以邏輯方式將專案分解成相關的消費性區塊。

提示

有些組織可能會依照書面方式接受這些建議,而有些組織可能會選擇根據自己的業務需求進行修改。 在本指南的初始版本中,我們會將焦點放在傳統 員工租使用者。 這些員工租使用者適用於您的員工、內部商務應用程式和其他組織資源。

建議您實作下列所有控件,其中提供授權。 這有助於為建置在此解決方案之上的其他資源提供基礎。 一段時間后,將會新增更多控制件至這份檔。

特殊許可權存取

特殊許可權帳戶是雲端原生身分識別

如果內部部署帳戶遭到入侵,且已同步處理至 Microsoft Entra,攻擊者也可能取得租使用者的存取權。 此風險會增加,因為內部部署環境通常會因為較舊的基礎結構和有限的安全性控制而有更多的受攻擊面。 攻擊者也可能以基礎結構和工具為目標,以啟用內部部署環境與Microsoft Entra 之間的連線能力。 這些目標可能包含像是Microsoft Entra Connect 或 Active Directory 同盟服務之類的工具,這些工具可能會模擬或作其他內部部署用戶帳戶。

如果具有特殊許可權的雲端帳戶與內部部署帳戶同步處理,取得內部部署認證的攻擊者可以使用這些相同的認證來存取雲端資源,並橫向移至雲端環境。

補救動作

針對具有高許可權的每個角色(透過 Microsoft Entra Privileged Identity Management 獲派永久或符合資格),您應該執行下列動作:

  • 檢閱 onPremisesImmutableId 和 onPremisesSyncEnabled 集合的使用者。 請參閱 Microsoft Graph API 使用者資源類型
  • 為這些個人建立僅限雲端的用戶帳戶,並從特殊許可權角色中移除其混合式身分識別。

特殊許可權帳戶已註冊網路釣魚防護方法

若沒有網路釣魚防護驗證方法,特殊許可權使用者更容易遭受網路釣魚攻擊。 這些類型的攻擊會誘使用戶揭露其認證,以授與未經授權的攻擊者存取權。 如果使用非網路釣魚防護驗證方法,攻擊者可能會透過攻擊者中間攻擊等方法攔截認證和令牌,破壞特殊許可權帳戶的安全性。

一旦特殊許可權帳戶或會話因為弱式驗證方法而遭到入侵,攻擊者可能會作帳戶來維護長期存取、建立其他後門,或修改用戶權力。 攻擊者也可以使用遭入侵的特殊許可權帳戶,進一步提升其存取權,並可能控制更敏感的系統。

補救動作

具有特殊許可權的使用者使用網路釣魚防護方法登入

若沒有網路釣魚防護驗證方法,特殊許可權使用者更容易遭受網路釣魚攻擊。 這些類型的攻擊會誘使用戶揭露其認證,以授與未經授權的攻擊者存取權。 如果使用非網路釣魚防護驗證方法,攻擊者可能會透過攻擊者中間攻擊等方法攔截認證和令牌,破壞特殊許可權帳戶的安全性。

一旦特殊許可權帳戶或會話因為弱式驗證方法而遭到入侵,攻擊者可能會作帳戶來維護長期存取、建立其他後門,或修改用戶權力。 攻擊者也可以使用遭入侵的特殊許可權帳戶,進一步提升其存取權,並可能控制更敏感的系統。

補救動作

所有特殊許可權角色指派都會及時啟動,而不會永久啟用

威脅執行者的目標是具特殊許可權的帳戶,因為它們可以存取所需的數據和資源。 這可能包括更多存取您的 Microsoft Entra 租使用者、Microsoft SharePoint 中的數據,或建立長期持續性的能力。 若沒有 Just-In-Time (JIT) 啟用模型,系統管理許可權會持續公開,讓攻擊者有延伸視窗以作未偵測。 Just-In-Time 存取可藉由透過核准、理由和條件式存取原則等額外控制來強制執行限時許可權啟用來降低風險,確保只有在需要且持續時間有限時才會授與高風險許可權。 這項限制可將受攻擊面降到最低、中斷橫向移動,並強制對手觸發可特別監視和拒絕的動作。 若沒有 Just-In-Time 存取權,遭入侵的系統管理員帳戶會授與無限期控制,讓攻擊者停用安全性控制、清除記錄及維護隱形,進而放大入侵的影響。

使用Microsoft Entra Privileged Identity Management (PIM) 提供具特殊許可權角色指派的時間限定 Just-In-Time 存取權。 使用 Microsoft Entra ID Governance 中的存取權檢閱,定期檢閱特殊許可權存取權,以確保持續需要。

補救動作

建立新租用戶的許可權僅限於租使用者建立者角色

如果沒有任何限制,威脅執行者或意圖良好的但未知情的員工可以建立新的Microsoft Entra 租使用者。 根據預設,建立租用戶的用戶會自動指派全域管理員角色。 如果沒有適當的控制,此動作會藉由在組織的治理和可見度之外建立租使用者,來破壞身分識別周邊。 雖然陰影身分識別平臺可能會因令牌發行、品牌模擬、同意網路釣魚或持續性預備基礎結構而遭到惡意探索,但會帶來風險。 由於流氓租使用者可能未系結至企業的系統管理或監視平面,因此傳統防禦不見其建立、活動和潛在濫用。

補救動作

啟用 [限制非系統管理員使用者建立租使用者 ] 設定。 對於需要建立租使用者能力的使用者,請指派租使用者建立者角色。 您也可以檢閱Microsoft Entra 稽核記錄中的租使用者建立事件。

全域管理員沒有 Azure 訂用帳戶的常設存取權

具有 Azure 訂用帳戶持續存取權的全域管理員,可擴充威脅執行者的攻擊面。 如果全域管理員帳戶遭到入侵,攻擊者可以立即列舉資源、修改設定、指派角色,以及跨所有訂用帳戶外洩敏感數據。 需要訂用帳戶存取的 Just-In-Time 提高許可權會引入可偵測的訊號、減緩攻擊者的速度,以及透過可觀察的控制點路由傳送高影響作業。

補救動作

特殊許可權角色啟用已設定監視和警示

沒有適當啟用警示的組織對於高特殊許可權角色缺乏使用者存取這些重要許可權時的可見度。 威脅執行者可以藉由啟用高特殊許可權角色而不需要偵測,然後透過系統管理員帳戶建立或安全策略修改建立持續性,利用此監視缺口來執行許可權提升。 缺少即時警示可讓攻擊者進行橫向移動、修改稽核設定,以及停用安全性控制,而不需要觸發立即回應程式。

補救動作

全域管理員角色啟用會觸發核准工作流程

如果沒有核准工作流程,透過網路釣魚、認證填充或其他驗證略過技術危害全域管理員認證的威脅執行者,可以立即在租用戶中啟用最具特殊許可權的角色,而不需要任何其他驗證或監督。 Privileged Identity Management (PIM) 允許合格角色啟用在幾秒鐘內變成作用中,因此遭入侵的認證可以允許近乎立即的許可權提升。 啟用之後,威脅執行者可以使用全域管理員角色來使用下列攻擊路徑來取得租用戶的持續性存取權:

  • 建立新的特殊許可權帳戶
  • 修改條件式存取原則以排除這些新帳戶
  • 建立替代的驗證方法,例如具有高許可權的憑證式驗證或應用程式註冊

全域管理員角色可讓您存取使用 Microsoft Entra 身分識別的 Microsoft Entra 標識符和服務中的系統管理功能,包括 Microsoft Defender XDR、Microsoft Purview、Exchange Online 和 SharePoint Online。 如果沒有核准大門,威脅執行者可以迅速升級以完成租使用者接管、外洩敏感數據、危害所有用戶帳戶,以及透過服務主體或同盟修改建立長期後門程式,即使偵測到初始入侵之後仍會保存。

補救動作

來賓未獲指派高許可權目錄角色

當來賓使用者獲派高度特殊許可權的目錄角色,例如全域管理員或特殊許可權角色管理員時,組織會建立重要的安全性弱點,威脅執行者可以透過遭入侵的外部帳戶或商務夥伴環境來利用初始存取。 由於來賓使用者來自外部組織,而不需要直接控制安全策略,因此入侵這些外部身分識別的威脅執行者可以取得目標組織Microsoft Entra 租使用者的特殊許可權存取權。

當威脅執行者透過具有較高許可權的遭入侵來賓帳戶取得存取權時,他們可以提升自己的許可權,以建立其他後門帳戶、修改安全策略,或指派自己在組織內的永久角色。 遭入侵的特殊許可權來賓帳戶可讓威脅執行者建立持續性,然後進行所有變更,才能保持未偵測。 例如,他們可以建立僅限雲端的帳戶、略過套用至內部使用者的條件式存取原則,甚至在來賓的主組織偵測到入侵之後仍維持存取權。 威脅執行者接著可以使用系統管理許可權進行橫向移動,以存取敏感性資源、修改稽核設定,或停用整個租使用者的安全性監視。 威脅執行者可以完全入侵組織的身分識別基礎結構,同時透過外部來賓帳戶來源維持合理的可否認性。

補救動作

已設定特殊許可權存取工作站的條件式存取原則

如果特殊許可權角色啟用不限於專用的特殊許可權存取工作站(PAW),威脅執行者可以利用遭入侵的端點裝置來執行非受控或不相容工作站的特殊許可權升級攻擊。 標準生產力工作站通常包含攻擊媒介,例如不受限制的網頁流覽、容易遭受網路釣魚的電子郵件客戶程式,以及具有潛在弱點的本機安裝應用程式。 當系統管理員從這些工作站啟用特殊許可權角色時,透過惡意代碼、瀏覽器惡意探索或社交工程取得初始存取權的威脅執行者可以使用本機快取的特殊許可權認證,或劫持現有的已驗證會話來提升其許可權。 特殊許可權角色啟用會授與跨 Microsoft Entra ID 和連線服務的廣泛系統管理許可權,讓攻擊者可以建立新的系統管理帳戶、修改安全策略、存取所有組織資源的敏感數據,以及在整個環境中部署惡意代碼或後門,以建立持續性存取。 從遭入侵的端點到特殊許可權雲端資源的橫向動作,代表略過許多傳統安全性控制的重要攻擊路徑。 來自已驗證系統管理員會話時,特殊許可權存取看起來合法。

如果這項檢查通過,您的租使用者具有限制PAW裝置特殊許可權角色存取的條件式存取原則,但這不是完全啟用PAW解決方案所需的唯一控制件。 您也需要設定 Intune 裝置組態和合規性原則和裝置篩選器。

補救動作

認證管理

用戶已設定強身份驗證方法

如果多重要素驗證 (MFA) 未普遍強制執行,或存在例外狀況,攻擊者可能會取得存取權。 攻擊者可能會透過透過社交工程技術利用較弱的 MFA 方法弱點,例如簡訊和電話來取得存取權。 這些技術可能包括 SIM 交換或網路釣魚,以攔截驗證碼。

攻擊者可能會使用這些帳戶作為租用戶的進入點。 藉由使用攔截的使用者會話,攻擊者可以將其活動偽裝成合法的使用者動作、逃避偵測,並繼續攻擊,而不會引起懷疑。 從該處,他們可能會嘗試作 MFA 設定,以根據遭入侵帳戶的許可權建立持續性、規劃和執行進一步的攻擊。

補救動作

從舊版 MFA 和 SSPR 原則移轉

Microsoft Entra ID 中的舊版多重要素驗證 (MFA) 和自助式密碼重設 (SSPR) 原則分別管理驗證方法,導致分散的組態和次佳的用戶體驗。 此外,獨立管理這些原則會增加系統管理額外負荷,以及設定錯誤的風險。

移轉至合併的驗證方法原則會將 MFA、SSPR 和無密碼驗證方法的管理合併成單一原則架構。 此統一允許更細微的控制,讓系統管理員以特定驗證方法為目標給使用者群組,並在整個組織中強制執行一致的安全性措施。 此外,統一原則支援新式驗證方法,例如 FIDO2 安全性密鑰和 Windows Hello 企業版,增強組織的安全性狀態。

Microsoft宣佈淘汰舊版 MFA 和 SSPR 原則,淘汰日期設定為 2025 年 9 月 30 日。 建議組織在此日期之前完成移轉至驗證方法原則,以避免潛在的中斷,並受益於統一原則的增強安全性和管理功能。

補救動作

從舊版 MFA 和自助式密碼重設移轉 (SSPR) 原則

當 SMS 和語音通話等弱式驗證方法仍會在Microsoft Entra ID 中啟用時,威脅執行者可以透過多個攻擊媒介利用這些弱點。 一開始,攻擊者通常會透過社交工程或技術掃描,利用這些較弱的驗證方法來識別組織。 然後,他們會透過以使用者認證為目標的認證填充攻擊、密碼噴洒或網路釣魚活動來執行初始存取。 一旦基本認證遭到入侵,威脅執行者會使用SMS和語音型驗證中的固有弱點 -- SMS 訊息可以透過 SIM 交換攻擊、SS7 網路弱點或行動裝置上的惡意代碼攔截,而語音通話容易受到語音網路釣魚 (vishing) 和通話轉送作的影響。 透過略過這些弱式第二個因素,攻擊者藉由註冊自己的驗證方法來達到持續性。 這可讓許可權提升,因為遭入侵的帳戶可用來透過內部網路釣魚或社交工程,以較高許可權的用戶為目標。 最後,威脅執行者會透過資料外洩、橫向移動至關鍵系統或部署其他惡意工具來達成其目標,同時使用安全性記錄中正常出現的合法驗證路徑來維持隱身性。

補救動作

需要系統管理員角色的密碼重設通知

在 Microsoft Entra ID 中設定系統管理員角色的密碼重設通知,可藉由在另一位系統管理員重設其密碼時通知特殊許可權系統管理員來增強安全性。 此可見度可協助偵測可能表示認證洩露或測試人員威脅的未經授權或可疑活動。 如果沒有這些通知,惡意執行者可能會利用提升的許可權來建立持續性、呈報存取權或擷取敏感數據。 主動式通知支援快速動作、保留特殊許可權存取完整性,以及加強整體安全性狀態。

補救動作

驗證器應用程式會顯示登入內容

如果沒有登入內容,威脅執行者可能會透過推播通知來充斥使用者,藉此利用驗證疲勞,增加使用者不小心核准惡意要求的機會。 當使用者在沒有應用程式名稱或地理位置的情況下取得一般推播通知時,他們沒有做出明智的核准決策所需的資訊。 這種缺乏內容可讓使用者容易受到社交工程攻擊,尤其是在威脅執行者在合法用戶活動期間要求時。 當威脅執行者透過認證收集或密碼噴洒攻擊取得初始存取權,然後透過核准來自非預期應用程式或位置的多重要素驗證 (MFA) 要求來嘗試建立持續性時,這種弱點特別危險。 若沒有內容資訊,使用者便無法偵測異常的登入嘗試,讓威脅執行者在略過初始驗證屏障之後,透過系統橫向移動來維持存取權並提升許可權。 如果沒有應用程式和位置內容,安全性小組也會遺失寶貴的遙測,以偵測可疑的驗證模式,以指出進行中的入侵或偵察活動。

補救動作 提供使用者做出明智的核准決策所需的內容。 將驗證方法原則設定為包含應用程式名稱和地理位置,以設定Microsoft Authenticator 通知。

如果沒有使用方式,請關閉無縫 SSO

Microsoft Entra 無縫單一登錄 (無縫 SSO) 是一項舊版驗證功能,其設計目的是為未加入混合式Microsoft Entra ID 的已加入網域裝置提供無密碼存取。 無縫 SSO 依賴 Kerberos 驗證,主要適用於舊版作系統,例如 Windows 7 和 Windows 8.1,不支援主要重新整理令牌 (PRT)。 如果這些舊版系統已不存在於環境中,繼續使用無縫 SSO 會導致不必要的複雜度和潛在的安全性暴露。 威脅執行者可能會利用設定錯誤或過時的 Kerberos 票證,或入侵 AZUREADSSOACC Active Directory 中的電腦帳戶,該帳戶會保存 Microsoft Entra 識別符所使用的 Kerberos 解密密鑰。 一旦遭到入侵,攻擊者就可以模擬使用者、略過新式驗證控件,並取得未經授權的雲端資源存取權。 在不再需要的環境中停用無縫 SSO 可減少受攻擊面,並強制執行使用提供更強保護的新式令牌型驗證機制。

補救動作

存取控制

封鎖舊版驗證

傳統驗證通訊協定,例如 SMTP 和 IMAP 的基本身份驗證不支援新式安全性功能,例如多重要素驗證 (MFA),這對防止未經授權的存取至關重要。 這種缺乏保護可讓使用這些通訊協定的帳戶容易遭受密碼型攻擊,並提供攻擊者使用遭竊或猜測的認證取得初始存取權的方法。

當攻擊者成功取得未經授權的認證存取權時,他們可以使用它們來存取連結的服務,並使用弱式驗證方法作為進入點。 透過舊版驗證取得存取權的攻擊者可能會變更 Microsoft Exchange,例如設定郵件轉寄規則或變更其他設定,讓他們能夠繼續存取敏感性通訊。

舊版驗證也提供攻擊者一致的方法,以使用遭入侵的認證重新進入系統,而不需要觸發安全性警示或要求重新驗證。

攻擊者可以使用舊版通訊協定來存取透過遭入侵帳戶存取的其他系統,從而促進橫向移動。 使用舊版通訊協議的攻擊者可以與合法的用戶活動混為一體,讓安全性小組難以區分一般使用方式和惡意行為。

補救動作

部署下列條件式存取原則:

特殊許可權Microsoft Entra 內建角色是以條件式存取原則為目標,以強制執行網路釣魚防護方法

若沒有網路釣魚防護驗證方法,特殊許可權使用者更容易遭受網路釣魚攻擊。 這些類型的攻擊會誘使用戶揭露其認證,以授與未經授權的攻擊者存取權。 如果使用非網路釣魚防護驗證方法,攻擊者可能會透過攻擊者中間攻擊等方法攔截認證和令牌,破壞特殊許可權帳戶的安全性。

一旦特殊許可權帳戶或會話因為弱式驗證方法而遭到入侵,攻擊者可能會作帳戶來維護長期存取、建立其他後門,或修改用戶權力。 攻擊者也可以使用遭入侵的特殊許可權帳戶,進一步提升其存取權,並可能控制更敏感的系統。

補救動作

限制對高風險使用者的存取

假設任何高風險的使用者都受到威脅執行者入侵。 如果沒有調查和補救,威脅執行者可以執行腳本、部署惡意應用程式或作 API 呼叫,以根據可能遭入侵的用戶許可權來建立持續性。 威脅執行者接著可以利用設定錯誤或濫用 OAuth 令牌,在檔、SaaS 應用程式或 Azure 資源等工作負載之間橫向移動。 威脅執行者可以取得敏感性檔案、客戶記錄或專屬程式代碼的存取權,並透過合法的雲端服務維持隱身性,將其外泄至外部存放庫。 最後,威脅執行者可能會藉由修改組態、加密贖金的數據,或使用遭竊的信息進行進一步攻擊來中斷作業,進而產生財務、信譽和法規後果。

補救動作

限制裝置程式代碼流程

裝置程式代碼流程是專為輸入限制裝置設計的跨裝置驗證流程。 在網路釣魚攻擊中,攻擊者可以起始流程,並誘使用戶在其裝置上完成流程,從而將使用者的令牌傳送給攻擊者。 假設安全性風險和不常合法使用裝置程式代碼流程,您應該啟用條件式存取原則,依默認封鎖此流程。

補救動作

需要使用用戶動作進行裝置加入和裝置註冊的多重要素驗證

威脅執行者可以在新的裝置註冊期間利用缺乏多重要素驗證。 驗證之後,他們可以註冊流氓裝置、建立持續性,並規避系結至受信任端點的安全性控制。 此立足點可讓攻擊者根據攻擊者所使用的帳戶許可權,外洩敏感數據、部署惡意應用程式或橫向移動。 如果沒有 MFA 強制執行,當敵人持續重新驗證、逃避偵測和執行目標時,風險就會呈報。

補救動作

使用雲端驗證

內部部署同盟伺服器藉由作為雲端應用程式的中央驗證點,引進重大攻擊面。 威脅執行者通常會透過網路釣魚、認證填充或惡意探索弱式密碼等攻擊來損害特殊許可權使用者,例如技術支援人員或營運工程師。 它們也可能以基礎結構中未修補的弱點為目標、使用遠端程式代碼執行惡意探索、攻擊 Kerberos 通訊協定,或使用傳遞哈希攻擊來提升許可權。 設定錯誤的遠端訪問工具,例如遠端桌面通訊協定(RDP)、虛擬專用網(VPN)或跳躍伺服器提供其他進入點,而供應鏈入侵或惡意內部人員會進一步增加暴露程度。 一旦進入,威脅執行者就可以作驗證流程、偽造安全性令牌來模擬任何使用者,並轉向雲端環境。 建立持續性,可以停用安全性記錄、逃避偵測,以及外洩敏感數據。

補救動作

已設定具名位置

若未在Microsoft Entra ID 中設定具名位置,威脅執行者就可以利用沒有位置情報進行攻擊,而不需要觸發以位置為基礎的風險偵測或安全性控制。 當組織無法定義受信任網路、分公司和已知地理區域的具名位置時,Microsoft Entra ID Protection 無法評估以位置為基礎的風險訊號。 若沒有這些原則,可能會導致增加誤判,進而造成警示疲勞,並可能遮罩真正的威脅。 此設定差距可防止系統區分合法和非法位置。 例如,來自公司網路的合法登入,以及來自高風險位置的可疑驗證嘗試(匿名 Proxy 網路、Tor 結束節點或組織沒有業務存在的區域)。 威脅執行者可以使用這種不確定性來執行認證填充攻擊、密碼噴洒活動,以及惡意基礎結構的初始存取嘗試,而不會觸發通常將這類活動標幟為可疑的位置型偵測。 組織也可以失去實作自適性安全策略的能力,這些原則可以自動套用更嚴格的驗證需求,或完全封鎖來自不受信任的地理區域的存取。 威脅執行者可以維持持續性,並從任何全域位置進行橫向移動,而不需要遇到以位置為基礎的安全性屏障,這應該是針對未經授權的存取嘗試提供額外的防禦層。

補救動作

應用程式管理

非使用中應用程式沒有高許可權Microsoft圖形 API 許可權

攻擊者可能會惡意探索有效但非使用中應用程式,這些應用程式仍具有較高的許可權。 這些應用程式可以用來取得初始存取權,而不會引發警示,因為它們是合法的應用程式。 從該處,攻擊者可以使用應用程式許可權來規劃或執行其他攻擊。 攻擊者也可以藉由作非使用中的應用程式來維護存取權,例如新增認證。 此持續性可確保即使偵測到其主要存取方法,他們稍後仍可重新取得存取權。

補救動作

非使用中應用程式沒有高許可權的內建角色

攻擊者可能會惡意探索有效但非使用中應用程式,這些應用程式仍具有較高的許可權。 這些應用程式可以用來取得初始存取權,而不會引發警示,因為它們是合法的應用程式。 從該處,攻擊者可以使用應用程式許可權來規劃或執行其他攻擊。 攻擊者也可以藉由作非使用中的應用程式來維護存取權,例如新增認證。 此持續性可確保即使偵測到其主要存取方法,他們稍後仍可重新取得存取權。

補救動作

應用程式未設定秘密

使用用戶端密碼的應用程式可能會將它們儲存在組態檔中、以腳本硬式編碼,或以其他方式風險暴露。 秘密管理的複雜性使得客戶端密碼容易受到洩漏和對攻擊者的吸引力。 用戶端密碼在公開時,可讓攻擊者能夠將其活動與合法作業混合,讓您更容易略過安全性控制。 如果攻擊者入侵應用程式的用戶端密碼,他們可以根據應用程式的許可權,提升系統內的許可權,導致更廣泛的存取和控制。

具有 Microsoft Graph API 或其他 API 許可權的應用程式和服務主體具有較高的風險,因為攻擊者可能會利用這些額外的許可權。

補救動作

應用程式沒有到期時間超過180天的憑證

如果憑證未安全地儲存,攻擊者可以擷取和惡意探索,導致未經授權的存取。 長時間保存的憑證可能會隨著時間公開。 認證在公開時,讓攻擊者能夠將其活動與合法作業混合,讓您更容易略過安全性控制。 如果攻擊者入侵應用程式的憑證,他們可以提升系統內的許可權,進而根據應用程式的許可權,進行更廣泛的存取和控制。

補救動作

應用程式憑證必須定期輪替

如果未定期輪替憑證,他們可能會為威脅執行者提供延伸視窗來擷取和惡意探索它們,進而導致未經授權的存取。 當這類認證公開時,攻擊者可以將其惡意活動與合法的作業混為一體,讓您更容易略過安全性控制。 如果攻擊者入侵應用程式的憑證,他們可以提升系統內的許可權,進而根據應用程式的許可權,進行更廣泛的存取和控制。

查詢具有憑證認證的所有服務主體和應用程式註冊。 請確定憑證開始日期小於 180 天。

補救動作

建立新的應用程式和服務主體僅限於特殊許可權的使用者

如果非特殊許可權的使用者可以建立應用程式和服務主體,這些帳戶可能會設定錯誤或獲得比必要更多的許可權,為攻擊者建立新的向量以取得初始存取權。 攻擊者可以利用這些帳戶在環境中建立有效的認證,並略過某些安全性控制。

如果這些非特殊許可權的帳戶被錯誤地授與提升許可權的應用程式擁有者許可權,攻擊者可以使用它們從較低層級的存取權移至更高許可權的存取層級。 入侵非特殊許可權帳戶的攻擊者可能會新增自己的認證,或變更與非特殊許可權使用者所建立的應用程式相關聯的許可權,以確保他們能夠繼續存取未偵測到的環境。

攻擊者可以使用服務主體與合法的系統進程和活動混合。 由於服務主體通常會執行自動化工作,因此在這些帳戶下執行的惡意活動可能不會標示為可疑。

補救動作

應用程式註冊使用安全的重新導向 URI

使用包含通配符、localhost 或 URL 縮短器的 URL 所設定的 OAuth 應用程式會增加威脅執行者的攻擊面。 不安全的重新導向 URI(回復 URL)可能會允許敵人將使用者導向至攻擊者控制的端點,以作驗證要求、劫持授權碼,以及攔截令牌。 通配符專案藉由允許非預期的網域處理驗證回應來擴充風險,而localhost和縮短程式URL則可能有助於在不受控制的環境中進行網路釣魚和令牌竊取。

若未嚴格驗證重新導向 URI,攻擊者可以略過安全性控制、模擬合法應用程式,並提升其許可權。 此設定錯誤可讓持續性、未經授權的存取和橫向移動,因為敵人利用弱式 OAuth 強制執行來滲透未偵測到的受保護資源。

補救動作

服務主體使用安全的重新導向URI

以包含通配符、localhost 或 URL 縮短器之 URL 設定的非Microsoft和多租使用者應用程式會增加威脅執行者的攻擊面。 這些不安全的重新導向 URI(回復 URL)可能會允許敵人將使用者導向攻擊者控制端點,以作驗證要求、劫持授權碼,以及攔截令牌。 通配符專案藉由允許非預期的網域處理驗證回應來擴充風險,而localhost和縮短程式URL則可能有助於在不受控制的環境中進行網路釣魚和令牌竊取。

若未嚴格驗證重新導向 URI,攻擊者可以略過安全性控制、模擬合法應用程式,並提升其許可權。 此設定錯誤可讓持續性、未經授權的存取和橫向移動,因為敵人利用弱式 OAuth 強制執行來滲透未偵測到的受保護資源。

補救動作

在 Microsoft Entra 租使用者中啟用系統管理員同意工作流程,是一項重要的安全性措施,可降低與未經授權的應用程式存取和許可權提升相關聯的風險。 這項檢查很重要,因為它可確保要求提高許可權的任何應用程式在獲得同意之前,都經過指定系統管理員的檢閱程式。 Microsoft Entra 識別碼中的系統管理員同意工作流程會通知評估及核准或拒絕根據應用程式合法性和必要性同意要求的檢閱者。 如果這項檢查未通過,表示工作流程已停用,任何應用程式都可以要求並可能接收提高的許可權,而不需要系統管理檢閱。 這會造成大量安全性風險,因為惡意執行者可能會利用此缺乏監督,以取得未經授權的敏感數據存取權、執行許可權提升或執行其他惡意活動。

補救動作

針對系統管理員同意要求,將 [使用者可以要求系統管理員同意] 設定為 [] 的應用程式。 指定其他設定,例如誰可以檢閱要求。

應用程式註冊不得懸置或放棄網域重新導向 URI

應用程式註冊中未受管理或孤立的重新導向 URI 會在參考不再指向作用中資源的網域時,造成重大安全性弱點。 威脅執行者可以在廢棄網域布建資源,以利用這些「懸空」DNS 專案,有效地控制重新導向端點。 此弱點可讓攻擊者在 OAuth 2.0 流程期間攔截驗證令牌和認證,這可能會導致未經授權的存取、會話劫持,以及潛在的更廣泛的組織入侵。

補救動作

根據風險原則設定工作負載身分識別

在 entra 識別碼中,根據風險原則設定工作負載身分識別的風險型條件式存取原則 Microsoft,以確保只有受信任的和已驗證的工作負載會使用敏感性資源。 如果沒有這些原則,威脅執行者可以使用最少的偵測來危害工作負載身分識別,並執行進一步的攻擊。 如果沒有條件控制來偵測異常活動和其他風險,則不會檢查惡意作業,例如令牌偽造、敏感性資源的存取,以及工作負載中斷。 缺乏自動化內含機制會增加停留時間,並影響重要服務的機密性、完整性和可用性。

補救動作 建立工作負載身分識別的風險型條件式存取原則。

已為所有多租使用者應用程式設定應用程式實例屬性鎖定

應用程式實例屬性鎖定可防止在應用程式布建在另一個租用戶中之後,變更多租用戶應用程式的敏感性屬性。 如果沒有鎖定,應用程式認證等重要屬性可能會遭到惡意或無意修改、造成中斷、風險增加、未經授權的存取或許可權提升。

補救動作 為所有多租使用者應用程式啟用應用程式實例屬性鎖定,並指定要鎖定的屬性。

讓群組擁有者同意Microsoft Entra ID 中的應用程式,會建立橫向呈報路徑,讓威脅執行者在沒有系統管理員認證的情況下保存和竊取數據。 如果攻擊者入侵群組擁有者帳戶,他們可以註冊或使用惡意應用程式,並同意限定於群組的高許可權 Graph API 許可權。 攻擊者可能會讀取所有 Teams 訊息、存取 SharePoint 檔案,或管理群組成員資格。 此同意動作會建立具有委派或應用程式許可權的長期應用程式身分識別。 攻擊者會使用 OAuth 令牌維護持續性、從小組頻道和檔案竊取敏感數據,以及透過傳訊或電子郵件許可權模擬使用者。 若未集中強制執行應用程式同意原則,安全性小組就會失去可見度,且惡意應用程式會分散在雷達下,讓跨共同作業平台進行多階段攻擊。

補救動作 設定預先核准 Resource-Specific 同意 (RSC) 許可權。

Microsoft服務應用程式未設定認證

Microsoft租使用者中運作的服務應用程式會識別為擁有者組織標識碼為 “f8cdef31-a31e-4b4a-93e4-5f571e91255a” 的服務主體。當這些服務主體在您的租用戶中設定認證時,它們可能會建立威脅執行者可能會惡意探索的潛在攻擊媒介。 如果系統管理員已新增認證,且不再需要認證,他們就可以成為攻擊者的目標。 雖然在特殊許可權活動上採取適當的預防性和偵測控制措施的可能性較低,但威脅執行者也可以惡意新增認證。 不論是哪一種情況,威脅執行者都可以使用這些認證來驗證為服務主體,並取得與Microsoft服務應用程式相同的許可權和訪問許可權。 如果應用程式具有高階許可權,則此初始存取可能會導致許可權提升,允許跨租用戶橫向移動。 攻擊者接著可以透過建立其他後門認證,繼續進行數據外泄或持續性建立。

當您租使用者中的這些服務主體設定認證(例如客戶端密碼或憑證)時,這表示某人 -- 系統管理員或惡意執行者 - 可讓他們在環境中獨立進行驗證。 應調查這些認證,以確定其合法性和必要性。 如果不再需要它們,應該將其移除以降低風險。

如果未通過這項檢查,建議是「調查」,因為您必須識別並檢閱任何已設定未使用認證的應用程式。

補救動作

  • 確認新增的認證是否仍然是有效的使用案例。 如果沒有,請從Microsoft服務應用程式移除認證,以降低安全性風險。
    • 在 Microsoft Entra 系統管理中心,流覽至 Entra ID>應用程式註冊,然後選取受影響的應用程式。
    • 移至 [ 憑證與秘密] 區 段,並移除不再需要的任何認證。

外部共同作業

來賓無法邀請其他來賓

外部用戶帳戶通常用來提供與企業有業務關係之組織的商務夥伴存取權。 如果這些帳戶在其組織中遭到入侵,攻擊者可以使用有效的認證來取得您環境的初始存取權,通常會因為其合法性而略過傳統防禦。

允許外部使用者將其他外部用戶上線會增加未經授權的存取風險。 如果攻擊者入侵外部用戶帳戶,他們可以使用它來建立更多外部帳戶、將存取點相乘,以及更難偵測入侵。

補救動作

來賓對目錄物件的存取受到限制

外部用戶帳戶通常用來提供與企業有業務關係之組織的商務夥伴存取權。 如果這些帳戶在其組織中遭到入侵,攻擊者可以使用有效的認證來取得您環境的初始存取權,通常會因為其合法性而略過傳統防禦。

具有讀取目錄物件許可權的外部帳戶,如果遭到入侵,攻擊者會提供更廣泛的初始存取權。 這些帳戶可讓攻擊者從目錄收集其他資訊以進行偵察。

補救動作

來賓存取受到強式驗證方法的保護

外部用戶帳戶通常用來提供屬於與組織有業務關係之組織的商務夥伴存取權。 如果這些帳戶在其組織中遭到入侵,攻擊者可以使用有效的認證來取得您環境的初始存取權,通常會因為其合法性而略過傳統防禦。

如果多重要素驗證 (MFA) 未普遍強制執行,或存在例外狀況,攻擊者可能會取得外部用戶帳戶的存取權。 他們也可能利用簡訊和電話等弱式 MFA 方法的弱點,利用 SIM 交換或網路釣魚等社交工程技術來攔截驗證碼,以取得存取權。

一旦攻擊者取得沒有 MFA 或具有弱式 MFA 方法之會話的帳戶存取權後,他們可能會嘗試作 MFA 設定(例如註冊攻擊者受控制的方法),以根據遭入侵帳戶的許可權建立持續性來規劃和執行進一步的攻擊。

補救動作

已設定輸出跨租使用者存取設定

允許與未驗證組織進行不受限制的外部共同作業可能會增加租用戶的風險介面區,因為它允許可能沒有適當安全性控制的來賓帳戶。 威脅執行者可以藉由入侵這些鬆散管理的外部租使用者中的身分識別來嘗試取得存取權。 授與來賓存取權之後,他們就可以使用合法的共同作業路徑來滲透租使用者中的資源,並嘗試取得敏感性資訊。 威脅執行者也可以利用設定錯誤的許可權來提升許可權,並嘗試不同類型的攻擊。

若未審查您共同作業的組織安全性,惡意外部帳戶可以保存未偵測、外泄機密數據,以及插入惡意承載。 這種類型的暴露可能會削弱組織控制,並啟用跨租用戶攻擊,略過傳統的周邊防禦,並破壞數據完整性和作復原能力。 Microsoft Entra 中輸出存取的跨租用戶設定,可讓您默認封鎖與未知組織的共同作業,以減少受攻擊面。

補救動作

已設定租使用者限制 v2 原則

租使用者限制 v2 (TRv2) 可讓組織強制執行原則,限制存取指定的 Microsoft Entra 租使用者,防止未經授權的公司數據外流至外部租使用者使用本機帳戶。 如果沒有 TRv2,威脅執行者就可以利用此弱點,這會導致潛在的數據外泄和合規性違規,如果這些外部租使用者具有較弱的控制,則接著進行認證收集。 取得認證之後,威脅執行者就可以取得這些外部租使用者的初始存取權。 TRv2 提供機制來防止使用者向未經授權的租用戶進行驗證。 否則,威脅執行者可以橫向移動、提升許可權,並可能外洩敏感數據,同時顯示為合法的用戶活動,略過以內部租使用者監視為重點的傳統數據外泄防護控制。

實作 TRv2 會強制執行原則來限制對指定租使用者的存取,藉由確保驗證和數據存取僅限於授權的租使用者,以減輕這些風險。

如果這項檢查通過,您的租用戶已設定 TRv2 原則,但需要更多步驟來驗證案例的端對端。

補救動作

監測

診斷設定已針對所有Microsoft Entra 記錄進行設定

Microsoft Entra 中的活動記錄和報告可協助偵測未經授權的存取嘗試,或識別租用戶組態何時變更。 當記錄封存或與安全性資訊和事件管理 (SIEM) 工具整合時,安全性小組可以實作功能強大的監視和偵測安全性控制、主動式威脅搜捕和事件回應程式。 記錄和監視功能可用來評估租使用者健康情況,並提供合規性和稽核的證據。

如果未定期封存記錄或傳送至 SIEM 工具進行查詢,調查登入問題很困難。 沒有歷程記錄表示安全性小組可能會錯過失敗登入嘗試、異常活動和其他入侵指標的模式。 這種缺乏可見度可以防止及時偵測到缺口,讓攻擊者能夠長時間維持未偵測到的存取權。

補救動作

沒有舊版驗證登入活動

傳統驗證通訊協定,例如 SMTP 和 IMAP 的基本身份驗證不支援新式安全性功能,例如多重要素驗證 (MFA),這對防止未經授權的存取至關重要。 這種缺乏保護可讓使用這些通訊協定的帳戶容易遭受密碼型攻擊,並提供攻擊者使用遭竊或猜測的認證取得初始存取權的方法。

當攻擊者成功取得未經授權的認證存取權時,他們可以使用它們來存取連結的服務,並使用弱式驗證方法作為進入點。 透過舊版驗證取得存取權的攻擊者可能會變更 Microsoft Exchange,例如設定郵件轉寄規則或變更其他設定,讓他們能夠繼續存取敏感性通訊。

舊版驗證也提供攻擊者一致的方法,以使用遭入侵的認證重新進入系統,而不需要觸發安全性警示或要求重新驗證。

攻擊者可以使用舊版通訊協定來存取透過遭入侵帳戶存取的其他系統,從而促進橫向移動。 使用舊版通訊協議的攻擊者可以與合法的用戶活動混為一體,讓安全性小組難以區分一般使用方式和惡意行為。

補救動作

所有使用者登入活動都會使用強式驗證方法

如果多重要素驗證 (MFA) 未普遍強制執行,或存在例外狀況,攻擊者可能會取得存取權。 攻擊者可能會透過透過社交工程技術利用較弱的 MFA 方法弱點,例如簡訊和電話來取得存取權。 這些技術可能包括 SIM 交換或網路釣魚,以攔截驗證碼。

攻擊者可能會使用這些帳戶作為租用戶的進入點。 藉由使用攔截的使用者會話,攻擊者可以將其活動偽裝成合法的使用者動作、逃避偵測,並繼續攻擊,而不會引起懷疑。 從該處,他們可能會嘗試作 MFA 設定,以根據遭入侵帳戶的許可權建立持續性、規劃和執行進一步的攻擊。

補救動作

所有高風險的用戶都會分級

Microsoft Entra ID Protection 視為高風險的使用者,威脅執行者很有可能遭到入侵。 威脅執行者可以透過遭入侵的有效帳戶取得初始存取權,即使觸發風險指標,仍會繼續其可疑活動。 這項監督可以啟用持續性,因為威脅執行者執行通常需要調查的活動,例如不尋常的登入模式或可疑的收件匣作。

缺乏這些有風險的使用者分級,可讓展開偵察活動和橫向移動,異常行為模式會繼續產生未調查的警示。 威脅執行者變得大膽,因為安全性小組顯示,他們不會主動響應風險指標。

補救動作

所有高風險的登入都會分級

Microsoft Entra ID Protection 標幟的風險性登入表示未經授權的存取嘗試機率很高。 威脅執行者會使用這些登入來取得初始立足點。 如果這些登入仍不受調查,敵人可以藉由以合法使用者的幌子重複驗證來建立持續性。

缺乏回應可讓攻擊者執行偵察、嘗試呈報其存取權,並融入一般模式。 當未受審的登入繼續產生警示,而且沒有介入時,安全性差距會擴大,促進橫向移動和防禦逃避,因為敵人認識到沒有主動的安全性回應。

補救動作

高優先順序的 Entra 建議已解決

讓高優先順序Microsoft Entra 建議的取消加入可能會造成組織安全性狀態的差距,從而提供威脅執行者利用已知弱點的機會。 對這些專案不採取行動可能會導致受攻擊面區增加、次佳作業或用戶體驗不佳。

補救動作

所有Microsoft Entra 建議都會解決

Microsoft Entra 建議可讓組織有機會實作最佳做法,並將其安全性狀態優化。 對這些專案不採取行動可能會導致受攻擊面區增加、次佳作業或用戶體驗不佳。

補救動作

使用者登入活動使用令牌保護

威脅執行者可以攔截或擷取來自記憶體的驗證令牌、合法裝置上的本機記憶體,或檢查網路流量。 攻擊者可能會重新執行這些令牌,以略過使用者和裝置上的驗證控制、未經授權存取敏感數據,或執行進一步的攻擊。 由於這些令牌有效且有時間限制,傳統異常偵測通常無法標記活動,這可能會允許持續存取,直到令牌到期或撤銷為止。

令牌保護也稱為令牌系結,可藉由確定令牌只能從預定裝置使用,協助防止令牌遭竊。 令牌保護會使用密碼編譯,如此一來,若沒有客戶端裝置密鑰,則沒有人可以使用令牌。

補救動作
建立條件式存取原則來設定令牌保護。

已啟用標識碼保護通知

如果您未啟用標識碼保護通知,當威脅執行者入侵用戶帳戶或進行偵察活動時,您的組織會遺失重要的實時警示。 當Microsoft Entra ID Protection 偵測到有風險的帳戶時,它會傳送電子郵件警示,其中 偵測到有風險的使用者作為主旨,並連結到 標示為風險報告的使用者 。 如果沒有這些通知,安全性小組仍不知道作用中的威脅,讓威脅執行者在不偵測到的情況下維持遭入侵帳戶中的持續性。 您可以將這些風險饋送至條件式存取之類的工具,以進行存取決策,或將它們傳送至安全性資訊和事件管理 (SIEM) 工具,以進行調查和相互關聯。 威脅執行者可以使用此偵測缺口來執行橫向動作活動、許可權提升嘗試或數據外泄作業,而系統管理員仍不知道進行中的入侵。 延遲的回應可讓威脅執行者建立更多持續性機制、變更用戶權力或存取敏感性資源,才能修正問題。 若未主動通知風險偵測,組織必須完全依賴手動監視風險報告,這可大幅增加偵測和回應身分識別型攻擊所需的時間。

補救動作

免費安全性功能

啟用Microsoft項目標識碼安全性預設值

在 Microsoft Entra 中啟用安全性預設值對於具有 Microsoft Entra Free 授權的組織而言,對於防範身分識別相關攻擊的組織而言,至關重要。 這些攻擊可能會導致未經授權的存取、財務損失和信譽損失。 安全性預設值要求所有用戶註冊多重要素驗證 (MFA)、確保系統管理員使用 MFA,以及封鎖舊版驗證通訊協定。 這可大幅降低成功攻擊的風險,因為超過99% 常見的身分識別相關攻擊會使用MFA並封鎖舊版驗證來停止。 安全性預設值提供不需額外費用的基準保護,讓所有組織都能存取基準保護。

補救動作

相關內容