我們中的許多人至少部分轉(zhuǎn)向了云端，因此擁有混合的本地和云資產(chǎn)，這種訪問程序的混合通常會(huì)在網(wǎng)絡(luò)中創(chuàng)建入口點(diǎn)。?

因此，我們需要從第一個(gè)問題延伸出更多的問題：?

? 你是否在教育管理員審查他們的流程，并確保這些流程不會(huì)成為攻擊者的入口？

? 你是否重新評(píng)估了你的網(wǎng)絡(luò)團(tuán)隊(duì)使用的工具？

? 你是否在重新審查多年前為Microsoft 365設(shè)置的配置，并將其與行業(yè)基準(zhǔn)進(jìn)行比較？?

從評(píng)估Entra ID Connect的風(fēng)險(xiǎn)開始?

評(píng)估風(fēng)險(xiǎn)的一個(gè)好地方是從Azure Active Directory Connect（現(xiàn)在已被Entra Connect取代）開始，因?yàn)楣粽呓?jīng)常瞄準(zhǔn)這個(gè)連接點(diǎn)，因?yàn)樵搸粼谟蛑型ǔ碛蓄~外的權(quán)限。?

特別是，審查SQL服務(wù)器的安裝，確保其設(shè)置了安裝所需的最低權(quán)限。在安裝過程中，默認(rèn)設(shè)置往往被采用，事后沒有進(jìn)行審核以檢查權(quán)限。?

Trimarc Security指出，如果Azure AD Connect安裝在1.1.654.0版本之前，需要審查以下幾個(gè)方面，確保連接器帳戶的權(quán)限進(jìn)行了調(diào)整：?

? 禁用服務(wù)帳戶對(duì)象上的繼承。

? 刪除服務(wù)帳戶對(duì)象上的所有訪問控制條目（ACE），除了專門針對(duì)SELF的條目。

? 應(yīng)用微軟文章中提到的鎖定AD DS帳戶訪問部分中引用的權(quán)限。?

如果你已經(jīng)完全遷移到云端，你需要確保完全從企業(yè)中移除Azure AD Connect，包括安裝過程中的任何SQL服務(wù)器實(shí)例。確保檢查你的網(wǎng)絡(luò)中是否安裝了此軟件的痕跡，這可能會(huì)帶來風(fēng)險(xiǎn)。?

某些工具可能允許攻擊者從本地資產(chǎn)轉(zhuǎn)移到云資產(chǎn)?

接下來，考慮你在使用Entra ID（前稱Azure Active Directory）時(shí)使用的工具，這些工具也可能帶來風(fēng)險(xiǎn)。?

正如Mandiant指出的那樣，AADInternals是一個(gè)PowerShell模塊，當(dāng)被濫用時(shí)，可以允許攻擊者從本地資產(chǎn)轉(zhuǎn)移到云資產(chǎn)。你需要確保使用該模塊的服務(wù)器或工作站設(shè)置正確，并且在管理云資產(chǎn)時(shí)始終使用特權(quán)訪問工作站。?

一個(gè)名為AADIntPTASpy的模塊可以被攻擊者利用，允許他們以任何嘗試使用通過認(rèn)證登錄的用戶身份登錄并獲得訪問權(quán)限。?

正如Mandiant指出的，“攻擊者獲得了本地域的訪問權(quán)限，并能夠橫向移動(dòng)到AADConnect/PTA代理服務(wù)器。從這臺(tái)服務(wù)器上，攻擊者可能利用AADInternals PowerShell模塊并調(diào)用Install-AADIntPTASpy函數(shù)。”這種攻擊將從本地資產(chǎn)轉(zhuǎn)移到云資產(chǎn)。?

Mandiant還指出，如果攻擊者成功攻破了Azure AD全局管理員帳戶，風(fēng)險(xiǎn)就會(huì)觸發(fā)?！肮粽呖梢詮淖约旱幕A(chǔ)設(shè)施發(fā)起攻擊。攻擊者可以在他們管理的服務(wù)器上安裝一個(gè)Pass-Through Authentication Agent，并使用被攻破的全局管理員帳戶注冊該代理?！?

識(shí)別異?；顒?dòng)可能需要特別關(guān)注?

這些攻擊不容易緩解和檢測，通常需要特別關(guān)注審查身份驗(yàn)證日志以識(shí)別異?；顒?dòng)。像Midnight Blizzard（微軟對(duì)一個(gè)在安全行業(yè)中也被稱為Nobelium或APT29的團(tuán)體的稱呼）和Octo Tempest這樣的威脅行為者，已經(jīng)濫用AADInternals在云環(huán)境中持續(xù)存在并訪問云和本地資源。?

AADInternals是一個(gè)用于執(zhí)行各種任務(wù)的有價(jià)值工具。例如，你可以使用該模塊來：?

? 枚舉Entra ID用戶。

? 使用設(shè)備加入模塊將設(shè)備注冊到Entra ID。

? 創(chuàng)建新的Entra ID用戶。

? 為特定用戶禁用多因素身份驗(yàn)證（MFA）。

? 使用VM代理在Azure虛擬機(jī)上運(yùn)行命令。

? 收集云服務(wù)的信息，包括SharePoint和Office 365。

? 使用OneDrive訪問云存儲(chǔ)。

? 修改注冊表。

? 轉(zhuǎn)儲(chǔ)本地安全機(jī)構(gòu)（LSA）秘密。

? 偽造Kerberos票證。

? 使用OneDrive for Business API，包括下載文件等功能。?

實(shí)際上，使用這個(gè)工具包生成自動(dòng)Entra ID加入令牌比使用微軟提供的任何工具更容易。因此，阻止這個(gè)模塊通常不是你想要做的事情，因?yàn)樗鼮楣芾韱T提供了太多有用的工具。?

限制本地和云之間的訪問和聯(lián)合?

應(yīng)盡可能限制本地和云資產(chǎn)之間的訪問和聯(lián)合。是的，我們已經(jīng)依賴于在云資產(chǎn)和本地之間共享數(shù)據(jù)和認(rèn)證的能力，但這也往往帶來了弱點(diǎn)。?

最近的一篇ProPublica文章聲稱，一名舉報(bào)者在基于這些攻擊發(fā)生前幾年就向微軟指出了這些風(fēng)險(xiǎn)。雖然SolarWinds供應(yīng)鏈攻擊是入口點(diǎn)，但正是濫用Active Directory聯(lián)合服務(wù)使攻擊者獲得了更多訪問權(quán)限。因此，理解涉及的風(fēng)險(xiǎn)，并增加更多的監(jiān)控資源以審查認(rèn)證過程。?

最后，如果你已經(jīng)是Microsoft 365的客戶，并且尚未審查你的安全默認(rèn)設(shè)置和配置，現(xiàn)在是時(shí)候進(jìn)行審查了。從微軟到互聯(lián)網(wǎng)安全中心，多年來各個(gè)實(shí)體都更新和修訂了基準(zhǔn)。一些基準(zhǔn)有更多的手動(dòng)步驟，一些則更為自動(dòng)化。?

此外，你可能還想審查發(fā)布的其他基準(zhǔn)以檢查Intune設(shè)置。其中一個(gè)名為OpenIntuneBaseline的GitHub存儲(chǔ)庫結(jié)合了幾個(gè)其他基準(zhǔn)的經(jīng)驗(yàn)教訓(xùn)：?

? NCSC設(shè)備安全指南

? CIS Windows基準(zhǔn)

? ACSC Essential Eight

? Intune的Windows、Edge和Defender for Endpoint安全基準(zhǔn)

? 微軟最佳實(shí)踐?

正如網(wǎng)站上所述，“然后使用來自各種MVP博客和社區(qū)資源的信息以及在多個(gè)客戶環(huán)境中的豐富個(gè)人經(jīng)驗(yàn)，逐層添加了額外的配置?！?

該基準(zhǔn)包括以下關(guān)鍵設(shè)置的配置：?

? 核心設(shè)備安全加固

? 通過BitLocker進(jìn)行設(shè)備加密

? Google Chrome（注意：策略相當(dāng)“反Chrome”以鼓勵(lì)使用Edge）

? Microsoft Edge（拆分為多個(gè)策略以便于管理）

? Microsoft Office（包括OneDrive已知文件夾移動(dòng)）

? Microsoft Defender for Endpoint（防病毒、防火墻、ASR規(guī)則）

? Windows LAPS

? Windows Update for Business（交付優(yōu)化、遙測和WUfB報(bào)告）

? Windows Update Rings（三環(huán)模型：試點(diǎn)、用戶驗(yàn)收測試和生產(chǎn)）

? Windows Hello for Business

使用這些設(shè)置的資源以確保你的網(wǎng)絡(luò)得到加固，能夠抵御已知的攻擊序列。遵循這些基準(zhǔn)將有助于你限制影響。重新評(píng)估你在本地和云資源之間的連接，以確定它是否對(duì)你的企業(yè)構(gòu)成可接受的風(fēng)險(xiǎn)。?

Susan Bradley的更多內(nèi)容：?

? 可能不值得修補(bǔ)的3個(gè)Windows漏洞

? 通過3個(gè)邊緣安全步驟降低安全風(fēng)險(xiǎn)

? CISO需要了解的關(guān)于Microsoft Copilot+的信息

? 如何為未來做準(zhǔn)備：立即采取行動(dòng)應(yīng)對(duì)計(jì)劃中的淘汰和更改

? 向外看：如何防范非Windows網(wǎng)絡(luò)漏洞