我們中的許多人至少部分轉(zhuǎn)向了云端，因此擁有混合的本地和云資產(chǎn)，這種訪問程序的混合通常會在網(wǎng)絡(luò)中創(chuàng)建入口點(diǎn)。 

因此，我們需要從第一個問題延伸出更多的問題： 

? 你是否在教育管理員審查他們的流程，并確保這些流程不會成為攻擊者的入口？

? 你是否重新評估了你的網(wǎng)絡(luò)團(tuán)隊(duì)使用的工具？

? 你是否在重新審查多年前為Microsoft 365設(shè)置的配置，并將其與行業(yè)基準(zhǔn)進(jìn)行比較？ 

從評估Entra ID Connect的風(fēng)險開始 

評估風(fēng)險的一個好地方是從Azure Active Directory Connect（現(xiàn)在已被Entra Connect取代）開始，因?yàn)楣粽呓?jīng)常瞄準(zhǔn)這個連接點(diǎn)，因?yàn)樵搸粼谟蛑型ǔ碛蓄~外的權(quán)限。 

特別是，審查SQL服務(wù)器的安裝，確保其設(shè)置了安裝所需的最低權(quán)限。在安裝過程中，默認(rèn)設(shè)置往往被采用，事后沒有進(jìn)行審核以檢查權(quán)限。 

Trimarc Security指出，如果Azure AD Connect安裝在1.1.654.0版本之前，需要審查以下幾個方面，確保連接器帳戶的權(quán)限進(jìn)行了調(diào)整： 

? 禁用服務(wù)帳戶對象上的繼承。

? 刪除服務(wù)帳戶對象上的所有訪問控制條目（ACE），除了專門針對SELF的條目。

? 應(yīng)用微軟文章中提到的鎖定AD DS帳戶訪問部分中引用的權(quán)限。 

如果你已經(jīng)完全遷移到云端，你需要確保完全從企業(yè)中移除Azure AD Connect，包括安裝過程中的任何SQL服務(wù)器實(shí)例。確保檢查你的網(wǎng)絡(luò)中是否安裝了此軟件的痕跡，這可能會帶來風(fēng)險。 

某些工具可能允許攻擊者從本地資產(chǎn)轉(zhuǎn)移到云資產(chǎn) 

接下來，考慮你在使用Entra ID（前稱Azure Active Directory）時使用的工具，這些工具也可能帶來風(fēng)險。 

正如Mandiant指出的那樣，AADInternals是一個PowerShell模塊，當(dāng)被濫用時，可以允許攻擊者從本地資產(chǎn)轉(zhuǎn)移到云資產(chǎn)。你需要確保使用該模塊的服務(wù)器或工作站設(shè)置正確，并且在管理云資產(chǎn)時始終使用特權(quán)訪問工作站。 

一個名為AADIntPTASpy的模塊可以被攻擊者利用，允許他們以任何嘗試使用通過認(rèn)證登錄的用戶身份登錄并獲得訪問權(quán)限。 

正如Mandiant指出的，“攻擊者獲得了本地域的訪問權(quán)限，并能夠橫向移動到AADConnect/PTA代理服務(wù)器。從這臺服務(wù)器上，攻擊者可能利用AADInternals PowerShell模塊并調(diào)用Install-AADIntPTASpy函數(shù)。”這種攻擊將從本地資產(chǎn)轉(zhuǎn)移到云資產(chǎn)。 

Mandiant還指出，如果攻擊者成功攻破了Azure AD全局管理員帳戶，風(fēng)險就會觸發(fā)。“攻擊者可以從自己的基礎(chǔ)設(shè)施發(fā)起攻擊。攻擊者可以在他們管理的服務(wù)器上安裝一個Pass-Through Authentication Agent，并使用被攻破的全局管理員帳戶注冊該代理。” 

識別異常活動可能需要特別關(guān)注 

這些攻擊不容易緩解和檢測，通常需要特別關(guān)注審查身份驗(yàn)證日志以識別異常活動。像Midnight Blizzard（微軟對一個在安全行業(yè)中也被稱為Nobelium或APT29的團(tuán)體的稱呼）和Octo Tempest這樣的威脅行為者，已經(jīng)濫用AADInternals在云環(huán)境中持續(xù)存在并訪問云和本地資源。 

AADInternals是一個用于執(zhí)行各種任務(wù)的有價值工具。例如，你可以使用該模塊來： 

? 枚舉Entra ID用戶。

? 使用設(shè)備加入模塊將設(shè)備注冊到Entra ID。

? 創(chuàng)建新的Entra ID用戶。

? 為特定用戶禁用多因素身份驗(yàn)證（MFA）。

? 使用VM代理在Azure虛擬機(jī)上運(yùn)行命令。

? 收集云服務(wù)的信息，包括SharePoint和Office 365。

? 使用OneDrive訪問云存儲。

? 修改注冊表。

? 轉(zhuǎn)儲本地安全機(jī)構(gòu)（LSA）秘密。

? 偽造Kerberos票證。

? 使用OneDrive for Business API，包括下載文件等功能。 

實(shí)際上，使用這個工具包生成自動Entra ID加入令牌比使用微軟提供的任何工具更容易。因此，阻止這個模塊通常不是你想要做的事情，因?yàn)樗鼮楣芾韱T提供了太多有用的工具。 

限制本地和云之間的訪問和聯(lián)合 

應(yīng)盡可能限制本地和云資產(chǎn)之間的訪問和聯(lián)合。是的，我們已經(jīng)依賴于在云資產(chǎn)和本地之間共享數(shù)據(jù)和認(rèn)證的能力，但這也往往帶來了弱點(diǎn)。 

最近的一篇ProPublica文章聲稱，一名舉報者在基于這些攻擊發(fā)生前幾年就向微軟指出了這些風(fēng)險。雖然SolarWinds供應(yīng)鏈攻擊是入口點(diǎn)，但正是濫用Active Directory聯(lián)合服務(wù)使攻擊者獲得了更多訪問權(quán)限。因此，理解涉及的風(fēng)險，并增加更多的監(jiān)控資源以審查認(rèn)證過程。 

最后，如果你已經(jīng)是Microsoft 365的客戶，并且尚未審查你的安全默認(rèn)設(shè)置和配置，現(xiàn)在是時候進(jìn)行審查了。從微軟到互聯(lián)網(wǎng)安全中心，多年來各個實(shí)體都更新和修訂了基準(zhǔn)。一些基準(zhǔn)有更多的手動步驟，一些則更為自動化。 

此外，你可能還想審查發(fā)布的其他基準(zhǔn)以檢查Intune設(shè)置。其中一個名為OpenIntuneBaseline的GitHub存儲庫結(jié)合了幾個其他基準(zhǔn)的經(jīng)驗(yàn)教訓(xùn)： 

? NCSC設(shè)備安全指南

? CIS Windows基準(zhǔn)

? ACSC Essential Eight

? Intune的Windows、Edge和Defender for Endpoint安全基準(zhǔn)

? 微軟最佳實(shí)踐 

正如網(wǎng)站上所述，“然后使用來自各種MVP博客和社區(qū)資源的信息以及在多個客戶環(huán)境中的豐富個人經(jīng)驗(yàn)，逐層添加了額外的配置。” 

該基準(zhǔn)包括以下關(guān)鍵設(shè)置的配置： 

? 核心設(shè)備安全加固

? 通過BitLocker進(jìn)行設(shè)備加密

? Google Chrome（注意：策略相當(dāng)“反Chrome”以鼓勵使用Edge）

? Microsoft Edge（拆分為多個策略以便于管理）

? Microsoft Office（包括OneDrive已知文件夾移動）

? Microsoft Defender for Endpoint（防病毒、防火墻、ASR規(guī)則）

? Windows LAPS

? Windows Update for Business（交付優(yōu)化、遙測和WUfB報告）

? Windows Update Rings（三環(huán)模型：試點(diǎn)、用戶驗(yàn)收測試和生產(chǎn)）

? Windows Hello for Business

使用這些設(shè)置的資源以確保你的網(wǎng)絡(luò)得到加固，能夠抵御已知的攻擊序列。遵循這些基準(zhǔn)將有助于你限制影響。重新評估你在本地和云資源之間的連接，以確定它是否對你的企業(yè)構(gòu)成可接受的風(fēng)險。 

Susan Bradley的更多內(nèi)容： 

? 可能不值得修補(bǔ)的3個Windows漏洞

? 通過3個邊緣安全步驟降低安全風(fēng)險

? CISO需要了解的關(guān)于Microsoft Copilot+的信息

? 如何為未來做準(zhǔn)備：立即采取行動應(yīng)對計劃中的淘汰和更改

? 向外看：如何防范非Windows網(wǎng)絡(luò)漏洞