目前,任何维护Windows网络安全的人都需要问几个关键问题以避免参与一些非常危险的行为,其中最重要的可能是——你是否意识到你网络中的工具可能带来的更多风险?
我们中的许多人至少部分转向了云端,因此拥有混合的本地和云资产,这种访问程序的混合通常会在网络中创建入口点。
因此,我们需要从第一个问题延伸出更多的问题:
• 你是否在教育管理员审查他们的流程,并确保这些流程不会成为攻击者的入口?
• 你是否重新评估了你的网络团队使用的工具?
• 你是否在重新审查多年前为Microsoft 365设置的配置,并将其与行业基准进行比较?
从评估Entra ID Connect的风险开始
评估风险的一个好地方是从Azure Active Directory Connect(现在已被Entra Connect取代)开始,因为攻击者经常瞄准这个连接点,因为该帐户在域中通常拥有额外的权限。
特别是,审查SQL服务器的安装,确保其设置了安装所需的最低权限。在安装过程中,默认设置往往被采用,事后没有进行审核以检查权限。
Trimarc Security指出,如果Azure AD Connect安装在1.1.654.0版本之前,需要审查以下几个方面,确保连接器帐户的权限进行了调整:
• 禁用服务帐户对象上的继承。
• 删除服务帐户对象上的所有访问控制条目(ACE),除了专门针对SELF的条目。
• 应用微软文章中提到的锁定AD DS帐户访问部分中引用的权限。
如果你已经完全迁移到云端,你需要确保完全从企业中移除Azure AD Connect,包括安装过程中的任何SQL服务器实例。确保检查你的网络中是否安装了此软件的痕迹,这可能会带来风险。
某些工具可能允许攻击者从本地资产转移到云资产
接下来,考虑你在使用Entra ID(前称Azure Active Directory)时使用的工具,这些工具也可能带来风险。
正如Mandiant指出的那样,AADInternals是一个PowerShell模块,当被滥用时,可以允许攻击者从本地资产转移到云资产。你需要确保使用该模块的服务器或工作站设置正确,并且在管理云资产时始终使用特权访问工作站。
一个名为AADIntPTASpy的模块可以被攻击者利用,允许他们以任何尝试使用通过认证登录的用户身份登录并获得访问权限。
正如Mandiant指出的,“攻击者获得了本地域的访问权限,并能够横向移动到AADConnect/PTA代理服务器。从这台服务器上,攻击者可能利用AADInternals PowerShell模块并调用Install-AADIntPTASpy函数。”这种攻击将从本地资产转移到云资产。
Mandiant还指出,如果攻击者成功攻破了Azure AD全局管理员帐户,风险就会触发。“攻击者可以从自己的基础设施发起攻击。攻击者可以在他们管理的服务器上安装一个Pass-Through Authentication Agent,并使用被攻破的全局管理员帐户注册该代理。”
识别异常活动可能需要特别关注
这些攻击不容易缓解和检测,通常需要特别关注审查身份验证日志以识别异常活动。像Midnight Blizzard(微软对一个在安全行业中也被称为Nobelium或APT29的团体的称呼)和Octo Tempest这样的威胁行为者,已经滥用AADInternals在云环境中持续存在并访问云和本地资源。
AADInternals是一个用于执行各种任务的有价值工具。例如,你可以使用该模块来:
• 枚举Entra ID用户。
• 使用设备加入模块将设备注册到Entra ID。
• 创建新的Entra ID用户。
• 为特定用户禁用多因素身份验证(MFA)。
• 使用VM代理在Azure虚拟机上运行命令。
• 收集云服务的信息,包括SharePoint和Office 365.
• 使用OneDrive访问云存储。
• 修改注册表。
• 转储本地安全机构(LSA)秘密。
• 伪造Kerberos票证。
• 使用OneDrive for Business API,包括下载文件等功能。
实际上,使用这个工具包生成自动Entra ID加入令牌比使用微软提供的任何工具更容易。因此,阻止这个模块通常不是你想要做的事情,因为它为管理员提供了太多有用的工具。
限制本地和云之间的访问和联合
应尽可能限制本地和云资产之间的访问和联合。是的,我们已经依赖于在云资产和本地之间共享数据和认证的能力,但这也往往带来了弱点。
最近的一篇ProPublica文章声称,一名举报者在基于这些攻击发生前几年就向微软指出了这些风险。虽然SolarWinds供应链攻击是入口点,但正是滥用Active Directory联合服务使攻击者获得了更多访问权限。因此,理解涉及的风险,并增加更多的监控资源以审查认证过程。
最后,如果你已经是Microsoft 365的客户,并且尚未审查你的安全默认设置和配置,现在是时候进行审查了。从微软到互联网安全中心,多年来各个实体都更新和修订了基准。一些基准有更多的手动步骤,一些则更为自动化。
此外,你可能还想审查发布的其他基准以检查Intune设置。其中一个名为OpenIntuneBaseline的GitHub存储库结合了几个其他基准的经验教训:
• NCSC设备安全指南
• CIS Windows基准
• ACSC Essential Eight
• Intune的Windows、Edge和Defender for Endpoint安全基准
• 微软最佳实践
正如网站上所述,“然后使用来自各种MVP博客和社区资源的信息以及在多个客户环境中的丰富个人经验,逐层添加了额外的配置。”
该基准包括以下关键设置的配置:
• 核心设备安全加固
• 通过BitLocker进行设备加密
• Google Chrome(注意:策略相当“反Chrome”以鼓励使用Edge)
• Microsoft Edge(拆分为多个策略以便于管理)
• Microsoft Office(包括OneDrive已知文件夹移动)
• Microsoft Defender for Endpoint(防病毒、防火墙、ASR规则)
• Windows LAPS
• Windows Update for Business(交付优化、遥测和WUfB报告)
• Windows Update Rings(三环模型:试点、用户验收测试和生产)
• Windows Hello for Business
使用这些设置的资源以确保你的网络得到加固,能够抵御已知的攻击序列。遵循这些基准将有助于你限制影响。重新评估你在本地和云资源之间的连接,以确定它是否对你的企业构成可接受的风险。
Susan Bradley的更多内容:
• 可能不值得修补的3个Windows漏洞
• 通过3个边缘安全步骤降低安全风险
• CISO需要了解的关于Microsoft Copilot+的信息
• 如何为未来做准备:立即采取行动应对计划中的淘汰和更改
• 向外看:如何防范非Windows网络漏洞