目前，任何維護Windows網絡安全的人都需要問幾個關鍵問題以避免參與一些非常危險的行為，其中最重要的可能是——你是否意識到你網絡中的工具可能帶來的更多風險?

　　我們中的許多人至少部分轉向了云端，因此擁有混合的本地和云資產，這種訪問程序的混合通常會在網絡中創建入口點。

　　因此，我們需要從第一個問題延伸出更多的問題：

　　• 你是否在教育管理員審查他們的流程，并確保這些流程不會成為攻擊者的入口?

　　• 你是否重新評估了你的網絡團隊使用的工具?

　　• 你是否在重新審查多年前為Microsoft 365設置的配置，并將其與行業基準進行比較?

　　從評估Entra ID Connect的風險開始

　　評估風險的一個好地方是從Azure Active Directory Connect(現在已被Entra Connect取代)開始，因為攻擊者經常瞄準這個連接點，因為該帳戶在域中通常擁有額外的權限。

　　特別是，審查SQL服務器的安裝，確保其設置了安裝所需的最低權限。在安裝過程中，默認設置往往被采用，事后沒有進行審核以檢查權限。

　　Trimarc Security指出，如果Azure AD Connect安裝在1.1.654.0版本之前，需要審查以下幾個方面，確保連接器帳戶的權限進行了調整：

　　• 禁用服務帳戶對象上的繼承。

　　• 刪除服務帳戶對象上的所有訪問控制條目(ACE)，除了專門針對SELF的條目。

　　• 應用微軟文章中提到的鎖定AD DS帳戶訪問部分中引用的權限。

　　如果你已經完全遷移到云端，你需要確保完全從企業中移除Azure AD Connect，包括安裝過程中的任何SQL服務器實例。確保檢查你的網絡中是否安裝了此軟件的痕跡，這可能會帶來風險。

　　某些工具可能允許攻擊者從本地資產轉移到云資產

　　接下來，考慮你在使用Entra ID(前稱Azure Active Directory)時使用的工具，這些工具也可能帶來風險。

　　正如Mandiant指出的那樣，AADInternals是一個PowerShell模塊，當被濫用時，可以允許攻擊者從本地資產轉移到云資產。你需要確保使用該模塊的服務器或工作站設置正確，并且在管理云資產時始終使用特權訪問工作站。

　　一個名為AADIntPTASpy的模塊可以被攻擊者利用，允許他們以任何嘗試使用通過認證登錄的用戶身份登錄并獲得訪問權限。

　　正如Mandiant指出的，“攻擊者獲得了本地域的訪問權限，并能夠橫向移動到AADConnect/PTA代理服務器。從這臺服務器上，攻擊者可能利用AADInternals PowerShell模塊并調用Install-AADIntPTASpy函數。”這種攻擊將從本地資產轉移到云資產。

　　Mandiant還指出，如果攻擊者成功攻破了Azure AD全局管理員帳戶，風險就會觸發。“攻擊者可以從自己的基礎設施發起攻擊。攻擊者可以在他們管理的服務器上安裝一個Pass-Through Authentication Agent，并使用被攻破的全局管理員帳戶注冊該代理。”

　　識別異常活動可能需要特別關注

　　這些攻擊不容易緩解和檢測，通常需要特別關注審查身份驗證日志以識別異常活動。像Midnight Blizzard(微軟對一個在安全行業中也被稱為Nobelium或APT29的團體的稱呼)和Octo Tempest這樣的威脅行為者，已經濫用AADInternals在云環境中持續存在并訪問云和本地資源。

　　AADInternals是一個用于執行各種任務的有價值工具。例如，你可以使用該模塊來：

　　• 枚舉Entra ID用戶。

　　• 使用設備加入模塊將設備注冊到Entra ID。

　　• 創建新的Entra ID用戶。

　　• 為特定用戶禁用多因素身份驗證(MFA)。

　　• 使用VM代理在Azure虛擬機上運行命令。

　　• 收集云服務的信息，包括SharePoint和Office 365.

　　• 使用OneDrive訪問云存儲。

　　• 修改注冊表。

　　• 轉儲本地安全機構(LSA)秘密。

　　• 偽造Kerberos票證。

　　• 使用OneDrive for Business API，包括下載文件等功能。

　　實際上，使用這個工具包生成自動Entra ID加入令牌比使用微軟提供的任何工具更容易。因此，阻止這個模塊通常不是你想要做的事情，因為它為管理員提供了太多有用的工具。

　　限制本地和云之間的訪問和聯合

　　應盡可能限制本地和云資產之間的訪問和聯合。是的，我們已經依賴于在云資產和本地之間共享數據和認證的能力，但這也往往帶來了弱點。

　　最近的一篇ProPublica文章聲稱，一名舉報者在基于這些攻擊發生前幾年就向微軟指出了這些風險。雖然SolarWinds供應鏈攻擊是入口點，但正是濫用Active Directory聯合服務使攻擊者獲得了更多訪問權限。因此，理解涉及的風險，并增加更多的監控資源以審查認證過程。

　　最后，如果你已經是Microsoft 365的客戶，并且尚未審查你的安全默認設置和配置，現在是時候進行審查了。從微軟到互聯網安全中心，多年來各個實體都更新和修訂了基準。一些基準有更多的手動步驟，一些則更為自動化。

　　此外，你可能還想審查發布的其他基準以檢查Intune設置。其中一個名為OpenIntuneBaseline的GitHub存儲庫結合了幾個其他基準的經驗教訓：

　　• NCSC設備安全指南

　　• CIS Windows基準

　　• ACSC Essential Eight

　　• Intune的Windows、Edge和Defender for Endpoint安全基準

　　• 微軟最佳實踐

　　正如網站上所述，“然后使用來自各種MVP博客和社區資源的信息以及在多個客戶環境中的豐富個人經驗，逐層添加了額外的配置。”

　　該基準包括以下關鍵設置的配置：

　　• 核心設備安全加固

　　• 通過BitLocker進行設備加密

　　• Google Chrome(注意：策略相當“反Chrome”以鼓勵使用Edge)

　　• Microsoft Edge(拆分為多個策略以便于管理)

　　• Microsoft Office(包括OneDrive已知文件夾移動)

　　• Microsoft Defender for Endpoint(防病毒、防火墻、ASR規則)

　　• Windows LAPS

　　• Windows Update for Business(交付優化、遙測和WUfB報告)

　　• Windows Update Rings(三環模型：試點、用戶驗收測試和生產)

　　• Windows Hello for Business

　　使用這些設置的資源以確保你的網絡得到加固，能夠抵御已知的攻擊序列。遵循這些基準將有助于你限制影響。重新評估你在本地和云資源之間的連接，以確定它是否對你的企業構成可接受的風險。

　　Susan Bradley的更多內容：

　　• 可能不值得修補的3個Windows漏洞

　　• 通過3個邊緣安全步驟降低安全風險

　　• CISO需要了解的關于Microsoft Copilot+的信息

　　• 如何為未來做準備：立即采取行動應對計劃中的淘汰和更改

　　• 向外看：如何防范非Windows網絡漏洞