與 AD (混合帳戶) 同步的特權 Entra 帳戶

HIGH

說明

如果貴公司已設定目錄同步選項,例如與「Microsoft Entra Connect」(前稱「Azure AD Connect」) 或「Microsoft Entra Cloud Sync」(前稱「Azure AD Connect Cloud Sync」) 同步目錄,以將使用者 (及其他內容 ) 從內部部署 Active Directory 同步至雲端 Entra ID,建議您為 Entra ID 中的特權角色使用混合 AD 帳戶。然而,這樣做會讓攻擊者有機會在入侵 Active Directory 後擴展對 Entra ID 的惡意控制​。他們會運用多項技術假冒任何 AD 使用者,也會將這種假冒方式套用至 Entra ID。

為此,Microsoft 在「保護 Microsoft 365 免受本地攻擊」文章中對此做法提出警告,認為「Microsoft 365 中不應存在任何具有管理特權的內部部署帳戶」,同時 Microsoft 還建議您確保「沒有內部部署帳戶對 Microsoft 365 具有較高的權限」。此外,在設定 Microsoft Entra 以提高安全性中也建議「特權帳戶是雲端原生身分識別」。

解決方案

Microsoft 在「保護 Microsoft 365 不受內部部署攻擊」文章中建議「針對 Entra 和 Microsoft 365 特權角色使用雲端專用帳戶」。在「Microsoft Entra 角色的最佳做法」中進一步強調:「9. 為 Microsoft Entra 角色使用雲端原生帳戶。避免使用內部部署同步帳戶來指派 Microsoft Entra 角色。如果您的內部部署帳戶受到入侵,那麼您的 Microsoft Entra 資源也可能會受害。」

雲端專用帳戶是指在 Entra ID 中建立,但未與 Active Directory 同步的帳戶,這類帳戶與混合帳戶截然不同。您必須在分配所有特權 Entra 角色時使用專屬的雲端專用帳戶。

此外,擁有雲端專用 Entra 特權帳戶的個人通常亦有 Active Directory 帳戶。為了防止在發生 AD 入侵時暴露其 AD 密碼,他們應針對自己的 Active Directory 和 Entra 帳戶使用不同的密碼,將 Entra 帳戶完全隔離開來。提高對獨立密碼重要性的意識,以便使帳戶隔離措施發揮效用。

安全性最佳做法還建議為特權角色建立一個單獨的帳戶,以隔離雲端專用的特權帳戶 (使用不同密碼) 與其常規的 Entra 帳戶 (可以是混合帳戶)。

在建立雲端專用帳戶並培訓其所有者,使所有者了解帳戶用途和使用方法後,將此曝險指標發現的混合帳戶上所有的特權角色,改派給新的雲端專用帳戶。

指標詳細資料

名稱: 與 AD (混合帳戶) 同步的特權 Entra 帳戶

代碼名稱: PRIVILEGED-ENTRA-ACCOUNT-SYNCHRONIZED-WITH-AD-HYBRID

嚴重性: High

類型: Microsoft Entra ID Indicator of Exposure

MITRE ATT&CK 資訊: