可疑的 AD 同步處理角色指派

您可以使用 Microsoft Entra Connect (前稱 Azure AD Connect) 或 Microsoft Entra Cloud Sync (前稱 Azure AD Connect Cloud Sync) 將 Microsoft Entra ID 與 Active Directory 同步。Microsoft 提供了兩個內建角色，專為這些同步處理工具使用的服務帳戶而設計。

• 主要角色為**目錄同步處理帳戶**​ (ID: d29b2b05-8046-44ba-8758-1e26182fcf32)。在 Tenable Research 的「[Entra ID 中具有「目錄同步處理帳戶」角色的隱蔽潛伏]」(https://medium.com/tenable-techblog/stealthy-persistence-with-directory-synchronization-accounts-role-in-entra-id-63e56ce5871b) 部落格文章中，已詳細說明該角色遭到濫用的可能性。
• 內部部署目錄同步處理帳戶​ (ID: a92aed5d-d78a-4d16-b381-09adb37eb3b0) 是 Tenable 於 2024 年 7 月首次發現的較新角色，與「目錄同步處理帳戶」角色具有類似的角色說明和相同的權限。然而，Tenable Research 發現，Microsoft Entra Connect 和 Entra Cloud Sync 皆未使用此角色，而且此角色目前沒有已知正當用途，因此引發用途與可能遭到濫用的疑慮。

攻擊者可能會惡意利用這些角色，將這些角色指派給他們控制的安全性主體 (例如使用者、服務主體或群組)，藉此提升特權或長期潛伏。這些角色對攻擊者特別具有吸引力的原因如下:

• 仍具有特權。儘管在 2024 年 8 月的安全強化更新期間，Microsoft 從這些角色中移除了多個 Entra ID 機密權限，但 Tenable Research 發現 這些角色仍透過特定 API 保留隱含權限。因此，這些角色會繼續提供強大的存取權。
• 這些角色的運作模式相當隱蔽。因為管理員很少手動指派，所以這些角色在 Azure 和 Entra 入口網站中都處於隱藏狀態，它們不會出現在 Entra 角色清單中，也不會顯示在特定主體的「已指派角色」區段，因此成為攻擊者發動隱密攻擊的首選。
• 有 1 個角色未記錄。Microsoft 未記錄「內部部署目錄同步處理帳戶」角色，進一步增加未偵測到濫用行為的風險。

此曝險指標使用下列邏輯，偵測獲派這些角色的可疑安全性主體:

• 針對「目錄同步處理帳戶」角色: 偵測機制仰賴多種啟發式，識別與 Microsoft Entra Connect 或 Microsoft Entra Cloud Sync 所使用常見服務帳戶不相符的指派對象。
• 針對「內部部署目錄同步處理帳戶」角色: 由於此角色沒有已知的正當用途，因此無論在什麼情況下，系統都會將所有指派標記為可疑。

首先針對已識別的可疑安全性主體進行正當性評估​:

• 租用戶同步處理狀態: 如果 Entra 租用戶不屬於混合型 (即未與 Active Directory 同步)，則不應獲派這兩種角色。在這種情況下，指派遭回報為有問題可能代表設定不合規，或者遺留了先前混合狀態的設定。
• 安全性主體類型: 服務主體和群組不應擁有這兩個角色，因為沒有任何正當的使用情境。
• 此安全性主體何時建立?該日期是否與使用「Microsoft Entra Connect」或「Microsoft Entra Cloud Sync」設定目錄同步作業的日期一致?
• 在稽核記錄中: 此安全性主體是否會定期執行目錄同步作業，例如使用者更新、建立、刪除、變更密碼等?
• 在登入記錄中: 此安全性主體是否會定期透過可能屬於貴組織的 IP 位址進行驗證?
• 如果您使用 Microsoft Entra Connect，其使用者主體名稱是否包含預期的內部部署 Microsoft Entra Connect 伺服器名稱?(例如，如果伺服器名為「AADCONNECT」，則可能的 UPN 如下:「Sync_AADCONNECT_ @…」)。是否有預期的「內部部署目錄同步處理服務帳戶」顯示名稱?
• 使用冗餘或異常角色: 如果已指派「內部部署目錄同步處理帳戶」角色，請考慮為什麼要使用此角色來取代標準「目錄同步處理帳戶」角色，或為何同時使用這兩個角色?

如果您懷疑系統受到入侵，請採取以下行動:

• 執行鑑識調查​以確認攻擊事件是否屬實、確定攻擊時間和攻擊者，並評估疑似入侵事件的程度。
• 審查稽核記錄​以找尋潛在的惡意動作。

在 Azure 入口網站和 Entra 系統管理中心內，不會顯示這些角色及角色的指派對象。如要瞭解指派情況，必須使用替代方式，例如 Microsoft Graph PowerShell 指令程式，或直接詢問 Microsoft Graph API:

Connect-MgGraph -Scopes "RoleManagement.Read.All"
Get-MgDirectoryRoleMember -DirectoryRoleId (Get-MgDirectoryRole -Filter "RoleTemplateId eq 'd29b2b05-8046-44ba-8758-1e26182fcf32'").Id | Format-List *
Get-MgDirectoryRoleMember -DirectoryRoleId (Get-MgDirectoryRole -Filter "RoleTemplateId eq 'a92aed5d-d78a-4d16-b381-09adb37eb3b0'").Id | Format-List *

或者，可以使用目前已淘汰的 Azure AD PowerShell 指令程式:

Connect-AzureAD
Get-AzureADDirectoryRole -Filter "RoleTemplateId eq 'd29b2b05-8046-44ba-8758-1e26182fcf32'" | Get-AzureADDirectoryRoleMember
Get-AzureADDirectoryRole -Filter "RoleTemplateId eq 'a92aed5d-d78a-4d16-b381-09adb37eb3b0'" | Get-AzureADDirectoryRoleMember

若識別的安全性主體沒有獲派這些角色的正當理由，且 Microsoft Entra Connect 和 Microsoft Entra Cloud Sync 皆不會使用此角色，則您應移除該角色指派。移除作業可以透過以下 PowerShell 指令程式完成: Remove-AzureADDirectoryRoleMember 或 Remove-MgDirectoryRoleMemberByRef Microsoft Graph PowerShell 指令程式。請參閱提供的修復指令碼。

名稱: 可疑的 AD 同步處理角色指派

代碼名稱: SUSPICIOUS-DIRECTORY-SYNCHRONIZATION-ACCOUNTS-ROLE-ASSIGNMENT

嚴重性: High

類型: Microsoft Entra ID Indicator of Exposure