防御Azure AD攻击：采用身份保护替代防火墙

不久以前，防御份保保护网络访问是击采企业安全团队防御的重点。强大的用身防火墙可以确保在外部阻止网络攻击者 ，从而允许用户在内部控制 。护替火墙这些防火墙通常是代防企业的终极防御措施，没有得到许可的防御份保任何人都不能进入 。

随着云计算的击采出现 ，网络的用身边缘不再受到防火墙的保护
 。高防服务器事实上，护替火墙网络不再具有优势：在人们的代防“随时随地”的工作环境中
 ，如今任何数据中心都是防御份保边界，人们不能再依赖传统的击采安全保护机制。网络安全已经变得更注重保护身份，用身而不是护替火墙网络本身 。

微软公司在最近发表的代防一篇博客文章中讨论了保护Azure Active Directory(Azure AD)身份安全的一些趋势。这篇文章指出 ，现在许多网络攻击序列都是亿华云从个人开始的，目的是在企业内部获得立足点
，然后发起勒索软件攻击或其他网络攻击 。

正如微软公司主管身份安全的副总裁Alex Weinert在这篇文章中指出的那样，密码仍然是网络安全的致命弱点  ，主要有三种类型的攻击序列:

网络攻击者在过去通常攻击网络中的薄弱环节
，现在他们会攻击身份验证和保护方面的薄弱环节
。人们经常重复使用密码，网络攻击者也知道这一点
，所以他们会从以前被黑客攻击的数据库中获取密码 ，并试图在其他地方使用它。虽然大多数密码攻击都是香港云服务器针对那些没有多因素身份验证(MFA)的帐户，但更复杂的网络攻击是针对多因素身份验证(MFA)进行攻击
。当他们这样做时  ，网络攻击者会采取以下行动:

为了防御这三种攻击
，微软公司建议用户放弃多因素身份验证(MFA) ，增加密码保护方式。网络攻击者知道人们经常因为身份验证疲劳而导致密码泄露 ，他们会模仿人们正常身份验证平台的云计算网站，在上面输入密码。密码疲劳是微软公司将其身份验证应用程序的默认值更改为数字匹配而不仅仅是用户必须批准的身份验证的原因之一
。

最近发布的一篇博客文章讨论了不同类型攻击的优秀资源，以及补救技术。正如微软所指出的 ，其中一种“传递cookie”攻击类似于在Azure AD中传递哈希或传递票证攻击。通过浏览器对Azure AD进行身份验证之后，免费模板将为该会话创建并存储一个cookie。如果网络攻击者能够侵入设备并提取浏览器cookie ，他们就可以将该cookie传递到另一个系统上的单独Web浏览器中，从而绕过安全检查点。在个人设备上访问企业资源的用户尤其面临风险，因为这些设备的安全控制通常比企业管理的设备还要弱，而且IT人员缺乏对这些设备的可见性，无法确定是否会泄露。

企业在设计多因素身份验证(MFA)保护审查时，重要的是要考虑谁可以访问哪些系统
，并对用户的帐户进行分级审查。首先审查用户，并根据风险和他们可以访问的内容对他们进行细分;网络攻击者通常会将目标锁定在其工作区域中的特定用户或某人。例如 ，LinkedIn通常用于识别企业员工之间的关系，因此应该意识到这些关系，并确定采用适当的资源来保护关键人员 。

企业通常部署计算机来满足工作的需要 ，而不是基于角色固有的风险根据预算部署工作站 。但是，如果企业根据网络攻击者的看法返回并检查自己的网络呢?众所周知，Windows 11现在要求采用额外的硬件以更好地保护基于云的登录。可信平台模块用于更好地保护和加强机器上使用的凭据
。但是  ，如果企业没有部署支持Windows 11的硬件 ，或者同样重要的是，没有确保获得了适当的许可以获得这些关键角色的Windows 11好处，那么可能没有适当地保护好其网络。

保护企业的网络免受Azure AD类型的攻击 ，首先要确保已经正确设置。最近一篇文章列出了一份详细的配置列表，从许多人长期以来一直在努力解决的一个问题开始：停止部署具有本地管理员权限的工作站 。人们通常首先为构建分配一个本地管理员工作站 ，然后使用本地管理员密码工具包为每个本地管理员分配一个随机密码。企业应该考虑根本不分配本地管理员，而是直接加入Azure AD 。

正如研究人员Sami Lamppu和Thomas Naunheim所指出的那样，大多数已知的网络攻击都是从工作站具有本地管理员访问权限开始的
 。其应对方法是 ，应该不断审查和分析保护身份所需的额外步骤，因为它是进入企业现代网络的新入口。

以下是这篇博客文章的作者推荐的一些缓解措施：

最新评论