怎樣保護Windows Azure AD的安全性？

網絡***每時每刻都在進行着，***手段也在不斷更新，使用第三方***程序或從外部注入病毒方式會留下明顯的痕跡。現在大多數反惡意軟件工具均可以檢測到這種***並將其阻止。

新的***方式正在逐漸向無惡意軟件或無文件***進行轉變。無惡意軟件的佔比在2019年的***行爲統計中佔51％，而2018年這一比例僅佔40％。在這些新的***形式中，惡意文件並不會寫入磁盤。這些***是在內存（RAM）中執行的，而且與合法的系統進程混合在一塊兒，並利用Windows操做系統自帶的工具（如PowerShell）。

PowerShell很是有用，它能夠幫助IT管理員自帶執行復雜繁瑣的任務。正是因爲PowerShell本質上是爲管理員設計的工具，因此Windows賦予了它很是大的對系統修改的權限。而因爲是Windows系統自帶的工具，它會被自動列入到防火牆白名單裏面。

＃1：使用PowerShell發現並***Azure AD賬戶
進行***的第一步是收集足夠多的信息。***者最多見的身份有2種：
***者是內部人員，例如對公司心懷不滿的員工，或者內部被感染用戶
***者是企業外部人員，不屬於公司網絡。

***從企業外部獲取員工Azure AD登錄帳號列表
Azure AD的登錄帳號格式爲：{firstname}.{lastname}.@ example.com，在Azure AD的登陸界面，一個有效的電子郵件地址將會彈出密碼輸入提示界面。若是電子郵件地址無效，則會顯示「用戶名可能不正確」提示。

***能夠經過PowerShell腳原本自動執行登錄操做，直到成功獲取到用戶的Azure AD登錄帳號。

***在企業內部獲取Azure AD帳號列表
***在企業內部經過PowerShell登陸到Azure AD，而後運行命令便可列出全部用戶帳號及其電子郵件地址。

＃2：使用PowerShell對Azure AD帳號密碼進行暴力破解
一旦***獲取了企業的員工Azure AD帳號列表，就會經過暴力破解來獲取這些帳號的登錄密碼。而***的工具也經常是一段用PowerShell來編寫的腳本，甚至在互聯網上免費就能夠下載到不少這樣的腳本。如需圖所示：

利用PowerShell甚至能夠過濾出哪些用戶開啓了多因素身份驗證（MFA），從而過濾出容易被破解的帳號。PowerShell還容許在遠程系統上直接執行暴力***，而沒必要將腳本複製到遠程系統。

＃3：使用PowerShell進行密碼噴射***
密碼噴射***用於更大範圍帳號密碼猜想***。***能夠對大批量Azure用戶賬戶執行這種密碼猜想***，而他們惟一須要用的工具就是PowerShell。

該腳本能夠從Internet下載並進行模糊處理以免被檢測到，或者能夠在打開的PowerShell會話中直接從URL下載並在內存中執行，從而實現無文件***。

＃4：利用盜取的帳號獲取更多重要信息
如今，***已經獲取了您的Azure Active Directory帳號的密碼，他們可使用獲取的登陸憑據來收集有關組織中的特權用戶和管理員的更多信息。

***接下來可能會對特權用戶嘗試另外一種密碼噴霧***。或者，他們可能會嘗試針對性的魚叉式網絡釣魚電子郵件***。總之，***有許多邪惡的選擇。

＃5：***Azure AD並得到本地ＡＤ用戶密碼
若是組織在使用本地Active Directory，則應該使用Azure AD Connect工具來同步用戶賬戶。
使人驚訝的是，使用PowerShell，能夠肯定安裝Azure AD connect服務器的準確名稱。
同步賬戶由Azure AD Connect在本地Active Directory中建立。當使用「經過哈希同步（PHS）」來同步密碼時，此賬戶負責將密碼哈希發送到雲環境。

***能夠利用PowerShell提取Microsoft Online（MSOL）賬戶的憑據。請務必注意MSOL賬戶的「複製目錄更改」權限，該權限可用於獲取本地Active Directory中任何用戶的密碼哈希。
如您所見，PowerShell不只支持對雲環境的***，並且還支持對本地ＡＤ環境的***。

請繼續關注咱們的下一篇文章，咱們將向您分享更多本地Active Directory以及ＡＺｕｒｅ　ＡＤ方面的安全知識。

您還能夠關注咱們的ManageEngine　SIEM解決方案（即Log360），瞭解如何幫助您構建有效應對***的防護策略。