语言:
您可以使用 Microsoft Entra Connect(之前称为 Azure AD Connect)或 Microsoft Entra Cloud Sync(之前称为 Azure AD Connect Cloud Sync)将 Microsoft Entra ID 与 Active Directory 同步。Microsoft 提供了两个专门为这些同步工具使用的服务帐户而设计的内置角色。
d29b2b05-8046-44ba-8758-1e26182fcf32
)。Tenable Research 博客文章详细介绍了滥用该功能的风险:使用 Entra ID 中的“目录同步帐户”角色实现隐蔽持久性。a92aed5d-d78a-4d16-b381-09adb37eb3b0
)是 Tenable 于 2024 年 7 月首次确定的新角色。此角色与“目录同步帐户”角色具有相似的描述和相同的权限。然而,Tenable Research 发现,Microsoft Entra Connect 或 Entra Cloud Sync 未使用此角色,并且目前没有已知的合法使用情况,这引发了对其用途和可能遭到滥用的担忧。攻击者可以通过将这些角色分配给受其控制的安全主体(如用户、服务主体或组)来加以利用,从而实现特权提升或长期驻留。这些角色特别具有吸引力,原因如下:
此风险暴露指标使用以下逻辑来检测分配给这些角色的可疑安全主体:
首先,评估所识别的可疑安全主体的合法性:
如果您怀疑遭到入侵:
这些角色及其分配对象在 Azure 门户或 Entra 管理中心中都不显示。要确定分配情况,您必须使用其他方法,例如借助 Microsoft Graph PowerShell cmdlet 或直接查询 API:
Connect-MgGraph -Scopes "RoleManagement.Read.All"
Get-MgDirectoryRoleMember -DirectoryRoleId (Get-MgDirectoryRole -Filter "RoleTemplateId eq 'd29b2b05-8046-44ba-8758-1e26182fcf32'").Id | Format-List *
Get-MgDirectoryRoleMember -DirectoryRoleId (Get-MgDirectoryRole -Filter "RoleTemplateId eq 'a92aed5d-d78a-4d16-b381-09adb37eb3b0'").Id | Format-List *
或者,您可以使用现已弃用的 Azure AD PowerShell cmdlet:
Connect-AzureAD
Get-AzureADDirectoryRole -Filter "RoleTemplateId eq 'd29b2b05-8046-44ba-8758-1e26182fcf32'" | Get-AzureADDirectoryRoleMember
Get-AzureADDirectoryRole -Filter "RoleTemplateId eq 'a92aed5d-d78a-4d16-b381-09adb37eb3b0'" | Get-AzureADDirectoryRoleMember
如果识别的安全主体没有合法理由具有这些角色中的一个,并且 Microsoft Entra Connect 或 Entra Cloud Sync 未使用该角色,则您应移除此角色分配。您可以使用以下任一 PowerShell cmdlet 来实现此目标:Remove-AzureADDirectoryRoleMember
或 Remove-MgDirectoryRoleMemberByRef
Microsoft Graph PowerShell cmdlet。请参阅提供的修复脚本。
名称: 可疑的 AD 同步角色分配
代码名称: SUSPICIOUS-DIRECTORY-SYNCHRONIZATION-ACCOUNTS-ROLE-ASSIGNMENT
严重性: High
类型: Microsoft Entra ID Indicator of Exposure