文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

基于微软 Entra B2B 邀请机制的 TOAD 钓鱼攻击分析与防御策略

邀请可通过以下方式发起:手动邀请:管理员或具有“Guest Inviter”角色的用户通过 Azure 门户、Microsoft Graph API 或 PowerShell 发送邀请。...常见入口包括:社会工程获取内部员工凭据;利用配置宽松的“Guest Inviter”角色;通过已入侵的合作伙伴账户横向移动。...一旦获得权限,攻击者可通过 Microsoft Graph API 发送邀请。...关键日志事件包括:Audit Log ID 50147:用户发送 B2B 邀请;Sign-in Log:外部用户首次登录。...Single User条件:同一用户在 1 小时内发送超过 5 次邀请响应:自动禁用该用户邀请权限并告警Graph API 查询示例:GET https://graph.microsoft.com/v1.0

17600

Windows 操作系统安全配置实践(安全基线)

:不显示上次登录用户名值为Enabled MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DontDisplayLastUserName...:选取禁止登陆的用户(业务账号) 进入“控制面板->管理工具->本地安全策略”->“本地策略-> 安全选项 2.交互式登录: 计算机帐户阈值设置为5次无效登录尝试 WeiyiGeek.用户登录权限 备注说明...->本地策略->用户权限分配->管理审核和安全日志 5.防止日志被普通用户删除将管理审核和安全日志 -> administrators 组删除 6.禁止用户使用wevtutil命令来清理日志 WeiyiGeek...gpupdate /force 立即生效 1.3.3 远程登录日志审计 操作目的: a)对登录远程桌面的用户进行设置登录日志留存 b)记录管理员每次登录的时间日期及其通信的程序端口 c)为了后面的追踪溯源攻击者...重置帐户锁定计数器 15 分钟之后     本地策略->安全选项 交互式登录:不显示最后的用户名:启用   拒绝本地登录 Guest   增加日志审计: 审核策略更改:成功 审核登录事件 成功, 失败

6.6K21
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    安全服务之安全基线及加固(一)Windows篇

    2、检查Guest用户是否禁用 安全基线项说明:禁用guest(来宾)帐号 配置方法:进入控制面板->管理工具->计算机管理->系统工具->本地用户和组->用户->Guest帐号->属性->设置已停用...2、 用户登录日志记录 安全基线项说明:设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地 配置方法:开始->运行-> 执行...“控制面板->管理工具->本地安全策略->审核策略”审核登录事件,双击,查看是否设置为成功和失败都审核 ?...5、远程登录超时配置 安全基线项说明:检查对于远程登陆的帐号,设置不活动断连时间15分钟 配置方法:进入“控制面板->管理工具->本地安全策略”,在“本地策略->安全选项”:“Microsoft网络服务器...2、远程登录超时配置 安全基线项说明:检查对于远程登陆的帐号,设置不活动断连时间15分钟 配置方法:进入“控制面板->管理工具->本地安全策略”,在“本地策略->安全选项”:“Microsoft网络服务器

    14K54

    Windows服务器安全加固10条建议

    6) 不显示最后的用户名 配置登录登出后,不显示用户名称。...操作步骤: 打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 安全选项 中,双击 交互式登录:不显示最后的用户名,选择 已启用 并单击 确定。...8) 日志配置操作 日志配置 审核登录 设备应配置日志功能,对用户登录进行记录。记录内容包括用户登录使用的帐户、登录是否成功、登录时间、以及远程登录时、及用户使用的IP地址。...操作步骤 启用屏幕保护程序,设置等待时间为 5分钟,并启用 在恢复时使用密码保护。 限制远程登录空闲断开时间 对于远程登录的帐户,设置不活动超过时间15分钟自动断开连接。...操作步骤 打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 安全选项 中,设置 Microsoft网络服务器:暂停会话前所需的空闲时间数量 属性为15分钟。

    16.1K127

    基于生产力惯性诱骗的Microsoft 365钓鱼攻击与防御机制研究

    研究表明,仅靠用户教育不足以应对此类情境化欺骗,必须通过架构级控制压缩攻击面。本研究为云办公环境下的身份安全防护提供了可落地的技术路径。...例如,一封标题为“您有1个未读的共享文档”的邮件,其发件人显示为“Microsoft SharePoint no-reply@microsoft.com”,内容包含一个“立即查看”按钮。...用户点击后跳转至看似官方的登录页(URL为https://microsoft-office[.]com/login),输入账号密码后收到Authenticator推送,出于习惯点击“批准”。...由于推送内容仅显示“验证你的身份”,用户极易误判为正常流程。...获得有效会话后,攻击者通过Graph API注册恶意OAuth应用:POST https://graph.microsoft.com/v1.0/applicationsContent-Type: application

    23810

    Win平台安全配置.md

    Shell Hardware Detection 服务已成功停止 (3)非管理员账号未设置密码,未设置密码策略 建议设置: 增强口令策略16位大小写字母、Win7设置匿名共享但不让其(Guest)登录,...使用Win+R键调出运行,输入secpol.msc->安全设置, 右键“我的电脑”-“管理”-“本地用户和组”-“用户”-“Guest”-“属性”,勾上“帐户已禁用” #策略配置 安全策略->密码与锁定策略策略...重置帐户锁定计数器 15 分钟之后     本地策略->安全选项 交互式登录:不显示最后的用户名:启用   拒绝本地登录 Guest   增加日志审计: 审核策略更改:成功 审核登录事件 成功, 失败...审核帐户登录事件 成功, 失败 审核帐户管理 成功, 失败 设置命令: net user compmgmt.msc net user administrator [email protected]...secpol.msc   #本地安全策略 gpupdate /Force #刷新组策略设置(使组策略立即生效) (4)机器登录日志开启 ?

    1.7K10

    Windows服务器主机加固分享

    一、禁用Guest账户和无关账户 Guest账户为黑客入侵打开了方便之门,黑客使用Guest账户可以进行提权。禁用Guest账户是最好的选择。...三、账户锁定策略加强 对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过5 次(不含5 次),锁定该用户使用的账号。...四、设置安全审计 在主机的审核策略上设置日志审核策略操作流程:进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”在主机的审核策略上设置日志审核策略: 审计帐户登录事件:成功,失败...五、设置不显示上次使用的用户名 在本地安全设置系统登录时不显示上次使用的用户名。...进入“控制面板->管理工具->本地安全策略”,在“本地策略->安全选项”; “交互式登录:不显示上次的用户名”设置为“已启用” 加固前: ? 加固后: ?

    5.9K21

    Windows 系统安全

    本地策略 隐藏最后的用户名 配置登录登出后,不显示用户名称。...操作步骤: 启用屏幕保护程序,设置等待时间为 5分钟,并启用 在恢复时使用密码保护。 限制远程登录空闲断开时间 对于远程登录的帐户,设置不活动超过时间15分钟自动断开连接。...某时刻安装或删除了软件 安全性日志: 记录系统使用的登录进程、特权使用、安全审核以及审核结果 可能能够获得被攻击的时间以及方法 某时刻某用户登录系统成功 某时刻用户尝试登录系统失败 某时刻某用户更改了审核策略...全面分析日志 账号的审计信息 若系统配置了审计,则会在事件查看器的安全性日志中查看到某些非管理员账号的登录、文件访问等行为 用户目录 若用户账号仅是通过net命令或用户管理员程序删除的,那么,系统中仍然会残留有该用户的目录...,目录中的一些人家会记录用户的某些特定行为,便于追查,这些文件如下: (以系统安装在C盘、恶意用户为 cracker 为例) 用户的桌面,可能放有一些临时或下载的文件 C:\Documents and

    3.3K70

    译 | 在 App Service 上禁用 Basic 认证

    view=vs-2019 创建自定义RBAC角色 上一节中的 API 支持基于 Azure 角色的访问控制(RBAC),这意味着您可以创建自定义角色来阻止用户使用该 API 并将权限较低的用户分配给该角色...WT.mc_id=AZ-MVP-5002809 使用Azure Monitor进行审计 所有成功和尝试的登录均记录为Azure Monitor AppServiceAuditLogs日志类型。...这将打开一个页面,以选择所需的日志类型以及日志的目的地。可以将日志发送到Log Analytics,存储帐户或事件中心。...提供诊断设置的名称 选择您要捕获的日志类型 选择要将日志发送到的服务(服务必须已经创建,您无法从该页面创建它们) 单击保存 要确认日志已发送到您选择的服务,请尝试通过 FTP 或 WebDeploy 登录...下面显示了示例存储帐户日志。

    2.5K20

    微软365“设备代码钓鱼”风暴来袭:无需密码,黑客秒控企业邮箱

    一旦用户输入代码并点击“下一步”,系统会要求其使用 Microsoft 365 账户登录——此时 MFA 可能被触发,用户收到短信或 Authenticator 推送通知,并完成验证。...Proofpoint 报告显示,此次攻击已波及金融、制造、物流等多个行业,部分企业因未及时发现,导致内部邮件被窃取、供应链信息泄露,甚至被用于二次钓鱼攻击合作伙伴。...Graph API 窃取数据breakelif token_resp.json().get("error") == "authorization_pending":time.sleep(5)else:...print("❌ 授权失败:", token_resp.text)break一旦拿到 access_token,攻击者即可调用 Microsoft Graph API 执行任意操作:# 示例:读取受害者最近...事实上,Google 已在其 OAuth 流程中引入更严格的审查机制,对高风险应用进行人工审核。而 Microsoft 目前仍以“自助注册”为主,门槛极低。“开放生态需要护栏,而不是放任。”

    33810

    Windows系统日志分析_windows日志命令

    登录成功有三条事件: 登录类型为 10,RemoteInteractive 意思是“通过rdp协议远程登录”。...在 “审核策略” — “审核登录事件” 开启 “成功” 和 “失败”的日志: 设置完再次mstsc登录失败,在安全日志可以查看到登录失败 事件ID 4625 的告警: 如果没有配置本地安全策略开启登录审计...登录失败不清楚为什么会有1149 认证成功的日志。 这个日志可以用于远程登录失败的审计,无法审计登录成功。登录成功还是需要事先开启本地安全策略审核登录事件。...爆破成功的日志为很多 4625 中出现 4624,logintype 都是10。 如果看到 4778,4779 则表示 可能爆破时将正在登录的用户顶掉了。...(Windows 10) – Windows security | Microsoft Docs 4672 常常是管理员及以上权限的用户登录触发。

    6.3K20

    基于可信云服务跳板的OneDrive钓鱼攻击机制与防御对策研究

    为保护数据安全,您需重新登录Microsoft账户以解密查看。[立即查看文档]其中,“[立即查看文档]”按钮实际指向上述合法共享链接。...以下为通过Microsoft Graph API创建条件访问策略的示例:policy = {"displayName": "Block risky logins to SharePoint","state...365审计日志,检测异常共享模式,例如:单账户在1小时内创建超过50个“任何人可访问”链接;共享对象为非工作相关文件类型(如.exe、.scr);共享后立即删除本地副本。...以下为基于Microsoft Purview审计日志的异常共享检测逻辑:import pandas as pd# 假设audit_logs为从Microsoft 365获取的共享事件列表df = pd.DataFrame...通过构建会话图谱(Session Graph),将文件访问、登录、API调用等事件关联,可有效识别异常跳转链。例如,若某会话在访问1drv.ms后5秒内出现在非微软域名的登录页,则极可能为钓鱼。

    34410

    CyberDrain推免费工具帮中小企业守住Microsoft 365大门

    它不依赖外部SaaS服务,而是直接调用Microsoft Graph API,实时扫描租户内的高风险行为:检测异常收件箱规则:如自动转发至外部域名、删除特定关键词邮件等;识别可疑OAuth应用授权:尤其是请求...由于工具完全开源(Apache 2.0协议),企业还能根据自身需求扩展功能,比如对接内部日志系统或自建威胁情报库。...技术内核:Graph API + 自动化剧本 = 主动防御要理解这款工具为何有效,得先了解Microsoft 365的安全架构。...微软通过Microsoft Graph API开放了对用户邮箱、日历、设备、身份等数据的编程访问接口。...长期保留审计日志:默认日志仅保留30天,建议通过Azure订阅延长至1年以上,便于事后溯源。此外,芦笛特别提醒开源用户:“虽然工具免费,但务必审计代码,确认无后门。

    16910

    操作系统安全性实训

    ①启用帐户策略,设置密码策略,使得密码必须符合复杂性要求,长 度必须大于8,最长存留期为1个月等 ②为已存在的用户设置密码,设置一个简单密码,观察结果: 此时设置密码为简单密码123456结果显示...输入密码三次错误后Administrator账户已被锁定,30分钟后才可以再次输入密码, 此时切换用户admin登录,提示需要更改密码,如图 (3)开机时设置为“不自动显示上次登录帐户”...(5)选择相应用户组,并设置用户组对文件夹操作的权限 任务四:启用审核与日志查看 步骤: (1)打开“本地策略”中的“审核策略”,察看当前系统的审核策略。...启用“审核帐户管理”、“审核登录事件”、“审核过程追踪”。 (3)察看事件日志。...本次实训环境为windows 10家庭中文版和win 7旗舰 效果或体会: 不管对于什么样的系统来说,所有的用户账户都是有权限的,一方面可以保护系统的安全,另一方面也可以验证系统的安全性。

    99750

    ​Microsoft Sentinel (一)服务概述与数据源配置

    流式传输可以传输如下日志: ·        ​​登录日志​​,包含用户提供身份验证因子的交互式用户登录信息。...·        ​​审核日志​​,包含了有关用户和组管理、托管应用程序和目录活动的系统活动信息。...任何 Azure AD 许可证(免费/O365/P1/P2)均足以引入其他日志类型。对于日志引入的数据量,会按每 GB 收取额外的费用。​...2、必须在工作区中为你的用户分配 Microsoft Sentinel 参与者角色。 3、必须在要从中流式传输日志的租户上为用户分配全局管理员或安全管理员角色。...3、勾选要流式传输到 Microsoft Sentinel 的日志类型旁的复选框,然后选择“连接”。 4、成功建立连接后,数据将显示在“日志管理”部分下的“日志”中,如下表:

    1.3K20

    利用Defender for Identity保护企业身份安全

    Microsoft Defender for Identity是一个基于云的安全解决方案,利用本地 Active Directory信号识别、检测并调查针对企业内部的高级威胁、身份盗用和恶意内部操作。...云服务会连接到Microsoft Intelligent Security Graph通过机器学习分析安全威胁信号,达到防护、侦测、回应甚至反击的效果,传感器的主要功能如下: 捕获并检查域控制器网络流量...(域控制器的本地流量) 直接从域控制器接收 Windows 事件(需要开启域控的高级审核日志,参考:审核 Windows 事件 8004)。...得知了管理员用户后,继续SMB会话枚举,收集管理员和用户的登录位置,为后续横向移动做准备。 ? 接下来,抓取本地内存中的用户信息,成功收集到了内存中管理员的NTML Hash。 ?...同时,Defender for identity也会标记出登录用户中的可疑用户。 ?

    1.6K20

    假“微软”真陷阱!新型钓鱼攻击绕过MFA,企业邮箱正成黑客“提款机”

    用户点击链接后,会跳转到真实的微软登录页面,看起来完全合法。但就在你点击‘同意’的那一刻,黑客就已经拿到了进入你邮箱的‘钥匙’。”...芦笛指出,“所有操作都发生在微软的合法授权体系内,日志记录也显示为‘用户授权’,而不是‘异常登录’。很多企业安全系统根本不会报警。”...在Azure AD中,用户可自行同意某些低风险权限的应用接入,而高权限则需管理员批准。但许多企业为提升效率,允许用户对多租户应用(即任何租户均可使用的第三方应用)进行自助授权。...限制用户自助授权,实施管理员审批流企业应立即审查Azure AD中的“用户同意设置”,禁止普通用户对高权限范围的多租户应用进行自助授权。所有第三方应用接入必须经过IT部门审核与批准。...微软方面也已加强检测机制,通过Graph API活动日志监控异常邮件读取行为,并在用户授权高风险权限时增加警示提示。

    26910

    Windows系统日志分析工具– Log Parser「建议收藏」

    吐了 0x01 基本设置 事件ID及常见场景 对于Windows事件日志分析,不同的EVENT ID代表了不同的意义,摘录一些常见的安全事件的说明。...4624 --登录成功 4625 --登录失败 4634 -- 注销成功 4647 -- 用户启动的注销 4672 -- 使用超级用户(如管理员)进行登录 系统: 1074,通过这个事件...参考Windows API ReportEvent 写系统日志 – jqdy – 博客园 String: 各个位置含义: 0安全IP(SID) 1账号名称 2账户域...3登录ID 4安全ID 5账户名 6账户域 7登录ID 8登录类型 9登录进程 10身份验证数据包 11网络账户名称.../审核失败 SourceName:来源 各个位置含义: 0:来源位置 eg:Microsoft-Windows-Security-Auditing SID:查看结果为全空 Message:消息 各个位置含义

    7.8K21

    组策略限制3389登录的绕过方式

    2012组策略拒绝远程登录错误 原因: 因为目标机器设置了组策略用户权限分配中的“拒绝通过远程桌面服务登录”或“拒绝本地登录”选项,所以在进行远程终端连接时就会出现上图报错提示。 ?...SeDenyInteractiveLogonRight = Guest 拒绝通过远程桌面服务登录: 说明:此安全设置确定禁止哪些用户和组作为远程桌面服务客户端登录。...: 说明:此安全设置确定哪些用户或组具有作为远程桌面服务客户端登录的权限。...SeBatchLogonRight 以服务身份登录 SeServiceLogonRight 管理审核和安全日志 SeSecurityPrivilege 修改对象标签 SeRelabelPrivilege...SeShutdownPrivilege 同步目录服务数据 SeSyncAgentPrivilege 取得文件或其他对象的所有权 SeTakeOwnershipPrivilege 官方说明文档: https://docs.microsoft.com

    3.4K10
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券