文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

快速提升Entra ID安全性的实用指南

保护特权角色成员资格确保高特权角色中没有标准用户帐户作为成员确保角色成员是符合条件的,而不是永久的确保成员被要求使用MFA保护角色可分配组(RAGs)角色可分配组是安全组或Microsoft 365组,...创建它们是为了解决组被添加到Entra ID角色且组管理员可以修改成员资格的潜在问题。只有全局管理员或特权角色管理员可以创建角色可分配组并管理它们(成员资格)。角色可分配组的所有者可以管理它们。...只有特权身份验证管理员或全局管理员可以更改凭据或重置MFA或修改角色可分配组成员和所有者的敏感属性。Entra ID中的组嵌套角色可分配组所有者配置在角色可分配组上的所有者能够管理组的成员资格。...AppRoleAssignment.ReadWrite.All允许应用程序代表登录用户管理对任何API的应用程序权限授予和任何应用程序的应用程序分配。...它们适用于所有客户环境 - 没有细粒度配置。拥有数十个客户的合作伙伴将导致这些组中的所有合作伙伴帐户在所有客户环境中拥有提升的权限。尽快转向细粒度委托管理权限(GDAP)!

20810
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    通过ACLs实现权限提升

    Invoke-ACLPwn是一个Powershell脚本,设计用于使用集成凭据和指定凭据运行,该工具通过创建域中所有ACL的SharpHound导出以及运行该工具的用户帐户的组成员身份来工作,如果用户还没有域对象的...Management security组成员资格的权限 Organization Management的成员 修改Exchange Trusted Subsystem security组成员身份的权限...,之后枚举中继帐户的权限 这将考虑中继帐户所属的所有组(包括递归组成员),一旦列举了权限,ntlmrelayx将检查用户是否有足够高的权限来允许新用户或现有用户的权限提升,对于这种权限提升有两种不同的攻击...(几乎可以控制域中的所有组) 如果使用-upgrade-user标志指定了现有用户,则在可以执行ACL攻击的情况下,该用户将被授予复制权限,如果使用组攻击则该用户将被添加到高权限组,如果没有指定现有用户...,可以使用PowerShell查询Windows事件日志,因此这里有一个从ID为5136的安全事件日志中获取所有事件的一行程序 [code lang=powershell] Get-WinEvent -

    3.3K30

    本地组和域组

    下表列出了三种不同组可包含的成员、作用域转换和可以授予的权限等信息,如下: 以下我们只讨论安全组类型下的本地域组、全局组和通用组。...默认情况下,这个内置组没有成员,并且也不属于其他组。它可以在域控制器上执行备份和恢复操作。它的成员资格可以由域中的默认服务管理员组和域管理员以及企业管理组来修改。它不能修改任何管理组的成员资格。...如果该组的成员创建了其他对象,如文件,则默认的所有者是管理员组。此组控制对域中所有域控制器的访问,并可以修改域中所有管理帐户的成员资格。...该组是为活动目录和域控制器提供完整权限的域用户组,因此,该组成员的资格是非常重要的。 下面详细介绍几个比较常见的内置的通用组。...命令行查询组内用户 执行如下命令即可查询对应的组中有哪些用户,如下是查询域管理员组domain admins内包含哪些用户。

    2.6K20

    基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

    此类攻击不依赖凭据窃取,而是滥用OAuth 2.0授权框架中的“用户同意”流程,使恶意应用获得长期有效的刷新令牌(refresh token),进而通过Microsoft Graph API静默读取邮件...);用户点击“接受”,微软返回授权码;应用用授权码向令牌端点兑换访问令牌与刷新令牌;应用使用令牌调用Microsoft Graph API。...3.2 权限范围缺乏上下文解释OAuth同意页面仅列出权限名称(如“Mail.Read”),未说明其实际能力(“可读取所有邮件,包括已删除项”)。用户难以判断风险。...Graph 查询示例:GET https://graph.microsoft.com/v1.0/me/oauth2PermissionGrantsAuthorization: Bearer Graph API 异常行为监控部署KQL查询,检测异常API调用模式:// 检测单应用大量邮件读取AuditLogs| where OperationName == "Consent to application

    24310

    从 Azure AD 到 Active Directory(通过 Azure)——意外的攻击路径

    这里的关键要点是,如果您不仔细保护和控制全局管理员角色成员资格和关联帐户,您可能会失去对所有 Azure 订阅中托管的系统以及 Office 365 服务数据的积极控制。...用户访问管理员提供修改 Azure 中任何组成员身份的能力。 5. 攻击者现在可以将任何 Azure AD 帐户设置为拥有 Azure 订阅和/或 Azure VM 的特权。...攻击者更新 Azure 角色成员资格以在 Azure VM 上运行命令: 为此帐户设置“所有者”权限是显而易见的(并且可以将帐户添加到虚拟机管理员)。...无法在 Azure AD 中检测此配置 - 没有可查询帐户的属性。 我能确定的唯一明确检测是通过监视 Azure RBAC 组“用户访问管理员”成员身份是否存在意外帐户。...确保全局管理员仅使用管理员工作站或至少使用安全的 Web 浏览器配置。 监视 Azure RBAC 角色“用户访问管理员”的成员资格更改。

    3.9K10

    Windows 系统信息收集姿势

    # 使用 powershell 查询所有安装过的软件及版本,效果和 wmic 相同 wmic service list brief # 查询当前机器的服务信息 wmic...net localgroup "$groupname" # 查询指定用户组成员 net group # 仅域控可执行...,查询用户组列表 net group "$groupname" # 仅域控可执行,查询用户组成员 注:quser、qwinsta和query命令只存在于允许安装 RDP...# 列出域内组列表 net group groupname /domain # 列出域内组成员列表 net view...,对于没有相关经验的人来说看上去是懵逼状态,对于收集的信息如何使用,为什么要收集这些信息没有什么概念,但是对于正在实践的人来说,是一个参考手册,照着操作一遍,理解收集的信息有什么用,久而久之,这些就变成了自己常规的操作

    3.5K21

    ​组复制常规操作-网络分区&混合使用IPV6与IPV4 | 全方位认识 MySQL 8.0 Group Replication

    通过performance_schema.replication_group_members表可以查看到各个组成员的状态,如下: # 任意登录到一个在线的成员执行查询即可,假设这里从S1成员上查看 mysql...,此时组在没有外部干预的情况下无法继续对外提供服务,因为此时大多数成员不可访问,组变为只读,需要重置组成员资格列表对系统进行恢复。...,需要确保被强制驱逐的所有组成员是否都被驱逐成功,然后将其停止。...,它们3个会通过仲裁能力形成新的组成员资格配置。...为确保Server B成功加入这个组,它的IPv4本地地址和备用的IPv6本地地址都必须在Server A的白名单中列出,如下所示: # 作为组复制 IP白名单的最佳实践,Server B(和所有其他组成员

    91140

    内网学习笔记 | 5、BloodHound 的使用

    3、Analysis(分析查询),在 BloodHound 中预设了一些查询条件,具体如下: 1、查询所有域管理员 2、寻找到域管理员的最短路径 3、查找具有DCSync权限的主体 4、具有外部域组成员资格的用户...5、具有外部域名组成员资格的组 6、映射域信任 7、到无约束委托系统的最短路径 8、到达Kerberoastable用户的最短路径 9、从Kerberoastable用户到域管理员的最短路径 10、拥有的主体的最短路径...11、从拥有的主体到域管理员的最短路径 12、到高价值目标的最短路径 13、查找域用户是本地管理员的计算机 14、查找域用户可以读取密码的计算机 15、从域用户到高价值目标的最短路径 16、找到从域用户到高价值目标的所有路径...17、找到域用户可以RDP的工作站 18、找到域用户可以RDP的服务器 19、查找域用户组的危险权限 20、找到高价值群体中能够支持kerberoable的成员 21、列出所有kerberoable用户...) 比如这里查询到域管理员的最短路径 ?

    3K30

    Office开发者计划-永久白嫖Office365

    权限配置 注册的应用程序API权限类型有两种,其主要区别如下表所示: 权限类型 委托的权限(用户登录) 应用程序权限(非用户登录) 官方释义 应用程序必须以登录用户身份访问API 应用程序在用户未登录的情况下作为后台服务或守护程序运行...所需配置 账户名称+账户密码+应用程序(客户端)ID 账户名称+客户端机密+应用程序(客户端)ID 功能影响 程序中所有API均可调用 部分API权限受限无法调用(官方限制) API权限配置 可由PC...版程序自动配置添加API权限 必须手动配置API权限 ​ 可以选择相应的API进行配置 ​ 此处以Microsoft Graph为参考,选择“委托的权限”,根据列出的API权限需求表进行选择...,可用于生成和测试对 Microsoft Graph API 的请求 ​ API需要的权限设定可在预览卡中查阅,授权后则可再次尝试调用响应 ​ Postman 是一个可用于向 Microsoft...Graph API 发出请求的工具:Postman&Microsoft Graph API使用 ​ c.Microsoft Graph 快速入门示例 ​ Microsoft Graph入门

    11.4K32

    组复制性能 | 全方位认识 MySQL 8.0 Group Replication

    这对于负载较大的大型组尤其重要。下表列出了在不同的二进制日志格式下的LZ4压缩率。...压缩和解压缩的工作任务由组通信系统API处理。压缩发生在数据被传递给组通信线程之前的组通讯引擎,所以它发生在MySQL 用户会话线程的上下文中。...被驱逐的成员会被组中所有活跃成员从组成员资格列表中删除,但被驱逐的成员自己可能不知道已经被驱逐出组(例如:它自己还在线,只是无法联系其他成员)。...在组中从未成为活跃成员的Server并没有这个等待期待遇,如果在检测周期内发现了,就会被立即从成员资格列表中删除,因为他们花费了太长时间来加入组,且加入组还失败了。...此退出操作可以防止更新操作,也可以防止读取到陈旧的数据(因为普通用户无法再次建立连接,但具有指定权限的客户端用户如果要在这个时候执行查询,则仍然可能读取到陈旧的数据)。

    1.6K31

    迁移学习与图神经网络“合力”模型:用DoT-GNN克服组重识别难题

    利用深度学习模型的优势,本文得到了可区分的个体特征模型。 (2)图生成(Graph Generation):本文将每个组视为一个图,其中每个节点表示单个行人的特征,每个边沿表示几个个体之间的关系。...如图1所示,当组从摄像机A移到摄像机B时,1)人们改变了他们在组中的位置(称为组布局更改),2)一些人动态加入并离开了组(称为组成员资格更改)。...为了更详细的了解清楚GReID任务的难点。作者列出了一个表格来详细说明。如下表格所示。 ? 作者提出了一种用于组重识别的域迁移图网络模型,利用GNN学习组特征并识别相应的组。...图生成器 我们可以从相邻的组成员那里获得更多有用的信息。在本文的工作中,每个组图像均以图表示,以表征行人的相互和全局关系。...因此本文计算了两个图样本之间的成员相似度比率,该比率的定义是两个图的节点来自同一个公共组成员的百分比。如果两个组有相似的相似度比率。则可以认为它们共享相同的组ID。 ?

    1.6K20

    推荐一个企业级知识图谱增强的检索增强生成(RAG)的项目

    介绍 Microsoft GraphRAG 是一个开源项目,旨在利用 Microsoft Graph 的强大功能构建企业级的知识图谱增强的检索增强生成(RAG)方案。...使用 Microsoft Graph API 来安全、高效地访问这些数据。 数据连接器需要处理各种数据格式和结构,并将其转换为统一的中间表示形式。...检索器(Retriever): 接收用户查询,并在知识图谱中进行检索,找到与查询相关的实体和关系。 使用图查询语言(如 Gremlin、Cypher 等)来执行复杂的图查询。...LLM 负责生成最终的答案或文本,并提供丰富的上下文信息。 用户界面(UI): 提供用户友好的界面,使用户可以输入查询并查看结果。 UI 可以是 Web 应用、桌面应用或移动应用。...配置数据连接器: 根据实际数据源配置数据连接器,包括 Microsoft Graph API 的访问权限、数据源的连接信息等。

    1.6K10

    基于恶意OAuth应用的MFA绕过攻击:微软身份体系中的新型钓鱼威胁研究

    该机制极大提升了用户体验,但也引入了新的攻击面:若用户被诱导授权一个恶意应用,攻击者即可绕过所有基于密码和MFA的验证环节,直接通过合法API接口操作账户。...、redirect_uri、scope等参数;用户输入凭证并完成MFA;显示OAuth同意页面:列出所请求的权限(如“读取你的邮件”);用户点击“同意”:Microsoft颁发授权码;第三方应用用授权码换取访问令牌...(Access Token)与刷新令牌(Refresh Token);应用使用令牌调用Microsoft Graph API。...OAuth同意页面虽列出权限,但普通用户难以理解“Mail.Read”意味着“可读取所有邮件”。...3.4 数据窃取与横向移动获得令牌后,攻击者可调用Microsoft Graph API执行以下操作:# 读取最新100封邮件Invoke-RestMethod -Uri "https://graph.microsoft.com

    26710

    CyberDrain推免费工具帮中小企业守住Microsoft 365大门

    更危险的是,攻击者还会利用这些权限悄悄创建邮件自动转发规则,将所有收件悄悄抄送给外部邮箱;或设置收件箱隐藏规则,让用户对后续钓鱼邮件毫无察觉。“现在的钓鱼,已经从‘偷钥匙’进化到‘骗你亲手开门’。”...它不依赖外部SaaS服务,而是直接调用Microsoft Graph API,实时扫描租户内的高风险行为:检测异常收件箱规则:如自动转发至外部域名、删除特定关键词邮件等;识别可疑OAuth应用授权:尤其是请求...技术内核:Graph API + 自动化剧本 = 主动防御要理解这款工具为何有效,得先了解Microsoft 365的安全架构。...微软通过Microsoft Graph API开放了对用户邮箱、日历、设备、身份等数据的编程访问接口。...例如:调用/users/{id}/mailFolders/inbox/messageRules检查收件箱规则;调用/oauth2PermissionGrants列出所有OAuth授权记录;调用/auditLogs

    16610

    利用Microsoft 365产品增强安全测试与分析活动

    随着Microsoft 365的出现,Office套件添加了一些可能在我们测试过程中有所帮助的额外功能。考虑这样一种场景:您获得了对组织的Microsoft 365环境的访问权限,但没有建立远程C2。...——我们可以查询进程并调查本地文件系统的内容,至少得到一个粗略的近似值。我的目标用户在环境中有什么权限?...——我们当然可以询问Active Directory,然后根据需要以特定用户的上下文执行我们的负载。有没有我想冒充以避免检测的有用应用程序?...因为这些应用程序通常被应用控制和端点保护解决方案允许列出,可能会被安全团队忽略。在从远程系统收集详细信息后,我可能希望对Active Directory进行分析。...下面显示了一些常用的有用输出示例:域密码策略详细信息用户账户详细信息计算机详细信息敏感组成员资格初始访问对内部环境有足够了解后,我可能会尝试在目标系统上建立远程命令和控制(C2)。

    26910

    MySQL 8 复制(九)——组复制联机配置

    使用第二种方法,系统将在主库故障后保护稳定的组成员资格,并以与第一种方案相同的方式选择新主库。但在这种情况下,该组将等待新主库应用所有积压事务,之后才允许数据访问。...如果没有,则在从库成员列表中选择一个作为新主库,这就是所谓的从库提升。用户期望一旦发生从库提升,新主库数据与旧主库数据处于完全相同的状态,在新主库上不能读取或写入旧数据。...换句话说,当能够读取和写入新主库时,其上没有积压的复制事务。 从MySQL 8.0.14开始,从库提升后,用户可以指定新主库的行为。...读写事务没有读取偏差,例如: -- 不会向t2插入从t1过时读取的旧数据 insert into t2 select a from t1; 注意,该设置表明在可用性与一致性之间,用户更重视数据一致性...在这种特殊情况下,需要重置组成员资格以允许组复制继续进行。

    4K20

    内网基础-定位域管理员

    1.通过net group "domain admins" /domain 列出域管理员组成员 2.通过tasklist /v 列出本地进程的所有者 3.进行交叉处理,找到域管理进程 通过域搭建的原理来看...HKey_USER项的key来查询,会调用NetSession api,所以有些功能需要管理员权限。...命令: psloggedon 要列出登陆信息的机器名或者用户名#如果没有填 则默认为本地如果指定用户名,则会搜索次用户登陆过哪些机器 描述 - 显示支持的选项和用于输出值的度量单位 -l 仅显示本地登录...:只需要进行一次查询,就可以获取域里面的所有用户,使用方法为,从user.HomeDirectories中提取所有用户,并对没太服务器进行Get-NetSession获取。...、用户了表和域组查询,接收一个主机列表或查询可用的主机域名。

    2.2K10

    PwnAuth——一个可以揭露OAuth滥用的利器

    授权服务器 授权服务器提供资源所有者用来同意或拒绝的接口。服务器可以与API资源相同,或者是另一个不同的组件。在本例中,Microsoft登录门户是“授权服务器”。...访问令牌可以在设定的时间段内使用,从API资源访问用户的数据,而无需资源所有者采取任何进一步的行动。...由于所有受害者交互都位于合法资源提供者(例如Microsoft)拥有的网站上,因此未经训练的用户很难区分合法的OAuth应用程序和恶意应用程序。...虽然任何允许OAuth应用程序的云环境都可以成为目标,但是PwnAuth目前使用一个模块来支持恶意Office 365应用程序,捕获OAuth令牌并使用捕获的令牌与Microsoft Graph API...· 对所有同意的应用程序查询企业的用户。 · 记录所有用户同意事件并报告可疑活动。

    2.5K20

    内网基础-定位域管理员

    1.通过net group "domain admins" /domain 列出域管理员组成员 2.通过tasklist /v 列出本地进程的所有者 3.进行交叉处理,找到域管理进程 通过域搭建的原理来看...HKey_USER项的key来查询,会调用NetSession api,所以有些功能需要管理员权限。...命令: psloggedon 要列出登陆信息的机器名或者用户名#如果没有填 则默认为本地 如果指定用户名,则会搜索次用户登陆过哪些机器 描述 - 显示支持的选项和用于输出值的度量单位 -l 仅显示本地登录...:只需要进行一次查询,就可以获取域里面的所有用户,使用方法为,从user.HomeDirectories中提取所有用户,并对没太服务器进行Get-NetSession获取。...、用户了表和域组查询,接收一个主机列表或查询可用的主机域名。

    2.2K20
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券