怎样保护Windows Azure AD的安全性？

网络***每时每刻都在进行着，***手段也在不断更新，使用第三方***程序或从外部注入病毒方式会留下明显的痕迹。现在大多数反恶意软件工具均可以检测到这种***并将其阻止。

新的***方式正在逐渐向无恶意软件或无文件***进行转变。无恶意软件的占比在2019年的***行为统计中占51％，而2018年这一比例仅占40％。在这些新的***形式中，恶意文件并不会写入磁盘。这些***是在内存（RAM）中执行的，而且与合法的系统进程混合在一块儿，并利用Windows操做系统自带的工具（如PowerShell）。

PowerShell很是有用，它能够帮助IT管理员自带执行复杂繁琐的任务。正是因为PowerShell本质上是为管理员设计的工具，因此Windows赋予了它很是大的对系统修改的权限。而因为是Windows系统自带的工具，它会被自动列入到防火墙白名单里面。

＃1：使用PowerShell发现并***Azure AD账户
进行***的第一步是收集足够多的信息。***者最多见的身份有2种：
***者是内部人员，例如对公司心怀不满的员工，或者内部被感染用户
***者是企业外部人员，不属于公司网络。

***从企业外部获取员工Azure AD登录帐号列表
Azure AD的登录帐号格式为：{firstname}.{lastname}.@ example.com，在Azure AD的登陆界面，一个有效的电子邮件地址将会弹出密码输入提示界面。若是电子邮件地址无效，则会显示“用户名可能不正确”提示。

***能够经过PowerShell脚原本自动执行登录操做，直到成功获取到用户的Azure AD登录帐号。

***在企业内部获取Azure AD帐号列表
***在企业内部经过PowerShell登陆到Azure AD，而后运行命令便可列出全部用户帐号及其电子邮件地址。

＃2：使用PowerShell对Azure AD帐号密码进行暴力破解
一旦***获取了企业的员工Azure AD帐号列表，就会经过暴力破解来获取这些帐号的登录密码。而***的工具也经常是一段用PowerShell来编写的脚本，甚至在互联网上免费就能够下载到不少这样的脚本。如需图所示：

利用PowerShell甚至能够过滤出哪些用户开启了多因素身份验证（MFA），从而过滤出容易被破解的帐号。PowerShell还容许在远程系统上直接执行暴力***，而没必要将脚本复制到远程系统。

＃3：使用PowerShell进行密码喷射***
密码喷射***用于更大范围帐号密码猜想***。***能够对大批量Azure用户账户执行这种密码猜想***，而他们惟一须要用的工具就是PowerShell。

该脚本能够从Internet下载并进行模糊处理以免被检测到，或者能够在打开的PowerShell会话中直接从URL下载并在内存中执行，从而实现无文件***。

＃4：利用盗取的帐号获取更多重要信息
如今，***已经获取了您的Azure Active Directory帐号的密码，他们可使用获取的登陆凭据来收集有关组织中的特权用户和管理员的更多信息。

***接下来可能会对特权用户尝试另外一种密码喷雾***。或者，他们可能会尝试针对性的鱼叉式网络钓鱼电子邮件***。总之，***有许多邪恶的选择。

＃5：***Azure AD并得到本地ＡＤ用户密码
若是组织在使用本地Active Directory，则应该使用Azure AD Connect工具来同步用户账户。
使人惊讶的是，使用PowerShell，能够肯定安装Azure AD connect服务器的准确名称。
同步账户由Azure AD Connect在本地Active Directory中建立。当使用“经过哈希同步（PHS）”来同步密码时，此账户负责将密码哈希发送到云环境。

***能够利用PowerShell提取Microsoft Online（MSOL）账户的凭据。请务必注意MSOL账户的“复制目录更改”权限，该权限可用于获取本地Active Directory中任何用户的密码哈希。
如您所见，PowerShell不只支持对云环境的***，并且还支持对本地ＡＤ环境的***。

请继续关注咱们的下一篇文章，咱们将向您分享更多本地Active Directory以及ＡＺｕｒｅ　ＡＤ方面的安全知识。

您还能够关注咱们的ManageEngine　SIEM解决方案（即Log360），了解如何帮助您构建有效应对***的防护策略。