Entra & Azure权限提升机制再探
技术背景
2020年原始文章揭示了全局管理员(Global Administrator)可通过租户配置选项获取Azure资源控制权,该机制作为应急方案设计存在持久性访问风险。
权限提升机制
- 核心开关
- 配置路径:将"管理此目录中所有Azure订阅和管理组的访问权限"从"否"切换为"是"
- 技术影响:立即将当前用户添加到根级别的Azure角色"用户访问管理员"(User Access Administrator)
- 后续操作:可自分配订阅管理员等角色
- 攻击场景
- 通过Azure托管域控制器实现横向移动
- 滥用订阅资源(如创建攻击者实例/加密货币挖矿)
- 对虚拟机实例发起勒索软件攻击
机制更新(2025)
-
可视化改进
- 新增"Azure资源访问管理"区域显示已提升权限的用户计数
- 专用页面支持查看/移除特权账户
-
审计增强
- 新增"提升访问权限审计日志(预览)“功能
- 记录权限提升/撤销事件:
1 2Event: UserA enabled elevated access (2025-08-10T14:32:18Z) Event: UserB elevated access removed (2025-08-10T15:47:22Z)
关键防御措施
-
权限控制
- 严格限制全局管理员组成员
- 对全局管理员实施PIM(特权身份管理)+MFA
- 定期审计根级别"用户访问管理员"角色
-
架构设计
- 将域控制器等敏感系统部署到独立Azure租户
- 在SIEM中集成Entra ID审计日志(特别是Azure RBAC活动)