Benutzerdefinierte Rollen Berechtigungen

Semperis Team

Benutzerdefinierte Rollenberechtigungen ist ein Sicherheitsindikator in Semperis Directory Services Protector und Semperis Purple Knight Active Directory Schwachstellenbewertungstool

Der AAD (Azure AD, jetzt Entra ID) Sicherheitsindikator für benutzerdefinierte Rollen mit riskanten Berechtigungen überprüft, ob eine benutzerdefinierte Rolle über Berechtigungen verfügt, die von einem Angreifer missbraucht werden können. Die Berechtigungen für die folgenden benutzerdefinierten Rollen werden überprüft:

Erstellung von Anwendungen
Löschung der Anwendung
Anwendung Alle Eigenschaften aktualisieren
Aktualisieren Sie die Anmeldeinformationen der Anwendung
Eigentümer der Anwendung aktualisieren
Aktualisieren Sie die Berechtigungen der Anwendung

Erstellung von Anwendungen

Obwohl es zwei Berechtigungen zur Anwendungserstellung gibt, die Zugriff auf den Befehl Neue Registrierung gewähren, prüft dieser Indikator nur auf die folgende Berechtigung zur Anwendungserstellung:

microsoft.directory/applications/create: Ermöglicht es dem authentifizierten Benutzer, eine neue Anwendung in seinem Azure Active Directory zu erstellen. Dieser Benutzer wird nicht als erster Eigentümer der erstellten App-Registrierung benannt.

Wenn sowohl die Berechtigung /createAsOwner als auch /create zugewiesen sind, hat die Berechtigung /create Vorrang. Außerdem fügt die Berechtigung /createAsOwner nicht automatisch den Ersteller als ersten Eigentümer hinzu. Sie können jedoch die Graph-APIs oder die PowerShell verwenden, um Eigentümer anzugeben, wenn Sie die App-Registrierung erstellen.

Böswillige Verwendung

Seien Sie vorsichtig, wenn Sie die Berechtigung /create zuweisen. Dies liegt daran, dass der Ersteller nicht als erster Eigentümer der erstellten App-Registrierung hinzugefügt wird und daher nicht auf die Quote von 250 erstellten Objekten des Erstellers angerechnet wird. Es gibt nichts, was den authentifizierten Benutzer daran hindert, eine übermäßige Anzahl von App-Registrierungen zu erstellen, um das Kontingent auf Verzeichnisebene zu überschreiten.

Löschung von Anwendungen

Dieser Sicherheitsindikator prüft auf die folgenden Berechtigungen zum Löschen von Anwendungen:

microsoft.directory/applications/delete: Ermöglicht es dem authentifizierten Benutzer, jede Anwendung im Mandanten zu löschen, unabhängig vom Untertyp. Das heißt, der Benutzer kann sowohl Single-Tenant- als auch Multi-Tenant-Anwendungen löschen.
microsoft.directory/applications.myOrganization/delete: Ermöglicht es dem authentifizierten Benutzer, Anwendungsregistrierungen zu löschen, die nur für Konten in Ihrer Organisation oder für mandantenfähige Anwendungen (Subtyp myOrganization) bewertet werden können.

Böswillige Verwendung

Ein Benutzer mit einer dieser beiden Berechtigungen zum Löschen von Anwendungen könnte den Zugriff auf Ressourcen stören oder andere Probleme innerhalb des Unternehmens verursachen. Um sich vor dieser Art von Angriffen zu schützen, stellen Sie sicher, dass nur vertrauenswürdige Benutzer und Anwendungen die Berechtigung haben, Anwendungen im Azure Active Directory zu erstellen und zu löschen und auf nicht autorisierte Aktivitäten zu überwachen.

Anwendung Alle Eigenschaften aktualisieren

Dieser Indikator prüft die folgenden Anwendungseigenschaften auf Aktualisierungsberechtigungen:

microsoft.directory/applications/allProperties/update: Ermöglicht dem autorisierten Benutzer die Aktualisierung aller Eigenschaften von mandantenfähigen und mehrmandantenfähigen Anwendungen.
microsoft.directory/applications.myOrganization/allProperties/update: Ermöglicht dem autorisierten Benutzer die Aktualisierung aller Eigenschaften für mandantenfähige Anwendungen.

Böswillige Verwendung

Ein Benutzer mit einer dieser Aktualisierungsberechtigungen für Anwendungseigenschaften kann alle Eigenschaften im Azure Active Directory aktualisieren, einschließlich der Zertifikate und Geheimnisse aller Anwendungen. Er kann also ein neues Client-Geheimnis erstellen und sich als diese Anwendung authentifizieren.

Credentials der Anwendung aktualisieren

Dieser Indikator prüft die folgenden Berechtigungen, die Zugriff auf Felder auf der Seite Anwendungsregistrierung Zertifikate & Geheimnisse gewähren:

microsoft.directory/applications/credentials/update: Ermöglicht dem autorisierten Benutzer das Erstellen, Aktualisieren und Löschen von Passwörtern, Zertifikaten und Client-Secrets, die mit mandantenfähigen und mehrmandantenfähigen Anwendungen verbunden sind.

Diese Berechtigung wird in der Regel Anwendungen gewährt, die andere Anwendungen in Azure AD verwalten oder pflegen.

microsoft.directory/applications.myOrganization/credentials/update: Ermöglicht dem autorisierten Benutzer das Erstellen, Aktualisieren und Löschen von Kennwörtern, Zertifikaten und Client-Secrets in mandantenfähigen Anwendungen.

Böswillige Verwendung

Bei der Zuweisung von Berechtigungen zur Aktualisierung von Anmeldedaten für Anwendungen ist Vorsicht geboten, da es Anwendungen möglicherweise möglich ist, Änderungen an den Anmeldedaten anderer Anwendungen vorzunehmen, was Auswirkungen auf die Sicherheit haben könnte. Das heißt, wenn ein Angreifer diese Art von Berechtigung erhält, kann er sich als die Zielanwendung authentifizieren.

Besitzer der Anwendung aktualisieren

Dieser Sicherheitsindikator prüft die folgenden Berechtigungen, die den Zugriff auf die Felder auf der Seite der Anwendungsregistrierung Eigentümer gewähren:

microsoft.directory/applications/owners/update: Ermöglicht dem authentifizierten Benutzer die Aktualisierung des Eigentümers bei mandantenfähigen und mehrmandantenfähigen Anwendungen.
microsoft.directory/applications.myOrganization/owners/update: Ermöglicht es dem authentifizierten Benutzer, den Eigentümer von mandantenfähigen Anwendungen zu aktualisieren.

Böswillige Verwendung

Als Eigentümer einer Anwendung hat der Benutzer die Kontrolle über die Zertifikate und Client-Geheimnisse, mit denen er sich als Anwendung authentifizieren kann.

Berechtigungen der Anwendung aktualisieren

Dieser Sicherheitsindikator prüft auf die folgenden Berechtigungen, die den Zugriff auf das Feld auf den Seiten Anwendungsregistrierung API-Berechtigungen und Expose an API gewähren:

Böswillige Verwendung

Ein Benutzer mit der Berechtigung zur Aktualisierung der Anwendungsberechtigung kann API-Berechtigungen anfordern, jedoch ohne die Zustimmung des Administrators. Wenn es dem Benutzer gelingt, einen Administrator dazu zu zwingen, die Zustimmung des Administrators zu erteilen, erhält er diese starken Berechtigungen. (Um für einen Angreifer nützlich zu sein, muss er zuvor Zugang zu einer Anwendung haben.

Privilegiert

Alle benutzerdefinierten Berechtigungen, die von Microsoft als privilegiert eingestuft werden, gelten auch bei uns als privilegiert.

microsoft.directory/deviceManagementPolicies/basic/update

microsoft.directory/deviceRegistrationPolicy/basic/update

microsoft.directory/servicePrincipals/allProperties/update

microsoft.directory/servicePrincipals/credentials/update

Neuer Forrester TEI-Bericht: Semperis verkürzt Ausfallzeiten um 90% und spart Kunden Millionenbeträge

Semperis erweitert ML-basierte Angriffserkennung mit speziellem Fokus auf Identitätsrisiken

Semperis gewinnt zwei Jahre in Folge den renommierten CRN Partner Program Guide

Verbessern Sie Ihre Fähigkeiten im Bereich der Identitätssicherheit auf der HIP Conf 2024

Semperis wird zum dritten Mal in Folge vom Inc. Magazine's Annual List of Best Workplaces für das dritte Jahr in Folge

Benutzerdefinierte Rollen Berechtigungen