Autorizzazioni dei ruoli personalizzati

Team Semperis

I permessi dei ruoli personalizzati sono un indicatore di sicurezza nello strumento di valutazione delle vulnerabilità di Semperis Directory Services Protector e Semperis Purple Knight Active Directory .

L'indicatore di sicurezza dei ruoli personalizzati AAD (Azure AD, ora Entra ID) con autorizzazioni rischiose verifica se un ruolo personalizzato dispone di autorizzazioni che possono essere abusate da un utente malintenzionato. Vengono controllate le autorizzazioni per i seguenti ruoli personalizzati:

Creazione dell'applicazione
Eliminazione dell'applicazione
Aggiornare l'applicazione di tutte le proprietà
Aggiornare le credenziali dell'applicazione
Aggiornare il proprietario dell'applicazione
Aggiornare le autorizzazioni dell'applicazione

Creazione di applicazioni

Anche se esistono due autorizzazioni per la creazione di applicazioni che garantiscono l'accesso al comando Nuova registrazione, questo indicatore controlla solo la presenza della seguente autorizzazione per la creazione di applicazioni:

microsoft.directory/applications/create: Consente all'utente autenticato di creare una nuova applicazione nella propria Azure Active Directory. Questo utente non sarà designato come primo proprietario della registrazione dell'applicazione creata.

Quando sono assegnate entrambe le autorizzazioni /createAsOwner e /create, l'autorizzazione /create ha la precedenza. Inoltre, l'autorizzazione /createAsOwner non aggiunge automaticamente il creatore come primo proprietario. È tuttavia possibile utilizzare le API Graph o PowerShell per specificare i proprietari quando si crea la registrazione dell'app.

Uso dannoso

È necessario prestare attenzione quando si assegna l'autorizzazione /create. Questo perché il creatore non viene aggiunto come primo proprietario della registrazione dell'app creata e quindi non viene conteggiato nella quota di 250 oggetti creati del creatore. Nulla impedisce all'utente autenticato di creare un numero eccessivo di registrazioni di app nel tentativo di superare la quota a livello di directory.

Cancellazione dell'applicazione

Questo indicatore di sicurezza verifica la presenza delle seguenti autorizzazioni per l'eliminazione delle applicazioni:

microsoft.directory/applicazioni/eliminazione: Consente all'utente autenticato di eliminare qualsiasi applicazione nel tenant, indipendentemente dal sottotipo. In altre parole, l'utente può eliminare sia applicazioni single-tenant che multi-tenant.
microsoft.directory/applications.myOrganization/delete: Consente all'utente autenticato di eliminare le registrazioni di applicazioni valutabili solo dagli account dell'organizzazione o dalle applicazioni single-tenant (sottotipo myOrganization).

Uso dannoso

Un utente con una di queste autorizzazioni per l'eliminazione delle applicazioni potrebbe interrompere l'accesso alle risorse o causare altri problemi all'interno dell'organizzazione. Per proteggersi da questo tipo di attacco, assicuratevi che solo gli utenti e le applicazioni fidate abbiano il permesso di creare ed eliminare applicazioni in Azure Active Directory e di monitorare le attività non autorizzate.

Applicazione Aggiorna tutte le proprietà

Questo indicatore controlla le autorizzazioni di aggiornamento delle proprietà dell'applicazione:

microsoft.directory/applications/allProperties/update: consente all'utente autorizzato di aggiornare tutte le proprietà delle applicazioni single-tenant e multi-tenant.
microsoft.directory/applications.myOrganization/allProperties/update: consente all'utente autorizzato di aggiornare tutte le proprietà delle applicazioni single-tenant.

Uso dannoso

Un utente con una di queste autorizzazioni di aggiornamento delle proprietà dell'applicazione può aggiornare tutte le proprietà in Azure Active Directory, compresi i certificati e i segreti di tutte le applicazioni; pertanto, può creare un nuovo segreto client e autenticarsi come applicazione.

Aggiornare le credenziali dell'applicazione

Questo indicatore verifica la presenza delle seguenti autorizzazioni che consentono l'accesso ai campi della pagina Certificati e segreti per la registrazione dell'applicazione:

microsoft.directory/applications/credentials/update: consente all'utente autorizzato di creare, aggiornare ed eliminare password, certificati e segreti client associati alle applicazioni single-tenant e multi-tenant.

Questa autorizzazione è generalmente concessa alle applicazioni che gestiscono o mantengono altre applicazioni all'interno di Azure AD.

microsoft.directory/applications.myOrganization/credentials/update: consente all'utente autorizzato di creare, aggiornare ed eliminare password, certificati e segreti client sulle applicazioni single-tenant.

Uso dannoso

È necessario prestare attenzione quando si assegnano le autorizzazioni per l'aggiornamento delle credenziali delle applicazioni, in quanto possono potenzialmente consentire alle applicazioni di apportare modifiche alle credenziali di altre applicazioni, con possibili implicazioni per la sicurezza. Infatti, se un utente malintenzionato ottiene questo tipo di autorizzazione, può autenticarsi come applicazione di destinazione.

Aggiornare il proprietario dell'applicazione

Questo indicatore di sicurezza controlla le seguenti autorizzazioni che consentono l'accesso ai campi della pagina Proprietari della registrazione dell'applicazione:

microsoft.directory/applications/owners/update: consente all'utente autenticato di aggiornare il proprietario su applicazioni single-tenant e multi-tenant.
microsoft.directory/applications.myOrganization/owners/update: consente all'utente autenticato di aggiornare il proprietario delle applicazioni single-tenant.

Uso dannoso

Come proprietario di un'applicazione, l'utente ha il controllo sui certificati e sui segreti del client che gli consentono di autenticarsi come applicazione.

Aggiornare i permessi dell'applicazione

Questo indicatore di sicurezza verifica la presenza delle seguenti autorizzazioni che consentono l'accesso al file di registrazione dell'applicazione Autorizzazioni API e Pagine Expose an API:

Uso dannoso

Un utente con i permessi di aggiornamento dei permessi di applicazione può richiedere i permessi API, ma senza il consenso dell'amministratore. Se l'utente è in grado di costringere un amministratore a concedere il consenso dell'amministratore, riceverà questi permessi forti. (Per essere utile a un aggressore, questo richiede l'accesso preventivo a un'applicazione).

Nuovo rapporto Forrester TEI: Semperis riduce i tempi di inattività del 90%, facendo risparmiare milioni ai clienti

Semperis amplia il rilevamento degli attacchi basato su ML con un focus specializzato sul rischio di identità

Semperis si aggiudica per il secondo anno consecutivo la prestigiosa Guida ai programmi per i partner di CRN

Il punto di vista del CISO sulla sicurezza basata sull'identità con Simon Hodgkinson

Semperis è stata nominata dalla rivista Inc. La rivista Inc. è stata inserita nell'elenco annuale dei migliori ambienti di lavoro per il terzo anno consecutivo.

Autorizzazioni dei ruoli personalizzati

I permessi dei ruoli personalizzati sono un indicatore di sicurezza nello strumento di valutazione delle vulnerabilità di Semperis Directory Services Protector e Semperis Purple Knight Active Directory .

Creazione di applicazioni

Uso dannoso

Cancellazione dell'applicazione

Uso dannoso

Applicazione Aggiorna tutte le proprietà

Uso dannoso

Aggiornare le credenziali dell'applicazione

Uso dannoso

Aggiornare il proprietario dell'applicazione

Uso dannoso

Aggiornare i permessi dell'applicazione

Uso dannoso

Nuovo rapporto Forrester TEI: Semperis riduce i tempi di inattività del 90%, facendo risparmiare milioni ai clienti

Semperis amplia il rilevamento degli attacchi basato su ML con un focus specializzato sul rischio di identità

Semperis si aggiudica per il secondo anno consecutivo la prestigiosa Guida ai programmi per i partner di CRN

Il punto di vista del CISO sulla sicurezza basata sull'identità con Simon Hodgkinson

Semperis è stata nominata dalla rivista Inc. La rivista Inc. è stata inserita nell'elenco annuale dei migliori ambienti di lavoro per il terzo anno consecutivo.

Autorizzazioni dei ruoli personalizzati

I permessi dei ruoli personalizzati sono un indicatore di sicurezza nello strumento di valutazione delle vulnerabilità di Semperis Directory Services Protector e Semperis Purple Knight Active Directory .

Creazione di applicazioni

Uso dannoso

Cancellazione dell'applicazione

Uso dannoso

Applicazione Aggiorna tutte le proprietà

Uso dannoso

Aggiornare le credenziali dell'applicazione

Uso dannoso

Aggiornare il proprietario dell'applicazione

Uso dannoso

Aggiornare i permessi dell'applicazione

Uso dannoso

Iscriviti per ricevere le ultime notizie su Semperis