设备注册

对手可能会将设备注册到对手控制的帐户。设备可以注册到多因素身份验证 (MFA) 系统，该系统处理对网络的身份验证，或注册到设备管理系统，该系统处理设备访问和合规性。 MFA 系统（例如 Duo 或 Okta）允许用户将设备与其帐户关联，以完成 MFA 要求。对手如果破坏了用户的凭据，可能会注册新设备以绕过初始 MFA 要求并获得对网络的持续访问。(引用: CISA MFA PrintNightmare)(引用: DarkReading FireEye SolarWinds) 在某些情况下，MFA 自助注册过程可能只需要用户名和密码即可注册帐户的第一个设备或注册到不活跃的帐户。(引用: Mandiant APT29 Microsoft 365 2022) 同样，具有现有网络访问权限的对手可能会将设备注册到 Entra ID 和/或其设备管理系统 Microsoft Intune，以便在绕过条件访问策略的情况下访问敏感数据或资源。(引用: AADInternals - Device Registration)(引用: AADInternals - Conditional Access Bypass)(引用: Microsoft DEV-0537) 注册到 Entra ID 的设备可能能够通过组织内部电子邮件进行 内部鱼叉式网络钓鱼 活动，这些电子邮件不太可能被电子邮件客户端视为可疑。(引用: Microsoft - Device Registration) 此外，对手可能能够通过注册大量设备对 Entra ID 租户执行 服务耗尽泛洪。(引用: AADInternals - BPRT)