域或租户策略修改

攻击者可能会修改域或身份租户的配置设置，以在集中管理环境中规避防御和/或提升权限。此类服务提供了集中管理身份资源（如设备和账户）的手段，通常包括适用于域或租户之间的配置设置，如信任关系、身份同步或身份联合。 对域或租户设置的修改可能包括更改Microsoft Active Directory (AD)中的域组策略对象（GPO）或更改域的信任设置，包括域或租户之间的联合信任关系。 拥有足够权限的攻击者可以修改域或租户策略设置。由于这些服务的配置设置适用于大量身份资源，因此滥用此功能可能导致大量潜在的攻击和恶意后果。此类滥用的示例包括： * 修改GPO以将恶意计划任务推送到整个域环境中的计算机（引用：ADSecurity GPO Persistence 2016）（引用：Wald0 Guide to GPOs）（引用：Harmj0y Abusing GPO Permissions） * 修改域信任以包含攻击者控制的域，允许攻击者伪造访问令牌，随后被受害域资源接受（引用：Microsoft - Customer Guidance on Recent Nation-State Cyber Attacks） * 更改AD环境中的配置设置以实施恶意域控制器。 * 向身份租户添加新的攻击者控制的联合身份提供者，允许攻击者以受害租户管理的任何用户身份进行身份验证（引用：Okta Cross-Tenant Impersonation 2023） 攻击者可能会临时修改域或租户策略，执行恶意操作，然后恢复更改以删除可疑迹象。