Indicators of Exposure

动态对象错误配置和使用

Medium 严重性

名称

动态对象错误配置和使用

描述

检测动态对象及其相关的不安全配置。

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-DYNAMIC-OBJECTS

BadSuccessor 存在危险的 dMSA 权限

Critical 严重性

名称

BadSuccessor 存在危险的 dMSA 权限

描述

BadSuccessor 是 Windows Server 2025 中可利用 dMSA 的 Active Directory 特权提升缺陷，让攻击者可以操纵帐户链接，并可能入侵域。

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-BAD-SUCCESSOR

非必要组

Low 严重性

名称

非必要组

描述

验证没有空组或组只包含单个成员。

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-UNNECESSARY-GROUP

敏感 Exchange 权限

Critical 严重性

名称

敏感 Exchange 权限

描述

识别影响 Exchange 资源或已分配给 Exchange 组的潜在不安全权限。

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-EXCHANGE-PERMISSIONS

不受支持或过时的 Exchange 服务器

High 严重性

名称

不受支持或过时的 Exchange 服务器

描述

检测到 Microsoft 不再支持的过时 Exchange 服务器，以及缺少最新累积更新的服务器。

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-EXCHANGE-VERSION

危险的 Exchange 错误配置

High 严重性

名称

危险的 Exchange 错误配置

描述

列出影响 Exchange 资源或其底层 Active Directory 架构对象的错误配置。

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-EXCHANGE-MISCONFIG

混合 Entra ID 信息

Low 严重性

名称

混合 Entra ID 信息

描述

从本地 Active Directory 环境收集已与 Microsoft Entra ID 同步的资源有关的信息，如混合用户和计算机等。

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-AAD-INFORMATIVE

Exchange 组成员

High 严重性

名称

Exchange 组成员

描述

敏感 Exchange 组中的异常帐户

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-EXCHANGE-MEMBERS

服务帐户配置错误

Medium 严重性

名称

服务帐户配置错误

描述

显示域服务帐户中的潜在配置错误。

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-SERVICE-ACCOUNT

冲突的安全主体

Low 严重性

名称

冲突的安全主体

描述

请检查是否有重复（冲突）的用户、计算机或组。

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-CONFLICTED-OBJECTS

Shadow Credentials

High 严重性

名称

Shadow Credentials

描述

在“Windows Hello for Business”功能及其相关密钥凭据中检测到 Shadow Credentials 后门程序和配置错误。

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-SHADOW-CREDENTIALS

已启用来宾帐户

Low 严重性

名称

已启用来宾帐户

描述

检查内置的来宾帐户是否已禁用。

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-GUEST-ACCOUNT

托管服务帐户中危险的错误配置

High 严重性

名称

托管服务帐户中危险的错误配置

描述

确保托管服务帐户 (MSAs) 已部署和正确配置。

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-MSA-COMPLIANCE

已同步到 Microsoft Entra ID 的特权 AD 用户帐户

High 严重性

名称

已同步到 Microsoft Entra ID 的特权 AD 用户帐户

描述

检查特权 Active Directory 用户帐户是否已同步到 Microsoft Entra ID。

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-AAD-PRIV-SYNC

特权身份验证孤岛配置

High 严重性

名称

特权身份验证孤岛配置

描述

有关为特权（第 0 层）帐户配置身份验证孤岛的分步指南。

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-AUTH-SILO

允许不安全的动态 DNS 区域更新

High 严重性

名称

允许不安全的动态 DNS 区域更新

描述

检查 DNS 服务器配置是否禁止不安全的动态 DNS 区域更新。

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-DYNAMIC-UPDATES

危险的 WSUS 错误配置

Critical 严重性

名称

危险的 WSUS 错误配置

描述

列出了与 Windows Server Update Services (WSUS) 相关的错误配置参数。

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-WSUS-HARDENING

属性集的完整性

Medium 严重性

名称

属性集的完整性

描述

检查属性集的完整性并验证权限

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-PROP-SET-SANITY

危险的 SYSVOL 复制配置

Medium 严重性

名称

危险的 SYSVOL 复制配置

描述

检查“分布式文件系统复制”(DFS-R) 机制是否替换了“文件复制服务”(FRS)。

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-DFS-MISCONFIG

检测到密码弱点

High 严重性

名称

检测到密码弱点

描述

验证可能会加剧 Active Directory 帐户漏洞的密码中的缺陷。

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-PASSWORD-HASHES-ANALYSIS

针对勒索软件的加固不足

Medium 严重性

名称

针对勒索软件的加固不足

描述

确保域实现了针对勒索软件的加固措施。

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-RANSOMWARE-HARDENING

危险的 ADCS 错误配置

Critical 严重性

名称

危险的 ADCS 错误配置

描述

列出与 Active Directory 证书服务 (AD CS) 公钥基础设施 (PKI) 有关、危险的权限以及错误配置的参数。

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-PKI-DANG-ACCESS

GPO 执行的合理性

High 严重性

名称

GPO 执行的合理性

描述

验证应用于域计算机的组策略对象 (GPO) 是否健全。

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-GPO-EXEC-SANITY

特权用户登录限制

High 严重性

名称

特权用户登录限制

描述

检查是否存在可连接到低特权计算机，从而导致凭据盗窃风险的特权用户。

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-ADMIN-RESTRICT-AUTH

不安全的 Netlogon 协议配置

Critical 严重性

名称

不安全的 Netlogon 协议配置

描述

CVE-2020-1472（“Zerologon”）会影响 Netlogon 协议并允许提升特权

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-NETLOGON-SECURITY

易受攻击的 Credential Roaming 相关属性

Low 严重性

名称

易受攻击的 Credential Roaming 相关属性

描述

Credential roaming 属性易受攻击，因此，攻击者可以读取相关受用户保护的密钥。

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-CREDENTIAL-ROAMING

潜在明文密码

High 严重性

名称

潜在明文密码

描述

检查域用户可读属性中包含潜在明文密码的对象。

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-CLEARTEXT-PASSWORD

存在危险的敏感特权

High 严重性

名称

存在危险的敏感特权

描述

识别配置错误的敏感特权，这些特权会降低目录基础设施的安全性。

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-DANGEROUS-SENSITIVE-PRIVILEGES

帐户上的映射证书

Critical 严重性

名称

帐户上的映射证书

描述

确保没有弱证书映射被分配给对象。

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-SENSITIVE-CERTIFICATES-ON-USER

没有计算机加固 GPO 的域

Medium 严重性

名称

没有计算机加固 GPO 的域

描述

检查域中是否部署了加固 GPO。

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-GPO-HARDENING

未使用 Protected Users 组

High 严重性

名称

未使用 Protected Users 组

描述

验证是否有特权用户不是 Protected Users 组成员。

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-PROTECTED-USERS-GROUP-UNUSED

可能使用空密码的帐户

High 严重性

名称

可能使用空密码的帐户

描述

识别允许使用空密码的用户帐户。

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-PASSWORD-NOT-REQUIRED

允许将计算机加入到域的用户

Medium 严重性

名称

允许将计算机加入到域的用户

描述

确认普通用户无法将外部计算机加入到域。

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-USERS-CAN-JOIN-COMPUTERS

Microsoft Entra Seamless SSO 帐户密码的上次更改

High 严重性

名称

Microsoft Entra Seamless SSO 帐户密码的上次更改

描述

确保定期更改 Microsoft Entra Seamless SSO 帐户密码。

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-AAD-SSO-PASSWORD

AD 架构中存在危险的权限

High 严重性

名称

AD 架构中存在危险的权限

描述

列出被认为存在异常且可能提供持久性方法的架构条目。

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-ABNORMAL-ENTRIES-IN-SCHEMA

使用旧密码的用户帐户

Medium 严重性

名称

使用旧密码的用户帐户

描述

检查 Active Directory 中所有处于活动状态的帐户密码是否定期更新，以减少凭据被盗的风险。

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-USER-PASSWORD

验证与 Microsoft Entra Connect 帐户相关的权限

Critical 严重性

名称

验证与 Microsoft Entra Connect 帐户相关的权限

描述

确保在 Microsoft Entra Connect 帐户上设置的权限是合理的

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-AAD-CONNECT

由非法用户管理的域控制器

Critical 严重性

名称

由非法用户管理的域控制器

描述

某些域控制器可以由非管理用户管理，这是访问权限存在风险所致。

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-DC-ACCESS-CONSISTENCY

对用户应用弱密码策略

Critical 严重性

名称

对用户应用弱密码策略

描述

一些应用于特定用户帐户的密码策略不够强，可能会导致凭据被盗。

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-PASSWORD-POLICY

验证敏感 GPO 和文件权限

Critical 严重性

名称

验证敏感 GPO 和文件权限

描述

确保分配给链接到敏感容器（如域控制器或组织单位）的 GPO 对象和文件的权限是适当且安全的。

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-GPO-SD-CONSISTENCY

采用不安全后向兼容配置的域

Low 严重性

名称

采用不安全后向兼容配置的域

描述

dsHeuristics 属性可以修改 AD 行为，但部分字段为安全敏感字段，会带来安全风险。

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-DSHEURISTICS

域的功能级别已过时

Medium 严重性

名称

域的功能级别已过时

描述

检查域或林的功能级别是否正确无误，这将决定高级功能和安全选项的可用性。

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-DOMAIN-FUNCTIONAL-LEVEL

本地管理帐户管理

Medium 严重性

名称

本地管理帐户管理

描述

确保使用 LAPS 对本地管理帐户进行安全的集中管理。

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-LAPS-UNSECURE-CONFIG

用户帐户的 Kerberos 配置

Medium 严重性

名称

用户帐户的 Kerberos 配置

描述

检测使用弱 Kerberos 配置的帐户。

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-KERBEROS-CONFIG-ACCOUNT

允许类似 DCSync 攻击的根对象权限

Critical 严重性

名称

允许类似 DCSync 攻击的根对象权限

描述

检查根对象上是否存在可使未经授权的用户窃取身份验证凭据的不安全权限。

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-ROOTOBJECTS-SD-CONSISTENCY

使用 Windows 2000 以前版本兼容访问控制的帐户

High 严重性

名称

使用 Windows 2000 以前版本兼容访问控制的帐户

描述

检查是否存在可以绕过安全措施的 Windows 2000 以前版本兼容访问组的帐户成员。

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-PRE-WIN2000-ACCESS-MEMBERS

特权组中的禁用帐户

Low 严重性

名称

特权组中的禁用帐户

描述

已停用的帐户不应继续留在特权组中。

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-DISABLED-ACCOUNTS-PRIV-GROUPS

运行过时操作系统的计算机

High 严重性

名称

运行过时操作系统的计算机

描述

识别 Microsoft 不再支持且会增加基础结构安全漏洞的过时系统。

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-OBSOLETE-SYSTEMS

具有存在危险的 SID History 属性的帐户

High 严重性

名称

具有存在危险的 SID History 属性的帐户

描述

使用 SID history 属性中的特权 SID 检查用户/计算机帐户。

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-ACCOUNTS-DANG-SID-HISTORY

在 Active Directory PKI 中使用弱加密算法

Critical 严重性

名称

在 Active Directory PKI 中使用弱加密算法

描述

标识部署在内部 Active Directory PKI 上的根证书中所使用的弱加密算法。

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-PKI-WEAK-CRYPTO

最近使用了默认管理员帐户

Medium 严重性

名称

最近使用了默认管理员帐户

描述

检查内置管理员帐户的近期使用情况。

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-ADM-ACC-USAGE

用户主要组

Critical 严重性

名称

用户主要组

描述

验证用户的主要组是否未发生变化

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-DANG-PRIMGROUPID

危险的 Kerberos 委派

Critical 严重性

名称

危险的 Kerberos 委派

描述

检查是否存在未经授权的 Kerberos 委派，确保特权用户免受其影响。

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-UNCONST-DELEG

可逆密码

Medium 严重性

名称

可逆密码

描述

验证是否未启用以可逆格式存储密码的选项。

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-USERS-REVER-PWDS

GPO 中的可逆密码

Medium 严重性

名称

GPO 中的可逆密码

描述

检查 GPO 首选项是否允许使用可逆格式的密码。

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-REVER-PWD-GPO

确保 SDProp 一致性

Critical 严重性

名称

确保 SDProp 一致性

描述

控制 AdminSDHolder 对象处于干净状态。

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-SDPROP-CONSISTENCY

KRBTGT 帐户上次更改密码的时间

High 严重性

名称

KRBTGT 帐户上次更改密码的时间

描述

查找超过建议间隔没有更改密码的 KRBTGT 帐户。

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-KRBTGT-PASSWORD

本机管理组成员

Critical 严重性

名称

本机管理组成员

描述

Active Directory 本机管理组中的异常帐户

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-NATIVE-ADM-GROUP-MEMBERS

运行 Kerberos 服务的特权帐户

Critical 严重性

名称

运行 Kerberos 服务的特权帐户

描述

检测具有服务主体名称 (SPN) 属性的高特权帐户，因为该属性会危害帐户安全。

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-PRIV-ACCOUNTS-SPN

标准用户中设置的 AdminCount 属性

Medium 严重性

名称

标准用户中设置的 AdminCount 属性

描述

检查已停用帐户是否具有 adminCount 属性，从而造成难以管理的权限问题。

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-ADMINCOUNT-ACCOUNT-PROPS

休眠帐户

Medium 严重性

名称

休眠帐户

描述

检测可带来安全风险的未使用的休眠帐户。

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-SLEEPING-ACCOUNTS

存在危险的信任关系

High 严重性

名称

存在危险的信任关系

描述

识别配置错误的信任关系属性，这些属性会降低目录基础结构的安全性。

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-DANGEROUS-TRUST-RELATIONSHIP

密码永不过期的帐户

Medium 严重性

名称

密码永不过期的帐户

描述

检查是否存在这样的帐户，其 userAccountControl 属性中包含允许无限期使用相同密码以绕过密码更新策略的 DONT_EXPIRE_PASSWORD 属性标记。

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-PASSWORD-DONT-EXPIRE

未链接、已禁用或孤立的 GPO

Low 严重性

名称

未链接、已禁用或孤立的 GPO

描述

未使用或禁用的 GPO 会降低目录性能和 RSoP 计算速度，并可能导致安全策略混淆。误将它们重新激活可能会削弱现有策略。

了解详细信息 https://www.tenable.com/indicators/ioe/ad/C-GPOLICY-DISABLED-UNLINKED

影响数据的危险应用程序权限

Medium 严重性

名称

影响数据的危险应用程序权限

描述

Microsoft 在 Entra ID 中公开 API，以允许第三方应用程序以自己的名义对 Microsoft 服务执行操作（这被称为“应用程序权限”）。某些权限可能对这些服务存储的用户数据构成威胁。

了解详细信息 https://www.tenable.com/indicators/ioe/entra/DANGEROUS-APPLICATION-PERMISSIONS-AFFECTING-DATA

具有可利用规则的动态组

Medium 严重性

名称

具有可利用规则的动态组

描述

攻击者可以通过操纵可自行修改的属性来利用 Microsoft Entra ID 中的动态组，将自己添加为组成员。这种操纵使得攻击者能够提升特权，并在未经授权的情况下访问与组相关的敏感资源。

了解详细信息 https://www.tenable.com/indicators/ioe/entra/DYNAMIC-GROUP-FEATURING-AN-EXPLOITABLE-RULE

空组

Low 严重性

名称

空组

描述

空组可能会导致混淆、影响安全性，并造成资源闲置。通常建议为组建立明确的目标，并确保组中包含相关成员。

了解详细信息 https://www.tenable.com/indicators/ioe/entra/EMPTY-GROUP-MEID

联合域列表

Low 严重性

名称

联合域列表

描述

恶意联合域配置是一种常见威胁，攻击者将其用作进入 Entra ID 租户的身份验证后门程序。验证现有和新添加的联合域对于确保其配置可靠且合法至关重要。此风险暴露指标提供了联合域及其相关属性的完整列表，有助于您对其安全状态做出明智决定。

了解详细信息 https://www.tenable.com/indicators/ioe/entra/FEDERATED-DOMAINS-LIST

已知的联合域后门程序

Critical 严重性

名称

已知的联合域后门程序

描述

Microsoft Entra ID 允许通过联合功能将身份验证委派给其他提供者。然而，有更高特权的攻击者可以通过添加恶意联合域来利用该功能，从而实现持久性和特权提升。

了解详细信息 https://www.tenable.com/indicators/ioe/entra/KNOWN-FEDERATED-DOMAIN-BACKDOOR

已强制实施密码过期策略

Low 严重性

名称

已强制实施密码过期策略

描述

在 Microsoft Entra ID 域中强制实施密码过期策略可能会削弱安全性，因为它会频繁提示用户更改密码，而这往往导致用户使用弱密码、可预测的密码或重复使用的密码，从而降低帐户整体防护水平。

了解详细信息 https://www.tenable.com/indicators/ioe/entra/PASSWORD-EXPIRATION-ENFORCED

特权帐户命名约定

Low 严重性

名称

特权帐户命名约定

描述

Entra ID 中特权用户的命名约定对于安全性、规范性、审计合规性至关重要，并且有助于管理。

了解详细信息 https://www.tenable.com/indicators/ioe/entra/PRIVILEGED-ACCOUNT-NAMING-CONVENTION

与 AD（混合帐户）同步的特权 Entra 帐户

High 严重性

名称

与 AD（混合帐户）同步的特权 Entra 帐户

描述

在 Entra ID 中具有特权角色的混合帐户（即从 Active Directory 同步）会构成安全风险，因为这类帐户允许入侵 AD 的攻击者转而入侵 Entra ID。Entra ID 中的特权帐户必须为纯云帐户。

了解详细信息 https://www.tenable.com/indicators/ioe/entra/PRIVILEGED-ENTRA-ACCOUNT-SYNCHRONIZED-WITH-AD-HYBRID

应用程序的无限制用户同意

Medium 严重性

名称

应用程序的无限制用户同意

描述

用户可以凭借 Entra ID 主动同意外部应用程序访问组织的数据，此类数据可能会被攻击者利用来进行“非法同意授予”攻击。将访问限制于经验证的发布者或要求管理员批准，便可以防止这种情况发生。

了解详细信息 https://www.tenable.com/indicators/ioe/entra/UNRESTRICTED-USER-CONSENT-FOR-APPLICATIONS

未经验证的域

Low 严重性

名称

未经验证的域

描述

您必须确认 Entra ID 中所有自定义域的所有权。仅暂时保留未经验证的域 - 您应该验证或移除此类域，以保持域列表的整洁，并促进高效的审核。

了解详细信息 https://www.tenable.com/indicators/ioe/entra/UNVERIFIED-DOMAIN

影响数据的危险委派权限

Medium 严重性

名称

影响数据的危险委派权限

描述

Microsoft 在 Entra ID 中公开 API，以允许第三方应用程序代表用户对 Microsoft 服务执行操作（这被称为“委派权限”）。某些权限可能对这些服务存储的用户数据构成威胁。

了解详细信息 https://www.tenable.com/indicators/ioe/entra/DANGEROUS-DELEGATED-PERMISSIONS-AFFECTING-DATA

Entra 安全默认设置未启用

Medium 严重性

名称

Entra 安全默认设置未启用

描述

Entra ID 安全默认设置提供预配置、Microsoft 建议的设置，以增强租户保护。

了解详细信息 https://www.tenable.com/indicators/ioe/entra/ENTRA-SECURITY-DEFAULTS-NOT-ENABLED

来宾帐户与普通帐户具有相同的访问权限

High 严重性

名称

来宾帐户与普通帐户具有相同的访问权限

描述

不建议将 Entra ID 配置为将来宾视为普通用户，因为这可能会使恶意的来宾对租户的资源进行全面侦查。

了解详细信息 https://www.tenable.com/indicators/ioe/entra/GUEST-ACCOUNTS-WITH-EQUAL-ACCESS-TO-NORMAL-ACCOUNTS

MFA 注册不要求使用托管设备

Medium 严重性

名称

MFA 注册不要求使用托管设备

描述

要求使用托管设备进行 MFA 注册，可以在凭据被盗的情况下提高安全性，因为攻击者若无法访问托管设备，便难以完成恶意 MFA 注册。

了解详细信息 https://www.tenable.com/indicators/ioe/entra/MANAGED-DEVICES-NOT-REQUIRED-FOR-MFA-REGISTRATION

有风险的登录未要求进行 MFA

High 严重性

名称

有风险的登录未要求进行 MFA

描述

MFA 为帐户提供强大保护，防止出现弱密码或泄露密码。根据安全最佳实践和标准，我们建议您对存在风险的登录要求进行 MFA，例如怀疑身份验证请求并非来自合法的身份拥有者时。

了解详细信息 https://www.tenable.com/indicators/ioe/entra/MFA-NOT-REQUIRED-FOR-RISKY-SIGN-INS

非特权帐户缺少 MFA

Medium 严重性

名称

非特权帐户缺少 MFA

描述

MFA 为帐户提供强大保护，防止出现弱密码或泄露密码。根据安全最佳实践和标准，我们建议您启用 MFA，即使针对非特权帐户。没有注册 MFA 方法的帐户无法从中获益。

了解详细信息 https://www.tenable.com/indicators/ioe/entra/MISSING-MFA-FOR-NON-PRIVILEGED-ACCOUNT

从未使用的特权用户

Medium 严重性

名称

从未使用的特权用户

描述

从未使用的特权用户帐户容易遭到入侵，因为它们通常能够逃避防御措施的检测。此外，帐户可能配置了默认密码，使其成为攻击者的主要目标。

了解详细信息 https://www.tenable.com/indicators/ioe/entra/NEVER-USED-PRIVILEGED-USER

可访问 M365 服务的特权 Entra 帐户

Medium 严重性

名称

可访问 M365 服务的特权 Entra 帐户

描述

您应该为管理任务设置单独的 Entra 帐户：一个用于日常使用的标准帐户，以及另一个仅限于管理活动的特权帐户。此方法可减少特权帐户的攻击面。

了解详细信息 https://www.tenable.com/indicators/ioe/entra/PRIVILEGED-ENTRA-ACCOUNT-WITH-ACCESS-TO-M365-SERVICES

无强制措施的风险用户

Medium 严重性

名称

无强制措施的风险用户

描述

阻止有风险的用户，以防止未经授权的访问和潜在漏洞。安全性最佳实践建议使用条件访问策略来阻止易受攻击的帐户进行 Entra ID 身份验证。

了解详细信息 https://www.tenable.com/indicators/ioe/entra/RISKY-USERS-WITHOUT-ENFORCEMENT

不受限来宾帐户

Medium 严重性

名称

不受限来宾帐户

描述

默认情况下，系统授予 Entra ID 中的来宾用户有限的访问权限，以降低其在租户中的可见性；同时，您也可以通过进一步收紧这些限制来增强安全性和隐私性。

了解详细信息 https://www.tenable.com/indicators/ioe/entra/UNRESTRICTED-GUEST-ACCOUNTS

异常联合签名证书有效期

Medium 严重性

名称

异常联合签名证书有效期

描述

如果联合签名证书的有效期异常长，则需要警惕，因为这可能表明攻击者在 Entra ID 中获得了更高的特权，并通过联合信任机制创建了后门程序。

了解详细信息 https://www.tenable.com/indicators/ioe/entra/UNUSUAL-FEDERATION-SIGNING-CERTIFICATE-VALIDITY-PERIOD

标准帐户注册应用程序的能力

Low 严重性

名称

标准帐户注册应用程序的能力

描述

默认情况下，任何 Entra 用户都可以在租户中注册应用程序。虽然此功能很方便，并且不会立即导致安全漏洞，但它确实存在一定的风险。因此，根据最佳实践，Tenable 建议禁用此功能。

了解详细信息 https://www.tenable.com/indicators/ioe/entra/ABILITY-OF-STANDARD-ACCOUNTS-TO-REGISTER-APPLICATIONS

允许多租户身份验证的应用程序

Low 严重性

名称

允许多租户身份验证的应用程序

描述

Entra 应用程序支持多租户身份验证，但如果在未完全理解其影响的情况下启用了这一配置，并且应用程序代码中没有实施适当的授权检查，则可能会导致恶意用户获得未经授权的访问权限。

了解详细信息 https://www.tenable.com/indicators/ioe/entra/APPLICATION-ALLOWING-MULTI-TENANT-AUTHENTICATION

条件访问策略禁用连续访问评估

Medium 严重性

名称

条件访问策略禁用连续访问评估

描述

持续访问评估是 Entra ID 的一项安全功能，可对安全策略更改或用户状态更新做出快速反应。出于此原因，请勿禁用该功能。

了解详细信息 https://www.tenable.com/indicators/ioe/entra/CONDITIONAL-ACCESS-POLICY-DISABLES-CONTINUOUS-ACCESS-EVALUATION

本地环境未启用密码保护

Medium 严重性

名称

本地环境未启用密码保护

描述

Microsoft Entra 密码保护是一项安全功能，可防止用户设置容易被猜中的密码，以增强组织的整体密码安全性。

了解详细信息 https://www.tenable.com/indicators/ioe/entra/PASSWORD-PROTECTION-NOT-ENABLED-FOR-ON-PREMISES-ENVIRONMENTS

公共 M365 组

Medium 严重性

名称

公共 M365 组

描述

存储在 Entra ID 中的 Microsoft 365 组可以是公共组，也可以是私有组。公共组会带来安全风险，因为租户中的任何用户都可以加入这些组并访问其数据（Teams 聊天/文件、电子邮件等）。

了解详细信息 https://www.tenable.com/indicators/ioe/entra/PUBLIC-M365-GROUP

在 Microsoft Authenticator 通知中显示额外上下文

Medium 严重性

名称

在 Microsoft Authenticator 通知中显示额外上下文

描述

为了提高可见性，请启用 Microsoft Authenticator 通知以显示额外的上下文，例如应用程序名称和地理位置。这有助于用户识别并拒绝潜在的恶意 MFA 或无密码身份验证请求，从而有效缓解 MFA 疲劳攻击的风险。

了解详细信息 https://www.tenable.com/indicators/ioe/entra/SHOW-ADDITIONAL-CONTEXT-IN-MICROSOFT-AUTHENTICATOR-NOTIFICATIONS

可疑的 AD 同步角色分配

High 严重性

名称

可疑的 AD 同步角色分配

描述

Microsoft 针对 Active Directory 同步设计了两个隐藏的内置 Entra ID 角色，专门用于 Entra Connect 或 Cloud Sync 服务帐户。这些角色具有隐式特权，恶意攻击者可借此发起隐蔽攻击。

了解详细信息 https://www.tenable.com/indicators/ioe/entra/SUSPICIOUS-DIRECTORY-SYNCHRONIZATION-ACCOUNTS-ROLE-ASSIGNMENT

休眠设备

Low 严重性

名称

休眠设备

描述

休眠设备会带来安全风险，如过时的配置和未修补的漏洞。如果不定期监控和更新，这些过时设备可能会成为潜在的利用目标，从而破坏租户的完整性和数据机密性。

了解详细信息 https://www.tenable.com/indicators/ioe/entra/DORMANT-DEVICE

联合签名证书不匹配

High 严重性

名称

联合签名证书不匹配

描述

Microsoft Entra ID 允许通过联合功能将身份验证委派给其他提供者。然而，有更高特权的攻击者可以通过添加恶意的令牌签名证书来利用该功能，从而实现持久性访问和特权提升。

了解详细信息 https://www.tenable.com/indicators/ioe/entra/FEDERATION-SIGNING-CERTIFICATES-MISMATCH

具有凭据的第一方服务主体

High 严重性

名称

具有凭据的第一方服务主体

描述

第一方服务主体拥有强大的权限，然而因为他们处于隐藏状态、数量众多，而且为 Microsoft 所有，所以会被忽略。攻击者会向这些主体添加凭据，以隐蔽的方式利用主体的特权来提升特权和获得持久性特权，从而获益。

了解详细信息 https://www.tenable.com/indicators/ioe/entra/FIRST-PARTY-SERVICE-PRINCIPAL-WITH-CREDENTIALS

未阻止旧版身份验证

Medium 严重性

名称

未阻止旧版身份验证

描述

旧版身份验证方法不支持多因素身份验证 (MFA)，这使得攻击者可以继续进行暴力破解、凭据填充和密码喷洒攻击。

了解详细信息 https://www.tenable.com/indicators/ioe/entra/LEGACY-AUTHENTICATION-NOT-BLOCKED

无需进行身份验证的托管设备

Medium 严重性

名称

无需进行身份验证的托管设备

描述

要求托管设备防止未经授权的访问和潜在漏洞。安全性最佳实践建议使用条件访问策略来阻止利用非托管设备进行 Entra ID 身份验证。

了解详细信息 https://www.tenable.com/indicators/ioe/entra/MANAGED-DEVICES-NOT-REQUIRED-FOR-AUTHENTICATION

从未使用的设备

Low 严重性

名称

从未使用的设备

描述

您应避免预先创建从未使用的设备帐户，因为这种做法反映了安全管理上的不足，并可能带来安全风险。

了解详细信息 https://www.tenable.com/indicators/ioe/entra/NEVER-USED-DEVICE

单成员组

Low 严重性

名称

单成员组

描述

不建议创建只有一个成员的组，因为这会增加冗余和复杂性。这种做法会增加层级结构从而不必要地增加管理复杂性，同时降低使用组来简化访问控制和管理的预期效率。

了解详细信息 https://www.tenable.com/indicators/ioe/entra/SINGLE-MEMBER-GROUP-MEID

已启用临时访问通行证功能

Low 严重性

名称

已启用临时访问通行证功能

描述

临时访问通行证 (TAP) 功能是一种临时的身份验证方法，使用有时限或限制使用的通行码。虽然这是合法功能，但如果您的组织不需要，禁用此功能以减少攻击面会更安全。

了解详细信息 https://www.tenable.com/indicators/ioe/entra/TEMPORARY-ACCESS-PASS-FEATURE-ENABLED

特权角色未要求进行 MFA

High 严重性

名称

特权角色未要求进行 MFA

描述

MFA 为帐户提供强大保护，防止出现弱密码或泄露密码。根据安全最佳实践和标准，我们建议您启用 MFA，尤其是对于分配了特权角色的特权帐户。

了解详细信息 https://www.tenable.com/indicators/ioe/entra/MFA-NOT-REQUIRED-FOR-A-PRIVILEGED-ROLE

未配置应用程序的管理员同意工作流

Medium 严重性

名称

未配置应用程序的管理员同意工作流

描述

Entra ID 中的管理员同意工作流允许非管理员用户通过一个结构化的审批流程来请求应用程序权限。如果未配置该工作流，尝试访问应用程序的用户可能会遇到错误，且无法请求同意。

了解详细信息 https://www.tenable.com/indicators/ioe/entra/ADMIN-CONSENT-WORKFLOW-FOR-APPLICATIONS-NOT-CONFIGURED

身份验证方法迁移未完成

Medium 严重性

名称

身份验证方法迁移未完成

描述

迁移到“身份验证方法”策略可简化并提升 Microsoft Entra ID 中的身份验证管理。此转换可简化管理，增强安全性，并提供对最新身份验证方法的支持。为避免因弃用旧策略造成中断，请在 2025 年 9 月之前完成迁移。

了解详细信息 https://www.tenable.com/indicators/ioe/entra/AUTHENTICATION-METHODS-MIGRATION-NOT-COMPLETE

影响租户的危险应用程序权限

High 严重性

名称

影响租户的危险应用程序权限

描述

Microsoft 在 Entra ID 中公开 API，以允许第三方应用程序以自己的名义对 Microsoft 服务执行操作（这被称为“应用程序权限”）。某些权限可能对整个 Microsoft Entra 租户造成严重威胁。

了解详细信息 https://www.tenable.com/indicators/ioe/entra/DANGEROUS-APPLICATION-PERMISSIONS-AFFECTING-THE-TENANT

影响租户的危险委派权限

High 严重性

名称

影响租户的危险委派权限

描述

Microsoft 在 Entra ID 中公开 API，以允许第三方应用程序代表用户对 Microsoft 服务执行操作（这被称为“委派权限”）。某些权限可能对整个 Microsoft Entra 租户造成严重威胁。

了解详细信息 https://www.tenable.com/indicators/ioe/entra/DANGEROUS-DELEGATED-PERMISSIONS-AFFECTING-THE-TENANT

已禁用分配给特权角色的帐户

Low 严重性

名称

已禁用分配给特权角色的帐户

描述

如要拥有一个健全的帐户管理流程，则需要监视对特权角色的分配。

了解详细信息 https://www.tenable.com/indicators/ioe/entra/DISABLED-ACCOUNT-ASSIGNED-TO-PRIVILEGED-ROLE

休眠的非特权用户

Low 严重性

名称

休眠的非特权用户

描述

休眠的非特权用户会带来安全风险，因为攻击者可以利用这些用户进行未经授权的访问。如果没有定期监控和停用，这些过期用户会通过扩大攻击面，为恶意活动创建潜在的入口点。

了解详细信息 https://www.tenable.com/indicators/ioe/entra/DORMANT-NON-PRIVILEGED-USER

休眠的特权用户

Medium 严重性

名称

休眠的特权用户

描述

休眠的特权用户会带来安全风险，因为攻击者可以利用这些用户进行未经授权的访问。如果没有定期监控和停用，这些过期用户会通过扩大攻击面，为恶意活动创建潜在的入口点。

了解详细信息 https://www.tenable.com/indicators/ioe/entra/DORMANT-PRIVILEGED-USER

具有特权角色的来宾帐户

High 严重性

名称

具有特权角色的来宾帐户

描述

来宾帐户是外部身份，当获得特权角色分配时，可能会造成安全风险。这将授予外部个体在您组织内的租户中相当大的特权。

了解详细信息 https://www.tenable.com/indicators/ioe/entra/GUEST-ACCOUNT-WITH-A-PRIVILEGED-ROLE

特权帐户缺少 MFA

High 严重性

名称

特权帐户缺少 MFA

描述

MFA 为帐户提供强大保护，防止出现弱密码或泄露密码。安全最佳实践和标准建议您启用 MFA，尤其是针对特权帐户。没有注册 MFA 方法的帐户无法从中获益。

了解详细信息 https://www.tenable.com/indicators/ioe/entra/MISSING-MFA-FOR-PRIVILEGED-ACCOUNT

从未使用的非特权用户

Low 严重性

名称

从未使用的非特权用户

描述

从未使用的非特权用户帐户容易遭到入侵，因为它们通常能够逃避防御措施的检测。此外，帐户可能配置了默认密码，使其成为攻击者的主要目标。

了解详细信息 https://www.tenable.com/indicators/ioe/entra/NEVER-USED-NON-PRIVILEGED-USER

允许加入设备的用户

Low 严重性

名称

允许加入设备的用户

描述

如果允许所有用户将不受限制的设备加入到 Entra 租户，这便危威胁制造者打开方便之门，使其可将恶意设备插入组织的身份系统中，并为其进行进一步入侵提供驻足点。

了解详细信息 https://www.tenable.com/indicators/ioe/entra/USERS-ALLOWED-TO-JOIN-DEVICES

管理员数量太多

High 严重性

名称

管理员数量太多

描述

管理员拥有更高的特权，因此当管理员数量太多时，可能会增加攻击面，并因此造成安全风险。这也是最低特权原则未受到遵循的表现。

了解详细信息 https://www.tenable.com/indicators/ioe/entra/HIGH-NUMBER-OF-ADMINISTRATORS