管理员数量太多

High

语言:

描述

管理员天然具有更高的特权。管理员数量太多会增加管理员帐户被入侵的几率,导致攻击面增加​,从而造成安全风险。这也是最低特权原则未受到遵循的表现。

应该对这些角色分配对象进行审查和培训,仔细证明其合理性。

已禁用的帐户和服务主体默认被忽略(即不被计数),因为攻击者无法使用这些帐户和服务主体。

解决方案

为限制风险,请在分配管理员角色时遵循最低特权原则​:

  • 减少​分配给被报告的角色的帐户数量。
  • 如果这些帐户需要特权,请考虑仅为更具体的角色​提供必要权限。Microsoft Entra ID 在“全局管理员”之外提供多个管理性角色,允许只授予必要的权限。例如,技术支持工程师帐户只需要“帮助台管理员”角色即可重置用户密码,无需“全局管理员”角色。
  • 减少分配的范围​。Microsoft Entra ID 允许您在具体范围内分配角色,而您也应该尽可能减小权限的分配范围。例如,如果同一个技术支持工程师只负责 EMEA(欧洲、中东和非洲)区域,您应该只在“EMEA”管理员单元上分配他们的角色。

如果您的 IT 组织因规模较大而不适用此方法,请考虑在风险暴露指标选项中增加帐户数量上限。

特别是,Microsoft 建议将全局管理员的数量限制在 5 人以下。

另见

Assign Microsoft Entra roles at different scopes

Microsoft Entra built-in roles

指标详细信息

名称: 管理员数量太多

代码名称: HIGH-NUMBER-OF-ADMINISTRATORS

严重程度: High

MITRE ATT&CK 信息:

技术: T1069.003, T1078.004

More: Microsoft Entra built-in roles