特权角色未要求进行 MFA

多因素身份验证 (MFA) 之前被称为双因素身份验证 (2FA)，为帐户提供针对弱密码或已泄露密码相关漏洞的强大保护。为遵循最佳实践和行业标准，我们建议您启用 MFA，尤其是对于特权帐户，此类帐户是攻击者的主要目标，任何入侵都可能造成严重结果。

攻击者通过任意方法获得用户密码后，MFA 会通过要求额外的因素（例如来自移动应用程序且有时效的代码、物理令牌、生物识别功能等）来阻止身份验证。

当特权角色未要求进行 MFA，影响到被授予该特定特权角色的特权用户时，此风险暴露指标会向您发出警报。 借助 Microsoft Entra ID，您可以通过不同的方法启用 MFA：

• 安全默认设置：预配置的安全设置，包括对管理员强制使用多因素身份验证。启用此设置会同时激活 Microsoft 建议的多个安全功能。

• 条件访问：此策略会指定需要进行 MFA 的事件或应用程序。此类策略允许管理员进行常规 MFA 登录。注意：此功能需要 Microsoft Entra ID P1 或更高级别的许可证，并且不包含在 Microsoft Entra ID 免费版中。特别建议有复杂安全需求，试图精确定义身份验证标准的成熟组织使用此功能。此风险暴露指标会查找具有以下设置的条件访问策略：

  • “用户”设置为包括“所有用户”或特权角色。
  • “目标资源”设置为“所有资源”。
  • “条件 > 客户端应用”设置为“否”（“未配置”）。或者，此项设置为“是”，并勾选以下四个选项：“浏览器”、“移动应用和桌面客户端”、“Exchange ActiveSync 客户端”和“其他客户端”。
  • “授予”设置为“需要进行多因素身份验证”或设置为“要求身份验证强度”，并选择以下选项之一：“多因素身份验证”、“无密码 MFA”或“防网络钓鱼 MFA”。
  • 最后，将“启用策略”设置为“开启”（而非“关闭”或“仅报告”）。

• 每用户 MFA：每用户 MFA 是一项旧版服务，Microsoft 建议使用较新的安全默认值或条件访问策略进行替换。因此，由于 Microsoft Graph API 缺乏支持，此风险暴露指标无法确定具有特权角色的用户是否正在使用并强制执行旧版每用户 MFA。

安全默认设置和条件访问是互斥的，您不能同时使用它们。请注意，条件访问策略只能以内置 Entra 角色为目标，不包括管理单位范围的角色和自定义角色。

所有报告的特权 Entra 角色必须要求进行 MFA​，以增强对其分配用户的凭证攻击防护。

对于 Microsoft Entra ID，Microsoft 提供了一个名为“Require MFA for administrators”的条件访问策略模板。此模板符合此风险暴露指标要求的所有条件。在强制实施 MFA 后，此策略会提醒用户在首次进行身份验证时注册 MFA 方法。Tenable 建议您遵循 Microsoft 文档“规划条件访问部署”，以确保实施正确的规划和变更管理，并降低自我锁定的风险。特别需要注意的是，如果您使用 Microsoft Entra Connect 或 Microsoft Entra Cloud Sync 等混合身份解决方案，您必须将这些工具所使用的服务帐户从策略中排除，因为它们无法满足条件访问策略的要求。选择“排除用户”操作即可直接排除服务帐户；或选中“目录角色”选项，然后选择“目录同步帐户”角色来实现排除。

另一种方法是通过安全默认设置来实现此目标，具体方式是强制要求管理员进行多因素身份验证。这包括激活其他 Microsoft 建议的安全功能。应提前全面评估是否有任何变更可能导致环境中发生功能退化或意外副作用。

名称: 特权角色未要求进行 MFA

代码名称: MFA-NOT-REQUIRED-FOR-A-PRIVILEGED-ROLE

严重性: High

类型: Microsoft Entra ID Indicator of Exposure