有风险的登录未要求进行 MFA
HIGH
语言:
描述
多因素身份验证 (MFA) 之前被称为双因素身份验证 (2FA),为帐户提供针对弱密码或已泄露密码相关漏洞的强大保护。遵循最佳实践和行业标准,我们建议根据 Microsoft Entra ID Protection 的准则,在怀疑用户登录存在风险时阻止身份验证或要求进行 MFA。
攻击者通过任意手段获得用户密码后,MFA 会通过要求额外的验证因素(如移动应用程序生成的一次性代码、物理令牌、生物特征等)来阻止身份验证。
Microsoft Entra ID Protection 是一项需要 Microsoft Entra ID P2 许可证的功能,它能够识别出 Entra ID 中存在风险的登录。登录风险表示根据检测列表,给定的身份验证请求不是授权身份所有者的概率。登录风险检测分为 3 个级别:
- 高危
- 中危
- 低危
使用此登录风险级别可以在以下两个保护功能中触发多因素身份验证 (MFA):条件访问策略和 Microsoft Entra ID Protection。Tenable 建议通过条件访问策略 (CAP) 来配置该安全功能,因为会提供额外的优势,如增强的诊断数据、与仅报告模式的无缝集成、Graph API 支持,以及在策略中纳入其他条件访问属性(例如登录频率)的能力。在 Microsoft Entra ID Protection 配置的旧版风险策略将于 2026 年 10 月 1 日停用,并且必须迁移到条件访问策略。因此,此 IoE 只检查条件访问策略。
根据此建议,IoE 确保至少存在一个(或两个独立的)条件访问策略,并包含以下设置:
- “用户”设置为包括“所有用户”。
- “目标资源”设置为“所有资源”。
- “条件 > 客户端应用”设置为“否”(“未配置”)。或者,此项设置为“是”,并勾选以下四个选项:“浏览器”、“移动应用和桌面客户端”、“Exchange ActiveSync 客户端”以及“其他客户端”。
- “条件 > 登录风险”设置为“是”,并同时选择“高危”和“中危”风险级别。或者,配置两个单独的策略(一个针对“高危”风险,另一个针对“中危”风险),以实现相同的效果。
- “授予”设置为“需要进行多因素身份验证”;或设置为“要求身份验证强度”,并选择以下值之一:“多因素身份验证”、“无密码 MFA”或“防网络钓鱼 MFA”。
- “会话 -> 登录频率”设置为“每次”。
- 最后,将“启用策略”设置为“启用”(而非“关闭”或“仅报告”)。
解决方案
租户必须拥有已启用的条件访问策略 (CAP),此策略应涵盖所有用户,并在存在风险的登录情况下要求执行 MFA。
为此,您可以通过以下方式创建 CAP:
- 按照此 Microsoft 指南中所述,使用“条件 > 登录风险”在现有 CAP 中配置此条件,然后应用此风险暴露指标描述中指定的设置。
- 创建一个全新的 CAP,并按照 IoE 描述中的要求进行配置。
- 使用 Microsoft 的“需要对存在风险的登录执行多因素身份验证”模板创建新的专用 CAP。此模板符合此风险暴露指标要求的所有条件。
注意:当启用登录风险条件访问策略后,对于尚未注册 Microsoft Entra 多因素身份验证 (MFA) 的用户,系统会自动阻止存在风险的身份验证操作,并且不会提供 MFA 注册选项。为防止系统阻止用户,请确保他们提前完成 MFA 注册。此外,请参阅相关的 IoE“非特权帐户缺少 MFA”和“特权帐户缺少 MFA”。
即使您可以在 Microsoft Entra ID Protection 中直接配置登录风险策略,Microsoft 也将此功能视为旧版功能,并计划于 2026 年 10 月 1 日停用该功能。Microsoft 已敦促管理员将风险策略迁移到条件访问。因此,Tenable 不建议在 Microsoft Entra ID Protection 中使用旧版风险策略,并且此 IoE 将忽略旧版策略。
注意:Microsoft 和 Tenable 都建议您将特定帐户从条件访问策略中排除,以避免整个租户的帐户遭锁定和产生不必要的副作用。Tenable 还建议您遵循 Microsoft 文档“规划条件访问部署”,以确保实施正确的规划和变更管理,并降低自我锁定的风险。特别需要注意的是,如果您使用 Microsoft Entra Connect 或 Microsoft Entra Cloud Sync 等混合身份解决方案,您必须将这些工具所使用的服务帐户从策略中排除,因为它们无法满足条件访问策略的要求。选择“排除用户”操作即可直接排除服务帐户;或选中“目录角色”选项,然后选择“目录同步帐户”角色来实现排除。
指标详细信息
名称: 有风险的登录未要求进行 MFA
代码名称: MFA-NOT-REQUIRED-FOR-RISKY-SIGN-INS
严重性: High
类型: Microsoft Entra ID Indicator of Exposure