本地环境未启用密码保护

注意：此 IoE 依赖 Microsoft Entra ID P1 或 P2 许可来访问必要的数据。如果您的租户没有所需的许可证（如 Entra ID 免费版），此 IoE 将不会返回发现结果。

Entra ID 利用 Microsoft Entra 密码保护来缓解用户设置容易被猜中的密码所带来的风险，这些密码容易受到暴力攻击。此功能采用了全局禁用密码列表，该列表默认启用且不可禁用，其中包含常用的弱密码，并由 Microsoft 维护和定期更新。

尽管 Microsoft Entra 密码保护是一项基于云的功能，但组织可以按照“为 Active Directory 域服务强制执行本地 Microsoft Entra 密码保护”中的描述，将其扩展到经典的本地 Active Directory（也称为“Windows Server Active Directory”）。组织通过在本地 Active Directory 域控制器上安装专用的 Microsoft 代理，同时通过基于云的 Entra 门户配置密码保护策略，来促进这一集成。

此风险暴露指标可评估两个决定 Microsoft Entra 密码保护在本地环境中的强制执行状态的设置：

• “在 Windows Server Active Directory 上启用密码保护”应为“是”。
• “模式”应为“强制”。

注意：

1. 此 IoE 仅对与本地 Active Directory（即 Microsoft Entra Connect 或 Microsoft Entra Cloud Sync）同步的租户执行。其分析依据是组织的 onPremisesSyncEnabled 属性。
2. 要为本地 Active Directory 域启用 Microsoft Entra 密码保护（如建议部分所述），组织需要在本地环境中的所有域控制器上部署代理。此 IoE 会检查 Entra ID 门户中的相关设置，但无法验证代理在本地 Active Directory 域控制器上的实际部署状态。因此可能会出现误报，即尽管代理未在所有 Active Directory 域控制器上完全部署或正常运行，但 Entra 中的配置看起来仍然合规。

启用 Microsoft Entra 密码保护（包括将其扩展至本地 Active Directory 域）有助于组织消除弱密码的使用，从而降低攻击者成功猜中这些凭据，并在未经授权的情况下访问组织基础设施的可能性。

尽管此功能在云端的 Entra ID 中默认启用，但它不会自动扩展到本地环境中的 Active Directory 域控制器。将此功能扩展到 Active Directory 后，组织也能在持有高级许可证（Entra ID P1 或 P2）的前提下，同样保护其本地 AD 用户。

Tenable 建议您：

1. 了解相关概念
2. 按照流程部署专门的 Microsoft 代理，该代理会在本地域控制器上实施密码过滤器 DLL，并启用该功能
3. 将“在 Windows Server Active Directory 上启用密码保护”设置为“是”，将“模式”设置为“审核”，并在评估后最终将其设置为“强制”，以此来启用本地密码保护。

名称: 本地环境未启用密码保护

代码名称: PASSWORD-PROTECTION-NOT-ENABLED-FOR-ON-PREMISES-ENVIRONMENTS

严重性: Medium

类型: Microsoft Entra ID Indicator of Exposure