风险暴露指标
| 名称 | 描述 | 严重性 | Type |
|---|---|---|---|
| 最近使用了默认管理员帐户 | 检查内置管理员帐户的近期使用情况。 | medium | |
| 用户主要组 | 验证用户的主要组是否未发生变化 | critical | |
| 危险的 Kerberos 委派 | 检查是否存在未经授权的 Kerberos 委派,确保特权用户免受其影响。 | critical | |
| 可逆密码 | 验证是否未启用以可逆格式存储密码的选项。 | medium | |
| GPO 中的可逆密码 | 检查 GPO 首选项是否允许使用可逆格式的密码。 | medium | |
| 确保 SDProp 一致性 | 控制 AdminSDHolder 对象处于干净状态。 | critical | |
| KRBTGT 帐户上次更改密码的时间 | 查找超过建议间隔没有更改密码的 KRBTGT 帐户。 | high | |
| 本机管理组成员 | Active Directory 本机管理组中的异常帐户 | critical | |
| 运行 Kerberos 服务的特权帐户 | 检测具有服务主体名称 (SPN) 属性的高特权帐户,因为该属性会危害帐户安全。 | critical | |
| 标准用户中设置的 AdminCount 属性 | 检查已停用帐户是否具有 adminCount 属性,从而造成难以管理的权限问题。 | medium | |
| 休眠帐户 | 检测可带来安全风险的未使用的休眠帐户。 | medium | |
| 存在危险的信任关系 | 识别配置错误的信任关系属性,这些属性会降低目录基础结构的安全性。 | high | |
| 密码永不过期的帐户 | 检查是否存在这样的帐户,其 userAccountControl 属性中包含允许无限期使用相同密码以绕过密码更新策略的 DONT_EXPIRE_PASSWORD 属性标记。 | medium | |
| 未链接、已禁用或孤立的 GPO | 未使用或禁用的 GPO 会降低目录性能和 RSoP 计算速度,并可能导致安全策略混淆。误将它们重新激活可能会削弱现有策略。 | low | |
| 影响数据的危险应用程序权限 | Microsoft 在 Entra ID 中公开 API,以允许第三方应用程序以自己的名义对 Microsoft 服务执行操作(这被称为“应用程序权限”)。某些权限可能对这些服务存储的用户数据构成威胁。 | MEDIUM | |
| 具有可利用规则的动态组 | 攻击者可以通过操纵可自行修改的属性来利用 Microsoft Entra ID 中的动态组,将自己添加为组成员。这种操纵使得攻击者能够提升特权,并在未经授权的情况下访问与组相关的敏感资源。 | MEDIUM | |
| 空组 | 空组可能会导致混淆、影响安全性,并造成资源闲置。通常建议为组建立明确的目标,并确保组中包含相关成员。 | LOW | |
| 联合域列表 | 恶意联合域配置是一种常见威胁,攻击者将其用作进入 Entra ID 租户的身份验证后门程序。验证现有和新添加的联合域对于确保其配置可靠且合法至关重要。此风险暴露指标提供了联合域及其相关属性的完整列表,有助于您对其安全状态做出明智决定。 | LOW | |
| 已知的联合域后门程序 | Microsoft Entra ID 允许通过联合功能将身份验证委派给其他提供者。然而,有更高特权的攻击者可以通过添加恶意联合域来利用该功能,从而实现持久性和特权提升。 | CRITICAL | |
| 已强制实施密码过期策略 | 在 Microsoft Entra ID 域中强制实施密码过期策略可能会削弱安全性,因为它会频繁提示用户更改密码,而这往往导致用户使用弱密码、可预测的密码或重复使用的密码,从而降低帐户整体防护水平。 | LOW | |
| 特权帐户命名约定 | Entra ID 中特权用户的命名约定对于安全性、规范性、审计合规性至关重要,并且有助于管理。 | LOW | |
| 与 AD(混合帐户)同步的特权 Entra 帐户 | 在 Entra ID 中具有特权角色的混合帐户(即从 Active Directory 同步)会构成安全风险,因为这类帐户允许入侵 AD 的攻击者转而入侵 Entra ID。Entra ID 中的特权帐户必须为纯云帐户。 | HIGH | |
| 应用程序的无限制用户同意 | 用户可以凭借 Entra ID 主动同意外部应用程序访问组织的数据,此类数据可能会被攻击者利用来进行“非法同意授予”攻击。将访问限制于经验证的发布者或要求管理员批准,便可以防止这种情况发生。 | MEDIUM | |
| 未经验证的域 | 您必须确认 Entra ID 中所有自定义域的所有权。仅暂时保留未经验证的域 - 您应该验证或移除此类域,以保持域列表的整洁,并促进高效的审核。 | LOW | |
| 影响数据的危险委派权限 | Microsoft 在 Entra ID 中公开 API,以允许第三方应用程序代表用户对 Microsoft 服务执行操作(这被称为“委派权限”)。某些权限可能对这些服务存储的用户数据构成威胁。 | MEDIUM | |
| Entra 安全默认设置未启用 | Entra ID 安全默认设置提供预配置、Microsoft 建议的设置,以增强租户保护。 | MEDIUM | |
| 来宾帐户与普通帐户具有相同的访问权限 | 不建议将 Entra ID 配置为将来宾视为普通用户,因为这可能会使恶意的来宾对租户的资源进行全面侦查。 | HIGH | |
| MFA 注册不要求使用托管设备 | 要求使用托管设备进行 MFA 注册,可以在凭据被盗的情况下提高安全性,因为攻击者若无法访问托管设备,便难以完成恶意 MFA 注册。 | MEDIUM | |
| 有风险的登录未要求进行 MFA | MFA 为帐户提供强大保护,防止出现弱密码或泄露密码。根据安全最佳实践和标准,我们建议您对存在风险的登录要求进行 MFA,例如怀疑身份验证请求并非来自合法的身份拥有者时。 | HIGH | |
| 非特权帐户缺少 MFA | MFA 为帐户提供强大保护,防止出现弱密码或泄露密码。根据安全最佳实践和标准,我们建议您启用 MFA,即使针对非特权帐户。没有注册 MFA 方法的帐户无法从中获益。 | MEDIUM | |
| 从未使用的特权用户 | 从未使用的特权用户帐户容易遭到入侵,因为它们通常能够逃避防御措施的检测。此外,帐户可能配置了默认密码,使其成为攻击者的主要目标。 | MEDIUM | |
| 可访问 M365 服务的特权 Entra 帐户 | 您应该为管理任务设置单独的 Entra 帐户:一个用于日常使用的标准帐户,以及另一个仅限于管理活动的特权帐户。此方法可减少特权帐户的攻击面。 | MEDIUM | |
| 无强制措施的风险用户 | 阻止有风险的用户,以防止未经授权的访问和潜在漏洞。安全性最佳实践建议使用条件访问策略来阻止易受攻击的帐户进行 Entra ID 身份验证。 | MEDIUM | |
| 不受限来宾帐户 | 默认情况下,系统授予 Entra ID 中的来宾用户有限的访问权限,以降低其在租户中的可见性;同时,您也可以通过进一步收紧这些限制来增强安全性和隐私性。 | MEDIUM | |
| 异常联合签名证书有效期 | 如果联合签名证书的有效期异常长,则需要警惕,因为这可能表明攻击者在 Entra ID 中获得了更高的特权,并通过联合信任机制创建了后门程序。 | MEDIUM | |
| 标准帐户注册应用程序的能力 | 默认情况下,任何 Entra 用户都可以在租户中注册应用程序。虽然此功能很方便,并且不会立即导致安全漏洞,但它确实存在一定的风险。因此,根据最佳实践,Tenable 建议禁用此功能。 | LOW | |
| 允许多租户身份验证的应用程序 | Entra 应用程序支持多租户身份验证,但如果在未完全理解其影响的情况下启用了这一配置,并且应用程序代码中没有实施适当的授权检查,则可能会导致恶意用户获得未经授权的访问权限。 | LOW | |
| 条件访问策略禁用连续访问评估 | 持续访问评估是 Entra ID 的一项安全功能,可对安全策略更改或用户状态更新做出快速反应。出于此原因,请勿禁用该功能。 | MEDIUM | |
| 本地环境未启用密码保护 | Microsoft Entra 密码保护是一项安全功能,可防止用户设置容易被猜中的密码,以增强组织的整体密码安全性。 | MEDIUM | |
| 公共 M365 组 | 存储在 Entra ID 中的 Microsoft 365 组可以是公共组,也可以是私有组。公共组会带来安全风险,因为租户中的任何用户都可以加入这些组并访问其数据(Teams 聊天/文件、电子邮件等)。 | MEDIUM | |
| 在 Microsoft Authenticator 通知中显示额外上下文 | 为了提高可见性,请启用 Microsoft Authenticator 通知以显示额外的上下文,例如应用程序名称和地理位置。这有助于用户识别并拒绝潜在的恶意 MFA 或无密码身份验证请求,从而有效缓解 MFA 疲劳攻击的风险。 | MEDIUM | |
| 可疑的 AD 同步角色分配 | Microsoft 针对 Active Directory 同步设计了两个隐藏的内置 Entra ID 角色,专门用于 Entra Connect 或 Cloud Sync 服务帐户。这些角色具有隐式特权,恶意攻击者可借此发起隐蔽攻击。 | HIGH | |
| 休眠设备 | 休眠设备会带来安全风险,如过时的配置和未修补的漏洞。如果不定期监控和更新,这些过时设备可能会成为潜在的利用目标,从而破坏租户的完整性和数据机密性。 | LOW | |
| 联合签名证书不匹配 | Microsoft Entra ID 允许通过联合功能将身份验证委派给其他提供者。然而,有更高特权的攻击者可以通过添加恶意的令牌签名证书来利用该功能,从而实现持久性访问和特权提升。 | HIGH | |
| 具有凭据的第一方服务主体 | 第一方服务主体拥有强大的权限,然而因为他们处于隐藏状态、数量众多,而且为 Microsoft 所有,所以会被忽略。攻击者会向这些主体添加凭据,以隐蔽的方式利用主体的特权来提升特权和获得持久性特权,从而获益。 | HIGH | |
| 未阻止旧版身份验证 | 旧版身份验证方法不支持多因素身份验证 (MFA),这使得攻击者可以继续进行暴力破解、凭据填充和密码喷洒攻击。 | MEDIUM | |
| 无需进行身份验证的托管设备 | 要求托管设备防止未经授权的访问和潜在漏洞。安全性最佳实践建议使用条件访问策略来阻止利用非托管设备进行 Entra ID 身份验证。 | MEDIUM | |
| 特权角色未要求进行 MFA | MFA 为帐户提供强大保护,防止出现弱密码或泄露密码。根据安全最佳实践和标准,我们建议您启用 MFA,尤其是对于分配了特权角色的特权帐户。 | HIGH | |
| 从未使用的设备 | 您应避免预先创建从未使用的设备帐户,因为这种做法反映了安全管理上的不足,并可能带来安全风险。 | LOW | |
| 单成员组 | 不建议创建只有一个成员的组,因为这会增加冗余和复杂性。这种做法会增加层级结构从而不必要地增加管理复杂性,同时降低使用组来简化访问控制和管理的预期效率。 | LOW |