风险暴露指标
| 名称 | 描述 | 严重性 | Type |
|---|---|---|---|
| 用户主要组 | 验证用户的主要组是否未发生变化 | critical | |
| 存在风险的 Kerberos 委派 | 检查是否存在未经授权的 Kerberos 委派,确保特权用户免受其影响。 | critical | |
| 可逆密码 | 验证是否未启用以可逆格式存储密码的选项。 | medium | |
| GPO 中的可逆密码 | 检查 GPO 首选项是否允许使用可逆格式的密码。 | medium | |
| 确保 SDProp 一致性 | 控制 AdminSDHolder 对象处于干净状态。 | critical | |
| KRBTGT 帐户上次更改密码的时间 | 查找超过建议间隔没有更改密码的 KRBTGT 帐户。 | high | |
| 本机管理组成员 | Active Directory 本机管理组中的异常帐户 | critical | |
| 运行 Kerberos 服务的特权帐户 | 检测具有 Service Principal Name (SPN) 属性的高特权帐户,因为该属性会危害帐户安全。 | critical | |
| 标准用户中设置的 AdminCount 属性 | 检查已停用帐户是否具有 adminCount 属性,从而造成难以管理的权限问题。 | medium | |
| 休眠帐户 | 检测可带来安全风险的未使用的休眠帐户。 | medium | |
| 存在风险的信任关系 | 识别配置错误的信任关系属性,这些属性会降低目录基础结构的安全性。 | high | |
| 密码永不过期的帐户 | 检查是否存在这样的帐户,其 userAccountControl 属性中包含允许无限期使用相同密码以绕过密码更新策略的 DONT_EXPIRE_PASSWORD 属性标记。 | medium | |
| 未链接、已禁用或孤立的 GPO | 未使用或禁用的 GPO 会降低目录性能和 RSoP 计算速度,并可能导致安全策略混淆。误将它们重新激活可能会削弱现有策略。 | low | |
| 空 Entra 组 | 空组可能会导致混淆、影响安全性,并造成资源闲置。通常建议为组建立明确的目标,并确保组中包含相关成员。 | LOW | |
| 从未使用的设备 | 您应避免预先创建从未使用的设备帐户,因为这种做法反映了安全管理上的不足,并可能带来安全风险。 | LOW | |
| 与 AD(混合帐户)同步的特权 Entra 帐户 | 在 Entra ID 中具有特权角色的混合帐户(即从 Active Directory 同步)会构成安全风险,因为这类帐户允许入侵 AD 的攻击者转而入侵 Entra ID。Entra ID 中的特权帐户必须为纯云帐户。 | HIGH | |
| 未配置应用程序的管理员同意工作流 | Entra ID 中的管理员同意工作流允许非管理员用户通过一个结构化的审批流程来请求应用程序权限。如果未配置该工作流,尝试访问应用程序的用户可能会遇到错误,且无法请求同意。 | MEDIUM | |
| 无强制措施的风险用户 | 阻止有风险的用户,以防止未经授权的访问和潜在漏洞。安全性最佳实践建议使用条件访问策略来阻止易受攻击的帐户进行 Entra ID 身份验证。 | MEDIUM | |
| 弱密码策略 - 最短长度 | 最短长度值较小的密码策略允许用户创建容易被猜中的短密码,从而导致泄露的风险增加。 | HIGH | |
| 弱密码策略 - 密码历史记录 | 密码历史记录数量较少的密码策略允许用户重复使用可能已泄露的密码。 | MEDIUM | |
| 条件访问策略禁用连续访问评估 | 持续访问评估是 Entra ID 的一项安全功能,可对安全策略更改或用户状态更新做出快速反应。出于此原因,请勿禁用该功能。 | MEDIUM | |
| 联合签名证书不匹配 | Microsoft Entra ID 允许通过联合功能将身份验证委派给其他提供者。然而,有更高特权的攻击者可以通过添加恶意的令牌签名证书来利用该功能,从而实现持久性访问和特权提升。 | HIGH | |
| 管理员数量太多 | 管理员拥有更高的特权,因此当管理员数量太多时,可能会增加攻击面,并因此造成安全风险。这也是最低特权原则未受到遵循的表现。 | HIGH | |
| 应用程序的无限制用户同意 | 用户可以凭借 Entra ID 主动同意外部应用程序访问组织的数据,此类数据可能会被攻击者利用来进行“非法同意授予”攻击。将访问限制于经验证的发布者或要求管理员批准,便可以防止这种情况发生。 | MEDIUM | |
| 异常联合签名证书有效期 | 如果联合签名证书的有效期异常长,则需要警惕,因为这可能表明攻击者在 Entra ID 中获得了更高的特权,并通过联合信任机制创建了后门程序。 | MEDIUM | |
| 弱密码策略 - 常用密码 | 允许使用常用密码的密码策略会增加泄露的风险,因为用户可能会选择容易被猜中的弱凭据。 | HIGH | |
| 影响租户的危险应用程序权限 | Microsoft 在 Entra ID 中公开 API,以允许第三方应用程序以自己的名义对 Microsoft 服务执行操作(这被称为“应用程序权限”)。某些权限可能对整个 Microsoft Entra 租户造成严重威胁。 | HIGH | |
| 休眠的特权用户 | 休眠的特权用户会带来安全风险,因为攻击者可以利用这些用户进行未经授权的访问。如果没有定期监控和停用,这些过期用户会通过扩大攻击面,为恶意活动创建潜在的入口点。 | MEDIUM | |
| 自定义特权角色 | 如果 Okta 中的自定义角色包含特权权限,则可能会导致安全问题。 | LOW | |
| 无需进行身份验证的托管设备 | 要求托管设备防止未经授权的访问和潜在漏洞。安全性最佳实践建议使用条件访问策略来阻止利用非托管设备进行 Entra ID 身份验证。 | MEDIUM | |
| 影响数据的危险应用程序权限 | Microsoft 在 Entra ID 中公开 API,以允许第三方应用程序以自己的名义对 Microsoft 服务执行操作(这被称为“应用程序权限”)。某些权限可能对这些服务存储的用户数据构成威胁。 | MEDIUM | |
| 休眠的非特权用户 | 休眠的非特权用户会带来安全风险,因为攻击者可以利用这些用户进行未经授权的访问。如果没有定期监控和停用,这些过期用户会通过扩大攻击面,为恶意活动创建潜在的入口点。 | LOW | |
| 特权帐户缺少 MFA | MFA 为帐户提供强大保护,防止出现弱密码或泄露密码。安全最佳实践和标准建议您启用 MFA,尤其是针对特权帐户。没有注册 MFA 方法的帐户无法从中获益。 | HIGH | |
| 从未使用的非特权用户 | 从未使用的非特权用户帐户容易遭到入侵,因为它们通常能够逃避防御措施的检测。此外,默认密码使这些帐户成为攻击者的主要目标。 | LOW | |
| 特权帐户命名约定 | Entra ID 中特权用户的命名约定对于安全性、规范性、审计合规性至关重要,并且有助于管理。 | LOW | |
| 单成员 Entra 组 | 不建议创建只有一个成员的组,因为这会增加冗余和复杂性。这种做法会增加层级结构从而不必要地增加管理复杂性,同时降低使用组来简化访问控制和管理的预期效率。 | LOW | |
| 有 API 令牌的用户 | 如果用户有 API 令牌,则可以使用令牌来通过 Okta API 代表自己执行操作。非法令牌可能会导致未经授权的访问或数据泄露。 | LOW | |
| 身份验证方法迁移未完成 | 迁移到“身份验证方法”策略可简化并提升 Microsoft Entra ID 中的身份验证管理。此转换可简化管理,增强安全性,并提供对最新身份验证方法的支持。为避免因弃用旧策略造成中断,请在 2025 年 9 月之前完成迁移。 | MEDIUM | |
| 具有可利用规则的动态组 | 攻击者可以通过操纵可自行修改的属性来利用 Microsoft Entra ID 中的动态组,将自己添加为组成员。这种操纵使得攻击者能够提升特权,并在未经授权的情况下访问与组相关的敏感资源。 | MEDIUM | |
| Entra 安全默认设置未启用 | Entra ID 安全默认设置提供预配置、Microsoft 建议的设置,以增强租户保护。 | MEDIUM | |
| 在 Microsoft Authenticator 通知中显示额外上下文 | 为了提高可见性,请启用 Microsoft Authenticator 通知以显示额外的上下文,例如应用程序名称和地理位置。这有助于用户识别并拒绝潜在的恶意 MFA 或无密码身份验证请求,从而有效缓解 MFA 疲劳攻击的风险。 | MEDIUM | |
| 不受限来宾帐户 | 默认情况下,系统授予 Entra ID 中的来宾用户有限的访问权限,以降低其在租户中的可见性;同时,您也可以通过进一步收紧这些限制来增强安全性和隐私性。 | MEDIUM | |
| 允许多租户身份验证的应用程序 | Entra 应用程序支持多租户身份验证,但如果在未完全理解其影响的情况下启用了这一配置,并且应用程序代码中没有实施适当的授权检查,则可能会导致恶意用户获得未经授权的访问权限。 | LOW | |
| 有风险的登录未要求进行 MFA | MFA 为帐户提供强大保护,防止出现弱密码或泄露密码。根据安全最佳实践和标准,我们建议您对存在风险的登录要求进行 MFA,例如怀疑身份验证请求并非来自合法的身份拥有者时。 | HIGH | |
| 可访问 M365 服务的特权 Entra 帐户 | 您应该为管理任务设置单独的 Entra 帐户:一个用于日常使用的标准帐户,以及另一个仅限于管理活动的特权帐户。此方法可减少特权帐户的攻击面。 | MEDIUM | |
| 允许加入设备的用户 | 如果允许所有用户将不受限制的设备加入到 Entra 租户,这便危威胁制造者打开方便之门,使其可将恶意设备插入组织的身份系统中,并为其进行进一步入侵提供驻足点。 | LOW | |
| 弱密码策略 - 锁定阈值 | 锁定阈值较高的密码策略允许攻击者在触发帐户锁定之前执行暴力破解攻击。 | HIGH | |
| 影响数据的危险委派权限 | Microsoft 在 Entra ID 中公开 API,以允许第三方应用程序代表用户对 Microsoft 服务执行操作(这被称为“委派权限”)。某些权限可能对这些服务存储的用户数据构成威胁。 | MEDIUM | |
| 影响租户的危险委派权限 | Microsoft 在 Entra ID 中公开 API,以允许第三方应用程序代表用户对 Microsoft 服务执行操作(这被称为“委派权限”)。某些权限可能对整个 Microsoft Entra 租户造成严重威胁。 | HIGH | |
| 已禁用分配给特权角色的帐户 | 如要拥有一个健全的帐户管理流程,则需要监视对特权角色的分配。 | LOW |