风险暴露指标
| 名称 | 描述 | 严重性 | Type |
|---|---|---|---|
| 影响数据的危险委派权限 | Microsoft 在 Entra ID 中公开 API,以允许第三方应用程序代表用户对 Microsoft 服务执行操作(这被称为“委派权限”)。某些权限可能对这些服务存储的用户数据构成威胁。 | MEDIUM | |
| 标准帐户注册应用程序的能力 | 默认情况下,任何 Entra 用户都可以在租户中注册应用程序。虽然此功能很方便,并且不会立即导致安全漏洞,但它确实存在一定的风险。因此,根据最佳实践,Tenable 建议禁用此功能。 | LOW | |
| 来宾帐户与普通帐户具有相同的访问权限 | 不建议将 Entra ID 配置为将来宾视为普通用户,因为这可能会使恶意的来宾对租户的资源进行全面侦查。 | HIGH | |
| 未阻止旧版身份验证 | 旧版身份验证方法不支持多因素身份验证 (MFA),这使得攻击者可以继续进行暴力破解、凭据填充和密码喷洒攻击。 | MEDIUM | |
| MFA 注册不要求使用托管设备 | 要求使用托管设备进行 MFA 注册,可以在凭据被盗的情况下提高安全性,因为攻击者若无法访问托管设备,便难以完成恶意 MFA 注册。 | MEDIUM | |
| 本地环境未启用密码保护 | Microsoft Entra 密码保护是一项安全功能,可防止用户设置容易被猜中的密码,以增强组织的整体密码安全性。 | MEDIUM | |
| 弱密码策略 - 最短使用期限 | 最短密码使用期限较短的密码策略可能允许用户重复使用以前用过的密码,从而可能重复使用已泄露的凭据。 | LOW | |
| 影响租户的危险委派权限 | Microsoft 在 Entra ID 中公开 API,以允许第三方应用程序代表用户对 Microsoft 服务执行操作(这被称为“委派权限”)。某些权限可能对整个 Microsoft Entra 租户造成严重威胁。 | HIGH | |
| 已禁用分配给特权角色的帐户 | 如要拥有一个健全的帐户管理流程,则需要监视对特权角色的分配。 | LOW | |
| 休眠设备 | 休眠设备会带来安全风险,如过时的配置和未修补的漏洞。如果不定期监控和更新,这些过时设备可能会成为潜在的利用目标,从而破坏租户的完整性和数据机密性。 | LOW | |
| 休眠的非特权用户 | 休眠的非特权用户会带来安全风险,因为攻击者可以利用这些用户进行未经授权的访问。如果没有定期监控和停用,这些过期用户会通过扩大攻击面,为恶意活动创建潜在的入口点。 | LOW | |
| 休眠的特权用户 | 休眠的特权用户会带来安全风险,因为攻击者可以利用这些用户进行未经授权的访问。如果没有定期监控和停用,这些过期用户会通过扩大攻击面,为恶意活动创建潜在的入口点。 | MEDIUM | |
| 从未使用的特权用户 | 从未使用的特权用户帐户容易遭到入侵,因为它们通常能够逃避防御措施的检测。此外,帐户可能配置了默认密码,使其成为攻击者的主要目标。 | MEDIUM | |
| 从未使用的特权用户 | 从未使用的特权用户帐户容易遭到入侵,因为它们通常能够逃避防御措施的检测。此外,帐户可能配置了默认密码,使其成为攻击者的主要目标。 | MEDIUM | |
| 已强制实施密码过期策略 | 在 Microsoft Entra ID 域中强制实施密码过期策略可能会削弱安全性,因为它会频繁提示用户更改密码,而这往往导致用户使用弱密码、可预测的密码或重复使用的密码,从而降低帐户整体防护水平。 | LOW | |
| 联合域列表 | 恶意联合域配置是一种常见威胁,攻击者将其用作进入 Entra ID 租户的身份验证后门程序。验证现有和新添加的联合域对于确保其配置可靠且合法至关重要。此风险暴露指标提供了联合域及其相关属性的完整列表,有助于您对其安全状态做出明智决定。 | LOW | |
| 已知的联合域后门程序 | Microsoft Entra ID 允许通过联合功能将身份验证委派给其他提供者。然而,有更高特权的攻击者可以通过添加恶意联合域来利用该功能,从而实现持久性和特权提升。 | CRITICAL | |
| 非特权帐户缺少 MFA | MFA 为帐户提供强大保护,防止出现弱密码或泄露密码。根据安全最佳实践和标准,我们建议您启用 MFA,即使针对非特权帐户。没有注册 MFA 方法的帐户无法从中获益。 | MEDIUM | |
| 公共 M365 组 | 存储在 Entra ID 中的 Microsoft 365 组可以是公共组,也可以是私有组。公共组会带来安全风险,因为租户中的任何用户都可以加入这些组并访问其数据(Teams 聊天/文件、电子邮件等)。 | MEDIUM | |
| 已启用临时访问通行证功能 | 临时访问通行证 (TAP) 功能是一种临时的身份验证方法,使用有时限或限制使用的通行码。虽然这是合法功能,但如果您的组织不需要,禁用此功能以减少攻击面会更安全。 | LOW | |
| 未经验证的域 | 您必须确认 Entra ID 中所有自定义域的所有权。仅暂时保留未经验证的域 - 您应该验证或移除此类域,以保持域列表的整洁,并促进高效的审核。 | LOW | |
| 具有特权角色的来宾帐户 | 来宾帐户是外部身份,当获得特权角色分配时,可能会造成安全风险。这将授予外部个体在您组织内的租户中相当大的特权。 | HIGH | |
| 可疑的“目录同步帐户”角色分配 | “目录同步帐户”是隐藏在 Azure 和 Entra ID 门户中的特权 Entra 角色,通常指定给 Microsoft Entra Connect(之前称为 Azure AD Connect)服务帐户使用。然而,恶意攻击者可能会利用该角色进行隐蔽攻击。 | HIGH | |
| 具有凭据的第一方服务主体 | 第一方服务主体拥有强大的权限,然而因为他们处于隐藏状态、数量众多,而且为 Microsoft 所有,所以会被忽略。攻击者会向这些主体添加凭据,以隐蔽的方式利用主体的特权来提升特权和获得持久性特权,从而获益。 | HIGH | |
| 特权角色未要求进行 MFA | MFA 为帐户提供强大保护,防止出现弱密码或泄露密码。根据安全最佳实践和标准,我们建议您启用 MFA,尤其是对于分配了特权角色的特权帐户。 | HIGH |