风险暴露指标
| 名称 | 描述 | 严重性 | Type |
|---|---|---|---|
| 休眠设备 | 休眠设备会带来安全风险,如过时的配置和未修补的漏洞。如果不定期监控和更新,这些过时设备可能会成为潜在的利用目标,从而破坏租户的完整性和数据机密性。 | LOW | |
| 已强制实施密码过期策略 | 在 Microsoft Entra ID 域中强制实施密码过期策略可能会削弱安全性,因为它会频繁提示用户更改密码,而这往往导致用户使用弱密码、可预测的密码或重复使用的密码,从而降低帐户整体防护水平。 | LOW | |
| 联合域列表 | 恶意联合域配置是一种常见威胁,攻击者将其用作进入 Entra ID 租户的身份验证后门程序。验证现有和新添加的联合域对于确保其配置可靠且合法至关重要。此风险暴露指标提供了联合域及其相关属性的完整列表,有助于您对其安全状态做出明智决定。 | LOW | |
| 具有凭据的第一方服务主体 | 第一方服务主体拥有强大的权限,然而因为他们处于隐藏状态、数量众多,而且为 Microsoft 所有,所以会被忽略。攻击者会向这些主体添加凭据,以隐蔽的方式利用主体的特权来提升特权和获得持久性特权,从而获益。 | HIGH | |
| 具有特权角色的来宾帐户 | 来宾帐户是外部身份,当获得特权角色分配时,可能会造成安全风险。这将授予外部个体在您组织内的租户中相当大的特权。 | HIGH | |
| 已知的联合域后门程序 | Microsoft Entra ID 允许通过联合功能将身份验证委派给其他提供者。然而,有更高特权的攻击者可以通过添加恶意联合域来利用该功能,从而实现持久性和特权提升。 | CRITICAL | |
| 特权角色未要求进行 MFA | MFA 为帐户提供强大保护,防止出现弱密码或泄露密码。根据安全最佳实践和标准,我们建议您启用 MFA,尤其是对于分配了特权角色的特权帐户。 | HIGH | |
| 非特权帐户缺少 MFA | MFA 为帐户提供强大保护,防止出现弱密码或泄露密码。根据安全最佳实践和标准,我们建议您启用 MFA,即使针对非特权帐户。没有注册 MFA 方法的帐户无法从中获益。 | MEDIUM | |
| 可疑的 AD 同步角色分配 | Microsoft 针对 Active Directory 同步设计了两个隐藏的内置 Entra ID 角色,专门用于 Entra Connect 或 Cloud Sync 服务帐户。这些角色具有隐式特权,恶意攻击者可借此发起隐蔽攻击。 | HIGH | |
| 公共 M365 组 | 存储在 Entra ID 中的 Microsoft 365 组可以是公共组,也可以是私有组。公共组会带来安全风险,因为租户中的任何用户都可以加入这些组并访问其数据(Teams 聊天/文件、电子邮件等)。 | MEDIUM | |
| 已启用临时访问通行证功能 | 临时访问通行证 (TAP) 功能是一种临时的身份验证方法,使用有时限或限制使用的通行码。虽然这是合法功能,但如果您的组织不需要,禁用此功能以减少攻击面会更安全。 | LOW | |
| 未经验证的域 | 您必须确认 Entra ID 中所有自定义域的所有权。仅暂时保留未经验证的域 - 您应该验证或移除此类域,以保持域列表的整洁,并促进高效的审核。 | LOW |