未針對特權角色要求使用 MFA

HIGH

說明

多因素驗證 (MFA) 前稱雙因素驗證 (2FA),可為帳戶提供強大的保護力,防範脆弱密碼或密碼遭人破解等相關弱點。建議遵循最佳做法和產業標準啟用 MFA,尤其是針對特權帳戶,因為它們是攻擊者的主要目標,一旦遭到入侵,後果可能不堪設想。

攻擊者透過任意方式取得使用者密碼後,MFA 會透過要求額外因素 (例如具有時效性的行動應用程式代碼、實體權杖、生物特徵等) 來阻止驗證。

本曝險指標會在特權角色未啟用 MFA 時發出警示,進而影響擁有該特權角色的特權帳戶。 在 Entra ID 中,您可以透過多種方式啟用 MFA:

  • 安全性預設值: 預先設定的安全性設定,包括對管理員強制啟用多因素驗證。啟用此設定後,Microsoft 建議的多種安全功能也會同步啟用。

  • 條件式存取:建立原則並明確規範必須使用 MFA 的事件或應用程式。這些原則可允許管理員正常使用 MFA 登入。請注意: 此功能需要 Microsoft Entra ID P1 授權或更高版本,Microsoft Entra ID 免費版無法使用。特別推薦給擁有複雜安全需求並致力於明確定義驗證準則的成熟型組織。此曝險指標會找出具有下列設定的條件式存取原則:

    • 使用者」設定為包括「所有使用者」或特權角色。
    • 目標資源」設定為「所有資源」。
    • 條件 > 用戶端應用程式」設定為「否」(「未設定」)。或者設定為「是」,並選取以下四個選項:「瀏覽器」、「行動應用程式和桌面用戶端」、「Exchange ActiveSync 用戶端」和「其他用戶端」。
    • 將「授予」設定為「需要多因素驗證」,或將「需要驗證強度」,設定為下列其中一項:「多因素驗證」、「無密碼 MFA」或「防網路釣魚 MFA」。
    • 最後,將「啟用原則」設定為「開啟」(不是「關閉」或「僅限報告」)。
  • 個別使用者 MFA: 個別使用者 MFA 為舊型服務,Microsoft 建議以較新的安全預設設定或條件式存取原則來取代。因此,由於 Microsoft Graph API 不支援此功能,導致此曝險指標無法確定擁有特權角色的使用者是否使用並強制執行舊型個別使用者 MFA。

安全性預設值和條件式存取是相斥的,無法同時使用。請注意,條件式存取原則只能用於內建 Entra 角色,不適用於管理單位範圍內的角色和自訂角色。

解決方案

所有已回報的 Entra 特權角色都必須啟用 MFA​,以強化受指派使用者對抗憑證攻擊的防護力。

針對 Microsoft Entra ID,Microsoft 提供了叫做 Require MFA for administrators 的條件式存取原則範本。這份範本符合此曝險指標要求的所有條件。此原則會在多因素驗證 (MFA) 強制執行後,提示使用者在首次驗證時註冊 MFA 方法。Tenable 建議您遵照 Microsoft 說明文件「規劃條件式存取部署」的指引,以確保妥善規劃、管理變更,並減少帳戶遭到鎖定的風險。具體而言,如果使用 Microsoft Entra Connect 或 Microsoft Entra Cloud Sync 等混合型身分管理解決方案,必須將相關服務帳戶 從原則中排除,因為帳戶無法符合條件式存取原則的要求。使用「排除使用者」動作並直接排除服務帳戶,或勾選「目錄角色」選項並選取「目錄同步處理帳戶」角色。

除此之外,安全性預設值也可以針對管理員強制執行多因素驗證來達成此目標。這將會同時啟用多項 Microsoft 建議的安全功能。請在實施前仔細評估每一項變更是否可能導致系統功能退化或意料之外的副作用。

指標詳細資料

名稱: 未針對特權角色要求使用 MFA

代碼名稱: MFA-NOT-REQUIRED-FOR-A-PRIVILEGED-ROLE

嚴重性: High

類型: Microsoft Entra ID Indicator of Exposure

MITRE ATT&CK 資訊: