特權帳戶缺少 MFA
High
語系:
說明
多因素驗證 (MFA) 或之前的雙因素驗證 (2FA) 可為帳戶提供強大保護,防止出現弱式密碼或易遭洩漏的密碼。建議的安全性最佳做法和標準是啟用 MFA,尤其是針對特權帳戶。 攻擊者透過任意方式取得特權使用者密碼後,MFA 會透過要求額外因素 (例如行動應用程式時效性代碼、實體權杖、生物特徵等) 來阻止驗證。
如果帳戶未註冊 MFA 方法,或者您未註冊 MFA 方法而強制執行 MFA,本曝險指標會向您發出警示。上述兩種情況都可能會使擁有密碼的攻擊者註冊自己的 MFA 方法,而造成安全性風險。然而,本曝險指標無法報告 Microsoft Entra ID 是否強制執行 MFA,因為視動態標準而定,條件存取原則可能需要 MFA。
有關非特權帳戶的資訊,另請參閱相關的「非特權帳戶缺少 MFA」IOE。
解決方案
所有報告的特權使用者必須註冊 MFA 方法並強制執行 MFA,以加強防範密碼攻擊。
針對 Microsoft Entra ID,Microsoft 提供了叫做 Require MFA for administrators 的條件存取原則範本。在使用者遵循 MFA 強制執行要求首次進行驗證時,此原則會提醒他們註冊 MFA 方法。我們建議您遵循「規劃條件式存取部署」Microsoft 說明文件中的說明。
請注意,根據「在 Azure AD 中管理緊急存取帳戶」Microsoft 說明文件中的建議,您應計畫擁有一個或兩個具有特殊權限的急用帳戶,使用與普通管理帳戶不同的 MFA 方法。