內部部署環境未啟用密碼保護

注意: 此曝險指標 (IoE) 仰賴 Microsoft Entra ID P1 或 P2 授權存取必要資料。如果您的租用戶沒有必要授權 (例如 Entra ID 免費版)，此曝險指標 (IoE) 不會傳回研究發現結果。

Entra ID 會利用 Microsoft Entra 密碼保護功能 降低因為使用者設定簡單好猜的密碼，導致容易遭受暴力密碼破解攻擊的風險。此功能使用全域禁止密碼清單，該清單根據預設已啟用且無法停用，內含由 Microsoft 維護並定期更新的常用脆弱密碼。

儘管 Microsoft Entra 密碼保護是雲端式功能，但組織也可以將其沿用至傳統型內部部署 Active Directory (也稱為「Windows Server Active Directory」)，如「對 Active Directory Domain Services 啟用 Microsoft Entra 密碼保護的內部部署強制機制」一文中所述。他們會在內部部署 Active Directory 網域控制器上安裝專用的 Microsoft 代理程式，同時透過雲端式 Entra 入口網站設定密碼保護原則，實現這項整合功能。

此曝險指標會評估兩個 Microsoft Entra 密碼保護設定，這些設定決定其在內部部署環境中的強制執行情況:

• 「在 Windows Server Active Directory 上啟用密碼保護」應為「是」。
• 「模式」應為「強制執行」。

請注意:

1. 本曝險指標 (IoE) 僅針對與內部部署 Active Directory 同步的租用戶 (即 Microsoft Entra Connect 或 Microsoft Entra Cloud Sync) 執行。其分析以組織的 onPremisesSyncEnabled 屬性為基礎。
2. 若要為內部部署 Active Directory 網域啟用 Microsoft Entra 密碼保護 (如建議章節所述)，組織需要在內部部署環境的所有網域控制器上部署代理程式。此曝險指標 (IoE) 會檢查 Entra ID 入口網站中的相關設定，但無法驗證代理程式在內部部署 Active Directory 網域控制器上的實際部署狀態。因此會有漏報的可能，即 Entra 中的設定顯示為符合規範，但代理程式並未在所有 Active Directory 網域控制器中完成部署或正常運作。

啟用 Microsoft Entra 密碼保護 (包括將其應用至內部部署的 Active Directory 網域)，有助於組織避免使用脆弱密碼，進而降低攻擊者成功猜到憑證並在未授權情況下存取組織基礎架構的可能性。

雖然根據預設，Entra ID 會在雲端啟用此功能，但此功能不會自動應用至內部部署環境中的 Active Directory 網域控制器。組織將此功能沿用至 Active Directory 後，同樣能保護其內部部署 AD 使用者，前提是該租用戶擁有高級授權 Entra ID P1 或 P2。

Tenable 建議您執行以下行動:

1. 掌握概念
2. 遵循程序部署專用 Microsoft 代理程式，該代理程式會在內部部署網域控制器上建置密碼篩選 DLL 並啟用 3 . 啟用內部部署密碼保護: 將「在 Windows Server Active Directory 上啟用密碼保護」設定為「是」，並將「模式」設定為「稽核」，經過評估後再設定為「強制執行」。

名稱: 內部部署環境未啟用密碼保護

代碼名稱: PASSWORD-PROTECTION-NOT-ENABLED-FOR-ON-PREMISES-ENVIRONMENTS

嚴重性: Medium

類型: Microsoft Entra ID Indicator of Exposure