語言:
注意: 此曝險指標 (IoE) 仰賴 Microsoft Entra ID P1 或 P2 授權存取必要資料。如果您的租用戶沒有必要授權 (例如 Entra ID 免費版),此曝險指標 (IoE) 不會傳回研究發現結果。
Entra ID 會利用 Microsoft Entra 密碼保護功能 降低因為使用者設定簡單好猜的密碼,導致容易遭受暴力密碼破解攻擊的風險。此功能使用全域禁止密碼清單,該清單根據預設已啟用且無法停用,內含由 Microsoft 維護並定期更新的常用脆弱密碼。
儘管 Microsoft Entra 密碼保護是雲端式功能,但組織也可以將其沿用至傳統型內部部署 Active Directory (也稱為「Windows Server Active Directory」),如「對 Active Directory Domain Services 啟用 Microsoft Entra 密碼保護的內部部署強制機制」一文中所述。他們會在內部部署 Active Directory 網域控制器上安裝專用的 Microsoft 代理程式,同時透過雲端式 Entra 入口網站設定密碼保護原則,實現這項整合功能。
此曝險指標會評估兩個 Microsoft Entra 密碼保護設定,這些設定決定其在內部部署環境中的強制執行情況:
請注意:
組織
的 onPremisesSyncEnabled
屬性為基礎。啟用 Microsoft Entra 密碼保護 (包括將其應用至內部部署的 Active Directory 網域),有助於組織避免使用脆弱密碼,進而降低攻擊者成功猜到憑證並在未授權情況下存取組織基礎架構的可能性。
雖然根據預設,Entra ID 會在雲端啟用此功能,但此功能不會自動應用至內部部署環境中的 Active Directory 網域控制器。組織將此功能沿用至 Active Directory 後,同樣能保護其內部部署 AD 使用者,前提是該租用戶擁有高級授權 Entra ID P1 或 P2。
Tenable 建議您執行以下行動:
名稱: 內部部署環境未啟用密碼保護
代碼名稱: PASSWORD-PROTECTION-NOT-ENABLED-FOR-ON-PREMISES-ENVIRONMENTS
嚴重性: Medium
類型: Microsoft Entra ID Indicator of Exposure