語言:
Microsoft Authenticator 是 Microsoft 用於 MFA 和無密碼驗證的官方行動應用程式,通常作為 Entra ID 的驗證方法使用。
在收到 MFA 或無密碼驗證請求之後,該應用程式會傳送推播通知以顯示更多背景資訊,包括目標應用程式和嘗試登入的位置 (由 Microsoft 根據 IP 位址推斷)。此功能有助於使用者辨別通知是來自正當來源或為惡意攻擊。
此曝險指標 (IoE) 會檢查以下設定:
兩項設定的預期安全值均為「已啟用」。中間值「Microsoft 管理」(在 Graph API 中為預設
) 允許 Microsoft 根據日新月異的安全威脅版圖設定具體數值。但是,在 2024 年底導入此曝險指標 (IoE) 時,Microsoft 將這些設定設為「已停用」,因此根據預設不會將「Microsoft 管理」視為安全選項 (雖然您可以透過參數調整此行為)。
此功能針對 MFA 疲勞攻擊尤其有效,這類攻擊會以通知轟炸受害者,迫使受害者最終核准其中一項請求。額外的背景資訊有助於提高使用者的防範意識,使其更可能識別並拒絕惡意嘗試。
Microsoft 在設定 Microsoft Entra 以提高安全性中也建議「驗證器應用程式會顯示登入內容」。
Tenable 建議您在 Microsoft Authenticator 驗證方法中將這兩項設定改為「已啟用」狀態:
請參閱以下 Microsoft 說明文件,瞭解這些額外背景資訊的顯示方式及各種啟用方式指南:「如何在 Microsoft Authenticator 通知中使用額外背景資訊:驗證方法原則」。
誠如弱點說明所述,我們不建議採用「Microsoft 管理」狀態 (Graph API 的預設值
),因為它目前的效果 (2024 年底) 等同於「已停用」。
如有需要,您可以將這些設定全域改為「已啟用」,同時使用「包含」和「排除」功能來指定「目標」群組。Tenable 建議使用「包含」功能的「所有使用者」選項,將這些設定套用至全體使用者。
名稱: 在 Microsoft 驗證器通知中顯示更多背景資訊
代碼名稱: SHOW-ADDITIONAL-CONTEXT-IN-MICROSOFT-AUTHENTICATOR-NOTIFICATIONS
嚴重性: Medium
類型: Microsoft Entra ID Indicator of Exposure