已啟用臨時存取密碼功能

LOW

說明

臨時存取密碼 (TAP) 是一種臨時驗證方法,可作為標準 Microsoft Entra 驗證 (例如密碼和 MFA) 的替代方案。TAP 專為員工入職、密碼遺失和服務中心重設等情況而設計,也可以作為實施無密碼等其他驗證方法 (例如 Microsoft Authenticator、Windows Hello 企業版或 FIDO2 安全性金鑰) 的前導程序,提供限時或一次性密碼。使用者可以根據「驗證方法」主控台中設定的 TAP 原則 (透過 Azure 入口網站或 Microsoft Entra 系統管理中心設定),在 TAP 的有效期限內使用此密碼。此原則可以全面套用至所有使用者,或選擇性套用於特定群組。啟用原則後,具有所需權限的特權使用者就能在「驗證方法」主控台中產生 TAP。重要注意事項如下:

  • TAP 會繞過 MFA​,因為它屬於一種高強度驗證方法。
  • 如果具有進階特權的惡意攻擊者利用 TAP,便會構成潛在的安全性風險。在這種情況下,攻擊者可以在不知道也不重設密碼的情況下存取帳戶​,更容易不為人知地發動攻擊。請注意,TAP 不會取代使用者的密碼​。因此,儘管攻擊者設定了後門程式 TAP,遭到鎖定的使用者仍然可以使用一般密碼或其他驗證方法登入。

如果貴組織採用 TAP,請確定僅將其用於新員工入職或新裝置啟用程序。這樣一來,應不會頻繁透過 TAP 登入,且登入時會在密切監控下進行。

這項正當功能可能會被特意啟用,並且目前可供租用戶使用。在這種情況下,您可以在選項中將租用戶新增為例外,但請留意因此擴大的攻擊破綻。相反地,如果目前未使用該功能,建議您將其停用以盡量減少潛在的攻擊破綻。

解決方案

您可以遵循 Microsoft 的建議使用此功能來部署無密碼驗證方法。如果貴組織將其用於此目的,您必須將租用戶 ID 新增至此曝險指標的排除清單。為了進一步緩解攻擊破綻,可以考慮將預設設定從「所有使用者」變更為更有限的子集,縮小能夠產生臨時存取密碼的使用者或群組範圍。

不過,如果貴組織目前未使用 TAP,比較安全的做法是按照下列程序將其停用:

  • 登入「Microsoft Entra 系統管理中心」。
  • 前往「保護」>「驗證方法」>「原則」。
  • 從可用驗證方法清單中選取「臨時存取密碼」。
  • 將「啟用」切換為「關閉」以停用該功能。

指標詳細資料

名稱: 已啟用臨時存取密碼功能

代碼名稱: TEMPORARY-ACCESS-PASS-FEATURE-ENABLED

嚴重性: Low

類型: Microsoft Entra ID Indicator of Exposure

MITRE ATT&CK 資訊: