名稱 | 說明 | 嚴重性 |
---|---|---|
與 AD (混合帳戶) 同步的特權 Entra 帳戶 | 在 Entra ID 中擁有特權角色的混合帳戶 (即從 Active Directory 同步) 會帶來安全性風險,因為入侵 AD 的攻擊者可利用此類帳戶轉而入侵 Entra ID。Entra ID 中的特權帳戶必須為僅限雲端帳戶。 | High |
擁有憑證的第一方服務主體 | 第一方服務主體擁有強大權限,然而因為他們處於隱藏狀態、數量眾多,且為 Microsoft 所有,因而會被忽略。攻擊者會將憑證新增至主體,以隱蔽地利用主體特權來提升權限和進行長期潛伏。 | High |
已知的同盟網域後門程式 | Microsoft Entra ID 可透過同盟的方式,將驗證工作委派給其他提供者。但是,獲得較高權限的攻擊者可以新增惡意同盟網域來利用此功能,進而達到潛伏和權限提升的目的。 | Critical |
非特權帳戶缺少 MFA | MFA 為帳戶提供強大保護,防止出現弱式密碼或易遭洩漏的密碼。建議的安全性最佳做法和標準是啟用 MFA,即使是非特權帳戶亦是如此。未註冊 MFA 方法的帳戶無法受到此機制保護。 | Medium |
影響租用戶的危險 API 權限 | Microsoft 在 Entra ID 中公開 API,以允許第三方應用程式在 Microsoft 服務中執行動作。特定權限可能會對整個 Microsoft Entra 租用戶帶來嚴重威脅。因此,必須仔細審查這些權限的指派情況。 | High |