曝險指標 (IoE)
| 名稱 | 說明 | 嚴重性 | Type |
|---|---|---|---|
| 使用者主要群組 | 驗證使用者的主要群組未經變更 | critical | |
| 危險 Kerberos 委派 | 檢查未經授權的 Kerberos 委派,並確保針對特權使用者提供相關保護。 | critical | |
| 可逆密碼 | 確認未啟用以可逆格式儲存密碼的選項。 | medium | |
| GPO 中的可逆密碼 | 檢查 GPO 喜好設定是否不允許使用可逆格式的密碼。 | medium | |
| 確保 SDProp 一致性 | 將 AdminSDHolder 物件控制在初始狀態。 | critical | |
| KRBTGT 帳戶的上次密碼變更 | 檢查 KRBTGT 帳戶是否已超過建議的時間間隔未變更密碼。 | high | |
| 原生系統管理群組成員 | Active Directory 本機系統管理群組中的異常帳戶 | critical | |
| 特權帳戶執行 Kerberos 服務 | 偵測具有會影響安全性之 Service Principal Name (SPN) 屬性的高特權帳戶。 | critical | |
| 針對標準使用者設定的 AdminCount 屬性 | 針對已解除委任的帳戶,檢查會導致發生難以管理之權限問題的 adminCount 屬性。 | medium | |
| 休眠帳戶 | 偵測可能會導致安全風險的未用休眠帳戶。 | medium | |
| 危險信任關係 | 識別設定錯誤的信任關係屬性,其會降低目錄基礎架構的安全性。 | high | |
| 擁有永不過期密碼的帳戶 | 檢查在 userAccountControl 屬性中具有 DONT_EXPIRE_PASSWORD 屬性標記的帳戶,此屬性標記允許無限期使用相同的密碼,並繞過密碼更新原則。 | medium | |
| 取消連結、已停用或孤立的 GPO | 未使用或已停用的 GPO 會拖慢目錄效能與 RSoP 運算速度,且可能會導致安全原則困擾。將其錯誤重新啟用可能會弱化現有的原則。 | low | |
| 空白 Entra 群組 | 空白群組可能會導致混淆、降低安全性,並導致資源閒置。一般而言,建議為群組設定明確的目的,並確保其中包含相關成員。 | LOW | |
| 待啟用裝置 | 您應避免使用預先建立的待啟用裝置帳戶,因為這反映了不良的操作習慣,並且可能帶來安全風險。 | LOW | |
| 與 AD (混合帳戶) 同步的特權 Entra 帳戶 | 在 Entra ID 中擁有特權角色的混合帳戶 (即從 Active Directory 同步) 會帶來安全性風險,因為入侵 AD 的攻擊者可利用此類帳戶轉而入侵 Entra ID。Entra ID 中的特權帳戶必須為雲端專用帳戶。 | HIGH | |
| 未設定應用程式的管理員同意工作流程 | Entra ID 中的管理員同意工作流程,可讓非管理員使用者透過結構化的核准程序申請應用程式權限。若未設定工作流程,使用者嘗試存取應用程式時可能會遇到錯誤,並且無法要求同意。 | MEDIUM | |
| 未強制執行的風險使用者 | 封鎖風險使用者,以防止未經授權的存取和潛在的缺口。安全性最佳做法建議使用條件式存取原則,以阻止易受攻擊的帳戶驗證 Entra ID。 | MEDIUM | |
| 脆弱密碼原則 - 長度下限 | 若密碼原則設定的長度下限過短,使用者建立的密碼可能過於簡短、容易被猜到,導致入侵風險增加。 | HIGH | |
| 脆弱密碼原則 - 密碼歷史記錄 | 若密碼原則中設定的密碼歷史記錄值過少,會允許使用者重複使用可能已遭洩漏的密碼。 | MEDIUM | |
| 條件式存取原則停用持續性存取評估 | 持續性存取評估是 Entra ID 的一項安全功能,可對安全原則變更或使用者狀態更新做出快速反應。因此,請勿將其停用。 | MEDIUM | |
| 同盟簽署憑證不相符 | Microsoft Entra ID 可透過同盟的方式,將驗證工作委派給其他提供者。但是,獲得進階特權的攻擊者可以新增權杖簽署憑證來利用此功能,進而達到潛伏和特權提升的目的。 | HIGH | |
| 管理員數量過多 | 管理員擁有進階特權,因此當管理員數量過多時,可能會增加攻擊破綻,造成安全性風險。這也是未遵循最低特權原則的跡象。 | HIGH | |
| 應用程式的非受限使用者同意 | Entra ID 允許使用者自動同意外部應用程式存取組織資料,攻擊者可能會在「非法同意授予」攻擊中利用這項漏洞。為了防止此問題,您可以僅授予存取權給經過驗證的發行者,或啟用管理員核准機制。 | MEDIUM | |
| 同盟簽署憑證的有效期出現異常 | 同盟簽署憑證的有效期過長可能會引發疑慮,因為這表示攻擊者或許已在 Entra ID 中取得進階特權,並透過同盟信任機制建立後門程式。 | MEDIUM | |
| 脆弱密碼原則 - 常見密碼 | 若密碼原則允許使用常見密碼,會增加入侵風險,因為使用者可能會選擇容易被猜到的低強度憑證。 | HIGH | |
| 影響租用戶的危險應用程式權限 | Microsoft 在 Entra ID 中公開 API,以允許第三方應用程式在 Microsoft 服務中自行執行動作 (即「應用程式權限」)。特定權限可能會對整個 Microsoft Entra 租用戶帶來嚴重威脅。 | HIGH | |
| 休眠特權使用者 | 休眠的特權使用者可能成為攻擊者進行未授權存取的管道,進而帶來安全風險。如未定期監控和停用,這些過時使用者會增加攻擊破綻,為惡意活動建立潛在的進入點。 | MEDIUM | |
| 自訂特權角色 | 如果 Okta 中的自訂角色具有特權權限,可能會引發安全問題。 | LOW | |
| 驗證時無需使用受管理裝置 | 要求使用受管理裝置,以防止未經授權的存取和潛在的安全缺口。安全性最佳做法建議使用條件式存取原則,阻止未受管理裝置進行 Entra ID 驗證。 | MEDIUM | |
| 影響資料的危險應用程式權限 | Microsoft 在 Entra ID 中公開 API,以允許第三方應用程式在 Microsoft 服務中自行執行動作 (即「應用程式權限」)。特定權限可能會對這些服務儲存的使用者資料構成威脅。 | MEDIUM | |
| 休眠非特權使用者 | 休眠的非特權使用者可能成為攻擊者進行未授權存取的管道,進而帶來安全風險。如未定期監控和停用,這些過時使用者會增加攻擊破綻,為惡意活動建立潛在的進入點。 | LOW | |
| 特權帳戶缺少 MFA | MFA 為帳戶提供強大保護,防止出現弱式密碼或易遭洩漏的密碼。建議的安全性最佳做法和標準是啟用 MFA,尤其是針對特權帳戶。未註冊 MFA 方法的帳戶無法受到此機制保護。 | HIGH | |
| 待啟用的非特權使用者 | 待啟用的非特權使用者帳戶很容易受到入侵,因為這些帳戶通常能避開防禦措施的偵測。此外,這些帳戶使用的預設密碼也使其成為攻擊者的主要目標。 | LOW | |
| 特權帳戶命名慣例 | Entra ID 中特權使用者的命名慣例對於強化安全性、促進標準化並提升稽核合規性至關重要,同時也使系統更便於管理。 | LOW | |
| 單一成員 Entra 群組 | 我們不建議建立只有一個成員的群組,因為這會造成系統冗餘及複雜化。這種做法會增加層級,徒增管理難度,並背離使用群組來簡化存取權控制和管理模式的初衷。 | LOW | |
| 擁有 API 權杖的使用者 | 如果使用者有 API 權杖,則可以透過 Okta API 使用該權杖代表自己執行動作。若權杖不正當,可能會導致未經授權的存取或資料曝險。 | LOW | |
| 尚未完成驗證方法的移轉 | 移轉至「驗證方法」原則可使 Microsoft Entra ID 中的驗證管理變得更精簡且現代化。該轉換將簡化管理流程、強化安全性,並支援最新的驗證方法。為避免因舊型原則停用而導致服務中斷,請在 2025 年 9 月之前完成移轉。 | MEDIUM | |
| 動態群組具有可利用規則 | 透過修改可自行變更的屬性,攻擊者能夠利用 Microsoft Entra ID 的動態群組功能,將自己加入到群組中。此行為可能導致特權提升,並在未授權情況下存取與群組相關的敏感資源。 | MEDIUM | |
| 未啟用 Entra 安全性預設值 | Entra ID 安全性預設值提供事先調整好的 Microsoft 推薦設定,以加強對租用戶的保護。 | MEDIUM | |
| 在 Microsoft 驗證器通知中顯示更多背景資訊 | 為了讓資訊一目了然,請啟用 Microsoft Authenticator 通知以顯示更多背景資訊,例如應用程式名稱和地理位置。使用者可透過此功能判斷並阻止惡意的 MFA 或無密碼驗證請求,有效降低 MFA 疲勞攻擊的風險。 | MEDIUM | |
| 未受限訪客帳戶 | 根據預設,雖然 Entra ID 中的訪客使用者本就只能取得有限存取權,因此瀏覽權限比其他租用戶群體更低,但您也可以進一步強化這些限制以提升安全性和私密性。 | MEDIUM | |
| 允許多租用戶驗證的應用程式 | 如果在未充分意識到其影響的情況下啟用允許多租用戶驗證的 Entra 應用程式,且未在應用程式的程式碼中實施充分的授權檢查,則可能會向惡意使用者提供未經授權的存取權。 | LOW | |
| 風險性登入未要求使用 MFA | MFA 為帳戶提供強大保護,防止出現弱式密碼或易遭洩漏的密碼。根據安全性最佳做法和標準的建議,您應針對風險性登入啟用 MFA,例如當驗證請求可能並非來自合法身分所有者的情況下。 | HIGH | |
| 可存取 M365 服務的特權 Entra 帳戶 | 系統管理工作應使用獨立 Entra 帳戶來執行: 請開設一個標準帳戶用於日常所需,另外再開一個特權帳戶專門用於管理活動。這種方法可減少特權帳戶的攻擊破綻。 | MEDIUM | |
| 獲允許加入裝置的使用者 | 若允許所有使用者將不受限制的裝置加入 Entra 租用戶,就是為威脅執行者打開了方便的大門,使其能順利地將惡意裝置植入組織的身分系統,並為其進一步的入侵提供立足點。 | LOW | |
| 脆弱密碼原則 - 鎖定臨界值 | 若密碼原則設定過高的鎖定臨界值,攻擊者就可以在觸發帳戶鎖定前執行暴力密碼破解攻擊。 | HIGH | |
| 影響資料的危險委派權限 | Microsoft 在 Entra ID 中公開 API,以允許第三方應用程式在 Microsoft 服務中代表使用者執行動作 (即「委派權限」)。特定權限可能會對這些服務儲存的使用者資料構成威脅。 | MEDIUM | |
| 影響租用戶的危險委派權限 | Microsoft 在 Entra ID 中公開 API,以允許第三方應用程式在 Microsoft 服務中代表使用者執行動作 (即「委派權限」)。特定權限可能會對整個 Microsoft Entra 租用戶帶來嚴重威脅。 | HIGH | |
| 特權角色被指派至已停用帳戶 | 合理的帳戶管理流程需要監控特權角色的指派情況。 | LOW |