曝險指標 (IoE)
| 名稱 | 說明 | 嚴重性 | Type |
|---|---|---|---|
| 休眠裝置 | 休眠裝置會造成設定過時、弱點未修補等安全風險。若未定期監控和更新,這些過時的裝置會成為刺探利用的潛在目標,進而損害租用戶完整性和資料機密性。 | LOW | |
| 已強制執行密碼過期 | 在 Microsoft Entra ID 網域中強制執行密碼過期可能會促使使用者頻繁地變更密碼,進而使用脆弱、可預測或重複的密碼,進而破壞安全性,降低整體帳戶的保護力。 | LOW | |
| 同盟網域清單 | 惡意同盟網域設定是攻擊者常用的威脅技術,用於在 Entra ID 租用戶中充當驗證後門程式。驗證現有和新增的同盟網域對於確保其設定正當可信至關重要。此曝險指標提供同盟網域及其相關屬性的完整清單,以協助您根據相關資訊有效判斷其安全狀態。 | LOW | |
| 擁有憑證的第一方服務主體 | 第一方服務主體擁有強大權限,然而因為他們處於隱藏狀態、數量眾多,且為 Microsoft 所有,因而會被忽略。攻擊者會將憑證新增至主體,在神不知鬼不覺的情況下利用主體特權達成特權提升和潛伏的目的。 | HIGH | |
| 訪客帳戶具有特權角色 | 訪客帳戶是外部身分,一旦獲派特權角色就可能造成安全風險。這會將租用戶的重大特權授予組織外部人員。 | HIGH | |
| 已知的同盟網域後門程式 | Microsoft Entra ID 可透過同盟的方式,將驗證工作委派給其他提供者。但是,獲得進階特權的攻擊者可以新增惡意同盟網域來利用此功能,進而達到潛伏和特權提升的目的。 | CRITICAL | |
| 未針對特權角色要求使用 MFA | MFA 為帳戶提供強大保護,防止出現弱式密碼或易遭洩漏的密碼。建議的安全性最佳做法和標準是啟用 MFA,特別是具有特權角色的特權帳戶。 | HIGH | |
| 非特權帳戶缺少 MFA | MFA 為帳戶提供強大保護,防止出現弱式密碼或易遭洩漏的密碼。建議的安全性最佳做法和標準是啟用 MFA,即使是非特權帳戶亦是如此。未註冊 MFA 方法的帳戶無法受到此機制保護。 | MEDIUM | |
| 可疑的 AD 同步處理角色指派 | Microsoft 針對 Active Directory 同步處理設計了兩個隱藏的內建 Entra ID 角色,專門供 Entra Connect 或 Cloud Sync 服務帳戶使用。這些角色具有隱含的特權,可能會遭到惡意攻擊者利用,藉此在難以察覺的情況下發動攻擊。 | HIGH | |
| 公開 M365 群組 | 儲存在 Entra ID 中的 Microsoft 365 群組,其設定可能為公開或私人。公開群組會帶來安全性風險,因為租用戶中的任何使用者都可以加入並獲得其資料的存取權 (Teams 聊天記錄/檔案、電子郵件等)。 | MEDIUM | |
| 已啟用臨時存取密碼功能 | 臨時存取密碼 (TAP) 功能是一種臨時驗證方法,使用有時間或使用限制的密碼。雖然這是正當的功能,但在貴組織不需要的情況下,建議您將其停用以減少攻擊破綻。 | LOW | |
| 未驗證的網域 | 您必須在 Entra ID 中確認所有自訂網域的所有權。僅暫時保留未驗證的網域。請驗證網域或將其移除,讓網域清單保持條理並提升審查效率。 | LOW |