曝險指標 (IoE)
| 名稱 | 說明 | 嚴重性 | Type |
|---|---|---|---|
| 影響租用戶的危險委派權限 | Microsoft 在 Entra ID 中公開 API,以允許第三方應用程式在 Microsoft 服務中代表使用者執行動作 (即「委派權限」)。特定權限可能會對整個 Microsoft Entra 租用戶帶來嚴重威脅。 | HIGH | |
| 訪客帳戶和一般帳戶享有同等存取權 | 不建議在 Entra ID 的設定中將訪客視為一般使用者,因為這樣一來,惡意訪客就有機會對租用戶的資源進行全面偵察。 | HIGH | |
| 內部部署環境未啟用密碼保護 | Microsoft Entra 密碼保護是一項安全功能,可防止使用者設定容易被猜中的密碼,以增強組織的整體密碼安全性。 | MEDIUM | |
| 未針對特權角色要求使用 MFA | MFA 為帳戶提供強大保護,防止出現弱式密碼或易遭洩漏的密碼。建議的安全性最佳做法和標準是啟用 MFA,特別是具有特權角色的特權帳戶。 | HIGH | |
| 擁有憑證的第一方服務主體 | 第一方服務主體擁有強大權限,然而因為他們處於隱藏狀態、數量眾多,且為 Microsoft 所有,因而會被忽略。攻擊者會將憑證新增至主體,在神不知鬼不覺的情況下利用主體特權達成特權提升和潛伏的目的。 | HIGH | |
| 訪客帳戶具有特權角色 | 訪客帳戶是外部身分,一旦獲派特權角色就可能造成安全風險。這會將租用戶的重大特權授予組織外部人員。 | HIGH | |
| 公開 M365 群組 | 儲存在 Entra ID 中的 Microsoft 365 群組,其設定可能為公開或私人。公開群組會帶來安全性風險,因為租用戶中的任何使用者都可以加入並獲得其資料的存取權 (Teams 聊天記錄/檔案、電子郵件等)。 | MEDIUM | |
| 非特權帳戶缺少 MFA | MFA 為帳戶提供強大保護,防止出現弱式密碼或易遭洩漏的密碼。建議的安全性最佳做法和標準是啟用 MFA,即使是非特權帳戶亦是如此。未註冊 MFA 方法的帳戶無法受到此機制保護。 | MEDIUM | |
| 未驗證的網域 | 您必須在 Entra ID 中確認所有自訂網域的所有權。僅暫時保留未驗證的網域。請驗證網域或將其移除,讓網域清單保持條理並提升審查效率。 | LOW | |
| 已知的同盟網域後門程式 | Microsoft Entra ID 可透過同盟的方式,將驗證工作委派給其他提供者。但是,獲得進階特權的攻擊者可以新增惡意同盟網域來利用此功能,進而達到潛伏和特權提升的目的。 | CRITICAL | |
| 同盟網域清單 | 惡意同盟網域設定是攻擊者常用的威脅技術,用於在 Entra ID 租用戶中充當驗證後門程式。驗證現有和新增的同盟網域對於確保其設定正當可信至關重要。此曝險指標提供同盟網域及其相關屬性的完整清單,以協助您根據相關資訊有效判斷其安全狀態。 | LOW | |
| 可疑的 AD 同步處理角色指派 | Microsoft 針對 Active Directory 同步處理設計了兩個隱藏的內建 Entra ID 角色,專門供 Entra Connect 或 Cloud Sync 服務帳戶使用。這些角色具有隱含的特權,可能會遭到惡意攻擊者利用,藉此在難以察覺的情況下發動攻擊。 | HIGH | |
| 已啟用臨時存取密碼功能 | 臨時存取密碼 (TAP) 功能是一種臨時驗證方法,使用有時間或使用限制的密碼。雖然這是正當的功能,但在貴組織不需要的情況下,建議您將其停用以減少攻擊破綻。 | LOW |