非特权帐户缺少 MFA
Medium
语言:
描述
多因素身份验证 (MFA) 或之前的双因素身份验证 (2FA) 可为帐户提供强大的保护,防止出现弱密码或泄露密码。根据安全最佳实践和标准,我们建议您启用 MFA,即使针对非特权帐户。
攻击者通过任意方法获得用户密码后,MFA 会通过要求额外的因素(例如来自移动应用程序且有时效的代码、物理令牌、生物识别功能等)来阻止身份验证。
在帐户没有已注册的 MFA 方法,或者您在没有注册 MFA 方法的情况下强制执行 MFA (上述两种情况可能会允许具有密码的攻击者注册他们自己的 MFA 方法并造成安全风险)时,此风险暴露指标会向您发出警报。然而,此风险暴露指标无法报告 Microsoft Entra ID 是否强制执行 MFA,因为条件访问策略可能根据动态标准要求执行 MFA。
有关特权帐户的内容,请参见相关的 IOE“特权帐户缺少 MFA”。
解决方案
所有被报告的用户必须注册 MFA 方法并强制执行 MFA,以提高对密码攻击的保护。
对于 Microsoft Entra ID,Microsoft 提供了一个名为“Require MFA for all users”的条件访问策略模板。此策略会提醒用户在第一次遵循以下 MFA 强制执行规则进行身份验证时,注册 MFA 方法。我们建议您遵循“规划条件访问部署” Microsoft 文档中的要求。