特权帐户缺少 MFA
High
语言:
描述
多因素身份验证 (MFA) 或之前的双因素身份验证 (2FA) 可为帐户提供强大的保护,防止出现弱密码或泄露密码。安全最佳实践和标准建议您启用 MFA,尤其是针对特权帐户。 攻击者通过任意方法获得特权用户密码后,MFA 会通过要求额外的因素(例如来自移动应用程序且有时效的代码、物理令牌、生物识别功能等)来阻止身份验证。
在帐户没有已注册的 MFA 方法,或者您在没有注册 MFA 方法的情况下强制执行 MFA (上述两种情况可能会允许具有密码的攻击者注册他们自己的 MFA 方法并造成安全风险)时,此风险暴露指标会向您发出警报。然而,此风险暴露指标无法报告 Microsoft Entra ID 是否强制执行 MFA,因为条件访问策略可能根据动态标准要求执行 MFA。
有关非特权帐户的内容,请参见相关的 IOE“非特权帐户缺少 MFA”。
解决方案
所有被报告的特权用户必须注册 MFA 方法并强制执行 MFA,以提高对密码攻击的保护。
对于 Microsoft Entra ID,Microsoft 提供了一个名为“Require MFA for administrators”的条件访问策略模板。此策略会提醒用户在第一次遵循以下 MFA 强制执行规则进行身份验证时,注册 MFA 方法。我们建议您遵循“规划条件访问部署” Microsoft 文档中的要求。
请注意,根据“管理 Microsoft Entra ID 中的紧急访问帐户”Microsoft 文档的建议,您应该借助不同于普通管理帐户方法的 MFA 方法,来计划建立一个或两个特权应急处理帐户。