名称 | 描述 | 严重程度 |
---|---|---|
与 AD(混合帐户)同步的特权 Entra 帐户 | 在 Entra ID 中具有特权角色的混合帐户(即从 Active Directory 同步)会构成安全风险,因为这类帐户允许入侵 AD 的攻击者转而入侵 Entra ID。Entra ID 中的特权帐户必须为纯云帐户。 | High |
已知的联合域后门程序 | Microsoft Entra ID 可以向另一个身份验证提供商委派身份验证:一个称为“联合”的功能。获得更高特权的攻击者可以通过添加恶意联合域来滥用此合法特性,从而实现持久性和特权提升。 | Critical |
影响租户的危险 API 权限 | Microsoft 在 Entra ID 中公开 API,以允许第三方应用程序在 Microsoft 服务中执行操作。某些权限可能对整个 Microsoft Entra 租户造成严重威胁。因此,必须仔细审查他们的分配情况。 | High |
具有凭据的第一方服务主体 | 第一方服务主体拥有强大的权限,然而因为他们处于隐藏状态、数量众多,而且为 Microsoft 所有,所以会被忽略。攻击者会向这些主体添加凭据,以隐蔽的方式利用主体的特权来提升特权和获得持久性特权,从而获益。 | High |
非特权帐户缺少 MFA | MFA 为帐户提供强大保护,防止出现弱密码或泄露密码。根据安全最佳实践和标准,我们建议您启用 MFA,即使针对非特权帐户。没有注册 MFA 方法的帐户无法从中获益。 | Medium |