Fehlende MFA für privilegiertes Konto
High
Sprache:
Beschreibung
Multifaktor-Authentifizierung (MFA) oder vorher Zweifaktor-Authentifizierung (2FA) bietet starken Schutz von Konten vor schwachen oder gehackten Passwörtern. Bewährte Methoden und Standards für Sicherheit empfehlen die Aktivierung von MFA, insbesondere für privilegierte Konten. Wenn ein Angreifer sich mit einer beliebige Methode ein Passwort eines privilegierten Benutzers verschafft, blockiert MFA die Authentifizierung, indem sie einen zusätzlichen Faktor anfordert, z. B. einen zeitlich ablaufenden Code aus einer mobilen App, ein physisches Token, ein biometrisches Merkmal usw.
Dieser Indicator of Exposure warnt Sie, wenn ein Konto keine registrierte MFA-Methode hat oder wenn Sie MFA erzwingen. ohne eine Methode zu registrieren. Letzteres kann Angreifern mit einem Passwort erlauben, ihre eigenen MFA-Methoden zu registrieren, und stellt ein Sicherheitsrisiko dar. Dieser Indicator of Exposure kann jedoch nicht darüber Auskunft geben, ob Microsoft Entra ID MFA erzwingt oder nicht, da Richtlinien für bedingten Zugriff die Verwendung von MFA in Abhängigkeit von dynamischen Kriterien erfordern können.
Siehe auch den zugehörigen IoE „Fehlende MFA für nicht-privilegiertes Konto“ für nicht privilegierte Konten.
Lösung
Für alle gemeldeten privilegierten Benutzer müssen MFA-Methoden registriert und erzwungen werden, um ihren Schutz vor Passwortangriffen zu erhöhen.
Für Microsoft Entra ID bietet Microsoft eine Vorlage für Richtlinien für bedingten Zugriff namens Require MFA for administrators. Diese Richtlinie fordert Benutzer zum Registrieren einer MFA-Methode auf, wenn sie sich nach der MFA-Erzwingung zum ersten Mal authentifizieren. Wir empfehlen, die Anweisungen in der Microsoft-Dokumentation „Planen einer Bereitstellung für bedingten Zugriff“ zu befolgen.
Hinweis: Sie sollten die Verwendung von ein oder zwei privilegierten Konten für den Notfallzugriff (Break-Glass-Konten) planen, die andere MFA-Methoden als die normalen Administratorkonten verwenden, wie in der Microsoft-Dokumentation „Verwalten von Konten für den Notfallzugriff in Microsoft Entra ID“ empfohlen.