Sprache:
Dieser IoE wird nur für Mandanten mit einer Entra ID-P1- oder -P2-Lizenz ausgeführt, da diese Premium-Lizenzen für diese Sicherheitsfunktion erforderlich sind.
Entra ID nutzt Microsoft Entra-Kennwortschutz, um das Risiko zu mindern, dass Benutzer leicht zu erratende Passwörter festlegen, die anfällig für Brute-Force-Angriffe sind. Diese Funktion verwendet eine globale Liste gesperrter Passwörter, die standardmäßig aktiviert ist und nicht deaktiviert werden kann. Die Liste enthält häufig verwendete schwache Passwörter und wird von Microsoft gepflegt und regelmäßig aktualisiert.
Obwohl Microsoft Entra-Kennwortschutz eine cloudbasierte Funktion ist, können Organisationen sie auf das klassische On-Premises Active Directory (auch bekannt als „Windows Server Active Directory“) ausweiten, wie unter „Erzwingen des lokalen Microsoft Entra-Kennwortschutzes für Active Directory Domain Services“ beschrieben. Sie vereinfachen diese Integration, indem sie einen dedizierten Microsoft-Agent auf den On-Premises Active Directory-Domänencontrollern installieren und gleichzeitig die Passwortschutzrichtlinien über das cloudbasierte Entra-Portal konfigurieren.
Dieser Indicator of Exposure wertet zwei Einstellungen von Microsoft Entra-Kennwortschutz aus, die die Durchsetzung der Funktion in der On-Premises-Umgebung bestimmen:
Hinweis:
onPremisesSyncEnabled
von organization
.Die Aktivierung von Microsoft Entra-Kennwortschutz, einschließlich der Ausweitung der Funktion auf On-Premises Active Directory-Domänen, hilft Organisationen, die Verwendung schwacher Passwörter zu eliminieren, und verringert so die Wahrscheinlichkeit, dass Angreifer diese Anmeldeinformationen erfolgreich erraten und sich nicht autorisierten Zugriff auf die Infrastruktur der Organisation verschaffen.
Obwohl diese Funktion für Entra ID in der Cloud standardmäßig aktiviert ist, wird sie nicht automatisch auf Active Directory-Domänencontroller in der On-Premises-Umgebung erweitert. Durch die Erweiterung dieser Funktion auf Active Directory können Organisationen auch ihre On-Premises AD-Benutzer schützen, vorausgesetzt, der Mandant nutzt eine Premium-Lizenz: Entra ID-P1 oder -P2.
Tenable empfiehlt Folgendes:
Name: Kennwortschutz für On-Premises-Umgebungen nicht aktiviert
Codename: PASSWORD-PROTECTION-NOT-ENABLED-FOR-ON-PREMISES-ENVIRONMENTS
Schweregrad: Medium
Typ: Microsoft Entra ID Indicator of Exposure