Ensure that an exclusionary Device code flow policy is considered
Miks see on oluline
Seadme koodivool (device code flow) on legitiimne autentimismeetod selliste stsenaariumite jaoks nagu Azure'i kasutamine PowerShelliga, kuid ründajad kasutavad seda sageli ära andmepüügikampaaniates. Kui see õnnestub, annab rünnak ründajale juurdepääsutõendid, millel on user_impersonation ulatus, võimaldades neil teha kõike, mida ohustatud kasutaja saab. Seadme koodivoolu piiramine ainult nende isikutega, kes seda selgelt vajavad, vähendab teie ründepinda tokenite varguse ja seansi kaaperdamise vastu.
Mida Aether365 kontrollib
See kontroll kontrollib, kas Conditional Access poliitika kehtestab seadme koodivoolu autentimise blokeerimise mittevajalikele kasutajatele. Aether365 armatuurlaual kuvatakse see Entra ID kontrollide jaotises nimega ENTRA.1111.
Kuidas parandada
- Logige Azure'i portaali sisse tingimusliku juurdepääsu administraatori, turbeadministraatori või üldadministraatorina.
- Avage jaotis Microsoft Entra ID > Security > Conditional Access > Policies.
- Valige New policy, et luua uus poliitika või muuta olemasolevat.
- Jaotises Users lisage kõik kasutajad ja seejärel välistage ainult need kontod, mis vajavad legitiimselt seadme koodivoolu (näiteks automatiseerimiskontod või konkreetsed administraatoritöökohad).
- Jaotises Target resources valige Authentication flows ja märkige ruut Device code flow.
- Jaotises Grant valige Block access.
- Seadistage Enable policy režiimile Report-only, et esmalt mõju valideerida enne jõustamist.
- Jälgige sisselogimislogisid ootamatute blokeeringute suhtes, seejärel lülitage On, kui on kinnitatud, et see on ohutu.
Nõuetele vastavus
- CIS Microsoft Azure Foundations 3.0.0 jaotis 2.2.3 (tase 2)
- Nõutav Microsoft Entra ID P1 või P2 litsents
Seotud ressursid
- Conditional Access authentication flows
- Microsoft Cloud Security Benchmark IM-7
- Conditional Access report-only mode
- How to create a policy for authentication flows