App registrations should no longer use secrets
Miért Fontos Ez
Az alkalmazás titkos kulcsai, például kliens titkos kódok vagy jelszavak, sérülhetnek, ha nem megfelelően tárolják őket, vagy ha kiszivárognak a kódtárakból. A támadók, akik megszerzik ezeket a titkos kulcsokat, képesek megszemélyesíteni az alkalmazásokat, és jogosulatlanul hozzáférhetnek érzékeny adatokhoz. A tanúsítványalapú hitelesítésre vagy felügyelt identitásokra való áttérés megszünteti ezt a kockázatot azáltal, hogy eltávolítja a hosszú élettartamú, statikus hitelesítő adatokat.
Mit Ellenőriz az Aether365
Ez az ellenőrzés átvizsgálja a Microsoft 365-bérlőjét olyan alkalmazásregisztrációk után, amelyek továbbra is kliens titkos kódokat használnak a hitelesítéshez. Az Aether365 irányítópultján a microsoft-365 ellenőrzések szakasza alatt jelenik meg, és kiemeli azokat az alkalmazásokat, amelyeket biztonságosabb hitelesítési módszerekre kell frissíteni.
Hogyan Javítsa
- Jelentkezzen be az Azure Portalra (portal.azure.com), és navigáljon az Azure Active Directory > App registrations menüpontba.
- Válassza ki azt az alkalmazásregisztrációt, amely titkos kódokat használ.
- A Manage (Kezelés) alatt kattintson a Certificates and secrets (Tanúsítványok és titkos kódok) elemre.
- Távolítson el minden meglévő kliens titkos kódot, és adjon hozzá helyette egy tanúsítványt. Töltsön fel egy nyilvános tanúsítványfájlt (.cer) az alkalmazásregisztrációhoz.
- Frissítse az alkalmazás kódját, hogy az a tanúsítvánnyal hitelesítsen, ne a titkos kóddal.
- Az Azure-ban futó alkalmazások esetében fontolja meg felügyelt identitások használatát, hogy elkerülje a hitelesítő adatok kezelését.
Megfelelőség
- CIS Microsoft 365 Foundations Benchmark: Nincs közvetlen leképezés
- CISA Azure Security Baseline: Utal az alkalmazásregisztrációs bevált gyakorlatokra
- EIDSCA: Nincs specifikus leképezés
Kapcsolódó Erőforrások
- Microsoft Learn: App registration secrets best practices
- Microsoft Learn: Managed identities overview