App registrations with privileged API permissions should have no owners

Kodėl tai svarbu

Programų registracijos, turinčios itin aukštas API teises, gali kelti kritinį saugumo pavojų, jei nuosavybė nėra tinkamai kontroliuojama. Kai tokioms registracijoms priskiriami keli savininkai, tai padidina atakų paviršių ir sukuria potencialius šoninių judėjimo kelius užpuolikams. Administratoriai turėtų užtikrinti, kad privilegijuotos programų registracijos neturėtų savininkų, o vietoj to naudoti objektų lygio vaidmenų priskyrimą, kad deleguotų valdymą.

Ką tikrina Aether365

Aether365 patikrina, ar programų registracijos, turinčios Control/Management Plane ar itin kritines API teises, neturi priskirtų savininkų. Šis patikrinimas rodomas Aether365 valdymo skydelyje po kategorija entra-id.

Kaip ištaisyti

1. Prisijunkite prie Microsoft Entra admin center kaip visuotinis administratorius arba programų administratorius.
2. Eikite į Identity, tada Applications ir pasirinkite App registrations.
3. Raskite ir pasirinkite programų registraciją su privilegijuotomis API teisėmis.
4. Skiltyje Manage pasirinkite Owners.
5. Pašalinkite visus esamus savininkus iš sąrašo.
6. Vietoj nuosavybės priskyrimo naudokite objektų lygio vaidmenų priskyrimą, kad programų registracijos valdymą deleguotumėte žemesnės privilegijų klasės administratoriams. Tai apsaugo nuo sluoksnių pažeidimų ir sumažina šoninių judėjimo riziką.

Atitiktis

• Sistema: Kita
• CIS: Netaikoma
• EIDSCA: Netaikoma
• CISA: Netaikoma

Susiję ištekliai

• Assign roles with app registration scope

Microsoft references

• Advanced hunting identityinfo table
• App governance get started
• Overview assign app owners
• Manage roles portal