If phishing-resistant MFA has not been enforced, an alternative MFA method SHALL be enforced for all users.
Kodėl tai svarbu
Net kai nėra visiškai įdiegtas atsparus „phishing“ atakoms MFA, antrinis MFA metodas, priverstinai taikomas kiekvienam vartotojui, suteikia svarbią apsaugą nuo kredencialų vagystės ir neteisėtos prieigos. Be tokios atsarginės priemonės paskyros išlieka pažeidžiamos slaptažodžiais grindžiamoms atakoms, pvz., brutalia jėga ar kredencialų užpildymui, o tai gali lemti duomenų saugumo pažeidimus ar atitikties reikalavimų nesilaikymą.
Ką tikrina Aether365
Šis patikrinimas nustato, ar visiems jūsų „Microsoft Entra ID“ nuomotojo vartotojams yra priverstinai taikomas alternatyvus MFA metodas, kai neįdiegtas atsparus „phishing“ atakoms MFA (pavyzdžiui, FIDO2 arba sertifikatais grindžiamas autentifikavimas). Šis patikrinimas rodomas Aether365 valdymo skydelyje po kategorija „Entra ID“ (entra-id).
Kaip ištaisyti
- Prisijunkite prie „Azure Portal“ kaip visuotinis administratorius ir eikite į „Microsoft Entra ID“.
- Pasirinkite „Users“, tada iš viršutinės meniu juostos – „Per-user MFA“.
- Kiekvienam vartotojui, kuris šiuo metu nėra užregistravęs MFA, pasirinkite jį ir spustelėkite „Enable“ stulpelyje „multi-factor authentication status“.
- Patvirtinkite pakeitimą, kai būsite paprašyti. Vartotojai, prisijungdami kitą kartą, turės užregistruoti MFA metodą (pavyzdžiui, „Microsoft Authenticator“ programėlę, telefono skambutį ar SMS).
- Pasirinktinai naudokite „Conditional Access“ strategijas, kad MFA būtų privaloma visiems vartotojams – tai labiau keičiamo dydžio alternatyva, palyginti su kiekvieno vartotojo atskiru įgalinimu.
Atitiktis
- CIS CISA.MS.AAD.3.2
- CISA (Kibernetinio saugumo ir infrastruktūros saugumo agentūros) rekomendacijos dėl MFA vykdymo užtikrinimo