Apps with high-risk permissions having an indirect path to Global Admin
Kāpēc tas ir svarīgi
Lietojumprogrammas ar augsta riska Graph atļaujām var izveidot netiešu ceļu uz Global Admin, ļaujot apdraudējuma dalībniekam pārņemt visu nomnieku. Ja lietojumprogrammai ir tier-0 atļaujas, uzbrucējs, kas kompromitē tās akreditācijas datus vai noslēpumus, var paaugstināt privilēģijas bez tiešas piešķiršanas. Šis risks ir īpaši bīstams, jo tas apiet standarta administratīvās kontroles un var palikt neatklāts ilgstoši.
Ko pārbauda Aether365
Šī pārbaude identificē lietojumprogrammas jūsu Microsoft 365 nomniekā, kurām ir piešķirtas tier-0 Microsoft Graph atļaujas un kas var nodrošināt netiešu ceļu uz Global Admin. Aether365 informācijas panelī sadaļā microsoft-365 checks tā skenē visas reģistrētās lietojumprogrammas un atzīmē tās, kurām ir augsta riska atļauju kopas, kas varētu ļaut paaugstināt privilēģijas.
Kā novērst
Pārskatiet lietojumprogrammas atļaujas, izmantojot Microsoft Entra admin center.
- Pierakstieties Microsoft Entra admin center.
- Dodieties uz Identity, pēc tam uz Applications un atlasiet All applications.
- Atrodiet atzīmēto lietojumprogrammu un atveriet tās informāciju.
- Dodieties uz API permissions un pārbaudiet uzskaitītās Microsoft Graph atļaujas.
- Noņemiet jebkādas augsta riska atļaujas, kas nav stingri nepieciešamas lietojumprogrammas darbībai.
- Pārliecinieties, ka tikai autorizētiem lietotājiem un pakalpojumiem ir piekļuve lietojumprogrammai un tās noslēpumiem vai sertifikātiem.
Atbilstība
Šī pārbaude tieši neatbilst konkrētai atbilstības sistēmai, bet tā atbalsta Microsoft un CISA ieteiktās drošības paraugprakses attiecībā uz augsta riska lietojumprogrammu atļauju ierobežošanu.
Saistītie resursi
- Microsoft Graph permissions reference
- Privileged identity management for applications
- Secure application access in Microsoft Entra ID