Aether365

Polski

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Polski

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Appearance

Ensure only MFA enabled identities can access privileged Virtual Machine

Dlaczego to jest ważne

Jeśli tożsamości bez uwierzytelniania wieloskładnikowego mogą uzyskiwać dostęp do uprzywilejowanych maszyn wirtualnych, przeciwnik, który przejmie prawidłowe poświadczenia, może się zalogować, przemieszczać się lateralnie i wykorzystać zarządzaną tożsamość maszyny wirtualnej do uzyskania dostępu do zasobów w chmurze lub wykonania nieautoryzowanych działań zarządczych. Wymaganie uwierzytelniania wieloskładnikowego dla tych uprzywilejowanych logowań znacząco zmniejsza ryzyko kradzieży poświadczeń prowadzącej do ruchu lateralnego i naruszenia zasobów.

Co sprawdza Aether365

To sprawdzenie weryfikuje, czy tylko tożsamości z włączonym uwierzytelnianiem wieloskładnikowym mają przyznany dostęp do uprzywilejowanych maszyn wirtualnych. Pojawia się na pulpicie nawigacyjnym Aether365 w kategorii kontroli Azure Virtual Machines.

Jak naprawić

  1. Upewnij się, że twoja dzierżawa posiada licencję Entra ID P2, aby korzystać z Privileged Identity Management (PIM) do kontroli dostępu.
  2. Utwórz lub zidentyfikuj grupę RBAC lub ABAC, której zostanie przypisana odpowiednia rola (np. Virtual Machine Contributor) dla maszyny wirtualnej.
  3. Skonfiguruj przypisanie roli w Azure PIM i wymagaj uwierzytelniania wieloskładnikowego w ustawieniach roli.
  4. Przypisz rolę do grupy za pomocą PIM, aby członkowie musieli aktywować rolę przy użyciu uwierzytelniania wieloskładnikowego przed uzyskaniem uprzywilejowanego dostępu do maszyny wirtualnej.
  5. Alternatywnie użyj rozwiązania do zarządzania dostępem uprzywilejowanym (PAM) innej firmy, aby wymusić uwierzytelnianie wieloskładnikowe dla logowań do maszyn wirtualnych.
  6. Przejrzyj wszystkie istniejące tożsamości z bezpośrednim lub grupowym dostępem do maszyny wirtualnej i usuń te, które nie wymagają uwierzytelniania wieloskładnikowego.

Zgodność

  • CIS Microsoft Azure Foundations 3.0.0 Sekcja 8.10 (Poziom 2)
  • EIDSCA – Zapewnij uwierzytelnianie wieloskładnikowe dla uprzywilejowanego dostępu do maszyn wirtualnych
  • CISA – Uwierzytelnianie wieloskładnikowe dla dostępu do zasobów w chmurze

Powiązane zasoby

Czy ta strona była pomocna?

© 2026 Aether365. All rights reserved.