ScubaGear项目中Microsoft Authenticator配置检查的缺陷分析

背景概述

ScubaGear是一款用于评估Microsoft 365安全配置合规性的开源工具。在最新版本中，项目团队发现了一个关于Microsoft Authenticator应用配置检查的重要缺陷，该缺陷可能导致安全评估报告显示错误结果。

问题描述

ScubaGear中的MS.AAD.3.3v1检查项旨在验证Microsoft Authenticator是否按照安全基线要求正确配置。具体来说，该检查需要确认以下配置：

1. 是否启用了"在推送和无密码通知中显示应用程序名称"
2. 是否启用了"在推送和无密码通知中显示地理位置信息"
3. 这些设置是否应用于所有用户

然而，当前实现中存在两个关键问题：

1. 目标检查范围错误

当前代码错误地检查了Authenticator的"启用和目标"页面中的包含目标，而不是"配置"页面中各个具体设置下的目标。这导致即使管理员按照指导配置了相关设置，工具也可能错误地报告配置不符合要求。

2. 冗余检查项

代码中还包含了对Authenticator整体启用状态的检查，这部分实际上不属于安全基线要求的内容，应该从检查逻辑中移除。

技术细节分析

在Microsoft Entra ID的身份验证方法配置中，Microsoft Authenticator的设置分为两个主要部分：

1. 启用和目标：控制哪些用户可以使用Authenticator应用
2. 配置：包含具体的应用行为设置，如显示应用名称和位置信息

当前实现中的Rego规则错误地从MSAuth.AdditionalProperties.includeTargets获取目标信息，而实际上应该检查displayAppInformationRequiredState和displayLocationInformationRequiredState下的includeTarget属性。

解决方案

正确的实现应该修改Rego规则中的MSAuthProperlyConfigured变量，具体调整如下：

1. 移除对整体启用状态的检查
2. 直接检查两个关键设置的状态是否为"enabled"
3. 验证这两个设置的includeTarget.id是否为"all_users"

更新后的逻辑将准确反映安全基线的要求，确保评估结果与管理员实际配置一致。

影响范围

该缺陷会影响所有使用ScubaGear评估Microsoft 365安全配置的用户，特别是那些关注身份验证方法安全性的组织。错误的结果可能导致：

• 误报合规：实际不符合要求的配置被标记为合规
• 误报不合规：正确配置被错误标记为问题
• 增加管理员不必要的故障排除工作

最佳实践建议

对于使用Microsoft Authenticator的组织，建议：

1. 确保启用应用名称和位置信息的显示功能
2. 确认这些设置应用于所有用户
3. 定期使用更新后的ScubaGear工具验证配置
4. 考虑部署钓鱼防护的多因素认证方法作为更安全的替代方案

总结

ScubaGear工具中Microsoft Authenticator配置检查的缺陷凸显了安全评估工具准确性的重要性。通过修正Rego规则中的目标检查逻辑，可以确保工具提供的安全评估结果真实反映实际配置状态，帮助组织更有效地管理其安全态势。