误报触发大规模锁定

多家机构的Windows管理员报告称，微软Entra ID新推出的"MACE"（泄露凭证检测应用）功能在部署过程中产生大量误报，导致用户账户被大规模锁定。这些警报和锁定始于昨夜，部分管理员认为属于误报，因为这些账户使用的都是独立密码，未在其他任何网站或应用中使用过。

微软Entra ID（原Azure Active Directory）是一项基于云的身份和访问管理服务，可帮助企业管理用户身份并保护资源访问安全。

虚假泄露警报爆发

今日凌晨Reddit论坛的讨论帖显示，Windows管理员们反映收到大量Entra警报，提示其部分用户账户的凭证已在暗网或其他位置泄露。这些账户随即被自动锁定，每家企业都有大量用户受到影响。

一位管理员在Reddit上表示："我们也中招了...约1/3的账户在一小时前被锁定。我们是MSP（托管服务提供商），估计客户也遭遇了同样情况。"被锁定的账户既未出现可疑登录等入侵迹象，又都启用了多因素认证（MFA）。此外，Have I Been Pwned（HIBP）等数据泄露通知服务也未发现相关账户信息。

Reddit另一则报告进一步证实了事件的广泛性：某MDR（托管检测与响应）服务商表示，一夜之间收到微软发送的超2万条关于不同客户凭证泄露的通知。

MACE功能部署问题

虽然微软尚未公开确认锁定原因，但已向受影响机构透露，问题源于新企业应用"MACE凭证撤销"（MACE Credential Revocation）的部署故障。一位管理员在Reddit上反馈："刚与工程师沟通完毕，确认是MACE功能静默部署导致的租户锁定，无入侵迹象。工程师需要1小时将工单类型从'入侵'转为'锁定'，现在可以松口气了。相关错误代码为53003（条件访问策略）。"

多名用户证实，在开始收到警报前，该应用被突然添加至其租户环境。MACE凭证撤销应用是微软Entra的一项功能，用于检测泄露凭证并锁定可能遭入侵的账户。

建议处理措施

尽管所有关于凭证泄露的警报都应进行调查以确认账户安全性，但若短时间内收到大量警报，很可能是此次功能部署所致。BleepingComputer已就此事联系微软，但截至发稿尚未获得回应。

参考来源：

Widespread Microsoft Entra lockouts tied to new security feature rollout

4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途，否则一切后果请用户自负。

本站信息来自网络，版权争议与本站无关。您必须在下载后的24个小时之内，从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序，请支持正版，购买注册，得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解！

程序来源网络，不确保不包含木马病毒等危险内容，请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱：4ablog168#gmail.com（#换成@）