避免使用允許未加密認證

嚴重性層級:警告

Description

此規則偵測與 Invoke-WebRequestInvoke-RestMethod cmdlet 一起使用的 AllowUnencryptedAuthentication 參數。 當使用 AllowUnencryptedAuthentication 時,它允許憑證和秘密透過未加密的連線傳輸,造成安全風險。

除非你必須維持與需要未加密驗證的舊系統相容性,否則避免使用此參數。

欲了解更多,請參閱 Invoke-WebRequestInvoke-RestMethod

Example

不合規

Invoke-WebRequest foo -AllowUnencryptedAuthentication

Compliant

Invoke-WebRequest foo