你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

保护标识基础结构的五个步骤

阅读本文档意味着你认识到了安全的重要性。 你可能已在履行保护组织的责任。 如果需要说服其他人重视安全性,请建议他们阅读最新的 Microsoft 数字防御报告

本文介绍了如何使用五步查检表来提升组织对网络攻击的防御能力,帮助用户更安全地使用 Azure Active Directory 功能。

此查检表有助于快速部署关键的建议措施,立即为组织提供保护。具体措施包括:

  • 增强凭据
  • 缩小受攻击面
  • 自动响应威胁
  • 利用云智能
  • 启用最终用户自助服务

注意

本文档中的许多建议仅适用于配置为使用 Azure Active Directory 作为标识提供者的应用程序。 在应用中配置单一登录可确保将凭据策略、威胁检测、审核和日志记录的优势及其他功能添加到这些应用程序。 Azure AD 应用程序管理是所有这些建议奏效的前提。

本文档中的建议符合标识安全评分(Azure AD 租户的标识安全配置的自动评估)。 组织可以使用 Azure AD 门户中的“标识安全评分”页查找当前安全配置的差距,以确保遵循当前的 Microsoft 安全最佳做法。 在“安全评分”页面实现每条建议将提高分数,你还可以跟踪进度,将实现与其他类似规模的组织进行比较。

Azure 门户窗口,显示标识安全功能分数和一些建议。

注意

此处建议的部分功能对所有客户开放使用,而其他功能则需要订阅 Azure AD Premium。 有关详细信息,请查看 Azure Active Directory 定价Azure AD 部署清单

开始之前:使用 MFA 保护特权帐户

在开始实施此查检表之前,请确保在阅读此查检表时不会受到攻击。 在 Azure Active Directory 中,我们发现每天有 5000 万次密码攻击,但只有 20% 用户和 30% 全局管理员使用强身份验证,例如多重身份验证 (MFA)。 这些统计信息基于截至 2021 年 8 月的数据。 在 Azure AD 中,具有特权角色的用户(例如管理员)是用于构建和管理剩余环境部分的信任的根。 实施以下做法可以最大程度地减轻入侵所造成的影响。

获得特权帐户控制权的攻击者可以引发巨大的破坏,因此在继续操作之前保护这些帐户至关重要。 使用 Azure AD 安全默认值条件访问启用 Azure AD 多重身份验证 (MFA),并要求组织中的所有管理员执行 MFA。 这一点至关重要。

准备好了吗? 让我们开始阅读查检表。

步骤 1 - 增强凭据

尽管其他类型的攻击正在出现,包括同意钓鱼和非人身份攻击,但基于密码的用户标识攻击仍是最普遍的身份泄露途径。 针对那些还没有实施多重身份验证 (MFA) 或其他保护措施的组织,犯罪团伙发起的成熟的鱼叉式网络钓鱼和密码喷洒活动持续取得成功。

对组织而言,你需要确保在任何地方都通过 MFA 验证和保护身份。 2020 年,FBI IC3 报告将网络钓鱼列为受害者投诉的高频犯罪类型。 与去年相比,投诉数量增加了一倍。 网络钓鱼对企业和个人都产生了重大威胁,去年的许多最具破坏性的攻击中都使用过凭据钓鱼。 Azure Active Directory (Azure AD) 多重身份验证 (MFA) 通过使用第二种形式的身份验证提供另一层安全性,可帮助保护对数据和应用程序的访问。 组织可以借助条件访问来启用多重身份验证,使解决方案满足其特定需求。 请参阅此部署指南,了解如何规划、实现和推广 Azure AD MFA

确保组织使用强身份验证

要想轻松启用基本级别的身份安全,可将“一键式启用”与 Azure AD 安全默认值结合使用。 安全默认值会为租户中的所有用户强制实施 Azure AD MFA,并在租户范围内阻止使用旧协议登录。

如果组织具有 Azure AD P1 或 P2 许可证,则还可使用条件访问见解和报表工作簿来帮助发现配置和覆盖范围方面存在的差距。 你可以根据这些建议,按照新的条件访问模板体验创建策略,轻松缩小此差距。 条件访问模板旨在提供一种简单方法来部署符合 Microsoft 建议最佳做法的新策略,从而轻松部署常见策略,保护身份和设备。

开始禁止使用经常受到攻击的密码,摒弃传统的复杂性规则和过期规则。

许多组织使用的是传统的复杂性和密码过期规则。 Microsoft 的研究NIST 指南均指出,这些策略会导致用户选择更容易被猜出的密码。 我们建议使用 Azure AD 密码保护,这是一种考虑了当前攻击者行为的动态禁用密码功能,可以防止用户设置容易被猜出的密码。 在云中创建用户时,始终会启用此功能。混合型组织在部署适用于 Windows Server Active Directory 的 Azure AD 密码保护时,也可以使用此功能。 此外,建议你删除过期策略。 密码更改无法遏制网络犯罪,因为网络罪犯几乎总是在凭据泄露后立即使用凭据。 请参阅为组织设置密码过期策略这篇文章。

防止凭据泄漏,并针对服务中断添加复原功能

在 Azure AD 中为本地 Directory 对象启用云身份验证的最简单和推荐方法是启用密码哈希同步 (PHS)。 如果组织使用实施直通身份验证或联合身份验证的混合标识解决方案,应该启用密码哈希同步,原因包括以下两点:

  • Azure AD 中的凭据泄露用户报告已对已公开的用户名和密码对发出警告。 日后遭到攻击的第三方站点上出现的网络钓鱼、恶意软件和密码重用,导致大量的密码泄漏。 Microsoft 会发现其中许多泄露的凭据,并在此报告中告诉你,这些凭据与你所在组织中的凭据是否匹配 - 但前提是启用了密码哈希同步或仅限云的标识。
  • 如果发生本地服务中断(如勒索软件攻击),可以改用使用密码哈希同步的云身份验证。通过此备用身份验证方法,可以继续访问配置为使用 Azure Active Directory 进行身份验证的应用,包括 Microsoft 365。 在这种情况下,解决本地服务中断之前,IT 人员无需采用影子 IT 或个人电子邮件帐户来共享数据。

请勿以明文形式存储密码,或者使用 Azure AD 不可逆算法加密。 有关密码哈希同步的实际过程的详细信息,请参阅密码哈希同步工作原理的详细说明

实施 AD FS Extranet 智能锁定

智能锁定功能用于锁定那些试图猜测用户密码或使用暴力破解方法进入系统的恶意行动者。 智能锁定功能可识别有效用户的登录,将其与攻击者和其他未知来源的登录区别对待。 攻击者会被锁定,而你的用户可继续访问其帐户,工作效率很高。 将应用程序配置为直接向 Azure AD 进行身份验证的组织可以受益于 Azure AD 智能锁定。 使用 AD FS 2016 和 AD FS 2019 的联合身份验证部署可以使用 AD FS Extranet 锁定和 Extranet 智能锁定来实现类似好处。

步骤 2 - 缩小受攻击面

密码攻击无处不在,尽量缩小组织中的受攻击面至关重要。 禁止使用较陈旧、安全性较低的协议,限制访问入口点,迁移到云身份验证,对资源的管理访问施加更多控制,采用零信任安全原则。

使用云身份验证

凭据是主要的攻击向量。 此博客中的做法可通过采用云身份验证、部署 MFA 和使用无密码身份验证方法来缩小受攻击面。 你还可以部署无密码身份验证方法,例如 Windows Hello 企业版、通过 Microsoft Authenticator 应用实现手机登录或 FIDO。

阻止传统身份验证

使用自身的传统方法在 Azure AD 中进行身份验证和访问公司数据的应用给组织带来了另一种风险。 使用传统身份验证的应用示例包括 POP3、IMAP4 或 SMTP 客户端。 传统身份验证应用会代表用户执行身份验证,并阻止 Azure AD 执行高级安全评估。 替代的新式身份验证可降低安全风险,因为它支持多重身份验证和条件访问。

建议执行以下操作:

  1. 根据 Azure AD Sign-In 日志和 Log Analytic 工作簿找出组织内的旧身份验证。
  2. 将 SharePoint Online 和 Exchange Online 设置为使用新式身份验证。
  3. 如果拥有 Azure AD Premium 许可证,请使用条件访问策略来阻止旧身份验证。 对于 Azure AD Free 层级,请使用 Azure AD 安全默认值。
  4. 如果使用 AD FS,则阻止传统身份验证。
  5. 使用 Exchange Server 2019 阻止旧身份验证。
  6. 在 Exchange Online 中禁用旧身份验证。

有关详细信息,请参阅阻止 Azure AD 中的旧身份验证协议一文。

阻止无效的身份验证入口点

根据显式验证原则,应减少用户凭据泄露时所产生的影响。 对于环境中的每个应用,请考虑有效用例:要为哪些组、哪些网络、哪些设备和其他元素授权,然后阻止余下的部分。 使用 Azure AD 条件访问,可以控制已获授权的用户根据定义的特定条件访问其应用和资源的方式。

有关如何对云应用和用户操作使用条件访问的详细信息,请参阅条件访问云应用、操作和身份验证上下文

评审和管理管理员角色

零信任的另一大支柱是,需要最大程度地降低遭到入侵的帐户可以使用特权角色进行操作的可能性。 可以通过向角色身份分配最小数量的特权来实现此控制。 如果你还不太熟悉 Azure AD 角色,本文可助你快速熟悉。

Azure AD 中的特权角色应该是云帐户,以便将其与任何本地环境隔开,而且不得使用本地密码保管库来存储凭据。

实现特权访问管理

Privileged Identity Management (PIM) 提供基于时间且基于审批的角色激活,用于缓解重要资源上出现的访问权限过度、不必要或滥用的风险。 这些资源包括 Azure Active Directory (Azure AD)、Azure 和其他 Microsoft Online Services(例如 Microsoft 365 或 Microsoft Intune)中的资源。

Azure AD Privileged Identity Management (PIM) 有助于尽量减少帐户特权,因为它可以帮助:

  • 识别和管理已分配到管理角色的用户。
  • 了解应删除的未使用或过多的特权角色。
  • 建立规则来确保特权角色受到多重身份验证的保护。
  • 建立规则来确保授予特权角色的时间长短刚好足够用于完成特权任务。

启用 Azure AD PIM,然后查看分配有管理角色的用户,并删除这些角色中不必要的帐户。 对于剩余的特权用户,请将其角色分配从“永久”更改为“符合条件”。 最后,建立适当的策略,确保当这些用户需要访问这些特权角色时,能够使用所需的变更控制安全地进行访问。

Azure AD 内置和自定义角色的运作原理与针对 Azure 资源(Azure 角色)的基于角色的访问控制系统中发现的角色类似。 这两个基于角色的访问控制系统的区别在于:

  • Azure AD 角色使用 Microsoft Graph API 控制对 Azure AD 资源(例如用户、组和应用程序)的访问
  • Azure 角色使用 Azure 资源管理控制对 Azure 资源(例如虚拟机或存储)的访问

这两个系统都包含角色定义和角色分配,且其用途相似。 但是,Azure AD 角色权限不能用于 Azure 自定义角色,反之亦然。 在部署特权帐户的过程中,请遵循至少创建两个紧急帐户的最佳做法,确保自己被锁定时仍能访问 Azure AD。

有关详细信息,请参阅规划 Privileged Identity Management 部署保护特权访问

请务必了解各种 Azure AD 应用程序许可体验、权限和许可的类型以及它们对组织安全状况的影响。 尽管允许用户自行许可确实可让用户轻松获取与 Microsoft 365、Azure 和其他服务集成的有用应用程序,但如果未小心使用或未受监视,这可能会带来风险。

Microsoft 建议限制用户同意,以允许最终用户仅同意来自经验证的出版商的应用,并且只同意所选择的权限。 如果最终用户同意受到限制,则以前的同意授予仍然有效,但所有将来的同意操作必须由管理员执行。 对于受限情况,用户可以通过集成的管理员同意请求工作流或通过你自己的支持流程来请求管理员同意。 在限制最终用户同意之前,请根据我们的建议在你的组织中计划此更改。 对于希望允许所有用户访问的应用程序,请考虑代表所有用户授予许可,确保尚未单独许可的用户也能够访问该应用。 如果不希望这些应用程序对所有场景中的所有用户都可用,请使用应用程序分配和条件访问来限制用户对特定应用的访问。

确保用户可以请求管理员批准新应用程序,以减少用户摩擦、最大程度降低支持量并防止用户使用非 Azure AD 凭据注册应用程序。 管控同意操作后,管理员应定期审核应用和许可权限。

有关详细信息,请参阅 Azure Active Directory 同意框架一文。

步骤 3 - 自动化威胁响应

Azure Active Directory 中的许多功能可以自动截获攻击,以消除检测与响应之间的延迟。 如果能够减少罪犯渗入你的环境所能利用的时间,则就可以降低成本和风险。 下面是可以采取的具体措施。

有关详细信息,请参阅如何配置和启用风险策略一文。

实施登录风险策略

登录风险表示给定身份验证请求未经标识所有者授权的概率。 可以通过将登录风险条件添加到条件访问策略(评估特定用户或组的风险级别)实现基于登录风险的策略。 根据风险级别(高/中/低),可以配置一个策略来阻止访问,或强制实施多重身份验证。 建议对中等或以上风险登录强制进行多重身份验证。

针对中风险和高风险登录要求使用 MFA 的条件访问策略。

实现用户风险安全策略

用户风险指示用户身份泄露的可能性,它是根据与用户身份关联的用户风险检测计算的。 可以通过将用户风险条件添加到条件访问策略(评估特定用户的风险级别)实现基于用户风险的策略。 根据“低”、“中”、“高”风险级别,可以配置一个策略来阻止访问,或者要求使用多重身份验证进行安全密码更改。 Microsoft 建议要求高风险用户进行安全密码更改。

针对高风险用户要求密码更改的条件访问策略。

用户风险检测中包括一项检查,可检测用户凭据是否与网络罪犯泄露的凭据匹配。 为了优化功能,使用 Azure AD Connect 同步实现密码哈希同步至关重要。

集成 Microsoft 365 Defender 和 Azure AD 标识保护

要想标识保护尽可能执行最佳风险检测,需要获取尽可能多的信号。 因此,整合整套 Microsoft 365 Defender 服务至关重要:

  • 用于终结点的 Microsoft Defender
  • Microsoft Defender for Office 365
  • Microsoft Defender for Identity
  • Microsoft Defender for Cloud Apps

请观看下方短视频,了解 Microsoft 威胁防护和集成不同域的重要性的更多信息。

设置监视和警报

监视和审核日志对检测可疑行为非常重要。 Azure 门户有多种方法集成 Azure AD 日志和其他工具(如 Microsoft Sentinel、Azure Monitor 和其他 SIEM 工具)。 有关详细信息,请参阅 Azure Active Directory 安全操作指南

步骤 4 - 利用云智能

审核和记录与安全相关的事件以及相关警报是有效保护策略的至关重要组成部分。 安全日志和报告提供可疑活动的电子记录,并帮助检测可能指示试图或已成功的外部网络渗透以及内部攻击的模式。 可以使用审核来监控用户活动、记录法规遵从性以及进行取证分析等。 警报提供安全事件的通知。 确保已通过导出到 Azure Monitor 或 SIEM 工具,针对 Azure AD 的登录日志和审核日志实施日志保留策略。

监视 Azure AD

Microsoft Azure 服务和功能提供可配置的安全审核和日志记录选项,帮助识别安全策略和机制的缺口,并解决这些缺口,以防违规。 可以使用 Azure 日志记录和审核,以及 Azure Active Directory 门户中的审核活动报告。 有关监视用户帐户、特权帐户、应用和设备的详细信息,请参阅 Azure AD 安全操作指南

监视混合环境中的 Azure AD Connect Health

使用 Azure AD Connect Health 监视 AD FS 能够更好地洞察潜在问题以及 AD FS 基础结构受到的攻击。 现在你可以查看 ADFS 登录,进行更深入的监视。 Azure AD Connect Health 提供附带详细信息的警报、解决方法步骤、相关文档的链接、与身份验证流量相关的多个指标的使用情况分析、性能监视和报告。 请利用好 ADFS 有风险的 IP 工作簿,它有助于识别环境规范,在发生变化时发出警报。 混合基础结构都应视作第 0 层资产进行监视。 有关这些资产的详细监视指南,请参阅基础结构安全操作指南

监视“Azure AD 标识保护”事件

Azure AD 标识保护提供两份应该每日监视的重要报告:

  1. 风险登录报告显示应该调查的用户登录活动,合法所有者不可以执行这种登录。
  2. 风险用户报告显示可能已泄密的用户帐户,例如,检测到已泄漏的凭据,或者用户从不同的位置登录,导致不可能的行程事件。

Azure 门户中标识保护中的活动的概述图表。

审核应用和许可的权限

用户可能在诱骗之下导航到已被入侵的网站或应用,使攻击者获取用户个人资料信息和数据(例如电子邮件)的访问权限。 恶意行动者可以使用获得的许可权限来加密用户的邮箱内容,并勒索邮箱数据的赎金。 管理员应该审查并审核用户授予的权限。 除了审核用户授予的权限之外,还可以在高级环境中查找有风险或不需要的 OAuth 应用程序

步骤 5 - 启用最终用户自助服务

我们希望在安全性与工作效率之间尽量实现平衡。 为便于制定长远安全基准,你可以赋能用户,消除组织中存在的冲突,并保持警惕,减少运营开销。

实施自助密码重置

IT 管理员可以通过 Azure AD 的自助密码重置 (SSPR),让用户方便地重置或解锁其密码或帐户,而无需支持人员或管理员的干预。 系统提供详细的报告,用于跟踪用户何时重置密码,同时还提供通知,提醒用户存在误用或滥用情况。

实现自助服务组和应用程序访问

Azure AD 允许非管理员使用安全组、Microsoft 365 组、应用程序角色和访问包目录管理对资源的访问。 自助服务组管理使组所有者能够管理自己的组,而无需分配管理角色。 用户还可以创建和管理 Microsoft 365 组,而无需依赖管理员来处理其请求,未使用的组会自动过期。 Azure AD 权利管理进一步启用委派和可见性,具有全面的访问请求工作流和自动过期。 可以委托非管理员为其拥有的组、Teams、应用程序和 SharePoint Online 网站配置自己的访问包,并为需要批准访问权限的人员配置自定义策略,包括将员工的经理和业务合作伙伴发起人配置为审批者。

实施 Azure AD 访问评审

使用 Azure AD 访问评审可以管理访问包和组成员身份、企业应用程序的访问权限和特权角色分配,以确保维持以下安全标准。 用户本身、资源所有者和其他审阅者的定期监督确保了用户在不再需要访问权限的情况下不会长时间保留访问权限。

实现自动用户预配

预配和取消预配是确保多个系统之间数字标识一致性的过程。 这些过程通常作为标识生命周期管理的一部分加以应用。

预配是在目标系统中基于特定条件创建标识的过程。 取消预配是在不再满足条件时从目标系统中删除标识的过程。 同步是使预配的对象保持最新状态的过程,目的是使源对象和目标对象相似。

Azure AD 目前提供三个自动预配领域。 它们具有以下特点:

查看此处了解更多信息:Azure Active Directory 可以实现哪些预配?

总结

保护安全标识基础结构涉及到很多方面,但此五步骤查检表可帮助你快速实现一个更可靠的安全标识基础结构:

  • 增强凭据
  • 缩小受攻击面
  • 自动响应威胁
  • 利用云智能
  • 启用最终用户自助服务

非常感谢你对安全性的高度重视,希望本文档在帮助提高组织安全性上能为你提供有用思路。

后续步骤

如果在规划和部署这些建议方面需要帮助,请参阅 Azure AD 项目部署计划

如果你确信所有这些步骤都已完成,请使用 Microsoft 的标识安全分数,它可让你随时了解最新的最佳做法和安全威胁。