通过

Microsoft 365 中优先帐户安全建议

提示

你知道可以免费试用 Microsoft Defender XDR for Office 365 计划 2 中的功能吗? 在 Microsoft Defender 门户试用中心使用为期 90 天的 Defender for Office 365 试用版。 了解谁可以在 试用 Microsoft Defender for Office 365 上注册和试用条款。

并非所有用户帐户都有权访问相同的公司信息。 某些帐户有权访问敏感信息,例如财务数据、产品开发信息、合作伙伴对关键生成系统的访问等。 如果遭到入侵,有权访问高度机密信息的帐户将构成严重威胁。 我们将这些类型的帐户称为 优先级帐户。 优先帐户包括 (但不限于) 首席执行官、CCO、CFO、基础结构管理员帐户、生成系统帐户等。

Microsoft Defender for Office 365 支持优先帐户作为标记,可在警报、报告和调查中的筛选器中使用。 有关详细信息,请参阅 Microsoft Defender for Office 365 中的用户标记

对于攻击者来说,为普通用户或未知用户投下随机网络的普通网络钓鱼攻击效率低下。 另一方面,针对优先帐户 的鱼叉式网络钓鱼捕鲸 攻击对攻击者来说是非常有益的。 因此,优先级帐户需要比普通帐户更强大的保护,以帮助防止帐户泄露。

Microsoft 365 和 Microsoft Defender for Office 365 包含多个关键功能,可为优先级帐户提供额外的安全层。 本文介绍这些功能及其使用方法。

图标形式的安全建议摘要

任务 所有 Office 365 企业版计划 Microsoft 365 E3 Microsoft 365 E5
提高优先级帐户的登录安全性
对优先级帐户使用严格预设安全策略
将用户标记应用于优先级帐户
监视警报、报告和检测中的优先级帐户
培训用户

注意

有关保护 特权帐户 (管理员帐户) 的信息,请参阅 本主题

提高优先级帐户的登录安全性

优先级帐户需要提高登录安全性。 可以通过要求多重身份验证 (MFA) 并禁用旧身份验证协议来提高其登录安全性。

有关说明,请参阅 步骤 1。使用 MFA 提高远程工作者的登录安全性。 尽管本文是关于远程工作者的,但相同的概念也适用于优先级用户。

注意:强烈建议为所有优先用户全局禁用旧式身份验证协议,如上一篇文章中所述。 如果你的业务需求阻止你这样做,Exchange Online 将提供以下控件来帮助限制旧式身份验证协议的范围:

还值得注意的是,在 Exchange Online for Exchange Web Services (EWS) 、Exchange ActiveSync、POP3、IMAP4 和远程 PowerShell 中,基本身份验证正在弃用。 有关详细信息,请参阅此 博客文章

对优先级帐户使用严格预设安全策略

优先用户需要对 Exchange Online Protection (EOP) 和 Defender for Office 365 中提供的各种保护采取更严格的操作。

例如,如果这些邮件用于优先级帐户,则应隔离这些邮件,而不是将分类为垃圾邮件的邮件传递到垃圾邮件文件夹。

可以通过在预设的安全策略中使用严格配置文件,为优先级帐户实施这种严格的方法。

预设的安全策略是一个方便的中心位置,用于为 EOP 和 Defender for Office 365 中的所有保护应用建议的严格策略设置。 有关详细信息,请参阅 EOP 中的预设安全策略和 Microsoft Defender for Office 365

有关严格策略设置与默认和标准策略设置有何不同的详细信息,请参阅 EOP 和 Microsoft Defender for Office 365 安全性的建议设置

将用户标记应用于优先级帐户

Microsoft Defender for Office 365 计划 2 (中的用户标记作为 Microsoft 365 E5 或加载项订阅) 的一部分,可用于在报告和事件调查中快速识别和分类特定用户或用户组。

优先级帐户 是一种内置用户标记 (称为 系统标记) ,可用于识别涉及优先级帐户的事件和警报。 有关 优先级帐户的详细信息,请参阅 管理和监视优先级帐户

还可以创建自定义标记,以进一步标识和分类优先级帐户。 有关详细信息,请参阅 用户标记。 可以在与自定义用户标记) 相同的界面中管理 优先级帐户 (系统标记。

监视警报、报告和检测中的优先级帐户

保护和标记优先级用户后,可以使用 EOP 和 Defender for Office 365 中的可用报告、警报和调查快速识别涉及优先级帐户的事件或检测。 下表介绍了支持用户标记的功能。

功能 说明
警报 受影响用户的用户标记在 Microsoft Defender 门户的 “警报 ”页上可见并作为筛选器提供。 有关详细信息,请参阅 Microsoft Defender 门户中的警报策略
事件 所有相关警报的用户标记显示在 Microsoft Defender 门户的“ 事件 ”页上。 有关详细信息,请参阅 管理事件和警报
自定义警报策略 可以在 Microsoft Defender 门户中基于用户标记创建警报策略。 有关详细信息,请参阅 Microsoft Defender 门户中的警报策略
资源管理器

实时检测

 Explorer (Defender for Office 365 计划 2) 或 实时检测 (Defender for Office 365 计划 1) ,用户标记显示在电子邮件网格视图和电子邮件详细信息浮出控件中。 用户标记也可用作可筛选属性。 有关详细信息,请参阅 威胁资源管理器中的标记
电子邮件实体页面 可以根据 Microsoft 365 E5 以及 Defender for Office 365 计划 1 和计划 2 中应用的用户标记筛选电子邮件。 有关详细信息,请参阅 电子邮件实体页
市场活动视图 用户标记是 Microsoft Defender for Office 365 计划 2 的“市场活动视图”中的许多可筛选属性之一。 有关详细信息,请参阅 市场活动视图
威胁防护状态报告 威胁防护状态报告中几乎所有视图和详细信息表中,可以按 优先级帐户筛选结果。 有关详细信息,请参阅 威胁防护状态报告
排名靠前的发件人和收件人报告 可以将此用户标记添加到组织中前 20 个邮件发件人。 有关详细信息,请参阅 排名靠前的发件人和收件人报告
泄露的用户报告 此报告中显示了在具有 Exchange Online 邮箱的 Microsoft 365 组织中标记为 可疑受限 的用户帐户。 有关详细信息,请参阅 泄露的用户报告
管理员提交和用户报告的消息 使用 Microsoft Defender 门户中的“提交”页,将电子邮件、URL 和附件提交到Microsoft进行分析。 有关详细信息,请参阅 管理员提交和用户报告的消息
Quarantine 隔离区可用于在 Microsoft 365 个组织中保存潜在危险或不需要的邮件,这些组织中邮箱位于 Exchange Online 或独立 Exchange Online Protection (EOP) 组织优先帐户。 有关详细信息,请参阅 隔离电子邮件
攻击模拟 若要测试安全策略和做法,请为目标用户运行良性网络攻击模拟。 有关详细信息,请参阅 攻击模拟
优先级帐户报告的Email问题 Exchange 管理中心 (EAC ) 中优先级帐户Email问题报告包含有关优先级帐户未传递和延迟消息的信息。 有关详细信息,请参阅优先级帐户报表Email问题

培训用户

使用优先帐户培训用户有助于为这些用户和安全运营团队节省大量时间和挫折感。 精明的用户不太可能打开可疑电子邮件中的附件或单击链接,并且他们更有可能避免可疑网站。

哈佛肯尼迪学院 网络安全活动手册 为在组织内建立强大的安全意识文化提供了很好的指导,包括培训用户识别网络钓鱼攻击。

Microsoft 365 提供以下资源来帮助通知组织中的用户:

概念 资源 说明
Microsoft 365 可自定义的学习路径 这些资源可帮助你为组织中的用户提供培训。
Microsoft 365 安全中心 学习模块:使用 Microsoft 365 提供的内置智能安全性保护组织 本模块使你能够描述 Microsoft 365 安全功能如何协同工作,并阐明这些安全功能的优点。
多重身份验证 下载并安装 Microsoft Authenticator 应用 本文可帮助最终用户了解什么是多重身份验证,以及为什么在你的组织中使用它。
攻击模拟培训 开始使用攻击模拟培训 Microsoft Defender for Office 365计划 2 中的攻击模拟训练允许管理员配置、启动和跟踪针对特定用户组的模拟钓鱼攻击。

此外,Microsoft建议用户采取本文中所述的操作: 保护帐户和设备免受黑客和恶意软件的侵害。 这些操作包括:

  • 使用强密码
  • 保护设备
  • 在 Windows 和 Mac 电脑上为非托管设备启用安全功能 ()

另请参阅