本文为澳大利亚政府组织提供配置指南,以降低通过 Microsoft 365 服务不当披露安全机密信息的风险。 其目的是帮助组织改善其信息安全状况。 本文中的指南符合 保护性安全策略框架 (PSPF) 和 信息安全手册 (ISM) 中所述的要求。
本文中讨论的策略配置需要了解Microsoft Purview 数据丢失防护 (DLP) 。 有关 Microsoft Purview DLP 的介绍性指南,请参阅 了解数据丢失防护。
限制机密信息的电子邮件分发
保护已分类项的 DLP 策略将主要利用 项包含敏感度标签的 DLP 策略条件。 配置 标签继承 和 基于客户端的自动标记 将有助于确保标签准确性,提高数据安全性。
为了在 DLP 条件和作方面实现最高灵活性,应用于电子邮件的策略应 仅针对 Exchange 服务。 这可确保策略条件(如 收件人域)可供选择。
应用于敏感度标签的 DLP 策略需要使用 自定义策略模板。
限制将机密信息的电子邮件分发给未经授权的组织
PSPF 2024 要求 77 规定,在与外部用户或组织共享机密信息之前,应签订协议:
| 要求 | 详情 |
|---|---|
| PSPF 版本 2024 - 12。 信息共享 - 要求 77 | 在向政府外部的个人或组织披露或共享安全机密信息或资源之前,已制定协议或安排(如合同或契约),规定处理要求和保护。 |
为了满足此 PSPF 要求,政府组织应考虑:
- 用于识别、建立和审查与其共享安全机密信息的实体的协议的业务流程。
- 配置修改的技术更改过程,以允许或阻止用户向外部组织发送安全机密信息。
组织可能期望对每个安全分类或子集具有不同的信息安全要求, (例如,信息管理标记 (IMM) 或注意事项) 。 应创建单独的策略或规则,以满足每个分类或子集的要求。
若要创建 DLP 规则,以防止将安全机密信息基于电子邮件分发给未批准的组织,请执行以下作:
- 选择 从 Microsoft 365与组织外部人员共享的内容的条件。
- 选择 内容包含的第二个条件、 敏感度标签 和选择的相应标签 (例如 PROTECTED 标签和关联的子标签) 。
- 选择通过 AND 作数链接的第二个条件组。
- 第二个组设置为 NOT。
- 第二个组包含 收件人域的条件是 已 批准 接收所选安全分类的域列表。
- 选择一个作,该作会阻止电子邮件或将电子邮件重定向到不是来自其中一个配置的收件人域的收件人。
示例 DLP 规则:阻止向未批准的组织发送受保护的电子邮件
以下规则限制向未列为已批准接收信息的组织发送 PROTECTED 电子邮件。 当用户在撰写应用了 PROTECTED 标签的电子邮件时,如果用户添加了来自未批准的组织的收件人,则 DLP 策略提示会显示警告用户。 如果用户忽略策略提示并尝试发送,则会阻止电子邮件。
| 条件 | 操作 |
|---|---|
| 内容从 Microsoft 365 共享, 与组织外部的人员 AND 内容包含敏感度标签: - 所有受保护的标签 AND Group NOT 收件人域为: - 已批准接收 PROTECTED 电子邮件的域列表 |
限制访问或加密Microsoft 365 个位置的内容: - 阻止用户接收电子邮件或访问 - 阻止所有人 配置策略提示: “此电子邮件的收件人来自无权接收受保护信息的组织。 除非从 到 字段中删除未经授权的收件人,否则将阻止此电子邮件。 如果不正确,请联系支持人员讨论你的要求。” 配置相应的事件严重性和通知选项。 |
提示
澳大利亚政府组织应考虑配置 DLP 规则,将电子邮件限制为 PROTECTED 和 OFFICIAL:敏感安全分类的非批准组织。
有关阻止向未经批准的组织发送电子邮件的 DLP 策略的更多示例,请参阅 ASD 的安全云蓝图 中的 数据丢失防护策略。
前面的 DLP 策略示例仅适用于 已标记 的电子邮件。 如果用户从收件箱回复旧项目,系统会要求他们选择一个标签来应用该旧项目。 基于客户端的自动标记 将通过检查电子邮件上的现有标记来确保标签准确无误。 基于服务的自动标记 将确保应用的标签与任何现有主题标记保持一致。 这两种功能协同工作,可确保标签准确性,并且相关 DLP 适用于项。
允许向授权来宾发送机密信息的电子邮件
根据需要了解的要求,政府组织应将基于域的方法与来宾访问集成,以及多个级别的来宾访问,具体取决于应用的标签和来宾组或域。
授权的来宾权限是通过以下任一方式实现的:
创建手动维护的组 (例如 ,受保护的来宾) ,其中包含已检查其许可状态的已批准外部组织的来宾;或
创建配置为包含来自指定域的来宾帐户的动态组。 这可以通过使用动态查询来评估用户的用户主体名称 (UPN) 来实现。 例如:
(user.userPrincipalName -match "#EXT#") and (user.userPrincipalName -match "microsoft.com")
有关动态组成员身份的详细信息,请参阅 Microsoft Entra ID 中组的动态成员身份规则。
以下基于电子邮件的方案中演示了将接收 PROTECTED 信息的功能限制为域和来宾帐户的子集。
| 来宾方案 | 仅限基于域的控制 | 基于域和来宾的控制 |
|---|---|---|
| 来自未批准的域的来宾 |
风险已缓解 无法接收安全机密信息1 |
风险已缓解 无法接收安全机密信息1 |
| 来自已批准用于安全机密信息的域的来宾 |
存在风险 所有域用户都可以接收安全机密信息,而不考虑需要知道 |
风险已缓解 无法接收安全机密信息2 |
| 来自未批准的域的来宾 |
风险已缓解 无法接收安全机密信息1 |
风险已缓解 无法接收安全机密信息2 |
| 来自已批准域的来宾 |
存在风险 所有域用户都可以接收安全机密信息,而不考虑需要知道 |
风险已缓解 无法接收安全机密信息2 |
| 来自已批准域和受保护来宾组的一部分的来宾 |
存在风险 所有域用户都可以接收安全机密信息,而不考虑需要知道 |
风险已缓解 只有添加为 受保护来宾 的域用户才能接收安全机密信息 |
使用此类配置的组织需要业务流程来支持来宾组成员身份的维护。 任何 受保护的来宾 或等效组也需要作为 DLP 规则的例外,限制分类电子邮件的分发。
若要创建 DLP 规则,以防止将安全机密信息基于电子邮件分发给授权来宾,请执行以下作:
- 选择 从 Microsoft 365与组织外部人员共享的内容的条件。
- 选择 内容包含的第二个条件、 敏感度标签 和选择的相应标签 (例如 PROTECTED 标签和关联的子标签) 。
- 选择第二个条件组,该条件组通过 AND 作数进行链接。
- 第二个组设置为 NOT。
- 它包含收件人是受保护来宾的成员的条件。
- 选择一个作,该作会阻止电子邮件或将电子邮件重定向到不属于所选组的收件人。
DLP 规则示例:阻止向未批准的来宾发送受保护的电子邮件
以下规则基于之前提供的示例,允许向既来自已批准的域又包含在受保护来宾组中的用户发送 PROTECTED 电子邮件。
| 条件 | 操作 |
|---|---|
| 内容从 Microsoft 365 共享: 与组织外部的人员 AND 内容包含敏感度标签: - 所有受保护的标签 AND Group NOT 收件人域为: - 已批准接收 PROTECTED 电子邮件的域列表 AND Group NOT 收件人是: - 受保护的来宾 |
限制访问或加密Microsoft 365 个位置的内容: - 阻止用户接收电子邮件或访问 - 阻止所有人 配置相应的策略提示: “此电子邮件的收件人无权接收 PROTECTED 信息。 除非从 到 字段中删除未经授权的收件人,否则将阻止此电子邮件。 如果不正确,请联系支持人员讨论你的要求。” 配置相应的事件严重性和通知选项。 |
防止将机密信息通过电子邮件分发给未经授权的用户
PSPF 2024 要求 75 涉及访问安全机密信息所需的许可级别:
| 要求 | 详情 |
|---|---|
| PSPF 版本 2024 - 12。 信息共享 - 要求 75 | 仅向具有适当安全许可 (实体外部的人员提供对安全机密信息或资源的访问权限(如果需要) 和需要知道),并根据最低保护和处理要求进行转移。 |
在具有混合安全许可用户类型的政府组织中,某些用户将没有访问组织保留的信息类型所需的许可。 此类组织需要控制,以防止不应有权访问安全机密信息的用户通过电子邮件接收这些信息。
将电子邮件限制为未明确用户的 DLP 规则需要一种方法来确定允许哪些内部用户接收机密信息。 与前面的示例一样,组可用于此 (例如 受保护的用户组) 。 此类组可以是动态的,其成员身份维护基于与每个人安全许可保持一致的属性。 这可以来自 HR 或标识系统。 或者,可以在 DLP 策略中配置 收件人 AD 属性匹配模式 的条件。
满足以下要求的 DLP 策略配置需要:
- 内容的条件从 Microsoft 365与我的组织内部的人员共享。
- Content 的条件包含这些敏感度标签中的任何一个, (相关标签 (例如,所有 PROTECTED 标签) 选中。
- 通过 AND 作数链接的条件组。 设置为 NOT 的第二个组包含收件人的条件是受保护用户的成员。
- 规则需要一个作来阻止电子邮件或将电子邮件重定向到不属于配置的组的收件人。
DLP 规则示例:阻止发送给未清理的内部用户受保护的电子邮件
此规则阻止不属于 受保护用户组 的用户接收应用了 PROTECTED 标签的电子邮件。
| 条件 | 操作 |
|---|---|
| 内容从 Microsoft 365 共享 仅与组织内部人员合作 AND 内容包含敏感度标签: - 所有受保护的标签 AND Group NOT 收件人是: - 受保护的用户 |
限制访问或加密Microsoft 365 个位置的内容: - 阻止用户接收电子邮件或访问 - 阻止所有人 配置相应的策略提示,例如: “你指定的用户未获批准访问受保护的项。” 配置相应的事件严重性和通知选项。 |
上述规则的效果是,如果自动标记已按照 基于电子邮件的自动标记配置示例进行配置,则从外部组织收到的标记电子邮件将在收到时标记。 标记后,如果收件人不是 受保护的用户组 的一部分,将阻止接收受保护的电子邮件。
添加保护标记的注意事项
以下规则通过检查通过 x-protected-标记 x 标头或主题标记应用的 PROTECTED 标记来扩展上述示例。 然后,如果收件人不是 受保护用户组 的一部分,则规则会阻止电子邮件。
| 条件 | 操作 |
|---|---|
| 内容从 Microsoft 365 共享: 仅与组织内部人员合作 AND Group NOT 收件人是: - 受保护的用户 AND GROUP 标头匹配模式: X-Protective-Marking : SEC=PROTECTED 或 主题匹配模式: \[SEC=PROTECTED |
限制访问或加密Microsoft 365 个位置的内容: - 阻止用户接收电子邮件或访问 - 阻止所有人 配置相应的策略提示,例如: “你指定的用户未获批准访问受保护的项。” 配置相应的事件严重性和通知选项。 |
防止未经授权的用户发送机密信息的电子邮件
防止未经授权的用户接收租户中已有的机密信息非常重要。 但是,请考虑这样一种情况:用户通过本地存储、USB 或其他一些基于 nonemail 的方法获得对 PROTECTED 项目的访问权限。 然后,用户将项目附加到电子邮件,并将其发送到其他非清理用户。 检查用户是否有权 发送 安全机密信息,有助于降低数据泄露的风险。
如果用户有权访问机密信息,则 DLP 规则检查,然后才能发送机密信息:
- Content 的条件包含这些敏感度标签中的任何一个, (相关标签 (例如,所有 PROTECTED 标签) 选中。
- 通过 AND 作数链接的条件组。 设置为 NOT 的第二个组包含收件人的条件是受保护用户的成员。
- 包含发件人是受保护用户的成员的条件。
- 规则需要一个作来阻止电子邮件或将电子邮件重定向到不属于配置的组的收件人。
为确保内部和外部发送都受到保护,应复制规则,内容共享的条件 从 Microsoft 365 设置为 “仅与我组织内部的人员 共享”和“ 仅与组织外部人员 回顾”。
限制未经授权的用户分发安全分类电子邮件的 DLP 规则示例
以下 DLP 规则确保只有有权访问 PROTECTED 信息的用户才能发送它。 这些规则可确保在安全事件 ((例如,意外或恶意过度共享、不当权限或安全配置) )中,获得机密项目访问权限的未明确用户无法通过进一步分发安全机密信息来加剧数据泄露。
| Rule | 条件 | 操作 |
|---|---|---|
| 限制受保护电子邮件的内部发送 | 内容从 Microsoft 365 共享: 仅与组织内部人员合作 AND 内容包含敏感度标签: - 所有受保护的标签 AND Group NOT 发件人是: - 受保护的用户 |
限制访问或加密Microsoft 365 个位置的内容: - 阻止用户接收电子邮件或访问 - 阻止所有人 根据需要配置策略提示。 配置适当的事件严重性和警报 |
| 限制外部发送受保护的电子邮件 | 内容从 Microsoft 365 共享: 仅与组织外部的人员合作 AND 内容包含敏感度标签: - 所有受保护的标签 AND Group NOT 发件人是: 受保护的用户 |
限制访问或加密Microsoft 365 个位置的内容: - 阻止用户接收电子邮件或访问 - 阻止所有人 根据需要配置策略提示。 配置适当的事件严重性和警报 |
阻止共享安全机密信息
注意
ASD 的安全云蓝图 包含 SharePoint 共享配置指南。 ASD 建议将所有共享链接限制为组织中的人员。 对于在 PROTECTED 级别运营的组织,将所有共享设置为“仅内部”是一种良好的 默认 状态。
某些组织需要调整其共享配置,以适应高级用例,例如与其他组织进行安全协作。 遵循了 ASD 安全云蓝图的其他相关部分提供的指南(如高外部协作控制和其他相关部分),这样就可以以较低的风险级别完成此作,并且可以轻松地生成比传统的通过电子邮件发送文件附件的方法更符合信息安全的配置。
每个组织都有一个默认共享配置,该配置通过 SharePoint 共享配置进行配置。 这允许配置已批准接收共享链接的域列表。 此类配置符合 PSPF 2024 要求 77。
| 要求 | 详情 |
|---|---|
| PSPF 版本 2024 - 12。 信息共享 - 要求 77 | 在向政府外部的个人或组织披露或共享安全机密信息或资源之前,已制定协议或安排(如合同或契约),规定处理要求和保护。 |
标签组和网站设置可以进一步限制从标记位置共享项目,如 标签共享配置中所述。 配置设置后,安全分类项(如 PROTECTED 文档)在受保护位置时共享选项有限。 示例组和站点配置中的配置,将此类位置的共享限制为仅内部收件人。 如果将 PROTECTED 项移到 PROTECTED 位置之外,则会应用 数据不就位警报 。
除了基于位置的共享限制外,组织还应实施 DLP 策略来阻止、警告和劝阻用户对不适合外部分发的项目进行外部共享。 以下示例策略适用于 PROTECTED 文档,防止它们与外部用户共享:
| 条件 | 操作 |
|---|---|
| 内容从 Microsoft 365 共享: 仅与组织外部的人员合作 AND 内容包含敏感度标签: - 所有受保护的标签 |
限制访问或加密Microsoft 365 个位置的内容: - 阻止用户接收电子邮件或访问 - 仅阻止组织外部的人员 配置相应的策略提示,例如: “受保护的项目不适合与外部收件人共享。” 配置适当的事件严重性和警报 |
提示
由于基于 SharePoint 的 DLP 策略是位置策略而不是基于用户的,因此不会按用户或按组应用例外。 但是,应用于 OneDrive 的策略可以限定为特定用户。
DLP 策略提示可以配置为为用户提供有用的反馈。 与存储在 SharePoint 位置中的策略提示匹配的文件受益于文档库中的图标标记。 由于前面的示例 DLP 策略包含策略提示,并且该策略施加访问限制,文档库中会显示一个带有连字符的圆圈的图标,以提醒用户该项目受到限制:
当用户忽略策略提示并尝试在外部共享受保护的项时,策略提示将显示在共享对话框中:
如果用户尝试绕过 DLP 策略,例如,通过电子邮件向外部用户(如 任何人链接)发送更宽松的链接类型,DLP 策略仍将触发、生成报告,并且(如果已配置)向用户发送 DLP 通知。
阻止通过 Teams 聊天分发安全分类项目
有关使用 Microsoft Purview DLP 来保护Microsoft Teams 的信息,请参阅 丢失防护和Microsoft Teams。
Teams 中的文件共享活动通过共享链接工作,并且可以通过 阻止共享安全机密信息中所述的 DLP 策略设置进行保护。
Teams 聊天无法应用敏感度标签。 因此,基于分类的 DLP 策略不适用。 但是, 在通过 DLP 限制外部聊天时,会讨论检测敏感信息和安全标记的策略。
其他共享方案
本节将讨论政府组织认为适用的其他共享方案。
如果安全位置的成员(如 PROTECTED 团队)不当共享项目,该怎么办?
Microsoft 的信任但验证 方法是否允许团队中的所有用户根据位置的共享策略共享内容。 如果需要进一步的限制,选项包括:
敏感度标签组和站点配置 用于对标记的位置强制实施 条件访问 策略。 身份验证上下文 还会在允许访问标记位置中的内容之前检查用户是否是一组授权用户的一部分。
标记的位置可以进一步限制。 使用 PowerShell 设置标签的配置,使
MemberShareNone网站或团队所有者能够控制应用标签的位置的信息分发。 有关成员共享限制的详细信息,请参阅 成员共享。信息屏障隐式 Microsoft 365 组控件可用于阻止与非团队成员共享项目。 此功能适用于需要阻止用户组之间的通信和协作的情况。
如果用户将受保护的项移动到共享更宽松的另一个位置,该怎么办?
如果用户尝试通过将 PROTECTED 项移动到敏感度较低的位置(例如共享更宽松的另一个团队)来绕过共享和访问控制,则:
- 数据不就位 警报将触发,警告用户作。
- 可以通过配置 监视数据不就位警报来向安全团队发出警报。
SharePoint 共享配置用于配置允许用户共享的域列表。 配置后,用户无法在已批准的组织之外共享项。
OneDrive 位置的共享策略可能比应用于已标记位置的共享策略更宽松。 为了降低与用户从 OneDrive 共享以绕过基于位置的控制相关的风险,可以将 DLP 策略配置为限制从 OneDrive 共享具有某些标签的项目。 还可以通过组应用策略,允许已批准的用户从其 OneDrive 位置与来宾共享已标记的项目,同时限制未经批准的用户。
重要
有权访问受保护项的用户可以根据组织的全局 OneDrive 共享配置和应用于其帐户的 OneDrive 共享配置,从其 OneDrive 共享此类项目。
如果恶意内部人员反复尝试泄露安全机密信息,该怎么办?
出于动机的恶意内部人员可能会执行多次尝试来绕过本文中所述的数据安全控制措施。 Microsoft的内部 风险管理 功能用于根据用户的活动确定用户的风险级别。 内部风险管理允许安全团队监视可疑活动序列,例如:
- 从 Microsoft 365 个位置下载信息,然后将其复制到 USB。
- 降低或删除应用于项目的敏感度标签,然后与外部用户共享它。
- 对已标识为敏感信息的信息进行模糊处理,然后通过云服务将其外泄。
有关与澳大利亚政府组织相关的内部风险管理配置的建议,请参阅 管理内部风险。
注意
防止 敏感信息的不当分发中介绍了通过敏感信息类型 (SIT) 而不是敏感度标签识别和保护安全分类项目的其他方法。
阻止将安全分类项上传到非托管位置
Defender for Cloud Apps是一种Microsoft解决方案,可提供对基于 SaaS 的应用程序的可见性和控制。 它通过 DLP 和数据共享控件提供与 Microsoft Purview 的集成。
Defender for Cloud Apps策略是在 Microsoft 365 Defender 控制台的“云应用>策略”菜单下配置的。 管理员可以创建一个策略,针对具有 PROTECTED 标签的文件,并阻止它们与未经批准的域共享。 此配置符合 PSPF 2024 要求 77,其中规定安全分类项应仅与正式批准的组织共享:
| 要求 | 详情 |
|---|---|
| PSPF 版本 2024 - 第 12 节:信息共享 - 要求 77 | 在向政府外部的个人或组织披露或共享安全机密信息或资源之前,已制定协议或安排(如合同或契约),规定处理要求和保护。 |
有关Defender for Cloud Apps与Microsoft Purview 信息保护之间的集成的详细信息,请参阅Microsoft Purview 信息保护集成。
防止复制或打印安全分类项目
政府组织应考虑不是基于 Internet 的服务的数据丢失矢量,例如可以通过用户设备实现的服务。 例如,以下情况:
- 用户将受保护的项复制到未加密的 U 盘,该 U 盘随后丢失或被盗。
- 受保护的项将复制到本地网络共享或位置,这不适合存储 PROTECTED 项。
- 受保护项中包含的信息将复制并粘贴到新项中,而不应用相同的控件,从而允许信息外泄。
- 安全分类项目被打印,然后硬拷贝丢失或被盗。
终结点数据丢失防护 (终结点 DLP) 允许 DLP 策略应用于已注册终结点上的用户作。 有关终结点 DLP 的载入过程的信息,请参阅 Endpoint DLP 入门。
作为有效 EndPoint DLP 控制的先决条件,政府组织应将 Web 浏览器限制为仅具有 365 DLP 感知Microsoft浏览器。 Chromium是 DLP 感知的,并且 Google Chrome 和 Firefox 都可以通过浏览器加载项识别 DLP。 有关 Microsoft Purview Chrome 扩展的详细信息,请参阅 Microsoft Purview Chrome 扩展入门。
若要使用终结点 DLP 面向设备,请创建一个作用域为 “设备 ”位置的 DLP 策略。
与其他 DLP 示例一样,可以将 策略配置为包含内容、 敏感度标签 作为条件。 在策略作下,可以选择“ 审核”、“ 使用替代阻止”或 “阻止 ”以下作:
- 将项目上传到受限制的云服务域 (例如,Google Drive) (在政府组织中 阻止)
- 从项目复制到剪贴板
- 将项目复制到可移除的 USB (在政府组织中通用 的“阻止”和“替代 ”)
- 复制到网络共享
- 打印
- 使用在政府组织中 阻止 (通用的蓝牙应用复制或移动)
- 使用远程桌面协议 (复制或移动,以在政府组织中 阻止)
注意
EndPoint DLP 允许组织配置一系列选项,包括应用程序、路径排除、允许的浏览器、允许的打印机和允许的 USB 设备。 这些设置可以与策略一起使用,以定义允许使用标记项的情况。