通过

Microsoft 365 中的勒索软件防护

  • 项目

Microsoft 内置了防御和控制措施,用于降低针对组织及其资产的勒索软件攻击的风险。 资产可以按域进行组织,每个域都有自己的一组风险缓解措施。

域 1:租户级控件

第一个域是组成组织的人员,以及组织拥有和控制的基础结构和服务。 Microsoft 365 中的以下功能默认处于打开状态,也可以进行配置,以帮助降低风险并从此域中资产的成功泄露中恢复。

Exchange Online

  • 使用单个项目恢复和邮箱保留,客户可以在无意或恶意提前删除时恢复邮箱中的项目。 默认情况下,客户可以回滚在 14 天内删除的邮件,最多可以配置 30 天。

  • Exchange Online 服务中这些保留策略的其他客户配置允许:

    • 要 (1 年/10 年+) 应用的可配置保留期
    • 要应用的写入保护时复制
    • 锁定保留策略的功能,以便实现不可变性

  • Exchange Online Protection 在进入和退出系统时实时扫描传入的电子邮件和附件。 默认情况下启用此功能,并具有可用的筛选自定义项。 包含勒索软件或其他已知或可疑恶意软件的邮件将被删除。 可以将管理员配置为在发生这种情况时接收通知。

SharePoint 和 OneDrive 保护

SharePoint 和 OneDrive 防护具有内置功能,可帮助防范勒索软件攻击。

版本控制:由于版本控制默认至少保留文件 500 个版本,并且可以配置为保留更多版本,如果勒索软件编辑和加密文件,则可以恢复文件的以前版本。

回收站:如果勒索软件创建文件的新加密副本并删除旧文件,则客户有 93 天的时间从回收站还原该文件。

保留保留库:可以通过应用保留设置来保留存储在 SharePoint 或 OneDrive 网站中的文件。 当具有版本的文档受保留设置约束时,版本将复制到保留库,并作为单独的项存在。 如果用户怀疑其文件已泄露,他们可以通过查看保留的副本来调查文件更改。 然后,可以使用文件还原在过去 30 天内恢复文件。

Teams

Teams 聊天存储在 Exchange Online 用户邮箱中,文件存储在 SharePoint 或 OneDrive 中。 Microsoft Teams 数据受这些服务中可用的控制和恢复机制的保护。

域 2:服务级别控制

第二个域是组成 Microsoft 组织的人员,以及由 Microsoft 拥有和控制的公司基础结构,以执行企业的组织职能。

Microsoft 保护其公司资产的方法是零信任,使用我们自己的产品和服务实现,并在整个数字资产中提供防御。 有关零信任原则的更多详细信息,请参阅: 零信任体系结构

Microsoft 365 中的其他功能扩展了域 1 中提供的风险缓解措施,以进一步保护此域中的资产。

SharePoint 和 OneDrive 保护

版本控制:如果勒索软件将文件加密到位,作为编辑,可以使用 Microsoft 管理的版本历史记录功能将文件恢复到初始文件创建日期。

回收站:如果勒索软件创建了文件的新加密副本并删除了旧文件,则客户有 93 天的时间从回收站还原它。 93 天后,Microsoft 仍可在 14 天内恢复数据。 在此窗口之后,数据将永久删除。

Teams

域 1 中概述的 Teams 风险缓解措施也适用于域 2。

域 3:开发人员 & 服务基础结构

第三个域是开发和操作 Microsoft 365 服务的人员、提供服务的代码和基础结构,以及数据的存储和处理。

保护 Microsoft 365 平台并缓解此领域风险的 Microsoft 投资侧重于以下领域:

  • 持续评估和验证服务的安全状况
  • 构建保护服务免受入侵的工具和体系结构
  • 构建在发生攻击时检测和响应威胁的能力

持续评估和验证安全状况

  • Microsoft 使用 最低特权原则缓解与开发和操作 Microsoft 365 服务的人员相关的风险。 这意味着对资源的访问和权限仅限于执行所需任务所需的资源。
    • 实时 (JIT) Just-Enough-Access (JEA) 模型用于为 Microsoft 工程师提供临时权限。
    • 工程师必须提交特定任务请求才能获取提升的权限。
    • 请求通过密码箱进行管理,密码箱使用 Azure 基于角色的访问控制 (RBAC) 来限制工程师可以发出的 JIT 提升请求的类型。
  • 除上述情况外,所有 Microsoft 候选人在开始在 Microsoft 就业之前都进行了预先筛选。 在美国维护 Microsoft 联机服务的员工必须接受 Microsoft 云背景检查,作为访问联机服务系统的先决条件。
  • 所有 Microsoft 员工都必须完成基本的安全意识培训以及业务行为标准培训。

用于保护服务的工具和体系结构

  • Microsoft 的安全开发生命周期 (SDL) 侧重于开发安全软件,以提高应用程序安全性并减少漏洞。 有关详细信息,请参阅 安全性开发和操作概述
  • Microsoft 365 将服务基础结构的不同部分之间的通信限制为仅操作所需的通信。
  • 使用边界点的额外网络防火墙来保护网络流量,以帮助检测、防止和缓解网络攻击。
  • Microsoft 365 服务设计为无需工程师访问客户数据即可运行,除非客户明确请求和批准。 有关详细信息,请参阅 Microsoft 如何收集和处理客户数据

检测和响应功能

  • Microsoft 365 对其系统进行持续安全监视,以检测和响应对 Microsoft 365 服务的威胁。
  • 集中式日志记录可收集和分析可能指示安全事件的活动的日志事件。 日志数据在上传到警报系统时进行分析,并近乎实时地生成警报。
  • 基于云的工具使我们能够快速响应检测到的威胁。 这些工具使用自动触发的操作启用修正。
  • 如果无法自动修正,则会向相应的待命工程师发送警报,这些工程师配备了一组工具,使他们能够实时采取行动来缓解检测到的威胁。

从勒索软件攻击中恢复

有关在 Microsoft 365 中从勒索软件攻击中恢复的步骤,请参阅 从 Microsoft 365 中的勒索软件攻击中恢复