为 Microsoft 365 租户部署勒索软件保护

勒索软件是一种勒索攻击,可销毁或加密文件和文件夹,从而阻止访问关键数据。 商品勒索软件通常像病毒一样传播并感染设备,而且仅需要进行恶意软件修正。 人为操作的勒索软件是网络罪犯进行主动攻击的结果,其将侵入组织的本地或云 IT 基础结构、提升其特权,以及将勒索软件部署到关键数据。

攻击完成后,攻击者会从向受害者索取金钱,以交换已删除的文件、加密文件的解密密钥,或承诺不将敏感数据释放到暗网或公共 Internet。 人为操作的勒索软件还可用于关闭关键计算机或流程,如工业生产所需的计算机或流程,使正常的业务运营停止,直到支付勒索金额并修复损坏,或者由组织自行修复损害。

人为操作的勒索软件攻击对于各种规模的企业来说都可能是灾难性的,并且难以清理,需要彻底清除入侵者才能抵御未来攻击。 与商品勒索软件不同,人为操作的勒索软件可以在首次勒索请求后继续威胁企业运营。

备注

对 Microsoft 365 租户的勒索软件攻击假定攻击者具有租户的有效用户帐户凭据,并且有权访问用户帐户有权访问的所有文件和资源。 没有任何有效用户帐户凭据的攻击者必须对由 Microsoft 365 默认加密和增强加密的静态数据进行解密。 有关详细信息,请参阅 加密和密钥管理概述

有关 Microsoft 产品的勒索软件保护详细信息,请参阅以下 其他勒索软件资源

云安全是一项合作关系

Microsoft 云服务的安全性是你与 Microsoft 之间的合作关系:

  • Microsoft 云服务以信任和安全为基础。 Microsoft 提供安全空间和功能,有助于保护数据和应用程序。
  • 你的数据和身份为个人所有,并且你负责对这些数据和身份、本地资源安全性和所控制的云组件安全性进行保护。

通过结合这些功能和责任,我们可以提供针对勒索软件攻击的最佳保护。

与 Microsoft 365 一起提供的勒索软件缓解和恢复功能

一个侵入 Microsoft 365 租户的勒索软件攻击者可以通过以下行为对组织进行勒索:

  • 删除文件或电子邮件
  • 就地加密文件
  • 将文件复制到租户外部(数据外泄)

但是,Microsoft 365 联机服务具有许多内置功能和控件,可保护客户数据免受勒索软件攻击。 以下各节提供了摘要。 有关 Microsoft 如何保护客户数据的详细信息,请参阅Microsoft 365 中的恶意软件和勒索软件保护

备注

对 Microsoft 365 租户的勒索软件攻击假定攻击者具有租户的有效用户帐户凭据,并且有权访问用户帐户有权访问的所有文件和资源。 没有任何有效用户帐户凭据的攻击者必须对由 Microsoft 365 默认加密和增强加密的静态数据进行解密。 有关详细信息,请参阅 加密和密钥管理概述

删除文件或电子邮件

SharePoint 和 OneDrive for Business 中的文件受到以下保护:

  • 版本控制

    Microsoft 365 默认保留文件的至少 500 个版本,并可以配置为保留更多版本。

    若要最大程度地减轻安全和支持人员的负担,请培训用户如何还原以前版本的文件

  • 回收站

    如果勒索软件创建文件的新加密副本并删除旧文件,则客户有 93 天的时间从回收站还原该文件。 93 天后,Microsoft 仍可在 14 天内恢复数据。

    若要最大程度地减轻安全和支持人员的负担,请培训用户如何从回收站还原文件

  • 文件还原

    适用于 SharePoint 和 OneDrive 的完整自助式恢复解决方案,允许管理员和最终用户从过去 30 天内的任何时间点还原文件。

    要最大程度地减轻安全和 IT 支持人员的负担,请对用户进行有关文件还原 的培训。

对于 OneDrive 和 SharePoint 文件,如果你受到大规模攻击,Microsoft 可以回退到最多 14 天内的上一时间点。

电子邮件受到以下保护:

  • 单个项目恢复 和邮箱数据保留,可以在意外或恶意提前删除时恢复邮箱中的项目。 默认情况下,你可以回退 14 天内删除的邮件,并可配置为最多 30 天内的邮件。

  • 数据保留策略 允许你在配置的保留期内保留电子邮件的不可变副本。

就地加密文件

如前文所述,SharePoint 和 OneDrive for Business 中的文件可以通过以下保护免受恶意加密:

  • 版本控制
  • 回收站
  • 保存保留库

有关其他详细信息,请参阅处理 Microsoft 365 中的数据损坏

将文件复制到租户外部

你可以通过以下方式阻止勒索软件攻击者将文件复制到租户外部:

此解决方案中的内容

此解决方案将分步部署 Microsoft 365 保护和缓解功能、配置和持续运行,以最大限度地降低勒索软件攻击者使用 Microsoft 365 租户中的关键数据和对组织进行勒索的能力。

使用 Microsoft 365 防止勒索软件的步骤

此部署中的步骤如下所述:

  1. 配置安全基线
  2. 部署攻击检测和响应
  3. 保护身份
  4. 保护设备
  5. 保护信息

下面是为 Microsoft 365 租户部署的解决方案的五个步骤。

Microsoft 365 租户的勒索软件保护

此解决方案使用零信任的原则:

  • 显式验证:始终根据所有可用数据点进行身份验证和授权。
  • 使用最小特权访问:使用即时和恰好足够的访问 (JIT/JEA)、基于风险的自适应策略和数据保护来限制用户访问权限。
  • 假设安全漏洞:尽量减少波及范围半径和线段访问。 验证端到端加密,并使用分析获取可见性、促进威胁检测和加强防范。

与信任组织防火墙内的所有内容的传统 Intranet 访问不同,零信任将每次登录和访问都视为源自不受控制的网络,无论其来自组织防火墙内还是来自 Internet。零信任需要保护网络、基础结构、标识、终结点、应用和数据。

Microsoft 365 特性和功能

若要保护你的 Microsoft 365 租户免受勒索软件攻击,请使用这些 Microsoft 365 特性和功能,以执行解决方案中的这些步骤。

1. 安全基线

功能或特性 说明 帮助... 颁发许可
Microsoft 安全功能分数 度量 Microsoft 365 租户的安全状况。 评估安全配置并建议改进。 Microsoft 365 E3 或 Microsoft 365 E5
攻击面减少规则 使用各种配置设置减少组织面对网络攻击的漏洞。 阻止可疑活动和易受攻击的内容。 Microsoft 365 E3 或 Microsoft 365 E5
Exchange 电子邮件设置 启用减少组织面对基于电子邮件攻击漏洞的服务。 阻止通过网络钓鱼和其他基于电子邮件的攻击对租户的初始访问。 Microsoft 365 E3 或 Microsoft 365 E5
Microsoft Windows、Microsoft Edge 和 Microsoft 365 企业应用版设置 提供广为人知且经过充分测试的行业标准安全配置。 阻止通过 Windows、Edge 和 Microsoft 365 企业应用版进行的攻击。 Microsoft 365 E3 或 Microsoft 365 E5

2. 检测和响应

功能或特性 说明 帮助检测和响应... 颁发许可
Microsoft 365 Defender 合并信号并将功能整合到单个解决方案中。

支持安全专业人员汇集威胁信号,并确定威胁的完整范围和影响。

自动执行操作,以防止或停止攻击并自我修复受影响的邮箱、终结点和用户标识。
事件是组合起来的构成的攻击的警报和数据。 Microsoft 365 E5 或使用 Microsoft 365 E5 安全性加载项的 Microsoft 365 E3
Microsoft Defender for Identity 使用你的本地 Active Directory 域服务 (AD DS) 信号通过基于云的安全接口来识别、检测和调查针对组织的高级威胁、身份盗用和恶意内部行为。 AD DS 帐户的凭据泄露。 Microsoft 365 E5 或使用 Microsoft 365 E5 安全性加载项的 Microsoft 365 E3
Microsoft Defender for Office 365 保护你的组织免受电子邮件、链接 (URL) 和协作工具带来的恶意威胁。

防范恶意软件、网络钓鱼、欺骗和其他攻击类型。
网络钓鱼攻击。 Microsoft 365 E5 或使用 Microsoft 365 E5 安全性加载项的 Microsoft 365 E3
Microsoft Defender for Endpoint 支持跨终结点(设备)检测和响应高级威胁。 恶意软件安装和设备入侵。 Microsoft 365 E5 或使用 Microsoft 365 E5 安全性加载项的 Microsoft 365 E3
Azure Active Directory (Azure AD) 身份保护 自动检测和修正基于标识的风险并调查这些风险。 Azure AD 帐户的凭据泄露和特权提升。 Microsoft 365 E5 或使用 Microsoft 365 E5 安全性加载项的 Microsoft 365 E3
Defender for Cloud Apps 用于发现、调查和治理跨所有 Microsoft 和第三方云服务的云访问安全代理。 横向移动和数据外泄。 Microsoft 365 E5 或使用 Microsoft 365 E5 安全性加载项的 Microsoft 365 E3

3. 身份

功能或特性 说明 有助于防止... 颁发许可
Azure AD 密码保护 阻止来自常用列表和自定义条目的密码。 云或本地用户帐户密码确定。 Microsoft 365 E3 或 Microsoft 365 E5
通过条件访问强制执行 MFA 通过条件访问策略基于用户的登录属性要求使用 MFA。 凭据泄露和访问。 Microsoft 365 E3 或 Microsoft 365 E5
通过基于风险的条件访问强制执行 MFA 通过 Azure AD 身份保护基于用户登录的风险要求使用 MFA。 凭据泄露和访问。 Microsoft 365 E5 或使用 Microsoft 365 E5 安全性加载项的 Microsoft 365 E3

4. 设备

对于设备和应用管理:

功能或特性 说明 有助于防止... 颁发许可
Microsoft Intune 管理设备和在设备上运行的应用程序。 设备或应用泄露和访问。 Microsoft 365 E3 或 E5

对于 Windows 11 或 10 设备:

功能或特性 说明 帮助... 颁发许可
Microsoft Defender 防火墙 提供基于主机的防火墙。 阻止来自入站且未经请求的网络流量的攻击。 Microsoft 365 E3 或 Microsoft 365 E5
Microsoft Defender 防病毒 使用机器学习、大数据分析、深度威胁防御研究和 Microsoft 云基础结构为设备(终结点)提供反恶意软件保护。 阻止恶意软件的安装和运行。 Microsoft 365 E3 或 Microsoft 365 E5
Microsoft Defender SmartScreen 防范网络钓鱼或恶意软件网站和应用程序,以及下载潜在恶意文件。 在检查网站、下载、应用和文件时阻止或发出警告。 Microsoft 365 E3 或 Microsoft 365 E5
Microsoft Defender for Endpoint 有助于防止、检测、调查和响应跨设备(终结点)的高级威胁。 防止网络篡改。 Microsoft 365 E5 或使用 Microsoft 365 E5 安全性加载项的 Microsoft 365 E3

5. 信息

功能或特性 说明 帮助... 颁发许可
文件夹限制访问 通过对照已知受信任应用列表检查应用来保护你的数据。 防止勒索软件更改或加密文件。 Microsoft 365 E3 或 Microsoft 365 E5
Microsoft Purview 信息保护 允许将敏感度标签应用于可勒索的信息 阻止使用已外泄的信息。 Microsoft 365 E3 或 Microsoft 365 E5
数据丢失防护 (DLP) 通过防止用户以不当方式共享敏感数据来保护敏感数据并降低风险。 防止数据外泄。 Microsoft 365 E3 或 Microsoft 365 E5
Defender for Cloud Apps 用于发现、调查和治理的云访问安全代理。 检测横向移动并防止数据外泄。 Microsoft 365 E5 或使用 Microsoft 365 E5 安全性加载项的 Microsoft 365 E3

对用户和变更管理的影响

为 Microsoft 365 租户部署其他安全功能并实施要求和安全策略可能会影响用户。

例如,你可以实施一个新的安全策略,要求用户为特定用途创建新团队时使用列表中的用户帐户作为成员,而不是更轻松地为组织中所有用户创建团队。 这有助于防止勒索软件攻击者探索攻击者入侵的用户帐户不可用的团队,并在后续攻击中以该团队的资源为目标。

此基础解决方案将确定新配置或建议的安全策略何时会影响你的用户,以便你可以执行所需的变更管理。

后续步骤

使用以下步骤为 Microsoft 365 租户部署全面保护:

  1. 配置安全基线
  2. 部署攻击检测和响应
  3. 保护身份
  4. 保护设备
  5. 保护信息

使用 Microsoft 365 进行勒索软件保护的步骤 1

其他勒索软件资源

来自 Microsoft 的关键信息:

Microsoft 365:

Microsoft 365 Defender:

Microsoft Azure:

Microsoft Defender for Cloud Apps:

Microsoft 安全团队博客文章: