保護 Microsoft 365 免於遭受內部部署攻擊
許多客戶會將其私人公司網路連線到 Microsoft 365,以使其使用者、裝置和應用程式受益。 不過,這些私人網路可能會被許多完善記載的方式入侵。 Microsoft 365 對許多組織來說是一種神經系統。 必須保護它的內部部署基礎結構不受入侵。
此文章說明如何設定您的系統,以協助保護您的 Microsoft 365 雲端環境不受內部部署入侵,內容如下:
- Microsoft Entra 租用戶組態設定
- 如何將 Microsoft Entra 租用戶安全地連線到內部部署系統
- 操作系統所需的權衡取捨,保護雲端系統不受內部部署入侵
Microsoft 強烈建議您實作本指南。
內部部署環境中的威脅來源
您的 Microsoft 365 雲端環境可從廣泛的監視和安全性基礎結構中受益。 Microsoft 365 使用機器學習和人力智慧來監看全球流量。 其可以快速偵測攻擊,並讓您能夠近乎即時地重新設定。
混合式部署可以將內部部署基礎結構連線到 Microsoft 365。 在這種部署中,許多組織都會將信任委派給內部部署元件,以進行重大驗證和目錄物件狀態管理決策。 如果內部部署環境遭到入侵,這些信任關係就會成為攻擊者入侵您 Microsoft 365 環境的機會。
這兩個主要威脅向量是同盟信任關係和帳戶同步處理。這兩個向量都可以授與攻擊者對雲端的系統管理存取權。
同盟信任關係會透過內部部署身分識別基礎結構,來向 Microsoft 365 進行驗證,例如安全性聲明標記語言 (SAML) 驗證。 如果 SAML 權杖簽署憑證遭到盜用,同盟可讓具有該憑證的任何人模擬您雲端中的任何使用者。
建議您儘量不要使用同盟信任關係來向 Microsoft 365 進行驗證。
帳戶同步處理可用來修改特殊權限使用者 (包括其認證),或在 Microsoft 365 中具有系統管理權限的群組。
建議您確認同步物件並未擁有超過 Microsoft 365 使用者的權限。 您可以直接控制權限,或透過納入信任的角色或群組來控制權限。 確保這些物件在信任的雲端角色或群組中沒有直接或巢狀指派。
保護 Microsoft 365 免於遭到內部部署入侵
若要解決上方所述的威脅,建議您遵循下圖所述的準則:
完全隔離您的 Microsoft 365 系統管理員帳戶。 其應該:
- Microsoft Entra ID 中的 Mastered。
- 使用多重要素驗證進行驗證。
- 由 Microsoft Entra 條件式存取保護。
- 只能使用 Azure 受控工作站進行存取。
這些系統管理員帳戶是具使用限制的帳戶。 在 Microsoft 365 中,所有內部部署帳戶都不應具有系統管理權限。
如需詳細資訊,請參閱關於系統管理員角色。 另請參閱 Microsoft Entra ID 中 Microsoft 365 的角色。
從 Microsoft 365 管理裝置。 使用 Microsoft Entra 聯結和雲端式行動裝置管理 (MDM),來消除內部部署裝置管理基礎結構的相依性。 這些相依性可能會危害裝置和安全性控制。
確保沒有內部部署帳戶對 Microsoft 365 具有較高的權限。 有些帳戶會存取需要 NTLM、LDAP 或 Kerberos 驗證的內部部署應用程式。 這些帳戶必須位於組織的內部部署身分識別基礎結構中。 確保這些帳戶 (包括服務帳戶) 均未包括於特殊權限的雲端角色或群組中。 此外,確保對這些帳戶所做的變更不會影響雲端環境的完整性。 特殊權限的內部部署軟體不得影響 Microsoft 365 的特殊權限帳戶或角色。
使用 Microsoft Entra 雲端驗證來消除對內部部署認證的相依性。 一律使用增強式驗證,例如 Windows Hello、FIDO、Microsoft Authenticator 或 Microsoft Entra 多重要素驗證。
特定的安全性建議
下列各節提供指導方針,說明如何實作稍早所述之準則。
隔離特殊權限身分識別
在 Microsoft Entra ID 中,具有特殊權限角色的使用者 (例如系統管理員) 是建置和管理環境其餘部分的信任根。 實作下列做法,以將入侵的影響降至最低。
針對 Microsoft Entra ID 和 Microsoft 365 的特殊權限角色,使用僅雲端的帳戶。
針對具有高許可權的每個角色,您應該執行下列動作:
- 檢閱已設定
onPremisesImmutableId
和onPremisesSyncEnabled
設定的使用者。 請參閱Microsoft圖形 API 用戶資源類型。 - 為這些個人建立僅限雲端的用戶帳戶,並從特殊許可權角色中移除其混合式身分識別。
- 檢閱已設定
部署特殊權限存取裝置,以使用特殊權限存取來管理 Microsoft 365 和 Microsoft Entra ID。 請參閱裝置角色和設定檔。
部署 Microsoft Entra Privileged Identity Management (PIM),以便 Just-In-Time (JIT) 存取具有特殊權限角色的所有人員帳戶。 需要增強式驗證,才能啟用角色。 請參閱 Microsoft Entra Privileged Identity Management 是什麼?。
提供系統管理角色,以允許執行必要工作所需的最低權限。 請參閱 Microsoft Entra ID 中工作的最低特殊權限角色。
若要啟用同時包括委派和多個角色的豐富角色指派體驗,請考慮使用 Microsoft Entra 安全性群組或 Microsoft 365 群組。 這些群組統稱為「雲端群組」。
也可以啟用角色型存取控制。 請參閱將 Microsoft Entra 角色指派給群組。 您可以使用管理單位,將角色的範圍限制在組織的某個部分。 請參閱 Microsoft Entra ID 中的管理單位。
部署緊急存取帳戶。 請「勿」使用內部部署密碼保存庫來儲存認證。 請參閱在 Microsoft Entra ID 中管理緊急存取帳戶。
如需詳細資訊,請參閱保護特殊權限存取。 另請參閱 Microsoft Entra ID 中適用於管理員的安全存取做法。
使用雲端驗證
認證是一個主要攻擊媒介。 實作下列做法,讓認證更安全:
部署無密碼驗證。 透過部署無密碼認證,盡可能減少密碼的使用。 這些認證會以原生方式在雲端中進行管理和驗證。 如需詳細資訊,請參閱在 Microsoft Entra ID 中規劃無密碼驗證部署。
從下列驗證方法中進行選擇:
部署多重要素驗證。 如需詳細資訊,請參閱規劃 Microsoft Entra 多重要素驗證部署。
使用 Microsoft Entra 多重要素驗證,佈建多個增強式認證。 如此,雲端資源的存取,除了內部部署密碼之外,還需要 Microsoft Entra ID 受控認證。 如需詳細資訊,請參閱使用認證管理建立復原性,以及使用 Microsoft Entra ID 建立復原性存取控制管理策略。
限制和權衡取捨
混合式帳戶密碼管理需要混合式元件,例如,密碼保護代理程式和密碼回寫代理程式。 如果您的內部部署基礎結構遭到入侵,攻擊者就能控制這些代理程式所在的機器。 此弱點將不會危害您的雲端基礎結構。 但是,您的雲端帳戶將無法保護這些元件免於遭受內部部署入侵。
已從 Active Directory 同步處理的內部部署帳戶會標示為永遠不會在 Microsoft Entra ID 中過期。 此設定通常會透過內部部署的 Active Directory 密碼設定來減緩。 如果 Active Directory 的執行個體遭到入侵,並且已停用同步處理,請設定 EnforceCloudPasswordPolicyForPasswordSyncedUsers 選項來強制變更密碼。
從雲端佈建使用者存取
「佈建」指的是在應用程式或識別提供者中建立使用者帳戶和群組。
我們建議下列佈建方法:
從雲端 HR 應用程式佈建至 Microsoft Entra ID。 此布建可將內部部署的入侵隔離。 此隔離不會中斷從雲端 HR 應用程式到 Microsoft Entra ID 的 joiner-mover-leaver 迴圈。
雲端應用程式。 儘量部署 Microsoft Entra 應用程式佈建,而不是內部部署佈建解決方案。 此方法可保護您的某些軟體即服務 (SaaS) 應用程式,免受內部部署缺口中惡意駭客設定檔的影響。 如需詳細資訊,請參閱什麼是 Microsoft Entra ID 中的應用程式佈建。
外部身分識別。 使用 Microsoft Entra B2B 共同作業,以減少內部部署帳戶的相依性,以便與合作夥伴、客戶和供應商進行外部共同作業。 請仔細評估與其他識別提供者的任何直接同盟。 如需詳細資訊,請參閱 B2B 共同作業概觀。
建議您以下列方式限制 B2B 來賓帳戶:
- 將來賓存取限制為瀏覽目錄中的群組和其他屬性。 使用外部共同作業設定,限制來賓讀取其不是成員之群組的能力。
- 封鎖對 Azure 入口網站的存取。 您可以製作罕見的必要例外狀況。 建立包括所有來賓和外部使用者的條件式存取原則。 然後,實作原則來封鎖存取。 請參閱條件式存取。
已中斷連線的樹系。 使用 Microsoft Entra 雲端佈建連線到已中斷連線的樹系。 此方法讓您不須建立跨樹系連線能力或信任的需求,避免擴大內部部署缺口的影響。 如需詳細資訊,請參閱什麼是 Microsoft Entra Connect 雲端同步處理。
限制和權衡取捨
用來佈建混合式帳戶時,來自雲端 HR 系統的 Microsoft Entra ID 會依賴內部部署同步處理,來完成從 Active Directory 到 Microsoft Entra ID 的資料流程。 如果同步處理中斷,將無法在 Microsoft Entra ID 中使用新的員工記錄。
使用雲端群組進行共同作業和存取
雲端群組可讓您將共同作業和存取與內部部署基礎結構分離開來。
- 共同作業。 使用 Microsoft 365 群組和 Microsoft Teams 進行新式共同作業。 解除內部部署通訊群組清單,並將通訊群組清單升級至 Outlook 中的 Microsoft 365 群組。
- 存取。 使用 Microsoft Entra 安全性群組或 Microsoft 365 群組,來授權存取 Microsoft Entra ID 中的應用程式。
- Office 365授權。 使用以群組為基礎的授權,透過僅雲端的群組佈建至 Office 365。 此方法會將群組成員資格的控制與內部部署基礎結構分離開來。
用於存取的群組擁有者應被視為特殊權限身分識別,以避免在內部部署入侵中接管成員資格。 接管包括直接操作內部部署的群組成員資格,或操作可能影響 Microsoft 365 中組動態成員資格群組的內部部署屬性。
從雲端管理裝置
使用 Microsoft Entra 功能,安全地管理裝置。
使用行動裝置管理原則部署已加入 Microsoft Entra 的 Windows 10 工作站。 啟用 Windows Autopilot,以提供完全自動化的佈建體驗。 請參閱規劃 Microsoft Entra 聯結實作和 Windows Autopilot。
- 使用 Windows 10 工作站。
- 淘汰執行 Windows 8.1 及更早版本的機器。
- 請勿將具有伺服器作業系統的電腦部署為工作站。
- 使用 Microsoft Intune 作為所有裝置管理工作負載的授權單位。 請參閱 Microsoft Intune。
- 部署特殊權限存取裝置。 如需詳細資訊,請參閱裝置角色和設定檔。
工作負載、應用程式和資源
內部部署單一登入 (SSO) 系統
淘汰任何內部部署同盟和 Web 存取管理基礎結構。 將應用程式設定為使用 Microsoft Entra ID。
SaaS 和支援新式驗證通訊協定的企業營運 (LOB) 應用程式
針對 SSO 使用 Microsoft Entra ID。 您設定來使用 Microsoft Entra ID 進行驗證的應用程式越多,內部部署入侵的風險就越低。 如需詳細資訊,請參閱什麼是 Microsoft Entra ID 中的單一登入。
舊版應用程式
您可以對不支援新式驗證的舊版應用程式,啟用驗證、授權和遠端存取。 使用 Microsoft Entra 應用程式 Proxy。 或者也可使用安全的混合式存取合作夥伴整合,透過網路或應用程式傳遞控制器解決方案來加以啟用。 請參閱使用 Microsoft Entra ID 保護舊版應用程式。
選擇支援新式驗證的 VPN 廠商。 將其驗證與 Microsoft Entra ID 整合。 在內部部署入侵中,您可以使用 Microsoft Entra ID,透過停用 VPN 來停用或封鎖存取。
應用程式和工作負載伺服器
需要伺服器的應用程式或資源可以移轉至 Azure 基礎結構即服務 (IaaS)。 使用 Microsoft Entra Domain Services,將 Active Directory 內部部署執行個體上的信任和相依性分離開來。 若要實現這種分離,請確定用於 Microsoft Entra Domain Services 的虛擬網路並未與公司網路連線。 請參閱 Microsoft Entra Domain Services。
使用認證階層。 應用程式伺服器通常會被視為第 1 層資產。 如需詳細資訊,請參閱 Enterprise 存取模型。
條件式存取原則
使用 Microsoft Entra 條件式存取來解譯訊號,並使用這些資訊來制訂驗證決策。 如需詳細資訊,請參閱條件式存取部署計劃。
使用條件式存取,盡可能封鎖舊版驗證通訊協定。 此外,使用應用程式特定的設定,在應用程式層級停用舊版驗證通訊協定。 請參閱封鎖舊版驗證。
如需詳細資訊,請參閱舊版驗證通訊協定。 或者,請參閱 Exchange Online 和 SharePoint Online 特有的詳細資料。
實作建議的身分識別和裝置存取設定。 請參閱常見的零信任身分識別和裝置存取原則。
如果您使用的 Microsoft Entra ID 版本未包括條件式存取,請使用 Microsoft Entra ID 安全性預設值。
如需 Microsoft Entra 功能授權的詳細資訊,請參閱 Microsoft Entra 定價指南。
監視器
當您設定環境以保護 Microsoft 365 免於遭受內部部署入侵之後,請主動監視環境。 如需詳細資訊,請參閱 什麼是 Microsoft Entra 監視?
要監視的案例
除了組織特有的任何案例之外,還可以監視下列主要案例。 例如,您應該主動監視對商務關鍵應用程式和資源的存取。
可疑的活動
監視可疑活動的所有 Microsoft Entra 風險事件。 請參閱如何:調查風險。 Microsoft Entra ID Protection 會與適用於身分識別的 Microsoft Defender 原生整合。
定義網路具名位置,以避免在以位置為基礎的訊號上偵測到雜訊。 請參閱使用條件式存取原則中的位置條件。
使用者與實體行為分析 (UEBA) 警示
使用 UEBA 取得異常偵測的見解。 Microsoft Defender for Cloud Apps 會提供雲端中的 UEBA。 請參閱調查風險性使用者。
您可以從 Azure 進階威脅防護 (ATP) 整合內部部署 UEBA。 Microsoft Defender for Cloud Apps 會讀取來自 Microsoft Entra ID Protection 的訊號。 請參閱連線到您的 Active Directory 樹系。
緊急存取帳戶活動
監視使用緊急存取帳戶的任何存取。 請參閱在 Microsoft Entra ID 中管理緊急存取帳戶。 建立調查的警示。 此監視必須包含下列動作:
- 登入
- 認證管理
- 關於群組成員資格的任何更新
- 應用程式指派
特殊權限角色活動
設定和檢閱 Microsoft Entra Privileged Identity Management (PIM) 所產生的安全性警示。 透過在每次直接指派使用者時產生警示,來監視 PIM 之外特殊權限角色的直接指派。 請參閱安全性警示。
Microsoft Entra 全租用戶設定
對全租用戶設定的任何變更都應該在系統中產生警示。 這些變更包括 (但不限於) 以下項目:
- 已更新自訂網域
- Microsoft Entra B2B 變更為允許清單和封鎖清單
- Microsoft Entra B2B 變更為允許的識別提供者,例如透過直接同盟或社交登入的 SAML 識別提供者
- 條件式存取或風險原則變更
應用程式和服務主體物件
- 可能需要條件式存取原則的新應用程式或服務主體
- 新增至服務主體的認證
- 應用程式同意活動
自訂角色
- 更新自訂角色定義
- 新建立的自訂角色
記錄管理
定義記錄儲存體和保留策略、設計及實作,以促進一致的工具組。 例如,您可以考慮安全性資訊與事件管理 (SIEM) 系統 (例如 Microsoft Sentinel)、一般查詢,以及調查和鑑識調查劇本。
Microsoft Entra 記錄。 始終遵循診斷、記錄保留和 SIEM 擷取等設定的最佳做法,來內嵌產生的記錄和訊號。
記錄策略必須包括下列 Microsoft Entra 記錄:
- 登入活動
- 稽核記錄
- 風險事件
Microsoft Entra ID 會為登入活動記錄和稽核記錄提供 Azure 監視器整合。 請參閱 Azure 監視器中的 Microsoft Entra 活動記錄。
使用 Microsoft 圖形 API 來內嵌風險事件。 請參閱《使用 Microsoft Graph ID Protection API》。
您可以將 Microsoft Entra 記錄串流至 Azure 監視器記錄。 請參閱整合 Microsoft Entra 記錄與 Azure 監視器記錄。
混合式基礎結構作業系統安全性記錄。 由於涉及介面區,因此應該將所有混合式身分識別基礎結構作業系統記錄檔當成第 0 層系統進行封存並謹慎地監視。 包括下列元素:
應用程式 Proxy 代理程式
密碼回寫代理程式
密碼保護閘道機器
網路原則伺服器 (NPS),具有 Microsoft Entra 多重要素驗證 RADIUS 延伸模組
Microsoft Entra Connect
您必須部署 Microsoft Entra Connect Health,才能監視身分識別同步處理。 請參閱什麼是 Microsoft Entra Connect。