共用方式為

Microsoft 365 中的勒索軟體保護

  • 發行項

Microsoft 已建置內建的防禦措施和控制措施,以降低針對組織及其資產的勒索軟體攻擊風險。 資產可以依網域組織,每個網域都有一組自己的風險降低措施。

網域 1:租用戶層級控件

第一個網域是組成您組織以及貴組織所擁有和控制之基礎結構和服務的人員。 Microsoft 365 中的下列功能預設為開啟或可設定,以協助降低風險,並從成功入侵此網域中的資產中復原。

Exchange Online

  • 透過單一項目復原和信箱保留,客戶可以在意外或惡意的提前刪除時復原信箱中的專案。 根據預設,客戶可以回復在14天內刪除的郵件訊息,最多可設定30天。

  • Exchange Online 服務內這些保留原則的其他客戶設定允許:

    • 要在 1 年 / 10 年 + (套用的可設定保留)
    • 要套用的寫入保護複本
    • 鎖定保留原則的能力,以便達到不變性

  • Exchange Online Protection 會即時掃描輸入和結束系統的內送電子郵件和附件。 默認會啟用此功能,並提供篩選自定義。 包含勒索軟體或其他已知或可疑惡意代碼的訊息會遭到刪除。 您可以設定系統管理員在發生這種情況時接收通知。

SharePoint 和 OneDrive 保護

SharePoint 和 OneDrive 保護具有內建功能,可協助防範勒索軟體攻擊。

版本控制:由於版本設定預設會保留至少 500 個版本的檔案,而且可以設定為保留更多版本,如果勒索軟體編輯並加密檔案,則可以復原舊版的檔案。

回收站:如果勒索軟體建立檔案的新加密複本,並刪除舊檔案,客戶有93天的時間可從回收站還原它。

保留庫:套用保留設定可保留儲存在 SharePoint 或 OneDrive 網站中的檔案。 當具有版本的檔受限於保留設定時,版本會複製到檔保留庫,並以個別專案的形式存在。 如果使用者懷疑其檔案遭到入侵,他們可以藉由檢閱保留的複本來調查檔案變更。 然後,可以使用檔還原來復原過去 30 天內的檔案。

Teams

Teams 聊天會儲存在 Exchange Online 使用者信箱內,而檔案會儲存在 SharePoint 或 OneDrive 中。 Microsoft Teams 數據受到這些服務中可用的控制和復原機制所保護。

網域 2:服務等級控制件

第二個網域是組成 Microsoft 組織的人員,以及由 Microsoft 擁有及控制的公司基礎結構,以執行企業的組織功能。

Microsoft 保護公司資產的方法是零信任,使用我們自己的產品和服務來實作,並在數字資產中提供防禦。 您可以在這裡找到零信任原則的詳細數據: 零信任架構

Microsoft 365 中的其他功能可擴充網域 1 中可用的風險降低措施,進一步保護此網域中的資產。

SharePoint 和 OneDrive 保護

版本控制:如果勒索軟體已就地加密檔案,則在編輯時,可以使用 Microsoft 所管理的版本歷程記錄功能,將檔案復原到初始檔案建立日期為止。

回收站:如果勒索軟體建立了檔案的新加密複本,並刪除舊檔案,客戶有93天的時間可從回收站還原它。 93 天后,有一個 14 天的時間範圍,Microsoft 仍然可以復原數據。 在此視窗之後,數據會永久刪除。

Teams

網域 1 中所述 Teams 的風險降低措施也適用於網域 2。

網域 3:開發人員 & 服務基礎結構

第三個網域是開發和操作 Microsoft 365 服務的人員、提供服務的程式代碼和基礎結構,以及數據的儲存和處理。

保護 Microsoft 365 平臺並降低此網域風險的 Microsoft 投資著重於下列領域:

  • 持續評估和驗證服務的安全性狀態
  • 建置可保護服務免遭入侵的工具和架構
  • 建置在發生攻擊時偵測和回應威脅的功能

持續評估和驗證安全性狀態

  • Microsoft 會使用 最低許可權原則來降低與開發及操作 Microsoft 365 服務的人員相關聯的風險。 這表示資源的存取和許可權僅限於執行所需工作所需的專案。
    • Just-In-Time (JIT) Just-Enough-Access (JEA) 模型可用來為 Microsoft 工程師提供暫時許可權。
    • 工程師必須提交特定工作的要求,才能取得更高的許可權。
    • 要求是透過Lockbox管理,其使用 Azure 角色型訪問控制 (RBAC) 來限制工程師可以提出的 JIT 提高許可權要求類型。
  • 除了上述專案之外,所有 Microsoft 候選專案都會在開始使用 Microsoft 之前進行預先篩選。 在美國維護 Microsoft 在線服務的員工必須進行 Microsoft 雲端背景檢查,作為存取在線服務系統的必要條件。
  • 所有 Microsoft 員工都必須完成基本的安全性認知訓練,以及商務行為標準訓練。

保護服務的工具和架構

  • Microsoft 的安全性開發生命週期 (SDL) 著重於開發安全軟體,以改善應用程式安全性並降低弱點。 如需詳細資訊,請參閱 安全性與安全性開發與作業概觀
  • Microsoft 365 會將服務基礎結構不同部分之間的通訊限制為僅限運作所需的專案。
  • 網路流量會在界限點使用額外的網路防火牆來保護,以協助偵測、預防和降低網路攻擊。
  • 除非客戶明確要求並核准,否則 Microsoft 365 服務會架構為在不需要工程師存取客戶數據的情況下運作。 如需詳細資訊,請 參閱 Microsoft 如何收集和處理客戶數據

偵測和回應功能

  • Microsoft 365 會持續監視其系統的安全性,以偵測及回應對 Microsoft 365 服務的威脅。
  • 集中式記錄會收集並分析可能表示安全性事件之活動的記錄事件。 記錄數據會在上傳至警示系統時進行分析,並以近乎即時的方式產生警示。
  • 雲端式工具可讓我們快速響應偵測到的威脅。 這些工具會使用自動觸發的動作來啟用補救。
  • 當無法自動補救時,警示會傳送給適當的待命工程師,這些工程師配備一組工具,可讓他們即時採取行動來降低偵測到的威脅。

從勒索軟體的攻擊中復原

如需從 Microsoft 365 中的勒索軟體攻擊復原的步驟,請參閱 從 Microsoft 365 中的勒索軟體攻擊中復原