保護 Microsoft 365 免於內部部署攻擊
許多客戶將其私人公司網路連線到 Microsoft 365,以造福其使用者、裝置和應用程式。 不過,這些專用網可透過許多記載完善的方式遭到入侵。 Microsoft 365 是許多組織的一種神經系統。 保護它免於遭到入侵的內部部署基礎結構非常重要。
本文說明如何設定系統,以協助保護您的 Microsoft 365 雲端環境免於內部部署入侵,包括下列元素:
- Microsoft Entra 租用戶組態設定
- Microsoft Entra 租使用者如何安全地連線到內部部署系統
- 以保護雲端系統免於內部部署入侵的方式操作系統所需的取捨
Microsoft 強烈建議您實作本指南。
內部部署環境中的威脅來源
您的 Microsoft 365 雲端環境受益於廣泛的監視和安全性基礎結構。 Microsoft 365 使用機器學習和人類智慧來查看全球流量。 它可以快速偵測攻擊,並讓您幾乎即時重新設定。
混合式部署可以將內部部署基礎結構連線到 Microsoft 365。 在這類部署中,許多組織會將信任委派給內部部署元件,以進行重大驗證和目錄對象狀態管理決策。 如果內部部署環境遭到入侵,這些信任關係會成為攻擊者入侵 Microsoft 365 環境的機會。
這兩個主要威脅向量是 同盟信任關係 和 帳戶同步處理。 這兩個向量都可以授與攻擊者對雲端的系統管理存取權。
同盟信任關係,例如安全性判斷提示標記語言 (SAML) 驗證,可用來透過內部部署身分識別基礎結構向 Microsoft 365 進行驗證。 如果 SAML 令牌簽署憑證遭到入侵,同盟可讓擁有該憑證的任何人模擬雲端中的任何使用者。
建議您盡可能停用同盟信任關係,以便向 Microsoft 365 進行驗證。
帳戶同步 處理可用來修改特殊許可權的使用者,包括其認證,或 Microsoft 365 中具有系統管理許可權的群組。
我們建議您確定同步處理的物件不會保留 Microsoft 365 中使用者以外的許可權。 您可以直接控制許可權,或透過包含在信任的角色或群組中。 請確定這些物件在受信任的雲端角色或群組中沒有直接或巢狀指派。
保護 Microsoft 365 免於內部部署入侵
若要解決上述威脅,建議您遵循下圖所示的原則:
完全隔離您的 Microsoft 365 系統管理員帳戶。 它們應該是:
- Mastered in Microsoft Entra ID.
- 使用多重要素驗證進行驗證。
- 受 Microsoft Entra 條件式存取保護。
- 僅使用 Azure 受控工作站來存取。
這些系統管理員帳戶是受限制使用的帳戶。 在 Microsoft 365 中,沒有任何內部部署帳戶應具有系統管理許可權。
如需詳細資訊,請參閱關於系統管理員角色。 此外,請參閱 Microsoft Entra ID 中的 Microsoft 365 角色。
從 Microsoft 365 管理裝置。 使用 Microsoft Entra join 和雲端式行動裝置管理 (MDM) 來消除內部部署裝置管理基礎結構的相依性。 這些相依性可能會危害裝置和安全性控制。
確定沒有任何內部部署帳戶已將許可權提升至 Microsoft 365。 某些帳戶會存取需要NTLM、LDAP或 Kerberos 驗證的內部部署應用程式。 這些帳戶必須位於組織的內部部署身分識別基礎結構中。 請確定這些帳戶,包括服務帳戶,不會包含在特殊許可權雲端角色或群組中。 也請確定這些帳戶的變更不會影響雲端環境的完整性。 特殊許可權的內部部署軟體不能影響 Microsoft 365 特殊許可權帳戶或角色。
使用 Microsoft Entra 雲端驗證來消除內部部署認證的相依性。 一律使用強身份驗證,例如 Windows Hello、FIDO、Microsoft Authenticator 或 Microsoft Entra 多重要素驗證。
特定安全性建議
下列各節提供如何實作上述原則的指引。
隔離特殊許可權身分識別
在 Microsoft Entra 識別符中,具有特殊許可權角色的使用者,例如系統管理員,是用來建置和管理其餘環境的信任根目錄。 實作下列做法,以將入侵的影響降到最低。
針對 Microsoft Entra ID 和 Microsoft 365 特殊許可權角色使用僅限雲端帳戶。
部署特殊許可權存取裝置,以管理 Microsoft 365 和 Microsoft Entra 識別符。 請參閱 裝置角色和配置檔。
部署 Microsoft Entra Privileged Identity Management (PIM),以即時存取具有特殊許可權角色的所有人類帳戶。 需要強身份驗證才能啟用角色。 請參閱 什麼是 Microsoft Entra Privileged Identity Management。
提供系統管理角色,允許執行必要工作所需的最低許可權。 在 Microsoft Entra ID 中依工作查看最低特殊許可權角色。
若要同時啟用包含委派和多個角色的豐富角色指派體驗,請考慮使用 Microsoft Entra 安全組或 Microsoft 365 群組。 這些群組統稱為 雲端群組。
此外,啟用角色型訪問控制。 請參閱 將 Microsoft Entra 角色指派給群組。 您可以使用系統管理單位,將角色的範圍限制為組織一部分。 請參閱 Microsoft Entra ID 中的 管理員 單位。
部署緊急存取帳戶。 請勿使用內部部署密碼保存庫來儲存認證。 請參閱 在 Microsoft Entra ID 中管理緊急存取帳戶。
如需詳細資訊,請參閱 保護特殊許可權存取。 此外,請參閱 Microsoft Entra ID 中系統管理員的安全存取做法。
使用雲端驗證
認證是主要攻擊媒介。 實作下列做法,讓認證更安全:
部署無密碼驗證。 藉由部署無密碼認證,盡可能減少密碼的使用。 這些認證會以原生方式在雲端中管理及驗證。 如需詳細資訊,請參閱 在 Microsoft Entra ID 中規劃無密碼驗證部署。
從這些驗證方法中選擇:
部署多重要素驗證。 如需詳細資訊,請參閱 規劃 Microsoft Entra 多重要素驗證部署。
使用 Microsoft Entra 多重要素驗證布建多個強式認證。 如此一來,除了內部部署密碼之外,存取雲端資源還需要 Microsoft Entra ID 受控認證。 如需詳細資訊,請參閱 使用認證管理 建置復原能力和使用 Microsoft Entra ID 建立復原訪問控制管理策略。
限制和取捨
混合式帳戶密碼管理需要混合式元件,例如密碼保護代理程式和密碼回寫代理程式。 如果您的內部部署基礎結構遭到入侵,攻擊者可以控制這些代理程式所在的機器。 此弱點不會危害您的雲端基礎結構。 但您的雲端帳戶不會保護這些元件免於內部部署入侵。
從 Active Directory 同步處理的內部部署帳戶會在 Microsoft Entra 識別碼中標示為永不過期。 此設定通常會透過 內部部署的 Active Directory 密碼設定來減輕。 如果您的 Active Directory 實例遭到入侵並停用同步處理,請設定 EnforceCloudPasswordPolicyForPasswordSyncedUsers 選項以強制變更密碼。
從雲端布建使用者存取權
布建 是指在應用程式或識別提供者中建立用戶帳戶和群組。
我們建議使用下列布建方法:
從雲端 HR 應用程式布建至 Microsoft Entra 識別碼。 此布建可隔離內部部署入侵。 此隔離不會中斷從雲端 HR 應用程式到 Microsoft Entra 識別碼的 joiner-mover-leaver 迴圈。
雲端應用程式。 盡可能部署 Microsoft Entra 應用程式佈建,而不是內部部署布建解決方案。 此方法可保護某些軟體即服務 (SaaS) 應用程式免於內部部署缺口中的惡意駭客配置檔。 如需詳細資訊,請參閱 什麼是 Microsoft Entra ID 中的應用程式佈建。
外部身分識別。 使用 Microsoft Entra B2B 共同作業來減少內部部署帳戶的相依性,以便與合作夥伴、客戶和供應商進行外部共同作業。 仔細評估與其他識別提供者的任何直接同盟。 如需詳細資訊,請參閱 B2B 共同作業概觀。
我們建議以下列方式限制 B2B 來賓帳戶:
- 限制來賓存取權,以瀏覽目錄中的群組和其他屬性。 使用外部共同作業設定來限制來賓讀取非成員群組的能力。
- 封鎖對 Azure 入口網站的存取。 您可以進行罕見的必要例外狀況。 建立條件式存取原則,其中包含所有來賓和外部使用者。 然後實作原則來封鎖存取。 請參閱 條件式存取。
已中斷聯機的樹系。 使用 Microsoft Entra 雲端布建連線到已中斷連線的樹系。 這種方法不需要建立跨樹系連線或信任,這可能會擴大內部部署缺口的影響。 如需詳細資訊,請參閱什麼是 Microsoft Entra 連線 雲端同步處理。
限制和取捨
用來布建混合式帳戶時,Microsoft Entra ID-from-cloud-HR 系統依賴內部部署同步處理來完成從 Active Directory 到 Microsoft Entra ID 的數據流。 如果同步處理中斷,新的員工記錄將無法在 Microsoft Entra ID 中使用。
使用雲端群組進行共同作業和存取
雲端群組可讓您將共同作業和存取權與內部部署基礎結構分離。
- 共同作業。 使用 Microsoft 365 群組和 Microsoft Teams 進行新式共同作業。 解除委任內部部署通訊組清單,並將通訊組清單升級為 Outlook 中的 Microsoft 365 群組。
- 存取。 使用 Microsoft Entra 安全組或 Microsoft 365 群組 來授權存取 Microsoft Entra 識別碼中的應用程式。
- Office 365 授權。 使用群組型授權,使用僅限雲端群組布建至 Office 365。 此方法會將群組成員資格與內部部署基礎結構分離。
用於存取的群組擁有者應該被視為特殊許可權身分識別,以避免在內部部署入侵中接管成員資格。 接管包括直接操作內部部署群組成員資格,或操作可能會影響 Microsoft 365 中動態群組成員資格的內部部署屬性。
從雲端管理裝置
使用 Microsoft Entra 功能安全地管理裝置。
使用行動裝置管理原則部署已加入 Microsoft Entra 的 Windows 10 工作站。 啟用 Windows Autopilot 以取得完全自動化的布建體驗。 請參閱 規劃您的 Microsoft Entra Join 實作 和 Windows Autopilot。
- 使用 Windows 10 工作站。
- 取代執行 Windows 8.1 和更早版本的機器。
- 請勿將具有伺服器作業系統的計算機部署為工作站。
- 使用 Microsoft Intune 作為所有裝置管理工作負載的授權單位。 請參閱 Microsoft Intune。
- 部署特殊許可權存取裝置。 如需詳細資訊,請參閱 裝置角色和配置檔。
工作負載、應用程式和資源
內部部署單一登錄 (SSO) 系統
取代任何內部部署同盟和 Web 存取管理基礎結構。 將應用程式設定為使用 Microsoft Entra ID。
支援新式驗證通訊協定的 SaaS 和企業營運應用程式
使用 Microsoft Entra ID for SSO。 您設定使用 Microsoft Entra ID 進行驗證的應用程式越多,內部部署入侵的風險就越小。 如需詳細資訊,請參閱 什麼是 Microsoft Entra ID 中的單一登錄。
舊版應用程式
您可以啟用對不支援新式驗證的舊版應用程式的驗證、授權和遠端訪問。 使用 Microsoft Entra 應用程式 Proxy。 或者,使用安全的混合式存取合作夥伴整合,透過網路或應用程式傳遞控制器解決方案加以啟用。 請參閱 使用 Microsoft Entra 識別符保護舊版應用程式。
選擇支援新式驗證的 VPN 廠商。 將其驗證與 Microsoft Entra ID 整合。 在內部部署入侵中,您可以使用 Microsoft Entra ID 來停用或封鎖 VPN 的存取。
應用程式和工作負載伺服器
需要伺服器的應用程式或資源可以移轉至 Azure 基礎結構即服務 (IaaS)。 使用 Microsoft Entra Domain Services 來分離 Active Directory 內部部署實例的信任和相依性。 若要達成此分離,請確定用於 Microsoft Entra Domain Services 的虛擬網路沒有公司網路的連線。 請參閱 Microsoft Entra Domain Services。
使用認證階層處理。 應用程式伺服器通常被視為第1層資產。 如需詳細資訊,請參閱 企業存取模型。
條件式存取原則
使用 Microsoft Entra 條件式存取來解譯訊號,並使用它們來進行驗證決策。 如需詳細資訊,請參閱 條件式存取部署計劃。
盡可能使用條件式存取來封鎖舊版驗證通訊協定。 此外,使用應用程式特定組態停用應用層級的舊版驗證通訊協定。 請參閱 封鎖舊版驗證。
如需詳細資訊,請參閱 舊版驗證通訊協定。 或查看 Exchange Online 和 SharePoint Online 的特定詳細數據。
實作建議的身分識別和裝置存取設定。 請參閱常見的 零信任 身分識別和裝置存取原則。
如果您使用不包含條件式存取的 Microsoft Entra 識別碼版本,請在 Microsoft Entra ID 中使用安全性預設值。
如需 Microsoft Entra 功能授權的詳細資訊,請參閱 Microsoft Entra 定價指南。
監視器
設定環境以保護 Microsoft 365 免受內部部署入侵的影響之後,請主動監視環境。 如需詳細資訊,請參閱 什麼是 Microsoft Entra 監視?
要監視的案例
除了組織特有的任何案例之外,監視下列重要案例。 例如,您應該主動監視對業務關鍵應用程式和資源的存取。
可疑活動
監視所有 Microsoft Entra 風險事件是否有可疑活動。 請參閱 如何:調查風險。 Microsoft Entra ID Protection 原生與 適用於身分識別的 Microsoft Defender 整合。
定義網路具名位置,以避免對位置型訊號進行嘈雜偵測。 請參閱 在條件式存取原則中使用位置條件。
用戶和實體行為分析 (UEBA) 警示
使用 UEBA 取得異常偵測的深入解析。 適用於雲端的 Microsoft Defender 應用程式會在雲端中提供 UEBA。 請參閱 調查有風險的使用者。
您可以從 Azure 進階威脅防護 (ATP) 整合內部部署 UEBA。 適用於雲端的 Microsoft Defender Apps 會從 Microsoft Entra ID Protection 讀取訊號。 請參閱 active Directory 樹系 連線。
緊急存取帳戶活動
監視任何使用緊急存取帳戶的存取。 請參閱 在 Microsoft Entra ID 中管理緊急存取帳戶。 建立調查的警示。 此監視必須包含下列動作:
- 登入
- 認證管理
- 群組成員資格的任何更新
- 應用程式指派
特殊許可權角色活動
設定及檢閱 Microsoft Entra Privileged Identity Management 所產生的安全性警示(PIM)。 只要直接指派使用者,就會產生警示,以監視 PIM 外部特殊許可權角色的直接指派。 請參閱 安全性警示。
Microsoft Entra 全租用戶組態
整個租用戶設定的任何變更都應該在系統中產生警示。 這些變更包括但不限於下列變更:
- 已更新自定義網域
- Microsoft Entra B2B 變更為 allowlist 和 blocklist
- Microsoft Entra B2B 變更為允許的識別提供者,例如透過直接同盟或社交登入的 SAML 識別提供者
- 條件式存取或風險原則變更
應用程式和服務主體物件
- 可能需要條件式存取原則的新應用程式或服務主體
- 已新增至服務主體的認證
- 應用程式同意活動
自訂角色
- 自訂角色定義的 更新
- 新建立的自定義角色
記錄管理
定義記錄記憶體和保留策略、設計和實作,以利一致的工具集。 例如,您可以考慮安全性資訊和事件管理 (SIEM) 系統,例如 Microsoft Sentinel、常見的查詢,以及調查和鑑識劇本。
Microsoft Entra 記錄。 透過持續遵循診斷、記錄保留和 SIEM 擷取等設定的最佳做法,擷取產生的記錄和訊號。
記錄策略必須包含下列 Microsoft Entra 記錄:
- 登入活動
- 稽核記錄
- 風險事件
Microsoft Entra ID 提供登入活動記錄和稽核記錄的 Azure 監視器整合。 請參閱 Azure 監視器中的 Microsoft Entra 活動記錄。
使用 Microsoft Graph API 內嵌風險事件。 請參閱 使用 Microsoft Graph 身分識別保護 API。
您可以將 Microsoft Entra 記錄串流至 Azure 監視器記錄。 請參閱 整合 Microsoft Entra 記錄與 Azure 監視器記錄。
混合式基礎結構操作系統安全性記錄。 所有混合式身分識別基礎結構操作系統記錄都應該封存並仔細監視為第0層系統,因為介面區含意。 包含下列元素:
應用程式 Proxy 代理程式
密碼回寫代理程式
密碼保護閘道機器
具有 Microsoft Entra 多重要素驗證 RADIUS 延伸模組的網路原則伺服器 (NPS)
Microsoft Entra Connect
您必須部署 Microsoft Entra 連線 Health,才能監視身分識別同步處理。 請參閱什麼是 Microsoft Entra 連線。