Microsoft 安全分數的新功能

為了讓 Microsoft 安全分數更能代表您的安全性狀態，我們會繼續新增新功能和改進動作。

您採取的改進動作越多，安全分數就越高。 如需詳細資訊，請參閲 Microsoft 安全分數。

您可以在 https://security.microsoft.com/securescoreMicrosoft Defender 入口網站中找到 Microsoft 安全分數。

2024 年 2 月

下列建議會新增為 Microsoft 安全分數改進動作：

適用於身分識別的 Microsoft Defender：

• 編輯不安全的 ADCS 憑證註冊 IIS 端點 (ESC8)

2024 年 1 月

下列建議已新增為 Microsoft 安全分數改進動作：

Microsoft Entra (AAD) ：

• 請確定系統管理員需要「防網路釣魚 MFA 強度」。
• 請確定已使用自定義禁用密碼清單。
• 確定 「Windows Azure 服務管理 API」僅限於系統管理角色。

管理員 中心：

• 確定「用戶擁有的應用程式和服務」受到限制。

Microsoft Forms：

• 確定已啟用 Forms的內部網路釣魚保護。

Microsoft Share Point：

• 請確定 SharePoint 來賓用戶無法共享他們未擁有的專案。

適用於雲端應用程式的Defender支援多個應用程式實例

Microsoft Defender for Cloud Apps 現在支援相同應用程式多個實例的安全分數建議。 例如，如果您有多個 AWS 實例，您可以個別設定及篩選每個實例的安全分數建議。

如需詳細資訊，請 參閱開啟及管理 SaaS 安全性狀態管理 (SSPM) 。

2023 年 12 月

下列建議已新增為 Microsoft 安全分數改進動作：

Microsoft Entra (AAD) ：

• 請確定 「Microsoft Azure 管理」僅限於系統管理角色。

Microsoft Sway：

• 請確定 Sways 無法與組織外部的人員共用。

Microsoft Exchange Online：

• 確定不允許使用者安裝 Outlook 載入宏。

Zendesk：

• 啟用和採用雙因素驗證 (2FA) 。
• 針對系統管理員、代理程式和用戶傳送密碼變更的通知。
• 啟用IP限制。
• 封鎖客戶略過IP限制。
• 系統管理員和代理程式可以使用 Zendesk 支援行動應用程式。
• 啟用 Zendesk 驗證。
• 為使用者啟用會話逾時。
• 封鎖帳戶假設。
• 封鎖系統管理員以設定密碼。
• 自動修訂。

Net Document：

• 在 netDocument 中採用單一登錄 (SSO) 。

Meta Workplace：

• 在 Workplace by Meta 中採用單一登錄 (SSO) 。

Dropbox：

• 為 Web 使用者啟用 Web 工作階段逾時。

Atlassian：

• 啟用多重要素驗證 (MFA) 。
• 啟用 單一登入 (SSO) 。
• 啟用強密碼原則。
• 啟用 Web 使用者的工作階段逾時。
• 啟用密碼到期原則。
• Atlassian 行動應用程式安全性 - 受原則影響的使用者。
• Atlassian 行動應用程式安全性 - 應用程式數據保護。
• Atlassian 行動應用程式安全性 - 應用程式存取需求。

適用於身分識別的 Microsoft Defender：新的 Active Directory 憑證服務 (ADCS) 相關建議：

• 憑證範本建議的動作 ：
  • 防止使用者根據 ESC1 (證書範本，要求對任意使用者有效的憑證)
  • 使用具有特殊許可權的 EKU 編輯過度寬鬆證書範本 (任何用途 EKU 或沒有 EKU) (ESC2)
  • 設定錯誤的註冊代理程式證書範本 (ESC3)
  • 編輯設定錯誤的證書範本 ACL (ESC4)
  • 編輯設定錯誤的證書範本擁有者
• 證書頒發機構單位建議的動作 ：
  • 編輯易受攻擊的證書頒發機構單位設定
  • 編輯設定錯誤的證書頒發機構單位 ACL (ESC7)
  • 對 ESC8 (RPC 憑證註冊介面強制執行加密)

如需詳細資訊，請參閱 適用於身分識別的 Microsoft Defender 的安全性狀態評估。

2023 年 10 月：

下列建議已新增為 Microsoft 安全分數改進動作：

Microsoft Entra (AAD) ：

• 請確定系統管理員需要「防網路釣魚 MFA 強度」。
• 請確定已使用自定義禁用密碼清單。

Microsoft Sway：

• 請確定 Sways 無法與組織外部的人員共用。

Atlassian：

• 啟用多重要素驗證 (MFA) 。
• 啟用 單一登入 (SSO) 。
• 啟用強密碼原則。
• 啟用 Web 使用者的工作階段逾時。
• 啟用密碼到期原則。
• Atlassian 行動應用程式安全性 - 受原則影響的使用者。
• Atlassian 行動應用程式安全性 - 應用程式數據保護。
• Atlassian 行動應用程式安全性 - 應用程式存取需求。

2023 年 9 月：

下列建議已新增為 Microsoft 安全分數改進動作：

Microsoft 資訊保護：

• 確定已啟用 Microsoft 365 稽核記錄搜尋。
• 確定已為 Microsoft Teams 啟用 DLP 原則。

Exchange Online:

• 確定已針對所有 Exchange 網域發佈 SPF 記錄。
• 確定已啟用 Exchange Online 的新式驗證。
• 確定已為終端用戶啟用MailTips。
• 確定已啟用所有使用者的信箱稽核。
• 請確定其他記憶體提供者在 Outlook 網頁版 中受到限制。

Microsoft Defender for Cloud Apps：

• 確定已啟用 Microsoft Defender for Cloud Apps。

Microsoft Defender Office：

• 確定 Exchange Online 垃圾郵件原則已設定為通知系統管理員。
• 請確定所有形式的郵件轉寄都遭到封鎖和/或停用。
• 確定已啟用 Office 應用程式的安全連結。
• 確定已啟用安全附件原則。
• 確定已建立防網路釣魚原則。

2023 年 8 月

下列建議已新增為 Microsoft 安全分數改進動作：

Microsoft 資訊保護：

• 確定已啟用 Microsoft 365 稽核記錄搜尋。

Microsoft Exchange Online：

• 確定已啟用 Exchange Online 的新式驗證。
• 確定 Exchange Online 垃圾郵件原則已設定為通知系統管理員。
• 請確定所有形式的郵件轉寄都遭到封鎖和/或停用。
• 確定已為終端用戶啟用MailTips。
• 確定已啟用所有使用者的信箱稽核。
• 請確定 Outlook 網頁版 中會限制其他記憶體提供者。

Microsoft Entra ID：

若要在 Office 365 連接器中查看下列新的 Microsoft Entra 控件，您必須在 [應用程式連接器設定] 頁面中開啟 Microsoft Defender for Cloud Apps：

• 確定已針對 內部部署的 Active Directory 啟用密碼保護。
• 確定已停用「LinkedIn帳戶連線」。

Sharepoint：

• 確定已啟用 Office 應用程式的安全連結。
• 確定已啟用 SharePoint、OneDrive 和 Microsoft Teams 的安全附件。
• 確定已建立防網路釣魚原則。

若要在 Office 365 連接器中查看下列新的 SharePoint 控制件，您必須在 [應用程式連接器設定] 頁面中開啟 Microsoft Defender for Cloud Apps：

• 確定 SharePoint 外部共用是透過網域允許清單/封鎖清單來管理。
• 封鎖從非受控裝置進行 商務用 OneDrive 同步處理。

Microsoft 安全分數與 Microsoft Lighthouse 365 整合

Microsoft 365 Lighthouse 可協助受控服務提供者 (MSP) 拓展業務，並從單一入口網站大規模地為客戶提供服務。 Lighthouse 可讓客戶標準化設定、管理風險、識別人工智慧 (AI) 導向的銷售商機，以及與客戶互動，以協助他們將 Microsoft 365 的投資最大化。

我們已將 Microsoft 安全分數整合到 Microsoft 365 Lighthouse。 此整合提供所有受控租使用者的安全分數匯總檢視，以及每個個別租使用者的安全分數詳細數據。 您可以從 Lighthouse 首頁上的新卡片，或選取 Lighthouse 租用戶頁面上的租使用者，來存取安全分數。

注意事項

使用雲端解決方案提供者 (雲端解決方案提供者) 計劃來管理客戶租使用者的 Microsoft 合作夥伴可使用與 Microsoft Lighthouse 365 的整合。

Microsoft 安全分數許可權與 Microsoft Defender 全面偵測回應 整合角色型訪問控制整合， (RBAC) 現在處於公開預覽狀態

以前，只有全域管理員 (等全域 Microsoft Entra) 才能存取 Microsoft 安全分數。 現在，您可以控制存取權，並授與 Microsoft 安全分數體驗的細微許可權，作為 Microsoft Defender 全面偵測回應 整合 RBAC 模型的一部分。

您可以在建立角色時選取 [安全性狀態 許可權] 群組，以新增許可權並選擇使用者可存取的數據源。 如需詳細資訊，請參閱使用 Microsoft Defender 全面偵測回應 Unified RBAC Create 自定義角色。 使用者會看到他們有許可權之數據源的安全分數數據。

新的數據源 安全分數 – 其他數據源 也可供使用。 具有此數據源許可權的使用者可以存取安全分數儀錶板內的其他數據。 如需其他數據源的詳細資訊，請參閱 安全分數中包含的產品。

2023 年 7 月

下列 適用於身分識別的 Microsoft Defender 建議已新增為 Microsoft 安全分數改進動作：

• 從網域中的帳戶中移除「密碼永不過期」屬性。
• 使用 管理員 SDHolder 許可權移除可疑帳戶的訪問許可權。
• 管理密碼超過180天的帳戶。
• 拿掉身分識別資產上的本機系統管理員。
• 拿掉具有DCSync許可權的非系統管理員帳戶。
• 啟動適用於身分識別的Defender部署，在域控制器和其他合格伺服器上安裝感測器。

下列 Google 工作區建議已新增為 Microsoft 安全分數改進動作：

• 啟用多重要素驗證 (MFA)

若要檢視這個新的控件，必須透過 [應用程式連接器設定] 頁面來設定 Microsoft Defender for Cloud Apps 中的 Google 工作區連接器。

2023 年 5 月

新的 Microsoft Exchange Online 建議現在可作為安全分數改進動作提供：

• 確定郵件傳輸規則不允許特定網域。

新的 Microsoft SharePoint 建議現在可作為安全分數改進動作提供：

• 請確定需要 SharePoint 應用程式的新式驗證。
• 確定外部使用者無法共用其不擁有的檔案、資料夾和網站。

2023 年 4 月

Microsoft 安全分數現已為具有有效 Microsoft Defender for Cloud Apps 授權的客戶提供新建議：

• 確定只有組織管理/核准的公用群組存在。
• 請確定已啟用登入頻率，且系統管理使用者的瀏覽器會話不會持續發生。
• 確定系統管理帳戶是獨立的、未指派的和僅限雲端的。
• 請確定不允許第三方整合式應用程式。
• 確定已啟用管理員同意工作流程。
• 確定已為 Microsoft Teams 啟用 DLP 原則。
• 確定已針對所有 Exchange 網域發佈 SPF 記錄。
• 確定 Microsoft Defender for Cloud Apps 已啟用。
• 請確定行動裝置管理原則已設定為需要進階安全性設定，以防止基本因特網攻擊。
• 請確定已禁止重複使用行動裝置密碼。
• 請確定行動裝置已設定為永不過期密碼。
• 確定用戶無法從已越獄或 Root 破解的裝置連線。
• 確定行動裝置已設定為在多個登入失敗時抹除，以防止暴力密碼破解入侵。
• 請確定行動裝置所需的密碼長度下限，以防止暴力密碼破解攻擊。
• 確保裝置在閑置一段時間后鎖定，以防止未經授權的存取。
• 確定已啟用行動裝置加密，以防止未經授權的行動數據存取。
• 請確定行動裝置需要複雜密碼 (類型 = 英數位元) 。
• 請確定行動裝置需要複雜的密碼 (簡單密碼 = 封鎖) 。
• 確定連線的裝置已啟用AV和本機防火牆。
• 請確定電子郵件設置檔需要行動裝置管理原則。
• 確定行動裝置需要使用密碼。

注意事項

若要檢視新的適用於雲端應用程式的Defender建議，Microsoft Defender for Cloud Apps中的 Office 365連接器必須透過[應用程式連接器設定] 頁面切換開啟。 如需詳細資訊，請參閱如何將 Office 365 連線到適用於雲端應用程式的Defender。

2022 年 9 月

反網路釣魚原則的新 適用於 Office 365 的 Microsoft Defender 建議現在可作為安全分數改進動作提供：

• 將網路釣魚電子郵件層級閾值設定為2或更高。
• 啟用仿真的用戶保護。
• 啟用仿真的網域保護。
• 確定信箱智慧已啟用。
• 確定已啟用模擬保護的智慧。
• 隔離從模擬用戶偵測到的訊息。
• 隔離從模擬網域偵測到的訊息。
• 移動信箱智慧偵測為模擬用戶的訊息。
• 啟用 [顯示第一個聯繫人安全提示] 選項。
• 啟用用戶模擬安全提示。
• 啟用網域模擬安全提示。
• 啟用用戶模擬不尋常的字元安全提示。

新的 SharePoint Online 建議現在可做為安全分數改進動作：

• 在 SharePoint Online 中註銷非使用中的使用者。

2022 年 8 月

新的 Microsoft Purview 資訊保護 建議現在可作為安全分數改進動作提供：

• 加標籤
  • 將 Microsoft 365 敏感度標籤延伸至 Azure Purview 數據對應中的資產。
  • 確定已設定並使用自動標記數據分類原則。
  • 發佈 Microsoft 365 敏感度標籤數據分類原則。
  • Create 數據外洩防護 (DLP) 原則。

新的 適用於 Office 365 的 Microsoft Defender 建議現在可作為安全分數改進動作提供：

• 反垃圾郵件 - 輸入原則

  • 將 BCL) 閾值 (電子郵件大量抱怨層級設定為 6 或更低。
  • 設定要對垃圾郵件偵測採取的動作。
  • 設定動作以對高信賴度垃圾郵件偵測採取動作。
  • 設定要對網路釣魚偵測採取的動作。
  • 設定動作以對高信賴度網路釣魚偵測採取動作。
  • 設定要對大量垃圾郵件偵測採取的動作。
  • 在隔離中保留垃圾郵件 30 天。
  • 確定已啟用垃圾郵件安全提示。
  • 確定反垃圾郵件原則中不允許的網域清單中沒有發件者網域， (取代「確定反垃圾郵件原則不允許發件者網域」，以擴充特定寄件者) 的功能。

• 反垃圾郵件 - 輸出原則

  • 設定使用者每小時可以傳送電子郵件的外部收件者數目上限。
  • 設定用戶可在一小時內傳送的內部收件者數目上限。
  • 設定每日郵件限制。
  • 封鎖達到訊息限制的使用者。
  • 將自動電子郵件轉寄規則設定為系統控制。

• 反垃圾郵件 - 連線篩選

  • 請勿在連線篩選原則中新增允許的IP位址。

2022 年 6 月

• 新的 適用於端點的 Microsoft Defender 和 Microsoft Defender 弱點管理 建議現在可作為安全分數改進動作提供：

  • 不允許對共享進行離線存取。
  • 拿掉設定為 [所有人] 的共用寫入許可權。
  • 從根資料夾移除共用。
  • 設定共用的資料夾存取型列舉。
  • 更新 適用於端點的 Microsoft Defender 核心元件。

• 新的 適用於身分識別的 Microsoft Defender 建議可作為安全分數改進動作：

  • 解決不安全的網域設定。

• 新的 應用程式控管 建議現在可做為安全分數改進動作：

  • 透過優先順序帳戶的同意來規範應用程式。

• 新的 Salesforce 和 ServiceNow 建議現在可作為 Microsoft Defender for Cloud Apps 客戶的安全分數改進動作。 如需詳細資訊，請參閱 SaaS 安全性狀態管理概觀。

注意事項

Salesforce 和 ServiceNow 控制項現在已在公開預覽版中提供。

2022 年 4 月

• 開啟遠端連線的用戶驗證。

2021 年 12 月

• 在封鎖模式中開啟安全附件。
• 防止與外部用戶共用 Exchange Online行事曆詳細數據。
• 開啟 Office 用戶端的安全檔。
• 開啟反惡意代碼原則的常見附件篩選設定。
• 請確定不允許傳送者網域使用反垃圾郵件原則。
• Create 電子郵件訊息的安全鏈接原則。
• Create 惡意代碼的零時差自動清除原則。
• 在 SharePoint、OneDrive 和 Microsoft Teams 中開啟 適用於 Office 365 的 Microsoft Defender。
• Create 網路釣魚訊息的零時差自動清除原則。
• Create 垃圾郵件的零時差自動清除原則。
• 封鎖惡意探索易受攻擊的已簽署驅動程序濫用。
• 在完整掃描期間開啟卸載式磁碟驅動器的掃描。

我們想知道您的想法

如果您有任何問題，請張貼在 安全性、隱私權 & 合規性 社群中，讓我們知道。 我們正在監視社群以提供協助。

相關資源

• 評估您的安全性狀態
• 追蹤您的 Microsoft 安全分數歷程記錄並達成目標
• 即將推出的功能

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群：Microsoft Defender 全面偵測回應 技術社群。