步驟 5. 保護資訊

因為勒索軟體攻擊者也會查看位於檔案、資料庫及其他類型伺服器上的內部部署資料，所以保護該資料的最佳方式之一是將其遷移至 Microsoft 365 租用戶。 一旦遷移，便可透過內建的風險降低和復原功能 (如 版本設定、資源回收筒及 [檔案還原]) 加以保護。

若要在 Microsoft 365 租用戶中提供額外的敏感性資訊保護:

• 尋找您的敏感性資訊。
• 執行嚴格的存取權限並消除廣泛的存取 (例如，防止太多使用者具有寫入、編輯和刪除的能力)。
• 保護您的敏感性資訊。

注意事項

有關 Microsoft 365 租用戶中資訊保護的詳細部署指引，請參閱 為資料隱私權規定部署資訊保護。 雖然適用於資料隱私權法規，但許多指引也適用於勒索軟體保護。

尋找您的敏感性資訊

第一個工作是識別您租用戶中的敏感性資訊的 類型和位置，其可包含下列類型:

• 敏感性
• 專有資產或智慧財產權
• 受規範，指定保護個人識別資訊 (PII) 的這類地區法規
• IT 復原計畫

針對每種類型的敏感性資訊，請決定下列各項:

• 資訊對貴組織的作用

• 如果為勒索而持有其貨幣價值的相對度量 (例如高、中、低)

• 其目前的位置，例如 OneDrive 或 SharePoint 資料夾或共同作業地點 (如 Microsoft Teams 小組)

• 目前的存取權限，其中包括:

  • 具有存取權的使用者帳戶

  • 每個具有存取權的帳戶所允許的動作

針對包含敏感性資訊的位置執行嚴格的存取權限

在 Microsoft 365 租用戶中執行嚴格的存取權限會使用最低的位置和通訊地點使用權限準則，在 Microsoft 365 中通常是 OneDrive 資料夾、SharePoint 的網站與資料夾，以及小組。

雖然使用廣泛的存取權 (例如預設組織中的每個人) 來建立檔案儲存體位置或小組比較容易，但是針對敏感性資訊，允許的使用者帳戶與允許的動作，必須受到限於符合共同作業和業務需求所需的最低設定。

一旦勒索軟體攻擊者侵入您的租用戶，他們會嘗試透過竊取使用者帳戶的認證來提升其權限，讓其在整個租用戶中具有更廣泛的存取權限範圍，例如系統管理員角色帳戶或可存取敏感性資訊的使用者帳戶。

根據這種常見的攻擊者行為，攻擊者有兩個層級的困難:

• 低: 因為整個租用戶都有廣泛的存取權，攻擊者可使用低使用權限帳戶來探索您的敏感性資訊。
• 較高: 因為嚴格的使用權限，攻擊者無法使用低使用權限的帳戶來探索您的敏感性資訊。 他們必須判斷具有敏感性資訊位置存取權的帳戶並竊取認證以提升自己的存取權限，但可能也只能執行有限的動作。

對於敏感性資訊，您必須盡可能提高其存取的困難程度。

您可以使用下列步驟，確保您的租用戶有嚴格的存取權限:

1. 從 尋找您的敏感性資訊開始努力，好好檢閲敏感性資訊位置的存取權限。
2. 在滿足共同作業和業務需求的同時，對敏感性資訊執行嚴格的存取權限，並通知受影響的使用者。
3. 為您的使用者執行變更管理，以便以嚴格的存取權限建立及維護敏感性資訊未來的位置。
4. 稽核和監視敏感性資訊的位置，以確保不會授與廣泛的存取權限。

如需詳細指引，請參閱 使用 Microsoft Teams 設定安全檔案共用和共同作業。 具有敏感性資訊嚴格權限的通訊和共同作業地點範例是 具有安全性隔離的小組。

保護您的敏感性資訊

若要保護您的敏感性資訊以防勒索軟體攻擊者取得存取權，請執行下列動作:

• 使用 受控資料夾，讓未經授權的應用程式更難修改受控資料夾中的資料。

• 使用 [Microsoft Purview 資訊保護]和敏感度標籤，並將它們套用至敏感度資訊。 為其他的加密和存取權限設定敏感度標籤，並在標籤中定義使用者帳戶使用和允許的動作。 若具有此敏感度標籤類型的檔案從租用戶中外泄，只有標籤中定義的使用者帳戶可以使用它。

• 使用 Microsoft Purview 資料外洩防護 (DLP) 來偵測、警告和封鎖有風險、不慎或不適當共用的資料，其中包含基於內部和外部敏感度標籤的個人或機密資訊。

• 使用 Microsoft Defender for Cloud Apps 來封鎖敏感性資訊(例如檔案) 的下載。 您也可以使用Defender for Cloud Apps 異常偵測原則 偵測高頻率的檔案上傳或檔案刪除活動。

對使用者和變更管理的影響

對廣泛存取權限的系統管理變更可能會導致使用者被拒絕存取，或無法執行某些動作。

此外，若要保護 Microsoft 365 租用戶中的敏感性資訊，請訓練您的使用者:

• 建立具有嚴格存取權限的通訊及共同作業地點 (最少有存取權的使用者帳戶，以及每個帳戶允許最少的動作)。
• 在敏感性資訊上套用適當的敏感性標籤。
• 使用受控資料夾存取權。

產生的設定

以下是針對步驟 1-5 適用於您的租用戶的勒索軟體保護。

其他勒索軟體資源

Microsoft 的重要資訊:

• 勒索軟體的威脅不斷增加，2021 年 7 月 20 日 Microsoft On The Issues 的部落格文章
• 人為操作勒索軟體
• 快速部署勒索軟體防護
• 2021 Microsoft 數位防禦報告 (請參閱第 10-19 頁)
• 勒索軟體：Microsoft Defender 入口網站中普遍且持續的威脅分析報告
• Microsoft 偵測及回應團隊 (DART) 勒索軟體的方法和最佳作法以及案例研究

Microsoft 365:

• 使用 Azure 和 Microsoft 365 最大化勒索軟體復原能力
• 勒索軟體事件回應劇本
• 惡意程式碼與勒索軟體防護
• 保護您的 Windows 10 電腦上的勒索軟體
• 在 SharePoint Online 中處理勒索軟體
• Microsoft Defender 入口網站中勒索軟體的威脅分析報告

Microsoft Defender 全面偵測回應：

• 使用進階搜捕尋找勒索軟體

Microsoft Azure:

• 針對勒索軟體攻擊的 Azure 防護
• 使用 Azure 和 Microsoft 365 最大化勒索軟體復原能力
• 防護勒索軟體的備份與還原計劃
• 使用 Microsoft Azure 備份，協助防護勒索軟體 (26 分鐘的影片)
• 從系統性身分識別洩露中復原
• Microsoft Sentinel 中的進階多階段攻擊偵測
• Microsoft Sentinel 中勒索軟體的融合偵測

Microsoft 雲端 App 安全性：

• 建立 Defender for Cloud App 中的異常偵測原則

Microsoft 安全性小組部落格文章:

• 預防勒索軟體並從中復原的 3 個步驟 (2021 年 9 月)

• 對抗人為操作勒索軟體的指南: 第 1 部分( 2021 年 9 月)

  Microsoft 的偵測和回應團隊 (DART) 進行勒索軟體事件調查的主要步驟。

• 對抗人為操作勒索軟體的指南: 第 2 部分 (2021 年 9 月)

  建議和最佳作法。

• 透過了解網路安全性風險以更具彈性: 第 4 部分—瀏覽目前的威脅 (2021 年 5 月)

  請參閱勒索軟體章節。

• 人為操作的勒索軟體攻擊: 可預防的災難 (2020 年 5 月)

  包括實際攻擊的攻擊鏈分析。

• 勒索軟體回應— 是否要支付？ (2019 年 12 月)

• Norsk Hydro 以透明度回應勒索軟體攻擊 (2019 年 12 月)