Office 365 勒索软件防护

如今，大多数组织都依赖 Entra ID（以前称为 Azure AD）和 Microsoft 365（以前称为 Office 365）来进行核心业务运营。但这些重要平台针对勒索软件的安全性如何？

本文探讨了 Entra ID 和 Microsoft 365 中的关键问题，并详细介绍了它们提供的用于阻止、检测和恢复勒索软件的关键安全控制。然后，它提供了一个强大的解决方案，可以进一步保护您的数据和 IT 系统。

Entra ID 的安全问题

本地 Active Directory 是网络犯罪分子的首要目标，因为它仍然是大多数组织的主要身份管理服务。然而，Entra ID 也可能受到损害，并且正在成为更常见的目标。以下是容易受到勒索软件攻击的主要因素：

• 无组织单位 (OU)- 在本地 AD 中，管理员经常使用 OU 对用户和设备进行分组，以实现更准确、更高效的配置和监控。例如，将所有高特权帐户放在一个 OU 中可以更轻松地对其应用更严格的安全控制。但是，Entra ID 不支持组织单位。由此增加的 IT 团队管理负担可能会导致出现导致勒索软件感染的错误。
• 无组策略 - 在本地 AD 中，管理员也倾向于严重依赖组策略来加强安全性。 Entra ID 不支持组策略，这使得管理设备设置变得更加困难，从而允许安装和执行勒索软件。
• 存在缺陷的单点登录 (SSO) 协议 — SSO 使用户无需输入密码即可登录 Entra ID。然而，用于 SSO 的 SAML 协议存在缺陷，这使得黑客能够执行暴力攻击来危及用户帐户。虽然多重身份验证 (MFA) 可以阻止这些攻击，但要求所有帐户都进行 MFA 并不实际，因为它会干扰使用远程 PowerShell 提供支持等任务。黑客经常在未启用 MFA 的情况下试图破坏管理帐户。备受瞩目的例子包括德勤 (Deloitte) 事件，黑客入侵了该公司的全球电子邮件服务器；Optus 事件，其面向公众的 API 缺乏身份验证，导致约 1000 万条包含用户敏感个人信息的记录被曝光。
• 混合环境中的盲点 - 大多数组织都有一个结合了本地 AD 和 Entra ID 的混合环境。由此产生的身份和访问管理以及端点管理的复杂性可能会导致盲点，为黑客部署勒索软件提供机会。

受损的 Azure AD 帐户的行为方式

Entra ID 提供基于角色的访问控制 (RBAC)，因此分配给用户的一个或多个角色会影响黑客在入侵帐户时可以执行的操作。以下是需要了解的关键内置角色：

• 读者 — 黑客只要入侵具有此角色的帐户，就可以访问敏感信息。他们可以阅读可能具有硬编码凭据或其他有用信息的运行手册和其他资源。威胁行为者还通过虚拟网络跟踪新目标和地址空间。
• 所有者 - 所有者角色可以编辑资源并向任何资源授予权限。因此，威胁行为者对这个角色非常感兴趣。
• 贡献者 - 具有此角色的用户可以上传新文件夹和文件，但不能删除、移动或复制文件。因此，这个角色对黑客来说帮助不大。
• 用户访问管理员 - 通过此角色，威胁行为者可以授予对其他资源的访问权限。因此，这也是一个你应该谨慎授予的强大角色。

Microsoft 365 中的安全问题

攻击者可以利用 Microsoft 365 作为勒索软件的入口点。需要防范的主要问题包括：

• 网络钓鱼 - 攻击者通过 Exchange Online 发送电子邮件，诱骗用户打开恶意附件或访问恶意网站，从而启动勒索软件。
• 文件文件共享 - SharePoint 和 Teams 是功能强大的协作工具，使用户可以轻松地与内部同事和外部各方共享信息。如果没有适当的控制和监督，攻击者可能会上传恶意文件或收集勒索软件攻击的有用信息。
• 权限管理不当 - Microsoft 365 是一个管理起来非常复杂的平台，因此用户最终可能会获得比他们需要的更多的访问权限。任何在其凭据下运行的勒索软件都会继承这些权利，这使其能够造成比严格执行最低权限时更大的损害。

Microsoft 防御勒索软件的工具

为了降低勒索软件的风险，Office 365 和 Entra ID 提供了各种安全工具，包括：

• Microsoft Defender 提供高级威胁检测和保护功能。它可以帮助您发现和缓解漏洞以减少攻击面，以及发现和破坏正在进行的勒索软件威胁。
• Microsoft 安全评分会分析您的安全性并将其与 Microsoft 的基准进行比较，从而生成一个数字分数，您可以使用该分数来衡量安全改进策略的有效性。
• Microsoft Purview 合规管理器帮助您评估对法规要求的遵守情况，并了解需要采取哪些改进措施，这可以帮助您跟上新法规和新版本现有指令的要求。
• Microsoft Purview 数据丢失防护可帮助您控制和监视对数据的访问，以防止未经授权的共享、使用或传输敏感信息。例如，您可以定义机密级别并确定允许对敏感信息执行哪些操作。
• Microsoft 条件访问使您能够定义策略，根据设备、位置或会话风险等因素动态确定是否允许、阻止或限制访问或需要额外的验证步骤。例如，条件访问可以通过添加 MFA 步骤来阻止对手尝试使用从异常位置窃取的凭据进行登录，从而防止他们植入勒索软件。
• Microsoft Purview 信息保护 可帮助您发现、分类和保护敏感信息，无论其位于何处或移动。例如，您可以确保发送给任何用户的电子邮件都经过加密，以便只有授权的收件人才能阅读它们。
• Microsoft Entra 身份保护帮助组织检测、调查和修复基于身份的风险。特别是，它可以帮助您发现异常的用户行为，这些行为可能表明勒索软件攻击者试图使用被盗的凭据或正在进行的勒索软件威胁。
• 数据恢复 - 如果勒索软件攻击确实成功，Microsoft 会提供一些 Entra ID 和 Office 365 勒索软件恢复选项。其中包括“恢复 OneDrive”功能、OneDrive 回收站和 SharePoint 网站集回收站。然而，组织还需要实施企业级质量的备份和恢复策略。

Netwrix GroupID 如何提供帮助

虽然这些 Microsoft 解决方案很有价值，但正确管理混合或云环境是一项复杂的任务，任何错误或错误配置都可能为代价高昂的勒索软件感染打开大门。第三方解决方案可以提供帮助。

Netwrix GroupID 是一款功能强大的身份和访问管理 (IAM) 解决方案，可减轻 IT 团队的负担，同时增强安全性和合规性。它使您能够：

• 简化安全和通讯组的管理
• 识别群组所有者
• 委派组管理任务
• 生成用户友好的报告以增强洞察力和控制

常问问题

Microsoft Office 365 有病毒防护吗？

是的，Office 365 配备了强大的防病毒和反恶意软件功能。它采用先进的威胁情报和扫描技术来检测和阻止病毒攻击。

Office 365 是否内置勒索软件防护？

是的，Microsoft 365 包含内置的勒索软件保护功能。它利用先进的威胁防护措施来检测和减轻其应用程序套件中的勒索软件威胁。

OneDrive 是否有勒索软件防护？

是的。 OneDrive 是 Microsoft 365 套件的一部分。它使用文件版本控制和智能威胁检测来帮助保护您的文件免受勒索软件攻击，并提供一些备份和恢复功能。

Microsoft Defender 能否防范勒索软件？

是的，Microsoft Defender 提供针对勒索软件的保护。它采用先进的威胁防护机制来检测、阻止和响应勒索软件威胁。