Microsoft Office 365 安全问题及其解决方法

Microsoft Office 365（现称为 Microsoft 365）可通过 SharePoint Online、MS Teams 和 OneDrive 等解决方案实现协作和数据共享。这些应用程序得到广泛使用，但都有一个采用的障碍——安全问题。

幸运的是，云提供商拥有比普通企业更多的专用于安全的资源。尽管您最终负责保护敏感数据，但仍有强大的本机安全功能可以解决 Microsoft Office 365 安全问题。此外，还有第三方解决方案可以帮助你确保整个基础设施（而不仅仅是 Microsoft 365）的强大安全态势。

本文介绍了最重要的 Microsoft Office 365 安全问题，并详细介绍了如何解决这些问题：

• Microsoft 365 主要安全问题
• 如何克服 Microsoft 365 云安全问题

Microsoft 365 主要安全问题

Microsoft 在保护其云服务方面做得非常出色。然而，云用户必须负责配置和管理安全访问和文件共享，以最大限度地降低数据泄露的风险。以下是最重要的安全问题。

未经授权或外部文件共享

Microsoft 365 使您的用户能够在 Teams 和 SharePoint 等应用程序中与组织外部的人员进行协作，以及直接共享文件和文件夹。我们在其他文章中详细讨论了 Microsoft 365 中的外部共享，特别是 Teams 中的外部共享。

每当文件在组织外部共享时，它们就会变得容易受到攻击。使用 Microsoft 365，用户可以共享单个文件，也可以共享整个文件夹，这将授予对该文件夹及其所有子文件夹中当前所有文件以及在其中创建的任何新文件的访问权限。

滥用特权

用户最终获得的权限通常超出了他们完成工作所需的权限。过多的权限会增加数据泄露的风险，因为用户可能会意外或故意暴露或窃取比应有的更多数据。同样，接管用户帐户的恶意软件或黑客也能够访问不必要的数据和系统。

Microsoft 365 无法轻松地根据业务部门或国家/地区或远程或卫星办公室限制权限。精细地授予管理员仅执行特定功能（例如重置用户密码）的权限也很棘手。

全局管理员帐户违规

黑客和网络犯罪分子在攻击中经常以管理帐户为目标，以获得更高的权限。 Microsoft 365 中的集中管理模型允许所有管理员拥有全局凭据，从而授予对每个用户的帐户和内容的访问权限。如果黑客设法接管全局管理员帐户，他们就可以更改关键设置、窃取有价值的数据并留下后门以再次进入。

为了降低这些强大帐户被盗用的风险，您可以在安全与合规中心设置多重身份验证 (MFA)。请记住，默认情况下，全局管理员未启用 MFA。

禁用审核日志

Microsoft 365 中默认不启用审核记录；管理员必须手动打开审核。同样，要审核电子邮件邮箱，管理员必须打开邮箱审核。

了解审核日志仅显示启用审核后发生的事件。

日志保留期短

Microsoft 365 存储审核日志的时间很短，从 90 天到最长一年。许多合规性标准要求存储审计日志的时间远长于此。 例如，HIPAA 要求日志保留六年。 GDPR 没有规定保留期限，但它要求组织能够调查违规行为，这可能需要一年多的时间才能浮出水面。到那时，本机审核日志就消失了。

如何克服 Microsoft 365 云安全问题

保护 Microsoft 365 中存储的数据的第一步是使用其安全与合规中心提供的安全功能。特别是，Microsoft 安全分数测试会扫描和监控您的 Microsoft 365 身份、应用程序、设备、数据和基础设施，并提出改进建议。您因以下原因获得积分：

• 配置推荐的安全功能
• 执行与安全相关的任务，例如查看报告
• 使用第三方应用程序处理建议

Microsoft 365 还提供内置数据丢失防护 (DLP) 和电子邮件加密。 DLP 工具包括多重身份验证、专用管理员帐户以及针对电子邮件的恶意软件和勒索软件防护。电子邮件加密增加了另一层保护。

以下是提高 Microsoft 365 安全性应采取的其他关键步骤：

启用多重身份验证

多重身份验证要求用户提供两种或多种身份验证方法来访问资源，例如密码加上发送到其设备的一次性代码。 MFA 是可用于防止凭据被盗的最强大的缓解技术。

如何启用 MFA：

1. 在管理中心中，选择用户 > 活跃用户。
2. 在“活跃用户”部分中，选择多重身份验证因素身份验证。
3. 在 MFA 页面上，如果您要启用一名用户，请选择用户，或者您可以执行批量更新。
4. 在快速步骤下，选择启用。
5. 在弹出窗口中，选择启用多重身份验证。

对您的数据进行分类

对文档进行分类可以帮助组织了解其内容的位置和价值，以便他们可以应用适当的安全控制。例如，您可以识别并标记不得与外部用户共享的文件，然后禁用该敏感信息的外部共享。

管理中心的数据分类部分提供了一些分类功能。但是，请使用 Netwrix Data Classification 等第三方解决方案来获得预构建的分类分类法、高度准确的结果、发现和分类过程的完全自动化、对多个本地和云数据存储库的支持以及自动修复工作流程。

设置自动数据修复工作流程

通过自动化数据保护和管理例程，减轻您的工作量，同时增强安全性。在 Netwrix Data Classification 中，您可以设置自动工作流程，将文件移动到安全位置并编辑文档中的机密内容。 这种数据修复降低了数据泄露和违规罚款的风险。

最小化权限

为了降低权限滥用的风险并最大程度地减少受感染帐户的影响范围，请遵循 Microsoft 365 中每个帐户的最小权限原则。此外：

• 定期识别并撤销过多的权限
• 禁用第三方存储服务
• 设置链接的到期日期
• 仅当手头的任务需要时才使用全局管理员帐户

启用统一审核日志记录

使用 Netwrix Auditor 等第三方解决方案来了解 Microsoft 365 环境中的活动，包括权限升级等关键更改和读取 SharePoint 内容等访问事件。定期审查哪些用户访问文档，以确保不会出现未经授权的使用。

启用邮箱审核

启用邮箱审核以监视 Exchange Online 中的活动。默认情况下，2019 年 1 月之前未启用邮箱审核，因此，如果您的实施早于该时间，则需要进入并打开它，如下所示：

1. 打开安全与合规中心。
2. 点击搜索和调查
3. 点击审核日志搜索
4. 点击开始记录用户和管理员活动

特别是，监视权限和设置的所有更改以及非所有者邮箱访问。但是，请记住，本机日志的存储时间有限（从 90 天到一年，具体取决于日志），并且请注意，Microsoft 365 创建的单个审核跟踪很难搜索和分析。离散事件。

使用恶意软件防护

Microsoft 365 包含一些恶意软件防护。您可以通过阻止恶意软件常见的文件类型来进一步增强安全性。

防御勒索软件

使用 Microsoft 365 邮件流规则阻止通常用于插入勒索软件的扩展，警告用户可能被感染的电子邮件附件，并消除电子邮件的自动转发。这些选项可以在 Exchange 管理中心内设置。

加密电子邮件

默认情况下，Microsoft 365 邮件加密处于开启状态。它允许用户在组织内部和外部发送和接收加密的电子邮件。邮件加密适用于 Outlook、Yahoo、Gmail 和其他电子邮件服务。加密可确保只有目标收件人才能查看电子邮件内容。您可以使用多个选项来控制查看、标记和转发电子邮件的方式和时间。

使用其他工具

Microsoft 365 提供了多种额外的安全功能可供利用，包括：

• 高级威胁防护 (ATP)，其中包括：

  • ATP 安全附件，用于阻止网络钓鱼电子邮件中的恶意附件
• ATP 安全链接，用于消息和文档中 URL 的点击时间验证

结论

为了解决 Microsoft 365 安全问题，您的组织应实施全面的策略来缓解最关键的漏洞。许多组织实施第三方解决方案来帮助他们：

• 深入了解云或混合环境
• 使用单个控制台管理对云和本地数据源的访问
• 发现并调查可能导致数据丢失的威胁
• 实现、维持并证明合规性