Active Directory 和 Azure Active Directory 中的零信任安全模型

为什么零信任安全对您的组织很重要

保护组织免受攻击和其他网络威胁的一种重要方法是为本地 Active Directory 和 Azure AD 中的组（通讯组列表、安全组、Microsoft 365 组）实施零信任安全模型。毕竟，这些组织控制着对 IT 资产的访问，从敏感数据到重要的通信渠道和 Microsoft Teams 和 SharePoint 等工具。

零信任模型要求从不授予隐式信任，但始终验证访问请求的合法性。那么，零信任安全模型对于 Active Directory、Azure AD 和 Microsoft 365 中的组意味着什么？

• 对于通讯组，规则解决方案很简单：先进行身份验证，然后进行过滤。它是关于不允许传递消息，除非消息来自可以通过身份验证并且具有向该组传递消息的明确权限的发件人。重要的是要了解涉及通讯组列表的攻击方法已经演变。过去，威胁通常涉及发送到列表的电子邮件中包含恶意链接或附件。如今，攻击者主要通过伪装发件人身份并使用社交工程来欺骗用户。

  

• 对于安全组，实施零信任是为了防止未经授权的用户更改组成员资格，并通过要求组所有者定期检查组成员资格来严格执行最小权限原则。

  

如何使用 Netwrix GroupID 实施零信任安全

Netwrix GroupID 提供了一种方便而强大的方法来为通讯组列表和安全组实施关键的零信任最佳实践，从而降低基于身份的攻击的风险。特别是，您可以：

• 对向组发送电子邮件的用户进行身份验证。
• 使用白名单和黑名单控制谁可以向通讯组列表发送电子邮件。
• 通过动态组成员身份提高访问决策的准确性。
• 通过审核和批准工作流程防止对组进行不当更改。
• 通过定期证明确保群组拥有正确的成员和属性。
• 通过全面了解权利，准确执行最小特权。
• 实施额外的零信任原则。

对向通讯组列表发送电子邮件的用户进行身份验证

Netwrix GroupID 可帮助您确保通讯组列表成员仅收到来自受信任发件人的电子邮件。只需在组属性中启用需要身份验证才能发送邮件设置，即可阻止来自无法在接收组所在域上进行身份验证的用户的传入电子邮件。

使用白名单和黑名单控制谁可以向通讯组列表发送电子邮件

为了进一步帮助确保您的通讯组列表仅接收来自值得信赖的发件人的电子邮件，Netwrix GroupID 使您能够使用白名单和黑名单。你可以：

• 允许通讯组列表仅接收来自群组所有者、群组成员或两者的电子邮件。
• 允许通讯组列表接收来自特定用户和组的电子邮件。
• 阻止来自特定用户和组的电子邮件。

因此，Netwrix GroupID 将所有未知域、发送服务、联系人和其他实体视为不受信任 — 除非您授予权限。

身份验证和筛选器均内置于本地 Exchange 和 Exchange Online 中； Netwrix GroupID 的魔力在于使群组所有者可以轻松使用这些面向 IT 的功能，否则他们可能不知道这些控件的存在。

通过动态组成员身份提高访问决策的准确性

由于安全组允许访问敏感信息和系统，因此必须准确评估其成员资格。但更新组成员身份的手动方法速度缓慢且容易出错。

为了提供帮助，Netwrix GroupID 提供了动态组成员资格 - 您可以构建强大的 LDAP 查询来为您的组启用动态成员资格。您可以安排这些查询自动运行，并在目录中的用户信息发生更改时更新组成员身份。例如，您可以使用动态组来确保只有 IT 团队的当前成员才是有权管理特定 IT 系统的安全组的成员。

Netwrix GroupID 提供了一个易于使用的界面，用于构建复杂的查询。只需指定查询要获取的对象类型（例如组、用户或计算机）并定义属性条件（例如部门或位置）。您可以通过指定要查询匹配记录的外部数据源来进一步增强查询，甚至可以编写脚本来操作查询结果。因此，您可以确保大型组的成员资格准确无误，同时减轻 IT 团队手动添加和删除成员的负担。

通过审核和批准工作流程防止对组进行不当更改

对组成员的任何不当更改都可能危及生产力和安全。 Netwrix GroupID 通过审核和审批工作流程帮助降低这种风险。您可以设置一个工作流来监视特定用户或组的特定属性的某些更改事件（添加、编辑或删除），并自动将这些事件发送给指定用户以供批准或拒绝。

特别是，您可以定义工作流程来控制对定义其成员资格的组的 LDAP 查询的更改。 Netwrix GroupID 的历史跟踪功能还记录组属性和成员资格的所有更改。

通过定期认证确保群组拥有正确的成员和属性

定期的组认证对于确保每个用户只能访问其工作所需的 IT 资源至关重要。特别是，它可以帮助您识别哪些群组中的成员不应再属于该群组，以及哪些群组已经超出了其目的。

Netwrix GroupID 使您能够强制群组所有者检查他们的群组，并对它们进行更改或证明它们是正确的且是最新的。所有者可以轻松地为其组查看以下内容：

• 成员身份 - 成员可以包括用户和嵌套组。
• 权限——群组的权限应仅限于群组成员完成其任务所需的权限。
• 属性 - 示例包括群组的描述、电子邮件地址和过期政策。
• 目的 - 应删除或禁用既定业务目的不需要的组。

通过全面了解权利，准确执行最小特权

零信任有助于保护您的数据和系统免遭未经授权的访问。因此，您需要清楚地了解 IT 资源（例如文件服务器和 SharePoint 网站）的所有权利。

Netwrix GroupID 使您可以轻松获得这种理解。你可以：

• 发现所有加入域的文件共享
• 分析每个文件夹和文件的权限
• 发现继承中的级联权利

凭借这种深入的洞察力，您可以建立并实施最小权限，这是零信任安全模型的核心最佳实践。

实施额外的零信任原则。

Netwrix GroupID 可以帮助您实施零信任的许多其他方面，例如：

• 识别孤立群组 - 没有所有者的群组会带来严重的安全风险，因为没有人负责确保它们拥有正确的成员身份和权限，甚至没有人负责证明它们具有某种用途。
• 授予临时组成员身份- Active Directory、Azure AD 或 Microsoft 365 组中的成员可以在临时期间自动添加和删除。

• 为群组设置到期日期 - 让群组自动到期可以降低群组超出预期用途的风险。

  

安全——今天和明天

采用零信任模型对于安全性和业务连续性都至关重要。一个很好的开始方法是获得对授予 IT 资源访问权限的组的控制权。 Netwrix GroupID 可以帮助您保护 Active Directory、Azure AD 和 Microsoft 365 组，从而保护它们提供的数据和应用程序的访问权限，从文件共享到电子邮件到 SharePoint 和 Teams。