2020 年 Active Directory 安全性和 Office 365 预测 - Microsoft 平台管理 - 博客 - Quest Community

以下是我们对明年作为 Active Directory 或 Office 365 专业人士将面临的重大新闻和大型项目的看法！

我在这个行业工作了 16 年多，我的同事们为这些预言做出了贡献，他们拥有比这更多的经验和认证，而 Quest 本身在过去 25 年里已经移动、管理和保护了超过 3.36 亿 AD 用户。因此，我们对 Active Directory 和 Office 365 专业人员所面临的问题有所了解。

我在专家会议 (TEC) 上与业界最受尊敬的 Microsoft MVP 和专家进行了一些非常深入的 1:1 对话，这是一个混合 AD 和 Office 365 专业人士的培训和交流活动，这也很有帮助Quest 赞助的活动；所以我也根据这些谈话做出了一些推论。

让我们来预测一下。

1.更多公司将遵循新的 NIST 指南和 MITRE 安全矩阵

2020 年，更多公司将采用新的 NIST 指南和 MITRE 安全矩阵。这些指南都不是必需的，但它们确实提供了有关 2FA、密码和零信任的最佳实践，以及对可能的攻击途径以及如何防御这些攻击的深入了解。例如，零信任，即任何人或服务帐户都不应该有能力自己做某事的想法，将对权限升级产生限制性影响（即，创建批准工作流程以对目录中的对象进行更改） ）。在 Randy Franklin Smith 的 TEC 主题演讲中了解更多保护 Active Directory 的方法。

2. Azure AD和混合AD安全缺陷将引发新的攻击

从安全角度和最终用户体验的角度来看，组织的一个增长趋势是将更多客户端直接连接到 Azure AD，从而使云身份服务更加权威。这将有助于防止 mimikatz 横向遍历物体，并让用户更快地使用新笔记本电脑。然而，最佳实践、工具和 IT 专业知识未能跟上采用速度，从而产生了新的安全盲点。利用 Azure AD 的端点更容易受到直接攻击，这使得它们成为密码喷洒的主要目标，正如 Sean Metcalf 在专家会议主题演讲中提到的那样。一旦您拥有 Azure AD 密码，攻击者就可以找到移动的方法离开云并进入本地 Active Directory 或从 Azure 回收站还原已删除的用户以重新获得角色访问权限。 2020 年，更多组织将开始部署多重身份验证 (MFA) 和威胁检测。

3. Microsoft Teams 的易受攻击的应用程序将暴露敏感的公司数据

Microsoft Teams 和用户免费下载的应用程序的迅速崛起将为您的网络带来更多访问漏洞。就像我们手机上的易受攻击的应用程序可能会暴露我们的联系人列表、文本、电子邮件、摄像头和麦克风访问权限一样，Teams 环境中的易受攻击或恶意应用程序也可能会暴露。微软确实提供了应用程序权限策略，但你必须知道限制默认情况下所有可访问的应用程序，然后你必须知道要阻止哪些应用程序以及要授权哪些应用程序。但大多数 Teams 管理员不知道或没有时间来管理此问题，因此组织中的任何人都可以将易受攻击的应用程序下载到 Teams 中 - 您知道可以访问大量敏感数据的地方吗？我们在这篇文章中详细介绍了如何保护 Microsoft Teams。

4.看这里！那次勒索软件攻击隐藏着更险恶的东西

他们说掩盖比犯罪更糟糕。当勒索软件攻击破坏您的网络时，很难说哪一个更糟糕，因为您可能事先并不知道自己遭到了破坏 - 这就是 Microsoft 认证大师 Sean Metcalf 在有关 AD 破坏的 TEC Talk 视频中指出的要点。到 2020 年，我们将看到勒索软件从一种快速获取现金的钝器转变为外科手术工具，成为隐藏漏洞踪迹的更大网络攻击策略的一部分。不仅如此，我们还会看到该恶意软件从过去吸取教训，变得更具毁灭性，例如在加密整个目录之前删除 AD 中与其云同类同步的本地对象。像这样的场景可能会摧毁 Norsk Hydro 的 Azure AD 实例，从而阻止他们通过 Exchange Online 进行网络攻击期间的通信。组织将开始更多地审核端点，并转变他们的想法，即勒索软件是一种在野外复制的病毒，而是定时有效负载混淆漏洞的结果。

5.随着您的组织更加重视 Office 365 管理，您将获得一份新工作

企业最终将重新思考如何组织 Office 365 管理团队，以跟上其快速变化和相互依赖的安全模型。他们无法再使用旧模型（例如，Exchange Online 的 Exchange 管理员、SharePoint Online 的 SharePoint 管理员），因为他们都不太擅长管理整体环境，正如 Microsoft MVP Tony Redmond 在这个 TEC 演讲视频中概述的那样。您必须拥有管理员权限才能管理 Office 365，它是 Exchange Online、SharePoint Online、Teams 等的基础。我们将看到这些组织开始组建由项目经理运行的 Office 365 管理团队，以连接 EXO 和 SPO 管理员之间的点每周召开作战室式会议来管理 O365 的大量变更。

6.中小企业的团队拒绝将结束

Microsoft Teams 确实是现代员工的工具，任何一名员工，甚至是实习生，都可以创建一个小组和一个团队，邀请外部贡献者，并将大量数据（甚至是敏感数据）转储到其中。毕竟，Teams 在任何 Office 365 环境中都是默认启用的。在人们还没有意识到自己所处的困境之前，马已经离开了谷仓。我们的企业客户已经开始感受到这种痛苦，但我们看到太多的中小企业客户生活在否认之中。这将在明年结束，因为他们将了解 Teams 以及所有管理它的专家和控制措施。请观看此 TEC Talk 视频，了解如何围绕不断发展的 Teams 环境建立治理，或者查看我们关于 Microsoft Teams 安全性的帖子：有关如何保护 Microsoft Teams 的入门知识。

7.当您认为 Microsoft 许可已经足够令人困惑时，情况会变得更糟

Microsoft 在 10 月底宣布，最终用户无需管理员批准或不知情即可购买 Office 365 PowerBI 产品（PowerBI、PowerApps 和 Flow）的许可证。作为 Office 365 管理员，此功能默认打开，这意味着用户将购买未列入预算且不受控制的许可证。这都是 Microsoft 为最终用户提供支持并简化流程和提高粘性以将这些工具交到他们手中的一部分。到目前为止，我们从管理员那里听到的反应是集体用头撞墙。 2020 年，我们将看到更多组织寻求能够深入了解 Office 365 使用模式的工具，从而显示使用趋势以及估计的许可成本和损失。

由于安全性是 2020 年预测的重要组成部分，因此我将向您展示长期 Microsoft MVP 和 Active Directory 专家兰迪·富兰克林·史密斯 (Randy Franklin Smith) 的这段视频，他在专家会议上的主题演讲中谈到了如何保护您的 AD。