安全默认设置简介 - Office 365 报告

嘿技术人员！ Microsoft 已弃用其基线策略，现在是时候向新引入的取代基线策略的安全默认值打个招呼了。通过安全默认值，Microsoft 旨在为主要目标是建立一个方便业务的环境而较少考虑安全性的用户提供最大程度的安全性。特别是对于那些不将安全性作为首要考虑因素的用户。

在本博客中，我们将带您了解： -

• 此功能对新手有多大帮助。

• 这会给现有用户带来什么变化？

通过此博客，我们旨在回答您对安全默认值的所有疑问。

安全默认值的主要目标。

技术是弥合人类与虚拟世界之间差距的主要因素，在虚拟世界中保护您的身份的需求变得越来越复杂和重要。日益复杂的攻击使您很容易遭受数据盗窃。为了重点遏制与身份相关的攻击，例如喷雾、回复和网络钓鱼，微软推出了一项新功能“安全默认值”，承诺满足您的基本安全要求。

通过 Azure 门户启用安全默认设置。

1. 以安全管理员、条件访问管理员或全局管理员身份登录到 Azure 门户。
2. 浏览到Azure Active Directory>属性。
3. 选择管理安全默认值。
4. 将启用安全默认值开关设置为是。
5. 选择保存。

或者您可以使用此直接链接来启用安全默认值。

安全默认值中预配置的安全设置。

安全默认值是 Microsoft 开发的新引入的基本安全级别。安全默认值通过其预配置的安全设置来保护您的组织，例如： -

• 统一多重身份验证注册。
• 多重身份验证执行。
• 阻止旧身份验证。
• 保护特权操作。

统一多重身份验证注册。

统一多重身份验证注册涉及多重身份验证的注册。您可以通过以下方式部署MFA。

• 来自 Microsoft Authenticator 应用程序的推送通知或验证码。

• 可以使用硬件令牌（例如 OAUTH 令牌）代替 Microsoft Authenticator 应用程序，但是，您需要 Azure Premium P1 或 P2 才能使用它们。 OATH 令牌解决了没有手机的用户的 MFA 问题。

• 值得注意的是，一次可以部署多个 MFA 进行验证，在这种情况下，可以使用来自 Microsoft Authenticator 应用程序 的 OTP 或来自 OAUTH 令牌的 OTP 。

难以记住密码。

寻找一种无需密码的方法。

您可以采用以下一些方法进行无密码 MFA

• FIDO2 安全密钥
• Windows 你好
• 无需密码的 Microsoft Authenticator 应用

多重身份验证执行

保护管理员：

• 所有重要的 Azure 广告管理员每次登录时都必须执行额外的安全身份验证。

保护所有用户：

阻止旧身份验证：

• 当您启用安全默认值时，应用程序使用的任何旧版身份验证协议（Exchange ActiveSync 除外）都将被阻止。

保护特权操作：

• 访问 Azure 门户、Azure PowerShell 或 Azure CLI 的用户将需要完成额外的身份验证，此策略全面适用于所有用户，无论其角色如何。

• 值得注意的是，启用安全默认值后，将不会为管理员提供 14 天的 MFA 期限。

为什么要设置安全默认值？为什么是现在？

随着 Microsoft 引入安全默认值，它与基线策略具有相同的功能，那么为什么要以安全默认值的名义将其作为新功能引入，您可能会自然而然地产生疑问，而您的疑问的答案就在于“安全默认值”一词本身，与安全默认值中的基准策略不同，默认情况下为所有新用户启用基本安全设置，这增强了该功能的最终目标，即所有帐户都必须配备基本安全设置，直到他们准备好定制自己的安全设置身份安全故事。

安全默认值易于实施，并配备了预配置的设置，只需滑动安全默认值开关即可保护您的组织帐户免受可预防的损害。

• 引入安全默认值的主要原因是由于遥测，超过 99% 的攻击都是针对最终用户的，这可以通过使用 MFA 来阻止，尽管此功能之前已可用，但发现只有 9% 的攻击是针对最终用户的。用户正在利用它，因此 Microsoft 在安全默认值中强制执行 MFA 变得非常重要。

• 需要注意的是，对于这些预配置的安全设置，没有排除用户的选项，一旦启用“安全默认值”选项，所有这些预配置的设置都会应用，而不会进行任何排除。

新用户

• 如果您是新用户，默认情况下会为您启用“安全默认值”功能，但并非所有租户都如此。

现有用户

• 如果您是现有用户，请确保您的应用程序均未使用旧版身份验证。
• 确保您组织中的所有用户都在 14 天内遵守注册 MFA 的规定。有关安全默认值中各种部署注意事项和技术的详细信息，请查看安全默认值博客的部署注意事项。

安全默认值与基准策略有何区别？

上述问题只是让我们意识到并质疑，如果安全默认值是包裹在不同预配置安全标题中的基线策略，只是弃用用户排除功能？

“安全默认设置提供了我们代表组织管理的安全默认设置，以保证客户的安全，直到他们准备好管理自己的身份安全故事”

从上面的陈述中，我们可以反映出，安全默认值只能对新手用户有效，因为他们更关心设置与其组织需求相关的必要应用程序，而不是此类用户的安全性。安全默认值提供了针对威胁的最大保护，并防止常见安全攻击。

同时，对于有自定义需求和要求排除用户的复杂用户，尤其是从安全默认值中的某些预配置设置中排除的用户，必须根据其组织的要求配置条件访问策略。

虽然基线策略确实提供了与安全默认值一样的所有基本安全保护策略，它允许用户单独启用您需要的基线策略，并为您提供用户排除选项，这些选项可以鉴于为特权帐户提供破碎玻璃过程的能力和为服务帐户提供豁免，这是有利的。弃用基准策略后，利用用户排除功能的唯一方法是设置条件访问策略。

安全默认值的优点

• 如果您是新用户，安全默认值无需配置多个安全策略，而是通过其预配置的安全设置为您提供最大程度的保护。

• 它对所有许可证级别和试用租户免费。

安全默认值的缺点

• 这些设置不可自定义，您可以通过选择安全默认值单个切换开关来部署所有预配置的安全设置，也可以禁用它并根据您的要求配置条件访问。

• 如果启用条件策略，您将无法订阅安全默认值。

• 管理员必须警惕并注意安全默认值更新，因为它没有自定义可能性，因此用户将受到新包含内容的影响。

漏洞

如 Microsoft 技术社区博客“安全默认值简介”中所述

“我们将首先扩展，将安全默认设置应用于所有新租户，并追溯应用对于没有为自己采取任何安全措施的现有租户”

上述陈述并没有让我们清楚地了解之前诉诸基线政策的用户将面临什么困境，以及删除它们后，他们将受到怎样的影响。由于我们没有找到任何文档指定默认情况下将为依赖基线策略进行保护的租户启用安全默认值，因此这些用户可能会变得容易受到攻击，因为他们将被剥夺保护他们的基线保护策略。因此，建议在折旧基准策略之前通过条件访问策略预先配置所需的策略或启用安全默认值。

我们能否期望在不久的将来安全默认值中包含更多预配置设置？

是的！！由于 Microsoft 承诺明智地扩展这些安全默认值，以最大程度地保护用户，并将 MFA 作为此旅程的起点，因此您肯定可以期望将更多预配置设置添加到安全默认值中。

摘要

随着基线策略于2020 年 2 月 29 日被弃用，我们不能说向安全默认值的过渡是顺利的，因为它对用户产生了相当大的影响，主要是因为安全默认值没有任何用户排除，如果用户想要继续体验启用基线策略时所习惯的相同安全权限，他们将必须通过条件访问策略从头开始配置类似的基线策略，并且还要求您必须购买 Azure P1 许可证执行他们创建的定制条件访问策略。