你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

保护标识基础结构的五个步骤

阅读本文档意味着你认识到了安全的重要性。 你可能已在履行保护组织的责任。 如果需要说服其他人重视安全性,请建议他们阅读最新的 Microsoft 数字防御报告

本文档将通过一个五步检查表,帮助你使用 Microsoft Entra ID 的功能实现更安全的态势,从而提升组织对网络攻击的防御能力。

此检查表有助于快速部署关键的建议措施,以迅速为组织提供保护。因为其中介绍了如何执行以下操作:

  • 增强凭据
  • 缩小受攻击面
  • 自动响应威胁
  • 利用云智能
  • 启用最终用户自助服务

注意

本文档中的许多建议仅适用于配置使用 Microsoft Entra ID 作为标识提供者的应用程序。 在应用中配置单一登录可确保将凭据策略、威胁检测、审核和日志记录的优势及其他功能添加到这些应用程序。 Microsoft Entra 应用程序管理是所有这些建议的基础。

本文档中的建议与标识安全分数(Microsoft Entra 租户的标识安全配置的自动评估)保持一致。 组织可以使用 Microsoft Entra 管理中心中的“标识安全分数”页查找其当前安全配置的缺口,以确保遵循当前的 Microsoft 安全最佳做法。 在“安全功能分数”页面上实现每条建议将会提高分数,你还可以跟踪进度,将实现与其他类似规模的组织进行比较。

Azure 门户窗口,显示标识安全功能分数和一些建议。

注意

此处建议的部分功能对所有客户开放使用,而其他功能则需要订阅 Microsoft Entra ID P1 或 P2。 有关详细信息,请查看 Microsoft Entra 定价Microsoft Entra 部署清单

开始之前:使用 MFA 保护特权帐户

在开始实施此查检表之前,请确保在阅读此查检表时不会受到攻击。 在 Microsoft Entra 中,我们每天观察到 5000 万次密码攻击,但只有一小部分用户和管理员使用强身份验证,例如多重身份验证 (MFA)。 这些统计信息基于截至 2021 年 8 月的数据。 在Microsoft Entra ID 中,具有特权角色的用户(例如管理员)是用于构建和管理剩余环境部分的信任的根。 实施以下做法可以最大程度地减轻入侵所造成的影响。

获得特权帐户控制权的攻击者可以引发巨大的破坏,因此在继续操作之前保护这些帐户至关重要。 使用 Microsoft Entra 安全默认值条件访问为组织中的所有管理员启用并要求其使用 Microsoft Entra 多重身份验证 (MFA)。 这一点至关重要。

准备好了吗? 让我们开始阅读查检表。

步骤 1:增强凭据

尽管其他类型的攻击正在出现,包括同意钓鱼和非人身份攻击,但基于密码的用户标识攻击仍是最普遍的身份泄露途径。 针对那些还没有实施多重身份验证 (MFA) 或其他相应保护措施的组织,犯罪团伙发起的成熟的鱼叉式网络钓鱼和密码喷射活动仍将能够取得成功。

对组织而言,你需要确保在任何地方都通过 MFA 验证和保护身份。 2020年,联邦调查局 (FBI) 互联网犯罪投诉中心 (IC3) 报告将网络钓鱼确定为受害者投诉的首要犯罪类型。 与去年相比,投诉数量增加了一倍。 网络钓鱼对企业和个人都产生了重大威胁,去年的许多最具破坏性的攻击中都使用过凭据钓鱼。 Microsoft Entra 多重身份验证 (MFA) 使用第二种形式的身份验证来提供另一层安全性,有助于保护对数据和应用程序的访问。 组织可以使用条件访问来启用多重身份验证,以使解决方案满足其特定需求。 查看此部署指南,了解如何规划、实现和推出 Microsoft Entra 多重身份验证

确保组织使用强身份验证

要想轻松启用基本级别的身份安全机制,可使用 Microsoft Entra 安全默认值实现一键式启用。 安全默认值对租户中的所有用户强制实施 Microsoft Entra 多重身份验证,并阻止旧协议租户范围内的登录。

如果组织具有 Microsoft Entra ID P1 或 P2 许可证,则还可使用条件访问见解和报表工作簿来帮助发现配置和覆盖范围方面存在的缺口。 你可以根据这些建议,按照新的条件访问模板体验创建策略,轻松缩小此差距。 条件访问模板旨在提供一种简单方法来部署符合 Microsoft 建议最佳做法的新策略,从而轻松部署常见策略,保护身份和设备。

开始禁止使用经常受到攻击的密码,摒弃传统的复杂性规则和过期规则。

许多组织使用的是传统的复杂性和密码过期规则。 Microsoft 的研究显示这些策略会导致用户选择更容易被猜到的密码,美国国家标准与技术研究所 (NIST) 特别出版物 800-63B 数字身份指南也指出了这一点。 我们建议使用 Microsoft Entra 密码保护,这是一种考虑了当前攻击者行为的动态禁用密码功能,可以防止用户设置容易被猜出的密码。 在云中创建用户时,始终会启用此功能。混合型组织在部署适用于 Windows Server Active Directory 的 Microsoft Entra 密码保护时,也可以使用此功能。 此外,建议你删除过期策略。 密码更改无法遏制网络犯罪,因为网络罪犯几乎总是在凭据泄露后立即使用凭据。 请参阅为组织设置密码过期策略这篇文章。

防止凭据泄漏,并针对服务中断添加复原功能

在 Microsoft Entra ID 中为本地 Directory 对象启用云身份验证的最简单和推荐方法是启用密码哈希同步 (PHS)。 如果组织使用实施直通身份验证或联合身份验证的混合标识解决方案,应该启用密码哈希同步,原因包括以下两点:

  • Microsoft Entra ID 中的凭据泄露用户报告会就公开的用户名和密码对提供警告。 日后遭到攻击的第三方站点上出现的网络钓鱼、恶意软件和密码重用,导致大量的密码泄漏。 Microsoft 会发现许多此类泄露的凭据,并在这些凭据与你所在组织中的凭据匹配时通过此报告中告诉你 - 但前提是你启用了密码哈希同步或具有仅限云的标识。
  • 如果发生本地服务中断(如勒索软件攻击),可以切换到使用密码哈希同步的云身份验证。此备用身份验证方法让你可以继续访问配置了 Microsoft Entra ID 身份验证的应用,包括 Microsoft 365。 在这种情况下,解决本地服务中断之前,IT 人员无需采用影子 IT 或个人电子邮件帐户来共享数据。

请勿以明文形式存储密码,或者使用 Microsoft Entra ID 不可逆算法加密。 有关密码哈希同步的实际过程的详细信息,请参阅密码哈希同步工作原理的详细说明

实施 AD FS Extranet 智能锁定

智能锁定功能用于锁定那些试图猜测用户密码或使用暴力破解方法进入系统的恶意行动者。 智能锁定功能可识别有效用户的登录,将其与攻击者和其他未知来源的登录区别对待。 攻击者会被锁定,而你的用户可继续访问其帐户,工作效率很高。 将应用程序配置为直接向 Microsoft Entra ID 进行身份验证的组织受益于 Microsoft Entra 智能锁定。 使用 AD FS 2016 和 AD FS 2019 的联合身份验证部署可以使用 AD FS Extranet 锁定和 Extranet 智能锁定来实现类似好处。

步骤 2:缩小受攻击面

密码攻击无处不在,尽量缩小组织中的受攻击面至关重要。 禁用不安全的较旧协议、限制访问入口点、迁移到云身份验证、对资源的管理访问权限进行更严格的控制,并采用零信任安全原则。

使用云身份验证

凭据是主要的攻击向量。 此博客中的做法可通过采用云身份验证、部署 MFA 和使用无密码身份验证方法来缩小攻击面。 你还可以部署无密码身份验证方法,例如 Windows Hello 企业版、通过 Microsoft Authenticator 应用实现手机登录或 FIDO。

阻止传统身份验证

使用自身的传统方法向 Microsoft Entra ID 进行身份验证和访问公司数据的应用给组织带来了另一种风险。 使用传统身份验证的应用示例包括 POP3、IMAP4 或 SMTP 客户端。 传统身份验证应用会代表用户执行身份验证,并阻止 Microsoft Entra ID 执行高级安全评估。 新式身份验证这一替代方案可降低安全风险,因为它支持多重身份验证和条件访问。

建议执行以下操作:

  1. 根据 Microsoft Entra 登录日志和 Log Analytic 工作簿找出组织内的旧身份验证。
  2. 将 SharePoint Online 和 Exchange Online 设置为使用新式身份验证。
  3. 如果你有 Microsoft Entra ID P1 或 P2 许可证,请使用条件访问策略阻止旧身份验证。 对于 Microsoft Entra ID 免费层,请使用 Microsoft Entra 安全默认值。
  4. 如果使用 AD FS,则阻止传统身份验证。
  5. 使用 Exchange Server 2019 阻止旧身份验证。
  6. 在 Exchange Online 中禁用旧身份验证。

有关详细信息,请参阅阻止 Microsoft Entra ID 中的旧身份验证协议一文。

阻止无效的身份验证入口点

根据显式验证原则,应减少用户凭据被盗用时所产生的影响。 对于环境中的每个应用,请考虑有效用例:要为哪些组、哪些网络、哪些设备和其他元素授权,然后阻止余下的部分。 Microsoft Entra 条件访问让你可以根据定义的特定条件控制授权用户访问其应用和资源的方式。

有关如何对云应用和用户操作使用条件访问的详细信息,请参阅条件访问云应用、操作和身份验证上下文

评审和管理管理员角色

零信任的另一大支柱是,需要最大程度地降低遭到入侵的帐户可以使用特权角色进行操作的可能性。 可以通过向角色身份分配最小数量的特权来实现此控制。 如果你不熟悉 Microsoft Entra 角色,本文将帮助你了解 Microsoft Entra 角色。

Microsoft Entra ID 中的特权角色应该是仅云帐户,以便将其与任何本地环境隔开,而且不得使用本地密码保管库来存储凭据。

实现特权访问管理

Privileged Identity Management (PIM) 提供基于时间且基于审批的角色激活,用于缓解重要资源上出现的访问权限过度、不必要或滥用的风险。 这些资源包括 Microsoft Entra ID、Azure 和其他 Microsoft Online Services(例如 Microsoft 365 或 Microsoft Intune)中的资源。

Microsoft Entra Privileged Identity Management (PIM) 有助于尽量减少帐户特权,方法是帮助你:

  • 识别和管理已分配到管理角色的用户。
  • 了解应删除的未使用或过多的特权角色。
  • 建立规则来确保特权角色受到多重身份验证的保护。
  • 建立规则来确保授予特权角色的时间长短刚好足够用于完成特权任务。

启用 Microsoft Entra PIM,然后查看分配有管理角色的用户,并移除这些角色中不必要的帐户。 对于剩余的特权用户,请将其角色分配从“永久”更改为“符合条件”。 最后,建立适当的策略,确保当这些用户需要访问这些特权角色时,能够使用所需的变更控制安全地进行访问。

Microsoft Entra 内置和自定义角色的运作原理与针对 Azure 资源(Azure 角色)的基于角色的访问控制系统中的角色类似。 这两个基于角色的访问控制系统的区别在于:

  • 使用 Microsoft Graph API 实现对 Microsoft Entra 资源的 Microsoft Entra 角色控制访问,例如用户、组和应用程序
  • 使用 Azure 资源管理实现对 Azure 资源的 Azure 角色控制访问,例如虚拟机或存储

这两个系统都包含角色定义和角色分配,且其用途相似。 但是,Microsoft Entra 角色权限不能用于 Azure 自定义角色,反之亦然。 在部署特权帐户的过程中,请遵循至少创建两个紧急帐户的最佳做法,确保自己被锁定时仍能访问 Microsoft Entra ID。

有关详细信息,请参阅规划 Privileged Identity Management 部署和保护特权访问。

请务必了解各种 Microsoft Entra 应用程序同意体验、权限和同意的类型以及它们对组织安全状况的影响。 尽管允许用户自行许可确实可让用户轻松获取与 Microsoft 365、Azure 和其他服务集成的有用应用程序,但如果未小心使用或未受监视,这可能会带来风险。

Microsoft 建议限制用户同意,以允许最终用户仅同意来自经验证的出版商的应用,并且只同意所选择的权限。 如果最终用户同意受到限制,则以前的同意授予仍然有效,但所有将来的同意操作必须由管理员执行。 对于受限情况,用户可以通过集成的管理员同意请求工作流或通过你自己的支持流程请求管理员同意。 在限制最终用户同意之前,请根据我们的建议在你的组织中计划此更改。 对于你希望允许所有用户访问的应用程序,请考虑代表所有用户授予同意,确保尚未单独同意的用户可以访问该应用。 如果不希望这些应用程序对所有场景中的所有用户都可用,请使用应用程序分配和条件访问来限制用户对特定应用的访问。

确保用户可以请求管理员批准新应用程序,以减少用户摩擦、最大程度降低支持工作量并防止用户使用非 Microsoft Entra 凭据注册应用程序。 管控同意操作后,管理员应定期审核应用和许可权限。

有关详细信息,请参阅 Microsoft Entra 同意框架一文。

步骤 3:自动响应威胁

Microsoft Entra ID 中的许多功能可以自动截获攻击,以消除检测与响应之间的延迟。 如果能够减少罪犯渗入你的环境所能利用的时间,则就可以降低成本和风险。 下面是可以采取的具体措施。

有关详细信息,请参阅如何配置和启用风险策略一文。

实施登录风险策略

登录风险表示给定标识所有者未授权身份验证请求的概率。 可以通过将登录风险条件添加到条件访问策略(评估特定用户或组的风险级别)实现基于登录风险的策略。 根据风险级别(高/中/低),可以配置一个策略来阻止访问,或强制实施多重身份验证。 建议对中等或以上风险登录强制进行多重身份验证。

针对中风险和高风险登录要求使用 MFA 的条件访问策略。

实现用户风险安全策略

用户风险表示用户标识被盗用的可能性,根据与用户标识关联的用户风险检测进行计算。 可以通过将用户风险条件添加到条件访问策略(评估特定用户的风险级别)实现基于用户风险的策略。 根据“低”、“中”、“高”风险级别,可以配置一个策略来阻止访问,或者要求使用多重身份验证进行安全密码更改。 Microsoft 建议要求高风险用户进行安全密码更改。

针对高风险用户要求密码更改的条件访问策略。

用户风险检测中包括一项检查,可检测用户凭据是否与网络罪犯泄露的凭据匹配。 为了优化功能,使用 Microsoft Entra Connect Sync 实现密码哈希同步至关重要。

将 Microsoft Defender XDR 与 Microsoft Entra ID Protection 集成

要想标识保护尽可能执行最佳风险检测,需要获取尽可能多的信号。 因此,整合整套 Microsoft Defender XDR 服务至关重要:

  • 用于终结点的 Microsoft Defender
  • Microsoft Defender for Office 365
  • Microsoft Defender for Identity
  • Microsoft Defender for Cloud Apps

请观看下方短视频,了解 Microsoft 威胁防护和集成不同域的重要性的更多信息。

设置监视和警报

监视和审核日志对检测可疑行为非常重要。 Azure 门户有多种方法集成 Microsoft Entra 日志和其他工具(如 Microsoft Sentinel、Azure Monitor 和其他 SIEM 工具)。 有关详细信息,请参阅 Microsoft Entra 安全运营指南

步骤 4:利用云智能

审核和记录与安全相关的事件以及相关警报是有效保护策略的至关重要组成部分。 安全日志和报告提供可疑活动的电子记录,并帮助检测表明可能存在试图或已成功的外部网络渗透以及内部攻击的模式。 可以使用审核来监控用户活动、记录法规遵从性以及进行取证分析等。 警报提供安全事件的通知。 确保通过导出到 Azure Monitor 或 SIEM 工具,针对 Microsoft Entra ID 的登录日志和审核日志实施了日志保留策略。

监视 Microsoft Entra ID

Microsoft Azure 服务和功能提供可配置的安全审核和日志记录选项,帮助识别安全策略和机制的缺口,并解决这些缺口,以防违规。 可以使用 Azure 日志记录和审核,并在 Microsoft Entra 管理中心使用审核活动报告。 有关监视用户帐户、特权帐户、应用和设备的详细信息,请参阅 Microsoft Entra 安全运营指南

在混合环境中监视 Microsoft Entra Connect Health

使用 Microsoft Entra Connect Health 监视 AD FS 能够更好地洞察潜在问题以及 AD FS 基础结构受到的攻击。 现在你可以查看 ADFS 登录,进行更深入的监视。 Microsoft Entra Connect Health 提供附带详细信息的警报、解决方法步骤、相关文档的链接、与身份验证流量相关的多个指标的使用情况分析、性能监视和报告。 请利用好 ADFS 有风险的 IP 工作簿,它有助于识别环境规范,在发生变化时发出警报。 混合基础结构都应视作第 0 层资产进行监视。 有关这些资产的详细监视指南,请参阅基础结构安全操作指南

监视 Microsoft Entra ID Protection 事件

Microsoft Entra ID Protection 提供两份你应该每日监视的重要报告:

  1. 风险登录报告会显示用户登录活动,你应该调查相应登录是否是由合法所有者执行的。
  2. 风险用户报告会显示可能已被盗用的用户帐户,例如检测到泄漏的凭据,或者用户从不可能的异地位置登录。

Azure 门户中标识保护中的活动的概述图表。

审核应用和许可的权限

用户可能在诱骗之下导航到已被入侵的网站或应用,导致攻击者获取到用户的个人资料信息和数据(例如电子邮件)。 恶意行动者可以使用获得的许可权限来加密用户的邮箱内容,并勒索邮箱数据的赎金。 管理员应该审查并审核用户授予的权限。 除了审核用户授予的权限之外,还可以在高级环境中查找有风险或不需要的 OAuth 应用程序

步骤 5:启用最终用户自助服务

我们希望在安全性与工作效率之间尽量实现平衡。 为便于制定长远安全基准,你可以赋能用户,消除组织中存在的冲突,并保持警惕,减少运营开销。

实施自助密码重置

IT 管理员可以通过 Microsoft Entra ID 的自助式密码重置 (SSPR),让用户方便地重置或解锁其密码或帐户,而无需支持人员或管理员的干预。 系统提供详细的报告,用于跟踪用户何时重置密码,同时还提供提醒误用或滥用情况的通知。

实现自助服务组和应用程序访问

Microsoft Entra ID 允许非管理员使用安全组、Microsoft 365 组、应用程序角色和访问包目录管理对资源的访问。 自助服务组管理使组所有者能够管理自己的组,而无需分配管理角色。 用户还可以创建和管理 Microsoft 365 组,而无需依赖管理员来处理其请求,未使用的组会自动过期。 Microsoft Entra 权利管理进一步启用委派和可见性,具有全面的访问请求工作流和自动过期。 你可以委托非管理员为其拥有的组、Teams、应用程序和 SharePoint Online 网站配置自己的访问包,并针对需要批准访问权限的人员配置自定义策略,包括将员工的经理和业务合作伙伴发起人配置为审批者。

实施 Microsoft Entra 访问评审

Microsoft Entra 访问评审让你可以管理访问包和组成员身份、企业应用程序的访问权限和特权角色分配,以确保维持以下安全标准。 用户本身、资源所有者和其他审阅者的定期监督确保了用户在不再需要访问权限的情况下不会长时间保留访问权限。

实现自动用户预配

预配和取消预配是确保多个系统之间数字标识一致性的过程。 这些过程通常作为标识生命周期管理的一部分加以应用。

预配是在目标系统中基于特定条件创建标识的过程。 取消预配是在不再满足条件时从目标系统中移除标识的过程。 同步是使预配的对象保持最新状态的过程,目的是使源对象和目标对象相似。

Microsoft Entra ID 目前提供三个自动预配领域。 它们是:

  • 通过 HR 驱动的预配从外部非目录权威记录系统预配到 Microsoft Entra ID
  • 通过应用预配从 Microsoft Entra ID 预配到应用程序
  • 通过目录间预配在 Microsoft Entra ID 和 Active Directory 域服务之间预配

在此处了解详细信息:什么是使用 Microsoft Entra ID 进行预配?

总结

保护安全标识基础结构涉及到很多方面,但这一五步检查表可帮助你快速实现一个更可靠的安全标识基础结构:

  • 增强凭据
  • 缩小受攻击面
  • 自动响应威胁
  • 利用云智能
  • 启用最终用户自助服务

非常感谢你对安全性的高度重视,希望本文档在帮助提高组织安全性上能为你提供有用思路。

后续步骤

如果在规划和部署这些建议方面需要帮助,请参阅 Microsoft Entra ID 项目部署计划

如果你确信所有这些步骤都已完成,请使用 Microsoft 的标识安全分数,它可让你随时了解最新的最佳做法和安全威胁。