為何要採用 ACSC Essential 八用戶備份指導方針?
澳大利亞網路安全中心 (ACSC) 會領導澳大利亞政府改善網路安全性的工作。 ACSC 建議所有澳大利亞組織從 ACSC 的緩和網路安全性事件策略中實作 Essential Eight 風險降低策略作為基準。 「基本八」基準是基礎網路安全性措施,可讓敵人更難入侵系統。
基本八個成熟度層級可讓組織評估其網路安全性措施的適當性,以防範現今互連ICT環境中的常見威脅。
備份是確保重要數據免於遺失的重要策略,無論是因為硬體故障、竊取、意外損壞或天然災害等實體方法,或是意外刪除、損毀、病毒或惡意代碼感染等邏輯方法所造成。 備份是基本的八大防護功能,或許也是較難以為實作提供規範性指引的其中一項,會根據每個組織的獨特需求而大幅不同。 在 ACSC 降低 網路安全性事件的策略中包含「基本八大」策略之一,即可看到「定期備份」的重要性。
傳統備份方法是定期執行數據的完整、差異或增量複本,並離線儲存備份媒體,最好是儲存在不同的設施中,以便及時還原數據的全新複本。 雖然在在線世界中鏡像這類方法可能很吸引人,但雲端服務的規模可能會使這類量值變得不切實際且成本高昂。
這是否表示您不需要使用 Microsoft 365 等服務來備份數據? 不! 您絕對需要確保您的資訊受到保護。 不過,使用 Microsoft 365 等服務來進行此作業的方式,自然會與您目前保護內部部署檔案共用的方式不同。 組織應該專注於設定內建保留設定,以確保數據在服務內受到保護,以符合商務需求。 組織也應該投資數據分類配置,以識別要與其他控件一起保護的真正重要資訊。 Microsoft 365 提供服務,可讓使用者和系統管理員在意外刪除或損毀時還原檔案和電子郵件。 對於儲存在內部部署工作負載或 Azure 服務中的數據,Azure 備份 提供簡單、安全且符合成本效益的解決方案來備份數據,並從Microsoft Azure 雲端復原數據。
最後,在災害復原案例中,將環境還原為作業狀態所需的設定可能與數據本身一樣重要。 您可以使用 Microsoft Azure 復原服務 (MARS) 代理程式,並儲存在 Azure 備份 服務中,透過系統狀態的備份來擷取伺服器和網域資訊。 針對 Microsoft 365 和 Azure 等雲端服務的設定,基礎結構即程式代碼解決方案提供直接在系統管理入口網站內進行手動變更的替代方案,其中的腳本或部署範本可以將環境重設為所需的設定,或使用相同的組態布建第二個租使用者。
由於 Essential Eight 概述一組最少的預防性措施,因此組織需要在其環境保證的情況下實作額外的措施。 此外,雖然 Essential Eight 可協助減輕大部分的網路威脅,但不會降低所有網路威脅。 因此,必須考慮其他風險降低策略和安全性控制,包括降低 網路安全性事件的策略 | Cyber.gov.au 和 資訊安全手冊 (ISM) | Cyber.gov.au。
下表概述基本八個控件之「一般備份」元件的成熟度層級 1、2 和 3 與 ISM 之間的對應:
| ISM 控件 2024 年 9 月 | 成熟度層級 | 風險降低 |
|---|---|---|
| 1511 | 1, 2, 3 | 數據、應用程式和設定的備份會根據業務關鍵性和商務持續性需求來執行和保留。 |
| 1515 | 1, 2, 3 | 將數據、應用程式和設定從備份還原到一般時間點,會在災害復原練習中進行測試。 |
| 1810 | 1, 2, 3 | 數據、應用程式和設定的備份會同步處理,以啟用還原到一般時間點。 |
| 1811 | 1, 2, 3 | 數據、應用程式和設定的備份會以安全且具復原性的方式保留。 |
| 1812 | 1, 2, 3 | 沒有特殊許可權的用戶帳戶無法存取屬於其他帳戶的備份。 |
| 1814 | 1, 2, 3 | 系統會防止沒有特殊許可權的用戶帳戶修改和刪除備份。 |
| 1705 | 2, 3 | ) 無法存取屬於其他帳戶的備份, (排除備份系統管理員帳戶的特殊許可權用戶帳戶 |
| 1707 | 2, 3 | (排除備份系統管理員帳戶) 的具特殊許可權用戶帳戶無法修改和刪除備份。 |
| 1813 | 2, 3 | 沒有特殊許可權的使用者帳戶無法存取屬於其他帳戶的備份,也無法存取自己的帳戶。 |
| 1706 | 3 | 特殊許可權的用戶帳戶 (不包括備份系統管理員帳戶,) 無法存取自己的備份。 |
| 1708 | 3 | 備份系統管理員帳戶在保留期間無法修改和刪除備份。 |
方法
Microsoft 365 中的 In-Place 保留期
在 [共同責任模型] 下,客戶一律會保留資訊和數據的責任。 傳統的備份實作通常著重於記憶體容器及其內所有項目的保護。 此全擷取策略可能需要保護,以防止內部部署面臨的各種威脅,但採用雲端服務時,可將實體環境轉移至雲端提供者的責任,並採用替代控制措施來降低設備遺失或失敗的威脅,以及因而可能發生的數據實體或邏輯損毀。 在這種情況下,從備份復原基礎結構的需求可能會因為復原能力的開發而否定。
Microsoft雲端服務的復原和持續性完整細目已超出本檔的範圍。 組織應該熟悉 Microsoft 雲端風險評估指南 中所提供的概念,並檢閱 透過服務信任入口網站提供的適當外部稽核報告。
信息保護的其中一個標準原則是,數據和備份應該分開保留,因此在服務內使用保留的概念,一開始對客戶而言通常會反向直覺。 在雲端服務中保留資訊有許多優點。 請考慮具有 Microsoft 365 E3 授權的平均組織可用的記憶體:
- 商務用 OneDrive,使用者將自己的檔案儲存在檔案共享上類似於主目錄,為每位使用者提供 1 TB 的選項,可依預設將記憶體擴充為 5 TB,並在要求 Microsoft 支援服務 時提供更多可用的記憶體。
- Exchange Online 允許在個人封存中使用 100 GB 的主要信箱和無限制的儲存空間。
- SharePoint Online 提供共同作業網站和Microsoft Teams 的後端記憶體,可為每個客戶提供初始 1 TB 的集區記憶體,併為每位授權使用者提供 10 GB 的集區記憶體。
因此,對於一般 1,000 位使用者的組織而言,Microsoft 365 提供超過 5,111 TB 或 5.11 PB 的儲存空間,您甚至會考慮信箱封存的無限制儲存空間,以及離職使用者的信箱和個人檔案。
在外部服務中複製所有這些資訊,需要大量時間來進行備份和還原作業的傳輸,而經過一段時間后,可能會對企業造成相當大的財務成本。 因此,在服務外部行動數據時,還有其他風險需要考慮,例如,刻意或無意傳輸數據在地理區域外傳輸數據的法規合規性影響,或透過第三方服務入侵數據的潛在暴露風險。 不過,最後,其中一個最大的考慮是使用者便利性 - 在刪除的檔案或甚至是抹除用戶整個目錄的勒索軟體感染時,商務用 OneDrive 可讓用戶輕鬆地還原良好版本的檔案,或將整個文檔庫還原到特定的時間點,全都不需要系統管理員協助。
保留原則和保留標籤
保留原則和標籤 可讓您控制數據在 Microsoft 365 中的保留方式。 保留原則可以套用至位置,例如 Exchange Online 信箱和公用資料夾、SharePoint Online 網站、商務用 OneDrive 帳戶、Microsoft 365 群組、Teams 訊息,以及 Viva Engage (Yammer) 內容。 單一原則可以套用至多個位置或個別網站或使用者,而專案會繼承指派給容器的保留設定。 套用保留設定時,人們會以平常的方式處理其檔案或電子郵件,不過,每當修改或刪除檔案或訊息時,系統會明確地將數據復本儲存在用戶隱藏的安全位置。
如需保留設定如何針對不同工作負載運作的詳細資訊,請參閱下列文章:
保留原則應該用來為網站或信箱層級的內容指派相同的保留設定,不過,針對更細微的應用程式保留標籤,可以用來在資料夾、檔或電子郵件) (專案層級指派設定。 不同於保留原則,如果保留卷標移至您Microsoft 365 租使用者中的另一個位置,保留標籤會隨著內容移動。 保留標籤也提供保留原則沒有的功能,例如在保留期間結束時觸發處置檢閱,或將內容標示為記錄。
保留標籤可以手動套用,或根據關鍵詞、模式、敏感性資訊類型或可訓練分類器自動套用。 敏感性資訊類型 可用來辨識代表檔案和電子郵件中機密資訊的模式,例如個人資料、財務帳戶號碼和醫療數據。 可訓練分類器會 使用 Machine Learning 來瞭解並根據專案分類、立即辨識履歷和原始程式碼,或組織特定資訊,例如在定型期間之後的合約和工作訂單,藉此擴充此方法。
保留原則和標籤是數據生命週期管理計劃的基本元件,應該根據備份待命及其更廣泛的數據控管影響來評估。
In-Place 保留的例外狀況
對於某些類型的真正重要資訊,在 線上服務 外部維護複本可能很實用。 例如,如果電源或通訊失敗表示您無法存取因特網,則災害復原方案和儲存在 SharePoint 網站的員工聯繫人登錄就不太有價值。 組織應採用標準風險管理做法,以確保根據機率和影響適當地規劃重大事件。 識別和分類數據有助於確保最重要的資訊可以儲存在替代位置,而不需要重複不必要的數據。
雖然不適合做為備份或復原解決方案,但 商務用 OneDrive 和 Outlook 作為 Microsoft Office Apps for Enterprise 的一部分,都會將與雲端服務同步的數據複本儲存在使用者的本機計算機上,如果無法存取原始數據源,則可加以存取或甚至複製。 OneDrive 用戶端應用程式也可用來將密鑰檔案同步處理至異地電腦。
第三方移轉工具可用來鏡像 線上服務 與Microsoft SharePoint Server 待命實例之間的內容,或在私人雲端解決方案中 Microsoft Exchange Server。 這類詳盡且成本高昂的解決方案對大部分的組織或用戶來說並不必要,但如果透過量化風險分析判斷為必要,則可針對業務關鍵數據和帳戶實作。
使用 Azure 備份 備份內部部署和雲端式服務
Azure 備份 服務提供簡單、安全且符合成本效益的解決方案,可從 Microsoft Azure 內備份和復原內部部署和雲端式數據。 Azure 中的原生控件可備份 Windows/Linux VM、Azure 受控磁碟、Azure 檔案儲存體 共用、SQL 資料庫、SAP HANA 資料庫和 Azure Blob。 MICROSOFT Azure 復原服務 (MARS) 代理程式提供備份檔案的能力, 來自內部部署或虛擬機的資料夾和系統狀態,以及與內部部署 Azure 備份 Server (MABS) 或 System Center Data Protection Manager 整合, (DPM) 伺服器來備份工作負載,例如 Hyper-V VM、Microsoft SQL Server、SharePoint Server、Microsoft Exchange 或甚至 VMware VM。
Azure 備份 包含廣泛的安全性功能,可保護傳輸中和待用數據,包括更細緻的角色型訪問控制、數據加密、防止意外刪除,以及監視和警示可疑活動。
身分識別和使用者存取的管理和控制
復原服務保存庫所使用的記憶體帳戶會隔離,而且使用者無法基於任何惡意目的存取這些帳戶。 只有透過 Azure 備份 管理作業才允許存取,例如還原。 Azure 備份 可讓您使用 Azure 角色型存取控制 (Azure RBAC) ,透過更細緻的存取來控制受控作業。 Azure RBAC 可讓您區隔小組內的職責,並只授與使用者執行其工作所需的存取權。
Azure 備份 提供三個內建角色來控制備份管理作業:
- 備份參與者:建立和管理備份,但刪除復原服務保存庫並授與其他人存取權除外
- 備份操作員:除了移除備份和管理備份原則之外,參與者所做的一切
- 備份讀取器:檢視所有備份管理作業的許可權
在下列頁面使用 Azure 角色型訪問控制管理備份時,也會進一步詳細說明指派給這三個內建角色的特定能力。 特殊考慮也應著重於 Azure 資源的擁有者 (例如,Azure 資源群組擁有者) 繼承其資產的許可權,包括 Azure 備份 許可權。
![Azure 備份 概觀],顯示 Azure 備份 服務中包含哪些廣泛的安全性功能。顯示其如何備份和復原內部部署和雲端式數據。](../media/e8-backups-figure-4-azure-backup-overview.png)
若要為復原服務保存庫上的重要作業提供額外的保護層,Azure 備份 透過 Resource Guard 支援多用戶授權。 雖然 Microsoft Entra Privileged Identity Management 可用來確保備份系統管理員必須取得核准才能存取提升的許可權,但使用者接著可以存取角色提供的所有功能,包括修改備份原則以減少保留期或停用虛刪除功能,以確保已刪除的備份可供另外 14 個備份使用日。 Resource Guard 要求備份系統管理員具有復原服務保存庫和個別訂用帳戶或租使用者中 Resource Guard 實例的許可權,以解決授權問題。
為了讓備份系統管理員執行重要作業,例如修改原則或停用虛刪除,他們必須先取得裝載 Azure 備份 訂用帳戶中的備份參與者角色,然後取得 Resource Guard 上的參與者角色,否則動作會失敗。 使用 PIM 時,會記錄這兩個提高許可權,包括擷取為何需要此許可權的理由、在短時間內指派並自動撤銷,甚至可能需要不同系統管理員的核准。
管理用戶端裝置的設定和程式
新式管理方法不會備份用戶端裝置來保留設定和應用程式,而是確保用戶端裝置很容易被取代,對使用者的影響最小。 數據儲存位置可以自動重新導向至雲端服務,並與雲端服務同步處理,這表示裝置上的任何復本都可協助僅限脫機存取。 應用程式可以根據管理解決方案中的使用者或裝置原則自動布建,例如 Microsoft Intune,以及儲存在雲端式使用者配置檔中的應用程式設定。
Windows Autopilot 可讓用戶輕鬆設定自己的計算機,不論計算機已由組織預先設定,或是從零售商購買新的電腦,也可以用來重設、重新規劃或復原裝置。
勒索軟體復原和惡意動作的考慮
前幾節已強調如何在Microsoft服務中保留數據,作為傳統備份和還原案例程式的替代方案,但考慮到 Essential 8 控制件的意圖,值得特別注意勒索軟體事件的影響,以及惡意管理員或遭入侵特殊許可權帳戶的刻意動作。
在現代化管理和零信任方法下,端點本身應該會有可忽略的後果,因為遭到勒索軟體入侵的用戶端計算機可能會由 Windows Autopilot 等技術遠端抹除和重新佈建,而不會遺失數據。 您可以從 Azure 備份 中的虛擬機或系統狀態備份還原或重新建立伺服器,包括還原位於網路共用上的用戶檔案。 若要復原儲存在 SharePoint Online 或 商務用 OneDrive 中的使用者檔案,您可以將整個網站還原至過去 30 天內的先前時間點,如本文稍後將 SharePoint 和 OneDrive 還原為已知良好狀態一節中所述。 在少數情況下,勒索軟體刪除的電子郵件訊息可能會從 [已刪除的專案] 復原。
Microsoft發佈從勒索軟體攻擊中復原的特定指引,並針對復原電子郵件的步驟 6 呼叫選項 - 具體而言,系統管理員如何利用 Exchange Online 來復原使用者信箱中已刪除的郵件,以及終端使用者如何在 Windows 版 Outlook 中復原已刪除的專案,包括存取隱藏的「可復原的專案」資料夾。
就像服務可以設定為保留或備份數據一樣,它們也可以設定為清除具有惡意意圖的人員的數據,不論是心泄的員工或具有遭入侵特殊許可權帳戶存取權的外部執行者。 在兩個真實世界的範例中,系統管理員被強制停用主管帳戶上的保留原則,讓主管清除其檔案和電子郵件來終結辨識項,而具有系統管理員帳戶存取權的外部威脅執行者,可以在對組織啟動抹除器攻擊之前刪除備份。 這些案例強調需要深入探索的方法,包括補償控件以管理系統管理許可權。
Microsoft 365 包含 [保留鎖定 ] 功能,可防止系統管理員停用或刪除保留原則和標籤,或使其較不嚴格。 雖然這是確保數據安全性並示範法規合規性的重要功能,但應該謹慎使用,因為沒有人可以關閉數據,包括全域管理員,甚至 Microsoft 支援服務。
其他保護原則的選項包括嚴格控制具有 Just-In-Time 許可權和核准的角色型存取,讓任何使用者都無法自行取得必要的許可權。 這些功能會在限制系統管理 權限指南中詳細說明。
針對 Azure 備份,Resource Guard 需要來自個別訂用帳戶的許可權,才能執行受保護的作業,例如刪除或修改原則,或停用虛刪除,以提供超出 Privileged Identity Management的額外安全性層級。 正確完成,這可確保由個別小組核准和監督,這表示對受保護的函式所做的任何變更都需要至少兩個或三個人參與。
快速入門
設定預設保留原則
若要在 Microsoft 365 中保護數據,您必須建立保留原則,並將其套用至適當的位置。 不同於保留標籤,您可以將多個保留原則套用至相同的內容,這表示您可以在容器層級 (保留原則) 或專案層級 (保留標籤) ,建立全組織標準的預設值,並套用較長的保留期。
例如,在 Microsoft Purview 入口網站的數據生命週期管理解決方案中建立保留原則,該原則適用於所有 Exchange 電子郵件收件者、所有 SharePoint 網站、所有 OneDrive 帳戶,以及所有Microsoft 365 群組,並將原則設定為保留專案 1 年,最後不採取任何動作。 此原則會套用至所有現有位置,之後建立的新位置將會繼承這些設定。 如果專案已刪除,它會保留在適當的位置 (Exchange 的 [可復原的專案] 資料夾中,適用於 SharePoint 和 OneDrive 的保留庫) 1 年,才允許執行清除程式。 當 1 年的保留期到期時,未刪除的專案會保留在其位置,而且可以無限期地保留在該位置,但如果在之後刪除,它們會立即移至清除階段,以便在適當的服務中永久刪除。
您可以視需要強制執行較長的保留設定,方法是將更多保留原則套用至特定使用者或網站,或在包含敏感性資訊的專案上使用保留標籤。 保留原則 可以有調適型或靜態範圍,而且原則中可用的選項可能會根據此選取專案而有所不同。 您可能需要建立多個原則來涵蓋租使用者中的所有位置,因為 Teams 和 Viva Engage (Yammer) 設定無法定義在包含其他服務的靜態原則中。
保留離職用戶的內容
保留已離職使用者所擁有內容的傳統方法,可能是將信箱匯出至 PST,並將其儲存在檔伺服器或離線儲存媒體上的個人檔案,不過組織通常會想要讓此數據上線,以便不僅可供經理或後續專案手動檢閱,還能透過電子檔探索解決方案提供該數據的可見度。 Microsoft 365 在移除授權或刪除帳戶之後,預設會保留用戶的數據 30 天,在此期間,如果使用者返回組織,就可以存取或重新啟用該數據。 若要在此期間到期后保留數據,Microsoft 365 保留原則和保留標籤可以防止刪除清除程序啟動,前提是仍有內容要受到保護。 這表示,如果內容受到上一節中所定義的1年保留保護,則離開組織的使用者會將其電子郵件和檔案保留Microsoft 365至少到下一年,即使在刪除帳戶並重新指派授權之後也一樣。
雖然 Exchange Online 仍然支援舊版訴訟保留功能,讓整個信箱和封存可以受到保護,直到移除保留的時間為止,Microsoft而是建議使用Microsoft 365 保留期,根據內容套用不同的設定,並管理保留期間到期時數據應該發生的情況。
如需在 Microsoft 365 中管理離職員工的詳細資訊,請參閱 管理離職員工。
| ISM 控件 2024 年 9 月 | 成熟 | Control | 測量 |
|---|---|---|---|
| 1511 | 1, 2, 3 | 數據、應用程式和設定的備份會根據業務關鍵性和商務持續性需求來執行和保留。 | Microsoft 365 保留期可確保在高度復原的環境中擷取並保留儲存在服務內的數據。 保留標籤和/或原則必須如先前所述進行設定,但是不需要排程或執行特定的複製程序,因為檔案是透過一般寫入或刪除作業來保留。 |
| 1515 | 1, 2, 3 | 將數據、應用程式和設定從備份還原到一般時間點,會在災害復原練習中進行測試。 | 應驗證保留標籤和/或原則,讓數據保留如預期般執行。 |
| 1705 | 2, 3 | 特殊許可權的使用者帳戶 (不包括備份系統管理員帳戶) 無法存取屬於其他帳戶的備份。 | 應驗證保留標籤和/或原則所涵蓋的數據存取權,以便充分瞭解存取權。 請特別小心,以確保特殊許可權帳戶除了驗證之外,也無法存取其他帳戶的備份或自己的備份。 |
| 1707 | 2, 3 | (排除備份系統管理員帳戶) 的具特殊許可權用戶帳戶無法修改和刪除備份。 | 應驗證保留標籤和/或原則所涵蓋的數據存取權,以便充分瞭解存取權。 請特別小心,以確保特殊許可權帳戶除了驗證之外,也無法存取其他帳戶的備份或自己的備份。 |
| 1810 | 1, 2, 3 | 數據、應用程式和設定的備份會同步處理,以啟用還原到一般時間點。 | 保留原則會儲存為 Microsoft 365 服務的一部分,而且應適當地管理這些原則的管理和控管。 |
| 1811 | 1, 2, 3 | 數據、應用程式和設定的備份會以安全且具復原性的方式保留。 | 保留原則會儲存為 Microsoft 365 服務的一部分,而且應適當地管理這些原則的管理和控管。 |
以使用者身分還原已刪除的信箱專案
當使用者刪除其信箱中的專案時,它會移至 [ 刪除的郵件 ] 資料夾,並可藉由開啟資料夾並將專案拖曳回所需的位置來復原。 如果使用者從 [刪除的專案] 中刪除專案、清空 [刪除的郵件] 資料夾,或選取 [Shift+Delete ] 從另一個資料夾中永久刪除專案,則專案會儲存在 [ 可復原的專案 ] 資料夾中。
若要從 [可復原的專案] 資料夾還原專案,使用者可以從 Outlook 傳統型應用程式的工具列選取 [復原刪除的專案] 選項,或以滑鼠右鍵按鍵按鍵按下 Outlook 網頁版 中的 [刪除的郵件] 資料夾。 接著可以選取並還原適當的專案,這會將專案傳回 [刪除的郵件] 資料夾,然後將它移至更永久的位置。 使用者也可以從 [復原刪除的專案] 介面清除專案,此時只能由系統管理員復原。
如需復原已刪除專案的詳細資訊,請參閱復原 Windows 版 Outlook 中已刪除的專案和復原已刪除的專案或電子郵件 Outlook Web App。
以系統管理員身分還原已刪除的信箱專案
系統管理員可以透過數種方法代表用戶復原已刪除的專案。
若要復原單一使用者的已刪除專案,系統管理員可以在新 Exchange 管理員 中心收件者的信箱設定內選取 [復原已刪除的專案] 選項。
系統管理員也可以使用 Exchange Online PowerShell,使用 Get-RecoverableItems 和 Restore-RecoverableItems 命令來復原已刪除的專案。 透過 Exchange 管理員 Center 和 PowerShell 方法,專案會還原至其原始位置。
若要跨多個使用者搜尋訊息,系統管理員可以在 Microsoft Purview 合規性入口網站 中使用內容搜尋功能。
一旦搜尋完成,即可取得結果的詳細報告,且系統管理員可以進一步精簡查詢,或將結果匯出至 PST 檔案。
內容搜尋方法也可用來復原儲存在 SharePoint Online 中的檔案,並且是尋找和導出內容的相同機制,與標準電子檔探索案例中所使用的機制相同。
| ISM 控件 2024 年 9 月 | 成熟 | Control | 測量 |
|---|---|---|---|
| 1515 | 1, 2, 3 | 將數據、應用程式和設定從備份還原到一般時間點,會在災害復原練習中進行測試。 | 用戶和系統管理員還原信箱項目應該記錄、測試和驗證,以確保定義並了解程式。 |
在 SharePoint 和 OneDrive 中還原舊版檔案
默認會在 SharePoint Online 和 商務用 OneDrive 中的所有清單和文檔庫上啟用版本控制,並自動保留檔的最後 500 個版本。 SharePoint 只會儲存檔案之間的變更,以優化記憶體需求,不過版本設定確實會影響網站配額,而且可以視需要在個別清單和文檔庫上進行調整。
若要透過瀏覽器還原 SharePoint 或 OneDrive 中的舊版檔案,請開啟文檔庫,選取要還原的檔案,選取省略號,然後選取 [版本歷程記錄]。 您可以視需要檢視和還原個別版本,或甚至刪除以節省空間。
![[選擇的檔]、[檢視]、[還原] 或 [刪除檔] 的 [選項] 下拉功能表。](../media/e8-backups-figure-15-restoring-example-dropdown.png)
您也可以透過 [檔案資訊] 在檔案或 Microsoft 365 Apps 企業版 > 中選取滑鼠右鍵,在 [總管]中存取版本歷程記錄:
| ISM 控件 2024 年 9 月 | 成熟 | Control | 測量 |
|---|---|---|---|
| 1515 | 1, 2, 3 | 將數據、應用程式和設定從備份還原到一般時間點,會在災害復原練習中進行測試。 | 雖然保留在 Microsoft 365 服務中的數據可能不需要進行還原測試,以確保備份成功完成,但您應該確定您了解在平臺內復原檔案、網站或電子郵件訊息的各種選項,這適用於特定案例。 Microsoft 365 會以自助方式將還原功能直接提供給終端使用者,因此,有問題的任何人都應該可以使用適當的文件和技術服務。 |
將 SharePoint 和 OneDrive 還原至已知的良好狀態
如果您在 OneDrive 或 SharePoint 文件庫中的許多檔案遭到惡意代碼刪除、覆寫、損毀或感染,您可以將整個文檔庫還原到過去 30 天內的先前時間點。 從右上方 的 [設定] 圖示中,選取 [ 還原您的 OneDrive ] 或 [還原此連結庫]:
從下拉式方塊中選取 [ 昨天]、 [一周前]、 [三個星期前] 或 [ 自定義日期和時間 ],滑桿會根據選取的適當檔案進行調整。 一旦您滿意,請選取 [還原 ],並復原醒目提示的變更:
如需復原遺漏、刪除或損毀專案的詳細資訊,請參閱 如何復原 SharePoint 和 OneDrive 中遺失、刪除或損毀的專案。
| ISM 控件 2024 年 9 月 | 成熟 | Control | 測量 |
|---|---|---|---|
| 1511 | 1, 2, 3 | 數據、應用程式和設定的備份會根據業務關鍵性和商務持續性需求來執行和保留。 | 檔案可以儲存在 SharePoint Online/商務用 OneDrive 或檔案共用上,並透過Microsoft 365 保留期或 Azure 備份 備份。 |
| 1515 | 1, 2, 3 | 將數據、應用程式和設定從備份還原到一般時間點,會在災害復原練習中進行測試。 | 雖然保留在 Microsoft 365 服務中的數據可能不需要進行還原測試,以確保備份成功完成,但您應該確定您了解在平臺內復原檔案、網站或電子郵件訊息的各種選項,這適用於特定案例。 確保定期了解復原檔案、網站和電子郵件的選項,以確保系統管理員和/或 IT 人員在最新的程式上保持最新狀態,是很重要的。 |
設定 Azure 備份
設定 Azure 備份 的程序取決於您想要保護的服務,但第一個步驟一律是建立要儲存備份的保存庫。 Azure 提供兩種類型的保存庫: 復原服務保存庫 和 備份保存庫,而您需要建立的類型是由您想要使用的數據源所決定。
復原服務保存庫通常會存放 Azure 虛擬機器、Azure 檔案儲存體 和 Azure SQL 資料庫等服務的數據或設定資訊複本,並支援與 System Center Data Protection Manager、Windows Server 和 Azure 備份 Server 整合。 復原服務保存庫支援虛刪除函式,可維護已刪除備份的復本 14 天,而不會影響其他成本。
備份保存庫會裝載較新 Azure 工作負載的備份數據,例如 適用於 PostgreSQL 的 Azure 資料庫、Azure Blob、Azure 磁碟、Kubernetes Service 和 AVS 虛擬機器。
您可以透過 Azure 備份 中心建立保存庫和備份,以提供單一的統一管理體驗,以大規模管理、監視、操作和分析備份。
如需設定各種備份作業的詳細指引,請參閱 Microsoft Docs,例如:Azure VM、Azure VM 上的 SQL、Azure 磁碟、Azure Blob 和 Azure 檔案儲存體。
Microsoft Azure 復原服務 (MARS) 代理程式可用來備份內部部署計算機的檔案、資料夾和磁碟區或系統狀態,甚至是從 Azure 虛擬機備份個別檔案和資料夾。 MARS 代理程式可以下載並安裝在個別伺服器上,以直接備份至 Azure,或安裝在 Microsoft Azure 備份 Server (MABS) 或 System Center Data Protection Manager (DPM) 伺服器上;在此案例中,機器和工作負載會備份至 MABS/DPM,然後使用 MARS 代理程式備份至 Azure 保存庫。
若要保護 Hyper-V 虛擬機、Microsoft SQL Server、SharePoint Server 和 Microsoft Exchange 等內部部署工作負載,請在已加入網域的伺服器上安裝 Microsoft Azure 備份 Server。 MABS 現在也可用來保護 VMware VM。
| ISM 控件 2024 年 9 月 | 成熟 | Control | 測量 |
|---|---|---|---|
| 1511 | 1, 2, 3 | 數據、應用程式和設定的備份會根據業務關鍵性和商務持續性需求來執行和保留。 | Azure 備份 提供簡單的解決方案,可將資源備份至雲端,並提供本機和異地備援記憶體的選項。 備份可以視需要或依排程執行,並可透過 Windows Server 系統狀態包含軟體和伺服器組態資訊。 |
| 1515 | 1, 2, 3 | 將數據、應用程式和設定從備份還原到一般時間點,會在災害復原練習中進行測試。 | Azure 備份 提供跨內部部署和雲端工作負載的各種傳統備份服務。 還原選項會根據工作負載而有所不同,但一般而言,您可以選取要還原的時間點,以及是否要復原至原始位置或替代位置。 測試計劃應該納入所有選項。 |
Microsoft 365 備份
Microsoft 365 備份 服務是Microsoft的雲端內生備份解決方案,可備份位於內部部署和 Azure 中的數據。 它會將您現有的內部部署或異地備份解決方案取代為可靠、安全且具成本競爭力的雲端備份解決方案。 它也提供彈性來保護您在雲端中執行的資產。
主要架構重點:
- 數據永遠不會離開Microsoft 365 數據信任界限或您目前數據落地的地理位置。
- 除非備份工具系統管理員透過產品脫機明確刪除,否則備份是不可變的。
- OneDrive、SharePoint 和 Exchange 有多個實體備援數據復本,可防範實體災害。
使用 Microsoft 365 Desired State Configuration (DSC) 工具來管理租用戶設定
Microsoft 365 DSC 是由Microsoft工程師和社群維護的 Open-Source 計劃,可讓您撰寫定義,以瞭解如何設定Microsoft 365 租使用者、自動化該組態的部署,並確保監視定義的組態、通知及處理偵測到的設定漂移。 它也可讓您從任何現有的Microsoft 365 租使用者中擷取完整逼真度設定,包括 Exchange Online、Teams、SharePoint、OneDrive、安全性與合規性、Power Platform、Intune 和 Planner 等主要工作負載。
Microsoft 365 DSC 使用者指南可供使用,並可協助您開始使用。 根據貴組織的喜好設定,此工具可以使用許多方式:在最簡單的形式中,此工具可用來從您的Microsoft 365 租使用者擷取設定,並將其儲存為一系列檔案,以防日後需要復原或還原。 另一個選項是維護預備租使用者,並透過工具將所有變更部署到生產環境。
| ISM 控件 2024 年 9 月 | 成熟 | Control | 測量 |
|---|---|---|---|
| 1511 | 1, 2, 3 | 數據、應用程式和設定的備份會根據業務關鍵性和商務持續性需求來執行和保留。 | 您可以使用 Microsoft 365DSC 工具擷取Microsoft 365 環境的組態設定,作為用戶易記的 Excel 或 HTML 報表,或是用來重設租使用者設定的導出套件。 |
| 1515 | 1, 2, 3 | 將數據、應用程式和設定從備份還原到一般時間點,會在災害復原練習中進行測試。 | Microsoft 365DSC 工具可用於匯入先前擷取的組態數據以供還原之用。 |
層級 1 需求
數據、應用程式和設定的備份會根據業務關鍵性和商務持續性需求來執行和保留
Microsoft 365 保留期可確保在高度復原的環境中擷取並保留儲存在服務內的數據。 保留標籤和/或原則必須如先前所述進行設定,但是不需要排程或執行特定的複製程序,因為檔案是透過一般寫入或刪除作業來保留。
Azure 備份 提供簡單的解決方案,可將資源備份至雲端,並提供本機和異地備援記憶體的選項。 備份可以視需要或依排程執行,並可透過 Windows Server 系統狀態包含軟體和伺服器組態資訊。
您可以使用 Microsoft 365DSC 工具擷取Microsoft 365 環境的組態設定,作為用戶易記的 Excel 或 HTML 報表,或是用來重設租使用者設定的導出套件。 檔案可以儲存在 SharePoint Online/商務用 OneDrive 或檔案共用上,並透過Microsoft 365 保留期或 Azure 備份 進行備份。
將數據、應用程式和設定從備份還原到一般時間點,會在災害復原練習中進行測試
雖然保留在 Microsoft 365 服務中的數據可能不需要進行還原測試,以確保備份成功完成,但您應該確定您了解在平臺內復原檔案、網站或電子郵件訊息的各種選項,這適用於特定案例。 Microsoft 365 會以自助方式將還原功能直接提供給終端使用者,因此,有問題的任何人都應該可以使用適當的文件和技術服務。 透過災害復原練習,應該定期強化對復原檔案、網站和電子郵件訊息之選項的瞭解。
Azure 備份 提供跨內部部署和雲端工作負載的各種傳統備份服務。 還原選項會根據工作負載而有所不同,但一般而言,您可以選取要還原的時間點,以及是否要復原至原始位置或替代位置。 測試計劃應該納入所有選項。
沒有特殊許可權的用戶帳戶無法存取屬於其他帳戶的備份
使用 Microsoft 365 就地保留期,數據沒有個別的複本,而且存取權是以資訊的位置為基礎。 例如,所有具有讀取許可權的使用者都可以在 SharePoint Online 中檢視檔案的版本歷程記錄,但是只有具有參與許可權的使用者可以實際還原舊版。 關於控件,這表示沒有特殊許可權的帳戶無法存取比他們已有存取權更多的資訊。
必須授與備份參與者、備份操作員或備份讀取者角色才能存取 Azure 備份,因此根據定義,沒有特殊許可權的帳戶將無法存取數據。
禁止無特殊許可權的用戶帳戶修改或刪除備份
具有特殊許可權或其他許可權的使用者都無法修改或刪除Microsoft 365 中保留的數據複本。
沒有特殊許可權的帳戶完全無法存取 Azure 備份,更別說修改或刪除備份的許可權。
層級 2 需求
沒有特殊許可權的用戶帳戶無法存取屬於其他帳戶的備份
Microsoft 365 中沒有個別的備份可供無特殊許可權的帳戶存取,而且它們只能查看他們已有存取權的檔案版本。 一般而言,如果控件的目的是要確保使用者無法透過原本無法查看的備份存放庫取得資訊的存取權,則Microsoft 365 會符合需求,因為在就地保留期中不會重複內容 - 沒有特殊許可權的帳戶只能存取他們已授權的數據, 甚至必須授與特殊許可權帳戶特定的訪問許可權。
不 (備份系統管理員) 的無特殊許可權用戶帳戶和特殊許可權用戶帳戶,都無法修改或刪除備份
具有特殊許可權或其他許可權的使用者都無法修改或刪除Microsoft 365 中保留的數據複本。 不過,特殊許可權使用者可以修改或刪除保留原則,讓資訊不再保留。 保留鎖定 可用來確保沒有人 -包括全域管理員- 可以關閉原則、刪除原則,或使其較不嚴格。 雖然這有助於防範惡意系統管理員,但請務必先瞭解對組織的影響,再決定是否要利用此控件。
在適用於 Azure 備份 的 RBAC 模型下,只有備份參與者具有修改或刪除備份的許可權。 Azure 備份 也提供預設啟用的虛刪除函式,並在意外或惡意刪除時保留已刪除的備份 14 天。
層級 3 需求
不具特殊許可權的用戶帳戶和特殊許可權的用戶帳戶 (不包括備份系統管理員) 、無法存取備份
Microsoft 365 中沒有可供特殊許可權或無特殊許可權帳戶存取的個別備份。 雖然使用者可以存取保留的檔案和其版本,但存取此數據作為主要複本與備份之間並無差別。
未授與適當許可權的無特殊許可權帳戶或特殊許可權帳戶沒有任何存取權 Azure 備份 因此無法存取備份。
[無許可權的使用者帳戶] 和 ([排除備份急用帳戶]) 的 [特殊許可權使用者帳戶] 會防止修改或刪除備份
如同成熟度層級 2 需求,使用者、特殊許可權或其他使用者都無法修改或刪除Microsoft 365 中保留的數據複本。
只有備份參與者具有修改或刪除 Azure 備份 備份的許可權。 若要確保只有備份急用帳戶具有這些許可權,請只將此角色授與這類帳戶。
使用Microsoft平臺管理成熟度層級
下列資訊提供實作動作的指引,以達到一般備份所需的成熟度層級。 Microsoft安全性與合規性平臺可用來達成實作並追蹤合規性。 Microsoft Purview 合規性管理員 提供範本來評估、管理及追蹤 Essential Eight 控件的實作。
組織可以選擇基本八個範本,並根據其目標的成熟度層級建立評量。 評定範本提供可採取動作的指引,以實作改善動作以達到所需的成熟度層級。 如需詳細資訊,請參閱 ACSC 的基本八個成熟度模型 。
參考 - 文章
- 復原和連續性概觀
- 什麼是 Azure 備份 服務?
- 簡介 - Microsoft365DSC - 您的雲端設定
- 瞭解保留原則和保留標籤
- 建立和管理非使用中信箱
- Microsoft 365 中的惡意代碼和勒索軟體保護
- 為您的 Microsoft 365 租用戶部署勒索軟體防護
- 基本八成熟度模型與 ISM 對應
參考 - 成熟度層級
| ISM 控件 2024 年 9 月 | 第 1 級 | 第 2 級 | 層級 3 |
|---|---|---|---|
| 1511 數據、應用程式和設定的備份會根據業務關鍵性和商務持續性需求來執行和保留。 | Y | Y | Y |
| 1810 數據、應用程式和設定的備份會同步處理,以啟用還原到一般時間點。 | Y | Y | Y |
| 1811 數據、應用程式和設定的備份會以安全且具復原性的方式保留。 | Y | Y | Y |
| 1515 將數據、應用程式和設定從備份還原到一般時間點,會在災害復原練習中進行測試。 | Y | Y | Y |
| 1812 沒有特殊許可權的用戶帳戶無法存取屬於其他帳戶的備份。 | Y | Y | Y |
| 1814 無特殊許可權的用戶帳戶無法修改和刪除備份。 | Y | Y | Y |
| 1813 沒有特殊許可權的用戶帳戶無法存取屬於其他帳戶的備份,也無法存取自己的帳戶。 | N | Y | Y |
| 1705 特殊許可權用戶帳戶 (不包括備份系統管理員帳戶) 無法存取屬於其他帳戶的備份 | N | Y | Y |
| 1707 特殊許可權使用者帳戶 (不包括備份系統管理員帳戶) 無法修改和刪除備份。 | N | Y | Y |
| 1706 特殊許可權用戶帳戶 (不包括備份系統管理員帳戶) 無法存取自己的備份。 | N | N | Y |
| 1708 備份系統管理員帳戶在保留期間無法修改和刪除備份。 | N | N | Y |