防止不當散發安全性分類資訊,以符合澳大利亞政府與 PSPF 的規範
本文提供有關設定的指引,以降低透過 Microsoft 365 服務不當洩漏安全性分類信息的風險。 其目的是協助組織改善其資訊安全性狀態。 本文中的建議與保護安全策略架構 (PSPF) 和 資訊安全性手冊 (ISM) 中所述的需求一致。
保護安全策略架構 (PSPF) 不僅涵蓋 x 保護標記 x 標頭,還涵蓋一系列其他需求和控件。 本文著重於有關限制 PSPF 原則 9:存取資訊中所需安全性分類或敏感性資訊洩漏的需求。
本文提供建議並討論與下列相關的設定:
- Exchange Online 電子郵件案例
- Microsoft Teams 聊天和頻道訊息,
- 透過 SharePoint 和 OneDrive 共用案例,
- 上傳至雲端記憶體服務,以及
- 在受管理的裝置上下載或列印。
防止電子郵件散佈分類資訊
數據外洩防護 (本節中的 DLP) 原則 僅以 Exchange 服務 為目標,以啟用必要的原則條件,例如 收件者網域為 ,如果選取其他服務則無法使用。
為了符合 PSPF 需求,DLP 原則也需要使用 自定義原則範本。 除了 DLP 原則,應啟用標籤繼承中所涵蓋的電子郵件附件標籤 繼承。 卷標繼承可確保如果電子郵件的敏感度低於附件,就會觸發要求使用者提高電子郵件標籤以與附件一致的建議。 此建議以及使用者代理商的核准,會將電子郵件帶入套用至較高敏感度附件分類的任何原則範圍。
注意事項
有預覽功能可供 DLP 原則考慮電子郵件和附件的敏感度。 建議您使用這些功能。 如需詳細資訊,請參閱 Microsoft Purview 合規性入口網站:數據外泄防護 - 訊息/附件包含 EXO 述詞。
防止將分類信息的電子郵件散發給未經授權的組織
PSPF 原則 9 需求 1 指出安全性分類資訊應該只向核准的組織公開:
| 需求 | 詳細資料 |
|---|---|
| PSPF 原則 9 需求 1 - 與 v2018.6 (共用資訊和資源的正式協定) | 將安全性分類資訊或資源公開給政府外部的人員或組織時,實體必須擁有合約或安排,例如合約或 deed,以管理資訊的使用和保護方式。 |
注意事項
根據 PSPF 原則 8 (v2018.6) ,OFFICIAL:敏感性已從傳播限制標記 (DLM) 變更為安全性分類。 這應該會影響組織共用 OFFICIAL: 敏感性資訊的方法。
若要符合 PSPF 需求,政府組織必須具備:
- 商務程式,用來識別、建立及檢閱與其共用安全性分類資訊之實體的正式協定。
- 組態修改的技術變更程式,允許或防止使用者將安全性分類資訊傳送給外部組織。
組織對於每個安全性分類或子集 (有不同的資訊安全性需求,例如資訊管理標記 (IMM) 或警告) 。 應建立個別的原則或規則,以解決每個分類或子集的需求。
若要建立 DLP 規則,以防止以電子郵件為基礎的安全性分類資訊散發給未核准的組織:
- 建立 內容的條件會從Microsoft 365與組織外部的人員共用。
- 建立 內容包含的第二個條件、 敏感度卷標 ,以及選取的適當卷標 (例如 PROTECTED 標籤和相關聯的子捲標) 。
- 建立透過 AND 操作數連結的第二個條件群組。
- 第二個群組設定為 NOT。
- 第二個群組包含 收件者網域的條件, 以及 已核准 接收所選安全性分類的網域清單。
- 建立動作,以封鎖或重新導向電子郵件給不是來自其中一個已設定收件者網域的收件者。
範例 DLP 規則:封鎖未核准組織的受保護電子郵件
下列規則會限制將 PROTECTED 電子郵件傳送給未列為核准接收信息的組織。 當使用者正在草擬已套用 PROTECTED 標籤的電子郵件時,如果使用者從未經核准的組織新增收件者,則會出現 DLP 原則提示來警告使用者。 如果使用者忽略原則提示並嘗試傳送電子郵件,則電子郵件會遭到封鎖。
| 條件 | 動作 |
|---|---|
| 內容會從 Microsoft 365 共用, 與組織外部的人員 和 內容包含敏感度標籤: - 所有受保護的標籤 和群組 NOT 收件者網域為: - 已核准接收受保護電子郵件的網域清單 |
限制存取或加密Microsoft 365 個位置中的內容: - 封鎖使用者接收電子郵件或存取 - 封鎖所有人 設定下列原則提示: 「此電子郵件的收件者來自未獲授權接收受保護信息的組織。 除非從 [到] 字段移除未經授權的收件者,否則會封鎖此電子郵件。 如果不正確,請連絡支持人員以討論您的需求。」 設定適當的事件嚴重性和通知選項。 |
提示
澳大利亞政府組織應該考慮設定 DLP 規則,將電子郵件限製為 PROTECTED 和 OFFICIAL:敏感性電子郵件的未經核准組織。
允許將分類資訊的電子郵件散發給授權的來賓
基於需要瞭解的需求,政府組織應該根據套用的標籤和來賓群組或網域,整合網域型方法與來賓存取,以及多個層級的來賓存取。
授權來賓許可權可透過下列任一方式來達成:
建立手動維護的群組 (例如 ,受保護的來賓) ,其中包含來自已核准外部組織且已檢查其許可狀態的來賓;或
建立設定為包含來自指定網域之來賓帳戶的動態群組。 這可以透過使用動態查詢來評估使用者的用戶主體名稱 (UPN) 來達成。 例如:
(user.userPrincipalName -match "#EXT#") and (user.userPrincipalName -match "microsoft.com")
如需動態群組成員資格的詳細資訊,請參閱 Microsoft Entra ID 中群組的動態成員資格規則。
下列以電子郵件為基礎的案例示範將受保護資訊接收到網域和來賓帳戶子集的能力所帶來的優點。
| 來賓案例 | 僅限網域型控件 | 網域和客體型控件 |
|---|---|---|
| 來自未核准網域的來賓 |
風險降低 無法接收安全性分類資訊1 |
風險降低 無法接收安全性分類資訊1 |
| 已核准安全性分類資訊的網域來賓 |
風險存在 不論需要知道,所有網域用戶都能夠接收安全性分類資訊 |
風險降低 無法接收安全性分類資訊2 |
| 來自未核准網域的來賓 |
風險降低 無法接收安全性分類資訊1 |
風險降低 無法接收安全性分類資訊2 |
| 來自核准網域的來賓 |
風險存在 不論需要知道,所有網域使用者都能接收安全性分類資訊 |
風險降低 無法接收安全性分類資訊2 |
| 來自已核准網域的 來賓和受保護來賓 群組的一部分 |
風險存在 不論需要知道,所有網域使用者都能接收安全性分類資訊 |
風險降低 只有新增為 受保護來賓 的網域使用者才能接收安全性分類資訊 |
使用這類設定的組織需要商務程式來支援客體群組成員資格的維護。 組織也需要將其 受保護的來賓 群組新增為 DLP 規則的例外狀況,以限制機密電子郵件的散發。
允許以電子郵件為基礎的安全性分類資訊散發給授權來賓的 DLP 規則如下:
- 建立 內容的條件會從Microsoft 365與組織外部的人員共用。
- 建立 內容包含的第二個條件、 敏感度卷標 ,以及選取的適當卷標 (例如 PROTECTED 標籤和相關聯的子捲標) 。
- 建立第二個條件群組,其會透過 AND 操作數連結。
- 第二個群組設定為 NOT。
- 它包含的收件者條件是受保護來賓的成員。
- 建立動作,以封鎖或重新導向電子郵件給不屬於所選群組的收件者。
範例 DLP 規則:封鎖未核准來賓的受保護電子郵件
下列規則是以先前提供的範例為基礎,允許將 PROTECTED 電子郵件傳送給來自已核准網域 的使用者,以及 包含在 受保護來賓 群組中的使用者。
| 條件 | 動作 |
|---|---|
| 內容會從 Microsoft 365 共用: 與組織外部的人員 和 內容包含敏感度標籤: - 所有受保護的標籤 和群組 NOT 收件者網域為: - 已核准接收受保護電子郵件的網域清單 和群組 NOT 收件者是下列成員: - 受保護的來賓 |
限制存取或加密Microsoft 365 個位置中的內容: - 封鎖使用者接收電子郵件或存取 - 封鎖所有人 設定適當的原則提示: 「此電子郵件的收件者未獲得接收 PROTECTED 資訊的授權。 除非從 [到] 字段移除未經授權的收件者,否則會封鎖此電子郵件。 如果不正確,請連絡支持人員以討論您的需求。」 設定適當的事件嚴重性和通知選項。 |
防止將分類資訊的電子郵件散發給未經授權的使用者
PSPF 原則 9 需求 3 與存取安全性分類資訊所需的清除等級有關:
| 需求 | 詳細資料 |
|---|---|
| PSPF 原則 9 需求 3:持續存取安全性分類資訊和資源 | 實體必須確保需要持續存取安全性分類資訊或資源的人員安全性已清除至適當的層級。 |
在具有混合安全性清除使用者類型的環境的政府組織中,某些用戶沒有存取組織所保留資訊類型的必要許可權 (或不需要知道) 。 這些組織需要控制,以防止不應存取安全性分類信息的使用者,以及透過電子郵件接收資訊。 這類設定是透過 DLP 來達成。
將電子郵件限制為不清楚使用者的 DLP 規則需要判斷哪些內部使用者可以接收分類資訊的方法。 如同上一個範例,此 (會使用群組,例如 受保護的使用者 群組) 。 此群組是動態的,其成員資格會根據與每個人員安全性許可一致的屬性來維護。 這可以來自 HR 或身分識別系統。 或者, 收件者 AD 屬性比對模式 的條件可以直接在 DLP 原則中設定。
新原則中包含的 DLP 規則,或新增至上一節所示範的原則。 此規則具有:
- 內容的條件會從Microsoft 365與組織內的人員共用。
- 內容的條件包含其中任何一個敏感度標籤,其中包含相關標籤 (例如,所有受保護的標籤) 選取。
- 第二個條件群組,透過 AND 操作數連結。 第二個群組設定為 NOT。 它包含的收件者條件是受保護用戶的成員。
- 需要動作的原則,可封鎖或重新導向電子郵件給不屬於所選群組的收件者。
範例 DLP 規則:封鎖對非明確內部使用者的受保護電子郵件
此規則會封鎖不屬於 受保護使用者群組的使用者 接收已套用 PROTECTED 標籤的電子郵件。
| 條件 | 動作 |
|---|---|
| 內容會從 Microsoft 365 共用 只與組織內的人員搭配使用 和 內容包含敏感度標籤: - 所有受保護的標籤 和群組 NOT 收件者是下列成員: - 受保護的使用者 |
限制存取或加密Microsoft 365 個位置中的內容: - 封鎖使用者接收電子郵件或存取 - 封鎖所有人 設定適當的原則提示,例如: 「您指定的使用者未獲核准存取 PROTECTED 專案。」 設定適當的事件嚴重性和通知選項。 |
結果是,自動套用標籤的設定符合 以電子郵件為基礎的自動套用標籤設定範例,從外部組織收到的標示電子郵件會在收據上加上標籤,然後封鎖給不清楚的使用者。 使用自動套用標籤需要 E5 或對等授權。 不過,選擇不使用自動套用標籤功能的組織仍可藉由評定標記而非敏感度標籤符合 PSPF 原則 9 需求 3。
注意事項
建議組織使用自動套用標籤來實作評定標記的規則,因為這些規則可以在專案已明確標示或標籤遭到惡意降低的情況下防止外洩,如 重新分類考慮中所述。
下列規則會檢查套用至 x-protected-marking x 標頭或主旨標記的 PROTECTED 標記,如果收件者不是 受保護使用者 群組的一部分,則會封鎖電子郵件。
| 條件 | 動作 |
|---|---|
| 內容會從 Microsoft 365 共用: 只有組織內的人員 和群組 NOT 收件者是下列成員: - 受保護的使用者 AND GROUP 標頭符合模式: X-Protective-Marking : SEC=PROTECTED OR 主體比對模式: \[SEC=PROTECTED |
限制存取或加密Microsoft 365 個位置中的內容: - 封鎖使用者接收電子郵件或存取 - 封鎖所有人 設定適當的原則提示,例如: 「您指定的使用者未獲核准存取 PROTECTED 專案。」 設定適當的事件嚴重性和通知選項。 |
防止未經授權的用戶傳送機密資訊的電子郵件
防止未經授權的使用者接收已在租使用者內的機密資訊非常重要。 不過,請考慮使用者可透過本機記憶體、USB 或其他以無郵件為基礎的方法存取 PROTECTED 檔案的情況。 用戶接著會將專案附加至電子郵件並傳送。 檢查使用者是否有權 傳送 安全性分類資訊,可降低數據外泄的風險。
DLP 規則,用來檢查使用者是否已獲授權可存取分類資訊,然後才能傳送該資訊:
- 建立 內容的條件包含任何這些敏感度標籤 ,其中包含相關標籤 (例如,所有受保護的標籤) 選取。
- 建立第二個條件群組,其會透過 AND 操作數連結。
- 第二個群組設定為 NOT。
- 它包含的傳送者條件是受保護用戶的成員。
- 原則需要動作,以封鎖或重新導向電子郵件給不屬於所選群組的收件者。
限制未經授權用戶散佈安全性分類電子郵件的 DLP 規則範例
下列 DLP 規則可確保只有獲得受保護資訊存取權的使用者才能傳送它。 這些規則可確保在安全性事件中 (例如,意外或惡意過度共用、不當的許可權或安全性設定) 、無法辨清可存取已分類專案的使用者無法進一步散發安全性分類資訊來破壞數據外洩。
| 規則 | 條件 | 動作 |
|---|---|---|
| 限制受保護電子郵件的內部傳送 | 內容會從 Microsoft 365 共用: 只與組織內的人員搭配使用 和 內容包含敏感度標籤: - 所有受保護的標籤 和群組 NOT 寄件者是下列成員: - 受保護的使用者 |
限制存取或加密Microsoft 365 個位置中的內容: - 封鎖使用者接收電子郵件或存取 - 封鎖所有人 視需要設定原則提示。 設定適當的事件嚴重性和警示 |
| 限制外部傳送 PROTECTED 電子郵件 | 內容會從 Microsoft 365 共用: 只與組織外部的人員搭配使用 和 內容包含敏感度標籤: - 所有受保護的標籤 和群組 NOT 寄件者是下列成員: 受保護的使用者 |
限制存取或加密Microsoft 365 個位置中的內容: - 封鎖使用者接收電子郵件或存取 - 封鎖所有人 視需要設定原則提示。 設定適當的事件嚴重性和警示 |
防止透過Teams聊天散布安全性分類專案
如需使用 Microsoft Purview DLP 來保護 Microsoft Teams 的相關信息,請參閱 Microsoft Teams。
Teams 中的檔案共用活動可透過共用連結運作,因此標籤的專案可以透過 防止共用安全性分類資訊中討論的 DLP 原則設定來保護。
Teams 聊天不能套用敏感度標籤。 因此,以分類為基礎的 DLP 原則不直接適用。 不過,透過 DLP 限制外部聊天時,會討論偵測敏感性資訊和安全性標記的原則。
防止共用安全性分類資訊
注意事項
ASD 的安全雲端藍圖 包含 SharePoint 共用設定的指引。 ASD 建議建議只將所有共享連結限制為組織中的人員。 將所有共用設定為僅限內部,對於在 PROTECTED 層級運作的組織而言,是良好的默認狀態。
某些組織需要調整其共享組態,以符合進階使用案例,例如與其他組織的安全共同作業。 提供建議,例如,已遵循 高外部共同作業控制 和 ASD 安全雲端藍圖 的其他相關區段,因此可以透過低風險層級來完成,而且可以輕鬆地產生比傳統電子郵件處理檔案附件方法更適合資訊安全性的設定。
每個組織都有預設的共享設定,這是 設定的 SharePoint 共用設定。 這可讓您設定已核准接收共享連結的網域清單。 這類設定與 PSPF 原則 9 需求 1 - 共用資訊和資源的正式協定一致。
卷標群組和網站設定可以進一步限制從標籤位置共享專案,如 標籤共用設定中所述。 設定之後,安全性分類專案,例如 PROTECTED 檔,具有受保護位置的有限共享選項。 範 例群組和網站組態中的組態,僅限從這類位置共用給內部收件者。
除了以位置為基礎的共用限制之外,組織還應實作 DLP 原則來封鎖或警告和停用使用者外部共用不適合外部散發的專案。 下列範例原則適用於 PROTECTED 檔,以防止它們與外部用戶共用:
| 條件 | 動作 |
|---|---|
| 內容會從 Microsoft 365 共用: 只與組織外部的人員搭配使用 和 內容包含敏感度標籤: - 所有受保護的標籤 |
限制存取或加密Microsoft 365 個位置中的內容: - 封鎖使用者接收電子郵件或存取 - 僅封鎖組織外部的人員 設定適當的原則提示,例如: 「PROTECTED 項目不適合與外部收件者共用。」 設定適當的事件嚴重性和警示 |
提示
由於 SharePoint 型 DLP 原則是位置而非使用者型原則,因此不會針對每個使用者或每個群組套用例外狀況。 不過,套用至 OneDrive 的原則可以限定於特定使用者。
您可以設定 DLP 原則提示,為使用者提供有用的意見反應。 與儲存在 SharePoint 位置內的原則提示相符的檔案,可受益於文檔庫內的圖示標記。 當範例 DLP 原則包含原則提示且原則會強制存取限制時,圖示會在文檔庫中顯示具有連字元的圓形,以提醒使用者該專案受限於限制:
當使用者忽略原則提示,並嘗試在外部共用 PROTECTED 專案時,原則提示會顯示在共用對話框中:
例如,如果使用者嘗試略過 DLP 原則,以電子郵件傳送更寬鬆的連結類型給外部使用者,例如 任何人連結,DLP 原則仍會觸發、產生報告,如果已設定,則傳送 DLP 通知給使用者。
其他共用案例
本節將討論政府組織會發現適用的其他共用案例。
如果安全位置的成員,例如 PROTECTED 小組,不適當地共用專案,該怎麼辦?
Microsoft 信任但驗證 方法可讓小組內的所有用戶根據位置的共用原則共享內容。 如果需要進一步的限制,選項包括:
敏感度標籤和網站設定 可用來強制執行已標記位置 的條件式存取 原則。 驗證內容 也會先檢查使用者是否為授權使用者群組的一部分,然後才允許存取標示位置中的內容。
卷標的位置可以進一步受到限制。 使用 PowerShell 設定標籤的組態,讓
MemberShareNone網站或小組擁有者控制套用標籤之位置的信息發佈。 如需成員共用限制的詳細資訊,請參閱 成員共用。資訊屏障隱含 Microsoft 365 群組控件可用來封鎖與非小組成員共享專案。 這項功能適用於使用者群組之間需要防止通訊和共同作業的情況。
如果使用者將 PROTECTED 專案移至共用較為寬鬆的另一個位置,該怎麼辦?
如果使用者嘗試藉由將 PROTECTED 專案移至較低的敏感度位置來略過共用和訪問控制,例如另一個共用較為寬鬆的小組,則:
SharePoint 共用設定可用來設定允許使用者共用的網域清單。 設定之後,使用者就無法在已核准的組織外部共享專案。
OneDrive 位置的共享原則可能比套用至已標記位置的更寬鬆。 為了降低與使用者從 OneDrive 共用以略過位置型控件相關的風險,DLP 原則會設定為限制從 OneDrive 共用具有特定卷標的專案。 原則也會套用至使用者群組,只允許受信任的使用者與其 OneDrive 位置中的標籤專案與來賓共用。
重要事項
獲授權存取 PROTECTED 專案的使用者可以從其 OneDrive 共用這類專案,以符合組織全域 OneDrive 共用設定以及套用至其帳戶的 OneDrive 共用設定。
如果惡意測試人員重複嘗試共用活動以外洩安全性分類資訊,該怎麼辦?
惡意測試人員可能會多次嘗試規避本文所述的數據安全性控制件。 Microsoft的 測試人員風險管理 (IRM) 功能可用來根據使用者的活動來判斷其風險配置檔。 IRM 可讓安全性小組監視可疑的使用者序列,例如:
- 從已套用特定標籤Microsoft 365 位置下載資訊,然後將它們複製到 USB。
- 降低或移除標籤,然後與外部用戶共用。
- 混淆已識別為敏感性的資訊,然後透過雲端服務將其外洩。
IRM 透過稱為 調適型保護的功能,與 Microsoft Purview DLP 原則整合。 這可識別因持續觸發已設定原則而被視為具風險的使用者,也會自動對其施加額外的限制,以降低風險,直到安全性小組可以調查為止。
提示
如 敏感度標籤 加密中所述, (使用加密控件) 應該用於敏感數據。 標籤加密有助於確保只有內部和外部的授權使用者可以存取安全性分類專案,無論專案位置為何。
防止將安全性分類項目上傳至 Unmanaged 位置
Defender for Cloud Apps 可協助組織使用雲端服務的安全性狀態。 這麼做的方式是提供對用戶活動和敏感性資訊的細微可見度和控制。
Defender for Cloud Apps 原則是在 [雲端應用程式>原則] 功能表下的 Microsoft 365 Defender 控制台內設定。 系統管理員可以建立以具有 PROTECTED 標籤的檔案為目標的原則,並防止它們與未經核准的網域共用。 此設定與 PSPF 原則 9 需求 1 一致,其中指出安全性分類專案只能與正式核准的組織共用。
如需 Defender for Cloud Apps 與 Microsoft Purview 資訊保護 之間整合的詳細資訊,請參閱 Microsoft Purview 資訊保護 整合。
防止下載或列印安全性分類專案
本節說明安全性分類專案或資訊可能複製到不受Microsoft 365 租使用者控制的位置的風險。 例如:
- 使用者將 PROTECTED 專案複製到未加密的 USB 磁碟驅動器,然後遺失或遭竊。
- PROTECTED 專案會複製到內部部署網路共用或位置,這不適合儲存 PROTECTED 專案。
- PROTECTED 專案中包含的資訊會複製並貼到未套用相同控件的新專案中,允許資訊外流。
端點數據外洩防護 (端點 DLP) 可用來解決這些風險。 如需端點 DLP 上線程式的相關信息,請參閱 端點 DLP 用戶入門。
政府組織只需要使用 365 DLP 感知瀏覽器Microsoft限制。 Chromium 是 DLP 感知,而 Google Chrome 可以透過瀏覽器載入巨集讓 DLP 感知。 如需 Microsoft Purview Chrome 擴充功能的詳細資訊,請參 閱開始使用 Microsoft Purview Chrome 擴充功能。
若要以具有端點 DLP 的裝置為目標,請建立範圍設為 [ 裝置 ] 位置的 DLP 原則。
如同其他 DLP 範例,您可以使用 內容包含、 敏感度標籤 做為條件來設定原則。 在原則動作下,您可以選擇 [ 稽核]、 [以覆寫方式封鎖] 或 [ 封鎖 下列動作]:
- 將專案上傳至受限制的雲端服務網域 (例如,Google 雲端硬碟) (常見於政府組織中的 封鎖)
- 從專案複製到剪貼簿
- 將專案複製到可移除的USB (在政府組織中使用 覆寫進行封鎖)
- 複製到網路共用
- 使用不允許的藍牙應用程式進行複製或移動 (在政府 組織中封鎖)
- 使用遠端桌面通訊協議進行複製或移動 (在政府 組織中封鎖)
注意事項
EndPoint DLP 可讓組織設定一系列的選項,包括應用程式、路徑排除、允許的瀏覽器、允許的印表機,以及允許的 USB 裝置。 這些設定可以與原則搭配使用,以定義允許使用標記項目的情況。