安全未来计划“保护网络”支柱强调保护网络访问和实施基于网络的控制,以防止未经授权的组织资源访问。 此支柱中的最佳做法侧重于建立网络边界、控制流量流以及实施基于位置的访问策略,这些策略在授予访问权限之前验证网络连接的可信度。
零信任安全建议
已配置命名位置
如果没有在 Microsoft Entra ID 中配置的命名位置,威胁参与者可以利用没有位置情报来执行攻击,而无需触发基于位置的风险检测或安全控制。 当组织无法为受信任的网络、分支机构和已知地理区域定义命名位置时,Microsoft Entra ID 保护无法评估基于位置的风险信号。 没有这些策略可能会导致误报增加,从而造成警报疲劳,并可能掩盖真正的威胁。 此配置差距可防止系统区分合法位置和非法位置。 例如,来自公司网络的合法登录以及来自高风险位置的可疑身份验证尝试(匿名代理网络、Tor 退出节点或组织没有业务存在的区域)。 威胁参与者可以使用这种不确定性来执行凭据填充攻击、密码喷洒活动以及恶意基础结构的初始访问尝试,而无需触发通常将此类活动标记为可疑的基于位置的检测。 组织还可以失去实施自适应安全策略的能力,这些策略可以自动应用更严格的身份验证要求或完全阻止来自不受信任的地理区域的访问。 威胁参与者可以保持持久性,并从任何全球位置进行横向移动,而不会遇到基于位置的安全屏障,这应该充当防止未经授权的访问尝试的额外防御层。
修正操作
已配置租户限制 v2 策略
租户限制 v2(TRv2)允许组织强制实施策略,以限制对指定Microsoft Entra 租户的访问,从而阻止使用本地帐户向外部租户泄露公司数据。 如果没有 TRv2,威胁参与者可能会利用此漏洞,这会导致潜在的数据外泄和合规性冲突,然后是凭据捕获(如果这些外部租户具有较弱的控制)。 获取凭据后,威胁参与者可以获得对这些外部租户的初始访问权限。 TRv2 提供了阻止用户向未经授权的租户进行身份验证的机制。 否则,威胁参与者可以横向移动、提升特权并可能外泄敏感数据,同时显示为合法的用户活动,从而绕过专注于内部租户监视的传统数据丢失防护控制。
实施 TRv2 会强制实施限制对指定租户的访问的策略,通过确保身份验证和数据访问仅限于授权租户来缓解这些风险。
如果此检查通过,则租户配置了 TRv2 策略,但需要执行更多步骤来验证方案端到端。
修正操作