Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
安全未来计划的“保护网络”支柱强调保护网络访问的重要性,实施网络控制措施以防止未经授权访问组织资源,这至关重要。 此支柱中的最佳做法侧重于建立网络边界、控制流量流以及实施基于位置的访问策略,这些策略在授予访问权限之前验证网络连接的可信度。
Zero Trust安全建议
已配置命名位置
如果没有在Microsoft Entra ID中配置的命名位置,威胁参与者可以利用没有位置智能来执行攻击,而无需触发基于位置的风险检测或安全控制。 当组织无法为受信任的网络、分支机构和已知地理区域定义命名位置时,Microsoft Entra ID Protection无法评估基于位置的风险信号。 没有这些策略可能会导致误报增加,从而造成警报疲劳,并可能掩盖真正的威胁。 此配置差距可防止系统区分合法位置和非法位置。 例如,来自公司网络的合法登录以及来自高风险位置的可疑身份验证尝试(匿名代理网络、Tor 退出节点或组织没有业务存在的区域)。 威胁参与者可以使用这种不确定性来执行凭据填充攻击、密码喷洒活动以及恶意基础结构的初始访问尝试,而无需触发通常将此类活动标记为可疑的基于位置的检测。 组织还可以失去实施自适应安全策略的能力,这些策略可以自动应用更严格的身份验证要求或完全阻止来自不受信任的地理区域的访问。 威胁参与者可以保持持久性,并从任何全球位置进行横向移动,而不会遇到基于位置的安全屏障,这应该充当防止未经授权的访问尝试的额外防御层。
修正操作
已配置租户限制 v2 策略
租户限制 v2(TRv2)允许组织强制实施策略,以限制对指定Microsoft Entra租户的访问,从而阻止使用本地帐户向外部租户泄露公司数据。 如果没有 TRv2,攻击者可能会利用此漏洞,这会导致潜在的数据外泄和合规性违规,随后(如果这些外部租户的控制较弱)可能会发生凭据窃取。 获取凭据后,威胁参与者可以获得对这些外部租户的初始访问权限。 TRv2 提供了阻止用户向未经授权的租户进行身份验证的机制。 否则,威胁参与者可以横向移动、提升特权并可能外泄敏感数据,同时显示为合法的用户活动,从而绕过专注于内部租户监视的传统数据丢失防护控制。
实施 TRv2 会强制实施限制对指定租户的访问的策略,通过确保身份验证和数据访问仅限于授权租户来缓解这些风险。
如果此检查通过,则租户配置了 TRv2 策略,但需要执行更多步骤来验证方案端到端。
修正操作
外部协作受显式跨租户访问策略的约束
当默认出站 B2B 协作设置允许所有用户访问任何外部Microsoft Entra组织中的所有应用程序时,组织无法控制企业数据流的位置或员工与之协作的位置。 用户可能会有意或意外地将敏感数据上传到外部租户,接受针对网络钓鱼设计的欺骗或恶意租户的邀请,或者向 OAuth 同意泄露公司数据的风险应用程序。
对于受管制行业,不受限制的外部协作可能会违反数据驻留要求或禁止与未经批准的组织共享数据。
通过阻止默认的B2B出站协作,组织强制实施默认拒绝的策略,将外部关系限制为经过审查的合作伙伴,保护知识产权,并确保对跨租户协作的全面可见性。
修正操作
- 在进行更改之前,了解跨租户访问设置和规划注意事项。 有关详细信息,请参阅 跨租户访问概述。
- 使用跨租户访问活动工作簿在阻止默认访问之前识别当前的外部协作模式。 有关详细信息,请参阅 跨租户访问活动工作簿。
- 配置默认出站 B2B 协作设置以阻止访问。 有关详细信息,请参阅 “修改出站访问设置”。
- 为需要 B2B 协作的已批准的合作伙伴租户添加特定于组织的设置。 有关详细信息,请参阅 “添加组织”。
- 通过Microsoft Graph API更新默认跨租户访问策略。 有关详细信息,请参阅 更新默认的跨租户访问策略。