标识和访问安全建议

重要

注意:根据世纪互联发布的公告2026 年 8 月 18 日,中国地区的 Azure 中将正式停用所有 Microsoft Defender for Cloud 功能。

本文列出了 Microsoft Defender for Cloud 中可能会显示的所有标识和访问安全建议。

环境中显示的建议基于要保护的资源和自定义配置。 可以在门户中查看适用于资源的建议

若要了解可以针对这些建议采取的操作,请参阅 Defender for Cloud 修正建议

Tip

如果建议的描述中显示“无相关策略”,通常是因为该建议依赖于另一个建议

例如,建议“应修正 Endpoint Protection 运行状况失败”依赖于建议“应安装 Endpoint Protection 解决方案”,后者检查 Endpoint Protection 解决方案是否已安装。 基础建议 确实 有一个策略。 将策略限制为仅用于基本建议可简化策略管理。

Azure 标识和访问建议

最多只能为订阅指定 3 个所有者

说明:为了减少已泄露所有者帐户违规的可能性,我们建议将所有者帐户数限制为最多 3 个(相关策略: 应为订阅指定最多 3 个所有者)。

严重性:高

Azure Cosmos DB 帐户应使用 Azure Active Directory 作为唯一的身份验证方法

说明:向 Azure 服务进行身份验证的最佳方式是使用 Role-Based 访问控制(RBAC)。 通过 RBAC,可以保持最低权限原则,并支持在遭到入侵时能够将撤销权限作为有效响应方法。 可以将 Azure Cosmos DB 帐户配置为强制实施 RBAC 作为唯一的身份验证方法。 配置强制实施时,会拒绝所有其他访问方法(主/辅助密钥和访问令牌)。 (无相关策略)

严重性:中

应删除对 Azure 资源拥有所有者权限的已封锁帐户

说明:应从 Azure 资源中删除已阻止登录 Active Directory 的帐户。 这些帐户可能会成为攻击者的目标,攻击者会设法在不被发现的情况下访问你的数据。 (无相关策略)

严重性:高

应删除对 Azure 资源拥有读取和写入权限的已封锁帐户

说明:应从 Azure 资源中删除已阻止登录 Active Directory 的帐户。 这些帐户可能会成为攻击者的目标,攻击者会设法在不被发现的情况下访问你的数据。 (无相关策略)

严重性:高

应从订阅中删除已弃用的帐户

说明:应从订阅中删除已阻止登录的用户帐户。 这些帐户可能会成为攻击者的目标,攻击者会设法在不被发现的情况下访问你的数据。 (相关策略:应从订阅中删除已弃用的帐户)。

严重性:高

应从订阅中删除拥有所有者权限的已弃用帐户

说明:应从订阅中删除已阻止登录的用户帐户。 这些帐户可能会成为攻击者的目标,攻击者会设法在不被发现的情况下访问你的数据。 (相关策略:应从订阅中删除具有所有者权限的已弃用帐户)。

严重性:高

应启用 Key Vault 的诊断日志

说明:启用日志并保留最多一年。 这样便可以在发生安全事件或网络遭泄露时,重新创建活动线索用于调查目的。 (相关策略:应启用密钥保管库中的诊断日志)。

严重性:低

应从订阅中删除拥有所有者权限的外部帐户

说明:应从订阅中删除具有不同域名(外部帐户)所有者权限的帐户。 这可防止不受监视的访问。 这些帐户可能会成为攻击者的目标,攻击者会设法在不被发现的情况下访问你的数据。 (相关策略:应从订阅中删除具有所有者权限的外部帐户)。

严重性:高

应从订阅中删除拥有读取权限的外部帐户

说明:应从订阅中删除具有不同域名(外部帐户)的读取权限的帐户。 这可防止不受监视的访问。 这些帐户可能会成为攻击者的目标,攻击者会设法在不被发现的情况下访问你的数据。 (相关策略:应从订阅中删除具有读取权限的外部帐户)。

严重性:高

应从订阅中删除拥有写入权限的外部帐户

说明:应从订阅中删除具有不同域名(外部帐户)的写入权限帐户。 这可防止不受监视的访问。 这些帐户可能会成为攻击者的目标,攻击者会设法在不被发现的情况下访问你的数据。 (相关策略:应从订阅中删除具有写入权限的外部帐户)。

严重性:高

应在 Key Vault 上启用防火墙

说明:Key Vault 的防火墙可防止未经授权的流量访问密钥保管库,并为机密提供额外的保护层。 启用防火墙可确保只有来自允许的网络的流量可以访问密钥保管库。 (相关策略:应在密钥保管库上启用防火墙)。

严重性:中

应删除对 Azure 资源拥有所有者权限的来宾帐户

说明:应从 Azure 资源中删除具有在 Azure Active Directory 租户外部预配的所有者权限的帐户(不同的域名)。 来宾帐户不与企业租户标识使用相同的标准进行管理。 这些帐户可能会成为攻击者的目标,攻击者会设法在不被发现的情况下访问你的数据。 (无相关策略)

严重性:高

应删除对 Azure 资源拥有读取权限的来宾帐户

说明:应从 Azure 资源中删除具有 Azure Active Directory 租户外部预配的读取权限的帐户(不同的域名)。 来宾帐户不与企业租户标识使用相同的标准进行管理。 这些帐户可能会成为攻击者的目标,攻击者会设法在不被发现的情况下访问你的数据。 (无相关策略)

严重性:高

应删除对 Azure 资源拥有写入权限的来宾帐户

说明:应从 Azure 资源中删除具有在 Azure Active Directory 租户外部预配的写入权限的帐户(不同的域名)。 来宾帐户不与企业租户标识使用相同的标准进行管理。 这些帐户可能会成为攻击者的目标,攻击者会设法在不被发现的情况下访问你的数据。 (无相关策略)

严重性:高

Key Vault 密钥应具有到期日期

说明:加密密钥应具有定义的过期日期,而不是永久的。 密钥永久有效会导致潜在攻击者有更多时间来破解密钥。 建议的安全做法是为加密密钥设置到期日期。 (相关策略:密钥保管库密钥应具有过期日期)。

严重性:高

Key Vault 机密应具有到期日期

说明:机密应具有定义的到期日期,而不是永久的。 机密永久有效会导致潜在攻击者有更多时间来破解密钥。 建议的安全做法是为机密设置到期日期。 (相关策略:密钥保管库机密应具有到期日期)。

严重性:高

密钥保管库应启用清除保护

说明:恶意删除密钥保管库可能会导致永久数据丢失。 你组织中的恶意内部人员可能会删除和清除密钥保管库。 清除保护通过强制实施软删除密钥保管库的强制保留期来保护你免受内部攻击。 你的组织内的任何人都无法在软删除保留期内清除你的密钥保管库。 (相关策略:密钥保管库应启用清除保护)。

严重性:中

密钥保管库应启用软删除

说明:在不启用软删除的情况下删除密钥保管库会永久删除存储在密钥保管库中的所有机密、密钥和证书。 意外删除密钥保管库可能会导致永久丢失数据。 软删除允许在可配置的保持期内恢复意外删除的密钥保管库。 (相关策略:密钥保管库应启用软删除)。

严重性:高

应启用适用于 Key Vault 的 Microsoft Defender

说明:Microsoft Defender for Cloud 包括 Microsoft Defender for Key Vault,提供额外的安全智能层。 Microsoft Defender for Key Vault 会检测访问或恶意利用 Key Vault 帐户的异常和可能有害的企图。

此计划的保护按 Defender 计划 页上所示收费。 如果在此订阅中没有任何密钥保管库,则无需付费。 如果以后在此订阅上创建密钥保管库,则这些帐户将自动受到保护,并开始计费。 详细了解各区域的定价详细信息。 (相关策略:应启用 Azure Defender for Key Vault)。

严重性:高

应撤销 Azure 订阅中非活动标识的权限

说明:Microsoft Defender for Cloud 发现了在过去 45 天内未对 Azure 订阅中的任何资源执行任何作的标识。 建议撤销非活动标识的权限,以减少云环境的攻击面。

严重性:中

应禁止存储帐户公共访问

说明:Azure 存储中对容器和 Blob 的匿名公共读取访问是共享数据的一种便捷方式,但可能存在安全风险。 为了防止不希望的匿名访问导致数据泄露,Microsoft 建议禁止对存储帐户的公共访问,除非你的方案需要。 (相关策略:应禁止存储帐户公共访问)。

严重性:中

应向订阅分配多个所有者

说明:指定多个订阅所有者,以便具有管理员访问权限冗余。 (相关策略:应为订阅分配多个所有者)。

严重性:高

存储在 Azure Key Vault 中的证书的有效期不得超过 12 个月

说明:确保证书的有效期不超过 12 个月。 (相关策略:证书应具有指定的最大有效期)。

严重性:中

Azure 预配过度的标识应仅具有必要的权限

说明:过度预配的标识或过度权限标识不使用其授予的许多权限。 定期正确调整这些标识的权限大小,以减少权限滥用的风险,无论是意外的还是恶意的。 此操作可降低安全事件期间的潜在爆炸半径。

严重性:中

特权角色不应在订阅和资源组级别拥有永久访问权限

描述: Microsoft Defender for Cloud 发现了在过去 45 天内未对 Azure 订阅中的任何资源执行任何作的标识。 建议撤销非活动标识的权限,以减少云环境的攻击面。

严重性:高

不应在订阅和资源组级别为服务主体分配管理角色

说明:在资源组或订阅级别使用特权角色分配的 Defender for Cloud 标识的服务主体。 特权管理员角色是可以对资源执行敏感操作的角色,例如所有者、参与者或用户访问管理员。 服务主体在高效安全地管理 Azure 资源方面发挥着至关重要的作用,无需人工干预。 必须遵循最低特权原则,仅授予给定服务主体履行其职责所需的最低访问权限级别。 管理员和特权访问是黑客的主要目标。 有关使用特权管理员角色分配时的最佳做法,请参阅 Azure RBAC 最佳做法Azure RBAC 的最佳做法。 有关 Azure RBAC 中可用角色的列表,请参阅 Azure 内置角色

严重性:高