标识和访问安全建议

本文列出了Microsoft Defender for Cloud中可能看到的所有标识和访问安全建议。

环境中显示的建议基于要保护的资源和自定义配置。 可以在门户中查看适用于资源的建议。

若要了解可针对这些建议执行的操作，请参阅 Defender for Cloud0>修正建议。

Azure标识和访问建议

最多只能为订阅指定 3 个所有者

说明：为了减少已泄露所有者帐户违规的可能性，我们建议将所有者帐户数限制为最多 3 个（相关策略： 应为订阅指定最多 3 个所有者）。

严重性：高

Azure Cosmos DB帐户应使用Microsoft Entra ID作为唯一的身份验证方法

Description：向Azure服务进行身份验证的最佳方式是使用 Role-Based Access Control （RBAC）。 通过 RBAC，可以保持最低权限原则，并支持在遭到入侵时能够将撤销权限作为有效响应方法。 可以将Azure Cosmos DB帐户配置为将 RBAC 强制实施为唯一的身份验证方法。 配置强制实施时，会拒绝所有其他访问方法（主/辅助密钥和访问令牌）。 （无相关策略）

严重性：中

应删除对Azure资源具有所有者权限的阻止帐户

Description：应从Azure资源中删除已阻止登录Active Directory的帐户。 这些帐户可能会成为攻击者的目标，攻击者会设法在不被发现的情况下访问你的数据。 （无相关策略）

严重性：高

应删除对Azure资源具有读取和写入权限的阻止帐户

Description：应从Azure资源中删除已阻止登录Active Directory的帐户。 这些帐户可能会成为攻击者的目标，攻击者会设法在不被发现的情况下访问你的数据。 （无相关策略）

严重性：高

应从订阅中删除已弃用的帐户

说明：应从订阅中删除已阻止登录的用户帐户。 这些帐户可能会成为攻击者的目标，攻击者会设法在不被发现的情况下访问你的数据。 （相关策略：应从订阅中删除已弃用的帐户）。

严重性：高

应从订阅中删除拥有所有者权限的已弃用帐户

说明：应从订阅中删除已阻止登录的用户帐户。 这些帐户可能会成为攻击者的目标，攻击者会设法在不被发现的情况下访问你的数据。 （相关策略：应从订阅中删除具有所有者权限的已弃用帐户）。

严重性：高

应启用Key Vault中的诊断日志

说明：启用日志并保留最多一年。 这样便可以在发生安全事件或网络遭泄露时，重新创建活动线索用于调查目的。 （相关策略：应启用Key Vault中的 Diagnostic 日志）。

严重性：低

应从订阅中删除拥有所有者权限的外部帐户

说明：应从订阅中删除具有不同域名（外部帐户）所有者权限的帐户。 这可防止不受监视的访问。 这些帐户可能会成为攻击者的目标，攻击者会设法在不被发现的情况下访问你的数据。 （相关策略：应从订阅中删除具有所有者权限的外部帐户）。

严重性：高

应从订阅中删除拥有读取权限的外部帐户

说明：应从订阅中删除具有不同域名（外部帐户）的读取权限的帐户。 这可防止不受监视的访问。 这些帐户可能会成为攻击者的目标，攻击者会设法在不被发现的情况下访问你的数据。 （相关策略：应从订阅中删除具有读取权限的外部帐户）。

严重性：高

应从订阅中删除拥有写入权限的外部帐户

说明：应从订阅中删除具有不同域名（外部帐户）的写入权限帐户。 这可防止不受监视的访问。 这些帐户可能会成为攻击者的目标，攻击者会设法在不被发现的情况下访问你的数据。 （相关策略：应从订阅中删除具有写入权限的外部帐户）。

严重性：高

应在Key Vault启用防火墙

说明：Key Vault 的防火墙可防止未经授权的流量访问密钥保管库，并为机密提供额外的保护层。 启用防火墙可确保只有来自允许的网络的流量可以访问密钥保管库。 （相关策略：应在 Key Vault 上启用Firewall）。

严重性：中

应删除对Azure资源具有所有者权限的来宾帐户

Description：应从Azure资源中删除具有Microsoft Entra租户外部预配的所有者权限的帐户。 来宾帐户不与企业租户标识使用相同的标准进行管理。 这些帐户可能会成为攻击者的目标，攻击者会设法在不被发现的情况下访问你的数据。 （无相关策略）

严重性：高

应删除对Azure资源具有读取权限的来宾帐户

Description：应从Azure资源中删除具有Microsoft Entra租户外部预配的读取权限的帐户。 来宾帐户不与企业租户标识使用相同的标准进行管理。 这些帐户可能会成为攻击者的目标，攻击者会设法在不被发现的情况下访问你的数据。 （无相关策略）

严重性：高

应删除对Azure资源具有写入权限的来宾帐户

Description：应从Azure资源中删除具有Microsoft Entra租户外部预配的写入权限的帐户。 来宾帐户不与企业租户标识使用相同的标准进行管理。 这些帐户可能会成为攻击者的目标，攻击者会设法在不被发现的情况下访问你的数据。 （无相关策略）

严重性：高

Key Vault密钥应具有过期日期

说明：加密密钥应具有定义的过期日期，而不是永久的。 密钥永久有效会导致潜在攻击者有更多时间来破解密钥。 建议的安全做法是为加密密钥设置到期日期。 （相关策略：Key Vault密钥应具有到期日期）。

严重性：高

Key Vault机密应具有到期日期

说明：机密应具有定义的到期日期，而不是永久的。 机密永久有效会导致潜在攻击者有更多时间来破解密钥。 建议的安全做法是为机密设置到期日期。 （相关策略：Key Vault机密应具有到期日期）。

严重性：高

密钥保管库应启用清除保护

说明：恶意删除密钥保管库可能会导致永久数据丢失。 你组织中的恶意内部人员可能会删除和清除密钥保管库。 清除保护通过强制实施软删除密钥保管库的强制保留期来保护你免受内部攻击。 组织内部或Microsoft任何人都无法在软删除保留期内清除密钥保管库。 （相关策略：密钥保管库应启用清除保护）。

严重性：中

密钥保管库应启用软删除

说明：在不启用软删除的情况下删除密钥保管库会永久删除存储在密钥保管库中的所有机密、密钥和证书。 意外删除密钥保管库可能会导致永久丢失数据。 软删除允许在可配置的保持期内恢复意外删除的密钥保管库。 （相关策略：密钥保管库应启用软删除）。

严重性：高

应启用Key Vault的Microsoft Defender

Description：Microsoft Defender for Cloud包括用于Key Vault的Microsoft Defender，提供额外的安全智能层。 Microsoft Defender，Key Vault检测到访问或利用Key Vault帐户的异常和潜在有害尝试。

此计划的保护按 Defender 计划 页上所示收费。 如果在此订阅中没有任何密钥保管库，则无需付费。 如果以后在此订阅上创建密钥保管库，则这些帐户将自动受到保护，并开始计费。 详细了解各区域的定价详细信息。 （相关策略：应启用Key VaultAzure Defender）。

严重性：高

应撤销Azure订阅中非活动标识的权限

Description：Microsoft Defender for Cloud发现在过去 45 天内未对 Azure 订阅中的任何资源执行任何操作的标识。 建议撤销非活动标识的权限，以减少云环境的攻击面。

严重性：中

应禁止存储帐户公共访问

Description：Azure Storage中对容器和 blob 的匿名公共读取访问是共享数据的一种便捷方法，但可能存在安全风险。 为了防止因匿名访问而导致的数据泄露，Microsoft建议防止对存储帐户的公共访问，除非你的方案需要它。 （相关策略：应禁止存储帐户公共访问）。

严重性：中

应向订阅分配多个所有者

说明：指定多个订阅所有者，以便具有管理员访问权限冗余。 （相关策略：应为订阅分配多个所有者）。

严重性：高

存储在Azure Key Vault中的证书有效期不应超过 12 个月

说明：确保证书的有效期不超过 12 个月。 （相关策略：证书应具有指定的最大有效期）。

严重性：中

Azure过度预配的标识应仅具有必要的权限

说明：过度预配的标识或过度权限标识不使用其授予的许多权限。 定期正确调整这些标识的权限大小，以减少权限滥用的风险，无论是意外的还是恶意的。 此操作可降低安全事件期间的潜在爆炸半径。

严重性：中

特权角色不应在订阅和资源组级别拥有永久访问权限

Description： Microsoft Defender for Cloud发现了在过去 45 天内未对Azure订阅中的任何资源执行任何操作的标识。 建议撤销非活动标识的权限，以减少云环境的攻击面。

严重性：高

不应在订阅和资源组级别为服务主体分配管理角色

Description：Defender for Cloud在资源组或订阅级别使用特权角色分配的服务主体。 特权管理员角色是可以对资源执行敏感操作的角色，例如所有者、参与者或用户访问管理员。 服务主体在高效安全地管理Azure资源方面发挥了关键作用，无需人工干预。 必须遵循最低特权原则，仅授予给定服务主体履行其职责所需的最低访问权限级别。 管理员和特权访问是黑客的主要目标。 有关使用特权管理员角色分配时的最佳做法，请参阅 有关 Azure RBAC的最佳做法。 Azure RBAC 的最佳做法。 有关 Azure RBAC 中可用角色的列表，请参阅 Azure 的内置角色。

严重性：高

相关内容

• 详细了解安全建议
• 查看安全建议