目录
1、Organizational security fundamentals
1.1 Identity and access management
2、microsoft针对以上4个方面的安全性所提供的主要服务
1、Organizational security fundamentals
1.1 Identity and access management
身份就是用来标识用户,以便让用户访问It基础结构中的资源。一般通过用户账户来识别用户,这些账户在特定的系统上被分配了适当的访问级别和权限。
Local accounts:只驻留在本地的window10设备上,不允许用户访问其他计算机上的资源。
Domain accounts:大多数组织会把用户计算机整合到称为域的可管理单元中来进行统一的管理,数据库会存储域用户账户,操作系统可以使用域用户账户对尝试访问ID域服务里任何位置的任何已经加入到这个域的设备的用户进行身份验证。
AAD accounts:我们可以使用AAD存储用户账户,用户可以使用这些账户访问云端托管的服务,比如Microsoft 365、Dynamic 365,对于维护本地IDDs(ID与服务)的组织还可以把本地IDDS与AAD集成(需要两者之间进行同步,比如密码哈希同步)
Mocrosoft accounts:使用微软账户不需要管位置(具体访问哪个计算机设备以及成员身份如何)。微软账户包括我们的用户用来登录不同服务的电子邮件的地址和密码,比如我们可以用来来登录Microsoft的Teams、Onedrive、Outlook...
1.2Information protection
Data at rest:指已经存储在某处(硬盘、闪存、邮箱)的数据,都会带来不同的风险,导致数据丢失或被窃取。
Data in transit:不仅要保护数据传输到设备这个过程的安全性,还要将数据发送到正确的设备中。
1.3Threat protection
- Device security:当我们的组织把我们的设备连接到组织的It基础结构时,可能会带来相应的风险。
防火墙设置:如果没有,每次连接到网络的时候,都会面临相应的安全风险,特别是不安全的网络。
防恶意软件、防病毒软件:容易被感染
软件更新和修复:没执行相应的更新和补丁操作,我们的设备就会存在安全风险,恶意软件可能会转移到我们的设备,可能对组织的基础架构造成潜在的后果。
安全设置懈怠:使用pin(太短了,容易被猜出来)
物理安全性差:用户把自己 的手机、平板电脑、公司的笔记本遗留在某个地方,造成丢失...
- Network security:
以下是常见的网络威胁
1.4Security management
安全管理可以是主动的(主动管理时:我们可以在组织里实施某种身份的验证,来感知潜在的威胁。选择实施相应的安全策略来要求复杂的密码登录,或者更高级别的多重身份验证。加密技术来保护传输中的数据。)也可以是被动的
2、microsoft针对以上4个方面的安全性所提供的主要服务
2.1身份和访问的安全性
2.1.1安全性验证
Microsoft 365可以帮助我们确定谁正在访问组织的资源以及精确的控制它们有哪些权限可以访问哪些资源,帮助保护用户的安全,有助于保护数据的泄露。
针对密码保护,有以下服务:
Microsoft 365中的MFA(如果想启用,管理员要给具体的某一个员工启用MFA)和Azure中的MFA验证方式不同
条件访问提供了细粒度的访问权限,来确保公司数据的安全,同时让用户可以从任何设备任何位置执行自己工作的最佳操作。条件访问通过评估组织的用户、设备、应用程序、位置和风险,然后授予对公司数据的访问权限,从而起到了保护敏感数据的作用。
条件访问可以使用于多个方面,Microsoft intune、Office 365、Windows 10,会根据不同的条件评估每一个访问请求,然后应用自己定义的策略根据访问请求来决定具体应用哪一个策略(允许访问、拒绝访问、启用MFA)
2.1.2身份保护
2.2威胁保护
可以帮助保护用户身份、设备、用户数据、应用程序以及整个组织的基础结构。
针对威胁保护有以下服务:
AAD身份保护:是通过一些机器学习的算法来检测潜在的威胁身份的异常和可疑事件,生成相应的报表,评估这些问题,并且采取措施。
Azure ATP:识别检测并帮助调查针对组织的高级威胁、入侵身份和恶意大的内部人员操作
Azure安全中心:针对Azure的服务的安全性进行分析,进行打分、评价然后提供帮助,帮助完善服务的安全性,提高安全分数
微软云端应用程序安全性:提供分析来识别和应对网络威胁
EOP:基于云的电子邮件筛选服务,帮助防止垃圾邮件和恶意邮件
office的高级威胁保护:主要会提供恶意的电子邮件的拦截、恶意的url,设置相应的策略来限定带有病毒的附件、url...
office 365的威胁情报:它有一个监视器会从多个来源发出信号收集数据,基于此来理解对整个组织造成威胁的情况,并且采取正确的措施。
2.3信息保护
我们的组织需要考虑如何跨边界创建和共享组织的信息,同时还要防止未经授权泄露信息。考虑如何减少敏感信息的泄露....
对信息分类,根据不同的类别加上相应的标题,采取不同的保护措施。
2.3.1发现敏感信息
2.3.2对敏感信息进行分类
2.3.3保护信息防止信息丢失
2.4安全管理提供的服务
2.4.1Microsoft 365的安全中心
通过安全中心可以查看组织当前整个安全状况,并且提供如何应对已经检测到的威胁的建议。
2.4.1Microsoft安全分数
安全分数有一个仪表板。监视和改善Microsoft 365的身份、数据、应用程序、设备、基础结构的安全性,进行打分,根据分数推荐提高安全分数的方法...
3、以上重点内容的补充介绍
3.1AAD(2.2扩展)
3.1.1AAD介绍
AAD最常见的是用于Azure中的身份验证和授权。Azure是基于订阅收费的,是在某一个订阅中使用Azure所提供的服务和资源(谁可以使用?需要通过验证和授权)
我们可以通过AAD登录和访问内部(组织的网络,部署在内网的应用、自己组织开发的应用)和外部(M365 Azure的Portal以及其它类似的成千上万的SaaS服务)的资源。
AAD主要针对两类 人群使用:
- IT管理员:使用AAD,根据业务要求控制用户对应用和应用资源的访问。
- 开发人员:使用AAD集成到自己的程序里,做相应用户登录的验证和授权
AAD可以和现有的Windows server AD和云端应用之间,自动完成用户的同步。
SSO access:单点登录的访问
3.1.2AAD的层级
免费和基本版本的服务 :
高级的服务:
3.1.3M365身份验证选项
AAD可以为Microsoft 365和其他的微软云产品提供身份验证和授权。
3.2AAD身份保护
3.2.1Azure身份保护基础
不仅是一个报表和实时监视程序,还可以在AAD的身份保护里定义明确的风险策略来保护组织的用户账户,会监视任何云资源上身份验证的每一个用户的会话并且计算该会话潜在风险有多大(基于多个因素计算风险值)
3.2设备保护
任何组织管理员的关键任务就是保护组织的资源和数据。这些任务通常称为设备管理,用户可能会有许多的设备,他们可以使用这些设备打开或者共享自己的个人文件,可以访问网站以及安装应用。那么用户也希望使用这些设备来访问公司的资源,所以设备的管理需要组织保护设备上的资源数据。我们需要了解设备管理的需求,为什么需要进行设备管理以及设备的保护,微软提供了哪些方案?
3.2.1为什么当前组织的业务环境需要保护
当今移动设备激增,IT管理员越来越难以管理组织所包含的设备和数据。有一些组织不允许用户使用自己的设备连接到组织的基础架构。有一些组织允许用户通过个人的手机或者平板电脑来访问公司的电子邮件、公司的基础架构,这种访问就会带来数据泄漏,将恶意软件引入组织的风险。
恶意软件:通过不安全的设备和应用程序的引入带来恶意软件
数据泄露:比如说包含公司数据的设备
3.2.2针对设备管理,微软提供的服务
MDM:用来管理智能电话,平板电脑和笔记本电脑等移动设备的行业标准。我们可以通过使用MDM的权限和MDM的客户端来实现。微软提供了两种MDM的解决方案:
- Microsoft Intune:Microsoft Intune会包含MDM(移动设备的管理)。同时还会包含MAM(移动应用程序管理)
- Office 365的MDM:
MDM通常会包含多个功能,比如说应用程序的分发、数据的管理、设备的培训。如果想在MDM中管理这些设备,第一个前提步骤:先把这些设备注册到MDM,只有注册进去它才能对这些设备进行相应的管理。我们可以手动的或者自动的把Win10设备、安卓等等其他操作系统的的设备注册进去。
那么MDM,比如说Microsoft Intune里的MDM,具体提供了哪些对设备管理和保护的功能?
MDM功能:
- 设备注册:MDM只能管理注册到MDM受支持的设备,这些设备可能是安卓操作系统、iOS操作系统。我们必须要装公司门户才能对应用程序进行管理。
- 设备的配置:可以使用配置文件和策略来配置设备,控制用户访问权限以及设置设备的设置来符合公司的策略。还可以部署设备设置以及访问公司资源,比如说可以给具体的某一个设备设置进行相应的设置(能不能访问公司的WiFi,能不能访问公司的VPN)。还可以通过使用条件访问来控制对公司资源的访问。
- 监视和报告:在MDM的管理工具里,可以收到存在问题的设备,哪些设备有问题以及哪些设备没有成功的应用我们配置的MDM策略,我们都可以看到相应的情况。
- 应用程序的管理:我们可以将应用程序部署到世界上任何已经注册的设备上,通过使用MDM和MAM,我们可以部署应用程序管理和设置应用程序,以及分离由个人和业务应用程序创建的这些数据。
- 选择性的数据删除:这个指具体的场景,比如说设备丢失了或者被偷了,比如说用户离职了不再是公司员工,那么就可以擦除这个设备上这个用户所产生的数据。
Microsoft Intune:
Microsoft Intune是一项云服务,可以帮助我们管理计算机、笔记本电脑、平板电脑和其他移动设备,这些移动设备包括iOS操作系统的,包括安卓操作系统的,包括mac os操作系统等等。 Microsoft Intune提供了MDM和MAM,同时还可以AAD做集成,将AAD用作身份存储的目录并且可以和本地管理基础结构做集成。使用 Microsoft Intune我们就可以进行以下特定功能: