在默認的情況下,基於雲端的身分和訪問管理服務是未啟用某些防禦功能,管理員應該對此進行糾正。Active Directory 的 Azure 版本與本地的版本有許多方面的不同,有許多種方式可以保護您的環境並確保其安全,但默認的情況下許多功能都未被開啟,您應該進行以下兩個步驟以保護Azure AD 環境。
阻止舊式身分驗證
新式身分驗證是Microsoft的術語,用於表示有關如何與Azure AD 通信和身分驗證的一組規則和要求,實施此要求是為了獲得一些安全好處,但在默認的情況下,Azure AD 用戶是不強制執行此要求。
傳統的身分驗證較常被使用及攻擊,若是阻止舊式身分驗證,則將阻止這些攻擊,但也有機會阻止用戶執行合法的任務。
這是Azure AD 條件是訪問可以提供幫助的地方。你可以創建一個或多個策略來指示在某些情況下允許與不允許的操作,而不是簡單的用舊版的身分驗證的關閉與開啟。
您可以從創建新式身份驗證的Azure AD條件訪問策略開始,否則它將會阻止登錄。Microsoft最近在條件訪問策略中添加了“僅報告”選項,強烈建議在部署後幾天使用並保留該選項。這將向您顯示仍在使用舊式身份驗證的用戶,您需要在執行真實策略之前進行補救。這有助於確保您不會阻止用戶執行其工作。
但是,此更改將嚴重限制手機電子郵件應用程式。唯一受新式身份驗證正式支持的是用於iOS和Android的Outlook,以及Apple iOS Mail。
實施多因素身分驗證(MFA)
這聽起來很淺顯易懂,但是有多種方法可以進行多因素身份驗證(MFA)。您的Microsoft許可是決定您選擇的因素之一。好消息是,所有許可層(包括免費版)都可以使用,但是最靈活的選件來自Azure AD Premium P1和P2。
使用這些付費計劃,有條件訪問規則可能比僅始終強制MFA更好。例如,如果用戶從您辦公室的IP地址訪問Microsoft服務,或者設備已加入Azure AD,則可能不需要MFA。您可能更希望這兩種情況都是避免MFA的要求,而其他情況(例如,用戶在非公司所有的PC上尋求訪問權限的用戶)會提示您進行額外的身份驗證。
MFA不必只是基於SMS的身份驗證。Microsoft的Authenticator App可能需要採取一些其他步驟來使某人首次註冊,但是接受第二個授權因素而不是等待SMS,這比接受移動設備上的彈出窗口要容易得多。
如果沒有MFA,則冒著暴露在互聯網上的身份驗證系統的高風險,攻擊者可以輕鬆地嘗試洩漏憑據或進行噴霧攻擊,直到他們使用用戶名和密碼成功登錄為止。
另一個常見的攻擊是憑據網絡釣魚。當威脅行為者使用受感染的帳戶向該人的聯繫人發送網絡釣魚電子郵件或使用偽造的形式獲取該聯繫人的憑據時,這可能會成功。如果受害人的賬戶需要MFA,這幾乎是無害的。
Azure AD 條件訪問
可以通過四個條件訪問基準策略來啟用以上建議,這四個條件訪問基準策略在所有Azure AD租戶中都應可見(仍處於預覽狀態),但將來似乎會將其刪除。
這些策略在 ”Azure AD” → “屬性” → 最下面 “管理安全性預設” → 點選”是”啟用,將會強制執行多重要素驗證,包括:
強制管理員使用MFA;
保護特殊許可權動作(例如使用Azure PowerShell)使用MFA;
強迫所有用戶在14天內註冊MFA;和阻止所有用戶的舊版身份驗證。
希望以上介紹能幫助您在使用 Azure AD 的時候,更加保護自身系統,有任何Azure 問題都可以跟我們聯繫,雅閣科技專業人員將會為您服務。