本文共 5506 字，大约阅读时间需要 18 分钟。

最近，“安全”成为行业最热的词，而身份安全在企业上云背景下，也在逐渐成为企业基础架构不可或缺的一部分。但提到身份安全，仍然有不少用户并不了解该从何下手。今天我们将邀请微软数字化转型专家，为大家深度介绍如何基于Azure AD，搭建安全系数更高的身份标识系统，进一步提升企业信息安全。 

今天我们就跟大家一起，围绕Azure AD这套身份标识，看看如何利用微软云服务搭建安全系数更高的身份标识系统。

在正式进入如何提高安全之前，我们简单对比下现代社会和过往的企业环境中的差别。

不难发现，企业在过去几年的数字化转型进程中，重塑了很多我们的员工的工作方式以及公司业务开展的方式，因此原来我们一直倚仗的企业网络边界逐渐式微，这个变化自然也反映到了攻击者的攻击对象的变化。根据2017年，Verizon的数据泄露调查报告（DBIR）1显示，在黑客发起的所有攻击里，81%的攻击都是利用泄露的密码或者是弱密码。由此可见，身份安全作为新一代的安全边界，着实需要投入一定的资源和时间来打造。

接下来我们就一起通过五步检查为组织应对网络攻击，从身份的角度（当然在Microsoft框架下，就是使用Azure AD的相关功能）来提高企业的安全状态。

• 加强您的凭据

• 减少受攻击面的面积

• 自动执行威胁响应

• 使用云原生智能分析

• 启用最终用户自助服务

在正式开始详述每个步骤前，需要注意的是，这里的许多建议适用于已经配置为使用 Azure AD作为其身份标识的应用程序。只有把应用和身份凭据做了对接，才能确保后续的凭据策略、威胁检测、审核、日志记录和其他功能也应用到这些应用程序中，得到更深的见解。所以如下图所示位置，在Azure AD 界面上对于应用程序的注册和管理是所有这些建议的基础。

那在正式开始我们五步走的检查表前，再跟各位确认一件事情，就是在Azure上的特权账户是否已经开启了多因子认证，如果尚未启用，那强烈推荐您现在就走，这对于您后续的整个管理和保护都是最重要的，最关键的保护措施之一。

第 1 步 - 增强您的凭据

大多数企业安全漏洞都源自被密码喷雾、重放攻击或网络钓鱼等少数方法之一导致的帐户泄露。因此需要对账户和密码进行强密码保护，若要轻松启用基本级别的标识安全，可以使用“ Azure AD 安全默认值“的一键式启用。这样就能为租户中的所有用户强制 启用Azure MFA，并阻止租户使用旧协议进行登录。

我相信其实许多组织都使用传统复杂性（需要特殊字符、数字、大写和小写）和密码过期规则。但Microsoft 的研究表明，这些策略往往会导致用户很有规律的去改写自己的常用密码或者选择更容易猜测的密码，比如用公司的名字，或者部门加上特殊字符或者数字来变为自己或者某个应用管理员的密码。

Azure AD 的动态禁止密码功能就是学习当前攻击者行为来阻止用户设置易于猜到的密码。在云中创建用户时，此功能始终保持打开状态。Azure AD 密码保护阻止用户选择这些常见密码，并可以扩展为阻止包含您指定的自定义关键字的密码。例如，您可以阻止用户选择包含公司产品名称的密码或本地知名球队等。

Microsoft 根据 NIST 指南建议采用以下现代密码策略：

• 要求密码至少有 8 个字符。更长并不一定更好，因为它们会导致用户选择可预测的密码、将密码保存在文件中或将其写下来。

• 禁用过期规则，这驱使用户轻松猜到密码，如Spring2019！

• 禁用字符组合要求并阻止用户选择通常受到攻击的密码，因为它们会导致用户在密码中选择可预测的字符替换。

• 如果直接在Azure AD 中创建标识，可以使用 PowerShell 防止用户密码过期。Hybrid场景应使用域组策略设置或 Windows PowerShell 实现这些策略。

在定义好密码策略以后，我们来看下如何进一步防止凭据泄露，并增强抵御中断的恢复能力。

如果您的组织使用联合身份验证（或者Azure端的Pass Through）的混合标识解决方案，则出于以下两个原因，应启用密码哈希同步：

• Azure AD 中管理的凭据会报告已经泄露到暗网的用户名和密码对。Microsoft 也会发现许多这些泄露的凭据，当它们与组织中的凭据匹配，就会报告给您。但仅当企业启用密码哈希同步时，这个功能才会生效！

• 在发生本地中断（例如，勒索软件攻击中），您可以使用密码哈希同步切换到使用云身份验证。此备份身份验证方法将允许您继续访问配置使用 Azure 活动目录（包括 Office 365）进行身份验证的应用。在这种情况下，在解决本地中断之前，IT 人员无需求助于个人电子邮件帐户来共享数据。

利用内在安全、更易于使用凭据

使用Windows Hello，您可以在 PC 和移动设备上使用强双重身份验证替换密码。此身份验证由一种新型用户凭据组成，该凭据安全地绑定到设备并使用生物识别或 PIN。

第 2 步 - 减少攻击面

鉴于密码泄露的普遍性，最大限度地减少组织中的攻击面是至关重要的。消除使用较旧、不太安全的协议、限制访问入口点以及对资源进行更进一步的管理访问，都有助于减少攻击面面积：

阻止旧身份验证：应用使用老旧的方法使用 Azure AD 进行身份验证并访问公司数据，会给组织带来多一层的风险。这里的旧式身份验证的应用示例包括 POP3、IMAP4 或 SMTP 客户端。旧版身份验证应用会代表用户进行身份验证，并阻止 Azure AD 执行更高级别的安全评估。而现代身份验证将降低安全风险，因为它支持多重身份验证和条件访问。针对以上情况，我们建议执行以下三项操作：

1. 阻止无效的身份验证入口

 站在假定违规（assume breach）的角度，企业应该减少用户凭据泄露时的影响。对于环境中的每个应用，建议考虑以下几个问题：哪些组、哪些网络、哪些设备和其他元素应当得到授权，然后阻止其余内容。使用Azure AD 条件访问，您可以根据定义的特定条件控制授权用户访问其应用和资源的方式。

2. 限制用户同意操作

站在IT和管理员的角度，不同的应用对于不同的用户的权限的细分并不会全面了解，于是传统的用法就是把这个权力给到用户，让用户在应用登录时，自主选择需要的权限，但如果允许用户这么操作，虽然允许用户自己同意确实允许用户轻松获取与 Microsoft 365、Azure 和其他服务集成的有用应用程序，但如果不仔细使用和监视，则可能会带来风险。

因此微软建议限制用户同意的范围，您可以使用“应用同意策略“（预览功能）将最终用户的同意限制为仅经过验证的发布者，并且仅对当前用户选择的权限。如果最终用户同意受到限制，仍将遵守以前的同意授予，但所有未来的同意操作必须由管理员执行。对于受限情况，用户可以通过集成的管理员同意请求工作流或通过公司内部的支持过程来请求管理员同意。对于希望允许所有用户访问的应用程序，请考虑代表所有用户授予同意，确保尚未单独同意的用户能够访问该应用程序。如果不希望这些应用程序在所有方案中都可供所有用户使用，请使用应用程序分配和条件访问来限制用户对特定应用的访问。

最后在实施阶段，为了确保用户可以请求新应用程序权限，并减少用户摩擦，同时最小化支持量，并防止用户使用非 Azure AD 凭据注册应用程序，管理员应定期审核应用和同意的权限。

3. 实施 Azure AD 特权标识管理

"假设违约(Assume Breach)"的另一个影响是需要将被入侵的帐户使用特权角色的可能性降至最低。

Azure AD 特权标识管理 （PIM）可帮助您：

• 确定和管理分配给管理角色的用户。

• 了解应删除的未使用或过度特权角色。

• 建立规则以确保特权角色受到多重身份验证的保护。

• 建立规则，确保授予特权角色的时间仅足够用于申请完成特权任务的时间。

启用 Azure AD PIM，然后查看已分配管理角色的用户，并删除这些角色中的不必要帐户。对于剩余特权用户，请将它们从永久用户移动到符合条件的用户。最后，建立适当的策略，以确保当他们需要访问这些特权角色时，他们可以安全地这样做，并提供必要的更改控制。

作为部署特权帐户过程的一部分，请遵循最佳做法，至少创建两个紧急帐户，以确保如果把自己锁定在外，您仍然可以访问 Azure AD。

第 3 步 -自动执行威胁响应

Azure AD具有许多自动拦截攻击的功能，可消除检测和响应之间的延迟。当您减少犯罪分子停留在您的环境的时间时，您就是实现了降低成本和风险。以下是您可以采取的具体步骤:

使用 Azure AD 标识保护实施用户风险安全策略

用户风险代表用户标识被泄露的可能性，这是根据与用户标识关联的用户风险检测进行计算得来。用户风险策略是一种条件访问策略，用于评估特定用户或组的风险级别。根据低、中、高风险级别，可以将策略配置为阻止访问或使用多重身份验证进行安全密码更改。微软的建议是要求高风险用户更改安全密码。

使用 Azure AD 标识保护启用登录风险策略

登录风险指的是帐户所有者以外的其他人尝试使用标识登录的可能性。登录风险策略是一种条件访问策略，用于评估特定用户或组的风险级别。根据风险级别（高/中/低），可以配置策略以阻止访问或强制多重身份验证。请确保对中等或高于风险登录强制进行多重身份验证。

第 4 步 -使用云端机器学习能力分析用户行为

审核和记录与安全相关的事件和相关警报是高效保护策略的重要组成部分。安全日志和报告为您提供可疑活动的电子记录，并帮助您检测潜在的网络外部渗透尝试或成功的模式以及内部攻击。您可以使用审核来监视用户活动、记录合规性、执行取证分析等。

监控 Azure AD

Microsoft Azure 服务和功能为您提供了可配置的安全审核和日志记录选项，以帮助您识别安全策略和机制中的空白，来防控违规。您可以使用 Azure日志记录和审核和Azure 活动目录门户中的活动报告审核。

监控混合环境中的 Azure AD 连接运行状况

使用 Azure AD 连接运行状况监控 AD FS可让您更深入地了解 AD FS 基础结构上的潜在问题和攻击可见性。Azure AD 连接运行状况提供

• 包含详细信息、解决步骤和指向相关文档的链接的警报;

• 与身份验证流量相关的多个指标的使用情况分析;

• 性能监控和报告。

监控Azure AD 标识保护事件

Azure AD 标识保护是一种通知、监视和报告的工具，可用于检测影响组织身份标识的潜在漏洞。它检测风险检测，例如泄露的凭据、不可能的旅行和来自受感染设备的登录、匿名 IP 地址、与可疑活动关联的 IP 地址以及未知位置。启用通知警报以接收处于风险中的用户的电子邮件和/或每周摘要电子邮件。

Azure AD 标识保护提供了两个应该每天关注的重要报告

1. 有风险的登录报告将显示您应该调查的用户的登录活动。

2. 风险用户报告会显示可能遭到破坏的用户帐户，例如检测到的凭据泄露或用户从不同位置登录导致不可能的旅行事件的发生。

审核应用和用户同意的权限

用户可能会被钓鱼邮件或其他的方式诱骗导航到可能已经遭到破坏的网站或应用程序，这些网站或应用之后会访问其个人资料信息和用户数据（如电子邮件）。恶意参与者可以使用其收到的同意权限来加密其邮箱内容，并要求赎金以恢复您的邮箱数据。因此管理员应审核授予用户的权限，或默认禁用用户授予同意的权限。

除了审核用户授予的权限外，您还可以在环境中查找有风险或不需要的 OAuth应用程序。

第 5 步 -启用终端用户自助服务

在企业内实施安全策略的同时，都需要尽可能平衡安全性和生产力。您可以保持长期安全为背景的心态进行转型，但同时通过增强用户体验，消除组织中的摩擦也是推动转型中不可缺少的一环。

实现自助密码重置

Azure AD 的自助服务密码重置 （SSPR） 为IT 管理员提供了一种简单的方法，允许用户在没有技术支持或管理员干预的情况下重置或解锁其密码或帐户。该系统包括详细报告，跟踪用户何时重置密码，以及在发现有风险登录时提供通知。

实现自助服务组和应用程序访问

Azure AD 给非管理员也提供了能够使用安全组、Office 365 组、应用程序角色和访问包目录来管理对资源的访问。自助服务组管理使组所有者能够管理自己的组，而无需分配管理角色。用户还可以创建和管理 Office 365 组，而无需依赖管理员来处理其请求。此外，Azure AD 授权管理可以进一步提供委派和可见性管理，具有全面的访问请求工作流和自动过期的配置功能。您可以将为非管理员委派为组、团队、应用程序和 SharePoint Online 网站配置自己的访问的能力，并授权为批准访问所需的人（包括将员工的经理和业务合作伙伴发起人配置为审批人）的自定义策略。

实施 Azure AD 访问审查

使用Azure AD 访问审查，您可以管理访问和组成员身份、访问企业应用程序和特权角色分配，以确保企业遵守了制定的安全标准。用户自身、资源所有者和其他审阅者具有定期审核的功能，确保用户在不再需要访问权限时不会长时间保留访问权限。

总结

安全身份基础结构有许多方面，但此五步清单将帮助您快速实现更安全、更安全的身份基础结构：

• 加强您的凭据

• 减少攻击面面积

• 自动执行威胁响应

• 使用云端机器学习能力分析用户行为

• 启用终端用户自助服务

企业可根据公司对于身份安全的实施计划分批次，分阶段实施，逐步提高公司在身份安全方面的安全防御能力。

转载地址：https://microsoftchina.blog.csdn.net/article/details/108665107 如侵犯您的版权，请留言回复原文章的地址，我们会给您删除此文章，给您带来不便请您谅解！