Microsoft Office 365 更改这些设置或有被黑客入侵的风险

网络攻击者并未表现出任何放弃恶意软件和网络钓鱼攻击的迹象,但是幸运的是,即使资源贫乏的组织也可以采取一些措施来最大程度地减少安全漏洞的可能性。

上周,Microsoft的安全团队建议具有管理访问权限的员工应使用专用于管理任务的始终最新的设备。它还敦促组织放弃使用密码,并为用户实施多因素身份验证(MFA)。

本周,美国国土安全部的网络安全和基础架构安全局(CISA)发布了有关使用Microsoft Office 365的组织的建议, 尤其是当它们从第三方迁移时依赖第三方承包商为他们实施该建议时,尤其如此。云的前提。

查看:新网络安全专家的10个技巧(免费PDF)

CISA的建议基于的发现是,自2018年10月以来与之合作的许多组织通过在云中部署Office 365时第三方提供商配置安全设置的方​​式降低了其“总体安全状态”。

此外,许多组织缺乏专门的IT安全团队来关注云中的安全性。

CISA警告:“这些安全疏忽导致用户和邮箱受到损害和漏洞。”

第一个漏洞是管理员帐户默认没有从一开始就启用多因素身份验证(MFA)。此安全功能是防范网络钓鱼的最佳方法,但是在Azure AD中,全局管理员需要明确启用“条件访问”策略以启用MFA。

这里一开始就默认不启用MFA的危险是,在迁移到云中的Office 365期间,管理员帐户可能会被用来破坏用户帐户。

CISA解释说:“这些帐户由于位于云中而可以访问Internet。如果这些帐户没有立即得到保护,则这些基于云的帐户可能使攻击者能够在客户将用户迁移到Office 365时保持持久性。”

第三方实施者似乎倾向于不为其客户启用邮箱审核。如CISA所述,直到最近,默认情况下才启用O365邮箱审核。

该功能记录邮箱所有者,代表和管理员采取的操作,并提供在事件后取证调查期间可能有价值的信息。在2019年之前购买Office 365的客户必须明确启用邮箱审核。

Microsoft 在12月宣布,由于客户需求,默认情况下将为Office 365商业用户启用Exchange邮箱审核。它已于今年3月正式启用。

自2019年1月起, Microsoft已默认为Microsoft 365组织启用它。在此之前,管理员需要为组织中的每个用户邮箱手动启用审核,而现在这是在创建新邮箱时发生的。

但是,CISA注意到,Office 365当前默认情况下不启用统一审核日志,它将提供来自Exchange Online,SharePoint Online,OneDrive,Azure AD,Microsoft Teams,PowerBI和其他Office 365服务的日志或事件。CISA指出,管理员必须先在安全和合规中心启用此功能,然后才能运行查询。

第三个漏洞是启用了密码同步,当使用云中的Azure Active Directory(AD)从本地环境迁移到Office 365时,这又是一个潜在问题,以与本地Active Directory身份匹配。

“ Azure AD的身份验证选项之一是'Password Sync'。如果启用此选项,则本地密码将覆盖Azure AD中的密码。在这种特殊情况下,如果本地AD身份受到威胁,则当同步发生时,攻击者可能会横向移动到云中。” CISA解释说。

Microsoft在2018年10月为管理员帐户禁用了内部部署到云的AD匹配。但是,CISA指出,某些组织可能在此之前执行了管理员帐户匹配,从而允许组织同步在迁移之前遭到破坏的身份。

最后,CISA会警告Exchange Online身份验证使用的某些不支持MFA的协议,包括邮局协议(POP3),Internet邮件访问协议(IMAP)和简单邮件传输协议(SMTP)。

CISA接受,出于业务需要,组织可能需要使用使这些协议保持启用状态的较旧的电子邮件客户端。但是,确实支持这些旧协议的帐户在没有MFA额外保护的情况下仍暴露在Internet上。

CISA说:“传统协议用于不支持现代身份验证的较旧的电子邮件客户端。可以在租户级别或用户级别禁用传统协议。”

“但是,如果组织需要将较旧的电子邮件客户端作为业务需要,则不会禁用这些协议。这会使电子邮件帐户仅使用用户名和密码作为主要身份验证方法而暴露于Internet。”

CISA关于从本地迁移到云世界的最终决定是使用MFA,因为它是防止Office 365凭据被盗的最佳选择。启用统一审核日志记录;为所有用户启用邮箱审核;用于在迁移用户之前正确配置Azure AD密码同步;并根据需要禁用旧版电子邮件协议或将其限制用于特定用户。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。