确保安全密钥注册
首先需评估组织对Microsoft Authenticator应用的使用情况,确保已启用密钥功能:
- 访问Microsoft Entra管理中心,依次进入"保护"→“身份验证方法”
- 选择"密钥(FIDO2)设置",若未开始部署需勾选"iPhone和Android AAGUID"作为Microsoft验证器的允许密钥
接着配置条件访问策略,对用户登录进行多维度条件评估(如异常地理位置登录)。注意可能需要额外许可才能支持此级别的云审查。
控制身份验证协议
定期审查Azure基础设施以确保符合最新安全基准:
- 限制SMB协议使用
- 逐步淘汰NTLM协议,转向Kerberos等现代技术
- 对必须使用的传统协议通过第三方方案(如duo.com)添加多因素认证保护
通过以下步骤审计传统协议使用:
- 访问Entra ID > 监控与运行状况 > 登录日志
- 添加"客户端应用"列(通过列设置→客户端应用)
- 设置过滤器:客户端应用→选择所有传统身份验证协议→应用
- 在"用户登录(非交互式)“标签页重复此操作
安全与恢复建议
- 尽可能禁用Microsoft 365的联合信任关系认证
- 建立纯云访问账户(与本地AD完全隔离)
- 制定身份攻击恢复预案,重点清理攻击者可能设置的持久化访问手段:
- 检查账户委托关系
- 监控设备列表异常添加
- 审查权限变更记录 对于已沦陷账户,建议直接禁用并创建全新身份凭证而非简单清理。
勒索软件威胁持续存在,通过强化身份验证和访问控制策略可有效构建防护基础。