微软上周公布其最近一年的利润为 600 亿美元,销售额为 1650 亿美元——云收入增长惊人。 但这个好消息是在一年中传来的,没有一天没有另一个安全问题、另一次勒索软件攻击的报告。 是的,Windows 11 将需要能够带来更好安全性的硬件,但这是有代价的。 大多数用户的系统不支持 Windows 11,因此我们将只能使用 Windows 10。
Windows 生态系统的现实(和财务上的成功)与其用户的现实之间似乎存在很大的脱节。 我们现在需要更多的安全保障,而不是以后。
[相关:企业需要了解的有关 Windows 11 的信息]
对于许多人来说,恶意软件通常会通过网络钓鱼诱饵和诱人链接渗透到系统中。 Microsoft 可以通过推荐我们系统上现在未启用的安全解决方案来更好地为用户服务。 其中一些设置不需要额外的许可,而其他设置则需要 Windows 许可的圣杯——Microsoft 365 E5 许可。 虽然用户可以购买单个 E5 许可证以获得包含的安全增强功能,但这引起了人们的担忧,即微软开始将安全性作为操作系统的附加组件而不是内置。我记得微软谈到“安全设计, “默认安全”和“部署和通信安全”(也称为 SD3+C)。现在,它正在宣传使用 E5 许可的安全解决方案,而不是 Windows 中已有的那些可以更好地保护我们的解决方案。
这些工具包括本机 Microsoft Defender 的攻击面减少规则——或者更确切地说,隐藏在 Defender 中的特定设置可以在没有太大影响的情况下进行调整。 一种选择是使用“Configure Defender”等第三方 GitHub 工具下载 zip 文件,解压缩并运行 ConfigureDefender.exe。 启动后,向下滚动到 Exploit Guard 部分。 在最近的一篇博客文章中,Palantir 详细介绍了它认为有助于保护而不减慢系统速度的设置:
阻止从 USB 运行的不受信任和未签名的进程。
阻止 Adobe Reader 创建子进程。
阻止来自电子邮件客户端和网络邮件的可执行内容。
阻止 JavaScript 或 VBScript 启动下载的可执行内容。
通过 WMI 事件订阅阻止持久化。
阻止从 Windows 本地安全机构子系统 (lsass.exe) 窃取凭据。
阻止 Office 应用程序创建可执行内容。
我建议您下载 ConfigureDefender 并启用这些设置。 您可能会发现(就像我一样)启用这些设置不会影响日常计算机操作或触发问题。 那么为什么微软不在 Windows 11 中为这些 ASR 规则做一个更好的接口呢? 为什么它们仍然隐藏在针对 IT 管理员的具有组策略和域的混乱控制面板中。
对于企业用户来说,不断读到攻击者已经侵入我们的网络是令人不安的。 据美联社报道,就在最近,我们发现“纽约的四个美国检察官办公室员工使用的 Microsoft 电子邮件帐户中有 80% 遭到破坏”。“总而言之,司法部表示 27 个美国检察官办公室至少有 一名员工的电子邮件帐户在黑客攻击活动中遭到入侵。”
当攻击者获得对 Office 365 邮箱的访问权限时,关键是要知道攻击者是否实际访问了项目以及他们得到了什么。 但是此信息受 E5 许可证的限制。 因此,如果您需要确切地知道任何攻击者阅读了什么,除非您有先见之明地购买了包括 MailItemsAccessed 的高级审计,否则您就不走运了。 更糟糕的是,正如 Joe Stocker(Microsoft MVP 和 InfoSec 专家)最近在 Twitter 上指出的那样,用户可以一次性启用 E5 的试用版并获得六个月的 Microsoft Cloud 应用程序安全日志。 现在,当您启用 MCAS 试用版时,除非您手动为 Office 365 启用审核日志记录,否则没有可以追溯回潜在攻击时间的日志文件。
[ 2023 年 CIO 100 奖:提名征集开始。 今天提交。 ]
以 Azure 活动目录为例。 使用免费版本,你只能获得 7 天的 Azure 活动目录登录和审核日志。 过去,您可以启用(购买)Azure AAD P1 许可证、P2 许可证或 EMS E5 许可证,并且可以立即返回 30 天。 因此,如果您遭到攻击,您可以事后将其重新打开并获取所需信息。 但是,当您现在启用这些许可证时,将无法访问追溯日志文件。 你真倒霉。
在默认的 Office 365 中,唯一可用时间超过 7 天的取证日志是安全与合规中心文件。 (安全与合规中心的正常默认日志保留时间为 90 天,如果您有 E5 许可证或合规性附加组件,则可以延长至一年。如果您购买新的政府日志记录目标保留 SKU, 您最多可以保留 10 年。)有一个好消息:如果您是 PowerShell 大师,可以通过一些脚本获得更多信息。
我要表达的意思是,这两个日志记录项表明,Microsoft 现在不再将合规性日志记录视为产品中包含的默认功能,而是将其视为需要购买的安全功能。 在我看来,对于云产品,安全性不应该需要许可附加组件。
默认情况下,所有用户,尤其是企业,都需要安全性。 你怎么认为? Microsoft 是否已采取足够措施确保其客户安全? 加入我们的 AskWoody.com 进行讨论。
