Microsoft 安全功能分数中的新增功能

为了使 Microsoft 安全功能分数更好地代表你的安全状况，我们继续添加新功能和改进操作。

采取的改进操作越多，安全功能分数就越高。 有关详细信息，请参阅 Microsoft 安全功能分数。

可在 Microsoft Defender 门户中找到 https://security.microsoft.com/securescore Microsoft 安全功能分数。

2024 年 2 月

以下建议将添加为 Microsoft 安全功能分数改进操作：

Microsoft Defender for Identity：

• 编辑不安全的 ADCS 证书注册 IIS 终结点 (ESC8)

2024 年 1 月

以下建议已添加为 Microsoft 安全功能分数改进操作：

Microsoft Entra (AAD) ：

• 确保管理员需要“防钓鱼 MFA 强度”。
• 确保使用自定义受禁密码列表。
• 确保“Windows Azure 服务管理 API”仅限于管理角色。

管理员中心：

• 确保“用户拥有的应用和服务”受到限制。

Microsoft Forms：

• 确保为Forms启用内部网络钓鱼防护。

Microsoft Share Point：

• 确保 SharePoint 来宾用户无法共享他们不拥有的项目。

Defender for Cloud Apps 对一个应用的多个实例的支持

Microsoft Defender for Cloud Apps现在支持跨同一应用的多个实例提供安全功能分数建议。 例如，如果有多个 AWS 实例，则可以单独为每个实例配置和筛选安全功能分数建议。

有关详细信息，请参阅 打开和管理 SaaS 安全态势管理 (SSPM) 。

2023 年 12 月

以下建议已添加为 Microsoft 安全功能分数改进操作：

Microsoft Entra (AAD) ：

• 确保“Microsoft Azure 管理”仅限于管理角色。

Microsoft Sway：

• 确保 Sway 不能与组织外部的人员共享。

Microsoft Exchange Online：

• 确保不允许用户安装 Outlook 加载项。

Zendesk：

• 启用和采用双因素身份验证 (2FA) 。
• 向管理员、代理和最终用户发送密码更改通知。
• 启用 IP 限制。
• 阻止客户绕过 IP 限制。
• 管理员和代理可以使用 Zendesk 支持移动应用。
• 启用 Zendesk 身份验证。
• 为用户启用会话超时。
• 阻止帐户假设。
• 阻止管理员设置密码。
• 自动编修。

Net Document：

• 在 netDocument 中采用单一登录 (SSO) 。

元工作区：

• 在 Workplace by Meta 中采用单一登录 (SSO) 。

Dropbox：

• 为 Web 用户启用 Web 会话超时。

Atlassian：

• (MFA) 启用多重身份验证。
• 启用 单一登录 (SSO) 。
• 启用强密码策略。
• 为 Web 用户启用会话超时。
• 启用密码过期策略。
• Atlassian 移动应用安全性 - 受策略影响的用户。
• Atlassian 移动应用安全性 - 应用数据保护。
• Atlassian 移动应用安全性 - 应用访问要求。

Microsoft Defender for Identity：新的 Active Directory 证书服务 (ADCS) 相关建议：

• 证书模板建议的操作 ：
  • 阻止用户根据证书模板 (ESC1) 请求对任意用户有效的证书
  • 使用特权 EKU 编辑过度宽松的证书模板 (任何目的 EKU 或 No EKU) (ESC2)
  • 注册代理证书模板配置错误， (ESC3)
  • 编辑配置错误的证书模板 ACL (ESC4)
  • 编辑配置错误的证书模板所有者
• 证书颁发机构建议的操作 ：
  • 编辑易受攻击的证书颁发机构设置
  • 编辑配置错误的证书颁发机构 ACL (ESC7)
  • (ESC8) 对 RPC 证书注册接口强制加密

有关详细信息，请参阅Microsoft Defender for Identity的安全状况评估。

2023 年 10 月：

以下建议已添加为 Microsoft 安全功能分数改进操作：

Microsoft Entra (AAD) ：

• 确保管理员需要“防钓鱼 MFA 强度”。
• 确保使用自定义受禁密码列表。

Microsoft Sway：

• 确保 Sway 不能与组织外部的人员共享。

Atlassian：

• (MFA) 启用多重身份验证。
• 启用 单一登录 (SSO) 。
• 启用强密码策略。
• 为 Web 用户启用会话超时。
• 启用密码过期策略。
• Atlassian 移动应用安全性 - 受策略影响的用户。
• Atlassian 移动应用安全性 - 应用数据保护。
• Atlassian 移动应用安全性 - 应用访问要求。

2023 年 9 月：

以下建议已添加为 Microsoft 安全功能分数改进操作：

Microsoft 信息保护：

• 确保已启用 Microsoft 365 审核日志搜索。
• 确保为 Microsoft Teams 启用了 DLP 策略。

Exchange Online：

• 确保为所有 Exchange 域发布 SPF 记录。
• 确保为Exchange Online启用新式身份验证。
• 确保为最终用户启用了 MailTips。
• 确保为所有用户启用邮箱审核。
• 确保在Outlook 网页版中限制其他存储提供程序。

Microsoft Defender for Cloud Apps：

• 确保已启用Microsoft Defender for Cloud Apps。

office Microsoft Defender：

• 确保Exchange Online垃圾邮件策略设置为通知管理员。
• 确保阻止和/或禁用所有形式的邮件转发。
• 确保已启用 Office 应用程序的安全链接。
• 确保已启用安全附件策略。
• 确保已创建防钓鱼策略。

2023 年 8 月

以下建议已添加为 Microsoft 安全功能分数改进操作：

Microsoft 信息保护：

• 确保已启用 Microsoft 365 审核日志搜索。

Microsoft Exchange Online：

• 确保为Exchange Online启用新式身份验证。
• 确保Exchange Online垃圾邮件策略设置为通知管理员。
• 确保阻止和/或禁用所有形式的邮件转发。
• 确保为最终用户启用了 MailTips。
• 确保为所有用户启用邮箱审核。
• 确保在Outlook 网页版中限制其他存储提供程序。

Microsoft Entra ID：

若要查看Office 365连接器中的以下新Microsoft Entra控件，需要在“应用连接器设置”页中打开Microsoft Defender for Cloud Apps：

• 确保为本地 Active Directory启用密码保护。
• 确保禁用“LinkedIn帐户连接”。

Sharepoint：

• 确保已启用 Office 应用程序的安全链接。
• 确保启用了 SharePoint、OneDrive 和 Microsoft Teams 的安全附件。
• 确保已创建防钓鱼策略。

若要在 Office 365 连接器中查看以下新 SharePoint 控件，需要在“应用程序连接器设置”页中打开Microsoft Defender for Cloud Apps：

• 确保通过域允许列表/阻止列表管理 SharePoint 外部共享。
• 阻止从非托管设备OneDrive for Business同步。

Microsoft 安全功能分数与 Microsoft Lighthouse 365 集成

Microsoft 365 Lighthouse可帮助托管服务提供商 (MSP) 从单个门户大规模为客户提供服务。 Lighthouse 允许客户标准化配置、管理风险、识别人工智能 (AI) 驱动的销售机会，并与客户互动，帮助他们在 Microsoft 365 中实现投资最大化。

我们已将 Microsoft 安全功能分数集成到Microsoft 365 Lighthouse。 此集成为所有托管租户提供安全功能分数的聚合视图，以及每个租户的安全分数详细信息。 可从 Lighthouse 主页上的新卡或通过在 Lighthouse 租户页上选择租户来访问安全功能分数。

注意

与 Microsoft Lighthouse 365 的集成适用于使用云解决方案提供商 (CSP) 计划来管理客户租户的 Microsoft 合作伙伴。

Microsoft 安全功能分数权限与 Microsoft Defender XDR 统一基于角色的访问控制集成 (RBAC) 现已推出公共预览版

以前，只有Microsoft Entra全局角色 (（如全局管理员) ）可以访问 Microsoft 安全功能分数。 现在，你可以控制 Microsoft 安全功能分数体验的访问权限并授予精细权限，这是统一 RBAC 模型的一部分Microsoft Defender XDR。

可以通过在创建角色时选择 “安全态势 权限”组来添加新权限并选择用户有权访问的数据源。 有关详细信息，请参阅使用 Microsoft Defender XDR Unified RBAC Create自定义角色。 用户会看到他们有权访问的数据源的安全评分数据。

新的数据源 安全功能分数 – 其他数据源 也可用。 有权访问此数据源的用户有权访问安全功能分数仪表板中的其他数据。 有关其他数据源的详细信息，请参阅 安全功能分数中包含的产品。

2023 年 7 月

以下Microsoft Defender for Identity建议已添加为 Microsoft 安全功能分数改进操作：

• 从域中的帐户中删除“password 永不过期”属性。
• 删除具有 管理员 SDHolder 权限的可疑帐户的访问权限。
• 管理密码超过 180 天的帐户。
• 删除标识资产上的本地管理员。
• 删除具有 DCSync 权限的非管理员帐户。
• 启动 Defender for Identity 部署，在域控制器和其他符合条件的服务器上安装传感器。

以下 Google 工作区建议已添加为 Microsoft 安全功能分数改进操作：

• (MFA) 启用多重身份验证

若要查看此新控件，必须通过应用连接器设置页配置 Microsoft Defender for Cloud Apps 中的 Google 工作区连接器。

2023 年 5 月

新的Microsoft Exchange Online建议现在作为安全功能分数改进操作提供：

• 确保邮件传输规则不允许特定域。

新的 Microsoft SharePoint 建议现在以安全功能分数改进操作的形式提供：

• 确保需要对 SharePoint 应用程序进行新式身份验证。
• 确保外部用户不能共享他们不拥有的文件、文件夹和网站。

2023 年 4 月

Microsoft 安全功能分数中现在为具有有效Microsoft Defender for Cloud Apps许可证的客户提供了新的建议：

• 确保仅存在组织托管/批准的公共组。
• 确保已启用登录频率，并且浏览器会话对管理用户不持久。
• 确保管理帐户是独立的、未分配的且仅限云。
• 确保不允许第三方集成应用程序。
• 确保已启用管理员同意工作流。
• 确保为 Microsoft Teams 启用了 DLP 策略。
• 确保为所有 Exchange 域发布 SPF 记录。
• 确保Microsoft Defender for Cloud Apps已启用。
• 确保移动设备管理策略设置为需要高级安全配置，以防止基本的 Internet 攻击。
• 确保禁止重复使用移动设备密码。
• 确保移动设备设置为密码永不过期。
• 确保用户无法从越狱或获得 root 权限的设备进行连接。
• 确保移动设备设置为在多次登录失败时擦除，以防止暴力破解。
• 确保移动设备需要最短的密码长度，以防止暴力攻击。
• 确保设备在处于非活动状态一段时间后锁定，以防止未经授权的访问。
• 确保启用了移动设备加密，以防止对移动数据进行未经授权的访问。
• 确保移动设备需要复杂的密码 (类型 = 字母数字) 。
• 确保移动设备需要复杂密码 (简单密码 = 阻止) 。
• 确保连接的设备已启用 AV 和本地防火墙。
• 确保电子邮件配置文件需要移动设备管理策略。
• 确保移动设备需要使用密码。

注意

若要查看新的 Defender for Cloud Apps 建议，必须通过应用连接器设置页打开 Microsoft Defender for Cloud Apps 中的Office 365连接器。 有关详细信息，请参阅如何将Office 365连接到 Defender for Cloud Apps。

2022 年 9 月

针对防钓鱼策略的新Microsoft Defender for Office 365建议现在以安全功能分数改进操作的形式提供：

• 将钓鱼电子邮件级别阈值设置为 2 或更高。
• 启用模拟用户保护。
• 启用模拟域保护。
• 确保已启用邮箱智能。
• 确保启用了模拟保护的智能。
• 隔离从模拟用户检测到的邮件。
• 隔离从模拟域检测到的邮件。
• 移动邮箱智能检测到为模拟用户的邮件。
• 启用“显示第一个触点安全提示”选项。
• 启用用户模拟安全提示。
• 启用域模拟安全提示。
• 启用用户模拟异常字符安全提示。

新的 SharePoint Online 建议现在可用作安全功能分数改进操作：

• 注销 SharePoint Online 中的非活动用户。

2022 年 8 月

新的Microsoft Purview 信息保护建议现在作为安全功能分数改进操作提供：

• 标记
  • 将 Microsoft 365 敏感度标记扩展到 Azure Purview 数据映射中的资产。
  • 确保已设置和使用自动标记数据分类策略。
  • 发布 Microsoft 365 敏感度标签数据分类策略。
  • Create数据丢失防护 (DLP) 策略。

新的Microsoft Defender for Office 365建议现在作为安全功能分数改进操作提供：

• 反垃圾邮件 - 入站策略

  • 将 BCL) 阈值 (电子邮件批量投诉级别设置为 6 或更低。
  • 设置要对垃圾邮件检测执行的操作。
  • 设置要对高置信度垃圾邮件检测执行的操作。
  • 设置要对网络钓鱼检测执行的操作。
  • 设置要对高置信度钓鱼检测执行的操作。
  • 设置要对批量垃圾邮件检测执行的操作。
  • 在隔离区中保留垃圾邮件 30 天。
  • 确保已启用垃圾邮件安全提示。
  • 确保反垃圾邮件策略中允许的域列表中没有发件人域， (替换“确保没有允许反垃圾邮件策略的发件人域”来扩展特定发件人) 的功能。

• 反垃圾邮件 - 出站策略

  • 设置用户每小时可以发送电子邮件的外部收件人的最大数量。
  • 设置用户可以在一小时内发送到的内部收件人的最大数量。
  • 设置每日邮件限制。
  • 阻止达到消息限制的用户。
  • 将自动电子邮件转发规则设置为系统控制。

• 反垃圾邮件 - 连接筛选器

  • 不要在连接筛选器策略中添加允许的 IP 地址。

2022 年 6 月

• 新的Microsoft Defender for Endpoint和Microsoft Defender 漏洞管理建议现在作为安全功能分数改进操作提供：

  • 禁止脱机访问共享。
  • 删除设置为 “每个人”的共享写入权限。
  • 从根文件夹中删除共享。
  • 为共享设置基于文件夹访问的枚举。
  • 更新Microsoft Defender for Endpoint核心组件。

• 新的Microsoft Defender for Identity建议作为安全功能分数改进操作提供：

  • 解决不安全的域配置。

• 新的 应用治理 建议现在作为安全功能分数改进操作提供：

  • 在获得优先级帐户同意的情况下管理应用。

• 新的 Salesforce 和 ServiceNow 建议现在可用作Microsoft Defender for Cloud Apps客户的安全功能分数改进操作。 有关详细信息，请参阅 SaaS 安全态势管理概述。

注意

Salesforce 和 ServiceNow 控件现在以公共预览版提供。

2022 年 4 月

• 为远程连接启用用户身份验证。

2021 年 12 月

• 在块模式下打开“安全附件”。
• 阻止与外部用户共享Exchange Online日历详细信息。
• 打开 Office 客户端的安全文档。
• 打开反恶意软件策略的常见附件筛选器设置。
• 确保没有允许使用反垃圾邮件策略的发件人域。
• Create电子邮件的安全链接策略。
• Create恶意软件的零小时自动清除策略。
• 在 SharePoint、OneDrive 和 Microsoft Teams 中打开Microsoft Defender for Office 365。
• Create钓鱼邮件的零小时自动清除策略。
• Create垃圾邮件的零小时自动清除策略。
• 阻止滥用被利用的易受攻击的已签名驱动程序。
• 在完全扫描期间启用可移动驱动器扫描。

欢迎提出宝贵意见

如果有任何疑问，请通过在 安全性、隐私 & 合规性 社区发布内容来告知我们。 我们正在监视社区以提供帮助。

相关资源

• 评估安全状况
• 跟踪 Microsoft 安全功能分数历史记录并实现目标
• 即将推出的功能

提示

想要了解更多信息？ Engage技术社区中的 Microsoft 安全社区：Microsoft Defender XDR技术社区。