控制数据。 将数据放入 OneDrive云存储中时,你仍然是数据的所有者。 有关数据所有权的详细信息,请参阅设计Office 365隐私。
请参阅此培训课程,了解可用于保护文件、照片和数据的 OneDrive 功能:保护、保护和还原 OneDrive
如何保护数据可执行以下操作来帮助保护 OneDrive中的文件:
创建强密码。 检查密码的强度。
向你的 Microsoft 帐户添加安全信息。 你可添加电话号码、备用电子邮件地址以及安全问题和答案等信息。 这样,如果您忘记了密码或您的帐户受到攻击,则我们可以使用您的安全信息来验证您的身份,并帮助您取回您的帐户。 转到安全信息页。
使用双重验证。 这样,每次你在不受信任的设备上登录时,系统都会要求你输入额外的安全代码,从而帮助保护你的帐户。 可通过电话、短信或应用提供第二个因素。 有关双重验证的详细信息,请参阅如何对 Microsoft 帐户使用双重验证。
在移动设备上启用加密。 如果拥有 OneDrive移动应用,建议在 iOS 或 Android 设备上启用加密。 这有助于在移动设备丢失、被盗或某人获得访问权限时保护 OneDrive 文件。
订阅 Microsoft 365。 Microsoft 365 订阅提供针对病毒和网络犯罪 的高级保护 ,以及从恶意攻击中恢复文件的方法。
OneDrive 如何保护你的数据Microsoft 工程师使用需要双重身份验证的Windows PowerShell控制台管理 OneDrive。 我们通过运行工作流来执行日常任务,以便快速响应新情况。 没有工程师具有对服务的永久访问权限。 当工程师需要访问权限时,他们必须请求访问权限。 已检查资格,如果工程师访问获得批准,则仅限一段时间。
此外,OneDrive 和 Office 365 还对系统、流程和人员进行大量投资,以降低个人数据泄露的可能性,并快速检测和缓解泄露结果(如果确实发生)。 我们在此领域中的一些投资包括:
访问控制系统: OneDrive 和 Office 365 维护 “零访问” 策略,这意味着工程师无权访问该服务,除非为响应需要提升访问权限的特定事件而显式授予该服务。 每当授予访问权限时,它都是按照最低权限原则完成的:为特定请求授予的权限仅允许为该请求提供服务所需的最少一组操作。 为此,OneDrive 和 Office 365 在"提升角色"之间保持严格分离每个角色仅允许执行某些预定义的操作。 "访问客户数据"角色不同于其他角色,这些角色更常用于管理服务,并且在审批之前受到严格审查。 总之,这些对访问控制的投资大大降低了 OneDrive 或 Office 365 中的工程师不当访问客户数据的可能性。
安全监视系统和自动化: OneDrive 和 Office 365 维护可靠的实时安全监视系统。 除其他问题外,这些系统还针对试图非法访问客户数据或试图非法地将数据传输出我们的服务发出警报。 与上述有关访问控制的点相关,我们的安全监视系统维护所发出的提升请求的详细记录,以及针对给定提升请求执行的操作。 OneDrive 和 Office 365 还维护自动解决投资,这些投资会自动采取措施来缓解威胁,以应对我们检测到的问题,并保留用于响应无法自动解决的警报的专用团队。 为了验证我们的安全监视系统,OneDrive 和 Office 365 会定期进行红色团队练习,内部渗透测试团队将模拟针对实时环境的攻击者行为。 这些练习可定期改进我们的安全监视和响应功能。
人员和流程: 除了上述自动化,OneDrive 和 Office 365 还维护流程和团队,负责培训更广泛的组织隐私和事件管理流程,以及在违规期间执行这些流程。 例如,维护详细的隐私泄露标准操作过程 (SOP) 并与整个组织中的团队共享。 此 SOP 详细描述了 OneDrive 和 Office 365 中各个团队以及集中式安全事件响应团队的角色和职责。 这包括团队改进自身安全状况所需的操作(执行安全审查、与中心安全监视系统集成以及其他最佳做法),以及团队在发生实际违规时需要执行的操作(快速升级到事件响应、维护和提供用于加快响应过程的特定数据源)。 团队还定期接受有关数据分类的培训,以及针对个人数据的正确处理和存储过程。
主要要点是 OneDrive 和 Office 365 对于消费者和商业计划,都强烈投资降低个人数据泄露影响客户的可能性和后果。 如果确实发生了个人数据泄露,我们会在确认泄露后迅速通知客户。
在传输中和静态受保护 在传输过程中受保护当数据从客户端传输到服务以及数据中心之间时,它使用传输层安全性 (TLS) 加密进行保护。 我们只允许安全访问。 不允许通过 HTTP 进行经过身份验证的连接,而是重定向到 HTTPS。
静态保护物理保护: 只有有限数量的基本人员才能访问数据中心。 通过多种身份验证因素验证其标识,包括智能卡和生物识别。 有本地安全人员、运动传感器和视频监控。 入侵检测警报监视异常活动。
网络保护: 网络和标识与 Microsoft 企业网络隔离。 防火墙限制从未经授权的位置进入环境的流量。
应用程序安全:生成功能的工程师遵循安全开发生命周期。 自动和手动分析有助于识别可能的漏洞。 该Microsoft 安全响应中心有助于会审传入的漏洞报告并评估缓解措施。 通过Microsoft 云 Bug 悬赏条款,世界各地的用户可以通过报告漏洞来盈利。
内容保护: 使用唯一的 AES256 密钥对每个文件进行静态加密。 这些唯一密钥使用存储在Azure Key Vault中的一组主密钥进行加密。
高度可用,始终可恢复我们的数据中心在区域内异地分布,容错。 数据至少镜像到两个不同的 Azure 区域,它们彼此相距至少几百英里,使我们能够减轻某个区域内自然灾害或丢失的影响。
持续验证我们会持续监视数据中心,使其保持正常和安全。 这从库存开始。 清单代理对每台计算机执行状态捕获。
有了清单后,我们可以监视和修正计算机的运行状况。 持续部署可确保每台计算机都收到修补程序、更新的防病毒签名和保存的已知良好配置。 部署逻辑可确保一次仅修补或轮换一定百分比的计算机。
Microsoft 内 Microsoft 365 "红色团队"由入侵专家组成。 他们寻找获得未经授权的访问权限的任何机会。 "蓝色团队"由专注于预防、检测和恢复的防御工程师组成。 它们生成入侵检测和响应技术。 若要了解 Microsoft 安全团队的学习,请参阅 Security Office 365(博客)。
其他 OneDrive 安全功能作为 云存储 服务, OneDrive 具有许多其他安全功能。 其中包括:
病毒在下载时扫描已知威胁 - Windows Defender反恶意软件引擎在下载时扫描文档,查找与 AV 签名匹配的内容(每小时更新一次)。
可疑活动监视 - 若要防止未经授权访问帐户, OneDrive 监视和阻止可疑登录尝试。 此外,如果检测到异常活动(例如尝试从新设备或位置登录),我们将向你发送电子邮件通知。
勒索软件检测和恢复 - 作为 Microsoft 365 订阅者,如果 OneDrive 检测到勒索软件或恶意攻击,你将收到警报。 你将能够轻松地将文件恢复到受影响之前的某个时间点(攻击后最多 30 天)。 你还可以 在恶意攻击或其他类型的数据丢失(如文件损坏或意外删除和编辑)后 30 天内还原整个 OneDrive。
所有文件类型的版本历史记录 - 对于不需要的编辑或意外删除,可以 从 OneDrive 回收站还原已删除的文件 或 还原 OneDrive中以前版本的文件。
受密码保护和即将过期的共享