Безопасность и Microsoft Teams

Microsoft Teams — это часть служб Microsoft 365 и Office 365, в которой соблюдаются все рекомендации и процедуры по обеспечению безопасности, включая безопасность на уровне службы за счет всесторонней системы защиты, средства управления клиентов в службе, укрепление безопасности и применение рекомендаций по работе. Подробные сведения см. в центре управления безопасностью Майкрософт.

Надежность с момента разработки

Приложение Teams предназначено и разработано в соответствии с жизненным циклом разработки защищенных информационных систем Майкрософт (SDL), описанным в разделе Жизненный цикл разработки защищенных приложений (Майкрософт). Первым этапом создания более безопасной системы объединенных коммуникаций была разработка моделей угроз и тестирование каждого компонента по мере проектирования. Различные улучшения, связанные с обеспечением безопасности, были включены в технологический процесс разработки исходного кода. Переполнения буфера и другие угрозы безопасности обнаруживаются средствами разработки на этапе сборки, прежде чем код будет внесен в окончательную версию продукта. Невозможно предусмотреть защитные меры от всех неизвестных угроз безопасности. Ни одна система не может гарантировать полную безопасность. Но поскольку в процесс разработки продуктов изначально заложены принципы безопасного проектирования, принятые в отрасли стандарты безопасности являются основополагающим компонентом архитектуры Teams.

Надежность по умолчанию

Сетевая связь в Teams зашифровывается по умолчанию. Все серверы должны использовать сертификаты, OAUTH, TLS и SRTP. За счет этого все данные Teams защищены в сети.

Как Teams обрабатывает распространенные угрозы безопасности

В этом разделе описываются распространенные угрозы безопасности службы Teams и как Майкрософт уменьшает риски каждой угрозы.

Атака с использованием скомпрометированных ключей

Teams использует функции инфраструктуры открытых ключей операционной системы Windows Server для защиты данных ключей, которые применяются для шифрования подключений по протоколу TLS. Ключи, используемые для шифрования, передаются по подключениям TLS.

Атака на сеть типа "отказ в обслуживании"

Распределенная атака типа "отказ в обслуживании" (DDOS) производится, когда злоумышленник препятствует нормальной работе сети и ее использованию допустимыми пользователями. С помощью атаки типа "отказ в обслуживании" злоумышленник может выполнять следующее:

• Отправка недействительных данных приложениям и службам, работающим в атакуемой сети, для нарушения их нормальной работы.
• Отправка больших объемов трафика, перегружающего систему, пока она не прекратит реагировать на нормальные запросы либо время реакции не замедлится.
• Сокрытие следов атаки.
• Нарушение доступа пользователей к ресурсам сети.

Teams уменьшает риски этих атак, запуская защиту сети Azure DDOS и регулируя запросы клиентов с одних и тех же конечных точек, подсетей и федеративных объектов.

Прослушивание

Подслушивание происходит, когда злоумышленник получает доступ к пути данных в сети и получает возможность отслеживать и читать трафик. Подслушивание также называется перехватом или слежкой. Если трафик передается в виде обычного текста, злоумышленник может прочитать его, получив доступ к каналу обмена данными. Примером такой атаки является контроль маршрутизатора в составе такого канала.

Teams использует протокол Mutual TLS (MTLS) и межсерверный (S2S) OAuth (помимо прочих протоколов) для связи с сервером в Microsoft 365 и Office 365, и протокол TLS для связи клиентов со службой. Весь трафик в сети шифруется.

Благодаря применению этих способов связи становится крайне сложно или невозможно организовать подслушивание в течение одной беседы. TLS проверяет подлинность всех участников и шифрует весь трафик. Протокол TLS не предотвращает подслушивание, но злоумышленник не сможет читать трафик до взлома шифрования.

Протокол обхода с использованием ретрансляторов вокруг NAT (TURN) используется для мультимедиа в режиме реального времени. Протокол TURN не требует шифрования трафика. Отправляемая с его помощью информация защищается посредством контроля целостности сообщений. Этот протокол открыт для подслушивания, но передаваемые с его помощью данные, то есть IP-адреса и номера портов, можно извлекать напрямую путем анализа адресов источника и места назначения пакетов. Служба Teams проверяет действительность информации посредством контроля целостности сообщений с помощью ключа, основанного на нескольких элементах, включая пароль TURN, который никогда не передается в виде простого текста. SRTP используется для медиа-трафика и также зашифрован.

Спуфинг удостоверений (спуфинг IP-адресов)

Спуфинг происходит, когда злоумышленнику удается без разрешения определить и использовать IP-адрес сети, компьютера или сетевого компонента. Успешная атака позволяет злоумышленнику действовать от имени обычного участника, определенного по IP-адресу.

TLS проверяет подлинность всех участников и шифрует весь трафик. Использование протокола TLS не позволяет злоумышленнику выполнить спуфинг IP-адреса в определенных подключениях (например, в подключениях Mutual TLS). Злоумышленник все же может подделать адрес DNS-сервера. Однако, так как проверка подлинности в Teams выполняется с помощью сертификатов, злоумышленник не будет иметь допустимых сведений, необходимых для подделывания одной из сторон в обмене данными.

Атака типа "злоумышленник в середине"

Атака типа "злоумышленник в середине" происходит, когда злоумышленнику удается перенаправить данные, которыми обмениваются два пользователя, через свой компьютер без ведома этих пользователей. В результате злоумышленник получает возможность контролировать и просматривать трафик перед его отправкой предполагаемому получателю. Каждый из участников обмена данными на самом деле обменивается трафиком со злоумышленником, думая при этом, что информация передается второму пользователю. Такой сценарий возможен, если злоумышленник может изменить доменные службы Active Directory, чтобы добавить свой сервер в качестве доверенного, или изменить конфигурацию DNS, чтобы вынудить клиентов устанавливать подключение к серверу через компьютер злоумышленника, или же воспользоваться другими методами.

Атаки «посередине» по трафику мультимедиа между двумя конечными точками, участвующими в обмене аудио, видео и приложениями Teams, предотвращаются с помощью протокола Secure Real-Time Transport Protocol (SRTP) для шифрования медиапотока. Ключи шифрования согласовываются между двумя конечными точками по собственному протоколу сигнализации (протокол сигнализации вызовов Teams), который использует зашифрованный канал UDP или TCP с TLS 1.2 и AES-256 (в режиме GCM).

Атака с повторением протокола RTP

Атака с повторением осуществляется, когда действительная передача мультимедиа между двумя участниками перехватывается и повторно передается со злонамеренными целями. Teams использует протокол SRTP в сочетании с протоколом безопасного обмена сигналами, защищающим передаваемые данные от атак с повторением. Это позволяет получателю вести учет уже полученных пакетов RTP и сравнивать каждый новый пакет с уже имеющимися в списке.

Нежелательные мгновенные сообщения

Нежелательные мгновенные сообщения — это нежелательные рекламные сообщения или запросы подписки на сведения присутствии, такие как спам, но в форме мгновенных сообщений. Такие сообщения сами по себе не нарушают безопасность сети, но они как минимум раздражают пользователей, снижают доступность ресурсов и производительность работы, а в перспективе могут привести к нарушению сетевой безопасности. Примером является отправка пользователями нежелательных запросов друг другу. Чтобы избавиться от таких запросов, пользователи могут блокировать друг друга, однако защититься от скоординированной атаки нежелательными мгновенными сообщениями в федеративной среде может быть сложно, если не отключить федерацию партнера.

Вирусы и черви

Вирус — программный код, предназначенный для воспроизведения аналогичного кода в большем количестве. Для работы вирусу требуется носитель, например файл, электронная почта или программа. Как и вирус, червь — это программный код, воспроизводящий большее количество аналогичных единиц кода. В отличие от вируса, червю не нужен носитель. Вирусы и черви в основном появляются при обмене файлами между клиентами, а также при получении URL-адресов от других пользователей. Если вирус находится на компьютере, он может, например, использовать идентификационные данные хозяина для отправки мгновенных сообщений от его имени. Стандартные рекомендации по безопасности клиентов, такие как периодическое сканирование вирусов, могут уменьшить эту проблему.

Попытки фишинга

Фишинговые атаки в Teams являются дорогостоящими и для душевного спокойствия. Эти атаки выполняются путем обмана пользователей в раскрытии такой информации, как пароли, коды, кредитные карта номера и другую важную информацию, через поддельные ссылки на веб-сайт и вложения, которые кажутся безобидными, но могут скачать опасное программное обеспечение по щелчку. Поскольку многие из этих атак нацелены на пользователей, даже на целевые объекты с высокими значениями с большим количеством доступа, они могут быть широко разными. Однако существуют стратегии защиты от фишинга как для администраторов Teams, так и для пользователей.

• Существуют рекомендации по обеспечению безопасности для Teams, о которых все должны знать и использовать

  • Пользователи могут узнать, как обнаруживать и защищать себя от фишинга

• Если пользователь в вашей организации получил фишинговое сообщение от внешнего отправителя, администраторы клиента могут удалить это сообщение из представления пользователя с помощью API графа RemoveAllAccessForUser.

• Microsoft Defender для Office 365 также защищает Teams

  • Имитация атак помогает администраторам обучать пользователей Teams и защищать уязвимых пользователей
  • Кроме того, для пользователей Teams доступны отчеты о подозрительных сообщениях

Платформа безопасности для Teams

Teams поддерживает такие идеи безопасности, как "никому не доверяй" и принципы доступа с наименьшими привилегиями. В этом разделе представлен обзор основных элементов, формирующих платформу безопасности для Microsoft Teams.

Основные элементы:

• Microsoft Entra идентификатор, предоставляющий единый доверенный внутренний репозиторий для учетных записей пользователей. Данные профиля пользователя хранятся в Microsoft Entra идентификаторе с помощью действий Microsoft Graph.
  • Может быть выпущено несколько маркеров, которые можно увидеть при трассировке сетевого трафика. К ним относятся маркеры Skype, которые можно увидеть в трассировке при просмотре трафика чата и голосовой связи.
• Протокол TLS шифрует канал при использовании. Проверка подлинности выполняется по взаимному протоколу TLS (MTLS) на основе сертификатов или с использованием проверки подлинности между службами на основе Microsoft Entra идентификатора.
• Потоки одноранговых сеансов обмена аудио- и видеоданными и общего доступа к приложениям шифруются и проверяются на целостность с использованием протокола SRTP.
• Кроме того, вы увидите трафик OAuth в своей трассировке, в частности, связанный с обменами токенов и согласованием разрешений при переключении между вкладками в Teams, например для перемещения из вкладки "Публикации" в "Файлы". Пример потока OAuth для вкладок см. в этом документе.
• Teams по возможности использует отраслевые протоколы для проверки подлинности пользователей.

В следующих разделах описаны некоторые из этих основных технологий.

идентификатор Microsoft Entra

Microsoft Entra id функционирует как служба каталогов для Microsoft 365 и Office 365. В ней хранятся все сведения каталога пользователей и приложений, а также назначения политик.

Шифрование трафика в Teams

В этой таблице указаны основные типы трафика и протокол, используемый для шифрования.

Точки распространения списков отзыва сертификатов (CRL)

Трафик Microsoft 365 и Office 365 передается через каналы, зашифрованные с помощью протоколов TLS/HTTPS. Это означает, что сертификаты используются для шифрования всего трафика. Для Teams требуется, чтобы все сертификаты серверов содержали одну или несколько точек распространения CRL. Точки распространения списков отзыва сертификатов (CDP) представляют собой расположения, из которых можно скачать CRL, чтобы убедиться, что сертификат не был отозван с момента его выпуска, и срок его действия не истек. Точка распространения списка отзыва сертификатов CRL указывается в свойствах сертификата в виде URL-адреса и является безопасным протоколом HTTP. Служба Teams проверяет CRL с каждой проверкой подлинности сервера сертификата.

Расширенное использование ключа

Для всех компонентов службы Teams требуется, чтобы все сертификаты сервера поддерживали расширенное использование ключей (EKU) для проверки подлинности серверов. Настройка поля EKU для проверки подлинности серверов означает, что сертификат действителен для проверки подлинности серверов. Использование EKU важно для MTLS.

TLS для Teams

Данные Teams шифруются во время передачи и хранения в службах Майкрософт, между службами, между клиентами и службами. Корпорация Майкрософт обеспечивает шифрование с помощью стандартных отраслевых технологий, таких как TLS и SRTP, для шифрования всех данных во время передачи. К данным при передаче относятся сообщения, файлы, собрания и другое содержимое. Корпоративные данные также шифруются при хранении в службах Майкрософт, при этом организации могут в случае необходимости расшифровать содержимое, чтобы исполнять свои обязательства по безопасности и соответствию требованиям с использованием таких методов как обнаружение электронных данных. Дополнительные сведения о шифровании в Microsoft 365 см. в статье Шифрование в Microsoft 365

Потоки данных TCP шифруются с помощью протокола TLS, а протоколы MTLS и OAuth между службами обеспечивают связь между службами, системами и клиентами с проверкой подлинности на конечной точке. Teams использует эти протоколы для создания сети доверенных систем и для шифрования все данных, передающихся по этой сети.

При подключении по протоколу TLS клиент запрашивает действительный сертификат у сервера. Чтобы сертификат был действительным, он должен быть выдан центром сертификации (ЦС), который также является доверенным объектом клиента, а имя DNS сервера должно соответствовать имени DNS сертификата. Если сертификат действительный, клиент использует открытый ключ в сертификате для шифрования симметричных ключей шифрования, которые будут использоваться для обмена данными, поэтому только исходный владелец сертификата может использовать закрытый ключ для шифрования содержимого сеанса обмена данными. Результатом является доверенное подключение, которое после этого уже не проверяется другими доверенными серверами или клиентами.

Использование TLS помогает предотвратить как перехват, так и атаки "злоумышленник в середине". В атаке "злоумышленник в середине" злоумышленник перенаправляет связь между двумя сетевыми объектами через свой компьютер без ведома любой из сторон. Спецификация доверенных серверов TLS и Teams снижает риск атаки злоумышленника частично на прикладном уровне с помощью шифрования, которое координируется с использованием криптографии с открытым ключом между двумя конечными точками. Злоумышленник должен иметь действительный и доверенный сертификат с соответствующим закрытым ключом и выданный на имя службы, с которой клиент связывается для расшифровки связи.

Шифрование в Teams и Microsoft 365

В Microsoft 365 поддерживается несколько уровней шифрования. Шифрование в Teams работает с остальными средствами шифрования Microsoft 365 для защиты содержимого вашей организации. В этой статье описаны технологии шифрования, применяющиеся в Teams. Обзор шифрования в Microsoft 365 см. в статье Шифрование в Microsoft 365.

Шифрование мультимедиа

Потоки звонков в Teams основаны на модели предложения по протоколу SDP RFC 8866 и ответов по протоколу HTTPS. Когда вызываемый абонент соглашается принять входящий звонок, вызывающая сторона и вызываемая сторона согласуют параметра сеанса.

Трафик мультимедиа шифруется по протоколу SRTP: это профиль протокола RTP, который обеспечивает конфиденциальность, проверку подлинности и защиту от атак с повторением пакетов для трафика RTP. Трафик мультимедиа передается между вызывающей и вызываемой сторонами по протоколу SRTP. Протокол SRTP использует ключ сеанса, сформированный защищенным генератором случайных чисел. Обмен ключами производится по сигнальному каналу TLS. Согласование трафика мультимедиа между клиентами обычно производится через сигнальное подключение клиентов к серверу. Трафик, передающийся от одного клиента непосредственно другому клиенту, шифруется с помощью SRTP.

В обычных потоках звонков согласование ключа шифрования происходит по сигнальному каналу звонка. В звонках со сквозным шифрованием сигнальный поток такой же, как в обычных индивидуальных звонках Teams. При этом в Teams используется DTLS, чтобы формировать ключ шифрования на основании сертификатов отдельного звонка, формируемых в обеих конечных точках клиентов. DTLS формирует ключ на основе сертификатов клиентов, поэтому такой ключ является непрозрачным для Майкрософт. После согласования ключа обоими клиентами начинается передача данных мультимедиа по протоколу SRTP с использованием этого ключа шифрования, согласованного по DTLS.

Для защиты от атак типа "злоумышленник в середине" между вызывающей стороной и вызываемой стороной приложение Teams создает 20-значный код безопасности из отпечатков сертификатов звонков вызывающей и вызываемой конечных точек. Такие отпечатки создаются с помощью алгоритма SHA-256. Вызывающая и вызываемая стороны могут проверить 20-значные коды безопасности: они прочитывают эти коды друг другу и проверяют их совпадение. Если коды не совпадают, это означает, что данные, передающиеся между вызывающей и вызываемой сторонами, перехвачены в результате атаки типа "злоумышленник в середине". Если звонок был скомпрометирован, пользователи могут вручную завершить звонок.

Teams использует маркер на основе учетных данных для безопасного доступа к ретрансляторам мультимедиа по протоколу TURN. Ретрансляторы обмениваются маркером по каналу, защищенному протоколом TLS.

Федеральный стандарт обработки информации (FIPS)

Teams использует алгоритмы, совместимые с FIPS, для обмена ключами шифрования. Дополнительные сведения о реализации FIPS см. в публикации 140-2 Федерального стандарта обработки информации (FIPS).

Проверка подлинности пользователей и клиентов

Доверенный пользователь — это пользователь, учетные данные которого прошли проверку подлинности по Microsoft Entra идентификатору в Microsoft 365 или Office 365.

Проверка подлинности представляет собой предоставление учетных данных пользователя доверенному серверу или службе. Teams использует следующие протоколы проверки подлинности в зависимости от состояния и местоположения пользователя.

• Современная проверка подлинности (MA) является реализацией Майкрософт протокола OAUTH 2.0 для взаимодействия клиента с сервером. Она включает функции безопасности, такие как многофакторная проверка подлинности и условный доступ. Для использования MA эта технология должна быть включена на уровне организации клиента и на уровне клиентских устройств. Клиенты Teams на компьютерах и мобильных устройствах, а также веб-клиент поддерживают MA.

Проверка подлинности Teams выполняется с помощью идентификатора Microsoft Entra и OAuth. Упрощенное представление процесса проверки подлинности:

• Следующий запрос на выдачу > маркера входа > пользователя использует выданный маркер.

Запросы от клиента к серверу проходят проверку подлинности и авторизоваться по идентификатору Microsoft Entra с использованием OAuth. Пользователи с действительными учетными данными, предоставленными федеративным партнером, являются доверенными и подвергаются тому же процессу, что и собственные пользователи. Однако администраторы могут ввести дополнительные ограничения.

Для проверки подлинности файлов мультимедиа протоколы ICE и TURN также используют требование Digest, описанное в документе IETF TURN RFC.

Средства управления Windows PowerShell и Teams

В Teams ИТ-администраторы могут управлять службой с помощью Центра администрирования Microsoft 365 или с помощью Tenant Remote PowerShell (TRPS). Для проверки подлинности в TRPS администраторы клиента используют современную проверку подлинности.

Настройка доступа к Teams на границе с Интернетом

Для правильной работы Teams (например, чтобы пользователи могли присоединяться к собраниям и т. д.) клиентам необходимо настроить доступ к Интернету таким образом, чтобы был разрешен исходящий трафик UDP и TCP к службам в облаке Teams. Дополнительные сведения см. в статье URL-адреса и диапазоны IP-адресов Office 365.

UDP 3478-3481 и TCP 443

Порты UDP 3478-3481 и TCP 443 используются клиентами для запроса службы для аудиовизуальных материалов. Клиент использует эти два порта для распределения портов UDP и TCP соответственно для разрешения этих потоков мультимедиа. Потоки мультимедиа в этих портах защищены с помощью ключа, который передается по каналу передачи сигнала, защищенному протоколом TLS.

Федеративные меры защиты для Teams

Федерация предоставляет для вашей организации возможность взаимодействовать с другими организациями, чтобы обмениваться мгновенными сообщениями и присутствием. В Teams федерация включена по умолчанию. Однако администраторы клиентов могут управлять федерацией через Центр администрирования Microsoft 365.

Защита собраний Teams от угроз

Корпоративные пользователи могут создавать собрания и присоединяться к ним в режиме реального времени, а также приглашать внешних пользователей, у которых нет идентификатора Microsoft Entra, Microsoft 365 или учетной записи Office 365, принять участие в этих собраниях.

Предоставление внешним пользователям участия в собраниях Teams может быть полезно, но также приводит к некоторым рискам для безопасности. Для устранения этих рисков Teams использует следующие меры безопасности:

Перед собранием:

1. Определите, какие типы внешних участников будут разрешены для присоединения к собраниям:

   • Анонимный доступ позволяет присоединиться к собранию (1) пользователей, не прошедших проверку подлинности, которые не вошли в team (как правило, присоединяются через ссылку на собрание в браузере) и (2) прошедших проверку подлинности пользователей из внешних клиентов, которые не имеют установленный внешний доступ с организатором и вашей организацией.

   • С помощью внешнего доступа вы можете решить, какие внешние пользователи и организации, прошедшие проверку подлинности, смогут присоединиться к собраниям с дополнительными привилегиями. Эти пользователи считаются принадлежащими к доверенным организациям.

   • Гостевой доступ позволяет создавать гостевые учетные записи, чтобы пользователи за пределами вашей организации имели доступ к командам, документам в каналах, ресурсах, чатах и приложениях, сохраняя при этом контроль над корпоративными данными.

2. Решите, кто может присоединиться к собранию напрямую и кто должен ждать в зале ожидания, чтобы принять организатор, соорганизатор или прошедшие проверку подлинности пользователи с ролью докладчика собрания:

   • Элементы управления ИТ-Администратор
   • Элементы управления организатора

3. Решите, могут ли анонимные пользователи и вызывающие абоненты начать собрание до того, как пользователи из вашей организации, пользователи из доверенной организации и пользователи с гостевым доступом присоединяются к звонку.

Во время собрания:

1. Назначьте определенные роли участников собрания для определения привилегий управления собранием. Участники собрания делятся на группы, каждая из которых имеет свои привилегии и ограничения, описанные здесь.

Измените во время собрания:

• Параметры собрания можно изменить во время проведения собрания. Изменение при сохранении будет заметно на выполняемом собрании в течение нескольких секунд. Изменения также затронут все будущие вхождения этого собрания. Дополнительные сведения о назначении этих ролей см. в этой статье.

Статьи по теме

Основные 12 задач для отделов обеспечения безопасности при поддержке работы из дома

Центр управления безопасностью (Майкрософт)

Оптимизация подключения Microsoft 365 или Office 365 для удаленных пользователей с использованием раздельного VPN-туннелирования

• Реализация раздельного VPN-туннелирования