OneDrive 如何保护云端的数据

如何保护数据

在 OneDrive 中，你可以执行以下操作来帮助保护文件：

• 创建强密码。 检查密码的强度。
• 向你的 Microsoft 帐户添加安全信息。 你可添加电话号码、备用电子邮件地址以及安全问题和答案等信息。 这样，如果您忘记了密码或您的帐户受到攻击，则我们可以使用您的安全信息来验证您的身份，并帮助您取回您的帐户。 转到 “安全信息” 页面。
• 使用双重验证。 这样，每次你在不受信任的设备上登录时，系统都会要求你输入额外的安全代码，从而帮助保护你的帐户。 可通过电话、短信或应用提供第二个因素。 有关双重验证的详细信息，请参阅如何对 Microsoft 帐户使用双重验证。
• 在移动设备上启用加密。 如果你有 OneDrive 移动应用，我们建议你在 iOS 或 Android 设备上启用加密。 这有助于在移动设备丢失、被盗或有人获得访问权限时保护 OneDrive 文件。
• 订阅 Microsoft 365 。Microsoft 365 套餐为您提供对病毒和网络犯罪的高级防护，以及从恶意攻击恢复文件的方法。

OneDrive 如何保护你的数据

Microsoft 工程师使用需要双重身份验证的 Windows PowerShell 控制台管理 OneDrive。 我们通过运行工作流来执行日常任务，以便我们可以快速响应新的情形。 任何工程师均不具备对该服务的访问权限。 当工程师需要访问时，他们必须请求。 已检查资格，如果工程师访问获得批准，则仅限时间有限。

此外，OneDrive 和 Office 365，在系统、流程和人员方面进行了大量投资，以减少个人数据泄露的可能性，并在发生破坏时快速检测和缓解破坏结果。 我们在本领域的一些投资包括：

访问控制系统： OneDrive 和 Office 365 维护 “零专用访问” 策略，这意味着工程师无法访问服务，除非已明确授予该服务对需要提升 Access 的特定事件的响应。 无论何时授予访问权限，都将在最低权限原则下完成：为特定请求授予的权限只允许执行服务该请求所需的最小操作集。 为此，OneDrive 和 Office 365 维护 “提升角色” 之间的严格分离，每个角色仅允许采取某些预定义的操作。 “对客户数据的访问权限” 角色与其他更常用于管理该服务的角色不同，并且在批准前最严重地进行了仔细审查。 总之，在访问控制方面的投资大大降低了 OneDrive 或 Office 365 中的工程师不恰当地访问客户数据的可能性。

安全监控系统和自动化： OneDrive 和 Office 365 维护强健的实时安全监视系统。 在其他问题中，这些系统会针对尝试 illicitly 访问客户数据或尝试 illicitly 将数据转移到我们的服务的尝试引发警报。 关于上述访问控制的要点，我们的安全监视系统维护所进行的提升请求的详细记录，以及针对给定的提升请求执行的操作。 OneDrive 和 Office 365 还维护自动解析投资，这些投资可自动为你检测到的问题以及用于响应无法自动解决的警报的专用团队做出威胁。 为验证我们的安全监控系统，OneDrive 和 Office 365 定期执行红色的团队练习，其中内部渗透测试团队针对实际环境模拟攻击者行为。 这些练习将导致安全监视和响应功能的定期改进。

人员和流程： 除了上面所述的自动化，OneDrive 和 Office 365 维护流程和团队，这些流程和团队负责为更广泛的组织提供隐私和事件管理流程以及在破坏期间执行这些过程。 例如，维护并与整个组织内的团队共享一个详细的隐私违规标准操作过程（工作表示例）。 此操作说明详细介绍了 OneDrive 和 Office 365 和集中的安全事件响应团队中的各个团队的角色和职责。 这两个区域涵盖团队需要执行哪些操作来改进其自己的安全状态（执行安全评审、与中央安全监视系统集成以及其他最佳做法），以及团队在发生实际破坏时需要执行哪些操作（快速上报到事件响应、维护和提供将用于加快响应过程的特定数据源）。 团队还定期针对数据分类进行培训，并针对个人资料进行正确的处理和存储过程。

主要 takeaway 是 OneDrive 和 Office 365，适用于消费者和企业计划，大大投资减少了个人数据泄露影响我们的客户的可能性和后果。 如果发生了个人数据泄露，我们将致力于在确认违规后快速通知客户。

在传输和存放时受到保护

高可用，始终可恢复

我们的数据中心在区域内是异地分布的，并且具有容错能力。 数据将镜像到至少两个不同的 Azure 区域中，这两个区域之间的距离至少是几个不同，从而使我们能够减少区域内自然灾害或损失的影响。

持续验证

我们不断监视我们的数据中心，让他们保持健康和安全。 这将从库存开始。 清单代理对每台计算机执行状态捕获。

在有库存后，我们可以监视和修正计算机的运行状况。 连续部署可确保每台计算机收到修补程序、更新的防病毒签名以及保存的已知有效配置。 部署逻辑可确保我们一次仅修补或旋转一定百分比的计算机。

Microsoft 中的 Microsoft 365 “Red Team” 由入侵专家组成。 他们会寻找任何机会来获得未经授权的访问。 “蓝色团队” 由国防工程师组成，他们致力于预防、检测和恢复。 他们构建入侵检测和响应技术。 若要与 Microsoft 的安全团队保持发现，请参阅安全 Office 365 （博客）。

其他 OneDrive 安全功能

作为云存储服务， OneDrive 具有许多其他安全功能。 这些内容包括：

• 下载已知威胁时的病毒扫描-Windows Defender 反恶意软件引擎会在下载时针对匹配 AV 签名的内容扫描文档（每小时更新）。
• 可疑活动监视-若要防止对您的帐户进行未经授权的访问， OneDrive 监视并阻止可疑登录尝试。 此外，如果我们检测到不寻常的活动（如尝试从新的设备或位置登录），我们会向您发送一封电子邮件通知。
• 勒索软件检测和恢复-作为 Microsoft 365 的订阅者，如果 OneDrive 检测到勒索软件或恶意攻击，您将收到通知。 你将能够轻松地将文件恢复到受影响的时间点，并在攻击后30天内最多30天。 你还可以在恶意攻击或其他类型的数据丢失（如文件损坏或意外删除和编辑）后将整个 OneDrive 还原到30天。
• 适用于所有文件类型的版本历史记录-在不需要编辑或意外删除的情况下，可以从 onedrive 回收站还原已删除的文件或在 onedrive 中还原以前版本的文件。
• 受密码保护 & 过期共享链接-作为 Microsoft 365 订阅者，您可以通过要求密码来访问它们或在共享链接上设置过期日期来使共享文件更安全。
• 批量文件删除通知和恢复-如果你意外或有意删除了大量文件，我们将向你发出警告，并向你提供恢复这些文件的步骤。

个人电子仓库

“个人电子仓库” 是 OneDrive 中的受保护区域，您只能使用强身份验证方法或身份验证的第二步（如指纹、面孔、PIN 或通过电子邮件或短信发送给您的代码）进行访问。¹ 个人保管库中的锁定文件具有额外的安全层，使其更安全，以防他人获得帐户或您的设备的访问权限。 个人存储库在电脑、OneDrive.com 和 OneDrive 移动应用上可用，并且还包括以下功能：

• 直接扫描到个人保管库中-你可以使用 OneDrive 移动应用直接在你的个人保管库中拍摄图片或将视频合并到你的个人保管库中，将其保持在你的设备的安全区域（如你的相机卷筒）之外。² 您还可以将重要的旅行、标识、车辆、家庭和保险文档直接扫描到您的个人电子仓库中。 通过设备，您可以随时随地访问这些照片和文档。
• BitLocker-加密-在 Windows 10 pc 上， OneDrive 将您的个人电子仓库文件同步到本地硬盘驱动器的 BitLocker 加密区域。
• 自动锁定-个人电子仓库将在您的电脑、设备或短时间不活动后自动 relocks 在电脑、设备或网络上。 一旦锁定，你正在使用的任何文件也将被锁定，并且需要重新身份验证才能访问。³

这些措施结合使用，即使你的 Windows 10 电脑或移动设备丢失、被盗或有人获得访问权限，也可以保护锁定的个人保管库文件。

¹ 面孔和指纹验证需要专用的硬件，包括支持 Windows Hello 的设备、指纹读取器、亮起的 IR 传感器，或者其他生物识别传感器和支持的设备。
² android 版和 ios 版的 OneDrive 应用要求安装 android 6.0 或更高版本或 ios 12.0 及更高版本。
³自动锁定间隔因设备而异，并且可由用户进行设置。