search

已 在 Microsoft 帐户 上 检测 到 异常活动 或者 认为 凭据 存在 风险

1 年s 前
註釋: 0
視圖: 56

Microsoft 优先考虑帐户安全性,并且会在未经你许可的情况下阻止用户登录。 当我们发现有从新位置或新设备进行登录的尝试时,我们会向你发送电子邮件和短信通知来帮助保护帐户。 如果你的电话号码或电子邮件发生了更改,请务必及时在安全性基础知识页面上更新安全联系人信息,以便我们与你一起确保帐户安全、可用。

Show

如果你在出行期间登录到你的帐户,或者如果安装了可使用你的帐户登录的新应用,则可能会收到警报。 我们只需要你提供安全代码,以便确定是你本人在操作且你的帐户是安全的。

要了解有关异常活动的处理方法,请选择以下标题之一。 它会打开以显示详细信息。

如果你的帐户存在异常登录尝试情况,你将收到电子邮件或短信。 我们将向你的所有备用联系方式发送消息。 为了帮助保护你的帐户,我们需要你通过这些联系方式之一提供安全代码。 此步骤可防止不是你本人的其他人登录,并告诉我们从异常位置或设备登录的人是否就是你。 

如果你不确定电子邮件的来源,请检查发件人。 如果电子邮件来自 Microsoft 帐户团队,邮件地址为 account-,那么邮件就是合法的。

如果你在使用新设备,安装了新应用,在旅行或在任何新地点,那么我们可能已阻止了你的登录。 此安全措施有助于确保你的帐户安全,以防其他人获取你的帐户信息,并尝试以你的身份登录。 若要解锁帐户,请按照登录屏幕上的说明进行操作,然后选择我们可以向你发送安全代码的方式。 在收到该代码后,请输入它以访问帐户。

注意: 

  • 如果你在旅行,并且无法访问电子邮件或已与你的帐户关联的手机,则可以使用下面的一些选项:

  • 如果这些选项都不可用,则从受信任的设备或常用位置登录后,你仍可以重返你的帐户。

  • 如果你携带通常登录到的设备,并且已将该设备设置为受信任的设备,你可以从该设备登录,重返你的帐户。

  • 如果你将你的手机遗忘在家中,但认识可以拿到手机的人,则可以要求他们告诉你已发送到该设备的安全代码。

如果你收到了电子邮件或短信,提醒你帐户存在异常登录尝试情况,但你最近没有使用帐户执行非常规操作,请按照以下步骤检查你的帐户安全性: 

  1. 登录到你的 Microsoft 帐户的安全性基础知识页面。

  2. 选择“查看活动”以在“最近活动”页面上检查是否存在任何异常登录尝试的情况。 如果你看到确定不是自己进行的帐户活动,请告知我们,我们可以帮助保护你的帐户 - 如果该活动位于“异常活动”部分中,则可以展开该活动并选择“这不是我”。 如果活动在“最近活动”中,则可以展开该活动,然后选择“保护你的帐户”。

  3. 如果你认为其他人可能访问了你的帐户,请返回到安全性基础知识页,然后选择“更改密码”。 创建你可以记住的强密码,但不要与其他任何人共享。

如果你经过尝试发现无法登录到帐户,则其他人可能更改了你的密码。 请按照以下步骤登陆回你的帐户:

  1. 尝试按照当你无法登录你的 Microsoft 帐户时中列出的说明重置你的密码。 如果你无意中登陆了另一个账户,而不是警报所报告的帐户,那么从此步骤开始可以省去额外的工夫。

  2. 如果这样做不奏效,请重试登录到你的帐户。 选择登录页面上的“忘记密码”,然后选择“我认为有其他人在使用我的 Microsoft 帐户”。 按照说明恢复你的帐户。

注意: 

  • 如果你在登录 Windows 或 Microsoft 帐户时遇到问题,请参阅当你无法登录 Microsoft 帐户时以获取详细信息。 

  • 如果你要查找有关如何提高 Microsoft 帐户安全性的详细信息,请参阅如何帮助保护 Microsoft 帐户的安全。

  • 如果你在使用 Outlook 发送电子邮件时收到异常活动通知,请参阅取消阻止我的 Outlook.com 帐户以获取详细信息。

相关主题

我觉得我的帐户已泄露。

使用 Microsoft Authenticator 应用进行无密码安全登录

需要更多帮助?

跳转至主内容

此浏览器不再受支持。

请升级到 Microsoft Edge 以使用最新的功能、安全更新和技术支持。

如何确定你的 Microsoft 365 帐户是否已泄露

  • 项目
  • 10/13/2022
  • 适用于:Microsoft 365

本文内容

问题

尝试登录 Microsoft 365 时,可能会遇到问题。 或者,你注意到帐户中会发生可疑活动,例如源自帐户的大量垃圾邮件。

还可能会遇到以下一个或多个问题:

  • Microsoft Outlook 或Microsoft Outlook Web App中的“已发送或删除邮件”文件夹包含常见的被黑客攻击的帐户消息,例如“我被困在伦敦,寄钱”。
  • 异常的个人资料更改,例如更新了姓名、电话号码或邮政编码。
  • 异常的凭据更改,例如多次要求进行密码更改。
  • 最近添加了邮件转发功能。
  • 最近添加了异常的签名,例如假银行签名或处方药签名。

解决方案

即使你重新获得对帐户的访问权限,攻击者也可能添加了后门条目,这让攻击者能够恢复对该帐户的控制权。

若要帮助解决这些问题,必须在重新访问帐户后五分钟内执行以下所有步骤,以确保劫机者不会恢复对帐户的控制。 这些步骤可帮助你删除劫持者可能已添加到你帐户的任何后门条目。 执行这些步骤后,我们建议你运行病毒扫描以确保你的计算机不会遭到入侵。

步骤 1:确保计算机未遭到入侵

  1. 请确保已打开Windows 更新。
  2. 如果计算机上未安装防病毒软件,建议安装防病毒软件,然后运行扫描,以确保计算机上未安装恶意软件。 可以从 Microsoft 下载免费的反恶意软件或防病毒软件。

步骤 2:确保攻击者无法登录到 Microsoft 365 帐户

  1. 立即更改密码。 确保密码为强密码,并且包含大写和小写字母、至少一个数字和至少一个特殊字符。
  2. 不要重复使用过去五个密码中的任何一个。 即使密码历史记录要求允许你重复使用最近使用过的密码,你也应该选择攻击者无法猜到的密码。
  3. 如果你的本地标识已与 Microsoft 365 联合,则必须在本地更改密码,然后通知管理员帐户遭到入侵。

步骤 3:确保攻击者无法恢复对帐户的访问权限

  1. 确保 Exchange 帐户不会自动转发地址。 有关详细信息,请转到以下网页:

    使用规则自动转发消息

  2. 确保 Exchange 服务器未发送自动答复。

  3. 确保你的联系信息(如电话号码和地址)正确无误。

步骤 4:其他预防措施步骤

  1. 确保验证已发送的邮件。 你可能需要通知联系人列表中的人员你的帐户遭到入侵。 攻击者可能向他们索要钱财,例如欺骗你被困在另一个国家/地区,需要钱,或者攻击者可能向他们发送病毒,以劫持他们的计算机。
  2. 将此 Exchange 帐户用作其备用电子邮件帐户的任何其他服务可能已遭到入侵。 首先,为 Microsoft 365 订阅执行这些步骤,然后为其他帐户执行这些步骤。

更多信息

当 Microsoft 365 订阅遭到入侵时,可能会出现这些问题。 在这种情况下,可能会阻止你泄露的帐户来保护你和您的联系人,并帮助你恢复帐户。

有关网络钓鱼诈骗和欺诈性电子邮件的详细信息,请转到以下网站:

  • Internet 犯罪投诉中心
  • 证券交易委员会 -“网络钓鱼”诈骗

仍然需要帮助? 请转到 Microsoft 社区。

跳转至主内容

此浏览器不再受支持。

请升级到 Microsoft Edge 以使用最新的功能、安全更新和技术支持。

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。

什么是风险?

  • 项目
  • 11/11/2022

本文内容

Azure AD 标识保护中的风险检测包括已识别的与目录中的用户帐户相关的任何可疑操作。 风险检测(与用户和登录关联的检测)影响“风险用户”报告中发现的总体用户风险分数。

标识保护向组织提供强大资源的访问权限,可快速查看和响应这些可疑操作。

已 在 Microsoft 帐户 上 检测 到 异常活动 或者 认为 凭据 存在 风险

注意

仅当使用正确的凭据时,标识保护才会生成风险检测。 如果在登录时使用错误的凭据,不表示存在凭据泄露的风险。

风险类型和检测

有两个级别的风险检测(用户和登录)和两种类型的检测或计算(实时和脱机) 。 某些风险被认为仅对 Azure AD Premium P2 客户有效,而其他风险则对 Free 和 Azure AD Premium P1 客户有效。

登录风险表示给定身份验证请求未经标识所有者授权的概率。 对于未关联到特定恶意登录而是与用户本身关联的用户,可以检测到其风险活动。

实时检测可能在 5 至 10 分钟内不会显示在报告中。 脱机检测可能在 48 小时内不会显示在报告中。

注意

系统可能会检测到影响风险用户风险评分的风险事件为:

  • 假正
  • 用户风险已通过以下任一策略得到修正:
    • 完成多重身份验证
    • 安全密码更改。

系统将消除风险状态,显示“AI 已确认登录安全”的风险详细信息,并且不再影响用户的整体风险。

高级检测

高级检测仅对 Azure AD Premium P2 客户可见。 没有 Azure AD Premium P2 许可证的客户仍会收到高级检测,但它们名为“检测到的其他风险”。

登录风险

高级登录风险检测

风险检测检测类型说明
异常位置登录 脱机 此风险检测类型可标识从相距遥远的地理位置进行的两次登录,根据用户以往的行为,其中至少有一个位置属于异常。 该算法考虑了多种因素,包括两次登录之间的时间以及用户从第一个位置到第二个位置所花费的时间。 此风险可能表明另一位用户正在使用相同的凭据。

此算法会忽略明显的“误报”,从而改善不可能前往条件,例如组织中其他用户定期使用的 VPN 和位置。 系统最早有一个 14 天或 10 次登录的初始学习期限,在此期间它将学习新用户的登录行为。

异常令牌 脱机 此检测指示令牌中存在异常特征,例如异常令牌生存期或从不熟悉的位置播放的令牌。 此检测涵盖会话令牌和刷新令牌。

请注意:异常令牌经过调整,比同一风险级别的其他检测产生的干扰更多。 选择这种权衡是为提高检测重放令牌的可能性,否则重放令牌可能会被忽略。 这项检测产生的干扰较多,因此相比一般情况,其标记的一些会话更有可能出现误报。 建议你在用户的其他登录上下文中调查此检测标记的会话。 如果用户的位置、应用程序、IP 地址、用户代理或其他特征出现异常,租户管理员应将此风险视为潜在令牌重放的指示信息。

令牌颁发者异常 脱机 此风险检测指示关联 SAML 令牌的 SAML 令牌颁发者可能遭到入侵。 令牌中包含的声明异常或匹配已知的攻击者模式。
受恶意软件感染的 IP 地址 脱机 此风险检测类型指示从感染了恶意软件的 IP 地址(即主动与僵尸服务器通信)登录。 此检测将用户设备的 IP 地址与僵尸服务器活动时连接过僵尸服务器的 IP 地址相匹配。

此检测已弃用。 标识保护将不再生成新的“受恶意软件感染的 IP 地址”检测。 当前在其租户中具有“受恶意软件感染的 IP 地址”检测的客户仍将能够查看、修正或消除它们,直至达到 90 天检测保留时间。

可疑浏览器 脱机 可疑浏览器检测指示基于同一浏览器中不同国家/地区多个租户的可疑登录活动的异常行为。
不熟悉的登录属性 实时 此风险检测类型考虑过去的登录历史记录以查找异常登录。系统存储有关以前的登录的信息,并在使用用户不熟悉的属性登录时触发风险检测。 这些属性可以包括 IP、ASN、位置、设备、浏览器和租户 IP 子网。 新创建的用户将处于“学习模式”阶段,在此期间,当我们的算法学习用户的行为时,将关闭不熟悉的登录属性风险检测。 学习模式持续时间是动态的,取决于算法收集足够的用户登录模式信息所需的时间。 最短持续时间为五天。 用户可以在长时间处于非活动状态后返回到学习模式。

我们还对基本身份验证(或旧版协议)运行此检测。 由于这些协议没有新型属性(如客户端 ID),因此用来减少误报的遥测数据较为有限。 建议客户采用新式身份验证。

在交互式和非交互式登录中都可以检测到不熟悉的登录属性。当在非交互式登录时检测到此检测时,由于令牌重放攻击的风险,因此值得加强审查。

恶意 IP 地址 脱机 此检测表明登录是通过恶意 IP 地址进行的。 由于从 IP 地址或其他 IP 信誉源接收到无效的凭据,因此会根据高失败率将 IP 地址视为恶意。
可疑的收件箱操作规则 脱机 此检测由 Microsoft Defender for Cloud Apps 发现。 此检测会检查你的环境,并在用户的收件箱上设置了删除或移动邮件或文件夹的可疑规则时触发警报。 此检测可能表明:用户帐户已遭入侵、消息被故意隐藏、邮箱被人用来在组织中分发垃圾邮件或恶意软件。
密码喷射 脱机 密码喷射攻击是指使用常见密码以统一的暴力攻击方式攻击多个用户名以获取未经授权的访问。 成功实施密码喷射攻击时,会触发此风险检测。 例如,攻击者在检测到的实例中成功通过身份验证。
Impossible travel 脱机 此检测由 Microsoft Defender for Cloud Apps 发现。 项检测可识别来源于保持一定地理距离的位置的用户活动(一个或多个会话),而完成这两个活动的时间段短于该用户从第一个位置移动到第二个位置所需的时间。 此风险可能表明另一位用户正在使用相同的凭据。
新国家/地区 脱机 此检测由 Microsoft Defender for Cloud Apps 发现。 此项检测考虑过去的活动位置,以确定新的和不常见的位置。 异常情况检测引擎将存储组织中用户以往用过的位置的相关信息。
来自匿名 IP 地址的活动 脱机 此检测由 Microsoft Defender for Cloud Apps 发现。 此项检测可以识别使用已标识为匿名代理 IP 地址的 IP 地址展开活动的用户。
可疑收件箱转发 脱机 此检测由 Microsoft Defender for Cloud Apps 发现。 此检测查找可疑的电子邮件转发规则,例如,如果用户创建了将所有电子邮件副本转发到外部地址的收件箱规则。
对敏感文件的批量访问 脱机 此检测由 Microsoft Defender for Cloud Apps 发现。 此检测会检查你的环境,并在用户从 Microsoft SharePoint 或 Microsoft OneDrive 访问多个文件时触发警报。 只有在被访问文件的数量对于该用户而言异常并且这些文件可能包含敏感信息时,才触发警报

非高级登录风险检测

风险检测检测类型说明
检测到其他风险 实时或脱机 此检测表明已检测到某个高级检测。 高级检测仅对 Azure AD Premium P2 客户可见,因此对于没有 Azure AD Premium P2 许可证的客户,标题显示“检测到额外风险”。
匿名 IP 地址 实时 此风险检测类型指示从匿名 IP 地址登录(例如 Tor 浏览器或匿名 VPN)。 这些 IP 地址通常由希望隐藏其登录信息(IP 地址、位置、设备等)的参与者使用以实现潜在恶意目的。
管理员确认用户遭入侵 脱机 此检测表明管理员已通过风险用户 UI 或 riskyUsers API 选择了“确认用户遭入侵”。 若要查看哪位管理员确认了此用户遭入侵,请(通过 UI 或 API)检查用户的风险历史记录。
Azure AD 威胁智能 脱机 此风险检测类型指示对于给定用户来说属于异常的用户活动,或者与已知攻击模式一致的用户活动。 此检测基于 Microsoft 的内部和外部威胁智能源。

与用户关联的检测

高级用户风险检测

风险检测检测类型说明
可能尝试访问主刷新令牌 (PRT) 脱机 此风险检测类型由 Microsoft Defender for Endpoint (MDE) 检测。 主刷新令牌 (PRT) 是 Windows 10、Windows Server 2016 及更高版本、iOS 和 Android 设备上 Azure AD 身份验证的关键项目。 PRT 是专门颁发给 Microsoft 第一方令牌代理的 JSON Web 令牌 (JWT),用于在这些设备上使用的应用程序之间实现单一登录 (SSO)。 攻击者可能会尝试访问此资源以横向进入组织或执行凭据盗窃。 此检测会将用户移至高风险状态,并且仅在部署了 MDE 的组织中触发。 此检测是一种低容量检测,在大多数组织中并不常见。 但是,如果发生这种情况,则存在高风险,应对用户进行修正。
异常用户活动 Offline 此风险检测表明已识别经过身份验证的用户的可疑活动模式。 评估用户的身份验证后行为是否存在异常。 此行为基于帐户发生的操作以及检测到的任何登录风险。

非高级用户风险检测

风险检测检测类型说明
检测到其他风险 实时或脱机 此检测表明已检测到某个高级检测。 高级检测仅对 Azure AD Premium P2 客户可见,因此对于没有 Azure AD Premium P2 许可证的客户,标题显示“检测到额外风险”。
凭据泄露 Offline 此风险检测类型指示用户的有效凭据已泄露。 当网络犯罪分子泄露合法用户的有效密码时,他们通常会共享这些凭据。 共享方式通常是将凭据公开发布在暗网或粘贴网站上,或者在黑市上交易或出售凭据。 当 Microsoft 凭据泄露服务从暗网、粘贴网站或其他来源获取用户凭据时,会根据 Azure AD 用户当前的有效凭据对其进行检查,找到有效的匹配项。 有关凭据泄露的详细信息,请查看常见问题。
Azure AD 威胁智能 脱机 此风险检测类型指示对于给定用户来说属于异常的用户活动,或者与已知攻击模式一致的用户活动。 此检测基于 Microsoft 的内部和外部威胁智能源。

常见问题

风险级别

标识保护将风险分为三个级别:低、中和高。 配置标识保护策略时,还可将其配置为在“无风险”级别触发。 “无风险”是指没有用户标识已遭入侵的有效指示。

Microsoft 没有提供有关如何计算风险的具体详细信息。 每个级别的风险都会提高用户或登录受到威胁的置信度。 例如,与某用户的一个实例出现不熟悉的登录属性相比,将凭据泄露给另一个用户所带来的威胁性更高。

密码哈希同步

凭据泄露等风险检测要求存在密码哈希才能进行检测。 有关密码哈希同步的详细信息,请查看使用 Azure AD Connect 同步实现密码哈希同步一文。

为什么对已禁用的用户帐户生成风险检测?

可以重新启用已禁用的用户帐户。 如果已禁用帐户的凭据遭泄露,并且重新启用该帐户,则不良参与者可能会使用这些凭据来获取访问权限。 标识保护会针对已禁用的用户帐户生成可疑活动的风险检测,以提醒客户有关潜在帐户泄露问题。 如果某个帐户已不再使用并且不会重新启用,则客户应考虑将其删除以防止泄露。 不会为删除的帐户生成任何风险检测。

凭据泄露

Microsoft 在哪里查找凭据泄露?

Microsoft 在各种位置查找凭据泄露,包括:

  • 公共粘贴网站(例如 pastebin.com 和 paste.ca),不良参与者常会在此粘贴这类信息。 此位置是大多数不良参与者查找盗用凭据的第一站。
  • 执法机构。
  • Microsoft 的其他小组开展暗网研究。

为什么我没有看到任何凭据泄露?

每当 Microsoft 发现新的公开可用的批处理时,都会处理凭据泄露情况。 由于其敏感性质,泄露的凭据会在处理后很快删除。 只有在启用密码哈希同步 (PHS) 后找到的新泄露的凭据将针对你的租户进行处理。 不会对先前找到的凭据对执行验证。

已经很长时间没有看到任何凭据泄露风险事件了?

如果未看到任何凭据泄露风险事件,则有以下原因:

  • 没有为租户启用 PHS。
  • Microsoft 找不到任何与你的用户匹配且已遭泄露的凭据对。

Microsoft 多久处理一次新凭据?

凭据会在找到后立即处理,通常每天分多批处理。

位置

风险检测中的位置由 IP 地址查找决定。

后续步骤

  • 可用于规避风险的策略
  • 调查风险
  • 修正风险并对用户解除封锁
  • 安全性概述

你的帐户已锁定我们发现你的帐户存在异常活动这可能意味着他人在你不知情的情况下使用了你的帐户 microsoft帐户异常登录活动 如何关闭 Microsoft 账号 如何删除 Windows 账户 Microsoft 账号 被盗 Microsoft 账号无法登录

相關文章

五 等 分 的 花嫁 三 玖
五 等 分 的 花嫁 三 玖

美景之屋2 dandan
美景之屋2 dandan

Clotrimazole 塞 剂
Clotrimazole 塞 剂

國聯駕訓班ptt
國聯駕訓班ptt

路人 女 主 的 養成 方法 13
路人 女 主 的 養成 方法 13

魔法 科 高中 的 劣等 生 12
魔法 科 高中 的 劣等 生 12

得意 的 一天 芥 花 油 2.4 l
得意 的 一天 芥 花 油 2.4 l

A whole new world 嶄新 的 世界
A whole new world 嶄新 的 世界

香港 人 台灣 郵局 開戶
香港 人 台灣 郵局 開戶

致 我們 暖 暖 的 小時 光 5
致 我們 暖 暖 的 小時 光 5

廣告

最新消息

如何判斷腎發炎?
1 年s 前 . 經過 BipartisanLiterature
小 居 酒 日 式 串 燒
1 年s 前 . 經過 Intermediate-rangeSkate
燒 肉 like 菜單
1 年s 前 . 經過 MountingAuspices
嬌生歐舒適日拋
1 年s 前 . 經過 WateryFerocity
達裕國際詐騙包裹
1 年s 前 . 經過 PrepComputing
使用內部報酬率法評估投資案後會有哪兩個重要的缺點
1 年s 前 . 經過 NiceRedundancy
補辦戶口名簿要帶什麼?
1 年s 前 . 經過 AuthoritarianPharaoh
吸音 棉 安裝
1 年s 前 . 經過 FrigidBondage
一千零一夜故事線上看
1 年s 前 . 經過 Two-roomScenario
迪士尼 人鱼公主
1 年s 前 . 經過 UncomfortablePlaza

廣告

Populer

廣告

關於

合法的

幫助

社會的

homeendefrjpkoptzhhiitth
版權 © 2024 zh.frojeostern Inc.