【SC-900必考知识点精讲】：掌握这7大安全概念稳过微软认证

第一章：SC-900认证概览与考试策略

认证目标与适用人群

SC-900 是微软推出的安全、合规与身份管理领域的入门级认证，全称为 Microsoft Security, Compliance, and Identity Fundamentals。该认证面向希望了解云安全基础概念的技术新人、IT支持人员、系统管理员以及非技术背景但需掌握安全基础知识的管理人员。通过考试，考生将掌握 Azure Active Directory、身份验证机制、数据保护策略及合规中心工具的基本应用。

考试核心内容分布

考试涵盖三大知识领域，权重分布如下：

知识领域	占比
安全、合规与身份基础概念	30%
Azure 身份与访问管理	40%
安全、合规与身份解决方案	30%

高效备考策略

• 优先学习 Microsoft Learn 平台上的官方模块，特别是“Describe identity concepts”和“Describe the capabilities of Microsoft Entra ID”等路径
• 使用 Azure 免费账户动手实践多因素认证（MFA）和条件访问策略配置
• 定期完成模拟测试题，推荐使用 MeasureUp 或 Whizlabs 提供的练习平台

典型配置示例：启用多因素认证

在 Azure 门户中可通过以下 PowerShell 命令批量为用户启用 MFA：

# 连接到 MSOnline 服务
Connect-MsolService

# 获取指定用户
$user = Get-MsolUser -UserPrincipalName "user@contoso.com"

# 配置强身份验证方法
$mfa = New-Object Microsoft.Online.Administration.StrongAuthenticationRequirement
$mfa.RelyingParty = "*"
$mfa.State = "Enabled"

# 应用 MFA 设置
Set-MsolUser -UserPrincipalName $user.UserPrincipalName -StrongAuthenticationRequirements $mfa

该脚本通过设置 StrongAuthenticationRequirements 属性激活用户的多因素认证流程，是实际环境中常见的安全加固操作。

graph TD A[开始备考] --> B{学习核心模块} B --> C[动手实践Azure功能] C --> D[完成模拟测试] D --> E{成绩稳定达标?} E -->|是| F[预约正式考试] E -->|否| C

第二章：核心安全概念深度解析

2.1 理解共享责任模型及其在云环境中的应用

在云计算环境中，共享责任模型定义了云服务提供商（CSP）与客户之间的安全职责划分。该模型确保双方明确各自在基础设施、平台和应用层面的安全义务。

责任划分的核心维度

• 云服务商负责物理基础设施、网络和虚拟化层的安全
• 客户负责操作系统配置、数据加密、访问控制和应用安全
• 责任边界随服务模型（IaaS、PaaS、SaaS）动态变化

典型服务模式下的责任分布

责任项	IaaS	PaaS	SaaS
网络防火墙	客户	服务商	服务商
运行时环境	客户	服务商	服务商
应用数据	客户	客户	客户

代码示例：IAM策略强化访问控制

{
  "Version": "2023-08-01",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "s3:DeleteBucket",
      "Resource": "*",
      "Condition": {
        "Bool": { "aws:MultiFactorAuthPresent": false }
      }
    }
  ]
}

该IAM策略禁止在未启用多因素认证（MFA）的情况下删除S3存储桶，体现了客户在身份权限管理上的主动防护机制。参数aws:MultiFactorAuthPresent用于检测请求是否携带MFA凭证，增强账户安全性。

2.2 零信任安全架构的原理与微软实现路径

零信任安全模型的核心原则是“永不信任，始终验证”，无论网络位置如何，所有访问请求都必须经过严格的身份验证、设备合规性检查和最小权限授权。

核心实施原则

• 显式验证：每次访问都需通过多因素认证（MFA）
• 最小权限访问：基于角色和上下文动态授予权限
• 假设 breach：以防御已发生入侵为前提设计系统

微软Azure零信任实现路径

微软通过集成Azure Active Directory、Conditional Access和Intune构建统一控制平面。例如，以下策略配置确保仅合规设备可访问企业资源：

{
  "displayName": "Require Compliant Device",
  "conditions": {
    "users": { "includeGroups": ["Group-Executives"] },
    "platforms": { "includePlatforms": ["mobile", "desktop"] },
    "clientAppTypes": ["browser"]
  },
  "grantControls": {
    "operator": "AND",
    "builtInControls": ["mfa", "compliantDevice"]
  }
}

上述策略表示：来自指定用户组、使用受支持平台且通过浏览器访问的请求，必须同时满足多因素认证和设备合规性才能获得访问权限。该机制结合了身份、设备和应用上下文，体现了零信任的动态访问控制思想。

2.3 身份与访问管理（IAM）基础理论与Azure AD实践

身份与访问管理（IAM）是云安全的核心支柱，旨在确保“正确的用户、在正确的时间、以正确的权限”访问正确的资源。Azure Active Directory（Azure AD）作为微软云的身份服务引擎，提供统一的身份验证与授权机制。

核心组件与角色模型

Azure AD 支持多种内置角色，如全局管理员、应用管理员和用户管理员，实现职责分离：

• 全局管理员：拥有租户内所有服务的完全控制权
• 应用管理员：可管理企业应用和应用注册
• 用户管理员：负责用户和组的生命周期管理

自动化配置示例

通过 Microsoft Graph API 创建用户时，可使用以下请求：

POST https://graph.microsoft.com/v1.0/users
Content-Type: application/json

{
  "accountEnabled": true,
  "displayName": "Alice Smith",
  "mailNickname": "alices",
  "userPrincipalName": "alice.s@contoso.com",
  "passwordProfile" : {
    "forceChangePasswordNextSignIn": true,
    "password": "SecurePass123!"
  }
}

该请求调用 Graph API 的 /users 端点，参数中 accountEnabled 控制账户启用状态，passwordProfile 定义初始密码策略，确保首次登录强制修改密码，提升安全性。

2.4 数据分类、敏感性标签与信息保护机制

数据资产的有效管理始于科学的分类体系。根据业务属性与使用场景，可将数据划分为公开、内部、机密和绝密四个层级，便于实施差异化控制策略。

敏感性标签的定义与应用

通过元数据打标实现自动化分类，例如在数据表或文件头部嵌入标签：

{
  "sensitivity": "confidential",
  "owner": "finance-dept",
  "retention_days": 1825
}

该标签结构用于标识数据敏感度、责任部门与保留周期，支撑后续访问控制与生命周期管理。

信息保护机制联动策略

• 加密存储：对“机密”及以上级别数据强制启用AES-256加密
• 动态脱敏：在非生产环境中自动遮蔽核心字段
• 审计追踪：记录所有高敏感数据的访问行为

分类等级	访问权限	传输要求
公开	全员可读	无需加密
机密	授权角色	TLS + 访问令牌

2.5 威胁防护、检测与响应机制全解析

纵深防御体系的构建

现代安全架构强调多层防护策略，涵盖网络边界、主机、应用及数据层。通过防火墙、EDR（终端检测与响应）和WAF（Web应用防火墙）协同工作，形成闭环防护。

实时威胁检测技术

利用SIEM系统聚合日志，结合机器学习识别异常行为。以下为基于YARA规则的恶意软件特征匹配示例：

rule Detect_Python_Reverse_Shell {
    strings:
        $cmd1 = "import socket,subprocess,os" 
        $cmd2 = "s=socket.socket()"
    condition:
        $cmd1 and $cmd2
}

该规则通过关键字组合识别Python反向shell代码片段，常用于终端行为监控中对可疑脚本的静态扫描。

自动化响应流程

阶段	动作
检测	触发告警并记录上下文
分析	关联IP、用户、设备信息
遏制	隔离主机或阻断会话
恢复	清除持久化后门

第三章：身份与访问控制实战指南

3.1 多重身份验证（MFA）配置与策略优化

基础MFA配置流程

在主流云平台中，启用MFA通常通过身份管理服务实现。以AWS为例，可通过IAM控制台为用户绑定虚拟MFA设备：

{
  "Action": "iam:EnableMfaDevice",
  "Effect": "Allow",
  "Resource": "arn:aws:iam::123456789012:mfa/${aws:username}"
}

该策略允许用户自助绑定MFA设备，ARN资源限制确保仅能操作自身MFA设备，提升安全性。

动态策略优化建议

• 对管理员账户强制启用FIDO2安全密钥
• 基于登录风险动态调整验证强度
• 设置MFA会话有效期，避免长期信任高风险终端

结合条件键如aws:MultiFactorAuthAge可实现多因子认证时效控制，增强持续访问安全性。

3.2 条件访问策略设计与典型场景演练

策略设计核心原则

条件访问（Conditional Access）策略设计应遵循最小权限原则，结合用户身份、设备状态、访问位置和应用敏感性进行动态控制。关键策略要素包括用户/组、云应用、访问条件与授予控制。

典型策略配置示例

以下策略要求来自外部网络的Exchange Online访问必须通过多因素认证（MFA）：

{
  "displayName": "Require MFA for External Access",
  "conditions": {
    "users": {
      "includeGroups": ["All Users"]
    },
    "applications": {
      "includeApplications": ["Exchange Online"]
    },
    "locations": {
      "excludeLocations": ["Corporate Network"],
      "includeLocations": ["All Trusted"]
    }
  },
  "grantControls": {
    "operator": "OR",
    "builtInControls": ["mfa"]
  }
}

该策略逻辑为：当所有用户从非企业网络访问Exchange Online时，强制触发MFA验证，增强远程访问安全性。

常见应用场景

• 阻止未合规设备访问企业应用
• 对高风险登录强制进行身份重验证
• 限制特定国家/地区的访问权限

3.3 用户生命周期管理与权限最小化原则实施

在现代系统安全架构中，用户生命周期管理是保障数据安全的核心环节。从用户创建、权限分配到禁用或删除，每个阶段都需遵循自动化流程与审计规范。

权限最小化设计原则

该原则要求用户仅拥有完成其职责所必需的最低权限。通过角色绑定（RBAC）机制，可有效控制访问范围。

• 新用户入职时自动分配预定义角色
• 权限变更需经审批流程
• 定期执行权限审查与回收

自动化生命周期管理示例

apiVersion: v1
kind: UserLifecyclePolicy
spec:
  onBoarding:
    autoAssignRoles: [developer]
  offBoarding:
    autoDisableAfterDays: 90
    revokeAllAccess: true

上述策略配置实现了用户90天未活跃后自动禁用并撤销权限，减少潜在安全风险。参数 `autoAssignRoles` 控制初始权限分配，`revokeAllAccess` 确保离职人员无法继续访问系统资源。

第四章：数据与工作负载保护技术

4.1 Microsoft Defender for Office 365 核心功能与防御实践

威胁防护机制

Microsoft Defender for Office 365 提供多层防护，涵盖钓鱼邮件、恶意附件与URL检测。通过基于云的实时分析，系统可识别伪装邮件并自动隔离高风险内容。

策略配置示例

New-PhishPolicy -Name "BlockSuspiciousLinks" `
  -EnableAntiPhish = $true `
  -SpamAction = "Quarantine" `
  -TargetedUserProtectionStatus = "Enabled"

该PowerShell命令创建反钓鱼策略，启用反钓鱼引擎并将可疑邮件隔离。参数 -TargetedUserProtectionStatus 启用对高管等重点用户的增强保护。

检测能力对比

功能	标准版	Premium版
URL重写	✓	✓
自动调查响应	✗	✓
高级仿真训练	✗	✓

4.2 Azure安全中心（Microsoft Defender for Cloud）入门与资源保护

Azure 安全中心现已演进为 Microsoft Defender for Cloud，提供统一的云安全态势管理与高级威胁防护。它通过自动发现和持续监控 Azure、混合及多云资源，帮助组织强化其安全防御体系。

启用Defender for Cloud策略

在订阅级别配置安全策略是实现全面保护的第一步。可通过门户或 ARM 模板批量部署：

{
  "properties": {
    "status": "On",
    "pricingTier": "Standard",
    "logAnalytics": "/subscriptions/.../workspaces/default"
  }
}

上述 JSON 配置启用了标准定价层，激活了运行时防护、漏洞评估与网络检测功能，并关联 Log Analytics 工作区用于日志收集。

关键保护功能概览

• 自动暴露缓解：识别公网暴露的虚拟机并建议访问控制策略
• 集成防病毒与EDR：Windows/Linux主机实时威胁检测
• 容器与Kubernetes保护：扫描镜像漏洞并监控运行时异常

4.3 数据丢失防护（DLP）策略构建与合规性保障

核心策略设计原则

数据丢失防护（DLP）策略的构建需基于分类分级、最小权限和持续监控三大原则。首先对敏感数据进行识别与标记，如PII、PHI或财务信息，并依据风险等级实施差异化保护。

典型DLP规则配置示例

rules:
  - name: "Block-SSN-Exposure"
    condition:
      data_type: "US_SOCIAL_SECURITY_NUMBER"
      confidence: "HIGH"
    actions:
      - block
      - alert_admin
      - log_event
    scope: "external_share"

上述YAML配置定义了一条阻止社会安全号码外泄的规则。当系统高置信度检测到SSN在外部共享场景中出现时，自动阻断操作并触发告警。data_type字段支持正则匹配与机器学习识别，confidence确保误报率可控。

合规性映射与审计支持

法规标准	对应DLP控制项
GDPR	个人数据跨境传输监控
HIPAA	医疗记录访问日志审计
PCI-DSS	信用卡号加密与使用限制

4.4 加密技术基础与在Microsoft 365中的应用

加密技术是保障数据机密性的核心手段，主要分为对称加密（如AES）和非对称加密（如RSA）。在Microsoft 365中，数据在传输和静态存储时均采用强加密机制。

Microsoft 365中的加密层级

• 传输加密：所有通信通过TLS 1.2+协议保护
• 静态加密：OneDrive、Exchange Online等服务默认启用AES-256加密
• 客户密钥（Customer Key）：允许客户使用本地密钥管理服务控制加密密钥

PowerShell配置示例

Set-IRMConfiguration -RMSOnlineKeySharingLocation "https://sp.contoso.com"
Enable-IRMForPowerShell

该命令用于启用信息权限管理（IRM），使组织可对邮件和文档实施加密策略。参数 RMSOnlineKeySharingLocation 指定密钥共享的URL位置，确保跨租户安全协作。

第五章：通往SC-900认证的完整学习路线与备考建议

制定合理的学习计划

• 每天安排1-2小时专注学习，持续6-8周
• 优先掌握身份保护、威胁防护和合规性核心模块
• 结合Microsoft Learn官方路径“SC-900: Microsoft Security, Compliance, and Identity Fundamentals”进行系统学习

实战模拟环境搭建

通过Azure免费账户实践关键服务配置：

# 创建Azure AD用户并启用MFA
New-AzADUser -DisplayName "Test User" -UserPrincipalName user@test.com
Set-MsolUser -UserPrincipalName user@test.com -StrongAuthenticationRequirements $mfa

重点知识域对比分析

主题	权重	推荐掌握技能
安全基础	40-50%	Azure AD身份验证机制、条件访问策略
合规性工具	25-30%	使用Purview配置数据分类标签
威胁防护	20-25%	理解Defender for Office 365检测原理

高效备考资源推荐

1. 完成Microsoft Learn模块中的所有测验题
2. 使用MeasureUp或Transcender进行模拟考试训练
3. 加入TechCommunity论坛参与讨论真实场景问题

学习路径流程图：

基础知识 → 模块化练习 → 模拟考试 → 错题复盘 → 考前冲刺

每个阶段设置检查点，确保知识点闭环掌握