Microsoft OneDrive 迁移可能导致敏感文件意外泄露

该公司计划为在商务设备上拥有个人 Microsoft 帐户的用户提供选项，除了企业 OneDrive 文件外，还可以将他们的个人 OneDrive 内容同步到设备上。

微软 ( Nasdaq:MSFT ) 即将推出的 OneDrive 同步功能变更，将为企业用户提供一种便捷的方式，让他们能够在企业设备上同步个人和企业 OneDrive 帐户。但网络安全官员并不想简化同步流程，因为这会带来诸多安全和 IT 方面的麻烦。

该功能原定于本周末（5 月 11 日）推出，但周四晚些时候，微软关于该功能的页面被更改为将于 6 月推出。

微软没有立即解释延迟的原因，但 LinkedIn 和其他社交媒体平台上的讨论表达了 IT 和安全专业人士对此次推出的严重疑虑。

微软这项计划的初衷显然是为那些希望在工作期间进行一些个人活动的企业员工提供便利，以略微改善工作与生活的平衡。但IT主管们并不乐意看到员工的医疗记录、税务文件以及私人（有时是极其私密的）照片和视频被存储在企业系统中。

当数据流逆转时，问题可能会更加严重。一旦个人和公司数据集同步，就不可避免地会出现有人意外将敏感的公司文件保存到个人 OneDrive 中，而 OneDrive 又会将该文件保存到个人电脑上的情况。

公平地说，微软让 IT 部门可以轻松地禁用这些功能，但默认设置是允许的。

微软官方对这项新功能的描述如下：“此功能使 Windows 上的 OneDrive 同步客户端能够检测与企业设备关联的已知 Microsoft 个人帐户，并提示用户同步其个人 OneDrive 文件。如果用户接受提示，他们的个人文件将开始与工作文件同步。默认情况下，无需任何操作即可启用此行为。管理员可以使用 DisableNewAccountDetection或DisablePersonalSync策略来抑制或禁用此功能。”

数据泄露的机会

IDC 研究总监Jennifer Glenn表示： “此功能的不对称性实际上似乎更容易导致数据泄露。如果公司信息仅仅通过同步就进入个人账户，则会加剧内部风险的问题/担忧。现在，你掌握了公司机密、知识产权，甚至来自客户或其他员工的潜在敏感信息。这既是数据泄露的情况，也是潜在的合规性和/或隐私侵犯。虽然可以而且应该调整设置来防止这种情况发生，但其中可能仍然存在漏洞，[因为]数据分类和策略调整并不总是完美的。”

格伦举了一个假设的例子。

“假设你的个人硬盘里存储着护照复印件或处方PDF文件，并且与公司硬盘同步。现在这些信息从技术上来说属于公司IT/安全团队的权限范围，”Glenn说道。“这会增加更多安全团队不需要或不想保护的数据。他们已经有太多数据需要保护了。如果公司数据访问控制不充分，这可能会侵犯隐私，也就是承担责任。说实话，充分的数据访问控制是一项持续进行的工作。”

安全顾问则更加直言不讳。

在线业务系统安全风险评估顾问乔丹·怀斯曼 (Jordan Wiseman) 表示：“将其设为默认设置，而不给管理员机会，这会惹恼很多管理员，而微软在这方面做得非常出色。”

“合规噩梦即将发生”

总部位于多伦多的人工智能公司 Easy Audit 的首席执行官克里斯蒂安·库里 (Christian Khoury) 也认为微软的改变非常成问题。Easy Audit 销售合规自动化平台。

“这种设置简直就是一场合规噩梦。它模糊了个人数据和公司数据之间的界限，破坏了企业现有的所有数据泄露防护 (DLP)策略和访问控制，”Khoury 说道。“我亲眼目睹了早期 SaaS 初创公司如何难以保持企业数据的清洁合规，而且他们没有足够的资源来理清这种混乱局面。OneDrive 现在实际上为公司知识产权最终进入个人 Dropbox 或 iCloud 敞开了大门。你很难向审计人员证明你的客户数据没有泄露。”

Khoury 对微软默认启用此功能的决定也非常不满。

“微软默认启用这个功能感觉很鲁莽。这给安全团队增加了负担，让他们不得不在造成损害之前发现并关闭它，”库里说。“大多数人都无法及时发现。”

微软拒绝了采访请求。微软官员承诺通过电子邮件发送一份声明，但在我们发表本文之前尚未收到。

有各种各样的工具（例如微软的 InTune）和策略可以解决所有这些问题。但如果环境管理不善，这种同步选项可能会使情况变得更糟。

Dennis Xu表示，这种变化所带来的数据问题在很大程度上已经存在于典型的企业威胁形势中。

尽管徐强调管理员“需要禁用此功能”并且“需要关注新功能并不断禁用这些功能”，但他表示，他并不认为这会显著增加典型企业的风险敞口。

徐先生表示：“由于目前已经有很多方法可以将个人文件传输到公司笔记本电脑中，因此风险很低。”

徐补充道，尽管他并不认为微软的这一变化会“立即造成曝光”，但他认为“如果用户不密切关注他们正在使用的本地 OneDrive 同步文件夹，这确实增加了公司文件最终进入云端个人 OneDrive 帐户的可能性。”

员工也面临风险

将个人数据带入雇主环境所面临的风险。

罗森奎斯特说，员工将任何东西带入他们的工作系统，企业都可以按照自己的意愿使用。

“你授权他们做出任何商业决策，比如是否要为你做推广。如果他们的数据被泄露，你的私人记录也会被泄露，”罗森奎斯特说。

罗森奎斯特还表示，最终用户经常会心不在焉地点击 Windows 提示。

“这就像一家公司说‘请阅读我们的最终用户许可协议’。根本没人会读，”罗森奎斯特说。“他们只会点击然后继续。他们不知道点击的后果。”

在线业务系统的怀斯曼表示，有办法选择特定的个人文件在公司系统上共享，但即使将文件排除在传输之外，也不一定能使其免受 IT 人员的监视。

即使你将 OneDrive 配置为仅同步某些文件夹，客户端仍然会列举未同步对象的全名。这部分是为了确定需要在文件系统中列出哪些内容以及可能需要下载哪些内容。Wiseman 说道，“这意味着你的公司设备可能包含任何关于你家庭 OneDrive 内容的信息。”

更新：周五，微软通过电子邮件对此作出了回应：

在同一设备上同时使用个人和公司 OneDrive 帐户的功能已经存在一段时间了。已经限制在公司设备上使用个人帐户的管理员可以继续像以前一样管理此功能。此更新为已在公司 OneDrive 设备上使用个人帐户的用户引入了新的登录提示。需要注意的是，此提示不会自动在个人帐户和公司帐户之间合并或传输文件。用户必须采取谨慎的操作才能在帐户之间移动或保存文件，并且 Microsoft 默认阻止将已知文件夹从已加入域的设备移动到个人 OneDrive 帐户。

此更新不会将个人文件与公司帐户“同步”，反之亦然。它仅允许在同一设备上访问不同的 OneDrive 帐户，而无需合并内容——类似于在一台设备上同时查看工作和个人电子邮件，而无需合并收件箱。已在公司设备上禁用个人 OneDrive 帐户的组织将不会在其设置中看到任何变化。