第一章：SC-900认证与学习路径概览

SC-900认证简介

SC-900（Microsoft Security, Compliance, and Identity Fundamentals）是微软推出的一项基础级别认证，面向希望了解信息安全、合规性及身份管理核心概念的IT从业者。该认证无需前置考试，适合初学者或计划进入网络安全领域的技术人员。

主要考察内容

• 安全基础与零信任架构：理解现代安全模型的核心理念；
• 身份与访问管理（IAM）：掌握用户身份验证和权限控制的基本机制；
• 合规框架与数据保护策略：熟悉企业级合规要求与敏感信息防护手段；
• 微软安全产品概览：包括Microsoft Defender、Microsoft 365安全组件等解决方案的基础知识。

推荐学习资源

建议通过 Microsoft Learn 平台进行系统学习，平台提供免费模块化课程，结构清晰且实践性强。推荐按以下顺序完成学习：

1. 学习“Explore security, compliance, and identity”模块，建立整体认知；
2. 深入“Describe identity and access management concepts”，掌握身份管理原理；
3. 研读“Describe threat protection solutions”，了解威胁防御体系；
4. 完成模拟试题训练，评估自身准备情况。

考试相关信息

项目	详情
考试名称	SC-900: Microsoft Security, Compliance, and Identity Fundamentals
题型数量	约40-60题
通过分数	700分（满分1000）
考试时长	60分钟

实验环境搭建

为增强实操能力，建议使用 Azure 免费账户创建实验资源。以下命令可用于初始化测试用的资源组：

# 登录 Azure CLI
az login

# 创建资源组用于实验
az group create --name sc900-lab-rg --location eastus

# 查看当前订阅下的所有资源组
az group list --output table

该脚本利用 Azure CLI 快速部署资源组，便于后续开展 IAM 配置与安全策略测试。

学习流程图示

graph TD A[开始学习] --> B[理解安全基础] A --> C[掌握身份管理] A --> D[了解合规框架] B --> E[准备考试] C --> E D --> E E --> F[通过SC-900考试]

第二章：安全、合规与身份核心知识详解

2.1 零信任架构与微软安全模型解析

随着网络攻击手段不断升级，传统以防火墙为核心的边界防御已难以满足当前需求。微软采用“永不信任，始终验证”的安全原则，全面推行零信任架构（Zero Trust），将身份、设备、应用和数据作为关键保护对象。

零信任三大支柱

• 身份：所有访问请求必须经过强身份验证，身份即首要安全边界；
• 设备：接入终端需符合组织设定的安全标准，如启用磁盘加密、安装防病毒软件；
• 数据：依据敏感等级实施分类管理，并结合信息保护策略实现动态防护。

典型策略配置案例

{
  "displayName": "Require MFA for Admin Access",
  "state": "enabled",
  "conditions": {
    "signInRiskLevels": ["high"],
    "clientAppTypes": ["browser"]
  },
  "grantControls": {
    "operator": "OR",
    "builtInControls": ["mfa"]
  }
}

上述JSON代码展示了一条Azure AD条件访问规则：当检测到高风险登录行为且用户使用浏览器访问时，强制触发多因素认证（MFA）。此策略体现了基于风险动态调整访问权限的零信任逻辑。

2.2 Azure Active Directory基础与用户管理实战

Azure Active Directory（Azure AD）是微软提供的云原生身份与访问管理服务，支持单点登录、多因素认证、第三方应用集成以及用户生命周期管理，在企业安全体系中扮演核心角色。

用户创建与角色分配方法

可通过Azure门户界面或PowerShell脚本批量创建账户。例如，执行以下命令可新增一个用户：

New-AzADUser -DisplayName "Alice Chen" -UserPrincipalName "alice.chen@contoso.com" `
-Password (ConvertTo-SecureString "P@ssw0rd!" -AsPlainText -Force) `
-MailNickname "alice" -AccountEnabled

该命令在创建用户的同时激活其账户，其中密码参数

-Password

需以安全字符串形式传入，避免明文暴露凭据。

常用内置角色对比

角色名称	权限范围	典型用途
Global Administrator	全目录管理权限	适用于IT全局运维人员
User Administrator	管理用户与群组	常用于人力资源协作场景
Billing Administrator	管理订阅账单	供财务相关人员使用

2.3 合规中心入门与数据保护策略设置

合规中心为企业提供了统一的数据治理平台，支持对敏感信息的识别、分类与保护策略配置，是实现GDPR、CCPA等法规遵从的关键工具。

策略创建步骤

管理员可在合规中心控制台新建数据保护策略。首先选择目标数据源类型（如数据库、对象存储），然后定义敏感数据识别规则，例如使用正则表达式匹配身份证号或手机号。

数据保护规则实例

{
  "policyName": "Protect_PII",
  "description": "防止个人身份信息外泄",
  "dataPatterns": ["\\d{17}[\\dX]", "\\d{11}"],
  "action": "mask",
  "severity": "high"
}

该策略自动识别并脱敏身份证号（18位数字或末尾为X）和手机号（11位数字），触发操作为“mask”，有效保障非生产环境中个人身份信息（PII）的安全。

适用范围说明

• 数据库中的特定字段（如用户表中的身份证列）；
• 包含PII的日志文件记录；
• 对外API响应中的返回数据。

2.4 身份验证方式对比与多因素认证实操

常见身份验证机制比较

机制	安全性	用户体验	适用场景
密码认证	低	高	普通Web应用
OAuth 2.0	中	高	第三方登录集成
JWT	中高	中	微服务间通信
多因素认证（MFA）	高	中	金融系统、管理后台

MFA 实现示例

import pyotp

# 生成基于时间的一次性密码密钥
secret = pyotp.random_base32()
totp = pyotp.TOTP(secret)

# 获取当前一次性密码
current_otp = totp.now()
print("当前验证码:", current_otp)

# 验证用户输入
user_input = "123456"
is_valid = totp.verify(user_input, valid_window=1)  # 允许前后1个时间窗口

以上代码基于

pyotp

库实现TOTP（基于时间的一次性密码）协议。密钥

secret

由安全随机函数生成，确保唯一性和不可预测性，

valid_window

当参数允许一定时钟偏差时，系统的可用性得以增强。验证码依据 RFC 6238 标准每30秒自动更新一次，确保时间同步的安全性与兼容性。

多因素认证流程如下：

1. 用户在登录过程中首先输入密码（第一重身份验证）
2. 系统随即生成或发送一次性动态验证码（第二重身份验证）
3. 仅当两项凭证均通过校验后，系统才授予访问权限

2.5 安全评分机制与威胁防护策略应用分析

在当前主流的云安全架构中，安全评分模型通过对系统配置、行为日志及外部威胁情报进行量化处理，实现对资产风险等级的动态评估。该模型通常采用加权算法，综合考量漏洞暴露面、异常登录行为以及网络流量异常等多维度指标。

以下为典型的安全评分计算逻辑示例：

# 安全评分计算逻辑（简化版）
def calculate_security_score(vulnerabilities, failed_logins, network_anomalies):
    base_score = 100
    base_score -= len(vulnerabilities) * 5          # 每个未修复漏洞扣5分
    base_score -= failed_logins * 0.5               # 每次失败登录扣0.5分
    base_score -= network_anomalies * 10            # 每次网络异常扣10分
    return max(base_score, 0)                       # 最低为0分

# 示例调用
score = calculate_security_score(vulnerabilities=["CVE-2023-1234"], failed_logins=3, network_anomalies=1)

上图展示的基础评分公式中，漏洞数量、登录失败次数和网络层面的异常事件分别被赋予不同权重值，最终汇总得出反映整体安全状态的风险得分。

基于评分结果的自动化威胁响应策略

评分区间	风险等级	自动响应动作
90–100	低风险	持续监控，无需干预
60–89	中风险	触发告警通知，并建议执行安全加固措施
0–59	高风险	立即隔离相关实例，并强制要求重新认证

第三章：云平台安全体系与工作负载保护实践

3.1 Azure安全中心部署与安全建议实施路径

Azure安全中心作为Azure平台的核心安全管理服务，提供统一界面以实现跨资源类别的安全治理与高级威胁防御能力。启用“标准”定价层级后，可激活针对计算、存储与网络资源的持续性安全监测功能。

基本部署步骤包括：

• 进入Azure门户并导航至“安全中心”模块
• 将定价模式设置为“标准”，以解锁深度防护特性
• 将目标订阅关联至指定的Log Analytics工作区，用于集中日志采集与分析

通过自动化策略实施，可确保安全控制措施高效落地：

{
  "policyDefinitionName": "Deploy-VM-Antimalware",
  "effect": "DeployIfNotExists",
  "scope": "/subscriptions/xxx/resourceGroups/myRG"
}

上述策略配置确保所有虚拟机自动安装防恶意软件扩展。Azure安全中心依据此规则评估合规性，并在发现缺失防护组件时自动发起修复任务。其中：

effect

用于定义策略的具体执行逻辑，而

scope

则限定该策略适用的资源范围，从而实现精细化管理。

3.2 Azure Defender for Cloud 工作负载防护实战应用

Azure Defender for Cloud 提供统一的安全管理框架，支持跨公有云与本地环境的工作负载保护。借助自动化的安全评估与修复建议，能够显著提升虚拟机、容器、数据库等关键资源的防御水平。

启用服务器防护功能：

在Azure门户中开启Defender for Servers后，系统将自动部署Log Analytics代理并开始收集各类安全日志数据。以下ARM模板代码片段可用于实现自动化部署：

{
  "type": "Microsoft.Security/pricings",
  "apiVersion": "2021-06-01",
  "name": "VirtualMachines",
  "properties": {
    "pricingTier": "Standard"
  }
}

该配置启用标准定价层，激活包括实时威胁检测、漏洞扫描以及JIT（Just-In-Time）访问控制在内的多项核心安全功能，全面保障虚拟机工作负载的安全性。

主要防护能力涵盖：

• 实时监测恶意软件活动与进程行为
• 基于行为分析的异常登录警报（如暴力破解尝试）
• 定期推送CIS基准合规检查报告
• 与Microsoft Sentinel集成，支持自动化事件响应流程

3.3 存储与数据库内置安全功能配置策略

现代数据库系统配备多层次的原生安全机制，旨在保障数据在静态存储和传输过程中的机密性与完整性。

透明数据加密（TDE）技术应用

TDE 可实现数据库文件的自动加密，有效防止因物理介质被盗而导致的数据泄露。以 SQL Server 环境为例：

USE master;
CREATE MASTER KEY ENCRYPTION BY PASSWORD = 'StrongMasterKey!';
CREATE CERTIFICATE TDECert WITH SUBJECT = 'TDE Certificate';
CREATE DATABASE ENCRYPTION KEY
   WITH ALGORITHM = AES_256
   ENCRYPTION BY SERVER CERTIFICATE TDECert;
ALTER DATABASE MyDB SET ENCRYPTION ON;

上述脚本启用了 TDE 加密功能，使用 AES_256 算法提供高强度加密保护，且加密证书由服务器主密钥进行保护，确保数据库文件与事务日志在磁盘上始终处于加密状态。

行级与列级安全控制机制

• 利用 GRANT/REVOKE 命令精细管理用户对特定列的访问权限
• 结合动态数据掩码（DDM）技术，隐藏敏感字段内容
• 通过行级安全策略限制用户可见的数据记录范围，实现数据行级别的访问控制

第四章：数据治理与风险管理实践路径

4.1 信息保护与敏感度标签策略设计方法

在现代化数据治理体系中，识别并分级敏感信息是构建安全防线的前提条件。通过建立细粒度的敏感度标签策略，组织可根据数据级别实施差异化的访问控制与处理规范。

常见敏感度标签分类及其应用场景：

• 公开：允许企业全体员工自由访问
• 内部：限于组织内部相关人员查阅
• 机密：需经过授权审批方可获取访问权限
• 绝密：严格受限访问，所有操作必须记录审计日志

策略配置实例如下：

{
  "label": "Confidential",
  "encryption_required": true,
  "retention_days": 365,
  "audit_logging_enabled": true
}

该策略明确规定，“机密”级别数据必须启用加密存储机制，保留周期不得超过一年，同时强制开启操作日志审计功能，确保全过程可追溯、合规范。

4.2 数据丢失防护（DLP）策略构建与测试流程

在企业环境中，构建有效的数据丢失防护（DLP）策略是防止敏感信息外泄的关键手段。首先应识别关键数据类型，例如信用卡号、身份证号码等，再结合内容特征、上下文环境或用户行为设定检测规则。

策略配置示例如下：

{
  "rule_name": "Detect Credit Card",
  "pattern": "^(?:\\d[ -]*?){13,16}$",
  "confidence_level": "high",
  "action": "block_and_alert"
}

该规则通过正则表达式匹配潜在的信用卡号码格式，在高置信度命中后触发阻断操作并发出告警通知。其中：

pattern

定义了对卡号格式的容错匹配逻辑，支持包含空格或短横线的输入形式，提高识别准确率。

DLP策略测试流程如下：

1. 准备包含命中与非命中样本的测试数据集
2. 模拟邮件发送、文件上传、剪贴板复制等典型数据外发行为
3. 验证系统是否能准确拦截违规操作并生成相应审计日志
4. 根据测试结果持续优化规则配置，避免误报影响正常业务运行

4.3 eDiscovery流程模拟与合规保留策略配置

在企业级数据治理实践中，eDiscovery流程模拟是验证合规策略有效性的关键环节。通过预设法律调查场景，可测试系统对特定数据集合的检索能力与响应效率。

合规保留策略配置要点：

• 邮件记录需保留7年，以满足金融行业监管要求
• 保留规则须明确指定数据类型、保留期限及适用对象范围

为满足内部审计要求，即时通讯日志将保留3年时间。所有删除操作必须经过双人审批机制，并同步记录操作日志，确保操作可追溯。

在合规性调查中，可通过PowerShell执行模拟eDiscovery查询，以检索特定通信内容。例如，以下命令用于创建一个名为 LegalCase_2023 的合规搜索任务，查找发件人为指定用户且邮件主题包含“contract”的相关记录。

New-ComplianceSearch -Name "LegalCase_2023" `
                     -ContentMatchQuery 'from:"user@company.com" AND subject:"contract"' `
                     -ExchangeLocation All

通过设置相关参数，确保该查询覆盖所有邮箱位置，包括主邮箱、归档邮箱及共享邮箱等，适用于全面的证据收集场景。

-ExchangeLocation All

4.4 风险用户与异常活动监控实战

实时行为分析策略

系统通过采集用户的登录频率、访问时间段以及IP地址的地理分布等多维度数据，建立正常行为基线模型。一旦检测到显著偏离常规的行为模式，如非工作时间频繁访问资源或短时间内跨地域连续登录，系统将自动触发安全告警。

规则引擎配置示例

如下规则设定：当某用户在5分钟内连续出现5次登录失败时，系统将其判定为高风险行为，并执行临时封禁措施。其中，window_seconds 参数定义了判断行为的时间窗口，而 block_action 决定是否启用自动阻断功能。

{
  "rule_name": "multiple_failed_logins",
  "condition": {
    "failed_attempts": 5,
    "window_seconds": 300,
    "block_action": true
  },
  "severity": "high"
}

监控指标可视化

监控指标	阈值	响应动作
每小时请求次数	>1000	发送告警
异地登录	出现	二次验证

第五章：60天学习计划总结与考试冲刺建议

知识体系整合策略

在备考最后两周，应重点将零散的知识点进行系统化串联。例如，结合网络配置、服务部署与安全策略开展综合实战演练。通过搭建完整的Web服务环境，验证DNS解析、防火墙规则与SSL证书配置之间的协同运行效果。

高频考点强化训练

需重点关注容器编排、日志分析及故障排查类题型。以下是典型的Kubernetes Pod调试命令示例：

# 检查Pod状态及事件
kubectl describe pod nginx-deployment-5f79b5d5d9-xz8n2
# 查看容器日志定位启动失败原因
kubectl logs nginx-deployment-5f79b5d5d9-xz8n2 --previous
# 进入容器执行网络连通性测试
kubectl exec -it nginx-deployment-5f79b5d5d9-xz8n2 -- sh

模拟考试时间管理

建议每周完成两套全真模拟试题，并严格控制答题时间。可参考以下时间分配策略：

题型	建议用时	应对策略
单选题	30分钟	优先排除明显错误选项
实操题	90分钟	先完成脚本编写再集中验证
案例分析	40分钟	按“问题定位→解决方案→验证步骤”结构作答

考前一周冲刺清单

• 重新梳理并重做所有错题，特别关注权限管理与SELinux相关知识点
• 熟记常用系统路径

/etc/systemd/system/

/var/log/journal/

• 整理并准备常用命令片段，提升实操环节的操作效率
• 调整作息时间，确保考试期间大脑处于最佳状态