Rikolliset kalastelevat Microsoft 365 -tunnuksia aktiivisesti ja tietojenkalastelulla saatujen käyttäjätunnusten ja salasanojen avulla rikollisten on mahdollista murtautua M365-tilille. Tähän ohjeeseen olemme keränneet neuvoja, kuinka suojata yrityksen Microsoft 365 -palveluja paremmin.
Käykää organisaatiossanne lista läpi ja tehkää suunnitelma, kuinka otatte suojaukset käyttöön. Esimerkiksi monivaiheisen tunnistautumisen (Multifactor Authenticator, MFA) käyttöönoton voi tehdä vaiheittain. Valmistelkaa ja suunnitelkaa muutos hyvin, ja ohjeistakaa myös käyttäjiä.
Nämä ohjeet ovat Microsoft 365 Business Basic, Microsoft 365 Business Standard ja Microsoft 365 Business Premium -tilauksille. Alla mainitut muutokset eivät vaadi Microsoftin lisätuotteita tai lisenssejä.
Microsoft 365 -suojauksia tietomurtoja vastaan
- Ottakaa käyttöön oletussuojausasetukset ja monivaiheinen tunnistautuminen Microsoft 365 -tenantissanne.
- Lisätkää ja tarkistakaa monivaiheinen tunnistautuminen käyttäjätunnuksille ja järjestelmänvalvojille.
- Luokaa järjestelmänvalvojalle "kassakaappitunnus". Hätätilanteita varten on hyvä olla tunnus, jota ei käytetä muutoin kuin tilanteessa, jolloin kukaan muu ei voi kirjautua Microsoft 365 -palveluihisi.
- Ottakaa käyttöön valvontalokit. Lokin avulla saatte paremman näkyvyyden mahdolliseen tietomurtoon. Lokitiedon avulla voi jäljittää, milloin, mitä ja ehkä jopa miten tietomurto tapahtui.
- Tarkistakaa, onko hälytykset otettu käyttöön. Hälytysten avulla saa paremman näkyvyyden käyttäjien ja järjestelmänvalvojan toiminnoista, sekä varoituksia uhista tai tietojen katoamistapauksista.
SharePoint online -, OneDrive for Business - ja Teams-suojauksia
- Estäkää vierailijaa lähettämästä kutsu toiselle vierailijalle omaan Microsoft 365 -ympäristöönne. Kutsun lähettämisen tulisi olla mahdollista vain organisaatiosta.
- Sallikaa OneDrive for Business ja Sharepoint-tiedostojen synkronointi vain toimialueeseenne liitettyihin tietokoneisiin.
- Voitte määrittää Sharepointin ja OneDrive-jakamiseen rajoituksia esimerkiksi niin, että vierailijan tulee kirjautua tai antaa vahvistuskoodi.
- Vaatikaa SharePointissa vahvaa todennusta kolmannen osapuolen sovelluksilta. Ilman monivaiheista tunnistautumista ei pitäisi voida käyttää kolmannen osapuolen sovellusta.
- Estäkää anonyymien käyttäjien liittyminen Teams-kokoukseen. Näin kutsulinkin saaneiden pitää kirjautua liittyäkseen Teams-kokouksen.
- Estäkää kolmannen osapuolen sovellukset Teamsissa. Tämän voi tehdä niin, että tenantin pääkäyttäjä tarkistaa sovelluksien toiminnallisuudet, ennen kuin se on asennettuna Microsoft-tenanttiin.
Exchange Online -palvelimen suojauksia
- Lisätkää sähköpostiinne SPF-, DKIM- ja DMARC-todennusmenetelmät. SPF-arvo on jo määritelty, koska Microsoft 365 on sen vaatinut, mutta lisää myös DKIM. SPF:n, DKIM:n ja DMARC:n tietojen avulla voidaan varmistaa, että lähettämäsi sähköviesti on aito, eikä se silloin saa niin helposti roskapostileimaa.
- Estäkää jaettuun postilaatikkoon kirjautuminen. Myöntäkää vain tarvittaville henkilöille oikeudet jaettuun sähköpostilaatikkoon.
- Luokaa sääntö, jolla estetään viestien lähetys edelleen ulkoiseen sähköpostiosoitteeseen. Näin tietomurron tapahtuessa hyökkääjä ei pysty käyttämään automaattista viestien edelleenlähetystoimintoa omaan sähköpostiinsa.
- Lisätkää tagi-merkintä tai muu huomio organisaation ulkopuolelta tulleisiin sähköposteihin. Näin sähköpostiviestin vastaanottaja huomaa helpommin huijausviestit.
- Ottakaa käyttöön esiasetetut suojauskäytännöt Exchange Onlinessa. Nämä suojausmallit sisältävät käytäntöjä Exchange Online -ympäristösi suojaamiseksi viimeisimmiltä hyökkäystrendeiltä.
Yleisiä Microsoft 365 ja Azure -palveluiden suojauksia
- Lisää yrityksesi logo tai muu brändikuva kirjautumissivulle. Tietojenkalastelun yhteydessä saattaa olla perusmuotoinen Microsoftin kirjautumisikkuna eikä yrityksenne brändikuva, jolloin voi herätä kysymys, mihin käyttäjä onkaan kirjautumassa.
- Pohtikaa salasanapolitiikkaa. Määrittäkää, kuinka pitkä salasanan tulee olla, sekä kuinka monta erikoismerkkiä vaaditaan, ja kuinka usein se on vaihdettava.
- Määrittäkää roolipohjaiset oikeudet (Role-Based Access Control, RBAC) järjestelmänvalvojille.
- Estäkää käyttäjien mahdollisuus myöntää sovelluksille oikeuksia. Asentuessaan sovellus voi pyytää oikeudet lukea käyttäjän profiilia sekä lähettää sähköpostia käyttäjien puolesta. Sovellus voi myös pyytää oikeudet tiedostoihin, joita käyttäjä voi käyttää. Tämän voi pääkäyttäjä käydä tarkistamassa ja hyväksymässä, jos oikeudet ovat kohtuulliset.
- Ottakaa käyttöön Azure Portalin istunnolle aikarajoite. Jos Azure-portaalin selainikkuna jää auki käyttäjältä, hänet kirjataan tietyn ajan kuluttua ulos automaattisesti.
- Estäkää käyttäjän tunnuksella pääsy Azure Administrointi portaliin.
- Tarkistakaa, onko hälytykset otettu käyttöön. Hälytysten avulla saatte paremman näkyvyyden käyttäjien ja järjestelmänvalvojan toiminnoista ja varoituksia uhista tai tietojen katoamistapauksista.