Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Valikko

Näin suojaat Microsoft 365 -palvelusi

Yritys, jos teillä on käytössä Microsoft 365, otattehan nämä suojaukset käyttöösi. Microsoft 365 -tunnuksien kalastelu on ollut aktiivista alkuvuoden ajan. Rikollisille Microsoft 365 -tunnusten kalastelu on ollut kohtuullisen helppoa, varsinkin jos kaksivaiheinen tunnistautuminen ei ole ollut käytössä. Tähän ohjeeseen olemme keränneet vinkkejä, kuinka suojata yrityksen Microsoft 365 -palveluja paremmin.

Käykää organisaatiossanne lista läpi ja tehkää suunnitelma, kuinka otatte käyttöön suojaukset. Esimerkiksi kaksivaiheisen tunnistautumisen (Multifactor Authenticator, MFA) käyttöönoton voi tehdä vaiheittain. Valmistelkaa ja suunnitelkaa muutos hyvin, sekä ohjeistakaa myös käyttäjiä.

Nämä ohjeet ovat Microsoft 365 Business Basic, Microsoft 365 Business Standard ja Microsoft 365 Business Premium -tilauksille. Alla mainitut muutokset eivät vaadi Microsoftin lisätuotteita tai lisenssejä.

Microsoft 365 -suojauksia tietomurtoja vastaan

1.    Ottakaa käyttöön oletussuojausasetukset kaksivaiheisen tunnistautumisen Microsoft 365 -tenantissasi.

2.    Lisätkää ja tarkistakaa kaksivaiheinen tunnistautuminen käyttäjätunnuksille ja järjestelmänvalvojille. 

3.    Luokaa "kassakaappi" järjestelmänvalvojan tunnus. Hätätilanteita varten on hyvä olla tunnus, jota ei käytetä muutoin kuin tilanteessa, jolloin kukaan muu ei voi kirjautua Microsoft 365 -palveluihisi.

4.    Ottakaa käyttöön valvontalokit. Lokin avulla saa paremmin näkyvyyttä siihen, jos tapahtuu tietomurto. Lokitiedon avulla voi jäljittää, milloin, mitä ja ehkä jopa miten tietomurto tapahtui.

5.    Tarkistakaa, onko hälytykset otettu käyttöön. Hälytysten avulla saa paremman näkyvyyden käyttäjien ja järjestelmänvalvojan toiminnoista, sekä varoituksia uhista tai tietojen katoamistapauksista.

SharePoint online -, OneDrive for Business - ja Teams-suojauksia

6.    Estäkää vierailijaa lähettämästä kutsu toiselle vierailijalle teidän Microsoft 365 -ympäristöön. Kutsun lähettämisen tulisi olla mahdollista vain organisaatiosta.

7.    Sallikaa OneDrive for Business ja Sharepoint-tiedostojen synkronointi vain toimialueeseenne liitettyihin tietokoneisiin.

8.    Voitte määrittää Sharepointin ja OneDrive-jakamiseen rajoituksia, esimerkiksi niin, että vierailijan tulee kirjautua tai antaa vahvistuskoodi.

9.    Vaatikaa SharePointissa vahvaa todennusta kolmannen osapuolen sovelluksilta. Ilman kaksivaiheista tunnistautumista ei pitäisi voida käyttää kolmannen osapuolen sovellusta.

10.    Estäkää anonyymien käyttäjien liittyminen Teams-kokoukseen. Näin kutsulinkin saaneiden pitää kirjautua liittyäkseen Teams-kokouksen.

11.    Estäkää kolmannen osapuolen sovellukset Teamsissa. Tämän voi tehdä niin, että tenantin pääkäyttäjä tarkistaa sovelluksien toiminnallisuudet, ennen kuin se on asennettuna Microsoft-tenanttiin.

Exchange Online -palvelimen suojauksia

12.    Lisätkää sähköpostiinne SPF-, DKIM- ja DMARC-todennusmenetelmät. SPF-arvo on jo määritelty, koska Microsoft 365 on vaatinut sen jo, mutta lisää myös DKIM. SPF:n, DKIM:n ja DMARC:n tietojen avulla voidaan varmistaa, että lähettämäsi sähköviesti on aito, eikä se silloin saa niin helposti roskapostileimaa.

13.    Estäkää jaettuun postilaatikkoon kirjautuminen. Myöntäkää henkilöille oikeudet jaettuun sähköpostilaatikkoon.

14.    Luokaa sääntö, jolla estetään viestien lähetyksen edelleen ulkoiseen sähköpostiosoitteeseen. Näin tietomurron tapahtuessa hyökkääjä ei pysty käyttämään automaattista viestien edelleen lähetystoimintoa omaan sähköpostiinsa.

15.    Lisätkää tagi-merkintä tai muu huomio organisaation ulkopuolelta tulleisiin sähköposteihin. Näin sähköpostiviestin vastaanottaja huomaa helpommin huijausviestit.

16.    Ottakaa käyttöön esiasetetut suojauskäytännöt Exchange Onlinessa. Nämä suojausmallit sisältävät käytäntöjä Exchange Online -ympäristösi suojaamiseksi viimeisimmiltä hyökkäystrendeiltä.

Yleisiä Microsoft 365 ja Azure -palveluiden suojauksia

17.    Lisää yrityksesi logo tai muu brändikuva kirjautumissivulle. Tietojenkalastelun yhteydessä saattaa olla perusmuotoinen Microsoftin kirjautumisikkuna eikä yrityksenne brändikuva, jolloin voi herätä kysymys, mihin käyttäjä onkaan kirjautumassa.

18.    Pohtikaa salasanapolitiikkaa. Määrittäkää, kuinka pitkä salasanan tulee olla, sekä kuinka monta erikoismerkkiä vaaditaan, ja kuinka usein se on vaihdettava.

19.    Määrittäkää roolipohjaiset oikeudet (Role-Based Access Control, RBAC) järjestelmänvalvojille. 

20.    Estäkää käyttäjien mahdollisuus myöntää sovelluksille oikeuksia. Asentuessaan sovellus voi pyytää lukea käyttäjän profiilia, lähettää sähköpostia käyttäjien puolesta. Sovellus voi myös pyytää täyttä pääsyä tiedostoihin, joita käyttäjä voi käyttää. Tämän voi pääkäyttäjä käydä tarkistamassa ja hyväksymässä, jos oikeudet ovat kohtuulliset. 

21.    Ottakaa käyttöön Azure Portalin istunnolle aikarajoite. Jos Azure-portaalin selainikkuna jää auki käyttäjältä, hänet kirjataan tietyn ajan kuluttua ulos automaattisesti.

22.    Estäkää käyttäjän tunnuksella pääsy Azure Administrointi portaliin. 

23.    Tarkistakaa, onko hälytykset otettu käyttöön. Hälytysten avulla saa paremman näkyvyyden käyttäjien ja järjestelmänvalvojan toiminnoista ja varoituksia uhista tai tietojen katoamistapauksista.
 

Päivitetty