Svar på en kompromitteret mailkonto

• Gælder for:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tip

Vidste du, at du kan prøve funktionerne i Microsoft Defender XDR til Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde sig og om prøvevilkår her.

Adgangen til Microsoft 365-postkasser, -data og andre tjenester styres af legitimationsoplysninger (f.eks. et brugernavn og en adgangskode eller pinkode). Når en anden end den tilsigtede bruger stjæler disse legitimationsoplysninger, anses den tilknyttede konto for at være kompromitteret.

Når en hacker stjæler legitimationsoplysningerne og får adgang til kontoen, kan vedkommende få adgang til den tilknyttede Microsoft 365-postkasse, SharePoint-mapper eller -filer i brugerens OneDrive. Personer med ondsindede hensigter bruger ofte den kompromitterede postkasse til at sende mail som den oprindelige bruger til modtagere i og uden for organisationen. Personer med ondsindede hensigter, der bruger mail til at sende data til eksterne modtagere, kaldes dataudfiltrering.

I denne artikel forklares symptomerne på kompromitteret konto, og hvordan du får kontrol over den kompromitterede konto igen.

Symptomer på en kompromitteret Microsoft-mailkonto

Brugerne bemærker og rapporterer muligvis usædvanlig aktivitet i deres Microsoft 365-postkasser. Det kan f.eks. være:

• Mistænkelig aktivitet, f.eks. manglende eller slettet mail.
• Brugere, der modtager mail fra den kompromitterede konto uden den tilsvarende mail i afsenderens mappe Sendt post .
• Indbakkeregler, der ikke blev oprettet af brugeren eller administratorerne. Disse regler kan automatisk videresende mails til ukendte adresser eller flytte meddelelser til mapperne Noter, Uønsket mail eller RSS-abonnementer .
• Brugerens viste navn ændres på den globale adresseliste.
• Brugerens postkasse er blokeret, så den ikke kan sende mail.
• Mapperne Sendt post eller Slettet post i Microsoft Outlook eller Outlook på internettet (tidligere kaldet Outlook Web App) indeholder typiske meddelelser om kompromitterede konti (f.eks. "Jeg sidder fast i London, sender penge.").
• Usædvanlige profilændringer. Det kan f.eks. være navn, telefonnummer eller postnummeropdateringer.
• Flere og hyppige adgangskodeændringer.
• Videresendelse af mail blev tilføjet for nylig.
• Der er for nylig tilføjet usædvanlige signaturer. For eksempel en falsk banksignatur eller en recept medikamentsignatur.

Hvis en bruger rapporterer disse symptomer eller andre usædvanlige symptomer, bør du undersøge det. Microsoft Defender-portalen og Azure Portal indeholder følgende værktøjer, der kan hjælpe dig med at undersøge mistænkelig aktivitet på en brugerkonto.

• Samlede overvågningslogge på Microsoft Defender portalen: Filtrer loggene for aktivitet ved hjælp af et datointerval, der starter umiddelbart før den mistænkelige aktivitet indtraf i dag. Filtrer ikke på bestemte aktiviteter under søgningen. Du kan få flere oplysninger i Søg overvågningsloggen.

• Microsoft Entra logonlogge og andre risikorapporter i Microsoft Entra-administrationscenter: Undersøg værdierne i disse kolonner:

  • Gennemse IP-adresse
  • logonplaceringer
  • logontider
  • Logon lykkedes eller mislykkedes

Vigtigt!

Med følgende knap kan du teste og identificere mistænkelig kontoaktivitet. Du kan bruge disse oplysninger til at gendanne en kompromitteret konto.

Kør test: Kompromitterede konti

Sikker og gendan mailfunktion til en kompromitteret Microsoft 365-konto og -postkasse

Selv efter at brugeren har fået adgang til sin konto igen, har hackeren muligvis efterladt back-door-poster, der gør det muligt for hackeren at genoptage kontrollen over kontoen.

Gør alle følgende trin for at få kontrol over kontoen igen. Gennemgå trinnene, så snart du har mistanke om et problem, og så hurtigt som muligt for at sikre, at hackeren ikke genoptager kontrollen over kontoen. Disse trin hjælper dig også med at fjerne eventuelle bagdørsposter, som hackeren kan have føjet til kontoen. Når du har udført disse trin, anbefaler vi, at du kører en virusscanning for at sikre, at klientcomputeren ikke kompromitteres.

Trin 1: Nulstil brugerens adgangskode

Følg procedurerne i Nulstil en virksomhedsadgangskode for en person.

Vigtigt!

• Send ikke den nye adgangskode til brugeren via mail, fordi hackeren stadig har adgang til postkassen på nuværende tidspunkt.

• Sørg for at bruge en stærk adgangskode: store og små bogstaver, mindst ét tal og mindst ét specialtegn.

• Selvom kravet om adgangskodehistorik tillader det, skal du ikke genbruge nogen af de sidste fem adgangskoder. Brug en entydig adgangskode, som hackeren ikke kan gætte.

• Hvis identiteten i det lokale miljø er sammenkædet med Microsoft 365, skal du ændre adgangskoden til kontoen i det lokale miljø og derefter underrette administratoren om kompromiset.

• Sørg for at opdatere appadgangskoder. Appadgangskoder tilbagekaldes ikke automatisk, når du nulstiller adgangskoden. Brugeren skal slette eksisterende appadgangskoder og oprette nye. Du kan finde instruktioner under Administrer appadgangskoder for at få bekræftet to trin.

• Vi anbefaler på det kraftigste, at du aktiverer multifaktorgodkendelse for kontoen. MFA er en god måde at hjælpe med at forhindre, at kontoen kompromitteres, og det er meget vigtigt for konti med administrative rettigheder. Du kan finde instruktioner under Konfigurer multifaktorgodkendelse.

Trin 2: Fjern mistænkelige mailadresser til videresendelse af mail

1. I Microsoft 365 Administration på https://admin.microsoft.comskal du gå til Brugere>Aktive brugere. Du kan også gå direkte til siden Aktive brugere ved at bruge https://admin.microsoft.com/Adminportal/Home#/users.

2. Find brugerkontoen på siden Aktive brugere , og vælg den ved at klikke et vilkårligt sted i rækken ud for afkrydsningsfeltet ud for navnet.

3. I det pop op-vindue med detaljer, der åbnes, skal du vælge fanen Mail .

4. Værdien Anvendt i afsnittet Videresendelse af mail angiver, at videresendelse af mail er konfigureret på kontoen.

   Vælg Administrer videresendelse af mail, fjern markeringen i afkrydsningsfeltet Videresend alle mails, der er sendt til denne postkasse i pop op-vinduet Administrer videresendelse af mail , der åbnes, og vælg derefter Gem ændringer.

Trin 3: Deaktiver mistænkelige indbakkeregler

1. Log på brugerens postkasse ved hjælp af Outlook på internettet.

2. Vælg Indstillinger (tandhjulsikon), angiv "regler" i feltet Søg, og vælg derefter Indbakkeregler i resultaterne.

3. På fanen Regler i det pop op-vindue, der åbnes, skal du gennemse de eksisterende regler og deaktivere eller slette eventuelle mistænkelige regler.

Trin 4: Fjern blokeringen af brugeren fra at sende mail

Hvis kontoen blev brugt til at sende spam eller en stor mængde mail, er det sandsynligt, at postkassen er blevet blokeret fra at sende mails.

Hvis du vil fjerne blokeringen af en postkasse fra at sende mail, skal du følge procedurerne i Fjern blokerede brugere fra siden Begrænsede enheder.

Trin 5 Valgfrit: Bloker brugerkontoen fra at logge på

Vigtigt!

Du kan blokere kontoen fra at logge på, indtil du mener, at det er sikkert at aktivere adgangen igen.

1. Benyt følgende fremgangsmåde i Microsoft 365 Administration på https://admin.microsoft.com:

   1. Gå til Brugere>Aktive brugere. Du kan også gå direkte til siden Aktive brugere ved at bruge https://admin.microsoft.com/Adminportal/Home#/users.
   2. På siden Aktive brugere skal du finde og vælge brugerkontoen på listen ved at gøre et af følgende trin:
      • Markér brugeren ved at klikke et vilkårligt sted i rækken ud for navnet. I pop op-vinduet med detaljer, der åbnes, skal du vælge Bloker logon øverst i pop op-vinduet.
      • Vælg brugeren ved at markere afkrydsningsfeltet ud for navnet. Vælg Flere handlinger>Rediger logonstatus.
   3. I pop op-vinduet Bloker logon , der åbnes, skal du læse oplysningerne, vælge Bloker denne bruger fra at logge på, vælge Gem ændringer og derefter vælge Luk øverst i pop op-vinduet.

2. Benyt følgende fremgangsmåde i Exchange Administration (EAC) på https://admin.exchange.microsoft.com:

   1. Gå til Modtageres>postkasser. Du kan også gå direkte til siden Postkasser ved at bruge https://admin.exchange.microsoft.com/#/mailboxes.
   2. Find og vælg brugeren på listen på siden Postkasser ved at gøre et af følgende trin:
      • Markér brugeren ved at klikke et andet sted i rækken end det runde afkrydsningsfelt, der vises ud for navnet.
      • Markér brugeren ved at markere afkrydsningsfeltet Afrunde, der vises ud for navnet, og vælg derefter handlingen Rediger , der vises på siden.
   3. I pop op-vinduet med detaljer, der åbnes, skal du gøre følgende:

      1. Kontrollér, at fanen Generelt er valgt, og vælg derefter Administrer indstillinger for mailapps i afsnittet Mailapps & mobilenheder .

      2. I pop op-vinduet Administrer indstillinger for mailapps , der åbnes, skal du deaktivere alle de tilgængelige indstillinger ved at ændre til/fra-knappen til Deaktiveret:

         • Outlook Desktop (MAPI)
         • Exchange-webtjenester
         • Mobil (Exchange ActiveSync)
         • IMAP
         • POP3
         • Outlook på internettet

         Når du er færdig i pop op-vinduet Administrer indstillinger for mailapps , skal du vælge Gem og derefter vælge Luk øverst i pop op-vinduet.

Trin 6 Valgfrit: Fjern den formodede kompromitterede konto fra alle administrative rollegrupper

Bemærk!

Du kan gendanne brugerens medlemskab i administrative rollegrupper, når kontoen er blevet beskyttet.

1. Benyt følgende fremgangsmåde i Microsoft 365 Administration på https://admin.microsoft.com:

   1. Gå til Brugere>Aktive brugere. Du kan også gå direkte til siden Aktive brugere ved at bruge https://admin.microsoft.com/Adminportal/Home#/users.

   2. På siden Aktive brugere skal du finde og vælge brugerkontoen på listen ved at gøre et af følgende trin:

      • Markér brugeren ved at klikke et vilkårligt sted i rækken ud for navnet. I pop op-vinduet med detaljer, der åbnes, skal du kontrollere, at fanen Konto er valgt, og derefter vælge Administrer roller i afsnittet Roller .
      • Vælg brugeren ved at markere afkrydsningsfeltet ud for navnet. Vælg Flere handlinger>Administrer roller.

   3. I pop op-vinduet Administrer administratorroller , der åbnes, skal du gøre følgende:

      • Registrer de oplysninger, du vil gendanne senere.
      • Fjern medlemskab af administrativ rolle ved at vælge Bruger (ingen adgang til Administration).

      Når du er færdig i pop op-vinduet Administrer administratorroller , skal du vælge Gem ændringer.

2. Benyt følgende fremgangsmåde i Microsoft Defender-portalen på https://security.microsoft.com:

   1. Gå til Mail med tilladelser>& samarbejdsroller>. Du kan også gå direkte til siden Tilladelser ved at bruge https://security.microsoft.com/emailandcollabpermissions.
   2. Vælg en rollegruppe på listen på siden Tilladelser .
   3. Se efter brugerkontoen i afsnittet Medlemmer i pop op-vinduet med detaljer, der åbnes. Hvis rollegruppen indeholder brugerkontoen, skal du gøre følgende:
      1. I afsnittet Medlemmer skal du vælge Rediger.
      2. På fanen Vælg medlemmer i det pop op-vindue, der åbnes, skal du vælge Rediger.
      3. I pop op-vinduet Vælg medlemmer , der åbnes, skal du vælge Fjern.
      4. I afsnittet Medlemmer , der vises, skal du vælge brugerkontoen ved at markere afkrydsningsfeltet ud for navnet, vælge Fjern og derefter vælge Udført.
      5. I pop op-vinduet Redigering Vælg medlemmer skal du vælge Gem.
      6. I pop op-vinduet med oplysninger om rollegruppen skal du vælge Luk.
   4. Gentag de forrige trin for hver rollegruppe på listen.

3. Gør følgende i Exchange Administration på https://admin.exchange.microsoft.com/:

   1. Gå til Roller>Administration roller. Du kan også gå direkte til siden med Administration roller ved at bruge https://admin.exchange.microsoft.com/#/adminRoles.

   2. På siden Administration roller skal du vælge en rollegruppe på listen ved at klikke et andet sted i rækken end det runde afkrydsningsfelt, der vises ud for navnet.

   3. I pop op-vinduet med detaljer, der åbnes, skal du vælge fanen Tildelt og derefter søge efter brugerkontoen. Hvis rollegruppen indeholder brugerkontoen, skal du gøre følgende:

      1. Vælg brugerkontoen.
      2. Vælg handlingen Slet, der vises, vælg Ja, fjern i advarselsdialogboksen, og vælg derefter Luk øverst i pop op-vinduet.

   4. Gentag de forrige trin for hver rollegruppe på listen.

Trin 7 Valgfrit: Yderligere forholdsregler

1. Kontrollér indholdet af mappen Sendt post for kontoen i Outlook eller Outlook på internettet.

   Du skal muligvis informere personer på listen over kontakter om, at din konto er blevet kompromitteret. Hackeren kan f.eks. have sendt meddelelser, der beder dine kontakter om penge, eller hackeren kan have sendt en virus for at kapre deres computere.

2. Kontiene for alle andre tjenester, der bruger denne konto som en alternativ mailkonto, kan også være blevet kompromitteret. Når du har gjort trinnene i denne artikel for kontoen i denne Microsoft 365-organisation, skal du udføre disse trin for dine andre konti.

3. Kontrollér kontaktoplysningerne (f.eks. telefonnumre og adresser) for kontoen.

Se også

• Registrer og afhjælp Outlook-regler og brugerdefinerede Forms injektionsangreb i Microsoft 365
• Tilskuddet til registrering og afhjælpning af ulovligt samtykke
• Internet Crime Complaint Center
• Securities and Exchange Commission – "Phishing" Fraud
• Sådan rapporterer du spammail direkte til Microsoft og din administrator Ved hjælp af tilføjelsesprogrammet Rapportmeddelelse