Las 10 formas principales de proteger Microsoft 365 planes empresariales
Si es una organización pequeña o mediana que usa uno de los planes de negocio de Microsoft y su tipo de organización está dirigida por cibercriminales y hackers, use las instrucciones de este artículo para aumentar la seguridad de su organización. Esta guía ayuda a su organización a lograr los objetivos descritos en el Manual de la campaña de ciberseguridad de la Escuela Kennedy deHarvard.
Watch: Overview of security
Microsoft 365 Empresa Premium proporciona características de protección contra amenazas, protección de datos y administración de dispositivos para ayudarle a proteger su empresa de las amenazas en línea y el acceso no autorizado, así como proteger y administrar los datos de la empresa en sus teléfonos, tabletas y equipos.
Completar tareas de seguridad principales
Microsoft recomienda completar las tareas enumeradas en la tabla siguiente que se aplican al plan de servicio.
Si tiene Microsoft Empresa Premium, la forma más rápida de configurar la seguridad y empezar a colaborar de forma segura es seguir las instrucciones de esta biblioteca: Microsoft 365 para empresas y campañas pequeñas. Esta guía se desarrolló en asociación con el equipo de Microsoft Defending Democracy para proteger a todos los clientes de pequeñas empresas contra ciberamenazas lanzadas por sofisticados hackers.
Antes de empezar, compruebe el Microsoft 365 puntuación segura en el portal de Microsoft 365 Defender. Desde un panel centralizado, puede supervisar y mejorar la seguridad de su Microsoft 365 identidades, datos, aplicaciones, dispositivos e infraestructura. Se le dan puntos para configurar las características de seguridad recomendadas, realizar tareas relacionadas con la seguridad (como ver informes) o abordar recomendaciones con una aplicación o software de terceros. Con información adicional y más visibilidad de un conjunto más amplio de productos y servicios de Microsoft, puede tener confianza en los informes sobre el estado de seguridad de su organización.
1: Configurar la autenticación multifactor
El uso de la autenticación multifactor es una de las formas más sencillas y eficaces de aumentar la seguridad de la organización. Es más fácil de lo que parece: al iniciar sesión, la autenticación multifactor significa que escribirás un código desde el teléfono para obtener acceso a Microsoft 365. Esto puede impedir que los piratas informáticos se alopen si conocen tu contraseña. La autenticación multifactor también se denomina verificación de 2 pasos. Los individuos pueden agregar la comprobación de 2 pasos a la mayoría de las cuentas fácilmente, por ejemplo, a sus cuentas de Google o Microsoft. Este es el procedimiento para agregar la comprobación en dos pasos a su cuenta personal de Microsoft.
Para las empresas que usan Microsoft 365, agregue una configuración que requiera que los usuarios inicien sesión con la autenticación multifactor. Al realizar este cambio, se pedirá a los usuarios que configuren su teléfono para la autenticación en dos fases la próxima vez que inicien sesión. Para ver un vídeo de aprendizaje sobre cómo configurar MFA y cómo los usuarios completan la configuración, consulte Configurar MFA y configurar el usuario.
Para configurar la autenticación multifactor, activa los valores predeterminados de seguridad:
En la mayoría de las organizaciones, los valores predeterminados de seguridad ofrecen un buen nivel de seguridad adicional de inicio de sesión. Para obtener más información, vea ¿Qué son los valores predeterminados de seguridad?
Si la suscripción es nueva, es posible que los valores predeterminados de seguridad ya estén activados automáticamente.
Puede habilitar o deshabilitar los valores predeterminados de seguridad en el panel Propiedades de Azure Active Directory (Azure AD) en Azure Portal.
- Inicie sesión en el centro de administración de Microsoft 365 con credenciales de administrador global.
- En el panel de navegación izquierdo, elija Mostrar todo y, en Centros de administración, elija Azure Active Directory.
- En el Centro de administración de Azure Active Directory elija Azure Active Directory > Propiedades.
- En la parte inferior de la página, elija Administrar los valores predeterminados de seguridad.
- Elija Sí para habilitar los valores predeterminados de seguridad y No para deshabilitar los valores predeterminados de seguridad; a continuación, elija Guardar.
Después de configurar la autenticación multifactor para la organización, los usuarios tendrán que configurar la comprobación en dos pasos en sus dispositivos. Para obtener más información, vea Set up 2-step verification for Microsoft 365.
Para obtener información completa y recomendaciones completas, consulte Configurar la autenticación multifactor para los usuarios.
2: Entrenar a los usuarios
El Manual de la campaña de ciberseguridad de la Escuela Kennedy de Harvard proporciona excelentes instrucciones para establecer una cultura sólida de concienciación de seguridad en su organización, incluida la formación de los usuarios para identificar los ataques de suplantación de identidad.
Además de esta guía, Microsoft recomienda que los usuarios tomen las acciones descritas en este artículo: Proteger su cuenta y dispositivos de los piratas informáticos y malware. Entre estas acciones se incluyen:
Uso de contraseñas seguras
Protección de dispositivos
Habilitar características de seguridad en equipos Windows 10 y Mac
Microsoft también recomienda a los usuarios proteger sus cuentas de correo electrónico personales mediante las acciones recomendadas en los siguientes artículos:
3: Usar cuentas de administrador dedicadas
Las cuentas administrativas que usa para administrar el entorno Microsoft 365 incluyen privilegios elevados. Estos son objetivos valiosos para los hackers y los cibercriminales. Use cuentas de administrador solo para la administración. Los administradores deben tener una cuenta de usuario independiente para un uso normal y no administrativo y usar solo su cuenta administrativa cuando sea necesario para completar una tarea asociada a su función de trabajo. Recomendaciones adicionales:
Asegúrese de que las cuentas de administración también están configuradas para la autenticación multifactor.
Antes de usar cuentas de administrador, cierre todas las aplicaciones y sesiones de explorador no relacionadas, incluidas las cuentas de correo electrónico personales.
Después de completar las tareas de administración, asegúrese de cerrar la sesión del explorador.
4: Aumentar el nivel de protección contra malware en el correo
El Microsoft 365 incluye protección contra malware, pero puede aumentar esta protección bloqueando los datos adjuntos con tipos de archivo que se usan habitualmente para malware. Para proteger contra malware en el correo electrónico, vea un breve vídeo de aprendizajeo siga estos pasos:
Ve a https://protection.office.com e inicia sesión con las credenciales de tu cuenta de administrador.
En el Centro de & cumplimiento, en el panel de navegación izquierdo, en Administración de amenazas, elija Directiva > antimalware.
Haga doble clic en la directiva predeterminada para editar esta directiva en toda la empresa.
Seleccione Configuración.
En Filtro de tipos de datos adjuntos comunes, seleccione En. Los tipos de archivo bloqueados se enumeran en la ventana directamente debajo de este control. Puede agregar o eliminar tipos de archivo más adelante, si es necesario.
Seleccione Guardar.
Para obtener más información, vea Protección contra malware en EOP.
5: Proteger contra ransomware
Ransomware restringe el acceso a los datos mediante el cifrado de archivos o el bloqueo de pantallas del equipo. A continuación, intenta extorsionar dinero a las víctimas pidiendo "rescate", normalmente en forma de criptodivisas como Bitcoin, a cambio del acceso a los datos.
Puede protegerse contra ransomware creando una o más reglas de flujo de correo para bloquear las extensiones de archivo que se usan habitualmente para ransomware, o para advertir a los usuarios que reciben estos datos adjuntos en el correo electrónico. Un buen punto de partida es crear dos reglas:
Advertir a los usuarios antes de abrir Office archivos adjuntos que incluyen macros. El ransomware se puede ocultar dentro de macros, por lo que le avisaremos a los usuarios que no abran estos archivos de personas que no conocen.
Bloquear tipos de archivo que podrían contener ransomware u otro código malintencionado. Empezaremos con una lista común de ejecutables (que se muestra en la tabla siguiente). Si su organización usa cualquiera de estos tipos ejecutables y espera que se envíen por correo electrónico, agrégrelos a la regla anterior (advierto a los usuarios).
Para crear una regla de transporte de correo, vea un breve vídeo de aprendizajeo siga estos pasos:
Vaya al Centro de administración de Exchange.
En la categoría flujo de correo, seleccione reglas.
Seleccione + y, a continuación, Cree una nueva regla.
Seleccione **** en la parte inferior del cuadro de diálogo para ver el conjunto completo de opciones.
Aplique la configuración de la tabla siguiente para cada regla. Deje el resto de la configuración en el valor predeterminado, a menos que desee cambiar estos valores.
Seleccione Guardar.
| Setting | Advertir a los usuarios antes de abrir datos adjuntos Office archivos | Bloquear tipos de archivo que podrían contener ransomware u otro código malintencionado |
|---|---|---|
| Nombre |
Regla anti ransomware: advertir a los usuarios |
Regla anti ransomware: bloquear tipos de archivo |
| Aplique esta regla si . . . |
Cualquier dato adjunto . . . extensión de archivo coincide con . . . |
Cualquier dato adjunto . . . extensión de archivo coincide con . . . |
| Especificar palabras o frases |
Agregue estos tipos de archivo: dotm, docm, xlsm, sltm, xla, xlam, xll, pptm, potm, ppam, ppsm, sldm |
Agregue estos tipos de archivo: ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsf, wsh, exe, pif |
| Haga lo siguiente. . . |
Anteponer un aviso de declinación de responsabilidades |
Bloquear el mensaje . . . rechazar el mensaje e incluir una explicación |
| Proporcionar texto del mensaje |
No abra estos tipos de archivos,a menos que los esperara, porque los archivos pueden contener código malintencionado y saber que el remitente no es una garantía de seguridad. |
Sugerencia
También puede agregar los archivos que desea bloquear a la lista Antimalware en el paso 4.
Para más información, vea:
6: Detener el reenvío automático de correo electrónico
Los hackers que obtienen acceso al buzón de un usuario pueden filtrar el correo configurando el buzón para reenviar automáticamente el correo electrónico. Esto puede ocurrir incluso sin el reconocimiento del usuario. Puede evitar que esto suceda configurando una regla de flujo de correo.
Para crear una regla de transporte de correo:
Vaya al Centro de administración de Exchange.
En la categoría flujo de correo, seleccione reglas.
Seleccione + y, a continuación, Cree una nueva regla.
Seleccione Más opciones en la parte inferior del cuadro de diálogo para ver el conjunto completo de opciones.
Aplique la configuración en la tabla siguiente. Deje el resto de la configuración en el valor predeterminado, a menos que desee cambiar estos valores.
Seleccione Guardar.
| Setting | Rechazar mensajes de correo electrónico de reenvío automático a dominios externos |
|---|---|
| Nombre | Impedir el reenvío automático de correo electrónico a dominios externos |
| Aplicar esta regla si ... | El remitente . . . es externo/interno . . . Dentro de la organización |
| Agregar condición | El destinatario . . . es externo/interno . . . Fuera de la organización |
| Agregar condición | Las propiedades del mensaje . . . incluir el tipo de mensaje . . . Reenvío automático |
| Haga lo siguiente... | Bloquear el mensaje . . . rechazar el mensaje e incluir una explicación. |
| Proporcionar texto del mensaje | El reenvío automático de correo electrónico fuera de esta organización se impide por motivos de seguridad. |
7: Usar Office cifrado de mensajes
Office cifrado de mensajes se incluye con Microsoft 365. Ya está configurado. Con Office cifrado de mensajes, la organización puede enviar y recibir mensajes de correo electrónico cifrados entre personas dentro y fuera de la organización. El Cifrado de mensajes de Office 365 funciona con Outlook.com, Yahoo!, Gmail y otros servicios de correo electrónico. El cifrado de mensajes de correo electrónico ayuda a garantizar que solo los destinatarios previstos puedan ver el contenido del mensaje.
Office cifrado de mensajes proporciona dos opciones de protección al enviar correo:
No reenviar
Cifrar
Es posible que la organización haya configurado opciones adicionales que aplican una etiqueta al correo electrónico, como Confidencial.
Para enviar correo electrónico protegido
En Outlook para PC, seleccione Opciones en el correo electrónico y, a continuación, elija Permisos.
En Outlook.com, seleccione Proteger en el correo electrónico. La protección predeterminada es No reenviar. Para cambiar esto para cifrar, seleccione Cambiar permisos > Cifrar.
Para recibir correo electrónico cifrado
Si el destinatario tiene Outlook 2013 o Outlook 2016 y una cuenta de correo electrónico de Microsoft, verán una alerta sobre los permisos restringidos del elemento en el panel Lectura. Después de abrir el mensaje, el destinatario puede ver el mensaje como cualquier otro.
Si el destinatario usa otro cliente de correo electrónico o cuenta de correo electrónico, como Gmail o Yahoo, verá un vínculo que le permite iniciar sesión para leer el mensaje de correo electrónico o solicitar un código de acceso único para ver el mensaje en un explorador web. Si los usuarios no reciben el correo electrónico, haga que comprueben su carpeta Correo no deseado o no deseado.
Para obtener más información, vea Enviar, ver yresponder a mensajes cifrados en Outlook para PC .
8. Proteger el correo electrónico de ataques de suplantación de identidad
Si ha configurado uno o varios dominios personalizados para su entorno Microsoft 365, puede configurar la protección contra suplantación de identidad dirigida. La protección contra la suplantación de identidad (phishing), una parte de Microsoft Defender para Office 365, puede ayudar a proteger su organización de ataques de suplantación de identidad malintencionados y otros ataques de suplantación de identidad. Si no ha configurado un dominio personalizado, no es necesario hacerlo.
Se recomienda empezar a usar esta protección mediante la creación de una directiva para proteger a los usuarios más importantes y al dominio personalizado.
Para crear una directiva contra la suplantación de identidad en Defender para Office 365, vea un breve vídeode aprendizaje o siga estos pasos:
En el Centro de & cumplimiento, en el panel de navegación izquierdo, en Administración de amenazas, seleccione Directiva.
En la página Directiva, seleccione Anti-phishing.
En la página Anti-phishing, seleccione + Crear. Se inicia un asistente que le permite definir la directiva contra suplantación de identidad.
Especifique el nombre, la descripción y la configuración de la directiva como se recomienda en el siguiente gráfico. Consulta Más información sobre la directiva contra la suplantación de identidad en Microsoft Defender para obtener Office 365 opciones para obtener más información.
Después de revisar la configuración, seleccione Crear esta directiva o Guardar, según corresponda.
| Configuración u opción | Valor recomendado |
|---|---|
| Nombre | Personal de la campaña más valioso y de dominio |
| Descripción | Asegúrese de que el personal más importante y nuestro dominio no se suplanten. |
| Agregar usuarios que proteger | Seleccione + Agregar una condición, El destinatario es. Escriba nombres de usuario o escriba la dirección de correo electrónico del candidato, el jefe de campaña y otros miembros importantes del personal. Puede agregar hasta 20 direcciones internas y externas que desea proteger de la suplantación. |
| Agregar dominios que proteger | Seleccione + Agregar una condición, El dominio de destinatario es. Escriba el dominio personalizado asociado con su Microsoft 365 suscripción, si ha definido uno. Puede escribir más de un dominio. |
| Elegir acciones | Si un usuario suplantado envía correo electrónico: seleccione Redirigir mensaje a otra dirección de correo electrónico y, a continuación, escriba la dirección de correo electrónico del administrador de seguridad; por ejemplo, securityadmin@contoso.com. Si un dominio suplantado envía correo electrónico: seleccione Mensaje en cuarentena. |
| Inteligencia de buzones | De forma predeterminada, se selecciona inteligencia de buzones al crear una directiva contra suplantación de identidad (anti-phishing). Deje esta configuración activada para obtener mejores resultados. |
| Agregar dominios y remitentes de confianza | En este ejemplo, no defina ninguna invalidación. |
| Aplicado a | Seleccione El dominio del destinatario es. En Cualquiera de estos, seleccione Elegir. Seleccione + Agregar. Active la casilla situada junto al nombre del dominio, por ejemplo, contoso.com, en la lista y, a continuación, seleccione Agregar. Seleccione Listo. |
Para obtener más información, vea Set up anti-phishing policies in Defender for Office 365.
9: Proteger contra archivos adjuntos y archivos malintencionados con Caja fuerte adjuntos
Las personas envían, reciben y comparten datos adjuntos con regularidad, como documentos, presentaciones, hojas de cálculo y mucho más. No siempre es fácil saber si los datos adjuntos son seguros o malintencionados con solo mirar un mensaje de correo electrónico. Microsoft Defender para Office 365 incluye Caja fuerte de datos adjuntos, pero esta protección no está activada de forma predeterminada. Se recomienda crear una nueva regla para empezar a usar esta protección. Esta protección se extiende a los archivos de SharePoint, OneDrive y Microsoft Teams.
Para crear una directiva Caja fuerte datos adjuntos, vea un breve vídeo deaprendizaje o siga estos pasos:
Ve a https://protection.office.com e inicia sesión con tu cuenta de administrador.
En el Centro de & cumplimiento, en el panel de navegación izquierdo, en Administración de amenazas, seleccione Directiva.
En la página Directiva, seleccione Caja fuerte datos adjuntos.
En la página Caja fuerte datos adjuntos, aplique esta protección de forma general activando la casilla Activar ATP para SharePoint, OneDrive y Microsoft Teams protección.
Seleccione + esta opción para crear una nueva directiva.
Aplique la configuración en la tabla siguiente.
Después de revisar la configuración, seleccione Crear esta directiva o Guardar, según corresponda.
| Configuración u opción | Valor recomendado |
|---|---|
| Nombre | Bloquear los correos electrónicos actuales y futuros con malware detectado. |
| Descripción | Bloquear correos electrónicos y datos adjuntos actuales y futuros con malware detectado. |
| Guardar datos adjuntos respuesta de malware desconocido | Seleccione Bloquear: bloquee los correos electrónicos y los datos adjuntos actuales y futuros con malware detectado. |
| Redirigir datos adjuntos al detectar | Habilitar redirección (seleccione este cuadro) Escriba la cuenta de administrador o una configuración de buzón para la cuarentena. Aplica la selección anterior si el examen de malware para datos adjuntos se encuentra en tiempo de espera o si se produce un error (selecciona este cuadro). |
| Aplicado a | El dominio de destinatario es . . . seleccione el dominio. |
Para obtener más información, vea Set up anti-phishing policies in Defender for Office 365.
10: Proteger contra ataques de suplantación de identidad con Caja fuerte web
Los hackers a veces ocultan sitios web malintencionados en vínculos de correo electrónico u otros archivos. Caja fuerte Links, parte de Microsoft Defender para Office 365, puede ayudar a proteger su organización proporcionando la comprobación con tiempo de clic de direcciones web (URL) en mensajes de correo electrónico y documentos Office. La protección se define a través de Caja fuerte de vínculos.
Se recomienda hacer lo siguiente:
Modifique la directiva predeterminada para aumentar la protección.
Agregue una nueva directiva dirigida a todos los destinatarios de su dominio.
Para obtener acceso Caja fuerte, vea un breve vídeo de aprendizajeo siga estos pasos:
Ve a https://protection.office.com e inicia sesión con tu cuenta de administrador.
En el Centro de & cumplimiento, en el panel de navegación izquierdo, en Administración de amenazas, seleccione Directiva.
En la página Directiva, seleccione Caja fuerte vínculos.
Para modificar la directiva predeterminada:
En la página Caja fuerte, en Directivas que se aplican a toda la organización, haga doble clic en la directiva predeterminada.
En Configuración que se aplican al contenido de Office 365 , escriba una dirección URL que se va a bloquear, como example.com y seleccione + .
En Configuración que se aplican al contenido excepto el correo electrónico , seleccione Office 365 aplicaciones, No realizar un seguimiento cuando los usuarios hacen clic en vínculos seguros y No permitir que los usuarios hagan clic a través de vínculos seguros a la dirección URL original.
Seleccione Guardar.
Para crear una nueva directiva dirigida a todos los destinatarios de su dominio:
En la página Caja fuerte, en Directivas que se aplican a destinatarios específicos, seleccione + para crear una nueva directiva.
Aplique la configuración que se muestra en la tabla siguiente.
Seleccione Guardar.
| Configuración u opción | Valor recomendado |
|---|---|
| Nombre | Caja fuerte de vínculos para todos los destinatarios del dominio |
| Seleccionar la acción para direcciones URL potencialmente malintencionadas desconocidas en los mensajes | Seleccionar Activado: las direcciones URL se reescribirán y comprobarán en una lista de vínculos malintencionados conocidos cuando el usuario haga clic en el vínculo . |
| Aplicar análisis de url en tiempo real en busca de vínculos sospechosos y vínculos que apunten a archivos | Seleccione este cuadro. |
| Aplicado a | El dominio de destinatario es . . . seleccione el dominio. |
Para obtener más información, vea Caja fuerte Links in Microsoft Defender for Office 365.
Contenido relacionado
Autenticación multifactor para Microsoft 365 (artículo)
Administrar y supervisar cuentas de prioridad (artículo)
Microsoft 365 informes en el Centro de administración (vídeo)