מה חדש ב- Microsoft Secure Score

כדי להפוך את Microsoft Secure Score לנציג טוב יותר של תציבת האבטחה שלך, אנו ממשיכים להוסיף תכונות חדשות ופעולות שיפור.

כמה שפעולות השיפורים שתבצע יהיו גבוהות יותר, הניקוד המאובטח שלך יהיה גבוה יותר. לקבלת מידע נוסף, ראה Microsoft Secure Score.

ניתן למצוא את Microsoft Secure Score בhttps://security.microsoft.com/securescore- Microsoft Defender הפורטל.

פברואר 2024

ההמלצה הבאה מתווספת כפעולה לשיפור של Microsoft Secure Score:

Microsoft Defender עבור זהות אישית:

• עריכת נקודות קצה לא מאובטחות של הרשמה לאישורי ADCS של IIS (ESC8)

ינואר 2024

ההמלצות הבאות נוספו כפעולות לשיפור ניקוד מאובטח של Microsoft:

Microsoft Entra (AAD):

• ודא שהאפשרות 'חוזק MFA עמיד בפני דיוג' נדרשת עבור מנהלי מערכת.
• ודא שנעשה שימוש ברשימות סיסמאות מורחקות מותאמות אישית.
• ודא שה- API של Windows Azure Service Management מוגבל לתפקידים ניהוליים.

מרכז הניהול מרכזי:

• ודא שהאפשרות 'יישומים ושירותים בבעלות המשתמש' מוגבלת.

Microsoft Forms אישית:

• ודא שהגנת דיוג פנימית Forms זמינה.

Microsoft Share Point:

• ודא שמשתמשים אורחים של SharePoint אינם יכולים לשתף פריטים שאינם בבעלותם.

תמיכה ב- Defender for Cloud Apps עבור מופעים מרובים של אפליקציה

יישומי ענן של Microsoft Defender תומך כעת בהמלצות של ניקוד מאובטח במופעים מרובים של אותה אפליקציה. לדוגמה, אם יש לך מופעים מרובים של AWS, באפשרותך להגדיר ולסנן המלצות של ניקוד מאובטח עבור כל מופע בנפרד.

לקבלת מידע נוסף, ראה הפעלה וניהול של ניהול תחומי אבטחה של SaaS (SSPM).

דצמבר 2023

ההמלצות הבאות נוספו כפעולות לשיפור ניקוד מאובטח של Microsoft:

Microsoft Entra (AAD):

• ודא ש-Microsoft Azure Management מוגבל לתפקידים ניהוליים.

Microsoft Sway:

• ודא שלא ניתן לשתף פריטי Sway עם אנשים מחוץ לארגון שלך.

Microsoft Exchange Online זה:

• ודא שהמשתמשים שמותקינים תוספות של Outlook אינם מותרים.

Zendesk:

• הפוך אימות דו-גורמי (2FA) לזמין ולאמץ אותו.
• שלח הודעה על שינוי סיסמה עבור מנהלי מערכת, סוכנים ומשתמשי קצה.
• הפוך הגבלות IP לזמינות.
• חסום לקוחות כדי לעקוף הגבלות IP.
• מנהלי מערכת וסוכנים יכולים להשתמש באפליקציית התמיכה של Zendesk למכשירים ניידים.
• הפוך אימות Zendesk לזמין.
• הפוך את הזמן הקצוב להפעלה לזמין עבור משתמשים.
• חסום הנחת חשבון.
• חסום מנהלי מערכת כדי להגדיר סיסמאות.
• תיקון אוטומטי.

Net Document:

• אימוץ כניסה יחידה (SSO) ב- netDocument.

מטה-מקום עבודה:

• לאמץ כניסה יחידה (SSO) במקום העבודה לפי מטה.

Dropbox:

• הפוך את הזמן הקצוב של הפעלת האינטרנט לזמין עבור משתמשי אינטרנט.

אטלסיאן:

• הפוך אימות רב-גורמי (MFA) לזמין.
• הפוך כניסה יחידה (SSO) לזמין.
• הפוך מדיניות סיסמה חזקה לזמינה.
• הפוך את הזמן הקצוב להפעלה לזמין עבור משתמשי אינטרנט.
• הפוך מדיניות תפוגת סיסמה לזמינה.
• אבטחת אפליקציות למכשירים ניידים Atlassian - משתמשים המושפעים ממדיניות.
• אבטחת אפליקציות אטלסיאניות למכשירים ניידים - הגנה על נתונים באפליקציה.
• אבטחת אפליקציות אטלסיאניות למכשירים ניידים - דרישת גישה לאפליקציה.

Microsoft Defender עבור זהות: המלצות חדשות הקשורות ל- Active Directory Certificate Services (ADCS):

• פעולות מומלצות של תבניות אישורים :
  • מנע מהמשתמשים לבקש אישור חוקי עבור משתמשים שרירותים בהתבסס על תבנית האישור (ESC1)
  • עריכת תבנית אישור מרתה מדי עם EKU הרשאות (EKU של כל מטרה או ללא EKU) (ESC2)
  • תבנית אישור של סוכן הרשמה שתצורתה שגויה (ESC3)
  • עריכת תבניות אישורים שתצורתן תצורתן שגויה ACL (ESC4)
  • ערוך בעלים של תבניות אישורים שתצורתן תצורתן שגויה
• פעולות מומלצות של רשות אישורים :
  • ערוך הגדרת רשות אישורים חשופה
  • עריכת ACL של רשות אישורים שתצורתה שגויה (ESC7)
  • אכיפת הצפנה עבור ממשק רישום אישורי RPC (ESC8)

לקבלת מידע נוסף, Microsoft Defender עבור זהות של הערכות הצבת האבטחה.

אוקטובר 2023:

ההמלצות הבאות נוספו כפעולות לשיפור ניקוד מאובטח של Microsoft:

Microsoft Entra (AAD):

• ודא שנדרשת 'חוזק MFA עמיד בפני דיוג' עבור מנהלי מערכת.
• ודא שנעשה שימוש ברשימות סיסמאות מורחקות מותאמות אישית.

Microsoft Sway:

• ודא שלא ניתן לשתף פריטי Sway עם אנשים מחוץ לארגון שלך.

אטלסיאן:

• הפוך אימות רב-גורמי (MFA) לזמין.
• הפוך כניסה יחידה (SSO) לזמין.
• הפוך מדיניות סיסמה חזקה לזמינה.
• הפוך את הזמן הקצוב להפעלה לזמין עבור משתמשי אינטרנט.
• הפוך מדיניות תפוגת סיסמה לזמינה.
• אבטחת אפליקציות למכשירים ניידים Atlassian - משתמשים המושפעים ממדיניות.
• אבטחת אפליקציות אטלסיאניות למכשירים ניידים - הגנה על נתונים באפליקציה.
• אבטחת אפליקציות אטלסיאניות למכשירים ניידים - דרישת גישה לאפליקציה.

ספטמבר 2023:

ההמלצות הבאות נוספו כפעולות לשיפור ניקוד מאובטח של Microsoft:

Microsoft Information Protection:

• ודא שחיפוש ביומן הביקורת של Microsoft 365 זמין.
• ודא שמדיניות DLP זמינה עבור Microsoft Teams.

Exchange Online אישית:

• ודא כי רשומות SPF מתפרסמות עבור כל התחומים של Exchange.
• ודא כי אימות מודרני Exchange Online זמין.
• ודא כי עצות דואר זמינות עבור משתמשי קצה.
• ודא שביקורת תיבות דואר עבור כל המשתמשים זמינה.
• ודא שספקי אחסון נוספים מוגבלים Outlook באינטרנט.

יישומי ענן של Microsoft Defender אישית:

• ודא יישומי ענן של Microsoft Defender זמין.

Microsoft Defender עבור Office:

• ודא Exchange Online מדיניות דואר הזבל מוגדרת להודיע למנהלי מערכת.
• ודא שכל צורות העברת הדואר חסומות ו/או לא זמינות.
• ודא שהאפשרות קישורים בטוחים עבור יישומי Office זמינה.
• ודא שמדיניות הקבצים המצורפים הבטוחים זמינה.
• ודא שנוצרה מדיניות למניעת דיוג.

אוגוסט 2023

ההמלצות הבאות נוספו כפעולות לשיפור ניקוד מאובטח של Microsoft:

Microsoft Information Protection:

• ודא שחיפוש ביומן הביקורת של Microsoft 365 זמין.

Microsoft Exchange Online זה:

• ודא כי אימות מודרני Exchange Online זמין.
• ודא Exchange Online מדיניות דואר הזבל מוגדרת להודיע למנהלי מערכת.
• ודא שכל צורות העברת הדואר חסומות ו/או לא זמינות.
• ודא כי עצות דואר זמינות עבור משתמשי קצה.
• ודא שביקורת תיבות דואר עבור כל המשתמשים זמינה.
• ודא שספקי אחסון נוספים מוגבלים Outlook באינטרנט.

Microsoft Entra מזהה אישית:

כדי לראות את Microsoft Entra החדשים הבאים במחבר Office 365, עליך להפעיל את יישומי ענן של Microsoft Defender בדף ההגדרות של מחברי היישומים:

• ודא שהגנת סיסמה זמינה עבור Active Directory מקומי.
• ודא ש'חיבורי חשבון LinkedIn' אינם זמינים.

Sharepoint:

• ודא שהאפשרות קישורים בטוחים עבור יישומי Office זמינה.
• ודא שקבצים מצורפים בטוחים עבור SharePoint, OneDrive ו- Microsoft Teams זמינים.
• ודא שנוצרה מדיניות למניעת דיוג.

כדי לראות את פקדי SharePoint החדשים הבאים במחבר Office 365, עליך להפעיל את הפקדים יישומי ענן של Microsoft Defender בדף ההגדרות של מחברי היישומים:

• ודא ששיתוף חיצוני של SharePoint מנוהל באמצעות רשימות מותאמות לתחום/רשימות חסימות.
• חסום OneDrive for Business ממכשירים לא מנוהלים.

שילוב Microsoft Secure Score עם Microsoft Lighthouse 365

המגדלור של Microsoft 365 עוזר לספקי שירותים מנוהלים (MSPs) לשפר את העסק שלהם ולספק שירותים ללקוחות בקנה מידה גדול בפורטל יחיד. Lighthouse מאפשר ללקוחות לתכנת תצורות, לנהל סיכונים, לזהות הזדמנויות מכירה מבוססות בינה מלאכותית (AI) וליצור קשר עם הלקוחות כדי לעזור להם למקסם את ההשקעה שלהם ב- Microsoft 365.

אינטגרציה של Microsoft Secure Score ב- Microsoft 365 Lighthouse. שילוב זה מספק תצוגת צבירה של הציון המאובטח בכל הדיירים המנוהליים ופרטי Secure Score עבור כל דייר בודד. גישה ל-Secure Score זמינה מכרטיס חדש בדף הבית של Lighthouse או על-ידי בחירת דייר בדף 'דיירים במגדלור'.

הערה

השילוב עם Microsoft Lighthouse 365 זמין לשותפי Microsoft המשתמשים בתוכנית Cloud Solution Provider (CSP) לניהול דיירי לקוחות.

שילוב ההרשאות של Microsoft Secure Score Microsoft Defender XDR בקרת גישה מבוססת תפקידים מאוחדת (RBAC) נמצאת כעת ב- Public Preview

בעבר, רק Microsoft Entra כלליים (כגון מנהלי מערכת כלליים) יכולים לגשת ל- Microsoft Secure Score. כעת, באפשרותך לשלוט בגישה ולהעניק הרשאות פרטניות עבור חוויית Microsoft Secure Score כחלק ממודל Microsoft Defender XDR RBAC המאוחד.

באפשרותך להוסיף את ההרשאה החדשה ולבחור את מקורות הנתונים שלמשתמש יש גישה אליהם על-ידי בחירת הקבוצה הרשאות הצבת אבטחה בעת יצירת התפקיד. לקבלת מידע נוסף, ראה Create מותאמים אישית עם Microsoft Defender XDR RBAC מאוחד. המשתמשים רואים נתוני ניקוד מאובטח עבור מקורות הנתונים שיש להם הרשאות עבורם.

ניקוד מאובטח של מקור נתונים חדש – מקור נתונים נוסף זמין גם כן. למשתמשים בעלי הרשאות למקור נתונים זה יש גישה לנתונים נוספים בתוך לוח המחוונים של ניקוד מאובטח. לקבלת מידע נוסף אודות מקורות נתונים נוספים, ראה מוצרים הכלולים ב-Secure Score.

יולי 2023

להלן Microsoft Defender עבור זהות נוספות כפעולות לשיפור ניקוד מאובטח של Microsoft:

• הסר את התכונה 'תוקף הסיסמה לעולם לא פג' מחשבונות בתחום שלך.
• הסר זכויות גישה בחשבונות חשודים באמצעות ההרשאה מרכז הניהול SDHolder.
• נהל חשבונות עם סיסמאות בן יותר מ- 180 יום.
• הסר מנהלי מערכת מקומיים לגבי נכסי זהות.
• הסר חשבונות שאינם של מנהלי מערכת עם הרשאות DCSync.
• הפעל את פריסת Defender for Identity, התקנת חיישנים בבקרי תחום ובשרתים זכאים אחרים.

ההמלצה הבאה לסביבת העבודה של Google נוספה כפעולה לשיפור Microsoft Secure Score:

• הפוך אימות רב גורמי (MFA) לזמין

כדי להציג פקד חדש זה, יש להגדיר מחבר סביבת עבודה של Google יישומי ענן של Microsoft Defender באמצעות דף ההגדרות של מחברי היישומים.

במאי 2023

המלצה חדשה Microsoft Exchange Online זמינה כעת כפעולה לשיפור ניקוד מאובטח:

• ודא שכללי העברת דואר אינם מאפשרים תחומים ספציפיים.

המלצות חדשות של Microsoft SharePoint זמינות כעת כפעולות לשיפור ניקוד מאובטח:

• ודא שנדרש אימות מודרני עבור יישומי SharePoint.
• ודא שלמשתמשים חיצוניים אין אפשרות לשתף קבצים, תיקיות ואתרים שאינם בבעלותם.

אפריל 2023

המלצות חדשות זמינות כעת ב- Microsoft Secure Score עבור לקוחות בעלי רשיון יישומי ענן של Microsoft Defender פעיל:

• ודא שרק קבוצות ציבוריות המנוהלות על-ידי הארגון/מאושרות קיימות.
• ודא שתדירות הכניסה זמינה והפעלות הדפדפן אינן מתמידות עבור משתמשי ניהול.
• ודא שחשבונות הניהול נפרדים, לא מוקצים ובענן בלבד.
• ודא שיישומים משולבים של ספקים חיצוניים אינם מותרים.
• ודא שזרימת העבודה של הסכמת מנהל המערכת זמינה.
• ודא שמדיניות DLP זמינה עבור Microsoft Teams.
• ודא כי רשומות SPF מתפרסמות עבור כל התחומים של Exchange.
• ודא יישומי ענן של Microsoft Defender זמין.
• ודא שמדיניות ניהול מכשירים ניידים מוגדרת לדרוש תצורות אבטחה מתקדמות כדי להגן מפני תקיפות אינטרנט בסיסיות.
• ודא שהשימוש חוזר בסיסמאות המכשיר הנייד אסור.
• ודא שהסיסמאות של מכשירים ניידים מוגדרות כך שתוקפן לעולם לא יפוג.
• ודא שהמשתמשים אינם יכולים להתחבר ממכשירים שנשברים או שורשים מהכלא.
• ודא שהמכשירים הניידים מוגדרים לנגב את מספר כשלי הכניסה כדי למנוע סכנה בכוח.
• ודא שמכשירים ניידים דורשים אורך סיסמה מינימלי כדי למנוע התקפות בכוח.
• ודא שהמכשירים ננעלים לאחר פרק זמן של חוסר פעילות כדי למנוע גישה בלתי מורשית.
• ודא שהצפנת מכשירים ניידים זמינה כדי למנוע גישה לא מורשית לנתונים ניידים.
• ודא שמכשירים ניידים דורשים סיסמאות מורכבות (Type = Alphanumeric).
• ודא שמכשירים ניידים דורשים סיסמאות מורכבות (סיסמאות פשוטות = חסומות).
• ודא שהמכשירים המחוברים כוללים AV וחומת אש מקומית זמינה.
• ודא שנדרשת מדיניות ניהול מכשירים ניידים עבור פרופילי דואר אלקטרוני.
• ודא שהמכשירים הניידים דורשים שימוש בסיסמה.

הערה

כדי להציג את ההמלצות החדשות של Defender for Cloud Apps, Office 365 המחבר החדש ב- יישומי ענן של Microsoft Defender לעבור למצב מופעל דרך דף ההגדרות של מחברי האפליקציות. לקבלת מידע נוסף, ראה כיצד להתחבר ל Office 365 Defender for Cloud Apps.

עדכון מרץ 2022

המלצות Microsoft Defender עבור Office 365 עבור מדיניות למניעת דיוג זמינות כעת כפעולות לשיפור ניקוד מאובטח:

• הגדר את סף רמת הדואר האלקטרוני של דיוג ב- 2 ואילך.
• הפוך הגנה על משתמשים מתחזה לזמינה.
• הפוך הגנה על תחום מתחזה לזמינה.
• ודא שהבינה של תיבת הדואר זמינה.
• ודא שהבינה עבור הגנת התחזות זמינה.
• העבר להסגר הודעות שזוהו ממשתמשים מתחזים.
• העבר להסגר הודעות שזוהו מתוך תחומים מתחזים.
• העבר הודעות שזוהו כמשתמשים מתחזים על-ידי בינת תיבת דואר.
• הפוך את האפשרות 'הצג את עצת הבטיחות הראשונה ליצירת קשר' לזמינה.
• הפוך את עצת הבטיחות של התחזות המשתמש לזמינה.
• הפוך את עצת הבטיחות של התחזות לתחום לזמינה.
• אפשר עצת בטיחות של התחזות משתמש לתווים חריגים.

המלצה חדשה של SharePoint Online זמינה כעת כפעולה לשיפור ניקוד מאובטח:

• צא ממשתמשים לא פעילים ב- SharePoint Online.

אוגוסט 2022

המלצות הגנה על מידע ב- Microsoft Purview זמינות כעת כפעולות לשיפור ניקוד מאובטח:

• תיוג
  • הרחב את סימון הרגישות של Microsoft 365 הנכסים במפות הנתונים של Azure Purview.
  • ודא שמדיניות סיווג הנתונים של התאמה אוטומטית מוגדרת ומשמשת.
  • פרסם את מדיניות סיווג הנתונים של תווית הרגישות של Microsoft 365.
  • Create מדיניות למניעת אובדן נתונים (DLP).

המלצות Microsoft Defender עבור Office 365 זמינות כעת כפעולות לשיפור ניקוד מאובטח:

• מניעת דואר זבל - מדיניות כניסה

  • הגדר את סף רמת התלונה בצובר של דואר אלקטרוני (BCL) לערך 6 או נמוך יותר.
  • הגדר פעולה שיש לבצע לגבי זיהוי הודעות זבל.
  • הגדר פעולה שיש לבצע על זיהוי דואר זבל בעל רמת מהימנות גבוהה.
  • הגדר פעולה שיש לבצע לגבי זיהוי דיוג.
  • הגדר פעולה כדי לבצע זיהוי דיוג ברמת מהימנות גבוהה.
  • הגדר פעולה שיש לבצע בזיהוי הודעות זבל בצובר.
  • שמור על דואר זבל בהסגר למשך 30 יום.
  • ודא ועצות בטיחות של דואר זבל זמינות.
  • ודא כי לא קיימים תחומים של שולחים ברשימת התחומים המותרים במדיניות למניעת דואר זבל (מחליפה את ההודעה "ודא שאין תחומי שולח מורשים עבור מדיניות למניעת דואר זבל" כדי להרחיב את הפונקציונליות גם עבור שולחים ספציפיים).

• מניעת דואר זבל - מדיניות תעבורה יוצאת

  • הגדר את המספר המרבי של נמענים חיצוניים שמשתמש יכול לשלוח בדואר אלקטרוני בשעה.
  • הגדר את המספר המרבי של נמענים פנימיים שהמשתמש יכול לשלוח אל תוך שעה.
  • הגדר מגבלת הודעות יומית.
  • חסום משתמשים הגיעו למגבלת ההודעות.
  • הגדר כללי העברת דואר אלקטרוני אוטומטיים לשליטה במערכת.

• מניעת דואר זבל - מסנן חיבורים

  • אל תוסיף כתובות IP מותרות במדיניות מסנן החיבורים.

יוני 2022

• המלצות Microsoft Defender עבור נקודת קצה והמלצות ניהול פגיעויות של Microsoft Defender זמינות כעת כפעולות לשיפור ניקוד מאובטח:

  • אל תאפשר גישה לא מקוונת לשיתופים.
  • הסר את ההגדרה של הרשאות כתיבה לשיתוף עבור כולם.
  • הסר מיקומים משותפים מהתיקיה המשמשת בסיס.
  • הגדר ספירה מבוססת גישה לתיקיה עבור מיקומים משותפים.
  • עדכן Microsoft Defender עבור נקודת קצה הליבה שלהם.

• המלצה Microsoft Defender עבור זהות זמינה כפעולה לשיפור ניקוד מאובטח:

  • פתור תצורות של תחומים לא מאובטחים.

• המלצה חדשה לפיקוח על יישום זמינה כעת כפעולה לשיפור ניקוד מאובטח:

  • להסדיר אפליקציות בהסכמה מחשבונות עדיפות.

• המלצות חדשות של Salesforce ו- ServiceNow זמינות כעת כפעולות לשיפור ניקוד מאובטח עבור יישומי ענן של Microsoft Defender אלה. לקבלת מידע נוסף, ראה מבט כולל על ניהול אבטחת SaaS.

הערה

הפקדים Salesforce ו- ServiceNow זמינים כעת בתצוגה מקדימה ציבורית.

אפריל 2022

• הפעל אימות משתמש עבור חיבורים מרוחקים.

דצמבר 2021

• הפעל קבצים מצורפים בטוחים במצב חסימה.
• מנע שיתוף Exchange Online לוח השנה עם משתמשים חיצוניים.
• הפעל מסמכים בטוחים עבור לקוחות Office.
• הפעל את הגדרת הסינון הנפוצות של קבצים מצורפים עבור מדיניות למניעת תוכנות זדוניות.
• ודא כי לא מותרים תחומי שולח עבור מדיניות למניעת דואר זבל.
• Create מדיניות קישורים בטוחים עבור הודעות דואר אלקטרוני.
• Create מדיניות מחיקה אוטומטית של שעות אפס עבור תוכנות זדוניות.
• הפעל Microsoft Defender עבור Office 365 ב- SharePoint, OneDrive ו- Microsoft Teams.
• Create מדיניות מחיקה אוטומטית של שעות אפס עבור הודעות דיוג.
• Create מדיניות מחיקה אוטומטית של שעות אפס עבור הודעות זבל.
• חסום שימוש לרעה במנהלי התקנים פגיעים חתומים.
• הפעל סריקה של כוננים נשלפים במהלך סריקה מלאה.

אנחנו רוצים לשמוע ממך

אם אתה נתקל בבעיות, ספר לנו על כך על-ידי פרסום בקהילת 'אבטחה& פרטיות ותאימות . אנחנו מנטרים את הקהילה כדי לספק עזרה.

משאבים קשורים

• הערכת תנוחת האבטחה שלך
• עקוב אחר היסטוריית הניקוד המאובטח של Microsoft ועמוד ביעדים
• מה עומד להגיע

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.