Novità di Microsoft Secure Score

Per rendere Microsoft Secure Score un migliore rappresentante del comportamento di sicurezza, continuiamo ad aggiungere nuove funzionalità e azioni di miglioramento.

Maggiore è il numero di azioni di miglioramento eseguite, maggiore sarà il punteggio di sicurezza. Per altre informazioni, vedere Microsoft Secure Score.

Microsoft Secure Score è disponibile https://security.microsoft.com/securescore nel portale di Microsoft Defender.

Febbraio 2024

La raccomandazione seguente viene aggiunta come azione di miglioramento del punteggio di sicurezza Microsoft:

Microsoft Defender per identità:

• Modificare gli endpoint IIS di registrazione certificati ADCS non sicuri (ESC8)

Gennaio 2024

Le raccomandazioni seguenti sono state aggiunte come azioni di miglioramento del punteggio di sicurezza Microsoft:

Microsoft Entra (AAD):

• Assicurarsi che "Forza MFA resistente al phishing" sia necessario per gli amministratori.
• Assicurarsi che vengano usati elenchi di password escluse personalizzati.
• Verificare che l'API di gestione dei servizi di Windows Azure sia limitata ai ruoli amministrativi.

centro Amministrazione:

• Assicurarsi che "App e servizi di proprietà dell'utente" siano limitati.

Microsoft Forms:

• Assicurarsi che la protezione interna dal phishing per Forms sia abilitata.

Microsoft Share Point:

• Assicurarsi che gli utenti guest di SharePoint non possano condividere elementi di cui non sono proprietari.

Supporto di Defender per app cloud per più istanze di un'app

Microsoft Defender for Cloud Apps supporta ora le raccomandazioni del punteggio di sicurezza in più istanze della stessa app. Ad esempio, se si dispone di più istanze di AWS, è possibile configurare e filtrare le raccomandazioni del punteggio di sicurezza per ogni istanza singolarmente.

Per altre informazioni, vedere Attivare e gestire la gestione del comportamento di sicurezza SaaS (SSPM).

Dicembre 2023

Le raccomandazioni seguenti sono state aggiunte come azioni di miglioramento del punteggio di sicurezza Microsoft:

Microsoft Entra (AAD):

• Assicurarsi che "Gestione di Microsoft Azure" sia limitato ai ruoli amministrativi.

Microsoft Sway:

• Assicurarsi che Sways non possa essere condiviso con persone esterne all'organizzazione.

Microsoft Exchange Online:

• Assicurarsi che gli utenti che installano i componenti aggiuntivi di Outlook non siano consentiti.

Zendesk:

• Abilitare e adottare l'autenticazione a due fattori (2FA).
• Inviare una notifica sulla modifica della password per amministratori, agenti e utenti finali.
• Abilitare le restrizioni IP.
• Impedisci ai clienti di ignorare le restrizioni IP.
• Gli amministratori e gli agenti possono usare l'app zendesk Support per dispositivi mobili.
• Abilitare l'autenticazione Zendesk.
• Abilitare il timeout della sessione per gli utenti.
• Blocca il presupposto dell'account.
• Bloccare gli amministratori per impostare le password.
• Redazione automatica.

Documento net:

• Adottare l'accesso Single Sign-On (SSO) in netDocument.

Meta Workplace:

• Adottare l'accesso Single Sign-On (SSO) in Workplace by Meta.

Dropbox:

• Abilitare il timeout della sessione Web per gli utenti Web.

Atlassian:

• Abilitare l'autenticazione a più fattori (MFA).
• Abilitare Single Sign On (SSO).
• Abilitare criteri password sicuri.
• Abilitare il timeout della sessione per gli utenti Web.
• Abilitare i criteri di scadenza delle password.
• Sicurezza delle app per dispositivi mobili Atlassian: utenti interessati dai criteri.
• Sicurezza delle app per dispositivi mobili Atlassian - Protezione dei dati delle app.
• Sicurezza delle app per dispositivi mobili Atlassian - Requisito di accesso alle app.

Microsoft Defender per identità: Nuove raccomandazioni correlate ad Active Directory Certificate Services (ADCS):

• Azioni consigliate per i modelli di certificato :
  • Impedire agli utenti di richiedere un certificato valido per gli utenti arbitrari in base al modello di certificato (ESC1)
  • Modificare un modello di certificato eccessivamente permissivo con EKU con privilegi (EKU per qualsiasi scopo o Nessun EKU) (ESC2)
  • Modello di certificato dell'agente di registrazione non configurato correttamente (ESC3)
  • Modificare i modelli di certificato non configurati correttamente ACL (ESC4)
  • Modificare il proprietario dei modelli di certificato non configurati correttamente
• Azioni consigliate per l'autorità di certificazione :
  • Modificare l'impostazione dell'autorità di certificazione vulnerabile
  • Modificare un elenco di controllo di accesso dell'autorità di certificazione non configurato correttamente (ESC7)
  • Applicare la crittografia per l'interfaccia di registrazione del certificato RPC (ESC8)

Per altre informazioni, vedere valutazioni del comportamento di sicurezza di Microsoft Defender per identità.

Ottobre 2023:

Le raccomandazioni seguenti sono state aggiunte come azioni di miglioramento del punteggio di sicurezza Microsoft:

Microsoft Entra (AAD):

• Assicurarsi che "Forza MFA resistente al phishing" sia necessario per gli amministratori.
• Assicurarsi che vengano usati elenchi di password escluse personalizzati.

Microsoft Sway:

• Assicurarsi che Sways non possa essere condiviso con persone esterne all'organizzazione.

Atlassian:

• Abilitare l'autenticazione a più fattori (MFA).
• Abilitare Single Sign On (SSO).
• Abilitare criteri password sicuri.
• Abilitare il timeout della sessione per gli utenti Web.
• Abilitare i criteri di scadenza delle password.
• Sicurezza delle app per dispositivi mobili Atlassian: utenti interessati dai criteri.
• Sicurezza delle app per dispositivi mobili Atlassian - Protezione dei dati delle app.
• Sicurezza delle app per dispositivi mobili Atlassian - Requisito di accesso alle app.

Settembre 2023:

Le raccomandazioni seguenti sono state aggiunte come azioni di miglioramento del punteggio di sicurezza Microsoft:

Microsoft Information Protection:

• Verificare che la ricerca nel log di controllo di Microsoft 365 sia abilitata.
• Verificare che i criteri di prevenzione della perdita dei dati siano abilitati per Microsoft Teams.

Exchange Online:

• Assicurarsi che i record SPF vengano pubblicati per tutti i domini di Exchange.
• Verificare che l'autenticazione moderna per Exchange Online sia abilitata.
• Verificare che i suggerimenti messaggio siano abilitati per gli utenti finali.
• Verificare che il controllo delle cassette postali per tutti gli utenti sia abilitato.
• Verificare che i provider di archiviazione aggiuntivi siano limitati in Outlook sul web.

Microsoft Defender for Cloud Apps:

• Assicurarsi che Microsoft Defender for Cloud Apps sia abilitato.

Microsoft Defender per Office:

• Assicurarsi Exchange Online criteri di posta indesiderata siano impostati per notificare agli amministratori.
• Verificare che tutte le forme di inoltro della posta siano bloccate e/o disabilitate.
• Assicurarsi che i collegamenti sicuri per le applicazioni di Office siano abilitati.
• Verificare che i criteri allegati sicuri siano abilitati.
• Assicurarsi che siano stati creati criteri anti-phishing.

Agosto 2023

Le raccomandazioni seguenti sono state aggiunte come azioni di miglioramento del punteggio di sicurezza Microsoft:

Microsoft Information Protection:

• Verificare che la ricerca nel log di controllo di Microsoft 365 sia abilitata.

Microsoft Exchange Online:

• Verificare che l'autenticazione moderna per Exchange Online sia abilitata.
• Assicurarsi Exchange Online criteri di posta indesiderata siano impostati per notificare agli amministratori.
• Verificare che tutte le forme di inoltro della posta siano bloccate e/o disabilitate.
• Verificare che i suggerimenti messaggio siano abilitati per gli utenti finali.
• Verificare che il controllo delle cassette postali per tutti gli utenti sia abilitato.
• Verificare che i provider di archiviazione aggiuntivi siano limitati in Outlook sul web.

Microsoft Entra ID:

Per visualizzare i nuovi controlli di Microsoft Entra seguenti nel connettore Office 365, è necessario attivare Microsoft Defender for Cloud Apps nella pagina Impostazioni connettori app:

• Verificare che la protezione password sia abilitata per Active Directory locale.
• Verificare che "LinkedIn account connections" sia disabilitato.

Sharepoint:

• Assicurarsi che i collegamenti sicuri per le applicazioni di Office siano abilitati.
• Assicurarsi che allegati sicuri per SharePoint, OneDrive e Microsoft Teams siano abilitati.
• Assicurarsi che siano stati creati criteri anti-phishing.

Per visualizzare i nuovi controlli di SharePoint seguenti nel connettore Office 365, è necessario attivare Microsoft Defender for Cloud Apps nella pagina Impostazioni connettori app:

• Assicurarsi che la condivisione esterna di SharePoint sia gestita tramite elenchi consentiti/elenchi di blocchi di dominio.
• Bloccare OneDrive for Business sincronizzazione da dispositivi non gestiti.

Integrazione di Microsoft Secure Score con Microsoft Lighthouse 365

Microsoft 365 Lighthouse consente ai provider di servizi gestiti (MSP) di espandere la propria attività e offrire servizi ai clienti su larga scala da un unico portale. Lighthouse consente ai clienti di standardizzare le configurazioni, gestire i rischi, identificare opportunità di vendita basate sull'intelligenza artificiale e interagire con i clienti per ottimizzare gli investimenti in Microsoft 365.

Microsoft Secure Score è stato integrato in Microsoft 365 Lighthouse. Questa integrazione offre una visualizzazione aggregata del punteggio di sicurezza in tutti i tenant gestiti e i dettagli del punteggio di sicurezza per ogni singolo tenant. L'accesso a Secure Score è disponibile da una nuova scheda nella home page di Lighthouse o selezionando un tenant nella pagina Tenant lighthouse.

Nota

L'integrazione con Microsoft Lighthouse 365 è disponibile per i partner Microsoft che usano il programma Cloud Solution Provider (CSP) per gestire i tenant dei clienti.

L'integrazione delle autorizzazioni di Punteggio di sicurezza Microsoft con Microsoft Defender XDR controllo degli accessi in base al ruolo unificato è ora disponibile in anteprima pubblica

In precedenza, solo Microsoft Entra ruoli globali (ad esempio amministratori globali) potevano accedere a Microsoft Secure Score. A questo punto, è possibile controllare l'accesso e concedere autorizzazioni granulari per l'esperienza di Punteggio di sicurezza Microsoft come parte del modello di controllo degli accessi in base al ruolo Microsoft Defender XDR unificato.

È possibile aggiungere la nuova autorizzazione e scegliere le origini dati a cui l'utente ha accesso selezionando il gruppo Autorizzazioni per il comportamento di sicurezza durante la creazione del ruolo. Per altre informazioni, vedere Create ruoli personalizzati con Microsoft Defender XDR controllo degli accessi in base al ruolo unificato. Gli utenti visualizzano i dati del punteggio di sicurezza per le origini dati a cui hanno le autorizzazioni.

È disponibile anche una nuova origine dati Secure Score: è disponibile anche un'origine dati aggiuntiva . Gli utenti con autorizzazioni per questa origine dati hanno accesso a dati aggiuntivi all'interno del dashboard Punteggio di sicurezza. Per altre informazioni sulle origini dati aggiuntive, vedere Prodotti inclusi in Punteggio di sicurezza.

Luglio 2023

Le seguenti Microsoft Defender per identità raccomandazioni sono state aggiunte come azioni di miglioramento del punteggio di sicurezza Microsoft:

• Rimuovere l'attributo "la password non scade mai" dagli account nel dominio.
• Rimuovere i diritti di accesso per gli account sospetti con l'autorizzazione SDHolder Amministrazione.
• Gestire gli account con password con più di 180 giorni di età.
• Rimuovere gli amministratori locali sugli asset di identità.
• Rimuovere gli account non amministratori con autorizzazioni DCSync.
• Avviare la distribuzione di Defender per identità, installando Sensori nei controller di dominio e in altri server idonei.

La raccomandazione dell'area di lavoro google seguente è stata aggiunta come azione di miglioramento del punteggio di sicurezza Microsoft:

• Abilitare l'autenticazione a più fattori (MFA)

Per visualizzare questo nuovo controllo, il connettore dell'area di lavoro Google in Microsoft Defender for Cloud Apps deve essere configurato tramite la pagina Impostazioni connettori app.

Maggio 2023

Una nuova raccomandazione Microsoft Exchange Online è ora disponibile come azione di miglioramento del punteggio di sicurezza:

• Assicurarsi che le regole di trasporto della posta non consentano domini specifici.

Le nuove raccomandazioni di Microsoft SharePoint sono ora disponibili come azioni di miglioramento del punteggio di sicurezza:

• Verificare che sia necessaria l'autenticazione moderna per le applicazioni SharePoint.
• Assicurarsi che gli utenti esterni non possano condividere file, cartelle e siti di cui non sono proprietari.

Aprile 2023

Sono ora disponibili nuove raccomandazioni in Microsoft Secure Score per i clienti con una licenza di Microsoft Defender for Cloud Apps attiva:

• Assicurarsi che esistano solo gruppi pubblici gestiti/approvati dall'organizzazione.
• Verificare che la frequenza di accesso sia abilitata e che le sessioni del browser non siano persistenti per gli utenti amministratori.
• Assicurarsi che gli account amministrativi siano separati, non assegnati e solo cloud.
• Verificare che le applicazioni integrate di terze parti non siano consentite.
• Verificare che il flusso di lavoro di consenso dell'amministratore sia abilitato.
• Verificare che i criteri di prevenzione della perdita dei dati siano abilitati per Microsoft Teams.
• Assicurarsi che i record SPF vengano pubblicati per tutti i domini di Exchange.
• Assicurarsi che Microsoft Defender for Cloud Apps sia Abilitato.
• Assicurarsi che i criteri di gestione dei dispositivi mobili siano impostati in modo da richiedere configurazioni di sicurezza avanzate per la protezione da attacchi Internet di base.
• Assicurarsi che il riutilizzo delle password del dispositivo mobile non sia consentito.
• Assicurarsi che i dispositivi mobili siano impostati per non scadere mai le password.
• Assicurarsi che gli utenti non possano connettersi da dispositivi che sono jail broken o rooted.
• Assicurarsi che i dispositivi mobili siano impostati per la cancellazione in caso di più errori di accesso per evitare la compromissione della forza bruta.
• Assicurarsi che i dispositivi mobili richiedano una lunghezza minima della password per evitare attacchi di forza bruta.
• Assicurarsi che i dispositivi si blocchino dopo un periodo di inattività per impedire l'accesso non autorizzato.
• Assicurarsi che la crittografia dei dispositivi mobili sia abilitata per impedire l'accesso non autorizzato ai dati mobili.
• Assicurarsi che i dispositivi mobili richiedano password complesse (Tipo = Alfanumerico).
• Assicurarsi che i dispositivi mobili richiedano password complesse (Password semplici = Bloccate).
• Assicurarsi che i dispositivi che si connettono abbiano AV e un firewall locale abilitati.
• Verificare che i criteri di gestione dei dispositivi mobili siano necessari per i profili di posta elettronica.
• Assicurarsi che i dispositivi mobili richiedano l'uso di una password.

Nota

Per visualizzare le nuove raccomandazioni di Defender per App cloud, è necessario attivare o disattivare il connettore Office 365 in Microsoft Defender for Cloud Apps tramite la pagina Impostazioni connettori app. Per altre informazioni, vedere Come connettersi Office 365 a Defender per app cloud.

Settembre 2022

Nuove raccomandazioni Microsoft Defender per Office 365 per i criteri anti-phishing sono ora disponibili come azioni di miglioramento del punteggio di sicurezza:

• Impostare la soglia del livello di posta elettronica di phishing su 2 o superiore.
• Abilitare la protezione utente rappresentata.
• Abilitare la protezione del dominio rappresentato.
• Assicurarsi che l'intelligence per le cassette postali sia abilitata.
• Assicurarsi che l'intelligence per la protezione della rappresentazione sia abilitata.
• Mettere in quarantena i messaggi rilevati dagli utenti rappresentati.
• Messaggi di quarantena rilevati da domini rappresentati.
• Spostare i messaggi rilevati come utenti rappresentati dall'intelligence per le cassette postali.
• Abilitare l'opzione "Mostra il primo suggerimento per la sicurezza del contatto".
• Abilitare il suggerimento di sicurezza per la rappresentazione utente.
• Abilitare il suggerimento di sicurezza per la rappresentazione del dominio.
• Abilita la descrizione di sicurezza dei caratteri insoliti per la rappresentazione dell'utente.

Una nuova raccomandazione di SharePoint Online è ora disponibile come azione di miglioramento del punteggio di sicurezza:

• Disconnettere gli utenti inattivi in SharePoint Online.

Agosto 2022

Le nuove raccomandazioni Microsoft Purview Information Protection sono ora disponibili come azioni di miglioramento del punteggio di sicurezza:

• Applicazione di etichette
  • Estendere l'etichettatura di riservatezza di Microsoft 365 agli asset nella mappa dati di Azure Purview.
  • Assicurarsi che i criteri di classificazione dei dati di etichettatura automatica siano configurati e usati.
  • Pubblicare i criteri di classificazione dei dati delle etichette di riservatezza di Microsoft 365.
  • Create criteri di prevenzione della perdita dei dati (DLP).

Le nuove raccomandazioni Microsoft Defender per Office 365 sono ora disponibili come azioni di miglioramento del punteggio di sicurezza:

• Protezione dalla posta indesiderata - Criteri in ingresso

  • Impostare la soglia del livello di reclamo bulk della posta elettronica (BCL) su 6 o inferiore.
  • Impostare l'azione da intraprendere per il rilevamento della posta indesiderata.
  • Impostare l'azione da intraprendere per il rilevamento della posta indesiderata con attendibilità elevata.
  • Impostare l'azione da intraprendere per il rilevamento del phishing.
  • Impostare l'azione da intraprendere per il rilevamento del phishing con attendibilità elevata.
  • Impostare l'azione da intraprendere per il rilevamento della posta indesiderata in blocco.
  • Conservare la posta indesiderata in quarantena per 30 giorni.
  • Assicurarsi che i suggerimenti per la sicurezza da posta indesiderata siano abilitati.
  • Assicurarsi che nessun dominio mittente sia incluso nell'elenco dei domini consentiti nei criteri di protezione dalla posta indesiderata (sostituisce "Assicurarsi che non siano consentiti domini mittente per i criteri di protezione dalla posta indesiderata" per estendere la funzionalità anche per mittenti specifici).

• Protezione dalla posta indesiderata - Criteri in uscita

  • Impostare il numero massimo di destinatari esterni che un utente può inviare tramite posta elettronica all'ora.
  • Impostare il numero massimo di destinatari interni a cui un utente può inviare entro un'ora.
  • Imposta un limite di messaggi giornaliero.
  • Bloccare gli utenti che hanno raggiunto il limite di messaggi.
  • Impostare le regole di inoltro automatico della posta elettronica in modo che siano controllate dal sistema.

• Protezione dalla posta indesiderata - Filtro connessione

  • Non aggiungere indirizzi IP consentiti nei criteri del filtro di connessione.

Giugno 2022

• Le nuove raccomandazioni Microsoft Defender per endpoint e Gestione delle vulnerabilità di Microsoft Defender sono ora disponibili come azioni di miglioramento del punteggio di sicurezza:

  • Non consentire l'accesso offline alle condivisioni.
  • Rimuovere l'autorizzazione di scrittura di condivisione impostata su Tutti.
  • Rimuovere le condivisioni dalla cartella radice.
  • Impostare l'enumerazione basata sull'accesso alle cartelle per le condivisioni.
  • Aggiornare Microsoft Defender per endpoint componenti di base.

• Una nuova raccomandazione Microsoft Defender per identità è disponibile come azione di miglioramento del punteggio di sicurezza:

  • Risolvere le configurazioni di dominio non sicure.

• Una nuova raccomandazione per la governance delle app è ora disponibile come azione di miglioramento del punteggio di sicurezza:

  • Regola le app con il consenso degli account con priorità.

• Le nuove raccomandazioni di Salesforce e ServiceNow sono ora disponibili come azioni di miglioramento del punteggio di sicurezza per i clienti Microsoft Defender for Cloud Apps. Per altre informazioni, vedere Panoramica di SaaS Security Posture Management.

Nota

I controlli Salesforce e ServiceNow sono ora disponibili in anteprima pubblica.

Aprile 2022

• Attivare l'autenticazione utente per le connessioni remote.

Dicembre 2021

• Attivare Allegati sicuri in modalità blocco.
• Impedisci la condivisione Exchange Online dettagli del calendario con utenti esterni.
• Attivare Documenti sicuri per i client di Office.
• Attivare l'impostazione di filtro degli allegati comuni per i criteri antimalware.
• Assicurarsi che non siano consentiti domini mittente per i criteri di protezione dalla posta indesiderata.
• Create criteri collegamenti sicuri per i messaggi di posta elettronica.
• Create criteri di eliminazione automatica a zero ore per il malware.
• Attivare Microsoft Defender per Office 365 in SharePoint, OneDrive e Microsoft Teams.
• Create criteri di eliminazione automatica a zero ore per i messaggi di phishing.
• Create criteri di eliminazione automatica a zero ore per i messaggi di posta indesiderata.
• Bloccare l'abuso di driver firmati vulnerabili sfruttati.
• Attivare l'analisi delle unità rimovibili durante un'analisi completa.

L'opinione degli utenti è importante

In caso di problemi, comunicacelo pubblicando nella community Sicurezza, Privacy & Conformità . Stiamo monitorando la community per fornire assistenza.

Risorse correlate

• Valutazione del profilo di sicurezza
• Tenere traccia della cronologia di Microsoft Secure Score e raggiungere gli obiettivi
• Novità in arrivo

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.