Top 10 manieren om uw Microsoft 365 voor bedrijven te beveiligen
Als u een kleine of middelgrote organisatie bent die een van de bedrijfsplannen van Microsoft gebruikt en uw type organisatie is gericht op cybercriminelen en hackers, gebruikt u de richtlijnen in dit artikel om de beveiliging van uw organisatie te verhogen. Deze richtlijnen helpen uw organisatie bij het bereiken van de doelstellingen die worden beschreven in het Handboek cyberbeveiligingscampagne van de Harvard Kennedy School.
Bekijken: Overzicht van beveiliging
Microsoft 365 Business Premium biedt functies voor bedreigingsbeveiliging, gegevensbescherming en apparaatbeheer, om u te helpen uw bedrijf te beschermen tegen onlinebedreigingen en ongeautoriseerde toegang, en om bedrijfsgegevens op uw telefoons, tablets en computers te beveiligen en te beheren.
De belangrijkste beveiligingstaken voltooien
Microsoft raadt u aan om de taken uit te voeren die worden vermeld in de volgende tabel die van toepassing zijn op uw serviceplan.
Als u Microsoft Business Premium hebt, is de snelste manier om beveiliging in te stellen en veilig samen te werken, het volgen van de richtlijnen in deze bibliotheek: Microsoft 365 voor kleinere bedrijven en campagnes. Deze richtlijnen zijn ontwikkeld in samenwerking met het Microsoft Defending Democracy-team om alle kleine zakelijke klanten te beschermen tegen cyberaanvallen die zijn gestart door geavanceerde hackers.
Controleer voordat u begint uw Microsoft 365 Secure Score in de Microsoft 365 Defender portal. Vanuit een gecentraliseerd dashboard kunt u de beveiliging van uw identiteiten, Microsoft 365, gegevens, apps, apparaten en infrastructuur controleren en verbeteren. U krijgt punten voor het configureren van aanbevolen beveiligingsfuncties, het uitvoeren van beveiligingstaken (zoals het weergeven van rapporten) of het oplossen van aanbevelingen met een toepassing of software van derden. Met extra inzichten en meer zichtbaarheid in een bredere set Microsoft-producten en -services, kunt u vertrouwen hebben in de rapportage over de beveiligingstoestand van uw organisatie.
1: Meervoudige verificatie instellen
Het gebruik van meervoudige verificatie is een van de eenvoudigste en meest effectieve manieren om de beveiliging van uw organisatie te verhogen. Het is eenvoudiger dan het klinkt: wanneer u zich aanmeldt, betekent meervoudige verificatie dat u een code van uw telefoon typt om toegang te krijgen tot Microsoft 365. Dit kan voorkomen dat hackers het overnemen als ze uw wachtwoord kennen. Meervoudige verificatie wordt ook wel verificatie in twee stappen genoemd. Personen kunnen eenvoudig verificatie in twee stappen toevoegen aan de meeste accounts, bijvoorbeeld aan hun Google- of Microsoft-accounts. U kunt als volgende verificatie in twee stappen toevoegen aan uw persoonlijke Microsoft-account.
Voor bedrijven die Microsoft 365 gebruiken, voegt u een instelling toe die vereist dat uw gebruikers zich aanmelden met meervoudige verificatie. Wanneer u deze wijziging aan gaat brengen, worden gebruikers gevraagd hun telefoon in te stellen voor tweestapsverificatie wanneer ze zich de volgende keer aanmelden. Zie MFA en gebruikers instellen voor een trainingsvideo over het instellen van MFA en hoe gebruikers de set-up voltooien.
Als u meervoudige verificatie wilt instellen, schakelt u Beveiligingsinstellingen in:
Voor de meeste organisaties bieden standaardinstellingen voor beveiliging een goed niveau aanvullende aanmeldingsbeveiliging. Raadpleeg Wat zijn standaardinstellingen voor beveiliging? voor meer informatie
Als uw abonnement nieuw is, zijn de standaardinstellingen voor beveiliging mogelijk al automatisch ingeschakeld.
U kunt standaardinstellingen voor beveiliging in- of uitschakelen vanuit het deelvenster Eigenschappen voor Azure Active Directory (Azure AD) in Azure Portal.
- Meld u aan bij Microsoft 365-beheercentrum met algemeen beheerdersreferenties.
- Kies in het linker navigatievenster Alle weergeven en kies onder Beheercentra Azure Active Directory.
- Kies in het Azure Active Directory-beheercentrum Azure Active Directory > -eigenschappen.
- Kies onderaan de pagina de optie Standaardinstellingen voor beveiliging beheren.
- Kies Ja als u de standaardinstellingen voor beveiliging wilt inschakelen of Nee om deze uit te schakelen en kies vervolgens Opslaan.
Nadat u meervoudige verificatie voor uw organisatie hebt ingesteld, moeten uw gebruikers verificatie in twee stappen instellen op hun apparaten. Zie Verificatie in twee stappen instellen voorMicrosoft 365.
Zie Meervoudige verificatie instellen voor gebruikers voor meer informatie en volledige aanbevelingen.
2: Uw gebruikers trainen
Het Handboek cyberbeveiligingscampagne van de Harvard Kennedy School biedt uitstekende richtlijnen voor het tot stand brengen van een sterke cultuur van beveiligingsbewustzijn binnen uw organisatie, inclusief het trainen van gebruikers om phishingaanvallen te identificeren.
Naast deze richtlijnen raadt Microsoft aan dat uw gebruikers de acties uitvoeren die in dit artikel worden beschreven: Bescherm uw account en apparaten tegen hackers en malware. Deze acties omvatten:
Sterke wachtwoorden gebruiken
Apparaten beveiligen
Beveiligingsfuncties inschakelen op Windows 10 en Mac-pc's
Microsoft raadt gebruikers ook aan hun persoonlijke e-mailaccounts te beschermen door de acties uit te voeren die in de volgende artikelen worden aanbevolen:
3: Speciale beheerdersaccounts gebruiken
De beheeraccounts die u gebruikt om uw Microsoft 365 beheren, bevatten verhoogde bevoegdheden. Dit zijn waardevolle doelen voor hackers en cybercriminelen. Beheeraccounts alleen gebruiken voor beheer. Beheerders moeten een afzonderlijk gebruikersaccount hebben voor regelmatig, niet-administratief gebruik en hun beheeraccount alleen gebruiken wanneer dat nodig is om een taak te voltooien die is gekoppeld aan hun functie. Aanvullende aanbevelingen:
Zorg ervoor dat beheerdersaccounts ook zijn ingesteld voor meervoudige verificatie.
Sluit alle niet-gerelateerde browsersessies en -apps, inclusief persoonlijke e-mailaccounts, voordat u beheerdersaccounts gebruikt.
Nadat u beheerderstaken heeft uitgevoerd, moet u zich afmelden bij de browsersessie.
4: Het beschermingsniveau tegen malware in e-mail verhogen
Uw Microsoft 365 bevat bescherming tegen malware, maar u kunt deze beveiliging vergroten door bijlagen te blokkeren met bestandstypen die vaak voor malware worden gebruikt. Als u malwarebeveiliging in e-mail wilt tegen gaan, bekijkt u een korte trainingsvideoof volgt u de volgende stappen:
Ga naar https://protection.office.com en meld u aan met uw beheerdersaccountreferenties.
Kies in het & compliancecentrum in het linkernavigatiedeelvenster onder Bedreigingsbeheer de optie Beleid > tegen malware.
Dubbelklik op het standaardbeleid om dit beleid voor het hele bedrijf te bewerken.
Selecteer Instellingen.
Selecteer onder Gemeenschappelijke bijlagetypenfilter de optie Op. De geblokkeerde bestandstypen worden weergegeven in het venster direct onder dit besturingselement. U kunt later, indien nodig, bestandstypen toevoegen of verwijderen.
Selecteer Opslaan.
Zie Bescherming tegen malware in EOP voor meer informatie.
5: Beschermen tegen ransomware
Ransomware beperkt de toegang tot gegevens door bestanden te versleutelen of computerschermen te vergrendelen. Vervolgens wordt geprobeerd om geld af te persen van de slachtoffers door om 'los geld' te vragen, meestal in de vorm van cryptovaluta zoals Bitcoin, in ruil voor toegang tot gegevens.
U kunt u beschermen tegen ransomware door een of meer regels voor de e-mailstroom te maken om bestandsextensies te blokkeren die vaak voor ransomware worden gebruikt, of om gebruikers te waarschuwen die deze bijlagen per e-mail ontvangen. Een goed uitgangspunt is het maken van twee regels:
Waarschuw gebruikers voordat ze Office met macro's. Ransomware kan worden verborgen in macro's, dus we waarschuwen gebruikers om deze bestanden niet te openen van mensen die ze niet kennen.
Blokkeer bestandstypen die ransomware of andere schadelijke code kunnen bevatten. We beginnen met een algemene lijst met uitvoerbare bestanden (weergegeven in de onderstaande tabel). Als uw organisatie een van deze uitvoerbare typen gebruikt en u verwacht dat deze per e-mail worden verzonden, voegt u deze toe aan de vorige regel (gebruikers waarschuwen).
Als u een regel voor e-mailtransport wilt maken, bekijkt u een korte trainingsvideoof volgt u de volgende stappen:
Ga naar het Exchange-beheercentrum.
Selecteer regels in de categorie E-mailstroom.
Selecteer + en maak vervolgens een nieuwe regel.
Selecteer **** onder aan het dialoogvenster om de volledige set opties weer te geven.
Pas de instellingen in de volgende tabel toe voor elke regel. Laat de overige instellingen standaard staan, tenzij u deze wilt wijzigen.
Klik op Opslaan.
| Instelling | Gebruikers waarschuwen voordat ze bijlagen van Office openen | Bestandstypen blokkeren die ransomware of andere schadelijke code kunnen bevatten |
|---|---|---|
| Naam |
Anti-ransomwareregel: gebruikers waarschuwen |
Anti-ransomwareregel: bestandstypen blokkeren |
| Pas deze regel toe als . . . |
Elke bijlage . . . bestandsextensie komt overeen. . . |
Elke bijlage . . . bestandsextensie komt overeen. . . |
| Woorden of woordgroepen opgeven |
Voeg deze bestandstypen toe: dotm, docm, xlsm, sltm, xla, xlam, xll, pptm, potm, ppam, ppsm, sldm |
Voeg deze bestandstypen toe: ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsh, wsh, exe, pif |
| Ga als volgt te werk. . . |
Een vrijwaring voorbereiden |
Blokkeer het bericht . . . het bericht weigeren en een uitleg opnemen |
| Berichttekst verstrekken |
Open dit type bestanden niet, tenzij u ze verwachtte, omdat de bestanden mogelijk schadelijke code bevatten en de afzender geen garantie voor veiligheid biedt. |
Tip
U kunt ook de bestanden die u wilt blokkeren, toevoegen aan de lijst anti-malware in stap 4.
Zie voor meer informatie:
6: Automatisch doorsturen voor e-mail stoppen
Hackers die toegang krijgen tot het postvak van een gebruiker, kunnen e-mail exfiltreren door het postvak zo te configureren dat e-mail automatisch wordt doorgestuurd. Dit kan zelfs gebeuren zonder dat de gebruiker dit weet. U kunt dit voorkomen door een regel voor de e-mailstroom te configureren.
Een regel voor het e-mailtransport maken:
Ga naar het Exchange-beheercentrum.
Selecteer regels in de categorie E-mailstroom.
Selecteer + en maak vervolgens een nieuwe regel.
Selecteer Meer opties onder aan het dialoogvenster om de volledige set opties weer te geven.
Pas de instellingen in de volgende tabel toe. Laat de overige instellingen standaard staan, tenzij u deze wilt wijzigen.
Klik op Opslaan.
| Instelling | Automatisch doorsturen van e-mailberichten naar externe domeinen weigeren |
|---|---|
| Naam | Voorkomen dat e-mail automatisch wordt doorgestuurd naar externe domeinen |
| Pas deze regel toe als ... | De afzender . . . is extern/intern. . . Binnen de organisatie |
| Voorwaarde toevoegen | De ontvanger . . . is extern/intern. . . Buiten de organisatie |
| Voorwaarde toevoegen | De berichteigenschappen . . . het berichttype opnemen. . . Automatisch doorsturen |
| Ga als volgt te werk ... | Blokkeer het bericht . . . het bericht weigeren en een uitleg opnemen. |
| Berichttekst verstrekken | Het automatisch doorsturen van e-mail buiten deze organisatie wordt om beveiligingsredenen voorkomen. |
7: Berichtversleuteling Office gebruiken
Office Berichtversleuteling is opgenomen in Microsoft 365. Deze is al ingesteld. Met Office Berichtversleuteling kan uw organisatie versleutelde e-mailberichten verzenden en ontvangen tussen personen binnen en buiten uw organisatie. Office 365-berichtversleuteling werkt met Outlook.com, Yahoo!, Gmail en andere e-mailservices. Versleuteling van e-mailberichten helpt ervoor te zorgen dat alleen beoogde geadresseerden berichtinhoud kunnen bekijken.
Office Berichtversleuteling biedt twee beveiligingsopties bij het verzenden van e-mail:
Niet doorsturen
Versleutelen
Uw organisatie heeft mogelijk extra opties geconfigureerd die een label toepassen op e-mail, zoals Vertrouwelijk.
Beveiligde e-mail verzenden
Selecteer Outlook voor pc opties in het e-mailbericht en kies vervolgens Machtigingen.
Selecteer in Outlook.com de optie Beveiligen in het e-mailbericht. De standaardbeveiliging is Niet doorsturen. Als u dit wilt wijzigen in versleuteling, selecteert u Machtigingen > versleutelen wijzigen.
Versleutelde e-mail ontvangen
Als de geadresseerde Outlook 2013 of Outlook 2016 en een Microsoft-e-mailaccount heeft, zien ze een melding over de beperkte machtigingen van het item in het leesvenster. Na het openen van het bericht kan de geadresseerde het bericht net als alle andere weergeven.
Als de geadresseerde een andere e-mailclient of een ander e-mailaccount gebruikt, zoals Gmail of Yahoo, ziet hij of zij een koppeling waarmee hij of zij zich kan aanmelden om het e-mailbericht te lezen of een eens een wachtwoordcode kan aanvragen om het bericht in een webbrowser te bekijken. Als gebruikers de e-mail niet ontvangen, moeten ze hun map Ongewenste e-mail of Ongewenste e-mail controleren.
Zie Versleutelde berichten verzenden, weergeven en beantwoorden in Outlook pc voor meer informatie.
8. Bescherm uw e-mail tegen phishingaanvallen
Als u een of meer aangepaste domeinen hebt geconfigureerd voor uw Microsoft 365 omgeving, kunt u gerichte anti-phishingbeveiliging configureren. Anti-phishingbeveiliging, een onderdeel van Microsoft Defender voor Office 365, kan uw organisatie helpen beschermen tegen kwaadaardige phishingaanvallen op basis van imitaties en andere phishingaanvallen. Als u een aangepast domein niet hebt geconfigureerd, hoeft u dit niet te doen.
U wordt aangeraden aan de slag te gaan met deze beveiliging door een beleid te maken om uw belangrijkste gebruikers en uw aangepaste domein te beschermen.
Als u een anti-phishingbeleid wilt maken in Defender voor Office 365, bekijkt u een korte trainingsvideoof volgt u de volgende stappen:
Ga naar https://protection.office.com.
Selecteer in het & compliancecentrum in het linkernavigatiedeelvenster onder Bedreigingsbeheer de optie Beleid.
Selecteer op de pagina Beleid de optie Anti-phishing.
Selecteer op de pagina Anti-phishing + Maken. Er wordt een wizard gelanceerd om uw anti-phishingbeleid te definiëren.
Geef de naam, beschrijving en instellingen voor uw beleid op zoals aanbevolen in de onderstaande grafiek. Zie Meer informatie over anti-phishingbeleid in Microsoft Defender Office 365 opties voor meer informatie.
Nadat u de instellingen hebt gecontroleerd, selecteert u Dit beleid maken of Opslaan, naar eigen goed.
| Instelling of optie | Aanbevolen instelling |
|---|---|
| Naam | Domein en meest waardevolle campagnemedewerkers |
| Omschrijving | Zorg ervoor dat het belangrijkste personeel en ons domein niet worden nagebootst. |
| Gebruikers toevoegen om ze te beveiligen | Selecteer + Een voorwaarde toevoegen, De ontvanger is. Typ gebruikersnamen of voer het e-mailadres in van de kandidaat, campagnemanager en andere belangrijke personeelsleden. U kunt maximaal 20 interne en externe adressen toevoegen die u wilt beschermen tegen imitatie. |
| Domeinen toevoegen om te beveiligen | Selecteer + Een voorwaarde toevoegen, Het domein van de geadresseerde is. Voer het aangepaste domein in dat is gekoppeld aan Microsoft 365 abonnement, als u er een hebt gedefinieerd. U kunt meer dan één domein invoeren. |
| Acties kiezen | Als e-mail wordt verzonden door een nagebootste gebruiker: selecteer Bericht omleiden naar een ander e-mailadres en typ vervolgens het e-mailadres van de beveiligingsbeheerder. bijvoorbeeld securityadmin@contoso.com. Als e-mail wordt verzonden door een nagebootsd domein: selecteer Quarantainebericht. |
| Postvakintelligentie | Standaard is postvakinformatie geselecteerd wanneer u een nieuw anti-phishingbeleid maakt. Laat deze instelling aan voor de beste resultaten. |
| Vertrouwde afzenders en domeinen toevoegen | Definieer in dit voorbeeld geen overschrijvingen. |
| Toegepast op | Selecteer Het domein van de geadresseerde is. Selecteer onder Een van deze opties de optie Kiezen. Selecteer + Toevoegen. Schakel het selectievakje naast de naam van het domein in, bijvoorbeeld contoso.com, in de lijst en selecteer vervolgens Toevoegen. Selecteer Gereed. |
Zie Anti-phishingbeleidinstellen in Defender voor Office 365.
9: Beschermen tegen schadelijke bijlagen en bestanden met Safe bijlagen
Personen verzenden, ontvangen en delen regelmatig bijlagen, zoals documenten, presentaties, spreadsheets en meer. Het is niet altijd eenvoudig om te zien of een bijlage veilig of schadelijk is door alleen maar naar een e-mailbericht te kijken. Microsoft Defender voor Office 365 bevat Safe bijlagebeveiliging, maar deze beveiliging is niet standaard ingeschakeld. U wordt aangeraden een nieuwe regel te maken om deze beveiliging te gaan gebruiken. Deze beveiliging geldt voor bestanden in SharePoint, OneDrive en Microsoft Teams.
Als u een Safe wilt maken, bekijkt u een korte trainingsvideoof volgt u de volgende stappen:
Ga naar https://protection.office.com en meld u aan met uw beheerdersaccount.
Selecteer in het & compliancecentrum in het linkernavigatiedeelvenster onder Bedreigingsbeheer de optie Beleid.
Selecteer op de pagina Beleid Safe Bijlagen.
Pas deze Safe op de pagina met bijlagen breed toe door het selectievakje ATP voor SharePoint, OneDrive en Microsoft Teams in te schakel.
Selecteer + om een nieuw beleid te maken.
Pas de instellingen in de volgende tabel toe.
Nadat u de instellingen hebt gecontroleerd, selecteert u Dit beleid maken of Opslaan, naar eigen goed.
| Instelling of optie | Aanbevolen instelling |
|---|---|
| Naam | Blokkeer huidige en toekomstige e-mailberichten met gedetecteerde malware. |
| Omschrijving | Blokkeer huidige en toekomstige e-mailberichten en bijlagen met gedetecteerde malware. |
| Bijlages opslaan onbekende malwarereactie | Selecteer Blokkeren: blokkeer de huidige en toekomstige e-mailberichten en bijlagen met gedetecteerde malware. |
| Bijlage omleiden bij detectie | Omleiding inschakelen (selecteer dit vak) Voer het beheerdersaccount of een postvakinstelling in voor quarantaine. Pas de bovenstaande selectie toe als er malware wordt gescand op bijlagen of als er een fout optreedt (schakel dit vakje in). |
| Toegepast op | Het domein van de geadresseerde is . . . selecteer uw domein. |
Zie Anti-phishingbeleidinstellen in Defender voor Office 365.
10: Beschermen tegen phishingaanvallen met Safe Koppelingen
Hackers verbergen soms schadelijke websites in koppelingen in e-mail of andere bestanden. Safe Koppelingen, onderdeel van Microsoft Defender voor Office 365, kunnen uw organisatie helpen beschermen door een time-of-click verificatie van webadressen (URL's) in e-mailberichten en Office bieden. Beveiliging wordt gedefinieerd via Safe koppelingenbeleid.
U wordt aangeraden het volgende te doen:
Wijzig het standaardbeleid om de beveiliging te verhogen.
Voeg een nieuw beleid toe dat is gericht op alle geadresseerden in uw domein.
Als u koppelingen wilt Safe, bekijkt u een korte trainingsvideoof volgt u de volgende stappen:
Ga naar https://protection.office.com en meld u aan met uw beheerdersaccount.
Selecteer in het & compliancecentrum in het linkernavigatiedeelvenster onder Bedreigingsbeheer de optie Beleid.
Selecteer op de pagina Beleid Safe Koppelingen.
Het standaardbeleid wijzigen:
Dubbelklik op Safe pagina Met koppelingen onder Beleidsregels die van toepassing zijn op de hele organisatie, op het standaardbeleid.
Voer onder Instellingen die van toepassing zijn op inhoud in Office 365, een URL in die moet worden geblokkeerd, zoals example.com en selecteer + .
Onder Instellingen die van toepassing zijn op inhoud behalve e-mail, selecteert u Office 365-toepassingen , Niet bijhouden wanneer gebruikers op veilige koppelingen klikken en Gebruikers niet door veilige koppelingen naar de oorspronkelijke URL laten klikken.
Klik op Opslaan.
Een nieuw beleid maken dat is gericht op alle geadresseerden in uw domein:
Selecteer op Safe pagina met koppelingen onder Beleidsregels die van toepassing zijn op specifieke geadresseerden, + om een nieuw beleid te maken.
Pas de instellingen toe die in de volgende tabel worden vermeld.
Klik op Opslaan.
| Instelling of optie | Aanbevolen instelling |
|---|---|
| Naam | Safe koppelingenbeleid voor alle geadresseerden in het domein |
| Selecteer de actie voor onbekende potentieel schadelijke URL's in berichten | Selecteer Aan - URL's worden herschreven en gecontroleerd op een lijst met bekende schadelijke koppelingen wanneer de gebruiker op de koppeling klikt. |
| Realtime URL-scan toepassen op verdachte koppelingen en koppelingen die naar bestanden wijzen | Schakel dit vakje in. |
| Toegepast op | Het domein van de geadresseerde is . . . selecteer uw domein. |
Zie Koppelingen in Microsoft Defender voor Safe voor meer Office 365.
Verwante onderwerpen
Meervoudige verificatie voor Microsoft 365 (artikel)
Prioriteitsaccounts beheren en controleren (artikel)
Microsoft 365 rapporten in het beheercentrum (video)