De 12 viktigaste uppgifterna för säkerhetsteam att stödja arbetet hemifrån
Om du är som Microsoft och plötsligt upptäcker att du stöder en främst hembaserad arbetsstyrka, vill vi hjälpa dig att säkerställa att din organisation arbetar så säkert som möjligt. Den här artikeln prioriterar uppgifter som ska hjälpa säkerhetsgrupper att implementera de viktigaste säkerhetsfunktionerna så snabbt som möjligt.
Om du är en liten eller medelstor organisation som använder ett av Microsofts företags planer, se följande resurser i stället:
- De 10 bästa sätten att skydda Office 365 och Microsoft 365 för företag-abonnemang
- Microsoft 365 för kampanjer (innehåller en rekommenderad säkerhetskonfiguration för Microsoft 365 Business)
För kunder som använder våra enterprise-abonnemang rekommenderar Microsoft att du slutför de uppgifter som listas i följande tabell som gäller för ditt abonnemang. Om du kombinerar abonnemang Microsoft 365 i stället för att köpa ett företagsabonnemang bör du observera följande:
- Microsoft 365 E3 omfattar Enterprise Mobility + Security (EMS) E3 och Azure AD P1
- Microsoft 365 E5 innehåller EMS E5 och Azure AD P2
Innan du börjar kontrollerar du ditt Microsoft 365 Secure Score i Microsoft 365 Defender portalen. Från en centraliserad instrumentpanel kan du övervaka och förbättra säkerheten för Microsoft 365 identiteter, data, appar, enheter och infrastruktur. Du får poäng för att konfigurera rekommenderade säkerhetsfunktioner, utföra säkerhetsrelaterade uppgifter (till exempel visa rapporter) eller åtgärda rekommendationer med ett program eller en programvara från tredje part. De rekommenderade uppgifterna i den här artikeln kommer att höja din poäng.
1: Aktivera Azure AD Multi-Factor Authentication (MFA)
Det enda bästa du kan göra för att förbättra säkerheten för anställda som arbetar hemifrån är att aktivera MFA. Om du inte redan har processer på plats kan du behandla det som ett nödpilottest och se till att du har support så att du kan hjälpa anställda som fastnar. Eftersom du förmodligen inte kan distribuera maskinvarusäkerhetsenheter kan du använda Windows Hello biometriska och smartphone-autentiseringsappar som Microsoft Authenticator.
Normalt rekommenderar Microsoft att du ger användarna 14 dagar på sig att registrera sin enhet för multifaktorautentisering innan de kräver MFA. Men om din arbetsstyrka plötsligt arbetar hemifrån kan du fortsätta och kräva MFA som säkerhetsprioritet och vara beredd på att hjälpa användare som behöver det.
Att tillämpa de här principerna tar bara några minuter, men är beredd på att ge support till användarna under de kommande dagarna.
| Planera | Rekommendation |
|---|---|
| Microsoft 365 -abonnemang (utan Azure AD P1 eller P2) | Aktivera standardinställningar för säkerhet i Azure AD. Standardinställningar för säkerhet i Azure AD inkluderar MFA för användare och administratörer. |
| Microsoft 365 E3 (med Azure AD P1) | Använd vanliga principer för villkorsstyrd åtkomst för att konfigurera följande principer: - Kräv MFA för administratörer - Kräv MFA för alla användare - Blockera äldre autentisering |
| Microsoft 365 E5 (med Azure AD P2) | Dra nytta av Azure AD Identity Protection och börja implementera Microsofts rekommenderade uppsättning av villkorsstyrd åtkomst och relaterade principer genom att skapa de två principerna: - Kräv MFA när inloggningsrisker är medel eller hög - Blockera klienter som inte har stöd för modern autentisering - Användare med hög risk måste byta lösenord |
2: Skydda mot hot
Alla Microsoft 365-abonnemang har en mängd olika skyddsfunktioner för hot. Det tar bara några minuter att få ett skydd för dessa funktioner.
- Skydd mot skadlig kod
- Skydd mot skadliga URL:er och filer
- Skydd mot nätfiske
- Skydd mot skräppost
I Skydda mot hot i Office 365 finns information om hur du kan använda som utgångspunkt.
3: Konfigurera Microsoft Defender för Office 365
Microsoft Defender för Office 365, som ingår i Microsoft 365 E5 och Office 365 E5, skyddar organisationen mot skadliga hot som kan orsakas av e-postmeddelanden, länkar och samarbetsverktyg. Det kan ta flera timmar att konfigurera.
Microsoft Defender för Office 365:
- Skyddar organisationen mot okända e-posthot i realtid genom att använda intelligenta system som inspekterar bifogade filer och länkar efter skadligt innehåll. Dessa automatiserade system har en robust detonationplattform, heuristics och maskininlärningsmodeller.
- Skyddar organisationen när användare samarbetar och delar filer genom att identifiera och blockera skadliga filer på gruppwebbplatser och dokumentbibliotek.
- Tillämpar maskininlärningsmodeller och avancerade algoritmer för identifiering av personifiering för att av invertera nätfiskeattacker.
En översikt, inklusive en sammanfattning av abonnemangen, finns i Defender för Office 365.
Din globala administratör kan konfigurera dessa skydd:
- Konfigurera Valv länkar
- Konfigurera globala inställningar för Valv Länkar
- Konfigurera principer för Valv för bifogade filer
Du måste arbeta med administratören och Exchange Online för SharePoint Online för att konfigurera Defender Office 365 för dessa arbetsbelastningar:
4: Konfigurera Microsoft Defender för identitet
Microsoft Defender for Identity är en molnbaserad säkerhetslösning som utnyttjar dina lokala Active Directory-signaler för att identifiera, upptäcka och undersöka avancerade hot, komprometterade identiteter och illasinnade insider-åtgärder som riktas mor organisationen. Fokusera på det här nästa eftersom det skyddar din lokala infrastruktur och molninfrastrukturen, har inga beroenden eller krav och kan ge omedelbar nytta.
- Se Snabbstartsguider för Microsoft Defender för identitet för att snabbt komma igång med konfigurationen
- Titta på videoklippet: Introduktion till Microsoft Defender för identitet
- Granska de tre faserna i Microsoft Defender för identitetsdistribution
5: Aktivera Microsoft 365 Defender
Nu när du har konfigurerat Microsoft Defender för Office 365 och Microsoft Defender för identitet kan du visa de kombinerade signalerna från dessa funktioner på en instrumentpanel. i Microsoft 365 Defender samlas aviseringar, incidenter, automatisk undersökning och svar och avancerad sökning i olika arbetsbelastningar (Microsoft Defender för identitet, Defender för Office 365, Microsoft Defender för slutpunkt och Microsoft Cloud App Security) i en enda ruta i fönstret Microsoft 365 Defender portal.
När du har konfigurerat en eller flera av dina Defender Office 365-tjänster aktiverar du MTP. Nya funktioner läggs till kontinuerligt i MTP. Överväg att registrera dig för att få förhandsgranskningsfunktioner.
6: Konfigurera skydd för Intune-mobilappen för telefoner och surfplattor
Microsoft Intune hantering av mobilprogram (MAM) kan du hantera och skydda organisationens data på telefoner och surfplattor utan att hantera de här enheterna. Så här fungerar det:
- Du skapar en appskyddsprincip (APP) som avgör vilka appar på en enhet som hanteras och vilka beteenden som är tillåtna (till exempel att förhindra att data från ett hanterat program kopieras till ett ohanterat program). Du skapar en princip för varje plattform (iOS, Android).
- När du har skapat appskyddsprinciperna tillämpar du dessa genom att skapa en villkorsstyrd åtkomstregel i Azure AD för att kräva godkända appar och APP-dataskydd.
APPskyddsprinciper innehåller många inställningar. Som tur är behöver du inte lära dig mer om alla inställningar och väga alternativen. Microsoft gör det enkelt att använda en inställningskonfiguration genom att rekommendera utgångspunkter. Ramverket för dataskydd som använder principer för appskydd omfattar tre nivåer som du kan välja bland.
Ännu bättre koordinerar Microsoft det här ramverket för appskydd med en uppsättning villkorsstyrda åtkomst och relaterade principer som vi rekommenderar att alla organisationer använder som utgångspunkt. Om du har implementerat MFA med hjälp av vägsväg i den här artikeln är du halvvägs dit!
Om du vill konfigurera skydd för mobilappar använder du vägledningen i Vanliga principer för identitet och enhetsåtkomst:
- Använd vägledning av appdataskyddsprinciper för att skapa principer för iOS och Android. Nivå 2 (förbättrat dataskydd) rekommenderas för grundläggande skydd.
- Skapa en regel för villkorsstyrd åtkomst så att godkända appar och APPskydd krävs.
7: Konfigurera MFA och villkorsstyrd åtkomst för gäster, inklusive Intune-mobilappsskydd
Nu ska vi se till att du kan fortsätta att samarbeta och arbeta med gäster. Om du använder Microsoft 365 E3 och har implementerat MFA för alla användare är du redo.
Om du använder Microsoft 365 E5-abonnemanget och du utnyttjar Azure Identity Protection för riskbaserade MFA måste du göra några justeringar (eftersom Azure AD Identity Protection inte omfattar gäster):
- Skapa en ny regel för villkorsstyrd åtkomst så att MFA alltid krävs för gäster och externa användare.
- Uppdatera den riskbaserade MFA-regeln för villkorsstyrd åtkomst för att utesluta gäster och externa användare.
Använd vägledning i Uppdatera vanliga principer för att tillåta och skydda gäst- och extern åtkomst för att förstå hur gäståtkomst fungerar med Azure AD och för att uppdatera de aktuella principerna.
De principer för skydd av Intune-mobilappar som du har skapat, tillsammans med regeln för villkorsstyrd åtkomst som kräver godkända appar och appskydd, gäller för gästkonton och hjälper till att skydda dina organisationsdata.
Anteckning
Om du redan har registrerat datorer i enhetshantering för att kräva kompatibla datorer måste du även utesluta gästkonton från regeln för villkorsstyrd åtkomst som framtvingar enhetsefterlevnad.
8: Registrera datorer i enhetshantering och kräv kompatibla datorer
Det finns flera metoder för att registrera arbetsstyrkans enheter. Varje metod beror på enhetens ägarskap (privat eller företag), enhetstyp (iOS, Windows, Android) och hanteringskrav (återställningar, tillhörigheter, låsning). Det här kan ta lite tid att reda ut. Mer information: Registrera enheter i Microsoft Intune.
Det snabbaste sättet att komma igång är att Konfigurera automatisk registrering för Windows 10 enheter.
Du kan också dra nytta av de här självstudiekurserna:
- Använda Autopilot för att registrera Windows enheter i Intune
- Använd Apples funktioner för enhetsregistrering för företag i Apple Business Manager (ABM) för att registrera iOS-/iPadOS-enheter i Intune
När du har registrerat enheter kan du använda vägledningen i Principer för gemensamma identiteter och enhetsåtkomst för att skapa dessa principer:
- Definiera policyer för enhetsefterlevnad – De rekommenderade inställningarna för Windows 10 omfattar att kräva antivirusskydd. Om du har Microsoft 365 E5 kan du använda Microsoft Defender för Endpoint för att övervaka hälsotillståndet för de anställdas enheter. Se till att efterlevnadsprinciper för andra operativsystem innehåller antivirusprogram och skyddsprogram för ändpunkt.
- Kräv kompatibla datorer – Det här är regeln för villkorsstyrd åtkomst i Azure AD som tillämpar efterlevnadsprinciper för enheter.
Bara en organisation kan hantera en enhet, så se till att utesluta gästkonton från regeln för villkorsstyrd åtkomst i Azure AD. Om du inte exkluderar gäst- och externa användare från principer som kräver enhetsefterlevnad blockeras dessa användare av dessa principer. Mer information finns i Uppdatera vanliga principer för att tillåta och skydda gäst- och extern åtkomst.
9: Optimera nätverket för molnanslutning
Om du snabbt gör det möjligt för många anställda att arbeta hemifrån kan detta plötsligt byte av anslutningsmönster ha stor inverkan på företagets nätverksinfrastruktur. Många nätverk skalades och utformades innan molntjänster införskalades. I många fall är nätverk nätverk av fjärranslutna medarbetare, men har inte utformats för att användas på distans av alla användare samtidigt.
Nätverkselement som VPN-koncentratorer, central egressutrustning för nätverk (t.ex. proxyenheter och skyddsenheter för dataförlust), central internetbandbredd, backhaul MPLS-kretsar, NAT-funktioner och så vidare har plötsligt fått enorm belastning på grund av belastningen på hela företaget som använder dem. Resultatet är dålig prestanda och produktivitet tillsammans med en dålig användarupplevelse för användare som anpassar sig till att arbeta hemifrån.
En del av de skydd som tidigare tillhandahållits genom att dirigera trafik tillbaka genom ett företagsnätverk tillhandahålls av de molnprogram som användarna använder. Om du har kommit till det här steget i den här artikeln har du implementerat en uppsättning avancerade molnsäkerhetskontroller för Microsoft 365 tjänster och data. Med de här kontrollerna kan du vara redo att dirigera fjärranvändares trafik direkt till Office 365. Om du fortfarande kräver en VPN-länk för åtkomst till andra program kan du förbättra prestanda och användarupplevelse avsevärt genom att implementera delade tunnlar. När du väl har uppnått ett avtal i organisationen kan det åstadkommas inom en dag av ett väl samordnat nätverksteam.
Mer information finns i följande resurser i Dokument:
- Översikt: Optimera anslutningen för fjärranvändare med VPN-delade tunnlar
- Implementera VPN-delade tunnlar för Office 365
Senaste bloggartiklar om det här avsnittet:
- Hur du snabbt optimerar trafiken för fjärranslutna personal & minska belastningen på infrastrukturen
- Alternativa sätt för säkerhetsexperter och IT-personal för att uppnå moderna säkerhetskontroller i dagens unika fjärrarbetesscenarier
10: Utbilda användare
Utbildningsanvändare kan spara dina användare och säkerhetsåtgärder genom att lägga mycket tid och bli frustrerad. Smarta användare har mindre chans att öppna bifogade filer eller klicka på länkar i tveksamma e-postmeddelanden, och risken är större att de undviker misstänkta webbplatser.
Nu finns en handbok om cybersäkerhet från Harvard School som ger utmärkt vägledning om att etablera en stark säkerhetskultur inom organisationen, bland annat utbildningsanvändare för att identifiera nätfiskeattacker.
Microsoft 365 följande resurser för att informera användarna i organisationen:
| Begrepp | Resurser |
|---|---|
| Microsoft 365 | Anpassningsbara utbildningsvägar De här resurserna kan hjälpa dig att sätta ihop utbildning för slutanvändarna i organisationen |
| Microsoft 365-säkerhet | Learning: Skydda organisationen med inbyggd och intelligent säkerhet från Microsoft 365 I den här modulen kan du beskriva hur Microsoft 365 fungerar tillsammans och att formulera fördelarna med dessa säkerhetsfunktioner. |
| Multifaktorautentisering | Tvåstegsverifiering: Vad är den ytterligare verifieringssidan? Den här artikeln hjälper slutanvändarna att förstå vad multifaktorautentisering är och varför det används i organisationen. |
Förutom den här vägledningen rekommenderar Microsoft att dina användare gör som beskrivs i den här artikeln: Skydda ditt konto och dina enheter från hackare och skadlig programvara. Dessa åtgärder omfattar:
- Använda starka lösenord
- Skydda enheter
- Aktivera säkerhetsfunktioner på Windows 10 och Mac-datorer (för ohanterade enheter)
Microsoft rekommenderar även att användare skyddar sina personliga e-postkonton genom att vidta de åtgärder som rekommenderas i följande artiklar:
11: Komma igång med Microsoft Defender för molnappar
Med Microsoft Defender för molnappar får du bra synlighet, kontroll över dataresa och avancerad analys som identifierar och bekämpar cyberhot i alla dina molntjänster. När du kommer igång med Defender för molnappar aktiveras avvikande identifieringsprinciper automatiskt, men Defender för molnappar har en inledande utbildningsperiod på sju dagar, då inte alla varningar för avvikande identifiering upphöjs.
Kom igång med Defender för molnappar nu. Senare kan du konfigurera mer avancerad övervakning och kontroller.
- Snabbstart: Komma igång med Defender för molnappar
- Få omedelbar funktionsanalys och avvikande identifiering
- Läs mer om Microsoft Defender för molnappar
- Granska nya funktioner
- Visa grundläggande konfigurationsanvisningar
12: Övervaka hot och vidta åtgärder
Microsoft 365 flera olika sätt att övervaka status och vidta lämpliga åtgärder. Den bästa utgångspunkten är Microsoft 365 Defender-portalen, där du kan se din organisations Microsoft Secure Scoreoch eventuella aviseringar eller enheter som kräver din uppmärksamhet.
Nästa steg
Grattis! Du har snabbt implementerat några av de viktigaste säkerhetsskyddet och din organisation är mycket säkrare. Nu kan du gå ännu längre med funktioner för skydd mot hot (inklusive Microsoft Defender för Endpoint), funktioner för dataklassificering och skydd och skydd av administrativa konton. En djupare, metodisk uppsättning säkerhetsrekommendationer för Microsoft 365 finns i Microsoft 365 Säkerhet för företag beslutsfattare ..
Besök även Microsofts nya Defender för molnet på docs.microsoft.com/security.