Krok 1. Konfigurace výchozích hodnot zabezpečení
Jako první krok v boji proti útokům ransomware musíte nakonfigurovat následující standardní hodnoty zabezpečení definované Microsoftem:
- Zabezpečení Microsoftu 365
- Správa e-mailu Exchange
- Další standardní hodnoty pro zařízení s Windows a klientský software
Tyto standardní hodnoty obsahují nastavení konfigurace a pravidla, která útočníci dobře znají a jejich absence se rychle zjistí a běžně zneužívají.
Standardní hodnoty zabezpečení Microsoftu 365
Nejprve vyhodnoťte a změřte stav zabezpečení pomocí Microsoft Secure Score a podle pokynů ho podle potřeby vylepšete.
Dále použijte pravidla omezení potenciální oblasti útoku , která vám pomůžou blokovat podezřelé aktivity a ohrožený obsah. Mezi tato pravidla patří prevence:
- Všechny aplikace Office z vytváření podřízených procesů
- Spustitelný obsah z e-mailového klienta a webové pošty
- Spustitelné soubory, pokud nesplňují kritérium výskytu, věku nebo důvěryhodného seznamu
- Spouštění potenciálně obfuskovaných skriptů
- JavaScript nebo VBScript ze spuštění staženého spustitelného obsahu
- Aplikace Office z vytváření spustitelného obsahu
- Aplikace Office z vkládání kódu do jiných procesů
- Komunikační aplikace Office z vytváření podřízených procesů
- Nedůvěryhodné a nepodepsané procesy spouštěné z USB
- Trvalost prostřednictvím odběru událostí rozhraní WMI (Windows Management Interface)
- Krádež přihlašovacích údajů ze subsystému místní autority zabezpečení Windows (lsass.exe)
- Vytváření procesů pocházející z příkazů PSExec a WMI
Směrné plány pro správu e-mailů Exchange
Pomocí těchto nastavení standardních hodnot e-mailu exchange můžete zabránit počátečnímu přístupu k vašemu tenantovi před e-mailovým útokem:
- Povolte kontrolu e-mailů Microsoft Defender Antivirus.
- Použijte Microsoft Defender pro Office 365 pro rozšířenou ochranu před útoky phishing a pokrytí před novými hrozbami a polymorfními variantami.
- Zkontrolujte nastavení filtrování Office 365 e-mailů a ujistěte se, že blokujete zfalšované e-maily, spam a e-maily s malwarem. Použijte Defender pro Office 365 pro rozšířenou ochranu proti útokům phishing a pokrytí před novými hrozbami a polymorfními variantami. Nakonfigurujte Defender pro Office 365 tak, aby znovu kontrolovaly odkazy při kliknutí a odstranění doručených e-mailů v reakci na nově získané analýzy hrozeb.
- Zkontrolujte a aktualizujte nejnovější doporučená nastavení zabezpečení EOP a Defender pro Office 365.
- Nakonfigurujte Defender pro Office 365 tak, aby znovu kontrolovaly odkazy při kliknutí a odstranění doručených e-mailů v reakci na nově získané analýzy hrozeb.
Další standardní hodnoty
Použití standardních hodnot zabezpečení pro:
- Microsoft Windows 11 nebo 10
- Microsoft 365 Apps for Enterprise
- Microsoft Edge
Dopad na uživatele a správa změn
Jako osvědčený postup pro pravidlo omezení potenciální oblasti útoku vyhodnoťte, jaký vliv může pravidlo ovlivnit vaši síť, a to otevřením doporučení zabezpečení pro toto pravidlo ve správě ohrožení zabezpečení v programu Defender. Podokno podrobností doporučení popisuje dopad na uživatele, pomocí kterého můžete určit, jaké procento vašich zařízení může přijmout nové zásady, které pravidlo povolí v režimu blokování, aniž by to mělo nepříznivý dopad na produktivitu uživatelů.
Nastavení standardních hodnot e-mailu Exchange navíc může blokovat příchozí e-maily a zabránit odesílání e-mailů nebo kliknutí na odkazy v e-mailu. Informujte pracovníky o tomto chování a důvodech, proč jsou tato opatření přijata.
Výsledná konfigurace
Tady je ochrana vašeho tenanta před ransomwarem po tomto kroku.
Další krok
Pokračujte krokem 2 a nasaďte funkce detekce útoků a reakce na vašeho tenanta Microsoftu 365.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro