Co je nového ve skóre zabezpečení Microsoftu

Aby bylo skóre zabezpečení Microsoftu lepším zástupcem vašeho stavu zabezpečení, budeme dál přidávat nové funkce a akce pro zlepšení.

Čím více akcí zlepšení provedete, tím vyšší bude vaše skóre zabezpečení. Další informace najdete v tématu Microsoft Secure Score.

Microsoft Secure Score najdete na https://security.microsoft.com/securescoreportálu Microsoft Defender.

Únor 2024

Následující doporučení je přidáno jako akce zlepšení skóre zabezpečení Microsoftu:

Microsoft Defender for Identity:

• Úprava nezabezpečených koncových bodů služby IIS pro zápis certifikátů ADCS (ESC8)

Leden 2024

Následující doporučení byla přidána jako akce vylepšení skóre zabezpečení Microsoftu:

Microsoft Entra (AAD):

• Ujistěte se, že je pro správce vyžadována síla vícefaktorového ověřování odolná proti útokům phishing.
• Ujistěte se, že se používají vlastní seznamy zakázaných hesel.
• Ujistěte se, že rozhraní API pro správu služeb Windows Azure je omezené na role pro správu.

Správa Center:

• Ujistěte se, že aplikace a služby vlastněné uživatelem jsou omezené.

Microsoft Forms:

• Ujistěte se, že je pro Forms povolená interní ochrana proti útokům phishing.

Microsoft Share Point:

• Ujistěte se, že uživatelé sharepointového typu host nemůžou sdílet položky, které nevlastní.

Podpora Defenderu for Cloud Apps pro více instancí aplikace

Microsoft Defender for Cloud Apps teď podporuje doporučení ke skóre zabezpečení napříč několika instancemi stejné aplikace. Pokud máte například více instancí AWS, můžete nakonfigurovat a filtrovat doporučení skóre zabezpečení pro každou instanci zvlášť.

Další informace najdete v tématu Zapnutí a správa správy stavu zabezpečení SaaS (SSPM).

Prosinec 2023

Následující doporučení byla přidána jako akce vylepšení skóre zabezpečení Microsoftu:

Microsoft Entra (AAD):

• Ujistěte se, že správa Microsoft Azure je omezená na role pro správu.

Microsoft Sway:

• Ujistěte se, že swaye nejde sdílet s lidmi mimo vaši organizaci.

Microsoft Exchange Online:

• Ujistěte se, že uživatelé, kteří instalují doplňky Outlooku, nejsou povoleni.

Zendesk:

• Povolení a přijetí dvoufaktorového ověřování (2FA)
• Odešlete oznámení o změně hesla pro správce, agenty a koncové uživatele.
• Povolte omezení IP adres.
• Zablokujte zákazníkům obejití omezení IP adres.
• Správci a agenti můžou používat mobilní aplikaci Podpora Zendesku.
• Povolte ověřování v Zendesku.
• Povolení vypršení časového limitu relace pro uživatele
• Předpoklad blokování účtu.
• Zablokujte správcům nastavení hesel.
• Automatická redakce.

Dokument net:

• Přijměte jednotné přihlašování (SSO) v netDocument.

Pracoviště s metadaty:

• Přijměte jednotné přihlašování (SSO) na pracovišti podle meta.

Dropbox:

• Povolit vypršení časového limitu webové relace pro webové uživatele

Atlassian:

• Povolte vícefaktorové ověřování (MFA).
• Povolte Jednotné přihlašování (SSO).
• Povolte zásady silných hesel.
• Povolte časový limit relace pro webové uživatele.
• Povolte zásady vypršení platnosti hesla.
• Zabezpečení mobilních aplikací Atlassian – uživatelé, kterých se zásady týkají.
• Zabezpečení mobilních aplikací Atlassian – Ochrana dat aplikací.
• Zabezpečení mobilních aplikací Atlassian – požadavek na přístup k aplikacím.

Microsoft Defender for Identity: Nová doporučení související se službou Active Directory Certificate Services (ADCS):

• Doporučené akce šablon certifikátů :
  • Zabránit uživatelům v vyžádání certifikátu platného pro libovolné uživatele na základě šablony certifikátu (ESC1)
  • Úprava příliš přípustné šablony certifikátu s privilegovanými EKU (EKU pro libovolný účel nebo bez EKU) (ESC2)
  • Chybně nakonfigurovaná šablona certifikátu agenta zápisu (ESC3)
  • Upravit chybně nakonfigurovaný seznam ACL šablon certifikátů (ESC4)
  • Úprava vlastníka chybně nakonfigurovaných šablon certifikátů
• Doporučené akce certifikační autority :
  • Úprava nastavení ohrožené certifikační autority
  • Upravit chybně nakonfigurovaný seznam ACL certifikační autority (ESC7)
  • Vynucení šifrování pro rozhraní pro zápis certifikátů RPC (ESC8)

Další informace najdete v tématu posouzení stavu zabezpečení Microsoft Defender for Identity.

Říjen 2023:

Následující doporučení byla přidána jako akce vylepšení skóre zabezpečení Microsoftu:

Microsoft Entra (AAD):

• Ujistěte se, že je pro správce vyžadována síla vícefaktorového ověřování odolná proti útokům phishing.
• Ujistěte se, že se používají vlastní seznamy zakázaných hesel.

Microsoft Sway:

• Ujistěte se, že swaye nejde sdílet s lidmi mimo vaši organizaci.

Atlassian:

• Povolte vícefaktorové ověřování (MFA).
• Povolte Jednotné přihlašování (SSO).
• Povolte zásady silných hesel.
• Povolte časový limit relace pro webové uživatele.
• Povolte zásady vypršení platnosti hesla.
• Zabezpečení mobilních aplikací Atlassian – uživatelé, kterých se zásady týkají.
• Zabezpečení mobilních aplikací Atlassian – Ochrana dat aplikací.
• Zabezpečení mobilních aplikací Atlassian – požadavek na přístup k aplikacím.

Září 2023:

Následující doporučení byla přidána jako akce vylepšení skóre zabezpečení Microsoftu:

Microsoft Information Protection:

• Ujistěte se, že je povolené vyhledávání v protokolu auditování Microsoftu 365.
• Ujistěte se, že jsou pro Microsoft Teams povolené zásady ochrany před únikem informací.

Exchange Online:

• Ujistěte se, že jsou publikované záznamy SPF pro všechny domény Exchange.
• Ujistěte se, že je povolené moderní ověřování pro Exchange Online.
• Ujistěte se, že jsou pro koncové uživatele povolené možnosti MailTips.
• Ujistěte se, že je povolené auditování poštovní schránky pro všechny uživatele.
• Ujistěte se, že jsou v Outlook na webu omezeni další poskytovatelé úložiště.

Microsoft Defender for Cloud Apps:

• Ujistěte se, že je povolená Microsoft Defender for Cloud Apps.

Microsoft Defender pro Office:

• Ujistěte se, Exchange Online jsou zásady spamu nastavené tak, aby upozorňují správce.
• Ujistěte se, že jsou všechny formy přeposílání pošty blokované nebo zakázané.
• Ujistěte se, že jsou povolené bezpečné odkazy pro aplikace Office.
• Ujistěte se, že jsou povolené zásady bezpečných příloh.
• Ujistěte se, že jsou vytvořené zásady ochrany proti útokům phishing.

Srpen 2023

Následující doporučení byla přidána jako akce vylepšení skóre zabezpečení Microsoftu:

Microsoft Information Protection:

• Ujistěte se, že je povolené vyhledávání v protokolu auditování Microsoftu 365.

Microsoft Exchange Online:

• Ujistěte se, že je povolené moderní ověřování pro Exchange Online.
• Ujistěte se, Exchange Online jsou zásady spamu nastavené tak, aby upozorňují správce.
• Ujistěte se, že jsou všechny formy přeposílání pošty blokované nebo zakázané.
• Ujistěte se, že jsou pro koncové uživatele povolené možnosti MailTips.
• Ujistěte se, že je povolené auditování poštovní schránky pro všechny uživatele.
• Ujistěte se, že jsou v Outlook na webu omezeni další poskytovatelé úložiště.

Microsoft Entra ID:

Pokud chcete v konektoru Office 365 zobrazit následující nové ovládací prvky Microsoft Entra, musíte zapnout Microsoft Defender for Cloud Apps na stránce nastavení konektorů aplikací:

• Ujistěte se, že je pro místní Active Directory povolená ochrana heslem.
• Ujistěte se, že jsou zakázaná připojení k účtu LinkedIn.

Sharepoint:

• Ujistěte se, že jsou povolené bezpečné odkazy pro aplikace Office.
• Ujistěte se, že jsou povolené bezpečné přílohy pro SharePoint, OneDrive a Microsoft Teams.
• Ujistěte se, že jsou vytvořené zásady ochrany proti útokům phishing.

Pokud chcete v konektoru Office 365 zobrazit následující nové ovládací prvky SharePointu, musíte zapnout Microsoft Defender for Cloud Apps na stránce nastavení konektorů aplikací:

• Ujistěte se, že se externí sdílení SharePointu spravuje prostřednictvím seznamů povolených nebo blokovaných domén.
• Blokovat synchronizaci OneDrive pro firmy z nespravovaných zařízení

Integrace Microsoft Secure Score s Microsoft Lighthouse 365

Microsoft 365 Lighthouse pomáhá poskytovatelům spravovaných služeb růst jejich podnikání a poskytovat zákazníkům služby ve velkém měřítku z jednoho portálu. Lighthouse umožňuje zákazníkům standardizovat konfigurace, řídit rizika, identifikovat prodejní příležitosti založené na umělé inteligenci (AI) a komunikovat se zákazníky, aby jim pomohl maximalizovat jejich investice do Microsoftu 365.

Do Microsoft 365 Lighthouse jsme integrovali Microsoft Secure Score. Tato integrace poskytuje agregované zobrazení skóre zabezpečení napříč všemi spravovanými tenanty a podrobnosti o skóre zabezpečení pro každého jednotlivého tenanta. Přístup ke skóre zabezpečení je k dispozici z nové karty na domovské stránce Lighthouse nebo výběrem tenanta na stránce Tenanti lighthouse.

Poznámka

Integrace s Microsoft Lighthouse 365 je k dispozici partnerům Microsoftu, kteří ke správě tenantů zákazníků používají program Cloud Solution Provider (CSP).

Integrace oprávnění Microsoft Secure Score s Microsoft Defender XDR Sjednocené řízení přístupu na základě role (RBAC) je teď ve verzi Public Preview.

Dříve mohli ke skóre zabezpečení Microsoftu přistupovat jenom Microsoft Entra globální role (například globální správci). Teď můžete řídit přístup a udělovat podrobná oprávnění pro prostředí Microsoft Secure Score v rámci modelu Microsoft Defender XDR Unified RBAC.

Nové oprávnění můžete přidat a zvolit zdroje dat, ke které má uživatel přístup, tak, že při vytváření role vyberete skupinu Oprávnění stavu zabezpečení . Další informace najdete v tématu Create vlastních rolí s Microsoft Defender XDR Unified RBAC. Uživatelům se zobrazují data skóre zabezpečení pro zdroje dat, ke kterým mají oprávnění.

Nové skóre zabezpečení zdroje dat – k dispozici je také další zdroj dat . Uživatelé s oprávněními k tomuto zdroji dat mají přístup k dalším datům v rámci řídicího panelu skóre zabezpečení. Další informace o dalších zdrojích dat najdete v tématu Produkty zahrnuté ve skóre zabezpečení.

Červenec 2023

Následující Microsoft Defender for Identity doporučení byla přidána jako akce vylepšení skóre zabezpečení Microsoftu:

• Odeberte z účtů ve vaší doméně atribut Heslo nikdy nevyprší.
• Odeberte přístupová práva k podezřelým účtům s oprávněním Správa SDHolder.
• Správa účtů s hesly staršími než 180 dnů
• Odeberte místní správce prostředků identit.
• Odeberte účty bez oprávnění správce s oprávněními DCSync.
• Spusťte nasazení Defenderu for Identity a nainstalujte senzory na řadiče domény a další oprávněné servery.

Následující doporučení Pracovního prostoru Google bylo přidáno jako akce zlepšení skóre zabezpečení Microsoftu:

• Povolení vícefaktorového ověřování (MFA)

Aby bylo možné zobrazit tento nový ovládací prvek, musí být konektor Google Workspace v Microsoft Defender for Cloud Apps nakonfigurovaný prostřednictvím stránky nastavení konektorů aplikací.

Květen 2023

Jako akce vylepšení skóre zabezpečení je teď k dispozici nové doporučení Microsoft Exchange Online:

• Ujistěte se, že pravidla přenosu pošty neumožňují určité domény.

Nová doporučení Microsoft SharePointu jsou teď k dispozici jako akce vylepšení skóre zabezpečení:

• Ujistěte se, že je vyžadováno moderní ověřování pro sharepointové aplikace.
• Zajistěte, aby externí uživatelé nemohli sdílet soubory, složky a weby, které nevlastní.

Duben 2023

Ve službě Microsoft Secure Score jsou teď k dispozici nová doporučení pro zákazníky s aktivní licencí Microsoft Defender for Cloud Apps:

• Ujistěte se, že existují jenom organizace spravované nebo schválené veřejné skupiny.
• Ujistěte se, že je povolená frekvence přihlašování a že relace prohlížeče nejsou pro správce trvalé.
• Ujistěte se, že účty pro správu jsou oddělené, nepřiřazené a pouze cloudové.
• Ujistěte se, že integrované aplikace třetích stran nejsou povolené.
• Ujistěte se, že je povolený pracovní postup souhlasu správce.
• Ujistěte se, že jsou pro Microsoft Teams povolené zásady ochrany před únikem informací.
• Ujistěte se, že jsou publikované záznamy SPF pro všechny domény Exchange.
• Ujistěte se, Microsoft Defender for Cloud Apps povoleno.
• Ujistěte se, že jsou zásady správy mobilních zařízení nastavené tak, aby vyžadovaly pokročilé konfigurace zabezpečení pro ochranu před základními internetovými útoky.
• Ujistěte se, že je zakázáno opakované použití hesla k mobilnímu zařízení.
• Ujistěte se, že mobilní zařízení jsou nastavená tak, aby nikdy nevyprší platnost hesel.
• Ujistěte se, že se uživatelé nemůžou připojit ze zařízení s jailbreakem nebo rootem.
• Ujistěte se, že mobilní zařízení jsou nastavená na vymazání více selhání přihlášení, aby se zabránilo ohrožení zabezpečení hrubou silou.
• Ujistěte se, že mobilní zařízení vyžadují minimální délku hesla, aby se zabránilo útokům hrubou silou.
• Zajistěte uzamčení zařízení po určité době nečinnosti, abyste zabránili neoprávněnému přístupu.
• Ujistěte se, že je povolené šifrování mobilních zařízení, aby se zabránilo neoprávněnému přístupu k mobilním datům.
• Ujistěte se, že mobilní zařízení vyžadují složitá hesla (Typ = Alfanumerické).
• Ujistěte se, že mobilní zařízení vyžadují složitá hesla (Jednoduchá hesla = blokovaná).
• Ujistěte se, že zařízení, která se připojují, mají povolenou av a místní bránu firewall.
• Ujistěte se, že se pro e-mailové profily vyžadují zásady správy mobilních zařízení.
• Ujistěte se, že mobilní zařízení vyžadují použití hesla.

Poznámka

Pokud chcete zobrazit nová doporučení Defenderu for Cloud Apps, musí být konektor Office 365 v Microsoft Defender for Cloud Apps zapnutý na stránce nastavení konektorů aplikací. Další informace najdete v tématu Připojení Office 365 k Defenderu for Cloud Apps.

září 2022

Nová Microsoft Defender pro Office 365 doporučení pro zásady ochrany proti útokům phishing jsou teď k dispozici jako akce vylepšení skóre zabezpečení:

• Nastavte prahovou hodnotu úrovně phishingových e-mailů na 2 nebo vyšší.
• Povolte ochranu zosobněného uživatele.
• Povolte ochranu zosobněné domény.
• Ujistěte se, že jsou povolené inteligentní funkce poštovní schránky.
• Ujistěte se, že jsou povolené inteligentní funkce pro ochranu před zosobněním.
• Zprávy zjištěné od zosobněných uživatelů umístí do karantény.
• Zprávy zjištěné z zosobněných domén umístí do karantény.
• Přesunujte zprávy, které jsou rozpoznána jako zosobnění uživatelů pomocí inteligentních funkcí poštovní schránky.
• Povolte možnost "zobrazit bezpečnostní tip prvního kontaktu".
• Povolte bezpečnostní tip pro zosobnění uživatele.
• Povolte bezpečnostní tip pro zosobnění domény.
• Povolte bezpečnostní tip pro zosobnění neobvyklých znaků uživatele.

Nové doporučení SharePointu Online je teď k dispozici jako akce zlepšení skóre zabezpečení:

• Odhlaste neaktivní uživatele v SharePointu Online.

Srpen 2022

Nová doporučení Microsoft Purview Information Protection jsou teď k dispozici jako akce vylepšení skóre zabezpečení:

• Označování
  • Rozšíření popisků citlivosti Microsoftu 365 na prostředky v datové mapě Azure Purview
  • Ujistěte se, že jsou nastavené a používané zásady automatické klasifikace dat.
  • Publikujte zásady klasifikace dat popisků citlivosti Microsoft 365.
  • Create zásady ochrany před únikem informací (DLP).

Nová Microsoft Defender pro Office 365 doporučení jsou teď k dispozici jako akce vylepšení skóre zabezpečení:

• Antispam – příchozí zásady

  • Nastavte prahovou hodnotu úrovně hromadné stížnosti e-mailu (BCL) na 6 nebo nižší.
  • Nastavte akci, která se má provést při detekci spamu.
  • Nastavte akci, která se má provést při vysoce důvěryhodné detekci spamu.
  • Nastavte akci, která se má provést při detekci útoků phishing.
  • Nastavte akci, která se má provést při detekci útoků phishing s vysokou spolehlivostí.
  • Nastavte akci, která se má provést při hromadné detekci spamu.
  • Uchovávejte spam v karanténě po dobu 30 dnů.
  • Ujistěte se, že jsou povolené tipy pro zabezpečení spamu.
  • Ujistěte se, že v seznamu povolených domén v zásadách ochrany proti spamu nejsou žádné domény odesílatelů (nahrazuje možnost "Ujistěte se, že pro zásady ochrany proti spamu nejsou povolené žádné domény odesílatelů", aby se rozšířily funkce také pro konkrétní odesílatele).

• Antispam – zásady odchozích přenosů

  • Nastavte maximální počet externích příjemců, kterým může uživatel každou hodinu poslat e-mail.
  • Nastavte maximální počet interních příjemců, kterým může uživatel odeslat do hodiny.
  • Nastavte denní limit zpráv.
  • Blokovat uživatele, kteří dosáhli limitu zpráv
  • Nastavte pravidla automatického přeposílání e-mailů tak, aby byla řízená systémem.

• Antispam – filtr připojení

  • Do zásad filtru připojení nepřidávejte povolené IP adresy.

Červen 2022

• Nová doporučení Microsoft Defender for Endpoint a Microsoft Defender Správa zranitelností jsou teď k dispozici jako akce vylepšení skóre zabezpečení:

  • Zakázat offline přístup ke sdíleným složkám
  • Odeberte oprávnění k zápisu sdílené složky nastavené na Všichni.
  • Odeberte sdílené složky z kořenové složky.
  • Nastavte výčet na základě přístupu ke složkám pro sdílené složky.
  • Aktualizace Microsoft Defender for Endpoint základních komponent

• Nové doporučení Microsoft Defender for Identity je k dispozici jako akce zlepšení skóre zabezpečení:

  • Vyřešte nezabezpečené konfigurace domény.

• Nové doporučení zásad správného řízení aplikací je teď k dispozici jako akce vylepšení skóre zabezpečení:

  • Regulace aplikací se souhlasem z prioritních účtů

• Nová doporučení Salesforce a ServiceNow jsou teď k dispozici jako akce vylepšení skóre zabezpečení pro Microsoft Defender for Cloud Apps zákazníky. Další informace najdete v tématu Přehled správy stavu zabezpečení SaaS.

Poznámka

Ovládací prvky Salesforce a ServiceNow jsou teď dostupné ve verzi Public Preview.

Duben 2022

• Zapněte ověřování uživatelů pro vzdálená připojení.

Prosinec 2021

• Zapněte bezpečné přílohy v režimu blokování.
• Zabránit sdílení podrobností Exchange Online kalendáři s externími uživateli.
• Zapněte bezpečné dokumenty pro klienty Office.
• Zapněte nastavení filtru běžných příloh pro antimalwarové zásady.
• Ujistěte se, že pro zásady ochrany proti spamu nejsou povolené žádné domény odesílatele.
• Create zásady bezpečných odkazů pro e-mailové zprávy.
• Create zásady automatického vyprázdnění malwaru na nulu.
• Zapněte Microsoft Defender pro Office 365 v SharePointu, OneDrivu a Microsoft Teams.
• Create zásady automatického vymazání phishingových zpráv po nulách.
• Create zásady automatického vyprázdnění spamu nulou.
• Blokovat zneužití zneužívané ohrožené podepsané ovladače.
• Zapněte kontrolu vyměnitelných jednotek během úplné kontroly.

Chceme znát váš názor.

Pokud máte nějaké problémy, dejte nám vědět tím, že zveřejníte příspěvek v komunitě Zabezpečení, ochrana osobních údajů & Dodržování předpisů . Kvůli poskytování pomoci sledujeme komunitu.

Související zdroje informací

• Posouzení vašeho stavu zabezpečení
• Sledování historie microsoft secure score a plnění cílů
• Co se blíží

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.