Krok 1. Konfigurace výchozích hodnot zabezpečení

Jako první krok v boji proti útokům ransomware musíte nakonfigurovat následující standardní hodnoty zabezpečení definované Microsoftem:

• Zabezpečení Microsoftu 365
• Správa e-mailu Exchange
• Další standardní hodnoty pro zařízení s Windows a klientský software

Tyto standardní hodnoty obsahují nastavení konfigurace a pravidla, která útočníci dobře znají a jejich absence se rychle zjistí a běžně zneužívají.

Standardní hodnoty zabezpečení Microsoftu 365

Nejprve vyhodnoťte a změřte stav zabezpečení pomocí Microsoft Secure Score a podle pokynů ho podle potřeby vylepšete.

Dále použijte pravidla omezení potenciální oblasti útoku , která vám pomůžou blokovat podezřelé aktivity a ohrožený obsah. Mezi tato pravidla patří prevence:

• Všechny aplikace Office z vytváření podřízených procesů
• Spustitelný obsah z e-mailového klienta a webové pošty
• Spustitelné soubory, pokud nesplňují kritérium výskytu, věku nebo důvěryhodného seznamu
• Spouštění potenciálně obfuskovaných skriptů
• JavaScript nebo VBScript ze spuštění staženého spustitelného obsahu
• Aplikace Office z vytváření spustitelného obsahu
• Aplikace Office z vkládání kódu do jiných procesů
• Komunikační aplikace Office z vytváření podřízených procesů
• Nedůvěryhodné a nepodepsané procesy spouštěné z USB
• Trvalost prostřednictvím odběru událostí rozhraní WMI (Windows Management Interface)
• Krádež přihlašovacích údajů ze subsystému místní autority zabezpečení Windows (lsass.exe)
• Vytváření procesů pocházející z příkazů PSExec a WMI

Směrné plány pro správu e-mailů Exchange

Pomocí těchto nastavení standardních hodnot e-mailu exchange můžete zabránit počátečnímu přístupu k vašemu tenantovi před e-mailovým útokem:

• Povolte kontrolu e-mailů Microsoft Defender Antivirus.
• Použijte Microsoft Defender pro Office 365 pro rozšířenou ochranu před útoky phishing a pokrytí před novými hrozbami a polymorfními variantami.
• Zkontrolujte nastavení filtrování Office 365 e-mailů a ujistěte se, že blokujete zfalšované e-maily, spam a e-maily s malwarem. Použijte Defender pro Office 365 pro rozšířenou ochranu proti útokům phishing a pokrytí před novými hrozbami a polymorfními variantami. Nakonfigurujte Defender pro Office 365 tak, aby znovu kontrolovaly odkazy při kliknutí a odstranění doručených e-mailů v reakci na nově získané analýzy hrozeb.
• Zkontrolujte a aktualizujte nejnovější doporučená nastavení zabezpečení EOP a Defender pro Office 365.
• Nakonfigurujte Defender pro Office 365 tak, aby znovu kontrolovaly odkazy při kliknutí a odstranění doručených e-mailů v reakci na nově získané analýzy hrozeb.

Další standardní hodnoty

Použití standardních hodnot zabezpečení pro:

• Microsoft Windows 11 nebo 10
• Microsoft 365 Apps for Enterprise
• Microsoft Edge

Dopad na uživatele a správa změn

Jako osvědčený postup pro pravidlo omezení potenciální oblasti útoku vyhodnoťte, jaký vliv může pravidlo ovlivnit vaši síť, a to otevřením doporučení zabezpečení pro toto pravidlo ve správě ohrožení zabezpečení v programu Defender. Podokno podrobností doporučení popisuje dopad na uživatele, pomocí kterého můžete určit, jaké procento vašich zařízení může přijmout nové zásady, které pravidlo povolí v režimu blokování, aniž by to mělo nepříznivý dopad na produktivitu uživatelů.

Nastavení standardních hodnot e-mailu Exchange navíc může blokovat příchozí e-maily a zabránit odesílání e-mailů nebo kliknutí na odkazy v e-mailu. Informujte pracovníky o tomto chování a důvodech, proč jsou tato opatření přijata.

Výsledná konfigurace

Tady je ochrana vašeho tenanta před ransomwarem po tomto kroku.

Další krok

Pokračujte krokem 2 a nasaďte funkce detekce útoků a reakce na vašeho tenanta Microsoftu 365.