Sicherheitsempfehlungen für Prioritätskonten in Microsoft 365
Tipp
Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Informationen dazu, wer sich registrieren und testen kann, finden Sie unter Try Microsoft Defender for Office 365.
Nicht alle Benutzerkonten haben Zugriff auf die gleichen Unternehmensinformationen. Einige Konten haben Zugriff auf vertrauliche Informationen wie Finanzdaten, Produktentwicklungsinformationen, Partnerzugriff auf kritische Buildsysteme und vieles mehr. Wenn sie kompromittiert werden, stellen Konten, die Zugriff auf streng vertrauliche Informationen haben, eine ernsthafte Bedrohung dar. Wir nennen diese Arten von Konten Prioritätskonten. Prioritätskonten umfassen (aber nicht beschränkt auf) CEOs, CISOs, CFOs, Infrastrukturadministratorkonten, Buildsystemkonten und vieles mehr.
Microsoft Defender for Office 365 unterstützt Prioritätskonten als Tags, die in Filtern in Warnungen, Berichten und Untersuchungen verwendet werden können. Weitere Informationen finden Sie unter Benutzertags in Microsoft Defender for Office 365.
Für Angreifer sind gewöhnliche Phishingangriffe, die ein zufälliges Netz für gewöhnliche oder unbekannte Benutzer werfen, ineffizient. Auf der anderen Seite sind Spear-Phishing - oder Whaling-Angriffe , die auf Prioritätskonten abzielen, für Angreifer sehr lohnend. Daher erfordern Prioritätskonten einen stärkeren Schutz als gewöhnlich, um eine Kompromittierung von Konten zu verhindern.
Microsoft 365 und Microsoft Defender for Office 365 enthalten mehrere wichtige Features, die zusätzliche Sicherheitsebenen für Ihre Prioritätskonten bieten. In diesem Artikel werden diese Funktionen und deren Verwendung beschrieben.
| Aufgabe | Alle Office 365 Enterprise Pläne | Microsoft 365 E3 | Microsoft 365 E5 |
|---|---|---|---|
| Erhöhen der Anmeldesicherheit für Prioritätskonten | 
|
|
|
| Verwenden von strengen voreingestellten Sicherheitsrichtlinien für Prioritätskonten |
|
|
|
| Anwenden von Benutzertags auf Prioritätskonten |
|
||
| Überwachen von Prioritätskonten in Warnungen, Berichten und Erkennungen |
|
||
| Schulung der Benutzer |
|
|
|
Hinweis
Informationen zum Schützen privilegierter Konten (Administratorkonten) finden Sie in diesem Thema.
Erhöhen der Anmeldesicherheit für Prioritätskonten
Prioritätskonten erfordern eine erhöhte Anmeldesicherheit. Sie können die Anmeldesicherheit erhöhen, indem Sie die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) und ältere Authentifizierungsprotokolle deaktivieren.
Anweisungen finden Sie unter Schritt 1. Erhöhen Sie die Anmeldesicherheit für Remotemitarbeiter mit MFA. Obwohl es in diesem Artikel um Remotemitarbeiter geht, gelten die gleichen Konzepte für Prioritätsbenutzer.
Hinweis: Es wird dringend empfohlen, ältere Authentifizierungsprotokolle für alle Prioritätsbenutzer global zu deaktivieren, wie im vorherigen Artikel beschrieben. Wenn Ihre geschäftlichen Anforderungen dies verhindern, bietet Exchange Online die folgenden Steuerelemente, um den Umfang von Legacyauthentifizierungsprotokollen einzuschränken:
Sie können (bis Oktober 2023) Clientzugriffsregeln in Exchange Online verwenden, um die Standardauthentifizierung und Ältere Authentifizierungsprotokolle wie POP3, IMAP4 und authentifizierte SMTP für bestimmte Benutzer zu blockieren oder zuzulassen.
Sie können den POP3- und IMAP4-Zugriff für einzelne Postfächer deaktivieren. Sie können authentifizierte SMTP auf Organisationsebene deaktivieren und für bestimmte Postfächer aktivieren, die es weiterhin benötigen. Anweisungen finden Sie in den folgenden Artikeln:
Es ist auch erwähnenswert, dass die Standardauthentifizierung derzeit in Exchange Online für Exchange-Webdienste (EWS), Exchange ActiveSync, POP3, IMAP4 und Remote-PowerShell veraltet ist. Weitere Informationen finden Sie in diesem Blogbeitrag.
Verwenden von strengen voreingestellten Sicherheitsrichtlinien für Prioritätskonten
Prioritätsbenutzer benötigen strengere Aktionen für die verschiedenen Schutzmaßnahmen, die in Exchange Online Protection (EOP) und Defender for Office 365 verfügbar sind.
Anstatt beispielsweise Nachrichten, die als Spam klassifiziert wurden, in den Ordner Junk Email zu übermitteln, sollten Sie dieselben Nachrichten unter Quarantäne stellen, wenn sie für Prioritätskonten vorgesehen sind.
Sie können diesen strengen Ansatz für Prioritätskonten implementieren, indem Sie das Profil Strict in voreingestellten Sicherheitsrichtlinien verwenden.
Voreingestellte Sicherheitsrichtlinien sind ein praktischer und zentraler Ort, um unsere empfohlenen Strengen Richtlinieneinstellungen für alle Schutzmaßnahmen in EOP und Defender for Office 365 anzuwenden. Weitere Informationen finden Sie unter Voreingestellte Sicherheitsrichtlinien in EOP und Microsoft Defender for Office 365.
Ausführliche Informationen dazu, wie sich die Richtlinieneinstellungen strict von den Standardrichtlinieneinstellungen und Standardrichtlinieneinstellungen unterscheiden, finden Sie unter Empfohlene Einstellungen für EOP und Microsoft Defender for Office 365 Sicherheit.
Anwenden von Benutzertags auf Prioritätskonten
Benutzertags in Microsoft Defender for Office 365 Plan 2 (als Teil von Microsoft 365 E5 oder einem Add-On-Abonnement) sind eine Möglichkeit, bestimmte Benutzer oder Benutzergruppen in Berichten und Incidentuntersuchungen schnell zu identifizieren und zu klassifizieren.
Prioritätskonten sind eine Art von integriertem Benutzertag (als Systemtag bezeichnet), mit dem Sie Incidents und Warnungen identifizieren können, die Prioritätskonten betreffen. Weitere Informationen zu Prioritätskonten finden Sie unter Verwalten und Überwachen von Prioritätskonten.
Sie können auch benutzerdefinierte Tags erstellen, um Ihre Prioritätskonten weiter zu identifizieren und zu klassifizieren. Weitere Informationen finden Sie unter Benutzertags. Sie können Prioritätskonten (Systemtags) auf derselben Benutzeroberfläche wie benutzerdefinierte Benutzertags verwalten.
Überwachen von Prioritätskonten in Warnungen, Berichten und Erkennungen
Nachdem Sie Ihre Prioritätsbenutzer gesichert und gekennzeichnet haben, können Sie die verfügbaren Berichte, Warnungen und Untersuchungen in EOP und Defender for Office 365 verwenden, um Vorfälle oder Erkennungen, die Prioritätskonten betreffen, schnell zu identifizieren. Die Features, die Benutzertags unterstützen, werden in der folgenden Tabelle beschrieben.
| Feature | Beschreibung |
|---|---|
| Warnungen | Die Benutzertags der betroffenen Benutzer sind im Microsoft Defender Portal auf der Seite Warnungen sichtbar und als Filter verfügbar. Weitere Informationen finden Sie unter Warnungsrichtlinien im Microsoft Defender-Portal. |
| Vorfälle | Die Benutzertags für alle korrelierten Warnungen sind auf der Seite Incidents im Microsoft Defender-Portal sichtbar. Weitere Informationen finden Sie unter Verwalten von Incidents und Warnungen. |
| Benutzerdefinierte Warnungsrichtlinien | Sie können Warnungsrichtlinien basierend auf Benutzertags im Microsoft Defender-Portal erstellen. Weitere Informationen finden Sie unter Warnungsrichtlinien im Microsoft Defender-Portal. |
| Explorer Echtzeiterkennungen |
In Explorer (Defender for Office 365 Plan 2) oder Echtzeiterkennungen (Defender for Office 365 Plan 1) sind Benutzertags in der Email Rasteransicht und im Flyout Email Details sichtbar. Benutzertags sind auch als filterbare Eigenschaft verfügbar. Weitere Informationen finden Sie unter Tags in Threat Explorer. |
| Die Seite "E-Mail-Entität" | Sie können E-Mails basierend auf angewendeten Benutzertags in Microsoft 365 E5 und in Defender for Office 365 Plan 1 und Plan 2 filtern. Weitere Informationen finden Sie unter Email Entitätsseite. |
| Kampagnenansichten | Benutzertags sind eine von vielen filterbaren Eigenschaften in Kampagnenansichten in Microsoft Defender for Office 365 Plan 2. Weitere Informationen finden Sie unter Kampagnenansichten. |
| Threat Protection-Statusbericht | In praktisch allen Ansichten und Detailtabellen im Bericht Threat Protection status können Sie die Ergebnisse nach Prioritätskonten filtern. Weitere Informationen finden Sie unter Threat Protection status Bericht. |
| Berichte zu den wichtigsten Absendern und Empfängern | Sie können dieses Benutzertag den 20 wichtigsten Nachrichtensendern in Ihrem organization hinzufügen. Weitere Informationen finden Sie unter Bericht mit den wichtigsten Absendern und Empfängern. |
| Bericht "Kompromittierter Benutzer" | Benutzerkonten, die in Microsoft 365-Organisationen mit Exchange Online Postfächern als verdächtig oder eingeschränkt gekennzeichnet sind, werden in diesem Bericht angezeigt. Weitere Informationen finden Sie unter Bericht "Kompromittierter Benutzer". |
| Admin Von Benutzern gemeldete Nachrichten und Übermittlungen | Verwenden Sie die Seite Übermittlungen im Microsoft Defender-Portal, um E-Mail-Nachrichten, URLs und Anlagen zur Analyse an Microsoft zu übermitteln. Weitere Informationen finden Sie unter Admin Übermittlungen und von Benutzern gemeldete Nachrichten. |
| Quarantäne | Quarantäne ist verfügbar, um potenziell gefährliche oder unerwünschte Nachrichten in Microsoft 365-Organisationen mit Postfächern in Exchange Online oder eigenständigen EOP-Organisationen (Exchange Online Protection) für Priority-Konten zu halten. Weitere Informationen finden Sie unter Quarantäne von E-Mail-Nachrichten. |
| Angriffssimulation | Um Ihre Sicherheitsrichtlinien und -praktiken zu testen, führen Sie eine gutartige Cyberangriffssimulation für Ihre Zielbenutzer aus. Weitere Informationen finden Sie unter Angriffssimulation. |
| Bericht "E-Mail-Probleme bei Prioritätskonten" | Der Bericht E-Mail-Probleme für Prioritätskonten im Exchange Admin Center (EAC) enthält Informationen zu nicht übermittelten und verzögerten Nachrichten für Konten mit Priorität. Weitere Informationen finden Sie unter E-Mail-Probleme für Prioritätskonten. |
Schulung der Benutzer
Das Trainieren von Benutzern mit Prioritätskonten kann dazu beitragen, diesen Benutzern und Ihrem Sicherheitsteam viel Zeit und Frustration zu sparen. Versierte Benutzer öffnen weniger Anlagen oder klicken auf Links in fragwürdigen E-Mail-Nachrichten, und sie vermeiden eher verdächtige Websites.
Das Handbuch zur Cybersicherheitskampagne der Harvard Kennedy School bietet hervorragende Anleitungen zum Aufbau einer starken Kultur des Sicherheitsbewusstseins in Ihrer Organisation, einschließlich der Schulung von Benutzern zur Identifizierung von Phishingangriffen.
Microsoft 365 bietet die folgenden Ressourcen, um Benutzer in Ihrer Organisation zu informieren:
| Konzept | Ressourcen | Beschreibung |
|---|---|---|
| Microsoft 365 | Anpassbare Lernpfade | Diese Ressourcen können Ihnen helfen, Schulungen für Benutzer in Ihrer Organisation zusammenzustellen. |
| Microsoft 365 Security | Lernmodul: Schützen Ihrer Organisation mit integrierter, intelligenter Sicherheit von Microsoft 365 | In diesem Modul können Sie beschreiben, wie Microsoft 365-Sicherheitsfeatures zusammenarbeiten, und die Vorteile dieser Sicherheitsfeatures erläutern. |
| Mehrstufige Authentifizierung | Herunterladen und Installieren der Microsoft Authenticator-App | Dieser Artikel hilft Endbenutzern zu verstehen, was die mehrstufige Authentifizierung ist und warum sie in Ihrer Organisation verwendet wird. |
| Angriffssimulationstraining | Erste Schritte mit dem Angriffssimulationstraining | Das Training zur Angriffssimulation in Microsoft Defender für Office 365 Plan 2 ermöglicht es Administratoren, simulierte Phishingangriffe gegen bestimmte Benutzergruppen zu konfigurieren, zu starten und nachzuverfolgen. |
Darüber hinaus empfiehlt Microsoft, dass Benutzer die in diesem Artikel beschriebenen Aktionen ergreifen: Schützen Sie Ihr Konto und Ihre Geräte vor Hackern und Schadsoftware. Diese setzen sich wie folgt zusammen:
- Verwenden sicherer Kennwörter
- Schützen von Geräten
- Aktivieren von Sicherheitsfeatures auf Windows- und Mac-PCs (für nicht verwaltete Geräte)