Reduzieren der Angriffsfläche für Microsoft Teams
Microsoft Teams ist ein weit verbreitetes Tool für die Zusammenarbeit, bei dem viele Benutzer jetzt ihre Zeit verbringen. Angreifer wissen dies und pivotieren. Im Folgenden finden Sie eine Reihe von Schritten, die Sie ausführen können, um die Angriffsfläche in Teams zu verringern und Ihre Organisation sicherer zu halten.
Wichtig
Es gibt ein Gleichgewicht zwischen Sicherheit und Produktivität, und nicht alle diese Schritte sind möglicherweise für Ihr Organisationsrisikoprofil relevant.
Was Sie benötigen
- Microsoft Teams
- Microsoft Defender für Office 365 Plan 1 (für einige Features)
- Ausreichende Berechtigungen (Teams-Administrator/Sicherheitsadministrator)
- 5-10 Minuten, um die folgenden Schritte auszuführen.
Hinweis
Nicht alle diese Optionen sind für behördenspezifische Clouds wie Microsoft 365 GCC verfügbar.
Aktivieren von Microsoft Defender für Office 365 in Teams
Wenn Sie für Microsoft Defender für Office 365 lizenziert sind (kostenlose 90-Tage-Evaluierung verfügbar unter aka.ms/trymdo), können Sie einen nahtlosen Schutz vor Zero-Day-Schadsoftware und Demkzeitschutz in Microsoft Teams sicherstellen.
Weitere Informationen (SafeLinks) & Weitere Informationen (sichere Anlagen) (ausführliche Dokumentation)
- Melden Sie sich bei der Konfigurationsseite für sichere Anlagen des Security Centers unter an https://security.microsoft.com/safeattachmentv2.
- Klicken Sie auf Globale Einstellungen.
- Stellen Sie sicher , dass Defender für Office 365 für SharePoint, OneDrive und Microsoft Teams aktivieren aktiviert ist.
- Navigieren Sie zur Konfigurationsseite für sichere Links im Security Center unter : https://security.microsoft.com/safelinksv2.
- Wenn Sie über mehrere Richtlinien verfügen, müssen Sie diesen Schritt für jede Richtlinie ausführen (mit Ausnahme der integrierten, standardmäßigen und strengen voreingestellten Richtlinien).
- Wählen Sie eine Richtlinie aus, und auf der linken Seite wird ein Flyout angezeigt.
- Klicken Sie auf Schutzeinstellungen bearbeiten.
- Stellen Sie sicher , dass sichere Links eine Liste bekannter, schädlicher Links überprüft, wenn Benutzer in Microsoft Teams auf Links klicken .
- Klicken Sie auf Speichern.
- In Organisationen mit Microsoft Defender für Office 365 Plan 2 oder Microsoft Defender XDR können Administratoren entscheiden, ob Benutzer schädliche Nachrichten in Microsoft Teams melden können. Weitere Informationen finden Sie hier. Einstellungen für vom Benutzer gemeldete Nachrichten in Microsoft Teams
Einschränken von Kanal-E-Mail-Nachrichten auf genehmigte Domänen
Ein Angreifer könnte Kanäle direkt per E-Mail senden, wenn er die E-Mail-Adresse des Kanals entdeckt. Die bewährte Methode besteht darin, dies nur für bekannte vertrauenswürdige Domänen einzurichten, anstatt für alle (Standard) offen zu sein.
- Melden Sie sich beim Teams Admin Center an: https://admin.teams.microsoft.com/.
- Erweitern Sie im linken Navigationsbereich Teams , und wählen Sie dann Teams-Einstellungen aus.
- Wählen Sie unter der Überschrift E-Mail-Integration aus, dass Benutzer E-Mails an eine Kanal-E-Mail-Adresse senden können, indem Sie benutzer können E-Mails an eine Kanal-E-Mail-Adresse senden aktivieren.
- Wenn Sie benutzern im vorherigen Schritt erlaubt haben, E-Mails an eine Kanal-E-Mail-Adresse zu senden, geben Sie im Feld Kanal-E-Mail von diesen SMTP-Domänen akzeptieren die spezifischen Domänen ein, von denen Sie E-Mails akzeptieren möchten. (z. B. ein Warnungsanbieter oder ein vertrauenswürdiger Lieferant).
- Klicken Sie unten auf der Seite auf Speichern.
Verwalten von Speicheroptionen von Drittanbietern
Benutzer können ihre Dateien in potenziell nicht unterstützten Speicheranbietern von Drittanbietern speichern. Wenn Sie diese Anbieter nicht verwenden, können Sie diese Einstellung deaktivieren, um das Risiko von Datenlecks zu reduzieren.
- Melden Sie sich beim Teams Admin Center an: https://admin.teams.microsoft.com/.
- Erweitern Sie im linken Navigationsbereich Teams , und wählen Sie dann Teams-Einstellungen aus.
- Wählen Sie unter der Überschrift Dateien aus, welche Speicheranbieter auf der Registerkarte "Dateien" zur Verwendung verfügbar sein sollen.
- Klicken Sie unten auf der Seite auf Speichern.
Deaktivieren von & benutzerdefinierten Apps von Drittanbietern
Anwendungen sind ein sehr nützlicher Bestandteil von Microsoft Teams, aber es wird empfohlen, eine Liste der zulässigen Apps zu verwalten, anstatt alle Apps standardmäßig zuzulassen.
- Melden Sie sich beim Teams Admin Center an: https://admin.teams.microsoft.com/.
- Erweitern Sie im linken Navigationsbereich Teams-Apps , und wählen Sie dann Berechtigungsrichtlinien aus.
- Wenn Sie über benutzerdefinierte Berechtigungsrichtlinien verfügen, müssen Sie diese Schritte ggf. für jede dieser Richtlinien ausführen, andernfalls wählen Sie Global (organisationsweite Standardeinstellung) aus.
- Wählen Sie die entsprechenden Einstellungen für Ihre Organisation aus. Ein empfohlener Ausgangspunkt ist:
- Microsoft-Apps: Legen Sie alle Apps zulassen (Standard) fest.
- Apps von Drittanbietern: Legen Sie auf Bestimmte Apps zulassen und alle anderen blockieren fest (wenn Sie bereits Drittanbieter-Apps zum Zulassen auswählen müssen), andernfalls wählen Sie Alle Apps blockieren aus.
- Benutzerdefinierte Apps: Legen Sie bestimmte Apps zulassen fest, und blockieren Sie alle anderen (wenn Sie bereits benutzerdefinierte Apps zum Zulassen auswählen) andernfalls Alle Apps blockieren aus.
- Klicken Sie auf Speichern.
- Sie müssen diese Einstellung für jede Richtlinie ändern (wenn Sie mehrere haben).
Konfigurieren von Besprechungseinstellungen
Sie können die Angriffsfläche verringern, indem Sie sicherstellen, dass Personen außerhalb Ihrer Organisation keinen Zugriff anfordern können, um die Bildschirme des Referenten zu steuern, und die Einwahl und alle externen Personen müssen authentifiziert & aus einem Besprechungslobby zugelassen werden. Weitere Informationen (ausführliche Dokumentation).
- Melden Sie sich beim Teams Admin Center an: https://admin.teams.microsoft.com/.
- Erweitern Sie im linken Navigationsbereich Besprechungen , und wählen Sie dann Besprechungsrichtlinien aus.
- Wenn Sie Benutzern benutzerdefinierte oder integrierte Richtlinien zugewiesen haben, müssen Sie diese Schritte ggf. für jeden benutzerdefiniert ausführen. Wählen Sie andernfalls Global (organisationsweite Standardeinstellung) aus.
- Stellen Sie unter der Überschrift Inhaltsfreigabe sicher, dass externe Teilnehmer die Steuerung erteilen können oder die Anforderungssteuerungdeaktiviert ist.
- Stellen Sie unter der Überschrift Besprechungsbeitritt & Wartebereich sicher, dass Personen, die sich einwählen, den Wartebereich umgehen können, deaktiviert ist.
- Stellen Sie sicher , dass anonyme Benutzer an einer Besprechung teilnehmenkönnen deaktiviert ist.
- Legen Sie unter der Überschrift Besprechungsbindungden Besprechungschat auf "Für alle, aber anonyme Benutzer ein" fest.
- Klicken Sie auf Speichern.
- Sie müssen diese Einstellung für jede Richtlinie ändern.
Konfigurieren von Besprechungseinstellungen (Referenten einschränken)
Sie können das Risiko, dass unerwünschte oder unangemessene Inhalte während Besprechungen freigegeben werden, verringern, indem Sie einschränken, wer den Organisatoren präsentieren kann (jeder darf standardmäßig präsentieren).
- Melden Sie sich beim Teams Admin Center an: https://admin.teams.microsoft.com/.
- Erweitern Sie im linken Navigationsbereich Besprechungen , und wählen Sie dann Besprechungsrichtlinien aus.
- Wenn Sie Benutzern benutzerdefinierte oder integrierte Richtlinien zugewiesen haben, müssen Sie diese Schritte ggf. für jeden benutzerdefiniert ausführen. Wählen Sie andernfalls Global (organisationsweite Standardeinstellung) aus.
- Legen Sie unter der Überschrift Inhaltsfreigabedie Option Wer kann präsentieren kannauf Nur Organisatoren und Mitorganisatoren fest.
- Klicken Sie auf Speichern.
- Sie müssen diese Einstellung für jede Richtlinie ändern.
Einschränken von Domänen für den externen Zugriff
Der externe Zugriff ermöglicht Es Ihren Benutzern, extern in Teams zu kommunizieren, sodass externe Organisationen eine Unterhaltung mit Ihren Benutzern beginnen können und umgekehrt, was für die Zusammenarbeit nützlich ist, aber auch für Angreifer, die direkt mit Ihrer Organisation kommunizieren können, wenn sie die E-Mail-Adresse eines Opfers kennen. Weitere Informationen (ausführliche Dokumentation)
- Melden Sie sich beim Teams Admin Center an: https://admin.teams.microsoft.com/.
- Erweitern Sie im linken Navigationsbereich Benutzer , und wählen Sie dann Externer Zugriff aus.
- Wählen Sie unter der Überschrift Teams- und Skype for Business-Benutzer in externen Organisationen die Dropdownliste Auswählen aus, auf welche externen Domänen Ihre Benutzer Zugriff haben , und legen Sie dies auf Nur bestimmte externe Domänen zulassen fest.
- Geben Sie alle externen Domänen ein, mit denen Benutzer kommunizieren können sollen, indem Sie Domänen zulassen auswählen, das Flyout verwenden und Fertig auswählen, wenn Sie fertig sind.
- Klicken Sie auf Speichern.
Beachten Sie, dass externe Organisationen auch die Domäne Ihrer Organisation zulassen müssen, damit der externe Zugriff funktioniert.
Weitere Informationen
Erwägen Sie die Konfiguration von Zugriffsrichtlinien, um Zero Trust-Identitäts- und Gerätezugriffsrichtlinien zu implementieren, um Microsoft Teams-Chats, -Gruppen und -Inhalte wie Dateien und Kalender zu schützen.
Weitere Informationen zu Teams-Zugriffsrichtlinien: Richtlinienempfehlungen zum Schützen von Teams-Chats, -Gruppen und -Dateien.
Sicherheit in Microsoft Teams: Übersicht über Sicherheit und Compliance – Microsoft Teams | Microsoft-Dokumentation.