Jaa


Vaarantuneelle sähköpostitilille vastaaminen

Vihje

Tiesitkö, että voit kokeilla Microsoft Defender XDR ominaisuuksia ilmaiseksi palvelupakettiin Office 365 2? Käytä 90 päivän Defender for Office 365 kokeiluversiota Microsoft Defender-portaalin kokeilukeskuksessa. Lisätietoja siitä, ketkä voivat rekisteröityä ja kokeilla käyttöehtoja, on artikkelissa Kokeile Microsoft Defender for Office 365.

Tunnistetiedot hallitsevat Microsoft 365 -postilaatikoiden, tietojen ja muiden palvelujen käyttöä. Kun joku varastaa nämä tunnistetiedot, siihen liittyvä tili katsotaan vaarantuneeksi.

Kun hyökkääjä on varastanut tunnistetiedot ja pääsee käyttämään tiliä, hän voi käyttää siihen liittyvää Microsoft 365 -postilaatikkoa, SharePoint-kansioita tai tiedostoja käyttäjän OneDrivessa. Hyökkääjät käyttävät usein vaarantunneita postilaatikoita sähköpostin lähettämiseen alkuperäisenä käyttäjänä vastaanottajille organisaation sisä- ja ulkopuolella. Hyökkääjiä, jotka käyttävät sähköpostia tietojen lähettämiseen ulkoisille vastaanottajille, kutsutaan tietojen suodattimeksi.

Tässä artikkelissa kerrotaan tilin vaarantumisen oireista ja siitä, miten vaarantunut tili voidaan palauttaa hallintaan.

Microsoftin sähköpostitilin vaarantumisen oireet

Käyttäjät saattavat huomata ja ilmoittaa epätavallisesta toiminnasta Microsoft 365 -postilaatikoissaan. Esimerkki:

  • Epäilyttävä toiminta, kuten puuttuva tai poistettu sähköpostiviesti.
  • Käyttäjät, jotka saavat sähköpostia vaarantuneelta tililtä ilman vastaavaa sähköpostia lähettäjän Lähetetyt-kansiossa .
  • Epäilyttävät Saapuneet-kansion säännöt. Nämä säännöt saattavat lähettää sähköpostia automaattisesti tuntemattomiin osoitteisiin tai siirtää viestejä Muistiinpanot-, Roskaposti- tai RSS-tilaukset-kansioihin.
  • Käyttäjän näyttönimi on muutettu yleisessä osoiteluettelossa.
  • Käyttäjän postilaatikkoa on estetty lähettämästä sähköpostia.
  • Lähetetyt- tai Poistetut-kansiot Microsoft Outlookissa tai Outlookin verkkoversio (tunnettiin aiemmin nimellä Outlook Web App) sisältävät tyypillisiä viestejä vaarantuneille tileille (esimerkiksi "Olen jumissa Lontoossa, lähetä rahaa").
  • Epätavallisia profiilimuutoksia. Esimerkiksi nimen, puhelinnumeron tai postinumeron päivitykset.
  • Useita salasanoja ja usein tehtyjä muutoksia.
  • Äskettäin lisätty ulkoinen sähköpostiviestien edelleenlähetys.
  • Epätavalliset sähköpostiviestin allekirjoitukset. Esimerkiksi väärennetty pankkiallekirjoitus tai reseptilääkkeen allekirjoitus.

Sinun on välittömästi tutkittava, ilmoittaako käyttäjä näistä tai muista epätavallisista oireista. Microsoft Defender-portaali ja Azure-portaali tarjoavat seuraavat työkalut, joiden avulla voit tutkia epäilyttävää toimintaa käyttäjätilillä:

  • Yhdistetyt valvontalokit Microsoft Defender portaalissa: Suodata lokit toiminnan mukaan käyttämällä päivämääräaluetta, joka alkaa välittömästi ennen epäilyttävän toiminnan ilmenemistä tähän päivään asti. Älä suodata tiettyjä toimintoja haun aikana. Lisätietoja on kohdassa Haku valvontalokista.

  • Microsoft Entra kirjautumislokit ja muut riskiraportit Microsoft Entra -hallintakeskus: Tutki näiden sarakkeiden arvot:

    • Tarkista IP-osoite
    • kirjautumissijainnit
    • kirjautumisajat
    • sisäänkirjautuminen onnistui tai epäonnistui

Tärkeää

Seuraavan painikkeen avulla voit testata ja tunnistaa epäilyttävän tilin toiminnan. Näiden tietojen avulla voit palauttaa vaarantuneet tilit.

Suojaa ja palauta sähköpostitoiminto vaarantuneelle Microsoft 365 -tilille ja -postilaatikolle

Vaikka käyttäjä on saanut takaisin tilinsä käyttöoikeuden, hyökkääjä saattaa jättää takaovimerkintöjä, jotka voivat palauttaa tilin hallinnan.

Voit palauttaa tilin hallinnan tekemällä kaikki seuraavat vaiheet. Käy vaiheet läpi heti, kun epäilet ongelmaa, ja varmista mahdollisimman nopeasti, ettei hyökkääjä saa tiliä takaisin hallintaansa. Näiden vaiheiden avulla voit myös poistaa kaikki takaoven merkinnät, jotka hyökkääjä on lisännyt tilille. Kun olet tehnyt nämä vaiheet, suosittelemme, että suoritat virustarkistuksen varmistaaksesi, ettei asiakastietokone ole vaarantunut.

Vaihe 1: Käyttäjän salasanan vaihtaminen

Noudata ohjeita kohdassa Yrityksen salasanan palauttaminen.

Tärkeää

  • Älä lähetä uutta salasanaa käyttäjälle sähköpostitse, koska hyökkääjällä on edelleen pääsy postilaatikkoon tässä vaiheessa.

  • Muista käyttää vahvaa salasanaa: isoja ja pieniä kirjaimia, vähintään yksi numero ja vähintään yksi erikoismerkki.

  • Vaikka salasanahistoriavaatimus sallisi sen, älä käytä viittä edellistä salasanaa uudelleen. Käytä yksilöllistä salasanaa, jota hyökkääjä ei voi arvata.

  • Jos käyttäjän käyttäjätiedot on liitetty Microsoft 365:een, sinun on vaihdettava paikallisen ympäristön tilin salasana ja ilmoitettava sitten järjestelmänvalvojalle kompromissista.

  • Muista päivittää sovelluksen salasanat. Sovelluksen salasanoja ei peruuteta automaattisesti, kun palautat salasanan. Käyttäjän tulee poistaa olemassa olevat sovelluksen salasanat ja luoda uusia. Katso ohjeet kohdasta Kaksivaiheisen vahvistuksen sovellusten salasanojen hallinta.

  • Suosittelemme erittäin, että otat käyttöön monimenetelmäisen todentamisen (MFA) tilille. Monimenetelmäinen todentaminen on hyvä tapa estää tilin vaarantuminen, ja se on erittäin tärkeä tileille, joilla on järjestelmänvalvojan oikeudet. Katso ohjeet kohdasta Monimenetelmäisen todentamisen määrittäminen.

Vaihe 2: Poista epäilyttävät sähköpostin edelleenlähetysosoitteet

  1. Siirry Microsoft 365 -hallintakeskus osoitteessa https://admin.microsoft.comkohtaan Käyttäjät Aktiiviset>käyttäjät. Voit myös siirtyä suoraan Aktiiviset käyttäjät -sivulle valitsemalla https://admin.microsoft.com/Adminportal/Home#/users.

  2. Etsi Aktiiviset käyttäjät -sivulta käyttäjätili ja valitse se napsauttamalla mitä tahansa muuta rivin kohtaa kuin nimen vieressä olevaa valintaruutua.

  3. Valitse avautuvasta Tiedot-pikaikkunasta Sähköposti-välilehti .

  4. Sähköposti-välilehdenSähköpostin edelleenlähetys -osassa käytetty arvo ilmaisee, että sähköpostin edelleenlähetys on määritetty tilillä. Voit poistaa sen seuraavasti:

    • Valitse Hallitse sähköpostiviestien edelleenlähetystä.
    • Näyttöön avautuvassa Sähköpostin edelleenlähetysten hallinta -pikaikkunassa poista Lähetä edelleen kaikki tähän postilaatikkoon lähetetyt sähköpostiviestit -valintaruudun valinta ja valitse sitten Tallenna muutokset.

Vaihe 3: Poista epäilyttävät Saapuneet-kansion säännöt käytöstä

  1. Kirjaudu käyttäjän postilaatikkoon Outlookin verkkoversio.

  2. Valitse Asetukset (rataskuvake), kirjoita "säännöt" Hakuasetukset-ruutuun ja valitse sitten tuloksista Saapuneet-kansion säännöt .

  3. Tarkista avautuvassa Säännöt-pikaikkunassa olemassa olevat säännöt ja poista epäilyttävät säännöt käytöstä tai poista ne.

Vaihe 4: Poista käyttäjän sähköpostin lähettämisen esto

Jos tiliä käytettiin roskapostin tai suuren sähköpostimäärän lähettämiseen, postilaatikon lähettäminen on todennäköisesti estetty.

Voit poistaa sähköpostin lähettämisen eston noudattamalla estettyjen käyttäjien poistamisen ohjeita Rajoitetut entiteetit -sivulla.

Vaihe 5 Valinnainen: Estä käyttäjätiliä kirjautumasta sisään

Tärkeää

Voit estää tiliä kirjautumasta sisään, kunnes uskot, että on turvallista ottaa käyttöoikeus uudelleen käyttöön.

  1. Toimi seuraavasti Microsoft 365 -hallintakeskus kohdassa https://admin.microsoft.com:

    1. Siirry kohtaan Käyttäjät Aktiiviset>käyttäjät. Voit myös siirtyä suoraan Aktiiviset käyttäjät -sivulle valitsemalla https://admin.microsoft.com/Adminportal/Home#/users.
    2. Etsi ja valitse käyttäjätili Aktiiviset käyttäjät -sivulla luettelosta tekemällä jokin seuraavista toimista:
      • Valitse käyttäjä napsauttamalla mitä tahansa muuta rivin kohtaa kuin nimen vieressä olevaa valintaruutua. Valitse avautuvasta tiedot-pikaikkunasta Estä sisäänkirjautuminen pikaikkunan yläreunasta.
      • Valitse käyttäjä valitsemalla nimen vieressä oleva valintaruutu. Valitse Lisää toimintoja>Muokkaa kirjautumistilaa.
    3. Lue tiedot avautuvasta Estä sisäänkirjautuminen -pikaikkunasta, valitse Estä tämä käyttäjä kirjautumasta sisään, valitse Tallenna muutokset ja valitse sitten pikaikkunan yläreunasta Sulje.
  2. Toimi seuraavasti Exchange-hallintakeskuksessa (EAC) osoitteessa https://admin.exchange.microsoft.com:

    1. ValitseVastaanottajat-postilaatikot>. Voit myös siirtyä suoraan Postilaatikot-sivulle valitsemalla https://admin.exchange.microsoft.com/#/mailboxes.

    2. Etsi ja valitse käyttäjä Hallitse postilaatikoita -sivulla luettelosta napsauttamalla mitä tahansa muuta rivin kohtaa kuin nimen vieressä näkyvää pyöreää valintaruutua.

    3. Toimi näyttöön avautuvassa tiedot-pikaikkunassa seuraavasti:

      1. Varmista, että Yleiset-välilehti on valittuna, ja valitse sitten Sähköpostisovellukset & mobiililaitteiden kohdassa Sähköpostisovellusten hallinta.
      2. Poista kaikki käytettävissä olevat asetukset käytöstä näyttöön avautuvassa Sähköpostisovellusten asetusten hallinta -pikaikkunassa muuttamalla asetukseksi Poistettu käytöstä:
        • Outlookin työpöytä (MAPI)
        • Exchange-verkkopalvelut
        • Mobiililaite (Exchange ActiveSync)
        • IMAP
        • POP3
        • Outlookin verkkoversio

      Kun olet valmis sähköpostisovellusten hallinta -pikaikkunassa, valitse Tallenna ja valitse sitten pikaikkunan yläreunasta Sulje.

Vaihe 6 Valinnainen: Poista epäilty vaarantunut tili kaikista järjestelmänvalvojarooleista

Huomautus

Voit palauttaa käyttäjän jäsenyyden hallintarooleissa, kun tili on suojattu.

  1. Toimi Microsoft 365 -hallintakeskus osoitteessa https://admin.microsoft.comseuraavasti:

    1. Siirry kohtaan Käyttäjät Aktiiviset>käyttäjät. Voit myös siirtyä suoraan Aktiiviset käyttäjät -sivulle valitsemalla https://admin.microsoft.com/Adminportal/Home#/users.

    2. Etsi ja valitse käyttäjätili Aktiiviset käyttäjät -sivulla luettelosta tekemällä jokin seuraavista toimista:

      • Valitse käyttäjä napsauttamalla mitä tahansa muuta rivin kohtaa kuin nimen vieressä olevaa valintaruutua. Varmista avautuvassa Tiedot-pikaikkunassa, että Tili-välilehti on valittuna, ja valitse sitten Roolien hallinta -osiosta Roolit .
      • Valitse käyttäjä valitsemalla nimen vieressä oleva valintaruutu. Valitse Lisää toimintoja>Roolien hallinta.
    3. Toimi näyttöön avautuvassa Järjestelmänvalvojan roolien hallinta -pikaikkunassa seuraavasti:

      • Tallenna tiedot, jotka haluat palauttaa myöhemmin.
      • Poista järjestelmänvalvojan roolin jäsenyys valitsemalla Käyttäjä (ei hallintakeskuksen käyttöoikeuksia).

      Kun olet valmis Järjestelmänvalvojaroolien hallinta -pikaikkunassa, valitse Tallenna muutokset.

  2. Toimi seuraavasti Microsoft Defender-portaalissa osoitteessahttps://security.microsoft.com:

    1. Siirry kohtaan Käyttöoikeudet Sähköposti>& yhteistyöroolien roolit>. Tai jos haluat siirtyä suoraan Käyttöoikeudet-sivulle, käytä osoitetta https://security.microsoft.com/emailandcollabpermissions.

    2. Valitse käyttöoikeussivulla rooliryhmä luettelosta valitsemalla nimen vieressä oleva valintaruutu (esimerkiksi Organisaation hallinta) ja valitsemalla sitten näyttöön avautuva Muokkaa toimintoa.

    3. Tarkista jäsenluettelo avautuvalta Rooliryhmän jäsenten muokkaaminen -sivulta. Jos rooliryhmä sisältää käyttäjätilin, poista käyttäjä valitsemalla nimen vieressä oleva valintaruutu ja valitsemalla sitten Poista jäsenet.

      Kun olet valmis Rooliryhmä-sivun Muokkaa jäseniä - sivulla, valitse Seuraava

    4. Tarkista tiedot Tarkista rooliryhmä ja valmis -sivulla ja valitse sitten Tallenna.

    5. Toista edelliset vaiheet kullekin luettelon rooliryhmälle.

  3. Toimi Exchange-hallintakeskuksessa osoitteessa https://admin.exchange.microsoft.com/seuraavasti:

    1. Valitse Roolit>Hallinta roolit. Voit myös siirtyä suoraan Hallinta roolien sivulle valitsemalla https://admin.exchange.microsoft.com/#/adminRoles.

    2. Valitse Hallinta roolit -sivulla rooliryhmä luettelosta napsauttamalla mitä tahansa rivin jotakin muuta kohtaa kuin nimen vieressä näkyvää pyöreää valintaruutua.

    3. Valitse avautuvasta Tiedot-pikaikkunasta Määritetty-välilehti ja etsi sitten käyttäjätili. Jos rooliryhmä sisältää käyttäjätilin, toimi seuraavasti:

      1. Valitse käyttäjätili valitsemalla pyöreä valintaruutu nimen vieressä.
      2. Valitse näyttöön avautuva Poista-toiminto, valitse Kyllä, poista varoitusikkunasta ja valitse sitten pikaikkunan yläosasta Sulje.
    4. Toista edelliset vaiheet kullekin luettelon rooliryhmälle.

Vaihe 7 Valinnainen: Lisävarotoimet

  1. Tarkista tilin Lähetetyt-kansion sisältö Outlookissa tai Outlookin verkkoversio.

    Sinun on ehkä ilmoitettava käyttäjän yhteyshenkilöille, että tili on vaarantunut. Hyökkääjä on esimerkiksi saattanut lähettää viestejä, joissa pyydetään yhteyshenkilöiltä rahaa, tai hyökkääjä on saattanut lähettää viruksen kaapatakseen tietokoneensa.

  2. Myös muut palvelut, jotka käyttävät tätä tiliä vaihtoehtoisena sähköpostiosoitteena, saattavat vaarantua. Kun olet tehnyt tämän artikkelin vaiheet tämän Microsoft 365 -organisaation tilille, suorita vastaavat vaiheet muissa palveluissa.

  3. Tarkista tilin yhteystiedot (esimerkiksi puhelinnumerot ja osoitteet).

Tutustu myös seuraaviin ohjeartikkeleihin: