Nouveautés de Microsoft Secure Score
Pour que Microsoft Secure Score soit un meilleur représentant de votre posture de sécurité, nous continuons à ajouter de nouvelles fonctionnalités et des actions d’amélioration.
Plus vous effectuez d’actions d’amélioration, plus votre degré de sécurisation est élevé. Pour plus d’informations, consultez Microsoft Secure Score.
Le niveau de sécurité Microsoft est disponible https://security.microsoft.com/securescore dans le portail Microsoft Defender.
Février 2024
La recommandation suivante est ajoutée en tant qu’action d’amélioration du niveau de sécurité Microsoft :
Microsoft Defender pour Identity :
- Modifier les points de terminaison IIS d’inscription de certificat ADCS non sécurisés (ESC8)
Janvier 2024
Les recommandations suivantes ont été ajoutées en tant qu’actions d’amélioration du niveau de sécurité Microsoft :
Microsoft Entra (AAD) :
- Vérifiez que la force MFA résistante au hameçonnage est requise pour les administrateurs.
- Vérifiez que les listes de mots de passe interdits personnalisées sont utilisées.
- Vérifiez que l’API gestion des services Windows Azure est limitée aux rôles d’administration.
centre Administration :
- Vérifiez que les applications et services appartenant à l’utilisateur sont limités.
Microsoft Forms :
- Assurez-vous que la protection contre le hameçonnage interne pour Forms est activée.
Microsoft Share Point :
- Assurez-vous que les utilisateurs invités SharePoint ne peuvent pas partager des éléments dont ils ne sont pas propriétaires.
Prise en charge de Defender for Cloud Apps pour plusieurs instances d’une application
Microsoft Defender for Cloud Apps prend désormais en charge les recommandations de niveau de sécurité sur plusieurs instances de la même application. Par exemple, si vous avez plusieurs instances d’AWS, vous pouvez configurer et filtrer les recommandations de degré de sécurisation pour chaque instance individuellement.
Pour plus d’informations, consultez Activer et gérer la gestion de la posture de sécurité SaaS (SSPM).
Décembre 2023
Les recommandations suivantes ont été ajoutées en tant qu’actions d’amélioration du niveau de sécurité Microsoft :
Microsoft Entra (AAD) :
- Vérifiez que « Gestion Microsoft Azure » est limitée aux rôles d’administration.
Microsoft Sway :
- Assurez-vous que Sways ne peut pas être partagé avec des personnes extérieures à votre organization.
Microsoft Exchange Online :
- Vérifiez que les utilisateurs qui installent des compléments Outlook ne sont pas autorisés.
Zendesk :
- Activer et adopter l’authentification à deux facteurs (2FA).
- Envoyer une notification sur la modification du mot de passe pour les administrateurs, les agents et les utilisateurs finaux.
- Activez les restrictions d’adresse IP.
- Empêcher les clients de contourner les restrictions IP.
- Les administrateurs et les agents peuvent utiliser l’application mobile Zendesk Support.
- Activez l’authentification Zendesk.
- Activer le délai d’expiration de session pour les utilisateurs.
- Bloquer l’hypothèse du compte.
- Bloquer les administrateurs pour définir des mots de passe.
- Rédaction automatique.
Net Document :
- Adoptez l’authentification unique (SSO) dans netDocument.
Meta Workplace :
- Adoptez l’authentification unique (SSO) dans Workplace by Meta.
Dropbox:
- Activer le délai d’expiration de session web pour les utilisateurs web.
Atlassian:
- Activer l’authentification multifacteur (MFA).
- Activer Authentification unique (SSO).
- Activez les stratégies de mot de passe forts.
- Activez le délai d’expiration de session pour les utilisateurs web.
- Activez les stratégies d’expiration du mot de passe.
- Sécurité des applications mobiles Atlassian : utilisateurs affectés par les stratégies.
- Sécurité des applications mobiles Atlassian - Protection des données des applications.
- Sécurité des applications mobiles Atlassian - Exigence d’accès aux applications.
Microsoft Defender pour Identity : Nouvelles recommandations relatives aux services de certificats Active Directory (ADCS) :
- Actions recommandées pour les modèles de certificat :
- Empêcher les utilisateurs de demander un certificat valide pour les utilisateurs arbitraires en fonction du modèle de certificat (ESC1)
- Modifier un modèle de certificat trop permissif avec une référence EKU privilégiée (référence EKU à tout usage ou aucune référence EKU) (ESC2)
- Modèle de certificat d’agent d’inscription mal configuré (ESC3)
- Modifier les ACL des modèles de certificat mal configurés (ESC4)
- Modifier le propriétaire des modèles de certificat mal configurés
- Actions recommandées par l’autorité de certification :
Pour plus d’informations, consultez Évaluations de la posture de sécurité de Microsoft Defender pour Identity.
Octobre 2023 :
Les recommandations suivantes ont été ajoutées en tant qu’actions d’amélioration du niveau de sécurité Microsoft :
Microsoft Entra (AAD) :
- Vérifiez que la force MFA résistante au hameçonnage est requise pour les administrateurs.
- Vérifiez que les listes de mots de passe interdits personnalisées sont utilisées.
Microsoft Sway :
- Assurez-vous que Sways ne peut pas être partagé avec des personnes extérieures à votre organization.
Atlassian:
- Activer l’authentification multifacteur (MFA).
- Activer Authentification unique (SSO).
- Activez les stratégies de mot de passe forts.
- Activez le délai d’expiration de session pour les utilisateurs web.
- Activez les stratégies d’expiration du mot de passe.
- Sécurité des applications mobiles Atlassian : utilisateurs affectés par les stratégies.
- Sécurité des applications mobiles Atlassian - Protection des données des applications.
- Sécurité des applications mobiles Atlassian - Exigence d’accès aux applications.
Septembre 2023 :
Les recommandations suivantes ont été ajoutées en tant qu’actions d’amélioration du niveau de sécurité Microsoft :
Microsoft Information Protection :
- Vérifiez que la recherche dans les journaux d’audit Microsoft 365 est activée.
- Vérifiez que les stratégies DLP sont activées pour Microsoft Teams.
Exchange Online :
- Vérifiez que les enregistrements SPF sont publiés pour tous les domaines Exchange.
- Vérifiez que l’authentification moderne pour Exchange Online est activée.
- Vérifiez que les infos-courrier sont activées pour les utilisateurs finaux.
- Vérifiez que l’audit de boîte aux lettres pour tous les utilisateurs est activé.
- Vérifiez que les fournisseurs de stockage supplémentaires sont limités dans Outlook sur le web.
Microsoft Defender for Cloud Apps :
- Vérifiez que Microsoft Defender for Cloud Apps est activé.
Microsoft Defender pour Office :
- Vérifiez Exchange Online stratégies de courrier indésirable sont définies pour avertir les administrateurs.
- Vérifiez que toutes les formes de transfert de courrier sont bloquées et/ou désactivées.
- Vérifiez que les liens fiables pour les applications Office sont activés.
- Vérifiez que la stratégie pièces jointes fiables est activée.
- Vérifiez qu’une stratégie anti-hameçonnage a été créée.
Août 2023
Les recommandations suivantes ont été ajoutées en tant qu’actions d’amélioration du niveau de sécurité Microsoft :
Microsoft Information Protection :
- Vérifiez que la recherche dans les journaux d’audit Microsoft 365 est activée.
Microsoft Exchange Online :
- Vérifiez que l’authentification moderne pour Exchange Online est activée.
- Vérifiez Exchange Online stratégies de courrier indésirable sont définies pour avertir les administrateurs.
- Vérifiez que toutes les formes de transfert de courrier sont bloquées et/ou désactivées.
- Vérifiez que les infos-courrier sont activées pour les utilisateurs finaux.
- Vérifiez que l’audit de boîte aux lettres pour tous les utilisateurs est activé.
- Vérifiez que les fournisseurs de stockage supplémentaires sont limités dans Outlook sur le web.
Microsoft Entra ID :
Pour voir les nouveaux contrôles Microsoft Entra suivants dans le connecteur Office 365, vous devez activer Microsoft Defender for Cloud Apps dans la page paramètres des connecteurs d’application :
- Vérifiez que la protection par mot de passe est activée pour Active Directory local.
- Vérifiez que « Connexions de compte LinkedIn » est désactivé.
Sharepoint:
- Vérifiez que les liens fiables pour les applications Office sont activés.
- Vérifiez que les pièces jointes sécurisées pour SharePoint, OneDrive et Microsoft Teams sont activées.
- Vérifiez qu’une stratégie anti-hameçonnage a été créée.
Pour voir les nouveaux contrôles SharePoint suivants dans le connecteur Office 365, vous devez activer Microsoft Defender for Cloud Apps dans la page paramètres des connecteurs d’application :
- Vérifiez que le partage externe SharePoint est géré via des listes d’autorisation/listes de blocage de domaine.
- Bloquer OneDrive Entreprise synchronisation à partir d’appareils non gérés.
Intégration de Microsoft Secure Score à Microsoft Lighthouse 365
Microsoft 365 Lighthouse aide les fournisseurs de services managés (MSP) à développer leur activité et à fournir des services à grande échelle aux clients à partir d’un seul portail. Lighthouse permet aux clients de normaliser les configurations, de gérer les risques, d’identifier les opportunités de vente basées sur l’intelligence artificielle (IA) et d’interagir avec les clients pour les aider à optimiser leur investissement dans Microsoft 365.
Nous avons intégré Microsoft Secure Score à Microsoft 365 Lighthouse. Cette intégration fournit une vue agrégée du degré de sécurisation pour tous les locataires gérés et des détails du degré de sécurisation pour chaque locataire individuel. L’accès au degré de sécurisation est disponible à partir d’une nouvelle carte sur la page d’accueil lighthouse ou en sélectionnant un locataire dans la page Locataires Lighthouse.
Remarque
L’intégration à Microsoft Lighthouse 365 est disponible pour les partenaires Microsoft qui utilisent le programme Fournisseur de solutions Cloud (CSP) pour gérer les locataires des clients.
L’intégration des autorisations Microsoft Secure Score à Microsoft Defender XDR contrôle d’accès en fonction du rôle unifié (RBAC) est désormais en préversion publique
Auparavant, seuls Microsoft Entra rôles globaux (tels que les administrateurs généraux) pouvaient accéder au niveau de sécurité Microsoft. À présent, vous pouvez contrôler l’accès et accorder des autorisations granulaires pour l’expérience de niveau de sécurité Microsoft dans le cadre du modèle RBAC unifié Microsoft Defender XDR.
Vous pouvez ajouter la nouvelle autorisation et choisir les sources de données auxquelles l’utilisateur a accès en sélectionnant le groupe Autorisations de posture de sécurité lors de la création du rôle. Pour plus d’informations, consultez Create rôles personnalisés avec Microsoft Defender XDR RBAC unifié. Les utilisateurs voient les données de niveau de sécurité pour les sources de données pour lesquelles ils disposent d’autorisations.
Une nouvelle source de données Niveau de sécurité : source de données supplémentaire est également disponible. Les utilisateurs disposant d’autorisations sur cette source de données ont accès à des données supplémentaires dans le tableau de bord Degré de sécurisation. Pour plus d’informations sur les sources de données supplémentaires, consultez Produits inclus dans le degré de sécurisation.
Juillet 2023
Les recommandations Microsoft Defender pour Identity suivantes ont été ajoutées en tant qu’actions d’amélioration du niveau de sécurité Microsoft :
- Supprimez l’attribut « Le mot de passe n’expire jamais » des comptes de votre domaine.
- Supprimez les droits d’accès sur les comptes suspects avec l’autorisation SDHolder Administration.
- Gérer les comptes avec des mots de passe datant de plus de 180 jours.
- Supprimez les administrateurs locaux sur les ressources d’identité.
- Supprimez les comptes non administrateurs avec des autorisations DCSync.
- Démarrez votre déploiement Defender pour Identity en installant des capteurs sur des contrôleurs de domaine et d’autres serveurs éligibles.
La recommandation d’espace de travail Google suivante a été ajoutée en tant qu’action d’amélioration du niveau de sécurité Microsoft :
- Activer l’authentification multifacteur (MFA)
Pour afficher ce nouveau contrôle, le connecteur d’espace de travail Google dans Microsoft Defender for Cloud Apps doit être configuré via la page des paramètres connecteurs d’application.
Mai 2023
Une nouvelle recommandation Microsoft Exchange Online est désormais disponible en tant qu’action d’amélioration du degré de sécurisation :
- Vérifiez que les règles de transport de courrier n’autorisent pas de domaines spécifiques.
De nouvelles recommandations Microsoft SharePoint sont désormais disponibles en tant qu’actions d’amélioration du degré de sécurité :
- Vérifiez que l’authentification moderne pour les applications SharePoint est requise.
- Assurez-vous que les utilisateurs externes ne peuvent pas partager des fichiers, des dossiers et des sites dont ils ne sont pas propriétaires.
Avril 2023
De nouvelles recommandations sont désormais disponibles dans microsoft Secure Score pour les clients disposant d’une licence Microsoft Defender for Cloud Apps active :
- Assurez-vous que seuls les groupes publics gérés/approuvés par l’organisation existent.
- Vérifiez que la fréquence de connexion est activée et que les sessions de navigateur ne sont pas persistantes pour les utilisateurs administratifs.
- Vérifiez que les comptes d’administration sont distincts, non attribués et cloud uniquement.
- Vérifiez que les applications intégrées tierces ne sont pas autorisées.
- Vérifiez que le flux de travail de consentement administrateur est activé.
- Vérifiez que les stratégies DLP sont activées pour Microsoft Teams.
- Vérifiez que les enregistrements SPF sont publiés pour tous les domaines Exchange.
- Vérifiez que Microsoft Defender for Cloud Apps est Activé.
- Vérifiez que les stratégies de gestion des appareils mobiles sont définies pour exiger des configurations de sécurité avancées pour se protéger contre les attaques Internet de base.
- Vérifiez que la réutilisation du mot de passe de l’appareil mobile est interdite.
- Vérifiez que les appareils mobiles sont configurés pour ne jamais expirer les mots de passe.
- Assurez-vous que les utilisateurs ne peuvent pas se connecter à partir d’appareils qui sont endommagés ou rootés.
- Vérifiez que les appareils mobiles sont configurés pour réinitialiser plusieurs échecs de connexion afin d’empêcher la compromission par force brute.
- Assurez-vous que les appareils mobiles nécessitent une longueur minimale de mot de passe pour empêcher les attaques par force brute.
- Assurez-vous que les appareils se verrouillent après une période d’inactivité pour empêcher tout accès non autorisé.
- Vérifiez que le chiffrement des appareils mobiles est activé pour empêcher l’accès non autorisé aux données mobiles.
- Vérifiez que les appareils mobiles nécessitent des mots de passe complexes (Type = Alphanumérique).
- Vérifiez que les appareils mobiles nécessitent des mots de passe complexes (mots de passe simples = bloqués).
- Vérifiez que les appareils qui se connectent disposent d’un antivirus et d’un pare-feu local activés.
- Vérifiez que les stratégies de gestion des appareils mobiles sont requises pour les profils de messagerie.
- Vérifiez que les appareils mobiles nécessitent l’utilisation d’un mot de passe.
Remarque
Pour afficher les nouvelles recommandations de Defender for Cloud Apps, le connecteur Office 365 dans Microsoft Defender for Cloud Apps doit être activé via la page des paramètres connecteurs d’application. Pour plus d’informations, consultez Guide pratique pour se connecter Office 365 à Defender for Cloud Apps.
Septembre 2022
De nouvelles recommandations Microsoft Defender pour Office 365 pour les stratégies anti-hameçonnage sont désormais disponibles en tant qu’actions d’amélioration du degré de sécurité :
- Définissez le seuil de niveau d’e-mail d’hameçonnage sur 2 ou plus.
- Activez la protection des utilisateurs usurpés d’identité.
- Activez la protection du domaine emprunté.
- Vérifiez que l’intelligence des boîtes aux lettres est activée.
- Vérifiez que l’intelligence pour la protection contre l’emprunt d’identité est activée.
- Messages de mise en quarantaine détectés par des utilisateurs usurpés d’identité.
- Messages de mise en quarantaine détectés à partir de domaines avec emprunt d’identité.
- Déplacer les messages détectés comme des utilisateurs usurpés d’identité par l’intelligence des boîtes aux lettres.
- Activez l’option « Afficher le conseil de sécurité du premier contact ».
- Activez le conseil de sécurité d’emprunt d’identité de l’utilisateur.
- Activez l’info-bulle de sécurité d’emprunt d’identité de domaine.
- Activez l’emprunt d’identité utilisateur caractères inhabituels conseil de sécurité.
Une nouvelle recommandation SharePoint Online est désormais disponible en tant qu’action d’amélioration du degré de sécurisation :
- Déconnectez les utilisateurs inactifs dans SharePoint Online.
Août 2022
De nouvelles recommandations Protection des données Microsoft Purview sont désormais disponibles en tant qu’actions d’amélioration du degré de sécurisation :
- Étiquetage
- Étendez l’étiquetage de confidentialité Microsoft 365 aux ressources dans le mappage de données Azure Purview.
- Vérifiez que les stratégies de classification des données d’étiquetage automatique sont configurées et utilisées.
- Publier des stratégies de classification des données d’étiquette de confidentialité Microsoft 365.
- Create stratégies de protection contre la perte de données (DLP).
De nouvelles recommandations Microsoft Defender pour Office 365 sont désormais disponibles en tant qu’actions d’amélioration du degré de sécurisation :
Anti-courrier indésirable - Stratégie de trafic entrant
- Définissez le seuil de niveau de réclamation en bloc (BCL) des e-mails sur 6 ou moins.
- Définissez l’action à entreprendre sur la détection du courrier indésirable.
- Définissez l’action à entreprendre sur la détection de courrier indésirable à haut niveau de confiance.
- Définissez l’action à entreprendre sur la détection d’hameçonnage.
- Définissez l’action à entreprendre sur la détection d’hameçonnage à haut niveau de confiance.
- Définissez l’action à entreprendre sur la détection du courrier indésirable en bloc.
- Conserver le courrier indésirable en quarantaine pendant 30 jours.
- Vérifiez que les conseils de sécurité pour le courrier indésirable sont activés.
- Vérifiez qu’aucun domaine d’expéditeur ne se trouve dans la liste des domaines autorisés dans les stratégies anti-courrier indésirable (remplace « S’assurer qu’aucun domaine d’expéditeur n’est autorisé pour les stratégies anti-courrier indésirable » afin d’étendre la fonctionnalité à des expéditeurs spécifiques).
Anti-courrier indésirable - Stratégie de trafic sortant
- Définissez le nombre maximal de destinataires externes qu’un utilisateur peut envoyer par e-mail par heure.
- Définissez le nombre maximal de destinataires internes qu’un utilisateur peut envoyer dans l’heure.
- Définir une limite de messages quotidienne.
- Bloquer les utilisateurs qui ont atteint la limite de messages.
- Définissez les règles de transfert automatique d’e-mails pour qu’elles soient contrôlées par le système.
Anti-courrier indésirable - Filtre de connexion
- N’ajoutez pas d’adresses IP autorisées dans la stratégie de filtre de connexion.
Juin 2022
Les nouvelles recommandations Microsoft Defender pour point de terminaison et Gestion des vulnérabilités Microsoft Defender sont désormais disponibles en tant qu’actions d’amélioration du degré de sécurisation :
- Interdire l’accès hors connexion aux partages.
- Supprimez le jeu d’autorisations d’écriture de partage sur Tout le monde.
- Supprimez les partages du dossier racine.
- Définissez l’énumération basée sur l’accès aux dossiers pour les partages.
- Mettez à jour Microsoft Defender pour point de terminaison composants principaux.
Une nouvelle recommandation Microsoft Defender pour Identity est disponible en tant qu’action d’amélioration du degré de sécurisation :
- Résoudre les configurations de domaine non sécurisé.
Une nouvelle recommandation de gouvernance des applications est désormais disponible en tant qu’action d’amélioration du degré de sécurisation :
- Réglementer les applications avec le consentement des comptes prioritaires.
Les nouvelles recommandations Salesforce et ServiceNow sont désormais disponibles en tant qu’actions d’amélioration du degré de sécurisation pour les clients Microsoft Defender for Cloud Apps. Pour plus d’informations, consultez Vue d’ensemble de la gestion de la posture de sécurité SaaS.
Remarque
Les contrôles Salesforce et ServiceNow sont désormais disponibles en préversion publique.
Avril 2022
- Activez l’authentification utilisateur pour les connexions à distance.
Décembre 2021
- Activez pièces jointes fiables en mode bloc.
- Empêcher le partage Exchange Online détails du calendrier avec des utilisateurs externes.
- Activez documents sécurisés pour les clients Office.
- Activez le paramètre de filtre de pièces jointes courantes pour les stratégies anti-programme malveillant.
- Vérifiez qu’aucun domaine d’expéditeur n’est autorisé pour les stratégies anti-courrier indésirable.
- Create les stratégies de liens fiables pour les messages électroniques.
- Create des stratégies de vidage automatique de zéro heure pour les programmes malveillants.
- Activez Microsoft Defender pour Office 365 dans SharePoint, OneDrive et Microsoft Teams.
- Create des stratégies de vidage automatique zéro heure pour les messages de hameçonnage.
- Create des stratégies de vidage automatique zéro heure pour les courriers indésirables.
- Bloquer l’abus de conducteurs vulnérables exploités signés.
- Activez l’analyse des lecteurs amovibles pendant une analyse complète.
Votre avis nous intéresse
Si vous rencontrez des problèmes, faites-le nous savoir en publiant dans la communauté Sécurité, confidentialité et conformité . Nous surveillons la communauté pour fournir de l’aide.
Ressources connexes
- Évaluer votre posture de sécurité
- Suivez votre historique de score de sécurité Microsoft et répondez aux objectifs
- Ce qui est à venir
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.