A Microsoft biztonsági pontszámának újdonságai
Annak érdekében, hogy a Microsoft biztonsági pontszáma jobban reprezentálóbb legyen a biztonsági helyzetében, továbbra is új funkciókat és fejlesztési műveleteket adunk hozzá.
Minél több fejlesztési műveletet hajt végre, annál magasabb lesz a biztonsági pontszáma. További információ: A Microsoft biztonsági pontszáma.
A Microsoft biztonsági pontszáma a Microsoft Defender portálonhttps://security.microsoft.com/securescore található.
2024. február
A microsoftos biztonsági pontszám javítása műveletként a következő javaslatot adjuk hozzá:
Microsoft Defender for Identity:
- Nem biztonságos ADCS-tanúsítványregisztráció IIS-végpontok (ESC8) szerkesztése
2024. január
A Microsoft biztonsági pontszám-javító műveletei a következő javaslatokat tették:
Microsoft Entra (AAD):
- Győződjön meg arról, hogy az "Adathalászat-ellenálló MFA erősség" szükséges a rendszergazdák számára.
- Győződjön meg arról, hogy egyéni tiltott jelszólistákat használ.
- Győződjön meg arról, hogy a "Windows Azure Service Management API" csak rendszergazdai szerepkörökre korlátozódik.
Rendszergazda központ:
- Győződjön meg arról, hogy a "Felhasználó tulajdonában lévő alkalmazások és szolgáltatások" korlátozva van.
Microsoft Forms:
- Győződjön meg arról, hogy az Forms belső adathalászat elleni védelme engedélyezve van.
Microsoft Share Point:
- Győződjön meg arról, hogy a SharePoint-vendégfelhasználók nem oszthatnak meg olyan elemeket, amelyek nem a tulajdonuk.
A Defender for Cloud Apps támogatása egy alkalmazás több példányához
Microsoft Defender for Cloud Apps mostantól támogatja a biztonsági pontszámra vonatkozó javaslatokat ugyanazon alkalmazás több példányán. Ha például több AWS-példánya van, egyenként konfigurálhatja és szűrheti a biztonsági pontszámra vonatkozó javaslatokat.
További információ: Az SaaS biztonsági helyzetkezelésének (SSPM) bekapcsolása és kezelése.
2023. december
A Microsoft biztonsági pontszám-javító műveletei a következő javaslatokat tették:
Microsoft Entra (AAD):
- Győződjön meg arról, hogy a "Microsoft Azure Management" csak rendszergazdai szerepkörökre korlátozódik.
Microsoft Sway:
- Győződjön meg arról, hogy a Swayek nem oszthatók meg a szervezeten kívüli személyekkel.
Microsoft Exchange Online:
- Győződjön meg arról, hogy az Outlook-bővítményeket telepítő felhasználók nem engedélyezettek.
Zendesk:
- Kétfaktoros hitelesítés (2FA) engedélyezése és bevezetése.
- Értesítés küldése a rendszergazdák, ügynökök és végfelhasználók jelszavának módosításáról.
- IP-korlátozások engedélyezése.
- Tiltsa le az ügyfelek számára az IP-korlátozások megkerülését.
- A rendszergazdák és az ügynökök használhatják a Zendesk támogatási mobilalkalmazást.
- Engedélyezze a Zendesk-hitelesítést.
- Engedélyezze a munkamenet időtúllépését a felhasználók számára.
- Fiók feltételezésének blokkolása.
- A jelszavak beállításának letiltása a rendszergazdák számára.
- Automatikus újraművelet.
Net-dokumentum:
- Egyszeri bejelentkezés (SSO) bevezetése a netDocumentben.
Meta-munkahely:
- Egyszeri bejelentkezés (SSO) bevezetése a Workplace by Meta szolgáltatásban.
Dropbox:
- Webes munkamenet időtúllépésének engedélyezése a webes felhasználók számára.
Atlassian:
- Engedélyezze a többtényezős hitelesítést (MFA).
- Engedélyezze a Egyszeri bejelentkezés (SSO) használatát.
- Erős jelszószabályzatok engedélyezése.
- Engedélyezze a munkamenet időtúllépését a webfelhasználók számára.
- Jelszólejárati szabályzatok engedélyezése.
- Atlassian mobilalkalmazás-biztonság – A szabályzatok által érintett felhasználók.
- Atlassian mobile app security – Alkalmazásadatok védelme.
- Atlassian mobilalkalmazás-biztonság – Alkalmazás-hozzáférési követelmények.
Microsoft Defender for Identity: Új Active Directory tanúsítványszolgáltatásokkal (ADCS) kapcsolatos javaslatok:
- A tanúsítványsablonok ajánlott műveletei :
- Annak megakadályozása, hogy a felhasználók a tanúsítványsablon (ESC1) alapján tetszőleges felhasználók számára érvényes tanúsítványt kérjenek
- Túlzottan megengedő tanúsítványsablon szerkesztése emelt szintű EKU-val (bármely célú EKU vagy Nincs EKU) (ESC2)
- Helytelenül konfigurált regisztrációs ügynök tanúsítványsablonja (ESC3)
- Helytelenül konfigurált tanúsítványsablonok szerkesztése – ACL (ESC4)
- Helytelenül konfigurált tanúsítványsablonok tulajdonosának szerkesztése
- A hitelesítésszolgáltató által javasolt műveletek :
További információ: Microsoft Defender for Identity biztonsági helyzetértékelései.
2023. október:
A Microsoft biztonsági pontszám-javító műveletei a következő javaslatokat tették:
Microsoft Entra (AAD):
- Győződjön meg arról, hogy az "Adathalászat-ellenálló MFA erősség" szükséges a rendszergazdák számára.
- Győződjön meg arról, hogy egyéni tiltott jelszólistákat használ.
Microsoft Sway:
- Győződjön meg arról, hogy a Swayek nem oszthatók meg a szervezeten kívüli személyekkel.
Atlassian:
- Engedélyezze a többtényezős hitelesítést (MFA).
- Engedélyezze a Egyszeri bejelentkezés (SSO) használatát.
- Erős jelszószabályzatok engedélyezése.
- Engedélyezze a munkamenet időtúllépését a webfelhasználók számára.
- Jelszólejárati szabályzatok engedélyezése.
- Atlassian mobilalkalmazás-biztonság – A szabályzatok által érintett felhasználók.
- Atlassian mobile app security – Alkalmazásadatok védelme.
- Atlassian mobilalkalmazás-biztonság – Alkalmazás-hozzáférési követelmények.
2023. szeptember:
A Microsoft biztonsági pontszám-javító műveletei a következő javaslatokat tették:
Microsoft Information Protection:
- Győződjön meg arról, hogy a Microsoft 365 naplókeresése engedélyezve van.
- Győződjön meg arról, hogy a DLP-szabályzatok engedélyezve vannak a Microsoft Teamsben.
Exchange Online:
- Győződjön meg arról, hogy az SPF rekordok minden Exchange-tartományhoz közzé vannak téve.
- Győződjön meg arról, hogy az Exchange Online modern hitelesítése engedélyezve van.
- Győződjön meg arról, hogy az e-mail-tippek engedélyezve vannak a végfelhasználók számára.
- Győződjön meg arról, hogy az összes felhasználó postaládájának naplózása engedélyezve van.
- Győződjön meg arról, hogy a további tárolószolgáltatók korlátozva vannak Webes Outlook.
Microsoft Defender for Cloud Apps:
- Győződjön meg arról, hogy Microsoft Defender for Cloud Apps engedélyezve van.
office Microsoft Defender:
- Győződjön meg arról, hogy Exchange Online levélszemét-házirendek a rendszergazdák értesítésére vannak beállítva.
- Győződjön meg arról, hogy az e-mailek továbbításának minden formája le van tiltva és/vagy le van tiltva.
- Győződjön meg arról, hogy az Office-alkalmazások biztonságos hivatkozásai engedélyezve van.
- Győződjön meg arról, hogy a Biztonságos mellékletek házirend engedélyezve van.
- Győződjön meg arról, hogy létrejött egy adathalászat elleni szabályzat.
2023. augusztus
A Microsoft biztonsági pontszám-javító műveletei a következő javaslatokat tették:
Microsoft Information Protection:
- Győződjön meg arról, hogy a Microsoft 365 naplókeresése engedélyezve van.
Microsoft Exchange Online:
- Győződjön meg arról, hogy az Exchange Online modern hitelesítése engedélyezve van.
- Győződjön meg arról, hogy Exchange Online levélszemét-házirendek a rendszergazdák értesítésére vannak beállítva.
- Győződjön meg arról, hogy az e-mailek továbbításának minden formája le van tiltva és/vagy le van tiltva.
- Győződjön meg arról, hogy az e-mail-tippek engedélyezve vannak a végfelhasználók számára.
- Győződjön meg arról, hogy az összes felhasználó postaládájának naplózása engedélyezve van.
- Győződjön meg arról, hogy a további tárolószolgáltatók korlátozva vannak Webes Outlook.
Microsoft Entra ID:
Az Office 365-összekötő alábbi új Microsoft Entra vezérlőinek megtekintéséhez be kell kapcsolnia Microsoft Defender for Cloud Apps az Alkalmazás-összekötők beállításai lapon:
- Győződjön meg arról, hogy a jelszóvédelem engedélyezve van helyi Active Directory.
- Győződjön meg arról, hogy a LinkedIn-fiókkapcsolatok le vannak tiltva.
Sharepoint:
- Győződjön meg arról, hogy az Office-alkalmazások biztonságos hivatkozásai engedélyezve van.
- Győződjön meg arról, hogy engedélyezve van a Biztonságos mellékletek a SharePointhoz, a OneDrive-hoz és a Microsoft Teamshez.
- Győződjön meg arról, hogy létrejött egy adathalászat elleni szabályzat.
Az Office 365-összekötő alábbi új SharePoint-vezérlőinek megtekintéséhez be kell kapcsolnia Microsoft Defender for Cloud Apps az Alkalmazás-összekötők beállításai lapon:
- Győződjön meg arról, hogy a SharePoint külső megosztását tartományi engedélyezési listák/tiltólisták kezelik.
- Letilthatja OneDrive Vállalati verzió szinkronizálást a nem felügyelt eszközökről.
A Microsoft biztonsági pontszámának integrálása a Microsoft Lighthouse 365-be
Microsoft 365 Lighthouse segítségével a felügyelt szolgáltatók (MSP-k) növelhetik vállalkozásukat, és egyetlen portálról nagy léptékben biztosíthatnak szolgáltatásokat az ügyfeleknek. A Lighthouse segítségével az ügyfelek szabványosíthatják a konfigurációkat, kezelhetik a kockázatokat, azonosíthatják a mesterséges intelligenciára (AI) épülő értékesítési lehetőségeket, és kapcsolatba léphetnek az ügyfelekkel, hogy maximalizálhassák a Microsoft 365-be történő befektetéseiket.
A Microsoft biztonsági pontszámát integráltuk a Microsoft 365 Lighthouse. Ez az integráció összesített nézetet biztosít a biztonsági pontszámról az összes felügyelt bérlőre vonatkozóan, valamint a biztonsági pontszám részleteit az egyes bérlőkre vonatkozóan. A biztonsági pontszám elérése egy új kártyáról érhető el a Lighthouse kezdőlapján, vagy egy bérlő kiválasztásával a Lighthouse-bérlők lapon.
Megjegyzés:
A Microsoft Lighthouse 365 integrációja olyan Microsoft-partnerek számára érhető el, akik a felhőszolgáltató (CSP) programot használják az ügyfélbérlők kezelésére.
A Microsoft biztonsági pontszám engedélyeinek integrációja Microsoft Defender XDR egyesített szerepköralapú hozzáférés-vezérléssel (RBAC) nyilvános előzetes verzióban érhető el
Korábban csak Microsoft Entra globális szerepkörök (például a globális rendszergazdák) férhetnek hozzá a Microsoft biztonsági pontszámához. Mostantól a Microsoft Defender XDR Egyesített RBAC-modell részeként szabályozhatja a hozzáférést, és részletes engedélyeket adhat a Microsoft Biztonsági pontszám felületéhez.
A szerepkör létrehozásakor adja hozzá az új engedélyt, és válassza ki azokat az adatforrásokat, amelyhez a felhasználónak hozzáférése van. Ehhez válassza a Biztonsági helyzet engedélycsoportot a szerepkör létrehozásakor. További információ: egyéni szerepkörök Létrehozás Microsoft Defender XDR Unified RBAC használatával. A felhasználók láthatják a biztonsági pontszám adatait azon adatforrások esetében, amelyekhez engedéllyel rendelkeznek.
Új adatforrás biztonsági pontszáma – További adatforrás is elérhető. Az adatforráshoz engedéllyel rendelkező felhasználók további adatokhoz férhetnek hozzá a Biztonsági pontszám irányítópulton. További információ a további adatforrásokról: A biztonsági pontszámban szereplő termékek.
2023. július
A Következő Microsoft Defender for Identity javaslatok lettek hozzáadva a Microsoft biztonsági pontszámának javítása műveletként:
- Távolítsa el a "password never expires" attribútumot a tartomány fiókjaiból.
- Távolítsa el a Rendszergazda SDHolder engedéllyel rendelkező gyanús fiókok hozzáférési jogosultságát.
- A 180 napnál régebbi jelszavakkal rendelkező fiókok kezelése.
- Távolítsa el a helyi rendszergazdákat az identitáseszközökről.
- Távolítsa el a nem rendszergazdai fiókokat DCSync-engedélyekkel.
- Indítsa el a Defender for Identity üzembe helyezését, és telepítse az érzékelőket a tartományvezérlőkre és más jogosult kiszolgálókra.
A Következő Google-munkaterületi javaslat lett hozzáadva a Microsoft biztonsági pontszámának javítása műveletként:
- Többtényezős hitelesítés (MFA) engedélyezése
Az új vezérlő megtekintéséhez a Google Workspace-összekötőt a Microsoft Defender for Cloud Apps az Alkalmazás-összekötők beállításai lapon kell konfigurálni.
2023. május
Új Microsoft Exchange Online javaslat érhető el a Biztonsági pontszám javítása műveletként:
- Győződjön meg arról, hogy az e-mail-továbbítási szabályok nem engedélyezik az adott tartományokat.
A Microsoft SharePoint új javaslatai mostantól elérhetőek a biztonsági pontszám javítására irányuló műveletekként:
- Győződjön meg arról, hogy modern hitelesítésre van szükség a SharePoint-alkalmazásokhoz.
- Győződjön meg arról, hogy a külső felhasználók nem oszthatnak meg olyan fájlokat, mappákat és webhelyeket, amelyek nem a sajátjuk.
2023. április
Az aktív Microsoft Defender for Cloud Apps licenccel rendelkező ügyfelek számára új javaslatok érhetők el a Microsoft biztonsági pontszámában:
- Győződjön meg arról, hogy csak szervezetileg felügyelt/jóváhagyott nyilvános csoportok léteznek.
- Győződjön meg arról, hogy a bejelentkezési gyakoriság engedélyezve van, és a böngésző-munkamenetek nem állandóak a rendszergazda felhasználók számára.
- Győződjön meg arról, hogy a felügyeleti fiókok különállóak, nem hozzárendeltek és csak felhőalapúak.
- Győződjön meg arról, hogy a harmadik féltől származó integrált alkalmazások nem engedélyezettek.
- Győződjön meg arról, hogy a rendszergazdai hozzájárulás munkafolyamata engedélyezve van.
- Győződjön meg arról, hogy a DLP-szabályzatok engedélyezve vannak a Microsoft Teamsben.
- Győződjön meg arról, hogy az SPF rekordok minden Exchange-tartományhoz közzé vannak téve.
- Győződjön meg arról, hogy Microsoft Defender for Cloud Apps engedélyezve van.
- Győződjön meg arról, hogy a mobileszköz-kezelési házirendek speciális biztonsági konfigurációt igényelnek az alapvető internetes támadások elleni védelemhez.
- Győződjön meg arról, hogy a mobileszköz jelszavának újrafelhasználása tilos.
- Győződjön meg arról, hogy a mobileszközök úgy vannak beállítva, hogy soha ne járjanak le jelszavak.
- Győződjön meg arról, hogy a felhasználók nem tudnak csatlakozni a feltört vagy feltört eszközökről.
- A találgatásos támadás elkerülése érdekében győződjön meg arról, hogy a mobileszközök több bejelentkezési hiba esetén is törlésre vannak beállítva.
- Győződjön meg arról, hogy a mobileszközöknek minimális jelszóhosszra van szükségük a találgatásos támadások megelőzése érdekében.
- A jogosulatlan hozzáférés megakadályozása érdekében győződjön meg arról, hogy az eszközök inaktivitás után zárolva lesznek.
- Győződjön meg arról, hogy a mobileszköz-titkosítás engedélyezve van a mobiladatokhoz való jogosulatlan hozzáférés megakadályozása érdekében.
- Győződjön meg arról, hogy a mobileszközökhöz összetett jelszavak szükségesek (Típus = Alfanumerikus).
- Győződjön meg arról, hogy a mobileszközökhöz összetett jelszavak szükségesek (Egyszerű jelszavak = Letiltva).
- Győződjön meg arról, hogy a csatlakozó eszközöknél engedélyezve van az AV és a helyi tűzfal.
- Győződjön meg arról, hogy az e-mail-profilokhoz mobileszköz-kezelési házirendekre van szükség.
- Győződjön meg arról, hogy a mobileszközökhöz jelszó szükséges.
Megjegyzés:
Az új Defender for Cloud Apps-javaslatok megtekintéséhez a Microsoft Defender for Cloud Apps Office 365 összekötőjének be kell kapcsolnia az Alkalmazás-összekötők beállításai lapon. További információ: Office 365 csatlakoztatása a Defender for Cloud Appshez.
2022. szeptember
Az adathalászat elleni szabályzatokra vonatkozó új Office 365-höz készült Microsoft Defender javaslatok mostantól a biztonsági pontszám javítása műveletként érhetők el:
- Állítsa az adathalász e-mail-szint küszöbértékét 2-es vagy újabb értékre.
- Megszemélyesített felhasználók védelmének engedélyezése.
- Engedélyezze a megszemélyesített tartományvédelmet.
- Győződjön meg arról, hogy a postaláda-intelligencia engedélyezve van.
- Győződjön meg arról, hogy a megszemélyesítés elleni védelem intelligenciája engedélyezve van.
- Karanténba helyezi a megszemélyesített felhasználóktól érkező üzeneteket.
- Karanténba helyezi a megszemélyesített tartományokból észlelt üzeneteket.
- Áthelyezheti azokat az üzeneteket, amelyeket megszemélyesített felhasználóként észlel a postaláda-intelligencia.
- Engedélyezze az "első kapcsolatfelvétel biztonsági tippjének megjelenítése" beállítást.
- Engedélyezze a felhasználó megszemélyesítésének biztonsági tippjéhez.
- Engedélyezze a tartomány megszemélyesítésére vonatkozó biztonsági tippet.
- Engedélyezze a szokatlan karakterek felhasználói megszemélyesítésére vonatkozó biztonsági tippet.
Mostantól elérhető egy új SharePoint Online-javaslat a biztonsági pontszám javítása műveletként:
- Jelentkezzen ki inaktív felhasználókat a SharePoint Online-ban.
2022. augusztus
Új Microsoft Purview információvédelem javaslatok érhetők el a Biztonsági pontszám javítása műveletként:
- Címkézés
- A Microsoft 365 bizalmassági címkézésének kiterjesztése az Azure Purview adattérkép eszközeire.
- Győződjön meg arról, hogy az automatikus címkézési adatbesorolási szabályzatok be vannak állítva és használhatók.
- A Microsoft 365 bizalmassági címke adatbesorolási házirendjeinek közzététele.
- Létrehozás adatveszteség-megelőzési (DLP) szabályzatokat.
Új Office 365-höz készült Microsoft Defender javaslatok érhetők el a Biztonsági pontszám javítása műveletként:
Levélszemét elleni védelem – Bejövő házirend
- Állítsa az e-mail tömeges panaszszintjének (BCL) küszöbértékét 6-ra vagy alacsonyabbra.
- Állítsa be a levélszemét észlelésére vonatkozó műveletet.
- Állítson be műveletet a megbízható levélszemét-észlelés érdekében.
- Állítsa be az adathalászat észlelésére vonatkozó műveletet.
- Állítsa be a nagy megbízhatóságú adathalászat észlelésére vonatkozó műveletet.
- Állítsa be a tömeges levélszemét-észleléssel kapcsolatos műveletet.
- A levélszemét 30 napig karanténban marad.
- Győződjön meg arról, hogy a levélszemét-biztonsági tippek engedélyezve vannak.
- Győződjön meg arról, hogy egyetlen feladó tartomány sem szerepel az engedélyezett tartományok listájában a levélszemét-ellenes házirendekben (a "Győződjön meg arról, hogy nincsenek engedélyezve feladói tartományok a levélszemét-ellenes házirendekhez" szöveg helyébe lép, hogy az adott feladókra is kiterjeszthesse a funkciókat).
Levélszemét elleni védelem – Kimenő szabályzat
- Beállíthatja a külső címzettek maximális számát, hogy a felhasználó óránként e-mailt küldjön.
- Beállíthatja a belső címzettek maximális számát, amelyre a felhasználó egy órán belül küldhet.
- Napi üzenetkorlát beállítása.
- Letilthatja az üzenetkorlátot elérő felhasználókat.
- Állítsa be az Automatikus e-mail-továbbítási szabályokat rendszervezérlésre.
Levélszemét elleni védelem – Kapcsolatszűrő
- Ne adjon hozzá engedélyezett IP-címeket a kapcsolatszűrő házirendben.
2022. június
Új Végponthoz készült Microsoft Defender és Microsoft Defender biztonságirés-kezelés javaslatok érhetők el a Biztonsági pontszám javítása műveletként:
- Megosztásokhoz való offline hozzáférés letiltása.
- Távolítsa el a Mindenki beállítású megosztási írási engedélyt.
- Távolítsa el a megosztásokat a gyökérmappából.
- Mappahozzáférés-alapú számbavétel beállítása megosztásokhoz.
- Frissítse Végponthoz készült Microsoft Defender alapvető összetevőket.
Új Microsoft Defender for Identity javaslat érhető el a biztonsági pontszám javítása műveletként:
- A nem biztonságos tartománykonfigurációk megoldása.
Mostantól elérhető egy új alkalmazásirányítási javaslat a Biztonsági pontszám javítása műveletként:
- Az alkalmazások szabályozása a prioritási fiókok hozzájárulásával.
Az új Salesforce- és ServiceNow-javaslatok mostantól biztonsági pontszám-javító műveletekként érhetők el Microsoft Defender for Cloud Apps ügyfelek számára. További információ: SaaS biztonsági helyzetkezelés – áttekintés.
Megjegyzés:
A Salesforce és a ServiceNow vezérlői mostantól nyilvános előzetes verzióban érhetők el.
2022. április
- Kapcsolja be a felhasználóhitelesítést a távoli kapcsolatokhoz.
2021. december
- Kapcsolja be a Biztonságos mellékletek beállítást blokk módban.
- A naptáradatok külső felhasználókkal való megosztásának megakadályozása Exchange Online.
- Kapcsolja be a Biztonságos dokumentumok office-ügyfelek számára beállítást.
- Kapcsolja be a kártevőirtó házirendek gyakori mellékletszűrő-beállítását.
- Győződjön meg arról, hogy nincsenek engedélyezve feladói tartományok a levélszemét-ellenes házirendekhez.
- Létrehozás e-mailekhez tartozó Biztonságos hivatkozások házirendeket.
- Létrehozás nulla órás automatikus törlési szabályzatokat a kártevőkre vonatkozóan.
- Kapcsolja be a Office 365-höz készült Microsoft Defender a SharePointban, a OneDrive-ban és a Microsoft Teamsben.
- Létrehozás adathalász üzenetek automatikus kiürítési szabályzatai Létrehozás.
- Létrehozás levélszemét-üzenetek automatikus kiürítésére vonatkozó szabályzatokat.
- A kizsákmányolt, sebezhető aláírt illesztőprogramokkal való visszaélés megakadályozása.
- A teljes vizsgálat során kapcsolja be a cserélhető meghajtók vizsgálatát.
Szeretnénk hallani Öntől
Ha bármilyen problémája van, tudassa velünk a Biztonság, adatvédelem & megfelelőség közösségében. Figyeljük a közösséget, hogy segítséget nyújtsunk.
Kapcsolódó erőforrások
- Biztonsági állapot felmérése
- A Microsoft biztonsági pontszámának előzményeinek nyomon követése és a célok elérése
- Mi várható
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.