Nieuw in Microsoft Secure Score
Om van Microsoft Secure Score een betere representatie van uw beveiligingspostuur te maken, blijven we nieuwe functies en verbeteringsacties toevoegen.
Hoe meer verbeteringsacties u onderneemt, hoe hoger uw beveiligingsscore zal zijn. Zie Microsoft Secure Score voor meer informatie.
Microsoft Secure Score vindt u in https://security.microsoft.com/securescore de Microsoft Defender portal.
Februari 2024
De volgende aanbeveling wordt toegevoegd als een microsoft-actie voor het verbeteren van de beveiligingsscore:
Microsoft Defender for Identity:
- IIS-eindpunten voor onveilige ADCS-certificaatregistratie bewerken (ESC8)
Januari 2024
De volgende aanbevelingen zijn toegevoegd als acties voor het verbeteren van de Microsoft-beveiligingsscore:
Microsoft Entra (AAD):
- Zorg ervoor dat 'Phishingresistente MFA-sterkte' is vereist voor beheerders.
- Zorg ervoor dat aangepaste lijsten met verboden wachtwoorden worden gebruikt.
- Zorg ervoor dat de Windows Azure Service Management-API is beperkt tot beheerdersrollen.
Beheer Center:
- Zorg ervoor dat apps en services in gebruikerseigendom zijn beperkt.
Microsoft Forms:
- Zorg ervoor dat interne phishingbeveiliging voor Forms is ingeschakeld.
Microsoft Share Point:
- Zorg ervoor dat SharePoint-gastgebruikers geen items kunnen delen die ze niet bezitten.
Defender for Cloud Apps-ondersteuning voor meerdere exemplaren van een app
Microsoft Defender for Cloud Apps ondersteunt nu aanbevelingen voor securescores voor meerdere exemplaren van dezelfde app. Als u bijvoorbeeld meerdere exemplaren van AWS hebt, kunt u voor elk exemplaar afzonderlijk configureren en filteren op aanbevelingen voor de beveiligingsscore.
Zie SaaS-beveiligingspostuurbeheer (SSPM) inschakelen en beheren voor meer informatie.
December 2023
De volgende aanbevelingen zijn toegevoegd als acties voor het verbeteren van de Microsoft-beveiligingsscore:
Microsoft Entra (AAD):
- Zorg ervoor dat 'Microsoft Azure Management' is beperkt tot beheerdersrollen.
Microsoft Sway:
- Zorg ervoor dat Sways niet kan worden gedeeld met personen buiten uw organisatie.
Microsoft Exchange Online:
- Zorg ervoor dat gebruikers die Outlook-invoegtoepassingen installeren niet is toegestaan.
Zendesk:
- Tweeledige verificatie (2FA) inschakelen en gebruiken.
- Stuur een melding over wachtwoordwijziging voor beheerders, agents en eindgebruikers.
- IP-beperkingen inschakelen.
- Blokkeer klanten om IP-beperkingen te omzeilen.
- Beheerders en agents kunnen de mobiele app Zendesk Support gebruiken.
- Schakel Zendesk-verificatie in.
- Schakel sessietime-out in voor gebruikers.
- Veronderstelling van account blokkeren.
- Beheerders blokkeren om wachtwoorden in te stellen.
- Automatische redactie.
Nettodocument:
- Gebruik eenmalige aanmelding (SSO) in netDocument.
Meta Workplace:
- Eenmalige aanmelding (SSO) in Workplace by Meta aannemen.
Dropbox:
- Schakel time-out voor websessies in voor webgebruikers.
Atlassian:
- Meervoudige verificatie (MFA) inschakelen.
- Schakel Single sign-on (SSO) in.
- Sterk wachtwoordbeleid inschakelen.
- Schakel sessietime-out in voor webgebruikers.
- Wachtwoordverloopbeleid inschakelen.
- Beveiliging van mobiele apps van Atlassian: gebruikers die worden beïnvloed door beleid.
- Atlassian Mobile App Security - Beveiliging van app-gegevens.
- Atlassian Mobile App Security: vereiste voor app-toegang.
Microsoft Defender for Identity: nieuwe adcs-aanbevelingen (Active Directory Certificate Services):
-
Aanbevolen acties voor certificaatsjablonen :
- Voorkomen dat gebruikers een certificaat aanvragen dat geldig is voor willekeurige gebruikers op basis van de certificaatsjabloon (ESC1)
- Bewerk te veel toegestane certificaatsjabloon met bevoegde EKU (elk doel of geen EKU) (ESC2)
- Onjuist geconfigureerde certificaatsjabloon voor inschrijvingsagent (ESC3)
- ACL voor onjuist geconfigureerde certificaatsjablonen bewerken (ESC4)
- Eigenaar van onjuist geconfigureerde certificaatsjablonen bewerken
- Aanbevolen acties van certificeringsinstantie :
Zie evaluaties van beveiligingspostuur van Microsoft Defender for Identity voor meer informatie.
Oktober 2023:
De volgende aanbevelingen zijn toegevoegd als acties voor het verbeteren van de Microsoft-beveiligingsscore:
Microsoft Entra (AAD):
- Zorg ervoor dat 'Phishingresistente MFA-sterkte' is vereist voor beheerders.
- Zorg ervoor dat aangepaste lijsten met verboden wachtwoorden worden gebruikt.
Microsoft Sway:
- Zorg ervoor dat Sways niet kan worden gedeeld met personen buiten uw organisatie.
Atlassian:
- Meervoudige verificatie (MFA) inschakelen.
- Schakel Single sign-on (SSO) in.
- Sterk wachtwoordbeleid inschakelen.
- Schakel sessietime-out in voor webgebruikers.
- Wachtwoordverloopbeleid inschakelen.
- Beveiliging van mobiele apps van Atlassian: gebruikers die worden beïnvloed door beleid.
- Atlassian Mobile App Security - Beveiliging van app-gegevens.
- Atlassian Mobile App Security: vereiste voor app-toegang.
September 2023:
De volgende aanbevelingen zijn toegevoegd als acties voor het verbeteren van de Microsoft-beveiligingsscore:
Microsoft Information Protection:
- Zorg ervoor dat zoeken in microsoft 365-auditlogboeken is ingeschakeld.
- Zorg ervoor dat DLP-beleid is ingeschakeld voor Microsoft Teams.
Exchange Online:
- Zorg ervoor dat SPF-records worden gepubliceerd voor alle Exchange-domeinen.
- Zorg ervoor dat moderne verificatie voor Exchange Online is ingeschakeld.
- Zorg ervoor dat MailTips zijn ingeschakeld voor eindgebruikers.
- Zorg ervoor dat postvakcontrole voor alle gebruikers is ingeschakeld.
- Zorg ervoor dat extra opslagproviders beperkt zijn in webversie van Outlook.
Microsoft Defender for Cloud Apps:
- Zorg ervoor dat Microsoft Defender for Cloud Apps is ingeschakeld.
Microsoft Defender voor Office:
- Zorg ervoor Exchange Online spambeleid is ingesteld op beheerders.
- Zorg ervoor dat alle vormen van e-mail doorsturen zijn geblokkeerd en/of uitgeschakeld.
- Zorg ervoor dat Veilige koppelingen voor Office-toepassingen is ingeschakeld.
- Zorg ervoor dat het beleid voor veilige bijlagen is ingeschakeld.
- Zorg ervoor dat er een antiphishingbeleid is gemaakt.
Augustus 2023
De volgende aanbevelingen zijn toegevoegd als acties voor het verbeteren van de Microsoft-beveiligingsscore:
Microsoft Information Protection:
- Zorg ervoor dat zoeken in microsoft 365-auditlogboeken is ingeschakeld.
Microsoft Exchange Online:
- Zorg ervoor dat moderne verificatie voor Exchange Online is ingeschakeld.
- Zorg ervoor Exchange Online spambeleid is ingesteld op beheerders.
- Zorg ervoor dat alle vormen van e-mail doorsturen zijn geblokkeerd en/of uitgeschakeld.
- Zorg ervoor dat MailTips zijn ingeschakeld voor eindgebruikers.
- Zorg ervoor dat postvakcontrole voor alle gebruikers is ingeschakeld.
- Zorg ervoor dat extra opslagproviders beperkt zijn in webversie van Outlook.
Microsoft Entra ID:
Als u de volgende nieuwe Microsoft Entra besturingselementen in de Office 365-connector wilt zien, moet u Microsoft Defender for Cloud Apps inschakelen op de instellingenpagina voor app-connectors:
- Zorg ervoor dat wachtwoordbeveiliging is ingeschakeld voor on-premises Active Directory.
- Zorg ervoor dat LinkedIn-accountverbindingen is uitgeschakeld.
Sharepoint:
- Zorg ervoor dat Veilige koppelingen voor Office-toepassingen is ingeschakeld.
- Zorg ervoor dat Veilige bijlagen voor SharePoint, OneDrive en Microsoft Teams is ingeschakeld.
- Zorg ervoor dat er een antiphishingbeleid is gemaakt.
Als u de volgende nieuwe SharePoint-besturingselementen wilt zien in de Office 365-connector, moet u Microsoft Defender for Cloud Apps inschakelen op de pagina met instellingen voor app-connectors:
- Zorg ervoor dat extern delen van SharePoint wordt beheerd via domeintoegestaanlijsten/blokkeringslijsten.
- Synchronisatie van OneDrive voor Bedrijven van onbeheerde apparaten blokkeren.
Microsoft Secure Score-integratie met Microsoft Lighthouse 365
Microsoft 365 Lighthouse helpt Managed Service Providers (MSP's) hun bedrijf te laten groeien en services op schaal aan klanten te leveren vanuit één portal. Met Lighthouse kunnen klanten configuraties standaardiseren, risico's beheren, verkoopkansen op basis van kunstmatige intelligentie (AI) identificeren en contact opnemen met klanten om hun investering in Microsoft 365 te maximaliseren.
We hebben Microsoft Secure Score geïntegreerd in Microsoft 365 Lighthouse. Deze integratie biedt een geaggregeerde weergave van de beveiligingsscore voor alle beheerde tenants en details van de beveiligingsscore voor elke afzonderlijke tenant. Toegang tot Secure Score is beschikbaar vanaf een nieuwe kaart op de startpagina van Lighthouse of door een tenant te selecteren op de pagina Lighthouse-tenants.
Opmerking
De integratie met Microsoft Lighthouse 365 is beschikbaar voor Microsoft-partners die het CSP-programma (Cloud Solution Provider) gebruiken om tenants van klanten te beheren.
Integratie van Microsoft Secure Score-machtigingen met Microsoft Defender XDR Unified role-based access control (RBAC) is nu beschikbaar in openbare preview
Voorheen konden alleen Microsoft Entra globale rollen (zoals globale beheerders) toegang krijgen tot Microsoft Secure Score. U kunt nu de toegang beheren en gedetailleerde machtigingen verlenen voor de Microsoft Secure Score-ervaring als onderdeel van het Microsoft Defender XDR Unified RBAC-model.
U kunt de nieuwe machtiging toevoegen en de gegevensbronnen kiezen waar de gebruiker toegang toe heeft door de groep Machtigingen voor beveiligingspostuur te selecteren bij het maken van de rol. Zie aangepaste rollen Creatie met Microsoft Defender XDR Unified RBAC voor meer informatie. Gebruikers zien Secure Score-gegevens voor de gegevensbronnen waarvoor ze machtigingen hebben.
Een nieuwe secure score voor gegevensbronnen : er is ook een aanvullende gegevensbron beschikbaar. Gebruikers met machtigingen voor deze gegevensbron hebben toegang tot aanvullende gegevens in het dashboard Beveiligingsscore. Zie Producten die zijn opgenomen in de beveiligingsscore voor meer informatie over aanvullende gegevensbronnen.
Juli 2023
De volgende Microsoft Defender for Identity aanbevelingen zijn toegevoegd als acties voor het verbeteren van de Microsoft-beveiligingsscore:
- Verwijder het kenmerk 'wachtwoord verloopt nooit' uit accounts in uw domein.
- Verwijder toegangsrechten voor verdachte accounts met de Beheer SDHolder-machtiging.
- Accounts beheren met wachtwoorden die meer dan 180 dagen oud zijn.
- Lokale beheerders verwijderen voor identiteitsassets.
- Verwijder niet-beheerdersaccounts met DCSync-machtigingen.
- Start uw Defender for Identity-implementatie en installeer sensoren op domeincontrollers en andere in aanmerking komende servers.
De volgende aanbeveling voor google-werkruimte is toegevoegd als een microsoft-actie voor het verbeteren van de beveiligingsscore:
- Meervoudige verificatie (MFA) inschakelen
Als u dit nieuwe besturingselement wilt weergeven, moet de Google-werkruimteconnector in Microsoft Defender for Cloud Apps worden geconfigureerd via de instellingenpagina voor app-connectors.
Mei 2023
Er is nu een nieuwe aanbeveling voor Microsoft Exchange Online beschikbaar als actie voor het verbeteren van de beveiligingsscore:
- Zorg ervoor dat e-mailtransportregels specifieke domeinen niet toestaan.
Nieuwe Microsoft SharePoint-aanbevelingen zijn nu beschikbaar als acties voor het verbeteren van de beveiligingsscore:
- Zorg ervoor dat moderne verificatie voor SharePoint-toepassingen is vereist.
- Zorg ervoor dat externe gebruikers geen bestanden, mappen en sites kunnen delen die ze niet bezitten.
April 2023
Nieuwe aanbevelingen zijn nu beschikbaar in Microsoft Secure Score voor klanten met een actieve Microsoft Defender for Cloud Apps licentie:
- Zorg ervoor dat alleen door de organisatie beheerde/goedgekeurde openbare groepen bestaan.
- Zorg ervoor dat de aanmeldingsfrequentie is ingeschakeld en dat browsersessies niet permanent zijn voor gebruikers met beheerdersrechten.
- Zorg ervoor dat beheerdersaccounts afzonderlijk, niet-toegewezen en alleen in de cloud zijn.
- Zorg ervoor dat geïntegreerde toepassingen van derden niet zijn toegestaan.
- Zorg ervoor dat de werkstroom voor beheerderstoestemming is ingeschakeld.
- Zorg ervoor dat DLP-beleid is ingeschakeld voor Microsoft Teams.
- Zorg ervoor dat SPF-records worden gepubliceerd voor alle Exchange-domeinen.
- Zorg ervoor dat Microsoft Defender for Cloud Apps is ingeschakeld.
- Zorg ervoor dat het beheerbeleid voor mobiele apparaten is ingesteld op geavanceerde beveiligingsconfiguraties om te beschermen tegen eenvoudige internetaanvallen.
- Zorg ervoor dat wachtwoordgebruik van mobiele apparaten niet is toegestaan.
- Zorg ervoor dat mobiele apparaten zo zijn ingesteld dat wachtwoorden nooit verlopen.
- Zorg ervoor dat gebruikers geen verbinding kunnen maken vanaf apparaten die zijn gekraakt of geroot.
- Zorg ervoor dat mobiele apparaten zijn ingesteld op wissen bij meerdere aanmeldingsfouten om inbreuk op brute force te voorkomen.
- Zorg ervoor dat mobiele apparaten een minimale wachtwoordlengte vereisen om brute force-aanvallen te voorkomen.
- Zorg ervoor dat apparaten worden vergrendeld na een periode van inactiviteit om onbevoegde toegang te voorkomen.
- Zorg ervoor dat versleuteling van mobiele apparaten is ingeschakeld om onbevoegde toegang tot mobiele gegevens te voorkomen.
- Zorg ervoor dat mobiele apparaten complexe wachtwoorden vereisen (Type = Alfanumeriek).
- Zorg ervoor dat mobiele apparaten complexe wachtwoorden vereisen (Eenvoudige wachtwoorden = Geblokkeerd).
- Zorg ervoor dat av en een lokale firewall zijn ingeschakeld op apparaten die verbinding maken.
- Zorg ervoor dat beleidsregels voor het beheer van mobiele apparaten vereist zijn voor e-mailprofielen.
- Zorg ervoor dat mobiele apparaten het gebruik van een wachtwoord vereisen.
Opmerking
Als u de nieuwe aanbevelingen voor Defender for Cloud Apps wilt weergeven, moet de Office 365-connector in Microsoft Defender for Cloud Apps worden ingeschakeld via de instellingenpagina voor app-connectors. Zie Verbinding maken Office 365 met Defender for Cloud Apps voor meer informatie.
September 2022
Nieuwe Microsoft Defender voor Office 365 aanbevelingen voor antiphishingbeleid zijn nu beschikbaar als beveiligingsscoreverbeteringsacties:
- Stel de drempelwaarde voor phishing-e-mail in op 2 of hoger.
- Nagebootsde gebruikersbeveiliging inschakelen.
- Beveiliging van geïmiteerde domeinen inschakelen.
- Zorg ervoor dat postvakintelligentie is ingeschakeld.
- Zorg ervoor dat de intelligentie voor imitatiebeveiliging is ingeschakeld.
- Berichten die zijn gedetecteerd van geïmiteerde gebruikers in quarantaine plaatsen.
- Berichten in quarantaine plaatsen die zijn gedetecteerd in domeinen die zijn geïmiteerd.
- Berichten verplaatsen die zijn gedetecteerd als geïmiteerde gebruikers door postvakintelligentie.
- Schakel de optie 'eerste contact veiligheidstip weergeven' in.
- Schakel de veiligheidstip voor imitatie van de gebruiker in.
- Schakel de veiligheidstip voor domeinimitatie in.
- Schakel de veiligheidstip voor de imitatie van ongebruikelijke tekens in.
Een nieuwe SharePoint Online-aanbeveling is nu beschikbaar als een actie voor het verbeteren van de beveiligingsscore:
- Inactieve gebruikers afmelden in SharePoint Online.
Augustus 2022
Nieuwe Microsoft Purview Informatiebeveiliging aanbevelingen zijn nu beschikbaar als acties voor het verbeteren van de beveiligingsscore:
-
Labeling
- Breid Microsoft 365-vertrouwelijkheidslabels uit naar assets in Azure Purview-gegevenstoewijzing.
- Zorg ervoor dat beleid voor gegevensclassificatie automatisch labelen is ingesteld en gebruikt.
- Microsoft 365-beleid voor vertrouwelijkheidslabelgegevensclassificatie publiceren.
- Creatie DLP-beleid (Preventie van gegevensverlies).
Nieuwe aanbevelingen voor Microsoft Defender voor Office 365 zijn nu beschikbaar als acties voor het verbeteren van de beveiligingsscore:
Antispam - Inkomend beleid
- Stel de drempelwaarde voor bulkklachtniveau (BCL) voor e-mail in op 6 of lager.
- Stel actie in om spamdetectie uit te voeren.
- Stel actie in om spamdetectie met hoge betrouwbaarheid uit te voeren.
- Stel actie in om phishingdetectie uit te voeren.
- Stel actie in voor detectie van phishing met hoge betrouwbaarheid.
- Stel actie in om bulkspamdetectie uit te voeren.
- Bewaar spam 30 dagen in quarantaine.
- Zorg ervoor dat spam veiligheidstips zijn ingeschakeld.
- Zorg ervoor dat er geen afzenderdomeinen voorkomen in de lijst met toegestane domeinen in antispambeleid (vervangt 'Controleren of er geen afzenderdomeinen zijn toegestaan voor antispambeleid' om de functionaliteit ook uit te breiden voor specifieke afzenders).
Antispam - Uitgaand beleid
- Stel het maximum aantal externe geadresseerden in dat een gebruiker per uur kan e-mailen.
- Stel het maximum aantal interne geadresseerden in waarnaar een gebruiker binnen een uur kan verzenden.
- Stel een dagelijkse berichtlimiet in.
- Gebruikers blokkeren die de berichtlimiet hebben bereikt.
- Stel regels voor automatisch doorsturen van e-mail in op systeembeheer.
Antispam - Verbindingsfilter
- Voeg geen toegestane IP-adressen toe aan het verbindingsfilterbeleid.
Juni 2022
Nieuwe aanbevelingen voor Microsoft Defender voor Eindpunt en Microsoft Defender Vulnerability Management zijn nu beschikbaar als acties voor het verbeteren van de beveiligingsscore:
- Offlinetoegang tot shares niet toestaan.
- Schrijfmachtigingen voor delen verwijderen ingesteld op Iedereen.
- Verwijder shares uit de hoofdmap.
- Een opsomming op basis van mappentoegang instellen voor shares.
- Werk Microsoft Defender voor Eindpunt kernonderdelen bij.
Er is een nieuwe Microsoft Defender for Identity-aanbeveling beschikbaar als een actie voor het verbeteren van de beveiligingsscore:
- Los onveilige domeinconfiguraties op.
Er is nu een nieuwe aanbeveling voor app-governance beschikbaar als een actie voor het verbeteren van de beveiligingsscore:
- Reguleert apps met toestemming van prioriteitsaccounts.
Nieuwe salesforce- en ServiceNow-aanbevelingen zijn nu beschikbaar als beveiligingsscore-verbeteringsacties voor Microsoft Defender for Cloud Apps klanten. Zie Overzicht van SaaS-beveiligingspostuurbeheer voor meer informatie.
Opmerking
De besturingselementen Salesforce en ServiceNow zijn nu beschikbaar in openbare preview.
April 2022
- Schakel gebruikersverificatie in voor externe verbindingen.
December 2021
- Schakel Veilige bijlagen in de blokmodus in.
- Voorkomen dat Exchange Online agendagegevens worden gedeeld met externe gebruikers.
- Schakel Veilige documenten voor Office-clients in.
- Schakel de algemene filterinstelling voor bijlagen in voor antimalwarebeleid.
- Zorg ervoor dat er geen afzenderdomeinen zijn toegestaan voor antispambeleid.
- Creatie beleid voor veilige koppelingen voor e-mailberichten.
- Creatie zero-hour auto purge-beleid voor malware.
- Schakel Microsoft Defender voor Office 365 in SharePoint, OneDrive en Microsoft Teams in.
- Creatie zero-hour auto purge-beleid voor phishingberichten.
- Creatie zero-hour auto purge-beleid voor spamberichten.
- Misbruik van misbruik van kwetsbare ondertekende stuurprogramma's blokkeren.
- Schakel het scannen van verwisselbare stations in tijdens een volledige scan.
Wij horen graag van u
Als u problemen ondervindt, laat het ons dan weten door te posten in de community Beveiliging, Privacy & Compliance . We houden de community in de gaten om hulp te bieden.
Verwante informatiebronnen
- Uw beveiligingspositie vaststellen
- Uw Microsoft Secure Score-geschiedenis bijhouden en doelen behalen
- Binnenkort beschikbaar
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.