Krok nr 1. Konfigurowanie planu bazowego zabezpieczeń
Pierwszym krokiem do przeciwdziałania atakom wymuszającym okup jest skonfigurowanie następujących punktów odniesienia zabezpieczeń zdefiniowanych przez firmę Microsoft:
- Zabezpieczenia platformy Microsoft 365
- Zarządzanie pocztą e-mail programu Exchange
- Dodatkowe punkty odniesienia dla urządzeń z systemem Windows i oprogramowania klienckiego
Te punkty odniesienia zawierają ustawienia konfiguracji i reguły, które są dobrze znane przez osoby atakujące, których brak jest szybko zauważany i często wykorzystywany.
Punkt odniesienia zabezpieczeń platformy Microsoft 365
Najpierw oceń i zmierz stan zabezpieczeń przy użyciu wskaźnika bezpieczeństwa firmy Microsoft i postępuj zgodnie z instrukcjami, aby je ulepszyć w razie potrzeby.
Następnie użyj reguł zmniejszania obszaru ataków , aby zablokować podejrzane działania i podatną na zagrożenia zawartość. Te reguły obejmują zapobieganie:
- Wszystkie aplikacje pakietu Office z tworzenia procesów podrzędnych
- Zawartość wykonywalna z klienta poczty e-mail i poczty internetowej
- Uruchamianie plików wykonywalnych, chyba że spełniają kryterium występowania, wieku lub listy zaufanych
- Wykonywanie potencjalnie zaciemnionych skryptów
- Uruchamianie pobranej zawartości wykonywalnej w języku JavaScript lub VBScript
- Tworzenie zawartości wykonywalnej przez aplikacje pakietu Office
- Wprowadzanie kodu do innych procesów przez aplikacje pakietu Office
- Aplikacja do komunikacji pakietu Office z tworzenia procesów podrzędnych
- Niezaufane i niepodpisane procesy uruchamiane z portu USB
- Trwałość za pośrednictwem subskrypcji zdarzeń interfejsu zarządzania windows (WMI)
- Kradzież poświadczeń z podsystemu lokalnego urzędu zabezpieczeń systemu Windows (lsass.exe)
- Tworzenie procesów pochodzące z poleceń PSExec i WMI
Punkt odniesienia zarządzania pocztą e-mail programu Exchange
Zapobiegaj początkowemu dostępowi do dzierżawy przed atakiem opartym na wiadomościach e-mail przy użyciu tych ustawień punktu odniesienia poczty e-mail programu Exchange:
- Włącz skanowanie poczty e-mail programu antywirusowego Microsoft Defender.
- Użyj Ochrona usługi Office 365 w usłudze Microsoft Defender, aby zwiększyć ochronę przed wyłudzaniem informacji i ochronę przed nowymi zagrożeniami i wariantami polimorficznymi.
- Sprawdź ustawienia filtrowania wiadomości e-mail Office 365, aby upewnić się, że blokujesz fałszywe wiadomości e-mail, spam i wiadomości e-mail ze złośliwym oprogramowaniem. Użyj Ochrona usługi Office 365 w usłudze Defender, aby zwiększyć ochronę przed wyłudzaniem informacji i ochronę przed nowymi zagrożeniami i wariantami polimorficznymi. Skonfiguruj Ochrona usługi Office 365 w usłudze Defender, aby ponownie sprawdzać linki po kliknięciu i usunięciu dostarczonych wiadomości e-mail w odpowiedzi na nowo uzyskaną analizę zagrożeń.
- Przejrzyj i zaktualizuj najnowsze zalecane ustawienia dotyczące EOP i zabezpieczeń Ochrona usługi Office 365 w usłudze Defender.
- Skonfiguruj Ochrona usługi Office 365 w usłudze Defender, aby ponownie sprawdzać linki po kliknięciu i usunięciu dostarczonych wiadomości e-mail w odpowiedzi na nowo uzyskaną analizę zagrożeń.
Dodatkowe punkty odniesienia
Stosowanie punktów odniesienia zabezpieczeń dla:
- Microsoft Windows 11 lub 10
- Aplikacje Microsoft 365 dla przedsiębiorstw
- Microsoft Edge
Wpływ na użytkowników i zarządzanie zmianami
Najlepszym rozwiązaniem dla reguły zmniejszania obszaru ataków jest ocena wpływu reguły na sieć, otwierając zalecenie dotyczące zabezpieczeń dla tej reguły w usłudze Defender Vulnerability Management. W okienku szczegółów rekomendacji opisano wpływ użytkownika, którego można użyć do określenia, jaki procent urządzeń może zaakceptować nowe zasady umożliwiające regułę w trybie blokowania bez negatywnego wpływu na produktywność użytkowników.
Ponadto ustawienia punktu odniesienia poczty e-mail programu Exchange mogą blokować przychodzące wiadomości e-mail i uniemożliwiać wysyłanie wiadomości e-mail lub klikanie linków w wiadomości e-mail. Poinformuj pracowników o tym zachowaniu i o przyczynie, dla którego podejmowane są te środki ostrożności.
Konfiguracja wyniku
Oto ochrona przed oprogramowaniem wymuszającym okup dla dzierżawy po tym kroku.
Następny krok
Przejdź do kroku 2 , aby wdrożyć funkcje wykrywania ataków i reagowania na nie dla dzierżawy platformy Microsoft 365.