5 tips om Microsoft 365 beveiliging te verbeteren

Om je Microsoft 365 omgeving goed te beveiliging moet een aantal zaken nog worden ingericht. Denk hierbij aan de beveiliging van de accounts van medewerkers, het beveiligen van e-mailbestanden en samenwerkingsplatformen. Alle instellingen staan zonder aanpassing op het laagste niveau. Dit betekent dat er minimale bescherming is tegen malafide mail en bestanden. Er zijn ook uitgebreide audit- en alertinstellingen. Verder biedt Microsoft 365 ook de mogelijkheid om de werkplekken van medewerkers te beveiligen. Als je dit allemaal goed inricht dan ben je weer in control.

Tip 1: Afdwingen van Multi-Factor Authentication (MFA)

Dit is de beste en meest eenvoudige manier om snel de beveiliging voor jouw bedrijf te verbeteren. Bij het aanmelden met gebruikersnaam en wachtwoord moet aansluitend een code worden ingevuld die per SMS wordt ontvangen of door Microsoft Authenticator is gegenereerd. Om handwerk te voorkomen is het verstandig MFA af te dwingen met een zogenaamde “Conditional Access” policy in Azure Active Directory. Doe dit in ieder geval voor alle Directory Roles, oftewel accounts met Administrator rechten.

Veel mensen gebruiken nog steeds SMS voor authenticatie, maar het is veel handiger om dit met goedkeuring vanuit de Authenticator App te doen. Dat is zelfs beter. Maak gebruik van de number sign-in. Daarin vindt validatie plaats op basis van een uniek nummer dat je na het invoeren van je gebruikersnaam/wachtwoord krijgt:

Tip 2: Kijk geregeld in het Security Center van Microsoft 365

Daar krijg je namelijk een overzicht van de huidige stand van zaken met betrekking tot Microsoft 365 Security en de incidenten die zich voordoen.

Je krijgt hier direct een overzicht van een score die je van Microsoft krijg en voor jouw organisatie gelden. Daarin zie je meteen hoe jouw organisatie zicht verhoudt tot soortgelijke bedrijven. Zo krijg je een indruk of je goed bezig bent. Bijkomend voordeel is dat Microsoft je ook actief tips geeft hoe je de score en daarmee jouw beveiliging kan verbeteren.

Let op: implementeer niet alles blindelings, omdat dit kan zorgen voor verstoring van je omgeving. Sommige instellingen kunnen er zelfs voor zorgen dat je medewerkers helemaal niet meer kunnen werken. Bepaal dus altijd eerst je beveiligingsbeleid voor je aan de slag gaat.

Score per categorie:

Tip 3: Bescherm e-mail, de meest gebruikte manier van hackers om binnen te komen.

Een hack op een e-mailaccount is extra vervelend, omdat een hacker via dit account vaak wachtwoorden kan opvragen van andere accounts (via password reset) waar dit e-mailadres als inlog wordt gebruikt. Er zijn veel mogelijkheden om e-mailaccounts goed te beschermen.

Exchange Online wordt inmiddels door zoveel organisatie gebruikt dat Microsoft ontzettend veel metadata en statistieken krijgt. Dit zorgt ervoor dat zij de beveiliging van het mailplatform steeds uitbreiden en beter maken. In veel gevallen zijn de ingebouwde mogelijkheden net zo goed als externe tools.

Naast spam, malware en phishing bescherming biedt Microsoft ook een aantal Advanced Threat Protection (ATP) mogelijkheden. Dit zorgt ervoor dat je medewerkers visueel meldingen krijgen over eventuele malafide communicatie. Bovendien kunnen bepaalde steekwoorden, bestanden en AVG-gevoelige data worden gerapporteerd of geblokkeerd.

Tip 4: Gebruik speciale beheerdersaccounts

Een beheerdersaccount heeft vaak uitgebreide bevoegdheden. Dit zijn natuurlijk accounts die cybercriminelen graag als doelwit kiezen. Gebruik zo’n beheerdersaccount slechts waarvoor het bedoeld is, namelijk beheer. We komen geregeld tegen dat beheerdersaccounts worden gebruikt als gebruikersaccount. Niet goed!

Maak voor de beheerder altijd een apart gebruikersaccount aan met specifieke rechten, zodat het beheerdersaccount alleen gebruikt wordt om taken te voltooien die gekoppeld zijn aan een functie.

En nog iets…

Gebruik waar mogelijk Privileged Identity Management. Dit stelt je in staat om Admin-taken toe te wijzen op basis van goedkeuring of een tijdsduur. Zo voorkom je dat bij een hack van een admin-account, direct taken kunnen worden uitgevoerd.

Tip 5: Monitor gedrag

Uiteraard zorgen alle voorgaande maatregelen ervoor dat je minder risico loopt op je Microsoft 365 omgeving. Toch zijn vaak je collega’s of medewerkers uiteindelijk de zwakste schakel. Naast dit gegeven heeft Microsoft binnen haar platform nog veel meer handige tools en oplossingen waar je niet direct zicht op hebt.

Denk daarbij bijvoorbeeld aan Power Automate. Hier kun je hele informatiestromen aanmaken om acties uit te voeren als er bijvoorbeeld een nieuw bestand wordt aangemaakt. Wij zijn in de praktijk een keer een stroom tegengekomen die ervoor zorgt dat bij het aanmaken van een bestand in SharePoint ditzelfde bestand automatisch naar een extern e-mailadres wordt verstuurd. Niet wenselijk natuurlijk. Maar ook acties zoals e-mail forwarden naar een extern e-mailadres of het verwijderen van grote hoeveelheden bestanden wil je in de gaten houden. Daar komt wederom het Security Center om de hoek kijken. Hier kun je zelf Alert Policies aanmaken die bepaald gedrag monitoren en daarop rapporteren. Zo ben je in control en weet je wat er gebeurt.

Samengevat

Er zijn enorm veel mogelijkheden om je Microsoft 365 te beveiligen. Je moet het echter zelf wel configureren. Zorg ervoor dat je het informatiebeveiligingsbeleid gedefinieerd hebt, zodat je de juiste keuzes kunt maken. Teveel beveiliging is immers ook niet goed, omdat de omgeving dan zoveel beperkingen heeft dat medewerkers hun werk niet goed meer kunnen doen. Je moet hierin een goede balans vinden. Gelukkig helpt Microsoft je wel bij het verbeteren van je beveiliging door tips te geven hoe je dat kunt doen, maar opnieuw… kijk wat voor jouw organisatie wenselijk is.

We kunnen ons voorstellen dat je over dit onderwerp meer wilt weten. Neem dan even contact op, zodat we je hierbij verder kunnen helpen.