HƯỚNG DẪN THIẾT LẬP BẢO MẬT CƠ BẢN TRONG MICROSOFT 365

Các tính năng bảo mật trong Microsoft 365

Với Microsoft 365, các quản trị viên sẽ có đầy đủ các tùy chọn, trang quản trị và thiết lập cấu hình chuyên sâu về bảo mật. Mỗi dịch vụ được bảo vệ chủ yếu bởi Azure Active Directory for Authentication, với mỗi ứng dụng cho phép người dùng truy cập vào nội dung của chính ứng dụng đó. Ngoài ra, những tenant mới hơn được bật tính năng Bảo mật mặc định để triển khai một số tính năng cần thiết nhất. Tính năng này mang lại nhiều lợi ích cho doanh nghiệp, tuy nhiên nó vẫn chưa thể đáp ứng toàn vẹn yêu cầu cụ thể của từng doanh nghiệp. Các thủ tục và kiểm soát bảo mật dành riêng cho tổ chức nên tăng cường tất cả các cấu hình bên ngoài.

Bảo mật trong Microsoft 365 không chỉ là kích hoạt các tính năng và điều khiển; nó cũng liên quan đến khía cạnh con người trong việc giảng dạy và hướng dẫn người dùng hiểu các hạn chế và những gì họ nên làm để giúp đỡ. Tổ chức An ninh là sự kết hợp của Kiểm soát và Bảo vệ An ninh, kết hợp với đào tạo và hướng dẫn người dùng cuối.

Các gói bản quyền bảo mật của Microsoft 365

Với tất cả các dịch vụ Microsoft 365, các thành phần bảo mật nhiều lõi đi kèm với việc cấp phép tiêu chuẩn. Các tính năng, chẳng hạn như Mặc định bảo mật , được bao gồm trong giấy phép cốt lõi; tuy nhiên, hầu hết các khả năng Bảo mật nâng cao thì không. Các tính năng này có sẵn dưới dạng giấy phép bổ trợ riêng biệt hoặc được đóng gói vào Enterprise Mobility + Security E3, Enterprise Mobility + Security E5, Microsoft 365 E3, Microsoft 365 E5, Microsoft 365 E5 SecurityMicrosoft 365 Business Premium .

Kích hoạt tính năng Security Defaults trong Microsoft 365

Tính năng Security Defaults của Microsoft 365 nằm trong Azure Active Directory. Theo mặc định, tất cả các tenant Microsoft 365, được tạo từ ngày 22/10/2019, đều được trang bị các tính năng này. Các tenant tạo trước đó sẽ không thể kích hoạt được tính năng này. Tính năng này được bổ sung hoàn toàn miễn phí.

Tính năng Security Defaults này sẽ kích hoạt 5 tính năng kiểm soát và bảo mật chung:

  • Thực thi đăng ký Azure Multi-Factor Authentication cho toàn bộ người dùng.
  • Bắt buộc các quản trị viên phải sử dụng Multi-Factor Authentication.
  • Chặn các giao thức xác thực cũ.
  • Yêu cầu tất cả người dùng thực hiện Xác thực đa yếu tố khi cần thiết.
  • Bảo vệ truy cập đặc quyền.

Để kích hoạt Security Defaults trong tài khoản Microsoft 365 của bạn, thực hiện các bước sau:

  1. Đăng nhập vào Azure Portal với quyền Security Administrator, Conditional Access Administrator hoặc Global Administrator.
  2. Chọn Azure Active Directory, sau đó chọn Properties.
  3. Ấn vào link phía dưới mục Manage Security Defaults.
  4. Chọn Enable Security Defaults sang Yes.
  5. Chọn Save.

Bạn cũng có thể chọn tắt các tính năng này và tạo bộ quy tắc và kiểm soát bảo mật của riêng mình, bằng cách không bật Security Defaults hoặc nếu chúng được bật, hãy cài Security Defaults thành tắt.

Thiết lập các tính năng bảo mật cơ bản trong Microsoft 365

Mỗi một tenant Microsoft 365 sẽ cần một cách cấu hình bảo mật khác nhau. Các tính năng bảo mật của Microsoft 365 sẽ cung cấp các khả năng bảo vệ riêng biệt theo từng cấp độ. Có 10 tính năng kiểm soát và bảo mật chính sẽ cung cấp nền tảng vững chắc cho các biện pháp bảo vệ khác có thể được tổ chức áp dụng khi cần thiết nếu được kích hoạt trong tất cả các tenant.

Multi-Factor Authentication

Trong hầu hết mọi vi phạm Dữ liệu và Bảo mật liên quan đến tài khoản bị xâm phạm, chỉ cần bật Xác thực Đa yếu tố là đã chặn được cuộc tấn công. Việc buộc mọi yêu cầu xác thực phải xác thực yếu tố thứ hai, chẳng hạn như sử dụng SMS hoặc Mã thông báo, sẽ hạn chế khả năng sử dụng tài khoản của bất kỳ tác nhân độc hại nào.

Phương pháp hay nhất là không sử dụng tin nhắn SMS / tin nhắn văn bản nếu có thể, vì điều này đã bị tấn công trong một thời gian dài và không còn an toàn như trước đây. Yêu cầu người dùng cuối cài đặt ứng dụng Xác thực trên thiết bị di động của họ để đẩy yêu cầu đến thiết bị mà họ có thể phê duyệt nếu cần. Các ứng dụng này cũng cung cấp mã thông báo kịp thời tồn tại trong một thời gian cụ thể và có sẵn trong các trường hợp thông báo đẩy không thích hợp hoặc không thể hoạt động.

Xác thực đa yếu tố có thể được chỉ định rõ ràng cho người dùng hoặc quản trị viên hoặc được thực thi bằng cách sử dụng Chính sách truy cập có điều kiện. Cách tiếp cận ưa thích để thực hiện Chính sách truy cập có điều kiện. Các chính sách này cung cấp chi tiết hơn khi người dùng cần cung cấp yếu tố thứ hai, thay vì luôn phải có. Xác thực đa yếu tố của quản trị viên sử dụng Chính sách truy cập có điều kiện có thể được tạo và kích hoạt miễn phí, trong khi cấu hình người dùng cuối yêu cầu mọi người dùng phải có giấy phép cho phép điều này hoạt động.

Tự động đăng xuất người dùng không hoạt động

Thiết lập phiên đăng nhập dài hoặc không giới hạn có thể dẫn đến nguy cơ tài khoản của người dùng bị sử dụng bởi một người khác. Người dùng sử dụng một máy tính chung nghĩ rằng đóng cửa sổ đăng nhập sẽ tự động đăng xuất tài khoản của họ. Tuy nhiên, những kẻ tấn công vẫn có thể mở lại cửa sổ trình duyệt đó và sử dụng tài khoản của người dùng mà không cần xác thực lại tài khoản.

Đăng xuất phiên không hoạt động cho phép tổ chức chỉ định khi nào người dùng cuối nhận được cảnh báo và tự động đăng xuất khỏi Microsoft 365. Sau khoảng thời gian không hoạt động được chỉ định trong SharePoint Online và OneDrive for Business, đăng xuất tự động sẽ xảy ra. Hoạt động đăng xuất này hoạt động bằng cách sử dụng các yêu cầu của người dùng cuối được gửi đến SharePoint Online hoặc OneDrive for Business, không phải bằng cách di chuyển chuột trong trình duyệt khi truy cập một trong hai dịch vụ.

Người dùng sẽ đăng xuất khỏi tất cả các dịch vụ Microsoft 365 với thời gian được chỉ định, không chỉ SharePoint Online và OneDrive for Business trừ khi họ đã chọn duy trì trạng thái đăng nhập. Trải nghiệm người dùng cuối sẽ khác nếu họ không hoạt động trong các tab trình duyệt khác nhưng không hoạt động trong một SharePoint Online hoặc OneDrive for Business; sau đó, tất cả các tab sẽ vẫn ở trạng thái đăng nhập.

Chặn các phương thức xác thực cũ

Các giao thức xác thực kế thừa sử dụng xác thực cơ bản. Các giao thức này, chẳng hạn như POP, SMTP, IMAP và MAPI, không thể thực thi bất kỳ xác thực yếu tố thứ hai nào, khiến chúng trở thành điểm vào ưa thích cho các phần tử độc hại tấn công tổ chức. Hơn 99% tất cả các cuộc tấn công phun mật khẩu trong Azure Active Directory, đã sử dụng xác thực kế thừa. Ngoài ra, hơn 97% tất cả các cuộc tấn công Nhồi thông tin xác thực chống lại Azure Active Directory cũng sử dụng xác thực kế thừa.

Mặc dù chặn xác thực kế thừa là rất quan trọng đối với Bảo mật của Microsoft 365 Tenant, bạn cần đảm bảo rằng tất cả các ứng dụng và giao thức thư được sử dụng để hỗ trợ phương pháp xác thực hiện đại và hoạt động mà không có các khả năng kế thừa. Các ứng dụng và dịch vụ sử dụng xác thực kế thừa như là:

  • Authenticated
  • SMTP
  • Autodiscover (sử dụng bởi Outlook)
  • Exchange ActiveSync
  • Exchange Online PowerShell
  • Exchange Web Services
  • IMAP4
  • MAPI qua HTTP
  • Offline Address Book
  • Outlook Anywhere (RPC qua HTTP)
  • Outlook Service POP3
  • Reporting Web Services

Đặt mật khẩu người dùng thành không bao giờ hết hạn

Khi thực thi đặt lại mật khẩu định kỳ, mật khẩu trở nên kém an toàn hơn. Người dùng có xu hướng chọn một mật khẩu yếu hơn và thay đổi một chút cho mỗi lần đặt lại. Loại hành vi này thường có thể dẫn đến việc sử dụng lại các mật khẩu hiện có, cũng như những kẻ tấn công ác ý đoán được mật khẩu. Nếu người dùng tạo một mật khẩu an toàn (dài, phức tạp và không có bất kỳ từ ngữ thực dụng nào), mật khẩu đó sẽ vẫn mạnh trong vòng 60 ngày như hiện nay.

Azure Active Directory cung cấp khả năng thiết lập các chính sách hết hạn mật khẩu và vô hiệu hóa nó cho những người dùng cụ thể hoặc tất cả người dùng.

Có hai tùy chọn để tắt mật khẩu hết hạn:

  1. Tắt hết hạn mật khẩu cho mỗi người dùng hoặc cho tổ chức trong Azure Active Directory.
  2. Đồng bộ hóa mật khẩu từ Active Directory tại chỗ bằng Azure AD Connect. Đồng bộ hóa này bao gồm các chính sách mật khẩu
Danh sách mật khẩu bị cấm

Người dùng cuối thường sử dụng lại các mật khẩu hiện có trên nhiều dịch vụ, cho dù là cá nhân hay doanh nghiệp. Mật khẩu dễ phát hiện được sử dụng cũng rất phổ biến. Khi tài khoản sử dụng mật khẩu thông thường hoặc mật khẩu đơn giản, khả năng bị vi phạm tài khoản sẽ cao hơn.

Azure Active Directory bao gồm một danh sách mật khẩu bị cấm toàn cầu, bảo vệ tất cả các dịch vụ Microsoft 365. Azure Active Directory cũng cung cấp cho các tổ chức khả năng thêm vào danh sách các mật khẩu bị cấm. Khi người dùng thay đổi mật khẩu của họ trên đám mây, nếu mật khẩu mới khớp với bất kỳ mật khẩu nào bị cấm, người dùng cuối sẽ được thông báo và họ sẽ cần thay đổi mật khẩu mà họ đã nhập. Tính năng mật khẩu bị cấm tùy chỉnh được giới hạn trong 1000 từ. Nó không phải để chặn danh sách lớn các mật khẩu.

Chia sẻ ra bên ngoài

Việc chia sẻ nội dung ra bên ngoài luôn là rủi ro đối với bất kỳ tổ chức nào. Do cách SharePoint chỉ định quyền và kiểm soát quyền truy cập, dữ liệu như dữ liệu Thông tin nhận dạng cá nhân (PII) có thể được chia sẻ ra bên ngoài mà không có biện pháp bảo vệ nào, đặc biệt nếu bất kỳ email bên ngoài nào được phép. SharePoint External Sharing là cài đặt cấu hình cấp cao nhất kiểm soát việc chia sẻ nội dung từ SharePoint cho bất kỳ ai, kể cả tài khoản không phải của công ty. Cài đặt này khả dụng ở cấp tổ chức Đối tượng thuê, được sử dụng ở các cấp thấp hơn trong Office 365 trừ khi được đặt rõ ràng ở cấp ứng dụng.

Microsoft 365 cung cấp cài đặt chia sẻ bên ngoài ở cấp đối tượng thuê và cấp ứng dụng. Quyết định sửa đổi các cài đặt này phải liên quan đến công việc. Đặt cài đặt này thành Chỉ những người trong tổ chức của bạn sẽ giới hạn khả năng chia sẻ bên ngoài. Sau đó, chỉ có thể chia sẻ nội dung bằng các tài khoản đã tồn tại trong Azure Active Directory hiện có, cho dù là người dùng nội bộ hay tài khoản khách bên ngoài. Việc thêm các tài khoản bên ngoài sau đó trở thành một quá trình được kiểm soát.

Đặt ngưỡng khóa tài khoản

Nhiều vụ xâm nhập tài khoản thành công xảy ra bởi vì các biện pháp bảo vệ đơn giản không được xác định. Phổ biến nhất là số lần nhập sai mật khẩu trước khi khóa tài khoản. Con số này càng cao, càng có nhiều lần kẻ độc hại phải đoán mật khẩu một cách tự do.

Azure Active Directory Smart lockout sử dụng trí thông minh đám mây để khóa các tác nhân độc hại cố gắng đoán mật khẩu của người dùng cuối. Nền tảng tình báo nhận ra các đăng nhập từ những người dùng hợp lệ và xử lý những đăng nhập đó khác với những đăng nhập của những kẻ tấn công và các nguồn không xác định khác. Khóa thông minh có thể khóa những kẻ tấn công nhưng vẫn cho phép người dùng tiếp tục truy cập vào tài khoản của họ. Tính năng khóa thông minh được bật theo mặc định trong tất cả các phiên bản Azure Active Directory; tuy nhiên, các tổ chức có thể tùy chỉnh chúng khi cần thiết. Cài đặt mặc định là mười lần đăng nhập không thành công, với khuyến nghị đặt thấp hơn theo yêu cầu và kết hợp với tổ chức.

Chính sách Quản lý Ứng dụng Di động

Khi người dùng cuối kết nối thiết bị di động với Microsoft 365 nếu họ là Thiết bị mang theo của riêng bạn (BYOD), họ có thể đồng bộ nội dung OneDrive và SharePoint cục bộ ngoài mạng và thiết bị của công ty.

Microsoft 365 cung cấp các quy tắc đảm bảo dữ liệu của tổ chức vẫn an toàn hoặc được chứa trong một ứng dụng được quản lý. Các chính sách này có thể bao gồm các quy tắc chặn nỗ lực của người dùng truy cập hoặc di chuyển dữ liệu của công ty hoặc là một tập hợp các hành động bị cấm hoặc bị giám sát mà người dùng có thể thực hiện khi ở trong ứng dụng. Các chính sách quản lý ứng dụng dành cho thiết bị di động độc lập với giải pháp Quản lý thiết bị di động (MDM) và không yêu cầu đăng ký thiết bị.

Các lợi ích cốt lõi của chính sách quản lý ứng dụng dành cho thiết bị di động (MAM) là:

  1. Bảo vệ dữ liệu tổ chức ở cấp ứng dụng
  2. Năng suất của người dùng cuối không bị ảnh hưởng
  3. Chính sách không áp dụng khi việc sử dụng ứng dụng trong bối cảnh cá nhân
  4. Các chính sách bảo vệ ứng dụng đảm bảo rằng các biện pháp bảo vệ ứng dụng được áp dụng

Việc sử dụng các chính sách quản lý ứng dụng dành cho thiết bị di động (MAM) sẽ yêu cầu người dùng cuối phải có giấy phép cho Microsoft Intune được chỉ định cho tài khoản Azure Active Directory của họ.

CHỨNG NHẬN ĐỐI TÁC BẢN QUYỀN SOFT365 - CÁC HÃNG PHẦN MỀM TRÊN THẾ GIỚI
http://soft365.vn - https://store.soft365.vn/ - Hotline: 0936 362 158

THÔNG TIN LIÊN HỆ TƯ VẤN MUA PHẦN MỀM BẢN QUYỀN TẠI SOFT365
Công ty TNHH Thương mại và dịch vụ TSG
Địa chỉ: Hà Nội: Tầng 2, Tòa nhà ATS, 252 Hoàng Quốc Việt, Bắc Từ Liêm, Hà Nội
Hồ Chí Minh: Tầng 5, tòa nhà GIC, số 89 Vạn Kiếp, phường 03, quận Bình Thạnh, TP HCM
Website: www.soft365.vn - store.soft365.vn | Email: info@tsg.net.vn
Điện thoại: 024 7305 0506 | 028 7308 0508
Gặp tổng đài tư vấn: 0936 362 158 | info@tsg.net.vn

GIẢI PHÁP HÀNG ĐẦU - DỊCH VỤ HOÀN HẢO
SOFT365 - ĐỐI TÁC ỦY QUYỀN CỦA CÁC HÃNG PHẦN MỀM NỔI TIẾNG TRÊN THẾ GIỚI