Office 365 är en så kallad software-as-a-service (SaaS) vilket innebär att leverantören ansvarar för en stor del av programvarutjänsten och dess säkerhet. Men vissa delar ansvarar du som kund själv för, och för att du ska få en riktigt säker miljö krävs det att du genomför alla åtgärder på rätt sätt.

Vi ska i den här artikeln gå igenom det du behöver göra för att sova bättre om nätterna i vetskapen om att du gjort allt för att få en riktigt säker miljö. För att sätta fokus på åtgärder i Office 365 utgår vi här från en miljö där du enbart använder konton i molnet. Det är den enklaste identitetslösningen, och den du bör sträva efter om du inte har explicita krav på att använda kontosynkronisering eller single-sign on från ditt lokala AD.

Ha en modern och säker klientpark

Innan man kan börja med de faktiska säkerhetsinställningarna i Office 365 gäller det att se till att klientparken är modern, säker och redo att fungera med de säkerhetshöjande åtgärderna. Detta betyder i praktiken att du behöver ha klienter med senaste versionen av Windows 10 eller ett modernt Mac OS. På telefoner bör du ha IOS- eller Androidenheter med senaste OS installerat. Till detta kommer att du behöver använda ett modernt Officepaket i form av Office Proplus eller Office 2019 samt de senaste Officeapparna på dina mobila enheter. Anledningen till detta är att det bara är moderna OS och Officeapplikationer som fungerar med Modern Autentisering vilket är grunden till en säker konfiguration i Office 365. Gammal Autentisering (Legacy Authentication) som enbart fungerar med lösenord är svårt att få säkerhet i och produkter som använder detta bör inte längre användas. Dessa produkter kommer att sluta fungera när du inför de åtgärder som föreslås här.

Detta arbete innebär exempelvis att du behöver sluta använda allehanda olika e-post- och kalenderappar som dina användare troligen använder idag och istället standardisera på Outlook Mobile i telefonerna. Detta inte bara för att du ska veta att du kan använda Modern Autentisering, utan också för att komma bort från protokollet Activesync som har många år på nacken och istället gå över till Outlook som använder ett mycket modernare och säkrare protokoll för att kommunicera direkt med Office 365. Du får också fler funktioner på detta sätt, som tex stöd för krypterad e-post (OME), stöd för RMS-skyddat material samt möjlighet att öppna konferensrum eller kalendrar för andra användare. Du har alltså allt att vinna på att gå över till Outlook Mobile, även om du troligen kommer att stöta på en del internt motstånd för detta.

Om det är möjligt så bör du också sträva efter att dina klienter går med direkt i Azure AD istället för ditt lokala AD för att slippa beroende av en lokal miljö som i sig kan vara en säkerhetsrisk. Det är här viktigt att förstå att vi snabbt är på väg mot en värld där identitet är den viktigaste faktorn och brandväggar och nätverkssegmentering har börjat spela ut sin roll för säkerhet inom it då det är bättre att betrakta alla nätverk som osäkra och därmed kunna arbeta varifrån som helst.

När din klientpark är uppdaterad och du har en standardiserad plattform med produkter som supportas av Office 365 så kan arbetet med att höja säkerheten i själva tjänsten påbörjas.

Inför multifaktorsäkerhet (MFA)

Vi börjar direkt med det allra viktigaste, MFA. Detta innebär att du måste komplettera inloggning till kontot i Azure AD med en andra faktor, som en sms-kod, motringning eller genom att godkänna en pop-up i Microsofts speciella app för kontosäkerhet som heter Microsoft Authenticator. På så vis kan en hackare inte komma in även om den skulle komma över ditt lösenord. Denna enkla åtgärd skulle stoppa den absoluta majoriteten av attacker i Office 365 och det är skrämmande vanligt att det inte utnyttjas.

Enligt Microsoft är det bara en dryg procent av alla konton med administrativa behörigheter som använder MFA, och vanliga konton ska vi inte tala om. MFA ingår gratis i alla licensformer i Office 365 så det finns ingen ursäkt, du bör införa detta omgående.

mfa-cap
Villkorad åtkomst används för att ange att man måste använda MFA och komma från en supportad produkt för att få tillgång till Office 365.

Du bör också se till att inte dela ut så kallade app passwords, som ger tillgång till vissa tjänster med enbart lösenord, utan istället som vi tidigare sagt standardisera på rätt klientprodukter så att detta behov inte längre finns. Detta kan låta betungande för användarna, men i praktiken kommer det att gå bra eftersom en enhet enbart kommer att kräva ny MFA-inloggning varje kvartal, vilket varje användare borde kunna acceptera.

MFA kan införas på två olika sätt, antingen direkt på kontot vilket är det äldre sättet att göra det på. Det nyare sättet är att använda sig av villkorad åtkomst i Azure AD. Villkorad åtkomst är det rekommenderade sättet att göra detta på eftersom du då mycket mer finmaskigt kan ange under vilka förhållanden MFA ska krävas, men det kräver också lite mer av dig som administratör för att se till att alla scenarier är täckta och att säkerheten blir komplett. Du kan också ange ett spann av ip-adresser som är undantagna från MFA om du är helt säker på att ingen obehörig kan komma åt ditt lokala nätverk, men för maximal säkerhet bör du agera efter principen ”zero trust network” och inte lita på några nätverk alls.

Du bör också aktivera den standardpolicy som Microsoft skapat åt dig som kräver MFA för alla administrativa konton för att undvika pinsamma och farliga misstag. Om en hackare kommer in som global administratör så kan i värsta fall hela din miljö tömmas på innehåll och förstöras på mycket kort tid.

Om du använder Intune för att hantera dina klienter så kan detta underlätta ett införande av MFA eftersom du kan ange att alla enheter som är anslutna och uppfyller fastställda krav inte ska behöva använda MFA.

Spärra gamla protokoll eller kräv MFA på dem

Gamla protokoll
Gamla protokoll är osäkra och bör spärras helt när du gått över till att enbart använda klienter som fungerar med Modern Autentisering.

Hackare älskar gamla protokoll eftersom de inte har skapats med säkerhet i åtanke. Du bör se till att inte bygga några lösningar som hänger på att du använder Imap, Pop3, Activesync, SMTP Client Submission eller EWS eftersom dessa inte kan använda Modern Autentisering utan bygger enbart på lösenord som säkerhet. Många attacker börjar med att användaren får ett phishingbrev där denne luras att uppge sitt lösenord, vilket sedan följs av att en hackare missbrukar e-postkontot genom att pumpa ut spam eller stjäl data. Inget av detta skulle vara möjligt om MFA användes och gamla protokoll var spärrade. Du kan spärra gamla protokoll genom att inkludera dem i en policy för villkorad tillgång i Azure AD där du kräver MFA, men det rekommenderade sättet är att skapa en separat policy som omfattar alla applikationer och användare och där helt enkelt spärrar dessa gamla klientprotokoll.

Använd komplexa lösen med blacklist

konto lockout
Se till att konton blir låsta efter felaktiga inloggningsförsök. En kort utelåsningsperiod räcker för att stoppa de flesta attacker. Spärra också vanliga lösenord som är enkla att gissa.

Även om du använder MFA så ska givetvis även lösenordet vara säkert. Det bästa är att använda 16 tecken långa, mycket komplexa lösenord och givetvis ska lösenord aldrig användas på mer än en plats. För att underlätta detta bör du använda någon form av krypterad lösenordshanterare, tex Keepass. Om du låter verktyget slumpa dina lösenord blir dessa mycket säkra och du behöver dessutom inte komma ihåg dem eftersom de sparas i verktyget.

Sida 1 / 2
Föregående Nästa

Innehållsförteckning