Microsoft 365: 5 manieren voor betere beveiliging

door | 17-07-2020 | Conditional Access, Microsoft 365, Multi Factor Authenticatie | 0 Reacties

Beveiliging was altijd al belangrijk, maar is alleen maar belangrijker geworden zeker nu we vaker flexibel werken. Microsoft 365 biedt standaard beveiliging van hoog niveau voor jouw apparaten en data en hier kun je zelf nog wat extra (belangrijke!) beveiliging aan toevoegen. In dit artikel 5 manieren om jouw Microsoft 365 omgeving beter te beveiligen.

Multi Factor Authenticatie instellen

De meesten van ons zijn hier al mee bekend voor andere services, maar ook voor Microsoft 365 is dit een zeer belangrijke beveiligingslaag. Een absolute aanrader om te implementeren. Met Multi Factor Authenticatie (MFA) voeg je een extra stap toe aan het gebruikelijke inlogproces met gebruikersnaam/wachtwoord. Tijdens inloggen zul je ook gevraagd worden om met jouw mobiele telefoon het inloggen te bevestigen. Door het gebruik van jouw mobiele telefoon is er een extra beveiligingslaag toegevoegd en weet Microsoft 365 zeker dat degene die inlogt ook echt is wie hij zegt dat hij is.

Het configureren en aanschakelen van MFA voor Microsoft 365 is niet ingewikkeld. Gebruik je al langere tijd Microsoft 365 en heb je een groter aantal (>10) gebruikers? Dan is het zaak om van tevoren een goede analyse te doen of er mogelijke problemen kunnen zijn wanneer je MFA inschakelt. Het is in alle gevallen verstandig om MFA eerst te testen met bijvoorbeeld twee gebruikers die veelvuldig gebruikmaken van de services van Microsoft 365.

Meer informatie over het instellen van MFA als beheerder vind je hier.

Gebruik Conditional Access

Zit jouw bedrijf alleen in Nederland en heb je dus geen collega’s die vanuit het buitenland inloggen op Microsoft 365? Blokkeer dan via Conditional Access bepaalde landen waarvan jij wilt dat vanuit dat land niet ingelogd mag worden in Microsoft 365. Grote kans dat jij liever niet hebt dat er vanuit Nigeria of Noord-Korea wordt ingelogd. En zo zullen er waarschijnlijk nog wel meer landen zijn die je kunt blokkeren.

De meeste bedrijven ontvangen inlogpogingen van over de hele wereld zonder dat ze dit weten. Als voorbeeld hier een wereldkaart met inlogpogingen voor een klein bedrijf met minder dan 10 medewerkers die alléén opereert in Amerika:

Door Conditional Access te gebruiken kun je al deze inlogpogingen blokkeren. Mocht er wel iemand in het buitenland naar de door jou geblokkeerde landen reizen, dan kun je voor deze gebruiker eenvoudig instellen dat hij (tijdelijk) wél mag inloggen. En natuurlijk stel je in dat er alleen vanaf geautoriseerde beheerde apparaten ingelogd mag worden.

Meer informatie hierover een hoe je dit moet instellen lees je hier.

Speciale beheerdersaccounts gebruiken

In Microsoft 365 heb je verschillende beheerdersrollen. Eén rol kan alles: Global Admin (Hoofdbeheerder). Zorg ervoor dat je deze rol zo min mogelijk uitdeelt. Deze rol kan alles inzien, uitvoeren en verwijderen over de hele omgeving. Normaal gesproken heb je aan twee hoofdbeheerders op de omgeving voldoende. Daarnaast is er bijvoorbeeld iemand die alleen SharePoint beheer doet en deze wijs je dan ook de SharePoint beheerder rol toe. Ga uiterst voorzichtig om met het toewijzen van deze rollen en werk volgens het ‘least privileged’ principe: zo min mogelijk rechten. Het is beter dat een beheerder voor een bepaalde taak tijdelijk verhoogde rechten krijgt, dan dat de beheerder altijd deze verhoogde rechten heeft.

Maak daarnaast speciale beheerdersaccounts aan en wijs daar de beheerrollen aan toe. Niet toewijzen op normale gebruikersaccounts dus, maar beter gescheiden houden van elkaar!

Extra tips:

  • Zorg ervoor dat Multi Factor Authenticatie ook voor beheerdersaccounts is ingeschakeld
  • Werk met beheerdersaccounts alléén in InPrivate of Incognito modus in jouw browser
  • Beheerderstaken voltooid? Meld jezelf af in de browser en sluit deze

Verhoog beschermingsniveau tegen e-mail malware

Veruit de meeste (malware) aanvallen komen binnen via e-mail. Microsoft 365 standaard al sterke beveiliging, maar indien gewenst kun je dit nog verder opschroeven. Dit doe je door het blokkeren van bijlagen met bestandstypen die vaak worden gebruikt door malware. Hiermee blokkeer je bijvoorbeeld bijlagen met de .reg en .vbs extensies. Je kunt hier zelf nog extra extensies aan toevoegen. Wat je verder nog kunt instellen is het automatisch op de hoogte stellen van de beheerder dat er een bijlage is geblokkeerd.

Meer informatie vind je hier.

Verhoog beschermingsniveau tegen ransomware

Ransomware zorgt ervoor dat je al jouw apparaten en gegevens worden geblokkeerd doordat ze versleuteld worden. Vaak verschijnt er een scherm in beeld waarop beschreven staat dat er geld betaald moet worden (vaak in Bitcoin) om de bestanden weer beschikbaar te krijgen.

Je kunt je extra beschermen tegen ransomware door het creëren van in ieder geval twee mail flow regels om bestandsextensies die vaak worden gebruikt voor ransomware te blokkeren, en voor het waarschuwen van gebruikers die deze bijlagen ontvangen.

Deze regels maak je als volgt aan:

  1. Ga naar het Exchange beheercentrum.
  2. Selecteer regels in de categorie e-mailstroom.
  3. Selecteer + en maak vervolgens een nieuwe regel.
  4. Selecteer **** onder aan het dialoogvenster om de volledige set opties te bekijken.
  5. Pas de instellingen in de volgende tabel voor elke regel toe. Laat de rest van de instellingen met rust.
  6. Kies Opslaan.

Meer informatie vind je hier.

Er is nog veel meer mogelijk

De mogelijkheden op het gebied van beveiliging zijn (gelukkig) eindeloos. Bij ModiShare hebben wij veel ervaring op dit gebied en kunnen we jou helpen om naast het instellen van bovenstaande zaken ook complexere beveiliging in te stellen. Daarnaast beschikken wij met onze Remote Management & Support Service voor Microsoft 365 over een unieke dienst waarbij jij altijd de beschikking hebt over de juiste Microsoft 365 kennis en je geen omkijken hebt naar het, vaak complexe, beheer.

Meer informatie of vragen naar aanleiding van dit artikel? Neem contact met ons op via info@modishare.nl of plan direct een gesprek in via de knop rechtsboven in dit scherm.

Gideon Kos

Gideon Kos

Microsoft 365 Specialist @ ModiShare

Microsoft (Office) 365 enthusiast with extensive experience designing and configuring M365 and SharePoint environments. Gideon is also a Microsoft Certified Trainer and regularly writes knowledge blogs on this website.

0 reacties

Een reactie versturen

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Per maand

Ons Microsoft 365 nieuws & blogs automatisch ontvangen?

Schrijf je nu in op de mailinglist en ontvang maandelijks onze kennisblogs en nieuws in je mailbox.

Gelukt! Vanaf nu ontvang je maandelijks het laatste nieuws en handige kennis!