Microsoft 365 kupuje się w kilka minut, ale domyślna konfiguracja jest pomyślana tak, żeby wszystko działało, a nie tak, żeby wszystko było bezpieczne. W sprawach, które prowadzimy, kompromitacja firmowego środowiska zwykle nie wynika z jakiegoś wyrafinowanego ataku, tylko z pozostawionych na domyślnych ustawieniach detali. Ten poradnik to praktyczna kolejność działań, która podnosi poprzeczkę dla napastnika, a nie utrudnia pracy ludziom.

Zacznij od tożsamości, nie od antywirusa

W chmurze to konto jest nowym obwodem sieci. Nie ma muru wokół serwerowni, jest za to login, który z dowolnego miejsca otwiera pocztę, pliki i aplikacje. Dlatego pierwszy front to tożsamość.

  • Włącz MFA dla wszystkich, bez wyjątków dla zarządu i administratorów.
  • Zablokuj legacy authentication, czyli stare protokoły typu IMAP, POP3 i SMTP AUTH, które w ogóle nie rozumieją MFA.
  • Załóż osobne konta administracyjne, oddzielone od kont używanych do codziennej pracy i poczty.
  • Uporządkuj konta uśpione i byłych pracowników, bo aktywne konto osoby, która odeszła, to gotowy punkt wejścia.

W większości incydentów na Microsoft 365 atakujący nie łamał haseł siłą. Wchodził bokiem: przez stary protokół, skradziony token sesji albo konto, które dawno powinno być wyłączone.

Dostęp warunkowy jako decyzja, a nie bramka

Samo MFA odpowiada na pytanie czy to Ty. Dostęp warunkowy w Entra ID odpowiada na pytanie czy w tych warunkach wolno Ci wejść. To różnica, która zamyka całą klasę ataków.

Polityki, które wdrażamy w pierwszej kolejności:

  1. Wymóg zgodnego, zarządzanego urządzenia dla dostępu do danych firmowych.
  2. Blokada lub dodatkowa weryfikacja przy logowaniu z nietypowego kraju.
  3. Reakcja na podwyższone ryzyko logowania, gdy Microsoft sygnalizuje anomalie.
  4. Odporne na phishing metody MFA dla administratorów: klucze FIDO2 lub Windows Hello zamiast kodów SMS.

Porządek w Entra ID decyduje o tym, czy te polityki mają na czym się oprzeć. Bez czystej bazy kont nawet dobra reguła będzie dziurawa.

Widoczność po zalogowaniu

Najlepsza polityka logowania nie wychwyci wszystkiego. Potrzebna jest warstwa, która obserwuje, co dzieje się już wewnątrz środowiska. Microsoft Defender daje tę widoczność w kilku miejscach naraz.

  • Defender for Office 365 filtruje phishing i złośliwe załączniki, zanim trafią do skrzynki.
  • Defender for Cloud Apps wychwytuje nietypowe zachowania konta, na przykład masowe pobieranie plików albo ciche reguły przekierowania poczty.
  • Alerty warto kierować do osoby lub zespołu, który faktycznie na nie reaguje, a nie tylko zbiera je w skrzynce.

Cicha reguła przekierowania poczty założona na skrzynce zarządu to klasyczny objaw przejęcia konta. Sam MFA jej nie zobaczy, Defender tak.

Poczta i udostępnianie plików

Dwa obszary, gdzie firmy najczęściej same otwierają furtkę, to reguły poczty oraz udostępnianie w SharePoint i OneDrive.

  • Wyłącz możliwość automatycznego przekierowania poczty na zewnątrz, poza wyjątkami zatwierdzanymi ręcznie.
  • Ustaw SPF, DKIM i DMARC, żeby maile firmy nie wpadały do spamu i trudniej było je podszywać.
  • Ogranicz udostępnianie plików anonimowymi linkami, a linki dziel z datą wygaśnięcia.
  • Włącz etykiety poufności dla dokumentów wrażliwych, jeśli plan na to pozwala.

Backup to nie to samo co Microsoft

Najczęstsze nieporozumienie: firma zakłada, że skoro dane są w chmurze Microsoftu, to są automatycznie chronione. Microsoft odpowiada za dostępność usługi, ale za Twoje dane odpowiadasz Ty. Kosz na usunięte elementy ma limit czasu, a ransomware albo pomyłka pracownika potrafi wyczyścić skrzynki i pliki, zanim ktokolwiek zareaguje. Niezależny backup Microsoft 365 to warunek realnego odtworzenia danych.

Urządzenia końcowe

Bezpieczne środowisko na niezabezpieczonym laptopie to złudzenie. Zarządzanie urządzeniami przez Intune pozwala wymusić szyfrowanie dysku, aktualny system i blokadę dostępu z komputerów, które nie spełniają polityki. Dopiero wtedy warunek zgodnego urządzenia w dostępie warunkowym ma sens.

Kolejność, która działa

Jeśli zaczynasz od zera, sprawdza się taka sekwencja:

  1. MFA dla wszystkich i blokada legacy authentication.
  2. Podstawowe polityki dostępu warunkowego oparte o urządzenie i ryzyko.
  3. Porządek w kontach administracyjnych i uprzywilejowanych.
  4. Włączenie i konfiguracja Defender oraz reakcja na alerty.
  5. Higiena poczty, DMARC i kontrola udostępniania plików.
  6. Niezależny backup oraz zarządzanie urządzeniami.

Każdy z tych kroków z osobna zamyka konkretną drogę ataku. Razem zmieniają środowisko z otwartych drzwi w cel, który dla większości napastników po prostu nie opłaca się atakować.

Co dalej

Zabezpieczenie Microsoft 365 to nie jednorazowy projekt, tylko stan, który trzeba utrzymać. Jeśli chcesz przejść tę listę w swoim środowisku i ustawić wszystko pod specyfikę firmy, pomożemy uporządkować całość, od wdrożenia Microsoft 365 po tożsamość i ochronę. Dobrym początkiem jest krótka rozmowa o tym, co dziś faktycznie chroni Twoje konta, a co tylko wygląda na ochronę.