Zum Inhalt

Microsoft 365- und Exchange-Online-Sicherheit

Microsoft 365-Mandanten und das zugrunde liegende Authentifizierungssystem Entra ID (Azure AD) verfügen über viele verschiedene Konfigurationsoptionen, mit denen Ihr Unternehmen verschiedene Sicherheitsebenen umsetzen kann. Viele dieser Optionen sind standardmäßig nicht aktiviert. Auch wenn dieses Dokument nicht alle verfügbaren Sicherheitsoptionen behandelt oder andere Technologien wie Geräteverwaltung und Data Loss Prevention (DLP) erörtert, bietet es dennoch eine Anleitung zu empfohlenen Einstellungen, die den Identitätsschutz verbessern und die Wahrscheinlichkeit von Business Email Compromise (BEC) verringern.

Die Anleitung ist in zwei Abschnitte unterteilt: Empfohlene Einstellungen und optionale Einstellungen. Wir raten allen Kunden dringend, empfohlene Einstellungen zu implementieren. Wir empfehlen Ihnen auch, die optionalen Einstellungen zu berücksichtigen und sie entsprechend Ihrer Umgebung anzuwenden.

Alle Änderungen an Ihrer Umgebung, die Sie in Betracht ziehen, sollten unter Bezug auf die Dokumentation von Microsoft in Ihrem Unternehmen geprüft und getestet werden. Wir empfehlen Ihnen, Änderungen gestaffelt vorzunehmen und Sie zunächst auf Testkonten, für Pilotbenutzer und in kleinen Abteilungen und erst dann im gesamten Unternehmen umzusetzen. Stellen Sie sicher, dass Sie wie unten beschrieben über ein Notfallkonto verfügen, um eine Sperrung zu vermeiden.

Lizenzrichtlinien

Einige der unten aufgeführten Konfigurationselemente sind unabhängig von den verwendeten Lizenzen für alle M365-Mandanten verfügbar. Für die meisten sind jedoch mindestens „Entra ID P1“-Lizenzen in Ihrem Mandanten erforderlich, einige davon benötigen „Entra ID P2“-Lizenzen. „Entra ID P1“ ist im Lieferumfang der Bundles „M365 Business Premium E3/A3“ enthalten, die Lizenzen für „Entra ID P2“ sind in den Bundles „M365 E5/A5“ erhältlich.

Wenn Sie nicht mindestens über „Entra ID P1“-Lizenzierung verfügen, empfehlen wir dringend die Verwendung der Sicherheitsstandardwerte von Microsoft. Dabei handelt es sich um einen grundlegenden Satz von Sicherheitsrichtlinien, die von Microsoft kontrolliert werden. Siehe Sicherheitsstandards in Microsoft Entra ID – Microsoft Entra.

Bei der Integration von Microsoft-Warnmeldungen in den Sophos MDR-Service ist „Entra ID P1“ die Mindestlizenz, die Sie verwenden sollten. Wir empfehlen jedoch „Entra ID P2“ aufgrund der erhöhten Anzahl an Warnmeldungen, die von Microsoft generiert werden. In diesen Artikeln finden Sie Beispiele für diese Warnmeldungen:

Wir empfehlen Ihnen, weitere Lizenzinformationen bei Ihrem Microsoft-Lizenzspezialisten zu erfragen.

Empfohlene Konfigurationselemente

  • Vereinheitlichtes Überwachungsprotokoll (Unified Audit Log) aktivieren


    Stellen Sie sicher, dass das Überwachungsprotokoll die Aktivität für alle Dienste aufzeichnet.

    Standort: Defender-Portal > Überwachung

- **Warnmeldungsrichtlinien konfigurieren** --- Warnmeldungsrichtlinien generieren E-Mail-Benachrichtigungen, wenn bestimmte Ereignisse mit hohem Risiko in Exchange auftreten. Wir empfehlen, dass diese Warnmeldungen so konfiguriert sind, dass sie an Exchange Online-Administratoren weitergeleitet werden. **Standort**: Defender-Portal > Richtlinien & Regeln > Warnmeldungsrichtlinie **Blockieren der Anmeldung für alle freigegebenen Postfächer** - Gemeinsam genutzte Postfächer sind oft einfache Ziele mit schwachen Kennwörtern und ohne MFA. Wir empfehlen, Berechtigungen so zu ändern, dass Anmeldungen für freigegebene Postfächer direkt blockiert werden, und nur über authentifizierte Benutzerkonten auf sie zugegriffen wird. - **Standort**: Admin Center > Benutzer **Benutzer blockieren, die Nachrichten automatisch außerhalb des Unternehmens weiterleiten** - Bedrohungsakteure gefährden häufig Postfächer und legen Regeln für die Weiterleitung an externe Konten fest. Wir empfehlen, Benutzern nicht zu ermöglichen, Regeln für die automatische Weiterleitung an externe Empfänger zu erstellen. - **Standort**: Defender-Portal > Richtlinien und Regeln > Bedrohungsrichtlinien > Anti-Spam (ausgehende Richtlinie).

Optionale Konfigurationselemente

  • Implementieren voreingestellter Sicherheitsrichtlinien (E-Mail-Schutz)


    Microsoft veröffentlicht zwei Gruppen von Sicherheitsrichtlinien, um festzulegen, wie Exchange-Online-Schutz Bedrohungen behandelt. Wir empfehlen, mindestens die Gruppe „Standardschutz“ zu verwenden, um sich vor E-Mail-Bedrohungen zu schützen. Wenn Sie eine zusätzliche externe Spam-Filterlösung verwenden, wenden Sie sich an diesen Anbieter, bevor Sie diese Einstellungen ändern.

    Standort: Defender-Portal > Richtlinien und Regeln > Bedrohungsrichtlinien > Voreingestellte Sicherheitsrichtlinien

    Referenz:

- **E-Mail-Authentifizierung konfigurieren (SPF, DKIM, DMARC)** --- Wir empfehlen, dass SPF, DKIM und DMARC korrekt eingerichtet sind, wenn E-Mail-Filterlösungen verwendet werden. **Standort**: DNS **Referenzen**: - [Einrichten von SPF zum Identifizieren gültiger E-Mail-Quellen für Ihre Microsoft 365-Domäne](https://docs.microsoft.com/de-de/office365/securitycompliance/set-up-spf-in-office-365-to-help-prevent-spoofing) - [Einrichten von DKIM für E-Mails in Ihrer benutzerdefinierten Domäne](https://docs.microsoft.com/de-de/office365/securitycompliance/use-dkim-to-validate-outbound-email) - [Einrichten von DMARC zum Überprüfen von E-Mails](https://docs.microsoft.com/de-de/office365/securitycompliance/use-dmarc-to-validate-email)