Microsoft 365 security - Secure by default in Office 365

Bogdan Păun

System Engineer Microsoft 365

bogdan.paun@alef.com

"Secure by default" sau “în siguranță de la început”, într-o traducere exactă, este un termen ce definește configurările cele mai sigure ce sunt aplicate pe un cont de Microsoft 365 de la crearea acestuia.

Însă, trebuie să ținem cont de faptul că este necesar ca securitatea să fie balansată de productivitate. Ceea ce înseamnă că este necesar să ținem cont de câteva aspecte:

  • Usurința în folosire – configurările de securitate nu trebuie să afecteze productivitatea utilizatorilor;
  • Risc – regulile de securitate pot bloca anumite activități ce sunt importante pentru companie;
  • Configurări de tip legacy – este necesar să păstrăm anumite configurări pentru produsele mai vechi, chiar dacă configurațiile moderne sunt mult îmbunătățite.

Un prim serviciu din Office 365, la care această regulă a început să fie aplicată, este Exchange Online. Astfel, începând cu luna Decembrie 2020, clienții ce se bazau pe regulile de protecție, create automat de către serviciul de Exchange Online Protection (EOP), au putut observa o serie de modificări în cadrul regulilor de anti-malware și anti-spam.

  • Mesajele de email ce sunt suspectate că ar conține malware vor fi automat mutate în carantină, iar destinatarii mesajelor respective vor fi anunțați că mesajul a fost blocat

Administratorii conturilor de Office 365 pot vedea și edita (dar nu au dreptul de a șterge) politica de protecție anti-malware ce a fost creată de către sistem, astfel încât să acopere nevoile organizației. De asemenea, se pot crea și reguli  noi, personalizate, care pot fi aplicate global sau doar anumitor utilizatori, grupuri sau domenii din cadrul organizației.

Crearea unei reguli personalizate, prin intermediul portalului Security & Compliance Center, va crea automat atât o regulă de filtrare a malware-ului, cât și o politică de aplicare a regulii respective, ambele având același nume.

Standard, politicile de anti-mailware sunt prioritizate în ordinea creării lor, politicile create anterior având prioritate față de cele noi adăugate.

Cu cât acest numărul de ordine, asociat unei politici de securitate, are o valoare mai mică, cu atât prioritatea în aplicarea politicii respective este mai mare.

Această prioritate de aplicare a politicilor poate fi ajustată din Security & Compliance Center, după crearea acestora sau prin intermediul PowerShell în momentul creării regulilor de filtrare a malware-ului.

  • Mesajele de email ce sunt confirmate ca fiind mesaje de tip phishing vor fi procesate în conformitate cu politicile de anti-spam active

Administratorii conturilor de Office 365 pot vedea și edita (dar nu au dreptul de a șterge) politica anti-spam ce a fost creată de către sistem la activarea serviciului de Exchange Online.

Pentru o mai mare granularitate, administratorii au posibilitatea de a crea politici ce pot fi aplicate doar anumitor utilizatori, grupuri sau domenii din cadrul organizației. Politicile create de administratorii contului vor avea întotdeauna precedenta în fața politicii create de către sistem, dar această ordine de aplicare poate fi oricând ajustată dupa necesități.

Politicile de anti-spam pot fi configurate fie în cadrul Security & Compliance Center, fie prin PowerShell, iar din punctul de vedere al alcătuirii, fiecare regulă are 2 componente:

✔ Politica de filtrare a mesajelor – care administrează acțiunile ce se vor lua la identificarea unui mesaj ca și spam si opțiunile de notificare

Regula de aplicare a politicii – cea care specifică prioritatea de aplicare a politicii anti-spam și filtrează căsuțele de mail asupra cărora se aplică politica respectivă

Fiecare organizație are o politică anti-spam ce a fost creată automat la activarea serviciilor de Exchange Online, numită Default, cu următoarele caracteristici:

✔ Politica este aplicată tuturor căsuțelor de mail din organizație, chiar dacă nu este nicio regulă de aplicare configurată (selectare a destinatarilor) asociată politicii respective.

✔ Politica are alocată o valoare custom a priorității de aplicare, cu valoare Lowest, ce nu poate fi modificată. În acest fel, se garantează că orice politică personalizată, creată, va fi aplicată înaintea politicii default.

„Secure by default” nu este o setare care să poată fi pornită sau oprită, ci este o configurare a politicilor de securitate, aplicată automat pentru a asigura protejarea căsuțelor de mail de eventualele mesaje periculoase sau nedorite.

Mesajele ce conțin malware sau sunt mesaje de phishing cu impact mare au recomandarea să fie trimise în carantină imediat ce sunt identificate. Administratorii de sistem au posibilitatea de a administra aceste mesaje în cadrul carantinei și pot raporta eventualele greșeli de încadrare (false positives).

Una din configurările ce se aplică automat, odată cu aceste modificări recente ale politicilor default anti-spam, se referă la forward-area automată a mesajelor de email către altă adresă.

Această modificare trece regula ce permite transmiterea automată a mesajelor către o adresă externă pe mod automat. Ceea ce înseamnă că va fi permisă transmiterea mesajelor în funcție de gradul de încredere pe care îl are sistemul în domeniul din care face parte adresa destinatară.

Această regulă poate fi ajustată astfel încât să fie permisă sau nepermisă forward-area mesajelor pe o adresă din afara companiei.

Prin toate aceste modificări, Microsoft încearcă să protejeze cât mai bine atât utilizatorii, cât si datele companiei, luând în considerare cel mai rău scenariu și încercând să limiteze cât mai mult posibilele breșe ce pot fi exploatate - mesaje de phishing sau care conțin malware și pierderea de date importante din companie.

Ce trebuie să reținem este că toate aceste politici și reguli de protecție pot fi oricând ajustate, astfel încât, așa cum menționăm și la începutul articolului, să nu afectăm productivitatea utilizatorilor foarte mult.