Artikel top billede

(Foto: Computerworld)

Guide: Få bedre sikkerhed i Office 365

Sådan kan du selv forbedre sikkerheden i Microsoft Office 365.

Af Tom Madsen, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

V i er mange, der anvender Microsofts produkter, både privat og på arbejde. Office 365 er et af de kerneprodukter fra Microsoft, som vi alle sammen er bekendt med, og anvender på daglig basis, men hvad med sikkerheden? Hvis vi har outsourcet vores Office-behov til Microsoft, så er det oplagt at konkludere, at de også tager sig af sikkerheden. Sådan er virkeligheden dog ikke helt.

Microsoft tager sig af vedligeholdelsen og patching af Server-infrastrukturen, så den del behøver vi ikke at bekymre os om, men der er ting i Office 365, som Microsoft ikke tager sig af, nemlig den del der ligger hos Office 365-kunderne. I denne artikel vil vi forsøge at give dig et overblik over de indstillinger i Office 365, som har indflydelse på sikkerheden i Office 365, og hvordan man kan bruge dem til at øge sikkerheden i vores Office 365 tenant.

Sikkerhedsværktøjer i Office 365

For det første er det værd at se på, om de indstillinger, mange justerer på i forsøget på at øge sikkerheden, også rent faktisk bidrager til en øget sikkerhed. Hvordan gør vi det? Microsoft har tilføjet en funktion til Office 365, som de kalder for ’Microsoft Secure Score’. På figur 1, kan du se en score fra en Office 365 tenant, som vi netop har oprettet. Som du kan se, ligger en nyoprettet Office 365 tenant ret langt fra en fornuftig karakter for sikkerheden. Lige nu har den nemlig blot 28 ud af 697 point.

Figur 1

Det ser ikke nødvendigvis særligt godt ud, men hvad kan vi som Office 365-kunde gøre for at forbedre det? Inden vi kaster os over at beskrive, hvad mulighederne er for at forbedre sikkerheden, vil vi gerne bruge nogle ord på at beskrive nogle af de sikkerhedsværktøjer, som vi kan anvende i Office 365.

Microsoft har i snart mange år fokuseret på sikkerheden i deres produkter, og Office 365 er ingen undtagelse. Microsoft har f.eks. deres egen antivirusløsning, som de kalder for Microsoft ATP. Under udarbejdelsen af denne artikel er Gartner netop udkommet med deres analyse af antivirusprodukter fra de forskellige leverandører. I denne analyse er Microsoft ATP blevet positioneret i den øverste højre kvadrant af Gartners ’Magic Quadrant’ hvor de placerer dem, de ser som både ’Leders’ og ’Visionaries’.

Det er en position, som alle leverandører gerne vil være i, uanset hvilken service eller produkt de har i deres portefølje. Du kan se Gartners ’Magic Quadrant’ for antivirus leverandører på figur 2. Nu er sikkerhed andet og mere end bare antivirus, og i Office 365 kan vi som brugere anvende yderligere Office 365-værktøjer i vores sikkerhedspolitikker.

Figur 2

På figur 3 kan du se to af dem, nemlig klassifikation af data samt DLP. Microsoft har allerede tilføjet nogle generelt følsomme datatyper til Office 365, som vi kan anvende på vores egen data. På figur 4 kan du se et udsnit af de følsomme datatyper, som Microsoft har tilføjet. Læg mærke til den blå knap, der hedder ’+Create’, med den kan vi tilføje vores egne definitioner på følsomme data til Office 365’s klassifikationsdata.

Figur 3
Figur 4

Brug DLP-klassifikation

Vi vil gerne dvæle lidt ved DLP, for med DLP kan vi som Office 365-brugere kontrollere, hvad der sker med vores data på en mere kontrolleret måde. Effektiv DLP kræver, at vi har brugt nogle ressourcer på at klassificere vores data på en intelligent måde, så vi kan bruge klassifikationen i vores DLP-politikker. At klassificere sine data er et koncept, der er simpelt at forstå, men noget mere kompliceret at implementere.

Data-klassifikation er ikke et projekt, der skal forankres i it, det er absolut nødvendigt, at klassifikationen af virksomhedens data kommer fra de forretningsområder, der arbejder med dataene på daglig basis. Det er også dem, der ved, om en konkret datatype er følsom eller ej. It skal implementere klassifikationen baseret på forretningens input.

Når klassifikationen er på plads, kan vi i Office 365 bruge dem til at lave vores DLP-politikker, men vi skal lige huske, at Microsoft allerede har lavet en lang liste med følsomme datatyper, så tjek denne liste inden I går i gang med at lave jeres egne.

Når vi har klassificeret vores data, kan vi bruge klassifikationerne i vores DLP-politikker. På figur 5 kan du se starten på den wizard, der hjælper os med at lave en DLP-politik. Læg mærke til, at vi kan vælge blandt flere typer af allerede eksisterende DLP-politikker inden for forskellige områder. Alt efter hvilken branche du befinder dig i, så er det nogle minutter værd at sætte sig ind i de muligheder, der er inden for de forskellige områder. Hvis Microsoft allerede har lavet en klassifikation, som du/I kan bruge, så er der ingen værdi i at udvikle og vedligeholde sin egen klassifika-tionstype.

Figur 5

Næste trin i wizard’en er navngivningen af vores DLP-politik. Du kan kalde politikken, hvad du vil, men det er bedst at navngive den efter den politik, som den skal beskytte. Næste trin er valget af den/de lokationer i Office 365, som politikken skal beskytte. Default er, at politikken vil dække hele Office 365, så SharePoint, Teams, OneDrive og Exchange er dækket af politikken. Du kan f.eks. vælge, at en konkret politik kun skal gælde for Exchange.

Nu kommer vi til det sted i vores wizard, hvor vi skal vælge den/de klassifikationer, som vores politik skal beskytte. På figur 6 kan du se mulighederne for indstillinger for en konkret klassifikations type. På de næste skærme i vores wizard kan vi indstille, hvordan brugerne skal underrettes, når de bryder med politikken, og hvorvidt politikken skal slås til med det samme.

Figur 6

Multifaktor-autentificering og meget mere

Hvis vi således bruger data-klassifikation og DLP, kan vi øge vores karakter i ’Microsoft Secure Score’. Men der er flere muligheder. Med Office 365 får vi multifaktor-autentificering som en del af pakken, og slår vi denne funktion til, vil vores karakter stige med 50 point, hvis vi blot gør det for administratorerne, og vi kan addere yderligere 20 point, hvis vi slår funktionen MFA til for alle brugere.

Den side i Office 365, der fortæller os, hvad vores sikkerhedskarakter er, indeholder et utal af forskellige indstillinger, som vil bidrage til en bedre karakter. Det betyder dog ikke nødvendigvis, at vi blot kritikløst skal implementere alle anbefalingerne fra Microsoft.

Vi skal selvfølgelig implementere ud fra et hensyn til de risici, vi har identificeret imod vores organisation. Hvis vi f.eks. ikke bruger værktøjet Intune til at styre de mobile enheder, så giver det naturligvis ikke meningat konfigurere politikker for Intune.

Hvis du eller din virksomhed bruger tredjepartsprodukter i jeres sikkerhedsinfrastruktur, kan du måske bekymre dig om, om du får en lavere karakter, fordi I ikke bruger Microsofts produkter til f.eks. scanning af e-mails? Det er heldigvis ikke tilfældet, tag et kig på figur 7.

Figur 7

Her har vi åbnet kontrollen for vedhæftede filer i e-mails. Læg mærke til den grå knap lige til højre for ’View Settings’, der hedder ’resolved through third party’. Hvis vi klikker på den, så vil Office 365 give os en bedre karakter, uden at vi nødvendigvis skal bruge de optioner, der bliver tilbudt af Microsoft.

Dette var en meget hurtig introduktion til sikkerhed i Office 365. Vi håber, at det er tydeligt, at der er dele af sikkerheden i Office 365, som vi som kunder selv er ansvarlige for, og som vi har mulighed for at konfigurere, så det passer ind i vores organisation og risikoprofil.

Sikkerhed i Office 365 er et stort fokusområde for Microsoft, og der bliver hele tiden udviklet nye funktionaliteter samtidig med, at den allerede eksisterende funktionalitet bliver optimeret. Så hold øje med Microsoft, når du tænker på at øge sikkerheden i din Office 365-implementering.