Sdílet prostřednictvím


Reakce na ohrožený e-mailový účet

Tip

Věděli jste, že si můžete vyzkoušet funkce v Microsoft Defender pro Office 365 Plan 2 zdarma? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Informace o tom, kdo se může zaregistrovat a zkušební podmínky, najdete na webu Try Microsoft Defender pro Office 365.

Přihlašovací údaje řídí přístup k poštovním schránkám, datům a dalším službám Microsoftu 365. Když někdo tyto přihlašovací údaje ukradne, přidružený účet se považuje za ohrožený.

Když útočník přihlašovací údaje ukradne a získá přístup k účtu, získá přístup k přidružené poštovní schránce Microsoftu 365, sharepointovým složkám nebo souborům na OneDrivu uživatele. Útočníci často zneužíjí ohroženou poštovní schránku k odesílání e-mailů příjemcům v organizaci i mimo ni jako původní uživatel. Útočníci, kteří používají e-mail k odesílání dat externím příjemcům, se označuje jako exfiltrace dat.

Tento článek vysvětluje příznaky ohrožení zabezpečení účtu a způsob, jak znovu získat kontrolu nad ohroženým účtem.

Příznaky ohroženého e-mailového účtu Microsoft

Uživatelé si můžou všimnout neobvyklé aktivity ve svých poštovních schránkách Microsoftu 365 a hlásit je. Příklady:

  • Podezřelá aktivita, například chybějící nebo odstraněný e-mail.
  • Uživatelé, kteří dostávají e-maily ze zneužněného účtu bez odpovídajícího e-mailu ve složce Odeslaná pošta odesílatele.
  • Podezřelá pravidla doručené pošty. Tato pravidla můžou automaticky přeposílat e-maily na neznámé adresy nebo přesouvat zprávy do složek Poznámky, Nevyžádaná pošta Email nebo Odběry RSS.
  • Zobrazované jméno uživatele se změní v globálním adresáři.
  • Poštovní schránka uživatele nemůže odesílat e-maily.
  • Složky Odeslaná pošta nebo Odstraněná pošta v Aplikaci Microsoft Outlook nebo Outlook na webu (dříve označované jako Outlook Web App) obsahují typické zprávy pro ohrožené účty (například "Jsem zablokovaný v Londýně, pošli peníze.").
  • Neobvyklé změny profilu Například jméno, telefonní číslo nebo aktualizace PSČ.
  • Vícenásobné a časté změny hesel
  • Nedávno přidané externí přeposílání e-mailů
  • Neobvyklé podpisy e-mailových zpráv Například falešný bankovní podpis nebo podpis na předpis.

Musíte okamžitě prozkoumat, jestli uživatel hlásí tyto nebo jiné neobvyklé příznaky. Portál Microsoft Defender a Azure Portal nabízejí následující nástroje, které vám pomůžou prozkoumat podezřelou aktivitu na uživatelském účtu:

  • Jednotné protokoly auditu na portálu Microsoft Defender: Filtrujte protokoly pro aktivitu pomocí rozsahu dat, který začíná bezprostředně před tím, než k podezřelé aktivitě došlo, až do dnešního dne. Během hledání nefiltrujte konkrétní aktivity. Další informace najdete v tématu Prohledávání protokolu auditování.

  • Microsoft Entra protokoly přihlášení a další sestavy rizik v Centrum pro správu Microsoft Entra: Zkontrolujte hodnoty v těchto sloupcích:

    • Kontrola IP adresy
    • umístění pro přihlášení
    • časy přihlášení
    • Úspěšné nebo neúspěšné přihlášení

Důležité

Následující tlačítko umožňuje otestovat a identifikovat podezřelé aktivity účtu. Tyto informace můžete použít k obnovení napadeného účtu.

Zabezpečení a obnovení e-mailové funkce do ohroženého účtu a poštovní schránky Microsoftu 365

I poté, co uživatel znovu získá přístup ke svému účtu, může útočník zanechat záznamy back-door, které mohou znovu získat kontrolu nad účtem.

Pokud chcete znovu získat kontrolu nad účtem, proveďte všechny následující kroky. Projděte si kroky, jakmile máte podezření na problém a co nejrychleji, abyste se ujistili, že útočník znovu nezíská kontrolu nad účtem. Tyto kroky vám také pomůžou odebrat všechny back-doorové položky, které útočník přidal do účtu. Po provedení těchto kroků doporučujeme spustit kontrolu virů, abyste se ujistili, že klientský počítač není ohrožen.

Krok 1: Resetování hesla uživatele

Postupujte podle pokynů v tématu Resetování firemního hesla pro někoho.

Důležité

  • Neposílejte uživateli nové heslo e-mailem, protože útočník má v tuto chvíli stále přístup k poštovní schránce.

  • Nezapomeňte použít silné heslo: velká a malá písmena, aspoň jedno číslo a aspoň jeden speciální znak.

  • I když to požadavek na historii hesel umožňuje, nepoužívejte opakovaně žádné z posledních pěti hesel. Použijte jedinečné heslo, které útočník nemůže uhodnout.

  • Pokud je identita uživatele federovaná s Microsoftem 365, musíte změnit heslo účtu v místním prostředí a pak na ohrožení zabezpečení upozornit správce.

  • Nezapomeňte aktualizovat hesla aplikací. Hesla aplikací se při resetování hesla neodvolá automaticky. Uživatel by měl odstranit stávající hesla aplikací a vytvořit nová. Pokyny najdete v tématu Správa hesel aplikací pro dvoustupňové ověřování.

  • Důrazně doporučujeme, abyste pro účet povolili vícefaktorové ověřování (MFA). Vícefaktorové ověřování je dobrý způsob, jak zabránit zneužití účtu, a je velmi důležité pro účty s oprávněními správce. Pokyny najdete v tématu Nastavení vícefaktorového ověřování.

Krok 2: Odebrání podezřelých adres pro přeposílání e-mailů

  1. V Centrum pro správu Microsoftu 365 v části https://admin.microsoft.compřejděte na Uživatelé>Aktivní uživatelé. Pokud chcete přejít přímo na stránku Aktivní uživatelé, použijte .https://admin.microsoft.com/Adminportal/Home#/users

  2. Na stránce Aktivní uživatelé vyhledejte uživatelský účet a vyberte ho kliknutím kamkoli do jiného řádku, než je zaškrtávací políčko vedle jména.

  3. V informačním rámečku podrobností, který se otevře, vyberte kartu Pošta .

  4. Na kartě Pošta hodnota Použitá v části Email přeposílání označuje, že je pro účet nakonfigurované přeposílání pošty. Pokud ho chcete odebrat, postupujte následovně:

    • Vyberte Spravovat přeposílání e-mailů.
    • V rozevíracím seznamu Spravovat přeposílání e-mailů , které se otevře, zrušte zaškrtnutí políčka Přeposlat všechny e-maily odeslané do této poštovní schránky a pak vyberte Uložit změny.

Krok 3: Zakázání podezřelých pravidel doručené pošty

  1. Přihlaste se k poštovní schránce uživatele pomocí Outlook na webu.

  2. Vyberte Nastavení (ikona ozubeného kola), do pole Nastavení hledání zadejte "pravidla" a pak ve výsledcích vyberte Pravidla doručené pošty.

  3. V informačním rámečku Pravidla , který se otevře, zkontrolujte existující pravidla a vypněte nebo odstraňte všechna podezřelá pravidla.

Krok 4: Odblokování odesílání pošty uživatelem

Pokud se účet použil k odesílání spamu nebo velkého množství e-mailů, je pravděpodobné, že poštovní schránka nemá možnost odesílat poštu.

Pokud chcete odblokovat odesílání e-mailů do poštovní schránky, postupujte podle pokynů v tématu Odebrání blokovaných uživatelů ze stránky Omezené entity.

Krok 5– Volitelné: Blokování přihlašování uživatelského účtu

Důležité

Přihlášení k účtu můžete zablokovat, dokud nebudete mít jistotu, že je bezpečné znovu povolit přístup.

  1. Proveďte následující kroky v Centrum pro správu Microsoftu 365 na adrese https://admin.microsoft.com:

    1. Přejděte na Uživatelé>Aktivní uživatelé. Pokud chcete přejít přímo na stránku Aktivní uživatelé, použijte .https://admin.microsoft.com/Adminportal/Home#/users
    2. Na stránce Aktivní uživatelé vyhledejte a vyberte uživatelský účet v seznamu pomocí jednoho z následujících kroků:
      • Vyberte uživatele kliknutím na libovolné místo na jiném řádku, než je zaškrtávací políčko vedle jména. V informačním rámečku podrobností, který se otevře, vyberte Blokovat přihlášení v horní části informačního rámečku.
      • Vyberte uživatele zaškrtnutím políčka vedle jména. Vyberte Další akce>Upravit stav přihlášení.
    3. V rozevíracím rámečku Blokovat přihlášení , který se otevře, si přečtěte informace, vyberte Blokovat tomuto uživateli přihlášení, vyberte Uložit změny a pak v horní části informačního rámečku vyberte Zavřít .
  2. V Centru pro správu Exchange (EAC) proveďte následující kroky na adrese https://admin.exchange.microsoft.com:

    1. Přejděte naPoštovní schránkypříjemců>. Pokud chcete přejít přímo na stránku Poštovní schránky , použijte https://admin.exchange.microsoft.com/#/mailboxes.

    2. Na stránce Správa poštovních schránek vyhledejte a vyberte uživatele v seznamu kliknutím na libovolném jiném řádku než na zaokrouhlené zaškrtávací políčko, které se zobrazí vedle jména.

    3. V informačním rámečku podrobností, který se otevře, proveďte následující kroky:

      1. Ověřte, že je vybraná karta Obecné a pak v části Email aplikace & mobilních zařízení vyberte Spravovat nastavení e-mailových aplikací.
      2. V rozevíracím rámečku Spravovat nastavení pro e-mailové aplikace , který se otevře, zakažte všechna dostupná nastavení změnou přepínačů na Zakázáno:
        • Desktopová aplikace Outlook (MAPI)
        • Webové služby Exchange
        • Mobilní zařízení (protokol Exchange ActiveSync)
        • IMAP
        • POP3
        • Outlook na webu

      Až skončíte v informačním rámečku Spravovat nastavení pro e-mailové aplikace , vyberte Uložit a pak v horní části informačního rámečku vyberte Zavřít .

Krok 6: Volitelné: Odebrání podezřelého ohroženého účtu ze všech rolí pro správu

Poznámka

Po zabezpečení účtu můžete obnovit členství uživatele v rolích pro správu.

  1. V Centrum pro správu Microsoftu 365 na adrese https://admin.microsoft.comproveďte následující kroky:

    1. Přejděte na Uživatelé>Aktivní uživatelé. Pokud chcete přejít přímo na stránku Aktivní uživatelé, použijte .https://admin.microsoft.com/Adminportal/Home#/users

    2. Na stránce Aktivní uživatelé vyhledejte a vyberte uživatelský účet v seznamu pomocí jednoho z následujících kroků:

      • Vyberte uživatele kliknutím na libovolné místo na jiném řádku, než je zaškrtávací políčko vedle jména. V informačním rámečku podrobností, který se otevře, ověřte, že je vybraná karta Účet a pak v části Role vyberte Spravovat role.
      • Vyberte uživatele zaškrtnutím políčka vedle jména. Vyberte Další akce>Spravovat role.
    3. V informačním rámečku Spravovat role správců , který se otevře, proveďte následující kroky:

      • Poznamenejte si všechny informace, které chcete později obnovit.
      • Odeberte členství v roli správce výběrem možnosti Uživatel (bez přístupu k Centru pro správu).

      Až budete hotovi v informačním rámečku Spravovat role správců , vyberte Uložit změny.

  2. Na portálu Microsoft Defender na adrese https://security.microsoft.comproveďte následující kroky:

    1. Přejděte na Oprávnění>Email & role> pro spolupráciRole. Nebo, pokud chcete přejít přímo na stránku Oprávnění, použijte https://security.microsoft.com/emailandcollabpermissions.

    2. Na stránce Oprávnění vyberte skupinu rolí ze seznamu tak, že zaškrtnete políčko vedle názvu (například Správa organizace) a pak vyberete Upravit akci, která se zobrazí.

    3. Na stránce Upravit členy skupiny rolí , která se otevře, zkontrolujte seznam členů. Pokud skupina rolí obsahuje uživatelský účet, odeberte uživatele tak, že zaškrtnete políčko vedle jména a pak vyberete Odebrat členy.

      Až skončíte na stránce Upravit členy skupiny rolí , vyberte Další.

    4. Na stránce Kontrola skupiny rolí a dokončení zkontrolujte informace a pak vyberte Uložit.

    5. Opakujte předchozí kroky pro každou skupinu rolí v seznamu.

  3. V Centru pro správu Exchange na adrese https://admin.exchange.microsoft.com/proveďte následující kroky:

    1. Přejděte na Role>Správa role. Pokud chcete přejít přímo na stránku Správa rolí, použijte https://admin.exchange.microsoft.com/#/adminRoles.

    2. Na stránce Správa role vyberte skupinu rolí v seznamu kliknutím na libovolné místo v řádku, který se zobrazí vedle příslušného názvu.

    3. V informačním rámečku podrobností, který se otevře, vyberte kartu Přiřazeno a vyhledejte uživatelský účet. Pokud skupina rolí obsahuje uživatelský účet, proveďte následující kroky:

      1. Vyberte uživatelský účet zaškrtnutím kruhového políčka, které se zobrazí vedle jména.
      2. Vyberte zobrazenou akci Odstranit, v dialogovém okně s upozorněním vyberte Ano, odebrat a pak v horní části informačního rámečku vyberte Zavřít.
    4. Opakujte předchozí kroky pro každou skupinu rolí v seznamu.

Krok 7: Volitelné: Další preventivní kroky

  1. Zkontrolujte obsah složky Odeslaná pošta účtu v Outlooku nebo Outlook na webu.

    Možná budete muset informovat kontakty uživatele, že došlo k ohrožení zabezpečení účtu. Útočník mohl například poslat zprávy s žádostí o peníze kontaktů nebo mohl poslat virus, aby napadl jeho počítače.

  2. Jiné služby, které používají tento účet jako alternativní e-mailovou adresu, mohou být také ohroženy. Po provedení kroků v tomto článku pro účet v této organizaci Microsoft 365 proveďte odpovídající kroky v ostatních službách.

  3. Ověřte kontaktní informace (například telefonní čísla a adresy) účtu.

Viz také