Stap 1. Beveiligingsbasislijnen configureren
Als eerste stap om ransomware-aanvallers tegen te gaan, moet u de volgende door Microsoft gedefinieerde beveiligingsbasislijnen configureren:
- Microsoft 365-beveiliging
- Exchange-e-mailbeheer
- Aanvullende basislijnen voor Windows-apparaten en -clientsoftware
Deze basislijnen bevatten configuratie-instellingen en regels die bekend zijn bij aanvallers, waarvan de afwezigheid snel wordt opgemerkt en vaak wordt benut.
Beveiligingsbasislijn in Microsoft 365
Beoordeel en meet eerst uw beveiligingshouding met behulp van Microsoft Secure Score en volg de instructies om deze indien nodig te verbeteren.
Gebruik vervolgens de regels voor het verminderen van aanvallen om verdachte activiteiten en kwetsbare inhoud te blokkeren. Deze regels omvatten het voorkomen van:
- Alle Office-toepassingen van het maken van onderliggende processen
- Uitvoerbare inhoud van e-mailclient en webmail
- Uitvoerbare bestanden mogen niet worden uitgevoerd, tenzij ze voldoen aan een criterium voor prevalentie, leeftijd of vertrouwde lijst
- Uitvoering van mogelijk verduisterde scripts
- JavaScript of VBScript van het starten van gedownloade uitvoerbare inhoud
- Office-toepassingen van het maken van uitvoerbare inhoud
- Office-toepassingen van het injecteren van code in andere processen
- Office-communicatietoepassing van het maken van onderliggende processen
- Niet-vertrouwde en niet-ondertekende processen die worden uitgevoerd vanaf USB
- Persistentie via gebeurtenisabonnement Windows Management Interface (WMI)
- Referenties stelen van het subsysteem van de lokale Windows-beveiligingsinstantie (lsass.exe)
- Procescreaties die afkomstig zijn van PSExec- en WMI-opdrachten
Basislijn Exchange-e-mailbeheer
Initiële toegang tot uw tenant voorkomen door een aanval op basis van e-mail met deze basislijninstellingen voor Exchange-e-mail:
- Schakel Microsoft Defender Antivirus voor het scannen van e-mails in.
- Microsoft Defender voor Office 365 gebruiken voor verbeterde phishingbeveiliging en dekking tegen nieuwe bedreigingen en polymorfe varianten.
- Uw Office 365 e-mailfilterinstellingen controleren om ervoor te zorgen dat u vervalste e-mailberichten, spam en e-mailberichten met malware blokkeert. Defender voor Office 365 gebruiken voor verbeterde phishingbeveiliging en dekking tegen nieuwe bedreigingen en polymorfe varianten. Defender voor Office 365 configureren om koppelingen opnieuw te controleren bij klikken en bezorgde e-mailberichten te verwijderen als reactie op nieuw verkregen bedreigingsinformatie.
- Bekijk de meest recente aanbevolen instellingen voor EOP en Defender voor Office 365-beveiliging en werk uw instellingen bij.
- Defender voor Office 365 configureren om koppelingen opnieuw te controleren bij klikken en bezorgde e-mailberichten te verwijderen als reactie op nieuw verkregen bedreigingsinformatie.
Aanvullende basislijnen
Beveiligingsbasislijnen toepassen voor:
- Microsoft Windows 11 of 10
- Microsoft 365-apps voor ondernemingen
- Microsoft Edge
Gevolgen voor gebruikers- en wijzigingsbeheer
Als best practice voor een regel voor het verminderen van kwetsbaarheid voor aanvallen kunt u beoordelen hoe een regel van invloed kan zijn op uw netwerk door de beveiligingsaanbeveling voor die regel te openen in Defender Vulnerability Management. In het deelvenster met aanbevelingsdetails wordt de impact van de gebruiker beschreven, die u kunt gebruiken om te bepalen welk percentage van uw apparaten een nieuw beleid kan accepteren, waardoor de regel in de blokkeringsmodus wordt ingeschakeld zonder de productiviteit van de gebruiker nadelig te beïnvloeden.
Bovendien kunnen basislijninstellingen voor Exchange-e-mail binnenkomende e-mail blokkeren en voorkomen dat e-mail wordt verzonden of dat op koppelingen in e-mails wordt geklikt. Informeer uw werknemers over dit gedrag en de reden waarom deze voorzorgsmaatregelen worden genomen.
Resulterende configuratie
Dit is de ransomware-beveiliging voor uw tenant na deze stap.
Volgende stap
Ga verder met stap 2 om mogelijkheden voor aanvalsdetectie en reactiemogelijkheden voor uw Microsoft 365-tenant te implementeren.