Freigeben über


Sicherheitsempfehlungen für Prioritätskonten in Microsoft 365

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender for Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Informationen dazu, wer sich registrieren und testen kann, finden Sie unter Try Microsoft Defender for Office 365.

Nicht alle Benutzerkonten haben Zugriff auf die gleichen Unternehmensinformationen. Einige Konten haben Zugriff auf vertrauliche Informationen wie Finanzdaten, Produktentwicklungsinformationen, Partnerzugriff auf kritische Buildsysteme und vieles mehr. Wenn sie kompromittiert werden, stellen Konten, die Zugriff auf streng vertrauliche Informationen haben, eine ernsthafte Bedrohung dar. Wir nennen diese Arten von Konten Prioritätskonten. Prioritätskonten umfassen (aber nicht beschränkt auf) CEOs, CISOs, CFOs, Infrastrukturadministratorkonten, Buildsystemkonten und vieles mehr.

Microsoft Defender for Office 365 unterstützt Prioritätskonten als Tags, die in Filtern in Warnungen, Berichten und Untersuchungen verwendet werden können. Weitere Informationen finden Sie unter Benutzertags in Microsoft Defender for Office 365.

Für Angreifer sind gewöhnliche Phishingangriffe, die ein zufälliges Netz für gewöhnliche oder unbekannte Benutzer werfen, ineffizient. Auf der anderen Seite sind Spear-Phishing - oder Whaling-Angriffe , die auf Prioritätskonten abzielen, für Angreifer sehr lohnend. Daher erfordern Prioritätskonten einen stärkeren Schutz als gewöhnlich, um eine Kompromittierung von Konten zu verhindern.

Microsoft 365 und Microsoft Defender for Office 365 enthalten mehrere wichtige Features, die zusätzliche Sicherheitsebenen für Ihre Prioritätskonten bieten. In diesem Artikel werden diese Funktionen und deren Verwendung beschrieben.

Die Zusammenfassung der Sicherheitsempfehlungen in Symbolform

Aufgabe Alle Office 365 Enterprise Pläne Microsoft 365 E3 Microsoft 365 E5
Erhöhen der Anmeldesicherheit für Prioritätskonten
Verwenden von strengen voreingestellten Sicherheitsrichtlinien für Prioritätskonten
Anwenden von Benutzertags auf Prioritätskonten
Überwachen von Prioritätskonten in Warnungen, Berichten und Erkennungen
Schulung der Benutzer

Hinweis

Informationen zum Schützen privilegierter Konten (Administratorkonten) finden Sie in diesem Thema.

Erhöhen der Anmeldesicherheit für Prioritätskonten

Prioritätskonten erfordern eine erhöhte Anmeldesicherheit. Sie können die Anmeldesicherheit erhöhen, indem Sie die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) und ältere Authentifizierungsprotokolle deaktivieren.

Anweisungen finden Sie unter Schritt 1. Erhöhen Sie die Anmeldesicherheit für Remotemitarbeiter mit MFA. Obwohl es in diesem Artikel um Remotemitarbeiter geht, gelten die gleichen Konzepte für Prioritätsbenutzer.

Hinweis: Es wird dringend empfohlen, ältere Authentifizierungsprotokolle für alle Prioritätsbenutzer global zu deaktivieren, wie im vorherigen Artikel beschrieben. Wenn Ihre geschäftlichen Anforderungen dies verhindern, bietet Exchange Online die folgenden Steuerelemente, um den Umfang von Legacyauthentifizierungsprotokollen einzuschränken:

Es ist auch erwähnenswert, dass die Standardauthentifizierung derzeit in Exchange Online für Exchange-Webdienste (EWS), Exchange ActiveSync, POP3, IMAP4 und Remote-PowerShell veraltet ist. Weitere Informationen finden Sie in diesem Blogbeitrag.

Verwenden von strengen voreingestellten Sicherheitsrichtlinien für Prioritätskonten

Prioritätsbenutzer benötigen strengere Aktionen für die verschiedenen Schutzmaßnahmen, die in Exchange Online Protection (EOP) und Defender for Office 365 verfügbar sind.

Anstatt beispielsweise Nachrichten, die als Spam klassifiziert wurden, in den Ordner Junk Email zu übermitteln, sollten Sie dieselben Nachrichten unter Quarantäne stellen, wenn sie für Prioritätskonten vorgesehen sind.

Sie können diesen strengen Ansatz für Prioritätskonten implementieren, indem Sie das Profil Strict in voreingestellten Sicherheitsrichtlinien verwenden.

Voreingestellte Sicherheitsrichtlinien sind ein praktischer und zentraler Ort, um unsere empfohlenen Strengen Richtlinieneinstellungen für alle Schutzmaßnahmen in EOP und Defender for Office 365 anzuwenden. Weitere Informationen finden Sie unter Voreingestellte Sicherheitsrichtlinien in EOP und Microsoft Defender for Office 365.

Ausführliche Informationen dazu, wie sich die Richtlinieneinstellungen strict von den Standard- und Standard Richtlinieneinstellungen unterscheiden, finden Sie unter Empfohlene Einstellungen für EOP und Microsoft Defender for Office 365 Sicherheit.

Anwenden von Benutzertags auf Prioritätskonten

Benutzertags in Microsoft Defender for Office 365 Plan 2 (als Teil von Microsoft 365 E5 oder einem Add-On-Abonnement) sind eine Möglichkeit, bestimmte Benutzer oder Benutzergruppen in Berichten und Incidentuntersuchungen schnell zu identifizieren und zu klassifizieren.

Prioritätskonten sind eine Art von integriertem Benutzertag (als Systemtag bezeichnet), mit dem Sie Incidents und Warnungen identifizieren können, die Prioritätskonten betreffen. Weitere Informationen zu Prioritätskonten finden Sie unter Verwalten und Überwachen von Prioritätskonten.

Sie können auch benutzerdefinierte Tags erstellen, um Ihre Prioritätskonten weiter zu identifizieren und zu klassifizieren. Weitere Informationen finden Sie unter Benutzertags. Sie können Prioritätskonten (Systemtags) auf derselben Benutzeroberfläche wie benutzerdefinierte Benutzertags verwalten.

Überwachen von Prioritätskonten in Warnungen, Berichten und Erkennungen

Nachdem Sie Ihre Prioritätsbenutzer gesichert und gekennzeichnet haben, können Sie die verfügbaren Berichte, Warnungen und Untersuchungen in EOP und Defender for Office 365 verwenden, um Vorfälle oder Erkennungen, die Prioritätskonten betreffen, schnell zu identifizieren. Die Features, die Benutzertags unterstützen, werden in der folgenden Tabelle beschrieben.

Feature Beschreibung
Warnungen Die Benutzertags der betroffenen Benutzer sind im Microsoft Defender Portal auf der Seite Warnungen sichtbar und als Filter verfügbar. Weitere Informationen finden Sie unter Warnungsrichtlinien im Microsoft Defender-Portal.
Vorfälle Die Benutzertags für alle korrelierten Warnungen sind auf der Seite Incidents im Microsoft Defender-Portal sichtbar. Weitere Informationen finden Sie unter Verwalten von Incidents und Warnungen.
Benutzerdefinierte Warnungsrichtlinien Sie können Warnungsrichtlinien basierend auf Benutzertags im Microsoft Defender-Portal erstellen. Weitere Informationen finden Sie unter Warnungsrichtlinien im Microsoft Defender-Portal.
Explorer

Echtzeiterkennungen

In Explorer (Defender for Office 365 Plan 2) oder Echtzeiterkennungen (Defender for Office 365 Plan 1) sind Benutzertags in der Email Rasteransicht und im Flyout Email Details sichtbar. Benutzertags sind auch als filterbare Eigenschaft verfügbar. Weitere Informationen finden Sie unter Tags in Threat Explorer.
Die Seite "E-Mail-Entität" Sie können E-Mails basierend auf angewendeten Benutzertags in Microsoft 365 E5 und in Defender for Office 365 Plan 1 und Plan 2 filtern. Weitere Informationen finden Sie unter Email Entitätsseite.
Kampagnenansichten Benutzertags sind eine von vielen filterbaren Eigenschaften in Kampagnenansichten in Microsoft Defender for Office 365 Plan 2. Weitere Informationen finden Sie unter Kampagnenansichten.
Threat Protection-Statusbericht In praktisch allen Ansichten und Detailtabellen im Bericht Threat Protection status können Sie die Ergebnisse nach Prioritätskonten filtern. Weitere Informationen finden Sie unter Threat Protection status Bericht.
Berichte zu den wichtigsten Absendern und Empfängern Sie können dieses Benutzertag den 20 wichtigsten Nachrichtensendern in Ihrem organization hinzufügen. Weitere Informationen finden Sie unter Bericht mit den wichtigsten Absendern und Empfängern.
Bericht "Kompromittierter Benutzer" Benutzerkonten, die in Microsoft 365-Organisationen mit Exchange Online Postfächern als verdächtig oder eingeschränkt gekennzeichnet sind, werden in diesem Bericht angezeigt. Weitere Informationen finden Sie unter Bericht "Kompromittierter Benutzer".
Admin Von Benutzern gemeldete Nachrichten und Übermittlungen Verwenden Sie die Seite Übermittlungen im Microsoft Defender-Portal, um E-Mail-Nachrichten, URLs und Anlagen zur Analyse an Microsoft zu übermitteln. Weitere Informationen finden Sie unter Admin Übermittlungen und von Benutzern gemeldete Nachrichten.
Quarantäne Quarantäne ist verfügbar, um potenziell gefährliche oder unerwünschte Nachrichten in Microsoft 365-Organisationen mit Postfächern in Exchange Online oder eigenständigen EOP-Organisationen (Exchange Online Protection) für Priority-Konten zu halten. Weitere Informationen finden Sie unter Quarantäne von E-Mail-Nachrichten.
Angriffssimulation Um Ihre Sicherheitsrichtlinien und -praktiken zu testen, führen Sie eine gutartige Cyberangriffssimulation für Ihre Zielbenutzer aus. Weitere Informationen finden Sie unter Angriffssimulation.
Bericht "Email Probleme für Prioritätskonten" Der Bericht Email Probleme für Prioritätskonten im Exchange Admin Center (EAC) enthält Informationen zu nicht übermittelten und verzögerten Nachrichten für Prioritätskonten. Weitere Informationen finden Sie im Bericht Email Probleme für Prioritätskonten.

Schulung der Benutzer

Das Trainieren von Benutzern mit Prioritätskonten kann dazu beitragen, diesen Benutzern und Ihrem Sicherheitsteam viel Zeit und Frustration zu sparen. Versierte Benutzer öffnen weniger Anlagen oder klicken auf Links in fragwürdigen E-Mail-Nachrichten, und sie vermeiden eher verdächtige Websites.

Das Handbuch zur Cybersicherheitskampagne der Harvard Kennedy School bietet hervorragende Anleitungen zum Aufbau einer starken Kultur des Sicherheitsbewusstseins in Ihrem organization, einschließlich der Schulung von Benutzern zur Identifizierung von Phishingangriffen.

Microsoft 365 bietet die folgenden Ressourcen, um Benutzer in Ihrer organization zu informieren:

Konzept Ressourcen Beschreibung
Microsoft 365 Anpassbare Lernpfade Diese Ressourcen können Ihnen helfen, Schulungen für Benutzer in Ihrem organization zusammenzustellen.
Microsoft 365 Security Lernmodul: Schützen Ihrer organization mit integrierter, intelligenter Sicherheit von Microsoft 365 In diesem Modul können Sie beschreiben, wie Microsoft 365-Sicherheitsfeatures zusammenarbeiten, und die Vorteile dieser Sicherheitsfeatures erläutern.
Mehrstufige Authentifizierung Herunterladen und Installieren der Microsoft Authenticator-App Dieser Artikel hilft Endbenutzern zu verstehen, was die mehrstufige Authentifizierung ist und warum sie auf Ihrem organization verwendet wird.
Angriffssimulationstraining Erste Schritte mit dem Angriffssimulationstraining Angriffssimulationstraining in Microsoft Defender for Office 365 Plan 2 ermöglicht administratoren das Konfigurieren, Starten und Nachverfolgen simulierter Phishingangriffe auf bestimmte Benutzergruppen.

Darüber hinaus empfiehlt Microsoft, dass Benutzer die in diesem Artikel beschriebenen Aktionen ergreifen: Schützen Sie Ihr Konto und Ihre Geräte vor Hackern und Schadsoftware. Diese setzen sich wie folgt zusammen:

  • Verwenden sicherer Kennwörter
  • Schützen von Geräten
  • Aktivieren von Sicherheitsfeatures auf Windows- und Mac-PCs (für nicht verwaltete Geräte)

Siehe auch