"Zvýšení zabezpečení prostředí O365" je podaktivitou v rámci centralizovaného rozvojového projektu Zvýšení úrovně kybernetické bezpečnosti v prostředí VVŠ​. V souladu se změnou terminologie Microsoftu budeme místo "Office 365" nebo "O365" uvádět "Microsoft 365" nebo "MS 365".

Motivace a kontext

Informační technologie jsou kritické pro zajištění fungování vysokých škol, od administrativy, přes vedení a řízení výuky až po ukládání a zpracování výzkumných dat. Přitom jsou stále častěji cílem útoků (viz upozornění NÚKIB a zkušenosti z provozu). Většina vysokých škol využívá alespoň v nějakém rozsahu cloudová prostředí pro práci, spolupráci a komunikaci, zejména balíky MS 365 a Google Suite. Vzhledem k významu, který pak tyto služby mají pro provoz univerzit a hodnotě ukládaných a zpracovávaných dat je důležité zajistit dostatečnou úroveň jejich zabezpečení. Cílem podaktivity "Zvýšení zabezpečení prostředí O365" je příprava sady doporučení pro zvýšení zabezpečení prostředí Microsoft 365.

• Bližší informace

Modelové prostředí

Způsob nasazení MS 365 se na jednotlivých univerzitách liší v závislosti na charakeristikách on-premise prostředí (lokální AD infrastruktura, správa zařízení), způsobu správy identit a autentizace, dostupných licencích i personálních a odborných kapacitách.

• Doplnit: výstupy z dotazníku

Doporučení pro zabezpečení prostředí MS 365 jsme připravili pro “modelové prostředí” pokrývající často se vyskytující varianty nasazení a licencování:

• identity běžných uživatelů synchronizovány přes AAD Connect, přihlášení běžných uživatelů s password hash sync/pass-through/federované. AD je primárním zdrojem hesel - pokud toto není splněno, některá doporučení není možné realizovat.

• dedikované admin účty založeny jako cloudové s přihlášením v cloudu

• Licence - kombinace A3 zaměstnaneckých, A3 studentských, A1 zaměstnaneckých a Alumni licencí. MS 365 A5 licence/Azure AD Premium P2/EMS A5/A5 Security jsou případně k dispozici jen pro vybrané účty.

• MX domén míří do MS 365 a/nebo je využívaná lokální GW-Relay

Doporučení

Doporučení jsou připravena pro “modelové prostředí” podle předchozí sekce. Zahrnují jednorázová opatření, doporučené pravidelné revize, průběžný monitoring a detekce a možnosti řešení základních incidentů.

• Doporučení pro zabezpečení standardního univerzitního prostředí

Incident handling

Incident handling je primárně záležitost organizační, je třeba rozdělit role a povinnosti, nastavit procesy. Toto není součástí podaktivity týkající se MS 365. Zde uvádíme jen doporučení pro reakce na některé typy incidentů přímo v prostředí MS 365, která je třeba zasadit do rámce incident handlingu na míru příslušné vysoké škole.

• Nastavte proces detekce a analýzy podezřelých přihlášení a ohrožených účtů reakce na ně

• Potvrďte ohrožení/zneužití účtu uživatele

• Remediace úniku/zneužití přihlašovacích údajů uživatele

Vzdělávání pro uživatele

Vzdělávání není výstupem podaktivity. Uvádíme jen přehled oblastí, které je vhodné začlenit do rámce vzdělávání a dokumentace i v závislosti na míře a způsobu implementace doporučení pro zabezpečení prostředí MS 365.

• Vzdělávání pro uživatele

Dokumentace pro uživatele

Příprava dokumentace není výstupem podaktivity. Dokumentaci (a komunikaci směrem k uživatelům) je třeba zajistit v závislosti na způsobu a rozsahu zavádění jednotlivých doporučení. Zde uvádíme jen dva návody připravené pro uživatele zaměřené na rozpoznání a remediaci napadení účtu.

• Příznaky zneužití účtu (pro uživatele)

• Remediace úniku/zneužití přihlašovacích údajů (pro uživatele)