浅谈如何让你O365 Tenant更加安全的运行 – 先买个Micorsoft 365 A5来玩下

2019年11月27日

Office 365 的确发展的非常迅速,越来越多用户选择使用他的服务了,毕竟能整合大部分功能在云端能大量的减低IT管理员的运维成本,特别是国际学校的行业,在google在中国区被封,苹果还没有一套完整的solution下,Office365的确算是一枝独秀了。毕竟不单单整合邮件,云盘,SharePoint 站点,Teams,还有一系列适合办公还有教学应用的功能,这些都是其他厂家暂时做不到的,特别是在中国区不被Block(大部分时间,此处为google默哀一下) 。如果你们已经大面积使用Office365上的各种功能的话,那么如何深度保护好你们tenant的安全,这个话题我觉得就应该是各位管理员该开始关注的点了。

就拿邮件安全来说,钓鱼邮件等一系列的安全问题估计开始成为各位管理员最头疼的事情了,对吧?我们来看一下下面来之 Vade Security网站上的截图,哈哈,我们可爱的微软已经很长时间占据钓鱼攻击最爱的榜首了,具体的细节你可以看一下下面的连接:

https://www.vadesecure.com/en/phishers-favorites-q2-2019/

图片包含 屏幕截图 描述已自动生成

在中国嘛,有两句谚语,“枪打出头鸟“;”人怕出名猪怕壮“(话说这两句英文得怎么表达,麻烦高手指导一下,毕竟不是英语专科出生)。既然Office365占了这么大的市场占有量,而且钓鱼邮件之类的攻击几乎是最最最最简单低成本的攻击方法,钓鱼邮件当之无愧的成为各位管理员最头疼最关心的问题了。毕竟我经验来说,越高层的领导,IT方面会越小白化。攻击者群发邮件,只要有一个老板级别的用户输入自己的登陆信息,那么攻击者不单单能黑进老板的账号,甚至因为你在O365上的关系架构配置上,推算出你们公司整个智能架构还有能得到他们对应的邮件,那么就可以发动更加大面积的攻击了。你或许暂时还觉得没什么太大的问题,毕竟就是某些用户中了钓鱼软件,但当你真的深度使用上Office365之后,一个VIP用户被黑的影响,远远超于你的想象,不幸的是,我们也真的中招了,所以之前那段时间花费了我不少的时间去研究如何加强Office365的安全,才会有这篇文章的出现。

先让我们看一下我们学校的Office365上以前关于邮件安全的配置吧。我们使用的是Office365 A3的授权(这个大家基本都是一样的,无非就是O365 A1,O365 A3 或者两者结合),在这个基础上,我们可以得到Office 365 的EOP服务(Exchange Online Protection)另外,我们还根据官网上的建议配置了相关的SPF/DKIM/DMARC配置。 关于EOP的具体工作模式,你们可以看一下下图,另外在官网上看一下,毕竟我的理解是大家都使用了,就不再多加描述了。然而在这种安全设置下,我们的确用的还好,13-14年用的Office365是没有这么多钓鱼软件等的安全问题的,估计是因为那个时候O365还没真的出名吧。但其实据我所知,不少国际学校的同仁和我一样,由18-19年开始,关于钓鱼软件的问题变得越来越严重了。这个学期初最头疼的事情发生了,一个我们的VIP用户多次因为钓鱼软件导致自己的登陆信息泄露,真的是多次,改了密码也没有,这头改好,那头他就直接在junk mail里面直接打开钓鱼软件输入自己的登陆信息(宝宝心里的苦,谁懂?)当时我就直接在微软开case问怎么做了,但得到的答复是基于我们的现况,所有该做的安全步骤都做好了我们已经。(⊙﹏⊙),这个答案如果告诉给我老大,估计会劈死我,他们不会care即使钓鱼邮件已经到了junk mail里面用户还是点击,他们就会怪我们工作没做好(原地话圈圈中)。硬着头皮和老大说,果然,他老人家说,James哥,我不care你怎么说,我只要solution,你能搞掂的话,星巴克卷免费送你(这种大话我已经麻木了,老板如果真的要补上他欠我的星巴克卷,我估计我很长时间都不需要掏钱买咖啡了,差评一个!)好吧~只能想办法,我们这些工薪阶层就是苦T_T~

图片包含 屏幕截图 描述已自动生成

好吧,经过几个月的比较之后,包括审核市场上主流的各大安全解决方案,包括微软自带的,思科,梳子鱼,赛门铁克等的解决方案,我们最终选择了微软自带的升级版安全方案(这里因为某些原因,请原谅我不在这里介绍为什么不在这解释为什么选择微软自带的升级解决方案,有兴趣的可以私聊,会有惊喜喔!)最后嘛,我选择了微软的ATP P2的安全解决方案,因为本来我们已经有了Office365 A3的授权,所以做了一系列的对比之后,最终决定直接升级成Microsoft 365 A5的授权,毕竟除了安全方面的提升,使用Microsoft 365 A5的授权,有点等同于打开世界的大门一样。.

其实各位大大应该都知道,如果你把你的授权升级成Microsoft 365 A3或者A5,你就可以得到Azure Active Directory Plan1/2; Intune, 我的世界教育版等的额外功能,这是我一开是买Microsoft 365 关注的点,然而我却偏偏忽略了,使用上这些授权之后,安全方面能得到的提升,才是最大而且最有用的。具体关于每个授权的不同之处,请参考下面的链接:

https://docs.microsoft.com/en-us/office365/servicedescriptions/office-365-platform-service-description/microsoft-365-education

基于Microsoft 365 A5上,我们可以做相关除了原来EOP上的额外安全配置,这里我们称为ATP,关于ATP的配置,我会先关注在基于邮件上的安全进阶配置,分别是:

  • ATP anti-phishing
  • Safe attachment
  • Safe link
  • Anti-malware

这四个配置是我觉得ATP关于邮件上的精髓安全配置,我会在下周另外写文章来具体和大家解释一下怎么去做的,大家就耐心等待一下吧。另外多加一句,如果觉得文章有用的话,希望大家也可以关注下我的微信公众号,毕竟你们的支持,才是我写下去最大的动力喔~

图片包含 文字 描述已自动生成 图片包含 屏幕截图 描述已自动生成