10 CÁCH BẢO MẬT VỚI MICROSOFT 365 CHO DOANH NGHIỆP

10 công việc cần thực hiện để bảo mật Microsoft 365

Dưới đây là các tác vụ được Microsoft khuyến cáo người dùng nên thực hiện để bảo vệ an toàn cho môi trường Microsoft 365 của doanh nghiệp:

STT	Tác vụ	Microsoft 365 Business Standard	Microsoft 365 Business Premium
1	Thiết lập xác thực nhiều bước
2	Hướng dẫn người dùng
3	Sử dụng tài khoản quản trị chuyên dụng
4	Nâng cao cấp độ bảo mật chống lại phần mềm độc hại từ email
5	Bảo vệ chống lại các ransomware
6	Chặn tự động chuyển tiếp cho email
7	Sử dụng Office Message Encryption
8	Bảo vệ chống lại tấn công lừa đảo qua email
9	Bảo vệ chống lại các tệp đính kèm nguy hiểm với Safe Attachments
10	Bảo vệ chống tấn công lừa đảo với Safe Links

Trước khi thực hiện các công việc trên, chúng ta cần kiểm tra điểm số bảo mật trên Microsoft 365 security center. Từ trang tổng quan tập trung, bạn có thể theo dõi và cải thiện bảo mật cho danh tính, dữ liệu, ứng dụng, thiết bị và cơ sở hạ tầng Microsoft 365 của mình. Bạn được cho điểm để định cấu hình các tính năng bảo mật được đề xuất, thực hiện các tác vụ liên quan đến bảo mật (chẳng hạn như xem báo cáo) hoặc giải quyết các đề xuất bằng ứng dụng hoặc phần mềm của bên thứ ba. Với thông tin chi tiết bổ sung và khả năng hiển thị nhiều hơn vào một tập hợp rộng hơn các sản phẩm và dịch vụ của Microsoft, bạn có thể cảm thấy tự tin khi báo cáo về tình trạng bảo mật của tổ chức mình.

1. Thiết lập xác thức nhiều bước

Sử dụng xác thực đa yếu tố là một trong những cách dễ nhất và hiệu quả nhất để tăng cường bảo mật cho tổ chức của bạn. Việc này rất dễ dàng, khi bạn đăng nhập, xác thực đa yếu tố có nghĩa là bạn sẽ nhập mã từ điện thoại của mình để truy cập vào Microsoft 365. Điều này có thể ngăn tin tặc chiếm đoạt nếu họ biết mật khẩu của bạn. Xác thực đa yếu tố còn được gọi là xác minh 2 bước. Các cá nhân có thể thêm xác minh 2 bước vào hầu hết các tài khoản một cách dễ dàng, chẳng hạn như vào tài khoản Google hoặc Microsoft của họ.

Đối với các doanh nghiệp sử dụng Microsoft 365, hãy thêm cài đặt yêu cầu người dùng của bạn đăng nhập bằng xác thực đa yếu tố. Khi bạn thực hiện thay đổi này, người dùng sẽ được nhắc thiết lập điện thoại của họ để xác thực hai yếu tố vào lần đăng nhập tiếp theo.

Để thiết lập xác thực đa yếu tố, bạn cần bật phần bảo mật mặc định. Để bật hoặc tắt phần bảo mật mặc định, bạn chọn mục Properties trong Azure Active Directory trên trang Azure portal.

1. Đăng nhập vào trung tâm quản trị Microsoft 365 bằng thông tin đăng nhập quản trị viên toàn cầu.
2. Trong điều hướng bên trái, chọn Hiển thị tất cả và trong Trung tâm quản trị , chọn Azure Active Directory .
3. Trong trung tâm quản trị Azure Active Directory, chọn Azure Active Directory > Properties .
4. Ở cuối trang, chọn Quản lý mặc định bảo mật .
5. Chọn Có để bật mặc định bảo mật hoặc Không để tắt mặc định bảo mật, sau đó chọn Lưu

2. Hướng dẫn người dùng

Việc hướng dẫn người dùng cách nâng cao bảo mật và xây dựng nền văn hóa nhận thức về bảo mật trong doanh nghiệp là rất cần thiết. Điều đó giúp mọi người dùng có thể phát hiện và tránh bị lừa đảo bởi các email và tệp đính kèm nguy hại.

Để bảo vệ thiết bị của người dùng tránh khỏi các virus, ransomware hay tấn công đánh cắp thông tin cá nhân. Microsoft khuyến nghị người dùng thực hiện các hành động sau:

• Sử dụng mật khẩu mạnh.
• Bảo vệ thiết bị.
• Bật các tính năng bảo mật trên PC Windows 10 và Mac.

Microsoft cũng khuyến cáo người dùng nên bảo vệ tài khoản email cá nhân của họ bằng cách thực hiện các hành động được đề xuất sau:

• Tìm biểu tượng người gửi đáng tin cậy trên các thư mới.
• Hãy cẩn trọng với các thanh an toàn màu vàng và đỏ.
• Thêm người gửi vào các danh sách người gửi an toàn và bị chặn.

3. Sử dụng tài khoản quản trị chuyên dụng

Các tài khoản quản trị mà bạn sử dụng để quản lý môi trường Microsoft 365 của mình bao gồm các đặc quyền nâng cao. Đây là những mục tiêu có giá trị đối với tin tặc và tội phạm mạng. Chỉ sử dụng tài khoản quản trị để quản trị. Quản trị viên nên có một tài khoản người dùng riêng để sử dụng thường xuyên, không phải quản trị và chỉ sử dụng tài khoản quản trị của họ khi cần thiết để hoàn thành nhiệm vụ liên quan đến chức năng công việc của họ. Khuyến nghị bổ sung:

• Đảm bảo tài khoản quản trị viên cũng được thiết lập để xác thực nhiều yếu tố.
• Trước khi sử dụng tài khoản quản trị, hãy đóng tất cả các phiên trình duyệt và ứng dụng không liên quan, bao gồm cả tài khoản email cá nhân.
• Sau khi hoàn thành các tác vụ quản trị, hãy đảm bảo đăng xuất khỏi phiên trình duyệt.

4. Nâng cao cấp độ bảo mật chống lại phần mềm độc hại từ email

Môi trường Microsoft 365 của bạn bao gồm bảo vệ chống lại phần mềm độc hại, nhưng bạn có thể tăng cường bảo vệ này bằng cách chặn các tệp đính kèm với các loại tệp thường được sử dụng cho phần mềm độc hại. Để tăng cường khả năng bảo vệ khỏi phần mềm độc hại trong email, hãy hoàn thành các bước sau:

1. Truy cập https://protection.office.com và đăng nhập bằng thông tin đăng nhập tài khoản quản trị của bạn.
2. Trong Trung tâm Bảo mật & Tuân thủ, trong ngăn điều hướng bên trái, bên dưới Quản lý mối đe dọa , hãy chọn Chính sách > Chống Phần mềm độc hại .
3. Bấm đúp vào chính sách mặc định để chỉnh sửa chính sách toàn công ty này.
4. Chọn Cài đặt .
5. Trong Bộ lọc Loại Phần đính kèm Phổ biến , hãy chọn Bật . Các loại tệp bị chặn được liệt kê trong cửa sổ ngay bên dưới điều khiển này. Bạn có thể thêm hoặc xóa các loại tệp sau này, nếu cần.
6. Chọn Lưu.

5. Bảo vệ chống lại ransomware

Ransomware hạn chế quyền truy cập vào dữ liệu bằng cách mã hóa tệp hoặc khóa màn hình máy tính. Sau đó, nó cố gắng tống tiền các nạn nhân bằng cách yêu cầu “tiền chuộc”, thường ở dạng tiền điện tử như Bitcoin, để đổi lấy quyền truy cập vào dữ liệu.

Bạn có thể bảo vệ khỏi ransomware bằng cách tạo một hoặc nhiều quy tắc luồng thư để chặn các phần mở rộng tệp thường được sử dụng cho ransomware hoặc để cảnh báo người dùng nhận được các tệp đính kèm này trong email. Một điểm khởi đầu tốt là tạo ra hai quy tắc:

• Cảnh báo người dùng trước khi mở tệp đính kèm Office bao gồm macro. Ransomware có thể ẩn bên trong macro, vì vậy chúng tôi sẽ cảnh báo người dùng không mở các tệp này từ những người mà họ không biết.
• Chặn các loại tệp có thể chứa ransomware hoặc mã độc hại khác. Chúng ta sẽ bắt đầu với danh sách các tệp thực thi phổ biến (được liệt kê trong bảng bên dưới). Nếu tổ chức của bạn sử dụng bất kỳ loại thực thi nào trong số này và bạn muốn chúng được gửi qua email, hãy thêm chúng vào quy tắc trước đó (cảnh báo người dùng).

6. Chặn tự động chuyển tiếp email

Tin tặc có quyền truy cập vào hộp thư của người dùng có thể lọc thư bằng cách định cấu hình hộp thư để tự động chuyển tiếp email. Điều này có thể xảy ra ngay cả khi người dùng không nhận thức được. Bạn có thể ngăn điều này xảy ra bằng cách định cấu hình quy tắc luồng thư.

Để tạo quy tắc vận chuyển thư:

1. Đi tới trung tâm quản trị Exchange .
2. Trong danh mục dòng thư , hãy chọn quy tắc .
3. Chọn + , sau đó chọn Tạo quy tắc mới .
4. Chọn Tùy chọn khác ở cuối hộp thoại để xem tập hợp đầy đủ các tùy chọn.
5. Áp dụng các cài đặt trong bảng sau. Để phần còn lại của cài đặt ở mặc định, trừ khi bạn muốn thay đổi những cài đặt này.
6. Chọn Lưu .

7. Sử dụng Office Message Encryption

Office Message Encryption được thiết lập sẵn trong các gói bản quyền Microsoft 365. Với Office Message Encryption, doanh nghiệp của bạn có thể gửi và nhận các thư email được mã hóa giữa những người bên trong và bên ngoài doanh nghiệp. Office 365 Message Encryption hoạt động với Outlook.com, Yahoo, Gmail và các dịch vụ email khác. Mã hóa tin nhắn email giúp đảm bảo rằng chỉ những người nhận dự kiến mới có thể xem nội dung tin nhắn.

Office Message Encryption cung cấp 2 hình thức bảo vệ tin nhắn gửi đi:

• Chặn chuyển tiếp
• Mã hóa

Ngoài ra, doanh nghiệp cũng có thể gắn thêm các dãn nhãn bổ sung cho email để tăng mức độ cảnh báo bảo mật cho các email gửi đi.

Để gửi email được bảo vệ:

Trong Outlook cho PC, chọn Tùy chọn trong email, sau đó chọn Quyền .

Trong Outlook.com, chọn Bảo vệ trong email. Bảo vệ mặc định là Không chuyển tiếp . Để thay đổi tùy chọn này thành mã hóa, hãy chọn Thay đổi quyền > Mã hóa .

Để nhận email được mã hóa:
Nếu người nhận có Outlook 2013 hoặc Outlook 2016 và tài khoản email Microsoft, họ sẽ thấy cảnh báo về quyền hạn chế của mục trong ngăn Đọc. Sau khi mở tin nhắn, người nhận có thể xem tin nhắn giống như bất kỳ tin nhắn nào khác.

Nếu người nhận đang sử dụng ứng dụng email khách hoặc tài khoản email khác, chẳng hạn như Gmail hoặc Yahoo, họ sẽ thấy một liên kết cho phép họ đăng nhập để đọc email hoặc yêu cầu mật mã dùng một lần để xem thư trong trình duyệt web . Nếu người dùng không nhận được email, hãy yêu cầu họ kiểm tra thư mục Spam hoặc Junk.

8. Bảo vệ email của bạn khỏi các cuộc tấn công lừa đảo

Nếu bạn đã định cấu hình một hoặc nhiều miền tùy chỉnh cho môi trường Microsoft 365 của mình, bạn có thể định cấu hình bảo vệ chống lừa đảo được nhắm mục tiêu. Tính năng bảo vệ chống lừa đảo, một phần của Microsoft Defender dành cho Office 365, có thể giúp bảo vệ tổ chức của bạn khỏi các cuộc tấn công lừa đảo dựa trên mạo danh độc hại và các cuộc tấn công lừa đảo khác. Nếu bạn chưa định cấu hình miền tùy chỉnh, bạn không cần thực hiện việc này.

Chúng tôi khuyên bạn nên bắt đầu với biện pháp bảo vệ này bằng cách tạo chính sách để bảo vệ những người dùng quan trọng nhất và miền tùy chỉnh của bạn.

9. Bảo vệ chống lại các tệp đính kèm nguy hiểm với Safe Attachments

Mọi người thường xuyên gửi, nhận và chia sẻ các tệp đính kèm, chẳng hạn như tài liệu, bản trình bày, bảng tính, v.v. Không phải lúc nào cũng dễ dàng biết được một phần đính kèm là an toàn hay độc hại chỉ bằng cách nhìn vào một email. Microsoft Defender for Office 365 bao gồm tính năng bảo vệ Phần đính kèm An toàn, nhưng tính năng bảo vệ này không được bật theo mặc định. Chúng tôi khuyên bạn nên tạo một quy tắc mới để bắt đầu sử dụng biện pháp bảo vệ này. Bảo vệ này mở rộng cho các tệp trong SharePoint, OneDrive và Microsoft Teams.

Chúng tôi khuyên bạn nên bắt đầu với biện pháp bảo vệ này bằng cách tạo chính sách để bảo vệ những người dùng quan trọng nhất và miền tùy chỉnh của bạn.

Để tạo Chính sách tệp đính kèm an toàn, hãy hoàn thành các bước sau:

1. Truy cập https://protection.office.com và đăng nhập bằng tài khoản quản trị của bạn.
2. Trong Trung tâm Bảo mật & Tuân thủ, trong ngăn điều hướng bên trái, bên dưới Quản lý mối đe dọa , hãy chọn Chính sách .
3. Trên trang Chính sách, hãy chọn Phần đính kèm An toàn .
4. Trên trang Phần đính kèm an toàn, hãy áp dụng bảo vệ này một cách rộng rãi bằng cách chọn hộp kiểm Bật ATP cho SharePoint, OneDrive và Microsoft Teams .
5. Chọn + để tạo chính sách mới.
6. Áp dụng các cài đặt trong bảng sau.
7. Sau khi bạn đã xem xét cài đặt của mình, hãy chọn Tạo chính sách này hoặc Lưu , nếu thích hợp.

10. Bảo vệ chống tấn công lừa đảo với Safe Links

Tin tặc đôi khi ẩn các trang web độc hại trong các liên kết trong email hoặc các tệp khác. Safe Links là một phần của Microsoft Defender for Office 365, có thể giúp bảo vệ tổ chức của bạn bằng cách cung cấp xác minh địa chỉ web (URL) theo thời gian nhấp chuột trong thư email và tài liệu Office. Bảo vệ được xác định thông qua các chính sách Liên kết An toàn.

Chúng tôi khuyên bạn nên làm như sau:

• Sửa đổi chính sách mặc định để tăng khả năng bảo vệ.
• Thêm chính sách mới được nhắm mục tiêu đến tất cả người nhận trong miền của bạn.