צ׳קליסט אבטחת Microsoft 365 שכל עסק צריך לבדוק
בדיקה פשוטה של ההגדרות שבאמת מגינות על Microsoft 365: אימות רב־שלבי, הרשאות מנהלים, שיתוף קבצים, אבטחת דואר ושחזור חשבונות.
ברוב העסקים הקטנים Microsoft 365 הוא כבר לא רק תיבת מייל. שם נמצאים המסמכים, השיחות עם לקוחות, הקבצים המשותפים והגישה של העובדים לעבודה היומיומית. בדיוק בגלל זה, הגדרות ברירת המחדל לא מספיקות: הן נוחות לעבודה, אבל לא תמיד בנויות לעצור השתלטות על חשבון, שיתוף מידע בטעות או גישה רחבה מדי.
1. הפעלת אימות דו-שלבי (MFA) לכל המשתמשים
MFA הוא ההגנה הבודדת האפקטיבית ביותר מפני השתלטות על חשבונות. מיקרוסופט מדווחת ש-MFA חוסם למעלה מ-99% מהתקפות אוטומטיות על סיסמאות. ב-Microsoft 365, MFA צריך להיות חובה לכל העובדים – לא רק למנהלים. בלי MFA, סיסמה גנובה מאפשרת למי שתוקף את העסק גישה מלאה לאימייל, קבצים ונתוני העסק שלכם.
התחילו על ידי הפעלת Security Defaults בפורטל הניהול של Microsoft 365. זה מחייב MFA לכל העובדים וחוסם פרוטוקולי אימות ישנים שעוקפים את MFA. לשליטה מדויקת יותר, השתמשו ב-Conditional Access אם התוכנית שלכם כוללת אותו.
2. ביקורת חשבונות מנהלים
חשבונות מנהל רבים מדי הם טעות נפוצה. כל חשבון Global Admin הוא מטרה בעלת ערך גבוה – אם נפרץ, מי שתוקף את העסק יכול לשנות את כל הסביבה של Microsoft 365 שלכם. המלצה לרוב עסקים קטנים: פחות מחמישה חשבונות Global Admin, כל אחד חשבון ייעודי לניהול בלבד, נפרד מחשבון האימייל היומיומי של אותו אדם.
עובדים רגילים שזקוקים מדי פעם להרשאות גבוהות צריכים לקבל אותן באופן זמני דרך Privileged Identity Management, ולא בהקצאה קבועה. בדקו את הקצאות הרשאות הניהול שלכם לפחות אחת לרבעון.
3. בדיקת הגדרות שיתוף חיצוני ב-SharePoint וב-OneDrive
כברירת מחדל, SharePoint ו-OneDrive עשויים לאפשר שיתוף חיצוני נרחב. בדקו את הגדרות השיתוף בפורטל הניהול של SharePoint והגבילו ל'אורחים קיימים' או 'אנשים ספציפיים' במקום 'כל מי שיש לו את הקישור'. זה מונע חשיפה בלתי מכוונת של נתונים כשעובדים משתפים קבצים עם לקוחות.
4. הגדרת מדיניות אנטי-פישינג ואבטחת אימייל
Microsoft Defender for Office 365 מספק הגנה מפישינג, Safe Links ו-Safe Attachments. בדקו את מדיניות אנטי-הפישינג שלכם והפעילו: הגנת התחזות עבור מנהלים בכירים ועבור הדומיין שלכם; זיהוי מבוסס-בינה של תיבות דואר; וסריקת Safe Links לקישורים באימיילים ובמסמכים.
פישינג הוא נקודת הכניסה הנפוצה ביותר להתקפות כופרה ולתרמיות דואר עסקי (BEC) נגד עסקים קטנים ובינוניים בישראל. מדיניות Defender שמוגדרת כראוי תופסת חלק משמעותי מהניסיונות האלה לפני שהם מגיעים לתיבות הדואר.
5. הפעלת יומן הביקורת המאוחד (Unified Audit Log)
יומן הביקורת המאוחד מתעד כניסות, פעולות מנהל, גישה לקבצים ושינויי הגדרות. הוא לא תמיד מופעל כברירת מחדל. בלעדיו, אין לכם נראות לגבי מה קרה במהלך אירוע אבטחה או אחריו. הפעילו אותו מיד בפורטל Microsoft Purview.
6. ביקורת חשבונות פעילים ורישיונות כל חודש
עובדים שעזבו ועדיין יש להם חשבונות פעילים הם סיכון אבטחה שקט. קבעו תהליך לביטול מיידי של חשבונות ביום האחרון של עובד. ערכו ביקורת חודשית של כל העובדים הפעילים והסירו חשבונות שאינם שייכים עוד.
7. שימוש ב-Conditional Access (Microsoft 365 Business Premium ומעלה)
Conditional Access מאפשר לכם לדרוש MFA בהתבסס על מיקום, לחסום כניסות ממכשירים לא תואמים, ולהגביל גישה על בסיס אותות סיכון. לכל הפחות, הגדירו מדיניות בסיסית הדורשת MFA לכל העובדים מכל מיקום.
מאיפה להתחיל בבדיקת Microsoft 365
לא צריך להפוך את Microsoft 365 לפרויקט ענק כדי לשפר משמעותית את רמת ההגנה. התחילו מהחשבונות, ההרשאות והשיתוף החיצוני – אלה המקומות שבהם רוב הסיכון יושב. אם לא ברור לכם מה מוגדר היום ומה חסר, סקירה קצרה של הסביבה תיתן תמונת מצב ברורה ורשימת פעולות מסודרת.
שאלות נפוצות
האם Microsoft 365 מאובטח כברירת מחדל?
לא. הגדרות ברירת המחדל של Microsoft 365 מתעדפות נוחות על פני אבטחה, כך שרוב הסביבות החדשות מגיעות ללא אכיפת אימות רב-שלבי, עם שיתוף חיצוני רחב ועם יומן הביקורת כבוי. Microsoft מאבטחת את הפלטפורמה עצמה, אבל הגדרת הסביבה שלכם בצורה מאובטחת – ושמירה עליה כך – היא באחריותכם.
מהי הגדרת האבטחה החשובה ביותר ב-Microsoft 365?
אימות רב-שלבי (MFA) לכל משתמש. לפי Microsoft, ה-MFA חוסם מעל 99% מהתקפות השתלטות החשבון האוטומטיות, וסיסמה גנובה הרבה פחות שימושית לתוקף כשה-MFA אכוף. הפעילו אותו לכל המשתמשים, לא רק למנהלים.
כמה חשבונות Global Admin כדאי שיהיו לנו?
כמה שפחות – לרוב העסקים הקטנים, פחות מחמישה. כל חשבון Global Admin הוא יעד בעל ערך גבוה, לכן הפרידו בין חשבונות הניהול לחשבונות הדוא״ל היומיומיים, והעניקו הרשאות גבוהות רק כשצריך ולא באופן קבוע.
כל כמה זמן צריך לבדוק את אבטחת ה-Microsoft 365?
בדקו את הרשאות המנהלים והחשבונות הפעילים לפחות אחת לרבעון, ונטרלו עובדים שעוזבים ביום עבודתם האחרון. הגדרות שיתוף, מדיניות נגד פישינג ו-Conditional Access כדאי לבחון מחדש בכל פעם שהצוות או אופן העבודה משתנים.
האם צריך גיבוי נוסף ל-Microsoft 365?
כן. Microsoft פועלת במודל של אחריות משותפת: היא שומרת על תקינות השירות, אבל שמירת הנתונים ושחזורם הם באחריותכם. גיבוי ייעודי ל-Exchange, ל-SharePoint, ל-OneDrive ול-Teams מגן עליכם מפני מחיקה בטעות, עובדים שעוזבים ומתקפות כופר.
מאמרים קשורים
Microsoft 365 Business Premium: האבטחה שאתם כבר משלמים עליה ורוב הסיכויים שלא מפעילים
Business Premium אורז שכבת אבטחה ברמת ארגון גדול שרוב העסקים הקטנים אף פעם לא מפעילים: EDR של Defender for Business, Conditional Access, Intune, מניעת דליפת מידע והגנת דואר מתקדמת. הנה מה שכלול, ואיך הופכים אותו להגנה אמיתית.
קרא את המאמרSPF, DKIM ו-DMARC: לעצור תוקפים שמתחזים למייל העסקי שלכם
שלוש רשומות DNS קובעות אם זר יכול לשלוח מייל שנראה בדיוק כאילו הגיע מהחברה שלכם. לרוב העסקים הקטנים הן מוגדרות חלקית או בכלל לא. הנה מה ש-SPF, DKIM ו-DMARC עושים, בשפה פשוטה, ואיך מטמיעים אותן בלי לשבור את הדואר.
קרא את המאמרביטוח סייבר לעסקים קטנים בישראל: מה הוא מכסה ואיך עומדים בתנאים
מה ביטוח סייבר בדרך כלל מכסה, למה חברות הביטוח דורשות היום בקרות אבטחה בסיסיות, ואיך להתכונן לשאלון בלי לנחש.
קרא את המאמררוצים לאבטח את העסק בלי להקים צוות IT פנימי?
קבעו ייעוץ חינם וקבלו תמונת מצב ראשונית ומעשית על סביבת ה-IT ואבטחת Microsoft 365 שלכם.