Office 365 Teams Security - Absichern des zentralen Communication Hub

Office 365 Teams Security

Absichern des zentralen Communication Hub

Rocco Gagliardi
von Rocco Gagliardi
am 14. Januar 2021
Lesezeit: 12 Minuten

Keypoints

So sichern Sie O365 Teams ab

  • Office 365 und insbesondere Teams werden für viele kleine und mittelständische Unternehmen immer zentraler
  • Obwohl Microsoft grosse Investitionen in die Sicherheit, insbesondere von Cloud-Produkten, tätigt, ist es gezwungen, ein Gleichgewicht zwischen Benutzerfreundlichkeit und Sicherheit herzustellen
  • Es ist wahrscheinlich, dass viele Funktionen für Ihr Unternehmen nicht notwendig sind, in diesem Fall ist es sinnvoll, sie zu deaktivieren
  • Mit Powershell ist es möglich, den Status der Teams-Einstellungen in Bezug auf eine Referenz zu überwachen und die mit Updates eingeführten neuen Parameter zu bewerten

Als ich anfing in der IT zu arbeiten, war der Stand der Dinge ein IBM System/55 mit OS/2 und Lotus Notes. Auch wenn viele Anwendungen ein 3270-Terminal benötigten, deutete der Übergang der Kommunikation vom Mainframe zum PC auf den zukünftigen Mittelpunkt des Unternehmens hin: Mailserver. Die Grenzen von Email sind ziemlich schnell erreicht worden: Für die Arbeit im Team braucht man oft etwas Unmittelbareres. Google schlug 2009 mit Waves eine Lösung vor, eine Art kontinuierlicher Dialog, ohne Anfang und Ende. Es selbst endete jedoch fast sofort, nach zwei Jahren wurde der Dienst eingestellt, und unsere heissgeliebten – ehrlich gesagt ziemlich leeren – Waves wurden geschlossen.

Das vergangene Jahr hat aufgrund von COVID-19 viele Unternehmen gezwungen, anders zu arbeiten, die Distanz zwischen den Menschen zu vergrössern und sie zu zwingen, nach Kollaborationslösungen zu suchen. Office 365 (O365) ist sicherlich die einfachste Kollaborationsplattform, auf die man umsteigen kann, wenn man bereits ein Office-Paket hat: Sie bietet ein Tool für jeden Bedarf und ermöglicht es, ein geografisch verteiltes Büro zu schaffen.

Die Sicherheit von O365 ist ziemlich gut. Es gab lange Zeit keine bekannten schwerwiegenden öffentlichen Sicherheitslücken. Angesichts der grossen Zielgruppe muss Microsoft jedoch eine Balance zwischen Sicherheit und Benutzerfreundlichkeit finden.

Microsoft Teams ist ein Knotenpunkt für die Teamarbeit, der alles, was Ihr Team braucht, mit der Leistungsfähigkeit der Microsoft 365-Anwendungen zusammenbringt. Teams kann, wie jeder Hub, auf mehrere Komponenten zugreifen, sowohl intern in O365 als auch extern (z.B. Dropbox). Angesichts seines grundlegenden Zwecks als Vermittler der Kommunikation zwischen Menschen wurde viel getan, um die Kommunikation zwischen Unternehmensmitgliedern und externen Personen zu vereinfachen. Und da das System nicht komplex genug ist, gibt es eine Konvergenz zwischen Skype for Business und Teams.

Obwohl sie dem Namen nach bekannt sind, sind die Technologien, mit denen O365 funktioniert, sehr komplex und werden von Administratoren kleiner Unternehmen, die sich mehr um den Betrieb als um die Sicherheit kümmern, oft unterschätzt.

Dessen sind sich auch die Angreifer bewusst, die – im Gegensatz zu vielen Administratoren – die Funktionsweise von O365 sehr gut studiert haben: Verschiedene Indikatoren zeigen uns, dass O365 ein beliebtes Ziel ist und wie hoch die Erfolgsquote eines Angriffs ist (z.B. Barracuda erklärt, dass 30% der Angriffe mit einer Kontoübernahme enden).

Die Analyse der Angriffe zeigt auch, dass sie nicht dank technologischer Schwächen, sondern dank naiver Benutzer oder Administratoren erfolgreich sind.

Die Verwendung von Online-Kollaborationsplattformen zu vermeiden, könnte eine instinktive Lösung sein. Bedenken Sie jedoch, dass die “lokale” Sicherheit schlechter funktioniert hat und auch weiterhin schlechter funktioniert. In jedem Fall müssen Administratoren diese komplexen Technologien mit mehr Überzeugung angehen,d die Hunderte von verfügbaren Optionen studieren und nur das aktivieren, was für ihr Unternehmen unbedingt notwendig ist.

Hier sind einige Punkte, auf die Sie achten sollten, um Ihre Microsoft Teams-Sicherheitsumgebung zu härten.

Zu prüfende Bereiche

Wie bereits erwähnt, basieren O365 und Teams auf komplexen und miteinander verknüpften Technologien. Wir empfehlen, die Implikationen zu studieren und die eingebrachten Fragen in den folgenden Bereichen zu überprüfen.

Gastzugang

Mit der Funktion Gastzugang können Teameigentümer Personen von ausserhalb der Organisation zur Teilnahme an Teamaktivitäten einladen. Gäste haben vollen Zugriff auf Team-Kanäle, Chats, gemeinsame Dateien und Meetings. Dies kann ein Sicherheitsproblem darstellen, da es schwierig ist zu kontrollieren, welche Informationen dabei mit der Aussenwelt ausgetauscht werden.

Berechtigungen

Microsoft hat Teams absichtlich mit einem offenen Berechtigungsmodell konzipiert, um die selbstorganisierte Zusammenarbeit zu vereinfachen:

Teilen von Daten

Ein Teams-Benutzer kann absichtlich oder versehentlich Informationen mit nicht autorisierten Empfängern austauschen.

App Management

Die Funktionen von Teamkanälen können durch das Hinzufügen von Apps erweitert werden, die die Form von benutzerdefinierten Registerkarten, Bots oder Konnektoren haben können. Mit einer App können Benutzer in einem Kanal Inhalte und Aktualisierungen direkt von ihren bevorzugten Drittanbieterdiensten, wie z.B. GitHub, abrufen. Allerdings verlangen diese Apps oft von den Benutzern, dass sie ihnen den Zugriff auf ihre Daten erlauben, was einer unzulässigen Weitergabe von Unternehmensdaten an externe Dritte darstellt.

Policy prüfen

Teams verfügt über ein sehr komplexes WebUI, über das jedoch nicht alle Parameter sichtbar sind. Ausserdem ist es kompliziert, alle Änderungen und die neuen Einstellungen über das WebUI zu prüfen und zu verfolgen.

Wir schlagen vor, Powershell zu verwenden, um die Einstellungen aufzulisten, sie mit einer Referenzrichtlinie zu vergleichen und die neuen Anpassungen zu prüfen. Zum Beispiel:

PS> Connect-MicrosoftTeams -Credential $credential
PS> $session = New-CsOnlineSession -Credential $credential
PS> Import-Pssession $session -AllowClobber -DisableNameChecking
PS> Get-CsTeamsClientConfiguration
Identity                         : Global
Allowe-mailIntoChannel             : True
RestrictedSenderList             :
AllowDropBox                     : True
AllowBox                         : False
AllowGoogleDrive                 : True
AllowShareFile                   : False
AllowEgnyte                      : False
AllowOrganizationTab             : True
AllowSkypeBusinessInterop        : True
ContentPin                       : RequiredOutsideScheduleMeeting
AllowResourceAccountSendMessage  : False
ResourceAccountContentAccess     : NoAccess
AllowGuestUser                   : False
AllowScopedPeopleSearchandAccess : False
AllowRoleBasedChatPermissions    : False
...

Um die oben genannten Bereiche zu analysieren, müssen Sie die folgenden Funktionen durchgehen:

Schlüssel Beschreibung
CsTeamsClientConfiguration Mit der TeamsClientConfiguration können IT-Administratoren die Einstellungen steuern, auf die über Teams-Clients in ihrer Organisation zugegriffen werden kann. Diese Konfiguration umfasst Einstellungen, z. B. welcher Cloud-Speicher von Drittanbietern in Ihrer Organisation zulässig ist, ob Gastbenutzer auf den Teams-Client zugreifen können und wie Surface Hub-Geräte mit Skype for Business-Besprechungen interagieren können.
CsTeamsChannelsPolicy Mit der Richtlinie CsTeamsChannelsPolicy können Sie Funktionen verwalten, die sich auf die Teams- und Channels-Erfahrung innerhalb der Teams-Anwendung beziehen.
CsTeamsGuestCallingConfiguration Legt fest, welche Optionen Gastbenutzer für Anrufe innerhalb von Teams haben.
CsTeamsGuestMeetingConfiguration Legt fest, welche Meeting-Funktionen Gästen, die Microsoft Teams verwenden, zur Verfügung stehen.
CsTeamsGuestMessagingConfiguration TeamsGuestMessagingConfiguration bestimmt die Messaging-Einstellungen für die Gastbenutzer.
CsTeamsMeetingBroadcastPolicy Richtlinie auf Benutzerebene für den Tenant-Administrator, um das Verhalten der Meeting-Übertragung für den Broadcast-Event-Organisator zu konfigurieren.
CsTeamsMeetingPolicy Richtlinie auf Benutzerebene für den Tenant-Administrator, um das Verhalten der Meeting-Übertragung für den Broadcast-Event-Organisator zu konfigurieren.
CsTenantFederationConfiguration Bietet eine Möglichkeit für Administratoren, Federation-Informationen für ihre Skype for Business Online-Tenants zurückzugeben.
CsTenantPublicProvider Ermitteln Sie, welche Anbieter (falls vorhanden) für den Verbund aktiviert wurden.

Die offizielle Dokumentation finden Sie auf der Microsoft-Website unter Skype for Business. Suchen Sie nach Set-, um die Beschreibung aller Parameter zu erhalten.

Policy

Eine Policy ist eng mit dem vom Unternehmen implementierten Geschäftsmodell verknüpft. Aus diesem Grund sind die Werte der folgenden Parameter Vorschläge, die vor einer Implementierung validiert werden müssen.

Wir empfehlen als allgemeine Richtlinie, sich an den folgenden Werten zu orientieren, um die Funktionalität von Teams zu minimieren und die besprochenen Risiken zu mindern. Wenn Sie bestimmte Funktionen benötigen, prüfen Sie, ob es möglich ist, eine Ad-hoc-Richtlinie zu erstellen und diese einer Untergruppe zuzuweisen.

Funktion Schlüssel Wert
CsTeamsClientConfiguration Allowe-mailIntoChannel False
CsTeamsClientConfiguration AllowDropBox False
CsTeamsClientConfiguration AllowBox False
CsTeamsClientConfiguration AllowGoogleDrive False
CsTeamsClientConfiguration AllowShareFile False
CsTeamsClientConfiguration AllowEgnyte False
CsTeamsClientConfiguration AllowGuestUser False
CsTeamsClientConfiguration AllowResourceAccountSendMessage False
CsTeamsClientConfiguration AllowScopedPeopleSearchandAccess False
CsTenantFederationConfiguration AllowFederatedUsers False
CsTenantFederationConfiguration AllowPublicUsers False
CsTenantPublicProvider PublicProviderSet False
CsTenantPublicProvider AllowShareFile False
CsTeamsChannelsPolicy AllowOrgWideTeamCreation False
CsTeamsChannelsPolicy AllowPrivateTeamDiscovery False
CsTeamsChannelsPolicy AllowPrivateChannelCreation False
CsTeamsChannelsPolicy AllowSharedChannelCreation False
CsTeamsChannelsPolicy AllowChannelSharingToExternalUser False
CsTeamsChannelsPolicy AllowUserToParticipateInExternalSharedChannel False
CsTeamsGuestCallingConfiguration AllowPrivateCalling False
CsTeamsGuestMeetingConfiguration AllowIPVideo False
CsTeamsGuestMeetingConfiguration ScreenSharingMode False
CsTeamsGuestMeetingConfiguration LiveCaptionsEnabledType False
CsTeamsGuestMeetingConfiguration AllowTranscription False
CsTeamsGuestMessagingConfiguration AllowUserChat False
CsTeamsGuestMessagingConfiguration AllowGiphy False
CsTeamsGuestMessagingConfiguration AllowMemes False
CsTeamsGuestMessagingConfiguration AllowImmersiveReader False
CsTeamsGuestMessagingConfiguration AllowStickers False
CsTeamsMeetingBroadcastPolicy AllowBroadcastScheduling False
CsTeamsMeetingBroadcastPolicy AllowBroadcastTranscription False
CsTeamsMeetingBroadcastPolicy BroadcastAttendeeVisibilityMode InvitedUsersInCompany
CsTeamsMeetingBroadcastPolicy BroadcastRecordingMode True
CsTeamsMeetingPolicy LiveCaptionsEnabledType Disabled
CsTeamsMeetingPolicy DesignatedPresenterRoleMode OrganizerOnlyUserOverride
CsTeamsMeetingPolicy AllowEngagementReport Disabled
CsTeamsMeetingPolicy AllowAnonymousUsersToDialOut False
CsTeamsMeetingPolicy AllowAnonymousUsersToStartMeeting False
CsTeamsMeetingPolicy AllowPrivateMeetingScheduling False
CsTeamsMeetingPolicy AutoAdmittedUsers OrganizerOnly
CsTeamsMeetingPolicy AllowCloudRecording False
CsTeamsMeetingPolicy AllowRecordingStorageOutsideRegion False
CsTeamsMeetingPolicy AllowParticipantGiveRequestControl False
CsTeamsMeetingPolicy AllowExternalParticipantGiveRequestControl False
CsTeamsMeetingPolicy AllowPSTNUsersToBypassLobby False
CsTeamsMeetingPolicy AllowOrganizersToOverrideLobbySettings False
CsTeamsMeetingPolicy AllowUserToJoinExternalMeeting FederatedOnly
CsTeamsMeetingPolicy EnrollUserOverride Disabled
CsTeamsMeetingPolicy RoomAttributeUserOverride Off
CsTenantFederationConfiguration AllowFederatedUsers False
CsTenantFederationConfiguration AllowPublicUsers False
CsTenantFederationConfiguration TreatDiscoveredPartnersAsUnverified True
CsTenantFederationConfiguration SharedSipAddressSpace False
CsTenantPublicProvider PublicProviderSet False

Die Microsoft Tools

Diese Parameter sind nützlich, um einige mit Teams verbundene Risiken zu reduzieren, aber in jedem Fall sind die von O365 zur Verfügung gestellten Tools ein guter Ausgangspunkt (auch wenn sie nicht produktspezifisch sind): Wenn Sie neu bei O365 sind, prüfen Sie Admin Centers Security and Compliance oder den Microsoft Security Score. Untersuchen Sie, ob die vorgeschlagenen Anpassungen für Sie richtig sind und folgen Sie den Schritt-für-Schritt-Anweisungen, um sie zu implementieren.

Dies wird Sie zunächst auf ein höheres Niveau der Sicherheit und des Vertrauens in das Produkt bringen. Später können Sie fortgeschrittenere Tools verwenden, um den Zustand Ihrer Infrastruktur zu überwachen.

Zusammenfassung

Microsoft investiert viel in die Sicherheit ihrer Produkte, insbesondere der Cloud-Lösungen. Dennoch muss Microsoft, um die Mehrheit der Nutzer zufriedenzustellen, ein Gleichgewicht zwischen Benutzerfreundlichkeit und Sicherheit finden. Es ist sehr wahrscheinlich, dass die meisten der von Teams angebotenen Möglichkeiten in Ihrem Unternehmen nicht benötigt werden. In diesem Fall ist es sinnvoll, alle Einstellungen zu überprüfen und Unnötiges zu deaktivieren. Beginnen Sie mit der Implementierung der von den Microsoft-Tools vorgeschlagenen Anpassungen.

In einer zweiten Phase überwachen Sie mithilfe von Powershell die Einstellungen in Bezug auf einen Referenzstatus und identifizieren und bewerten neue Massnahmen, die in den neuesten Versionen eingeführt wurden, um das Produkt optimal für die Bedürfnisse Ihres Unternehmens zu konfigurieren.

Über den Autor

Rocco Gagliardi

Rocco Gagliardi ist seit den 1980er Jahren im Bereich der Informationstechnologie tätig. In den 1990er Jahren hat er sich ganz der Informationssicherheit verschrieben. Die Schwerpunkte seiner Arbeit liegen im Bereich Security Frameworks, Routing, Firewalling und Log Management.

Links

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

×
Verbessern des Datenverständnisses

Verbessern des Datenverständnisses

Rocco Gagliardi

Übergang zu OpenSearch

Übergang zu OpenSearch

Rocco Gagliardi

Graylog v5

Graylog v5

Rocco Gagliardi

auditd

auditd

Rocco Gagliardi

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv