Verbessern des Datenverständnisses
Rocco Gagliardi
So sichern Sie O365 Teams ab
Das vergangene Jahr hat aufgrund von COVID-19 viele Unternehmen gezwungen, anders zu arbeiten, die Distanz zwischen den Menschen zu vergrössern und sie zu zwingen, nach Kollaborationslösungen zu suchen. Office 365 (O365) ist sicherlich die einfachste Kollaborationsplattform, auf die man umsteigen kann, wenn man bereits ein Office-Paket hat: Sie bietet ein Tool für jeden Bedarf und ermöglicht es, ein geografisch verteiltes Büro zu schaffen.
Die Sicherheit von O365 ist ziemlich gut. Es gab lange Zeit keine bekannten schwerwiegenden öffentlichen Sicherheitslücken. Angesichts der grossen Zielgruppe muss Microsoft jedoch eine Balance zwischen Sicherheit und Benutzerfreundlichkeit finden.
Microsoft Teams ist ein Knotenpunkt für die Teamarbeit, der alles, was Ihr Team braucht, mit der Leistungsfähigkeit der Microsoft 365-Anwendungen zusammenbringt. Teams kann, wie jeder Hub, auf mehrere Komponenten zugreifen, sowohl intern in O365 als auch extern (z.B. Dropbox). Angesichts seines grundlegenden Zwecks als Vermittler der Kommunikation zwischen Menschen wurde viel getan, um die Kommunikation zwischen Unternehmensmitgliedern und externen Personen zu vereinfachen. Und da das System nicht komplex genug ist, gibt es eine Konvergenz zwischen Skype for Business und Teams.
Obwohl sie dem Namen nach bekannt sind, sind die Technologien, mit denen O365 funktioniert, sehr komplex und werden von Administratoren kleiner Unternehmen, die sich mehr um den Betrieb als um die Sicherheit kümmern, oft unterschätzt.
Dessen sind sich auch die Angreifer bewusst, die – im Gegensatz zu vielen Administratoren – die Funktionsweise von O365 sehr gut studiert haben: Verschiedene Indikatoren zeigen uns, dass O365 ein beliebtes Ziel ist und wie hoch die Erfolgsquote eines Angriffs ist (z.B. Barracuda erklärt, dass 30% der Angriffe mit einer Kontoübernahme enden).
Die Analyse der Angriffe zeigt auch, dass sie nicht dank technologischer Schwächen, sondern dank naiver Benutzer oder Administratoren erfolgreich sind.
Die Verwendung von Online-Kollaborationsplattformen zu vermeiden, könnte eine instinktive Lösung sein. Bedenken Sie jedoch, dass die “lokale” Sicherheit schlechter funktioniert hat und auch weiterhin schlechter funktioniert. In jedem Fall müssen Administratoren diese komplexen Technologien mit mehr Überzeugung angehen,d die Hunderte von verfügbaren Optionen studieren und nur das aktivieren, was für ihr Unternehmen unbedingt notwendig ist.
Hier sind einige Punkte, auf die Sie achten sollten, um Ihre Microsoft Teams-Sicherheitsumgebung zu härten.
Wie bereits erwähnt, basieren O365 und Teams auf komplexen und miteinander verknüpften Technologien. Wir empfehlen, die Implikationen zu studieren und die eingebrachten Fragen in den folgenden Bereichen zu überprüfen.
Mit der Funktion Gastzugang können Teameigentümer Personen von ausserhalb der Organisation zur Teilnahme an Teamaktivitäten einladen. Gäste haben vollen Zugriff auf Team-Kanäle, Chats, gemeinsame Dateien und Meetings. Dies kann ein Sicherheitsproblem darstellen, da es schwierig ist zu kontrollieren, welche Informationen dabei mit der Aussenwelt ausgetauscht werden.
Microsoft hat Teams absichtlich mit einem offenen Berechtigungsmodell konzipiert, um die selbstorganisierte Zusammenarbeit zu vereinfachen:
Ein Teams-Benutzer kann absichtlich oder versehentlich Informationen mit nicht autorisierten Empfängern austauschen.
Die Funktionen von Teamkanälen können durch das Hinzufügen von Apps erweitert werden, die die Form von benutzerdefinierten Registerkarten, Bots oder Konnektoren haben können. Mit einer App können Benutzer in einem Kanal Inhalte und Aktualisierungen direkt von ihren bevorzugten Drittanbieterdiensten, wie z.B. GitHub, abrufen. Allerdings verlangen diese Apps oft von den Benutzern, dass sie ihnen den Zugriff auf ihre Daten erlauben, was einer unzulässigen Weitergabe von Unternehmensdaten an externe Dritte darstellt.
Teams verfügt über ein sehr komplexes WebUI, über das jedoch nicht alle Parameter sichtbar sind. Ausserdem ist es kompliziert, alle Änderungen und die neuen Einstellungen über das WebUI zu prüfen und zu verfolgen.
Wir schlagen vor, Powershell zu verwenden, um die Einstellungen aufzulisten, sie mit einer Referenzrichtlinie zu vergleichen und die neuen Anpassungen zu prüfen. Zum Beispiel:
PS> Connect-MicrosoftTeams -Credential $credential PS> $session = New-CsOnlineSession -Credential $credential PS> Import-Pssession $session -AllowClobber -DisableNameChecking PS> Get-CsTeamsClientConfiguration Identity : Global Allowe-mailIntoChannel : True RestrictedSenderList : AllowDropBox : True AllowBox : False AllowGoogleDrive : True AllowShareFile : False AllowEgnyte : False AllowOrganizationTab : True AllowSkypeBusinessInterop : True ContentPin : RequiredOutsideScheduleMeeting AllowResourceAccountSendMessage : False ResourceAccountContentAccess : NoAccess AllowGuestUser : False AllowScopedPeopleSearchandAccess : False AllowRoleBasedChatPermissions : False ...
Um die oben genannten Bereiche zu analysieren, müssen Sie die folgenden Funktionen durchgehen:
Schlüssel | Beschreibung |
---|---|
CsTeamsClientConfiguration | Mit der TeamsClientConfiguration können IT-Administratoren die Einstellungen steuern, auf die über Teams-Clients in ihrer Organisation zugegriffen werden kann. Diese Konfiguration umfasst Einstellungen, z. B. welcher Cloud-Speicher von Drittanbietern in Ihrer Organisation zulässig ist, ob Gastbenutzer auf den Teams-Client zugreifen können und wie Surface Hub-Geräte mit Skype for Business-Besprechungen interagieren können. |
CsTeamsChannelsPolicy | Mit der Richtlinie CsTeamsChannelsPolicy können Sie Funktionen verwalten, die sich auf die Teams- und Channels-Erfahrung innerhalb der Teams-Anwendung beziehen. |
CsTeamsGuestCallingConfiguration | Legt fest, welche Optionen Gastbenutzer für Anrufe innerhalb von Teams haben. |
CsTeamsGuestMeetingConfiguration | Legt fest, welche Meeting-Funktionen Gästen, die Microsoft Teams verwenden, zur Verfügung stehen. |
CsTeamsGuestMessagingConfiguration | TeamsGuestMessagingConfiguration bestimmt die Messaging-Einstellungen für die Gastbenutzer. |
CsTeamsMeetingBroadcastPolicy | Richtlinie auf Benutzerebene für den Tenant-Administrator, um das Verhalten der Meeting-Übertragung für den Broadcast-Event-Organisator zu konfigurieren. |
CsTeamsMeetingPolicy | Richtlinie auf Benutzerebene für den Tenant-Administrator, um das Verhalten der Meeting-Übertragung für den Broadcast-Event-Organisator zu konfigurieren. |
CsTenantFederationConfiguration | Bietet eine Möglichkeit für Administratoren, Federation-Informationen für ihre Skype for Business Online-Tenants zurückzugeben. |
CsTenantPublicProvider | Ermitteln Sie, welche Anbieter (falls vorhanden) für den Verbund aktiviert wurden. |
Die offizielle Dokumentation finden Sie auf der Microsoft-Website unter Skype for Business. Suchen Sie nach Set-, um die Beschreibung aller Parameter zu erhalten.
Eine Policy ist eng mit dem vom Unternehmen implementierten Geschäftsmodell verknüpft. Aus diesem Grund sind die Werte der folgenden Parameter Vorschläge, die vor einer Implementierung validiert werden müssen.
Wir empfehlen als allgemeine Richtlinie, sich an den folgenden Werten zu orientieren, um die Funktionalität von Teams zu minimieren und die besprochenen Risiken zu mindern. Wenn Sie bestimmte Funktionen benötigen, prüfen Sie, ob es möglich ist, eine Ad-hoc-Richtlinie zu erstellen und diese einer Untergruppe zuzuweisen.
Funktion | Schlüssel | Wert |
---|---|---|
CsTeamsClientConfiguration | Allowe-mailIntoChannel | False |
CsTeamsClientConfiguration | AllowDropBox | False |
CsTeamsClientConfiguration | AllowBox | False |
CsTeamsClientConfiguration | AllowGoogleDrive | False |
CsTeamsClientConfiguration | AllowShareFile | False |
CsTeamsClientConfiguration | AllowEgnyte | False |
CsTeamsClientConfiguration | AllowGuestUser | False |
CsTeamsClientConfiguration | AllowResourceAccountSendMessage | False |
CsTeamsClientConfiguration | AllowScopedPeopleSearchandAccess | False |
CsTenantFederationConfiguration | AllowFederatedUsers | False |
CsTenantFederationConfiguration | AllowPublicUsers | False |
CsTenantPublicProvider | PublicProviderSet | False |
CsTenantPublicProvider | AllowShareFile | False |
CsTeamsChannelsPolicy | AllowOrgWideTeamCreation | False |
CsTeamsChannelsPolicy | AllowPrivateTeamDiscovery | False |
CsTeamsChannelsPolicy | AllowPrivateChannelCreation | False |
CsTeamsChannelsPolicy | AllowSharedChannelCreation | False |
CsTeamsChannelsPolicy | AllowChannelSharingToExternalUser | False |
CsTeamsChannelsPolicy | AllowUserToParticipateInExternalSharedChannel | False |
CsTeamsGuestCallingConfiguration | AllowPrivateCalling | False |
CsTeamsGuestMeetingConfiguration | AllowIPVideo | False |
CsTeamsGuestMeetingConfiguration | ScreenSharingMode | False |
CsTeamsGuestMeetingConfiguration | LiveCaptionsEnabledType | False |
CsTeamsGuestMeetingConfiguration | AllowTranscription | False |
CsTeamsGuestMessagingConfiguration | AllowUserChat | False |
CsTeamsGuestMessagingConfiguration | AllowGiphy | False |
CsTeamsGuestMessagingConfiguration | AllowMemes | False |
CsTeamsGuestMessagingConfiguration | AllowImmersiveReader | False |
CsTeamsGuestMessagingConfiguration | AllowStickers | False |
CsTeamsMeetingBroadcastPolicy | AllowBroadcastScheduling | False |
CsTeamsMeetingBroadcastPolicy | AllowBroadcastTranscription | False |
CsTeamsMeetingBroadcastPolicy | BroadcastAttendeeVisibilityMode | InvitedUsersInCompany |
CsTeamsMeetingBroadcastPolicy | BroadcastRecordingMode | True |
CsTeamsMeetingPolicy | LiveCaptionsEnabledType | Disabled |
CsTeamsMeetingPolicy | DesignatedPresenterRoleMode | OrganizerOnlyUserOverride |
CsTeamsMeetingPolicy | AllowEngagementReport | Disabled |
CsTeamsMeetingPolicy | AllowAnonymousUsersToDialOut | False |
CsTeamsMeetingPolicy | AllowAnonymousUsersToStartMeeting | False |
CsTeamsMeetingPolicy | AllowPrivateMeetingScheduling | False |
CsTeamsMeetingPolicy | AutoAdmittedUsers | OrganizerOnly |
CsTeamsMeetingPolicy | AllowCloudRecording | False |
CsTeamsMeetingPolicy | AllowRecordingStorageOutsideRegion | False |
CsTeamsMeetingPolicy | AllowParticipantGiveRequestControl | False |
CsTeamsMeetingPolicy | AllowExternalParticipantGiveRequestControl | False |
CsTeamsMeetingPolicy | AllowPSTNUsersToBypassLobby | False |
CsTeamsMeetingPolicy | AllowOrganizersToOverrideLobbySettings | False |
CsTeamsMeetingPolicy | AllowUserToJoinExternalMeeting | FederatedOnly |
CsTeamsMeetingPolicy | EnrollUserOverride | Disabled |
CsTeamsMeetingPolicy | RoomAttributeUserOverride | Off |
CsTenantFederationConfiguration | AllowFederatedUsers | False |
CsTenantFederationConfiguration | AllowPublicUsers | False |
CsTenantFederationConfiguration | TreatDiscoveredPartnersAsUnverified | True |
CsTenantFederationConfiguration | SharedSipAddressSpace | False |
CsTenantPublicProvider | PublicProviderSet | False |
Diese Parameter sind nützlich, um einige mit Teams verbundene Risiken zu reduzieren, aber in jedem Fall sind die von O365 zur Verfügung gestellten Tools ein guter Ausgangspunkt (auch wenn sie nicht produktspezifisch sind): Wenn Sie neu bei O365 sind, prüfen Sie Admin Centers Security and Compliance oder den Microsoft Security Score. Untersuchen Sie, ob die vorgeschlagenen Anpassungen für Sie richtig sind und folgen Sie den Schritt-für-Schritt-Anweisungen, um sie zu implementieren.
Dies wird Sie zunächst auf ein höheres Niveau der Sicherheit und des Vertrauens in das Produkt bringen. Später können Sie fortgeschrittenere Tools verwenden, um den Zustand Ihrer Infrastruktur zu überwachen.
Microsoft investiert viel in die Sicherheit ihrer Produkte, insbesondere der Cloud-Lösungen. Dennoch muss Microsoft, um die Mehrheit der Nutzer zufriedenzustellen, ein Gleichgewicht zwischen Benutzerfreundlichkeit und Sicherheit finden. Es ist sehr wahrscheinlich, dass die meisten der von Teams angebotenen Möglichkeiten in Ihrem Unternehmen nicht benötigt werden. In diesem Fall ist es sinnvoll, alle Einstellungen zu überprüfen und Unnötiges zu deaktivieren. Beginnen Sie mit der Implementierung der von den Microsoft-Tools vorgeschlagenen Anpassungen.
In einer zweiten Phase überwachen Sie mithilfe von Powershell die Einstellungen in Bezug auf einen Referenzstatus und identifizieren und bewerten neue Massnahmen, die in den neuesten Versionen eingeführt wurden, um das Produkt optimal für die Bedürfnisse Ihres Unternehmens zu konfigurieren.
Unsere Spezialisten kontaktieren Sie gern!
Rocco Gagliardi
Rocco Gagliardi
Rocco Gagliardi
Rocco Gagliardi
Unsere Spezialisten kontaktieren Sie gern!