Microsoft ruller ut Security Default

Nå starter Microsoft utrulling av den sikkerhetsstandarden Security Default til alle Microsoft-kunder som ikke har tatt i MFA, (MultiFaktorAutentifisering), med Conditional Access..

Security Default blokkerer allerede i dag et titalls millioner angrep hver dag hos kunder hvor den allerede er implementert. Dessverre kommer noen gjennom. Hver kompromittert konto gir angripere tilganger som kan forårsake stor skade. De fleste av disse angrepene kunne vært stoppet dersom en hadde gode sikkerhetsrutiner. Den viktigste blant disse er multifaktorautentisering (MFA) som ved pålogging og krever moderne autentiseringsprotokoller. Når vi ser på hackede kontoer, har mer enn 99,9 % ikke MFA, noe som gjør dem sårbare for passordfisking og gjenbruk av passord.

Mange virksomheter har verken ressurser eller sikkerhetseksperter til å løse disse problemene, om de har noe IT-team i det hele tatt. For å løse dette, introduserte Microsoft nye sikkerhetsstandarder i oktober 2019 for nye kunder. Hensikten var å sikre at nye Microsoft 365 kunder fikk grunnleggende sikkerhetsrutiner på plass ved etablering av kundeforholdet og at den ble vedlikeholdt uavhengig av lisens. Noen år senere har mer enn 30 millioner virksomheter fått beskyttelse av den nye sikkerhetsstandarden. Av det totale antallet virksomheter opplever disse 80 prosent færre datainnbrudd og forsøk på svindel.

Virksomheter som ble opprettet i Microsoft 365 før oktober 2019 har frem til nå ikke blitt inkludert i sikkerhetsstandarder. Nå starter utrullingen av den nye sikkerhetsstandarder til eksisterende kunder fra før oktober 2019, rettet mot de som ikke har endret noen sikkerhetsinnstillinger siden kundeforholdet ble etablert. Når den er fullført, vil denne utrullingen beskytte ytterligere 60 millioner kontoer mot de vanligste identitets-angrepene.

Hva kan en forvente? Sikkerhetsstandarder utfordrer brukere med MFA når det er nødvendig, basert på faktorer som plassering, enhet, rolle og oppgave. Basert på bruksmønstre hos den enkelte kunde, starter utrullingen i virksomheter hvor det ligger til rette for å ta i bruk den nye sikkerhetsstandarden. Spesifikt vil Microsoft starte med kunder som ikke bruker betinget tilgang, som ikke har brukt sikkerhetsstandarder før, og som ikke aktivt bruker eldre autentiseringsklienter. Globale administratorer for kvalifiserte kunder vil bli varslet via e-post. Deretter, fra slutten av juni, vil de motta følgende melding under pålogging:

Globale administratorer kan velge sikkerhetsstandarder med en gang eller la den slumre i 14 dager. De kan også eksplisitt velge bort sikkerhetsstandarder i denne tiden. Etter at sikkerhetsstandarder er aktivert, blir alle brukere i virksomheten bedt om å registrere seg for MFA. Igjen er det en frist på 14 dager for registrering. Brukere blir bedt om å registrere seg ved hjelp av Microsoft Authenticator-appen, og globale administratorer blir i tillegg bedt om et telefonnummer.

Om en kunde ønsker å akseptere risikoen og ønsker å la sikkerhetsstandarder være deaktivert, kan du be IT-leverandør om å deaktivere sikkerhetsstandarder gjennom Azure Active Directory-egenskapene eller gjennom Microsoft 365-administrasjonssenteret.

Kontakts oss i Attend IT AS om du har spørsmål!

Kilde: Raising the Baseline Security for all Organizations in the World – Microsoft Tech Community

Hvor sikre er dine passord?

For å hindre at uvedkommende kan logge på som deg og få tilgang til dine personlige data er det svært viktig å ha et sikkert passord. Når noen kan logge på som deg kan de også publisere informasjon på vegne av deg uten din tillatelse. For å unngå misbruk er det derfor essensielt å ha gode rutiner for håndtering av brukernavn og passord. Nasjonal sikkerhetsmyndighet (NSM) har følgende råd og anbefalinger:

  • Bruk to-faktor autentisering der det tilbys
  • Bruk unike passord (ett passord pr tjeneste)
  • Bruk passordhåndteringsprogrammer
  • Privat kan du også lage en passordliste, men beskytt dokumentet som et verdipapir
  • Alltid bytt standardpassord på produkter du kjøper
  • Bruk sterke passord som er vanskelig å gjette/knekke

Et sterkt passord er et passord som ikke lett lar seg gjette eller knekke av mennesker/datamaskin. For å få til dette er lengde og kompleksitet avgjørende. Følgende tabell gir en pekepinn på hvor lett et enkelt passord kan knekkes:

Kilde: Security.org / statista.com

Du kan sjekke om ditt passord allerede har blitt brukt på følgende nettside:

Have I Been Pwned: Pwned Passwords

Du kan også sjekke om en av dine e-postadresser har kommet på avveie:

Have I Been Pwned: Check if your email has been compromised in a data breach

NSM anbefaler bruk av passordhåndteringsprogrammer for sikker lagring av brukernavn og passord. Attend IT er forhandler av LastPass som anbefales av mange som har vurdert verktøyet: Tom’s Guide Verdict: «LastPass is still the best password manager in terms of features and user experience»

https://www.tomsguide.com/reviews/lastpass

For at ditt passordhvelv skal være helt sikkert anbefaler vi å bruke det sammen med en to-faktor-løsning, enten den som følger med LastPass, Microsoft Authenticator, Google Authenticator, iPhone innebygde to-faktor eller Duo Two Factor Authentication app som Attend IT også er forhandler av: Two-Factor Authentication & Endpoint Security | Duo Security

Kontakts oss gjerne for råd og informasjon om sikker bruk av passord!

Hjemmekontor-fast? Følg disse rådene!

I disse tider oppfordres arbeidsplasser til å sørge for at de som har mulighet jobber fra hjemmekontor. Dette er et viktig tiltak i å begrense kontakt mellom mennesker for å unngå at smittespredning går ut av kontroll.

Vi har samlet noen gode tips og råd som kan hjelpe deg med å komme i gang på hjemmekontoret og gjøre opplevelsen best mulig for deg, kundene dine og arbeidsgiver. Det er noen viktige elementer som bør være på plass for å avvikle en effektiv hverdag på hjemmekontoret.

« Husk at en kollega er bare en videosamtale unna »

Klikk for å lese hele innholdet… «Hjemmekontor-fast? Følg disse rådene!»