Microsoft 365 hardening checklist — mit állítson be minden cég

Miért nem elég az alap M365?

A Microsoft 365 alapcsomagja kényelmes és gyors. De az alapértelmezett biztonsági beállítások konzervatív kompromisszumok: úgy állították be, hogy a leggyengébb IT-tudású cégeknél is működjenek, ne legyenek hibák. Ennek az ára: bizonyos támadási vektorok nyitva állnak.

A támadók ezt tudják. Az email-alapú fiók-feltörés ma a #1 vállalati incidens-típus — a NIST jelentés szerint a támadások 80%-a azon kezdődik.

Kritikus szint — 24 órán belül

1. MFA bekapcsolása minden user fiókra

Microsoft Entra ID admin → Security → Conditional Access. Készíts policy-t: All users → require MFA. Megjegyzés: a Security Defaults nem elegendő, mert nem ad granularitást.

2. Legacy authentication blokkolása

Az IMAP, POP3, SMTP-AUTH-os protokollok nem támogatják az MFA-t — ezeken keresztül megy be a támadók 100%-a. Microsoft 365 admin → Org Settings → Modern Authentication → "Legacy auth" off.

3. Anti-phishing szabályok élesítése

Microsoft Defender for Office 365 → Anti-phishing → Standard preset bekapcsolása minden user-re. Tartalmazza a domain-megszemélyesítés-elleni védelmet, a felhasználó-megszemélyesítés védelmet, és a spoof intelligence-et.

4. SafeLinks és SafeAttachments

Defender for Office 365 → Safe Links + Safe Attachments policy mindkettő. Az emailek linkjeit átszkenneli, és a csatolt fájlokat sandbox-ban futtatja megnyitás előtt.

Magas szint — 1 héten belül

5. Conditional Access — geo + device alapú

A vállalati user-eknek csak Magyarországról (vagy a saját üzleti országukból) szabad bejelentkezniük. Kivételek: Conditional Access policy "block sign-in from outside Hungary, except trusted IPs".

6. Privileged Identity Management (PIM)

Az admin szerepkörök ne legyenek állandóan aktívak — csak "jogosult", és aktiválni kell minden alkalommal MFA-val. Csökkenti a fiók-feltörés esetén az okozott kárt.

7. Sharing szabályozása

SharePoint Admin → Sharing → "Existing guests only" vagy "Only people in your org". Megakadályozza, hogy a userek véletlenül "Everyone" linkkel osszanak meg bizalmas fájlokat.

8. External User Quarantine

Külső megosztások időszakos felülvizsgálata — Access Reviews. A Guest-fiókok 30 napos validálása.

Közép szint — 1 hónapon belül

9. Defender for Cloud Apps (CASB)

Anomáliás fiók-viselkedés detektálása (impossible travel, mass download, stb.). Microsoft 365 E5-ben default, alapban beállítva.

10. DLP (Data Loss Prevention)

Compliance → DLP → policy: szabálytalanul kiküldött személyi adatok (TAJ, adóazonosító, bankkártyaszám) blokkolása. Beépített magyar DLP-sablonok elérhetők.

11. Retention policies

Compliance → Retention. Email és fájl retention 7 év (vagy iparág-specifikus). Megakadályozza, hogy a userek véletlenül töröljenek bizalmas adatokat.

12. Audit log bekapcsolva

Compliance → Audit. Default 90 napra van, de E5-ben 1 évre is megy. Egy incidens nyomozásnál ez a fő bizonyíték.

Folytatás — 3 hónapon belül

13. SPF + DKIM + DMARC az összes domain-re

Domain-azonosítás. A DMARC-ot policy=quarantine-re kell állítani egy 4-6 hetes monitoring után. Megakadályozza, hogy más csaló neveddel küldjön emailt.

14. Tabletop incident response gyakorlat

Negyedévente egy 2 órás szimulált incidens — ki kit hív fel, mit csinál a 30 perces "vörös zóna" alatt. Egy NIS2-megfelelő szervezetnek kötelező.

Mit jelent ez az árban?

Az M365 Business Premium licensz user-enként havi kb. 8 000 Ft-ba kerül, és az 1-12. pontok mind benne vannak. Ennél kevesebb csomag (M365 Business Basic / Standard) nem tartalmazza a Defender-t — ezekkel a beállítások nem feltétlenül elérhetők.

Egy 50 fős cégnél ez kb. 400 000 Ft / hó (5 millió Ft / év) — egy nagyobb adatszivárgási bírság vagy ransomware-incidens költsége többszöröse.