Как настроить безопасность Microsoft 365: MFA, антивирус, антифишинг и Smart Lockout

Microsoft 365 значительно продвинулся в вопросах безопасности. То, что раньше было базовым набором функций, теперь включает автоматическое сканирование вложений, защиту от фишинга и механизмы против программ-вымогателей. Пользователи с планом Microsoft 365 Business получают дополнительные возможности, однако многие из них нужно активировать вручную.

Ниже представлены понятные инструкции и практические дополнения, которые помогут администратору правильно включить и отладить основные меры защиты.

Что такое многофакторная аутентификация в одну строку

Многофакторная аутентификация (MFA) — это требование подтвердить вход вторым фактором (SMS, звонок или приложение‑генератор кода) помимо пароля.

Настройка многофакторной аутентификации

MFA — один из самых простых и эффективных способов защитить учётные записи Microsoft 365. Даже при скомпрометированном пароле злоумышленнику будет необходим второй фактор, чтобы войти.

Как включить MFA через центр администрирования Microsoft 365

1. Откройте Центр администрирования Microsoft 365 и выполните вход.
2. В левой панели навигации нажмите Показать всё и перейдите в Администраторские центры > Azure Active Directory.
3. В центре администрирования Azure Active Directory снова выберите Azure Active Directory.
4. В навигационной панели прокрутите вниз и откройте Свойства.
5. В нижней части страницы нажмите Управление параметрами безопасности.
6. Переведите переключатель в положение Да и нажмите Сохранить.

После включения Security Defaults MFA автоматически активируется для всех пользователей.

Важно: Security Defaults — быстрый способ включить базовую MFA, но для гибкого управления используйте Политику условного доступа (Conditional Access) в Azure AD.

Настройка метода подтверждения для пользователей

1. После включения MFA пользователь входит в учётную запись как обычно.
2. При входе появится запрос для предоставления дополнительной информации — нажмите Далее.
3. Выберите метод подтверждения: Смс/звонок или приложение‑аутентификатор, следуйте инструкциям и нажмите Сохранить.

Советы по выбору метода:

• Предпочитайте приложение‑аутентификатор или аппаратные ключи FIDO2 вместо SMS для большей безопасности.
• Для удалённых сотрудников и сервисных учётных записей используйте политики условного доступа и исключения по необходимости.

Критерии приёмки:

• Все административные учётные записи защищены MFA.
• 95% интерактивных пользовательских входов проходят с включённым вторым фактором (или под политикой воздействия).

Тесты приёма:

• Попытка входа с правильным паролем без второго фактора должна быть отклонена.
• Попытка входа с заблокированного устройства и без соответствующей политики должна требовать дополнительной проверки.

Как включить анти‑малварь в Microsoft 365

Анти‑малварь автоматически блокирует опасные вложения в Outlook и другие сервисы, предотвращая запуск .js, .exe, .bat и прочих исполняемых файлов.

Включение анти‑малваря через центр администрирования

1. В левой панели нажмите Показать ещё.
2. Перейдите в Администраторские центры > Безопасность и соответствие.
3. Разверните Управление угрозами и выберите Политики.
4. На панели Политик щёлкните Anti‑malware.
5. Дважды щёлкните Default, чтобы открыть стандартную политику.
6. В разделе Настройки включите Общий фильтр типов вложений (переключатель Вкл).
7. Нажмите Сохранить.

Дополнительно:

• Включите уведомления о блокировке вложений для отправителя и получателя.
• Регулярно просматривайте журналы обнаружений и исключения.

Рекомендации по типам файлов:

• Блокировать исполняемые расширения (.exe, .com, .bat, .cmd, .js, .vbs).
• Для архивов (.zip, .rar) включать распаковку и сканирование вложений внутри архива.

Плейбук при обнаружении вредоносного вложения:

1. Зафиксировать событие в журнале безопасности.
2. Проанализировать отправителя и шаблон рассылки.
3. При необходимости выполнить удалённое удаление сообщения из почтовых ящиков через eDiscovery/Remediation.
4. Уведомить получателя и ИТ‑команду.
5. При признаках компрометации учётной записи — инициировать процедуру инцидента (см. раздел Процедура реагирования).

Когда анти‑малварь может не сработать:

• Новые семейства вредоносного ПО, ещё не включённые в сигнатуры, но поведенческий анализ снижает риск.
• Вложение в нестандартных контейнерах или зашифрованных архивах — настройте политику на разархивирование и сканирование.

Антифишинг: настройка и тонкая оптимизация

Фишинг остаётся одной из главных угроз: поддельные письма имитируют знакомые сервисы или коллег и собирают пароли, номера карт или персональные данные.

Как настроить антифишинг в Microsoft 365

1. Перейдите в Центр администрирования Microsoft 365.
2. В левой навигации под Администраторские центры откройте Безопасность.
3. Разверните Управление угрозами и выберите Политики.
4. На панели Политик выберите ATP anti‑phishing.
5. В окне Anti‑phishing откройте полицию Default.
6. В разделе Имитация нажмите Редактировать.
7. Выберите Добавить пользователей для защиты или Добавить домены для защиты.
8. Рекомендуется выбрать Добавить домены для защиты и включить Автоматически включать домены, которыми я владею.
9. В разделе Действие настройте, что делать при обнаружении писем с имитацией пользователя или домена.
10. Включите Mailbox intelligence (Интеллект почтового ящика) и убедитесь, что переключатель Вкл.
11. Нажмите Просмотреть настройки и затем Сохранить.

Советы по снижению ложных срабатываний:

• Добавьте доверенные отправители и сервисы в Allow list только после проверки.
• Настройте карантин с уведомлениями и ручной проверкой для критичных каналов.

Когда антифишинг может не сработать:

• Сообщения с компрометированных внутренних аккаунтов могут выглядеть легитимно; используйте поведенческую аналитику и User Risk в Azure AD.
• Англо‑язычные шаблоны, адаптированные под локальные реалии, требуют регулярного обучения фильтров и обновления правил.

Мини‑методология для оценки эффективности антифишинга:

1. Запустите симуляцию фишинга (без вредоносной нагрузки) для 5–10% пользователей.
2. Измерьте процент кликов и вводов данных.
3. Настройте правила и запустите повторно через 30 дней.

Решение для операций — дерево принятия решений

flowchart TD
  A[Входящее письмо] --> B{Совпадает с доменом организации?}
  B -- Да --> C{Отправитель в списке доверенных?}
  B -- Нет --> D{Похоже на подделку домена?}
  C -- Да --> E[Пропустить с мониторингом]
  C -- Нет --> F[Проверить SPF/DKIM/DMARC]
  F -- Неверно --> G[Карантин]
  F -- Правильно --> H[Провести дополнительную проверку контента]
  D -- Да --> G
  D -- Нет --> H
  H --> I{Найдено подозрительных ссылок?}
  I -- Да --> G
  I -- Нет --> E

Настройка Smart Lockout

Smart Lockout предотвращает вход пользователя после многократных неудачных попыток. Порог и длительность блокировки можно настроить в Azure AD.

Как включить Smart Lockout через Azure Active Directory

1. Зайдите в портал Azure под учётной записью администратора.
2. В левой навигации откройте Azure Active Directory.
3. Перейдите в Безопасность и далее в Способы аутентификации > Защита паролем.
4. Установите Порог блокировки, определяющий число неудачных попыток для срабатывания блокировки.
5. Установите Длительность блокировки в секундах.
6. Нажмите Сохранить.

Важно: Smart Lockout требует лицензии Azure AD P1 или выше для управления на уровне политики.

Тонкая настройка:

• Порог блокировки должен балансировать между защитой от брутфорса и предотвращением блокировки легитимных пользователей.
• Используйте механизм разблокировки через МФА или администраторскую разблокировку.

Критерии приёмки:

• Количество автоматических разблокировок соответствует ожиданиям поддержки.
• Значительное уменьшение неудачных последовательных попыток входа из одинаковых IP.

Дополнительные функции и рекомендации по гигиене

Хорошая конфигурация — это не только включение функций, но и регулярный мониторинг и обучение пользователей.

Рекомендации по безопасности конечных устройств:

• Включите брандмауэр Windows и обновления ОС.
• Включите антивирусное решение на уровне конечных точек (Microsoft Defender for Endpoint или альтернативы).
• Шифруйте устройства (BitLocker для Windows).

Политики доступа и аудита:

• Внедрите политики условного доступа: требования к геолокации, проверка состояния устройства, риск пользователя.
• Включите аудит входов и храните логи не менее 90 дней для расследований.

Обучение пользователей:

• Регулярные короткие тренинги по фишингу и безопасной работе с вложениями.
• Рассылайте фишинг‑симуляции и разбор ошибок.

Чек‑листы по ролям

Администратор:

• Включил MFA для всех администраторов и привилегированных учётных записей.
• Включил anti‑malware и настроил карантин и уведомления.
• Настроил антифишинг и добавил защищаемые домены.
• Наладил аудит и хранение логов.

ИТ‑менеджер:

• Проверил соответствие лицензий Azure AD P1/P2.
• Настроил условный доступ и Smart Lockout.
• Провёл тестирование и симуляции фишинга.

Конечный пользователь:

• Включил MFA через приложение‑аутентификатор.
• Не открывает вложения от неизвестных отправителей.
• Сообщает о подозрительных письмах ИТ‑отделу.

Процедура реагирования на инцидент безопасности (краткая)

1. Зафиксировать инцидент: время, отправитель, тема, заголовки сообщений.
2. Изолировать пострадавший аккаунт: временно сбросить пароли и включить принудительную MFA‑переавторизацию.
3. Удалить вредоносные письма из почтовых ящиков через средство удаления сообщений.
4. Просмотреть журналы входа и определить источник компрометации.
5. Провести постинцидентный разбор и обновить политики.

Тесты и критерии приёмки

Тесты:

• Попытка входа с правильным паролем, без второго фактора — доступ запрещён.
• Отправка тестового вредоносного вложения — вложение помещается в карантин.
• Тестовая фишинг‑рассылка — система помечает и/или помещает в карантин не менее 80% подозрительных писем (оценка качественная и зависит от сценария).

Критерии приёмки:

• Учетные записи администраторов защищены MFA.
• Простые исполняемые вложения блокируются автоматически.
• Антифишинг активно защищает домены организации и включена Mailbox intelligence.

Мини‑словарь терминов

• MFA: Многофакторная аутентификация.
• Anti‑malware: Анти‑малварное сканирование вложений и содержимого.
• ATP: Advanced Threat Protection, модуль защиты от продвинутых угроз.
• Smart Lockout: Механизм автоматической блокировки при множественных неудачных входах.

Риски и смягчения

Риск: Ложные срабатывания блокируют важную почту. Митигирование: Внедрить процесс обзора карантина и список доверенных отправителей с контролем.

Риск: Компрометация внутренних учётных записей. Митигирование: Включить поведенческую аналитику, многослойную проверку и регулярный сброс паролей для сервисных аккаунтов.

Часто задаваемые вопросы

Нужно ли включать MFA для всех сотрудников?

Да. MFA значительно снижает риск компрометации учётных записей; наибольшую пользу оно даёт для административных и критичных пользовательских аккаунтов.

Можно ли применять антифишинг и анти‑малварь без дополнительных лицензий?

Базовые функции доступны в большинстве планов Microsoft 365. Для расширенных возможностей (условный доступ, детальная аналитика, Smart Lockout с гибкой политикой) требуются лицензии Azure AD P1/P2 и дополнительные продукты безопасности.

Что делать, если пользователь заблокирован Smart Lockout?

Администратор может временно разблокировать учётную запись в Azure AD или назначить временный сброс пароля и принудительную MFA‑переавторизацию.

Заключение

Microsoft 365 предоставляет набор мощных средств для защиты почты и доступа. Включив MFA, анти‑малварь, антифишинг и Smart Lockout, вы закладываете базовый многослойный щит. Не менее важны регулярный мониторинг, тестирование и обучение пользователей — это делает защиту устойчивой к реальным атакам.

Важные примечания:

• Начинайте с включения Security Defaults для быстрой защиты, затем переходите к гибким политикам через Conditional Access.
• Предпочитайте аутентификаторы и аппаратные ключи SMS для критичных аккаунтов.

Краткое резюме в одной строке: Включите MFA, активируйте анти‑малварь и антифишинг, настройте Smart Lockout и регулярно тестируйте свои настройки безопасности.