In einem der letzten Artikel für das Jahr 2015 möchte ich nochmals auf eine interessante Sicherheitslizenz und dessen Funktion hinweisen.
Immerhin wurde in den letzten Wochen wieder viel darüber geschrieben, das die eigentlich fast ausgestorbenen Office Makroviren eine neue Hochkonjunktur feiern. In den aktuellen Office Versionen muss man zwar nach einer Standardinstallation explizit das Ausführen eines Makros aktivieren, doch viele unbedarfte Benutzer machen dies auch einfach. Dies zeigte sogar eine Behörde in Rheinland-Pfalz, das die Benutzerschulung auch im Bereich Sicherheit noch ausbaufähig ist.

Nichts destotrotz kann man sich mit Unterstützung von Exchange Online respektive der Erweiterung Advanced Threat Protection vor so einem Angriff besser schützen bzw. seinen eMail Empfänger, als Absender könnte man immerhin in die Haftung genommen werden.

Microsoft kündigte schon am 01.06.2015 die Verfügbarkeit an (Exchange Online Advanced Threat Protection is now available), welche in diesem Artikel noch einmal genauer beschrieben wird. Auch ich hatte hierzu einen ersten Artikel verfasst (Exchange Online Advanced Threat Protection – Verfügbar ab 01.06.2015).

Vorab, einen Test kann mit diesem Link kostenfrei für 5 Benutzer in seinem Office 365 eingerichtet werden ATP-Trial.

Hier aber nun eine kurze Beschreibung, wie man die ATP Lizenz einrichten kann.

Wenn man den Lizenz Key per Opne License Bestellung oder Online erhalten hat, aktiviert sich im Admin Bereich von Exchange Online eine neue Funktion.

image

Funktionen: Sichere Anlagen:

Aus – Die Anlage wird nicht auf Schadsoftware überprüft.Die Anlage wird nicht auf Schadsoftware überprüft.

Überwachen – Die Zustellung der Nachricht fortsetzen, nachdem Schadsoftware erkannt wurde. Überprüfungsergebnisse erfassen.Die Zustellung der Nachricht fortsetzen, nachdem Schadsoftware erkannt wurde. Überprüfungsergebnisse erfassen.

Blockieren – Die aktuellen und zukünftigen E-Mails und Anlagen mit erkannter Schadsoftware blockieren.Die aktuellen und zukünftigen E-Mails und Anlagen mit erkannter Schadsoftware blockieren.

Ersetzen – Die Anlagen mit erkannter Schadsoftware blockieren, die Zustellung der Nachricht fortsetzen.

image

 

Nun ist die Konfigurationsregel frei einstellbar… und dies muss in jeder Umgebung individuell implementiert werden.
Ob man nun generell diese Mails blockiert, ohne den Absender zu informieren, kann eine mögliche Einstellung sein.

Die definierte Regel kann sowohl auf einzelne Personen angewendet werden als auch auf beliebige eMail Domänen.

image

 

Sicher, auch dies ist kein 100%iger Schutz vor Schadsoftware als Empfänger… Doch in Verbindung mit Exchange Online Protection im normalen Exchange Online Account, ist dies noch ein zusätzlicher Schritt.

Wo besteht der eigentliche Unterschied zum EOP? eMail Anhänge bzw. eMails mit Anhängen, welche nicht durch bekannte Virensignaturen identifiziert werden können, werden durch eine zusätzliche virtuelle Umgebung geschleust. In dieser Umgebung wird die Anlage extrahiert und auf unbekannten Schadcode untersucht. Dies wird hauptsächlich unter der Beobachtung, ob ein unbekannter Zugriff aus dieser eMail bzw. Anlage heraus erfolgen soll. Daher wird diese eMail in einen eigenen Hypervisor geöffnet und verarbeitet. Sollte sich kein positives Ergebnis fest stellen lassen, wird diese eMail samt dem Anhang weiter geleitet, durch diesen Test kann dies aber 5 – 30 Minuten in der Zustellung dauern.

Unterm Strich gesagt, bevor ein Benutzer einen Schadcode auf seinem eMail Client entdecken kann, wurde ein möglicher Zugriff schon vorher in der virtuellen Umgebung des Dienstes entdeckt und die Weiterleitung des Schadcodes basierend auf der eingerichteten Regel verarbeitet.

Kommen wir nun zur zweiten Regel, ebenso gerade jetzt sehr bekannt geworden…

Massenweise Rechnungen oder eBay bzw. Amazon eMail mit dem Hinweis, das sein Konto durch negative Bewertungen gesperrt wurde oder wird. Man solle sich doch bitte im Konto anmelden, um die weitere Vorgehensweise zur Freischaltung zu erfahren.

Blöd nur, das solche Links fast immer auf irgendeiner Webseite landen, nur nicht auf die des eigentlichen Anbieters. Die Webseiten sind inzwischen eine 1:1 Kopie und kaum noch vom original zu unterscheiden, außer in der Adresszeile. Doch dann könnte es schon zu spät sein.

Für solche Fälle kann die Regel “Sichere Links” unterstützen.

image

 

Auch in dieser Regel kann entsprechend der internen Anforderungen eine individuelle Regel erstellt werden.

image

 

image

 

Und so würde der Link zu diesem Blogbeitrag aussehen…

ATP

 

Auf den folgenden Seiten gibt es in der Technet aktuelle Informationen:

Advanced Threat Protection für Safe Attachments und Safe Links

Exchange Online Advanced Threat Protection-Dienstbeschreibung

Im übrigen bieten wir als Microsoft Partner die Lizenz unter Open zur Zeit zum “Weihnachtspreis”  von 24,- EUR inkl. MwSt. pro User pro Jahr an. (Anfrage zu ATP Open Lizenzen per eMail)

Exchange Online Advanced Threat Protection kaufen

Sie können Exchange Online Advanced Threat Protection den folgenden Exchange- und Office 365-Abonnementplänen hinzufügen: Exchange Online Plan 1, Exchange Online Plan 2, Exchange Online Kiosk, Exchange Online Protection, Office 365 Business Essentials, Office 365 Business Premium, Office 365 Enterprise E1, Office 365 Enterprise E2, Office 365 Enterprise E3, Office 365 Enterprise E4, Office 365 Enterprise K1, Office 365 Enterprise K2. Wenn Sie Advanced Threat Protection Ihrem Abonnement hinzufügen möchten, wenden Sie sich bitte an Ihren Anbieter für Volumenlizenen.” (Quelle: https://products.office.com/de-de/exchange/online-email-threat-protection#howToBuy)

 

Nun wünsche ich noch Frohe Festtage und einen Guten Rutsch in 2016

Viele Grüße

Michael

The short URL of the present article is: http://wp.me/p1MQAv-18j

Tagged with:

Filed under: AzureCloudOffice 365 GridOffice365Security