Microsoft 365 beveiligen: de 10 belangrijkste instellingen
Microsoft 365 is van zichzelf redelijk veilig gebouwd, maar de standaardinstellingen zijn niet de veiligste die mogelijk zijn. Microsoft kiest een balans tussen veiligheid en gebruiksgemak, en die balans laat ruimte over die kwaadwillenden kunnen benutten. Voor een bedrijf met digitale werkplekken, waar e-mail, documenten en gegevens allemaal in Microsoft 365 zitten, is het de moeite waard om die ruimte zelf dicht te zetten.
In dit artikel lopen we de tien belangrijkste beveiligingsinstellingen langs die elk MKB-bedrijf zou moeten regelen. Geen technisch diepe materie voor securityspecialisten, maar de concrete maatregelen die het grootste verschil maken tegen de meest voorkomende aanvallen. De meeste zijn met beperkte moeite in te richten en beschermen tegen schade die al snel in de tienduizenden euro's loopt.
Waarom de standaardinstellingen niet genoeg zijn
De meeste aanvallen op MKB-bedrijven zijn niet hoogtechnisch. Ze draaien om gestolen wachtwoorden, phishing-e-mails en het misbruiken van accounts die niet goed beveiligd zijn. Microsoft 365 biedt uitstekende bescherming tegen precies deze aanvallen, maar veel van die bescherming staat niet standaard aan of is niet optimaal ingesteld.
Het goede nieuws: je hoeft geen securityspecialist te zijn om de belangrijkste gaten te dichten. De tien instellingen hieronder vormen samen een stevige basis die de meeste aanvallen afslaat. Voor de samenhang met het bredere securitybeeld, zie ook ons dossier Cybersecurity voor het MKB.
De 10 belangrijkste instellingen
1. Tweefactorauthenticatie verplichten
De allerbelangrijkste maatregel, en als je er maar één doet, doe dan deze. Met tweefactorauthenticatie is een gestolen wachtwoord alleen niet meer genoeg om in te loggen; er is ook een tweede bevestiging nodig, bijvoorbeeld via een app op de telefoon. Dit blokkeert de overgrote meerderheid van de accountovernames. Verplicht het voor alle gebruikers, niet alleen de directie.
2. Beheerdersaccounts extra beveiligen
De accounts met beheerrechten zijn het meest waardevol voor een aanvaller, want daarmee kan hij alles. Beperk het aantal beheerders tot het strikt noodzakelijke, geef beheerders een apart account voor hun beheertaken, en beveilig die accounts extra streng.
3. Sterk wachtwoordbeleid instellen
Stel een beleid in dat zwakke en veelgebruikte wachtwoorden weert. Moderne richtlijnen leggen de nadruk op langere wachtwoorden of wachtwoordzinnen boven complexe maar korte wachtwoorden. Combineer dit altijd met tweefactorauthenticatie.
4. Verdachte aanmeldingen blokkeren
Microsoft 365 kan automatisch aanmeldingen blokkeren of extra controleren die er verdacht uitzien, bijvoorbeeld vanuit een ongebruikelijk land of op een ongebruikelijk tijdstip. Zet deze bescherming aan, zodat een gestolen account moeilijker te misbruiken is.
5. Phishingbescherming aanscherpen
Microsoft 365 bevat bescherming tegen phishing-e-mails, maar je kunt die aanscherpen. Stel de antiphishing-instellingen strenger in, zodat verdachte berichten beter worden tegengehouden of gemarkeerd. Phishing is de meest voorkomende toegangspoort voor aanvallers, zie Phishing herkennen.
6. Externe e-mail markeren
Laat e-mail van buiten de organisatie automatisch markeren, zodat medewerkers in één oogopslag zien dat een bericht van buiten komt. Dit helpt enorm tegen e-mails die zich voordoen als interne afzenders, een veelgebruikte phishing-truc.
7. Toegang van apparaten beheren
Bepaal welke apparaten toegang krijgen tot bedrijfsgegevens. Je wilt voorkomen dat gegevens benaderbaar zijn vanaf onbeheerde of onveilige apparaten. De zwaardere Microsoft 365-pakketten bieden hier uitgebreidere mogelijkheden voor.
8. Gegevensdeling beperken
Stel in wat gebruikers wel en niet extern mogen delen. Standaard kan er soms ruimer gedeeld worden dan wenselijk. Beperk het delen van gevoelige documenten met externe partijen tot wat echt nodig is.
9. Controleer de auditlogboeken
Zorg dat de logboeken aanstaan die vastleggen wie wat doet in je omgeving. Mocht er ooit iets misgaan, dan kun je terugkijken wat er is gebeurd. Standaard staat dit niet altijd volledig ingeschakeld.
10. Zorg voor een goede back-up
Een misverstand dat veel bedrijven duur komt te staan: Microsoft 365 is geen back-up. Microsoft zorgt voor de beschikbaarheid van de dienst, maar als gegevens per ongeluk of door een aanval worden verwijderd, ben je ze na verloop van tijd kwijt. Een aparte back-upoplossing voor je Microsoft 365-gegevens is daarom geen luxe. Zie Back-upstrategie voor het MKB.
De aanpak: prioriteer en plan
Tien instellingen tegelijk kan overweldigend lijken, maar ze zijn niet allemaal even dringend. Een verstandige volgorde:
Eerst, vandaag nog: tweefactorauthenticatie verplichten en de beheerdersaccounts beveiligen. Dit zijn de twee maatregelen met veruit het grootste effect, en ze zijn relatief snel geregeld.
Daarna, deze maand: phishingbescherming aanscherpen, externe e-mail markeren, verdachte aanmeldingen blokkeren en een sterk wachtwoordbeleid instellen. Dit dicht de meest gebruikte aanvalsroutes.
Vervolgens: apparaatbeheer, gegevensdeling, auditlogboeken en de back-up. Belangrijk, maar minder acuut dan de eerste groep.
Veel van deze instellingen kun je zelf regelen in het beveiligingscentrum van Microsoft 365. Voor de complexere, zoals apparaatbeheer en een goede back-upstrategie, kan hulp van een IT-partij verstandig zijn. Maar de belangrijkste maatregel, tweefactorauthenticatie, kun en moet je zo snel mogelijk zelf aanzetten.
Veelgestelde vragen
Wat is de belangrijkste beveiligingsinstelling in Microsoft 365?
Tweefactorauthenticatie, zonder twijfel. Het zorgt ervoor dat een gestolen wachtwoord alleen niet genoeg is om in te loggen, en het blokkeert daarmee de overgrote meerderheid van de accountovernames. Als je maar één ding doet, verplicht dan tweefactorauthenticatie voor alle gebruikers.
Is Microsoft 365 niet al veilig genoeg uit zichzelf?
De basis is solide, maar de standaardinstellingen kiezen een balans tussen veiligheid en gemak, waardoor er ruimte overblijft. Belangrijke beschermingen zoals verplichte tweefactorauthenticatie en aangescherpte phishingbescherming staan niet altijd standaard optimaal ingesteld. Een aantal instellingen zelf goed zetten maakt een groot verschil.
Is Microsoft 365 een back-up van mijn gegevens?
Nee, en dat is een gevaarlijk misverstand. Microsoft zorgt voor de beschikbaarheid van de dienst, maar als gegevens worden verwijderd, door een fout of een aanval, ben je ze na verloop van tijd kwijt. Voor echte bescherming heb je een aparte back-upoplossing voor je Microsoft 365-gegevens nodig.
Kan ik deze instellingen zelf regelen of heb ik hulp nodig?
De belangrijkste, zoals tweefactorauthenticatie, phishingbescherming en het markeren van externe e-mail, kun je zelf regelen in het beveiligingscentrum. Voor complexere zaken als apparaatbeheer en een goede back-upstrategie kan hulp van een IT-partij verstandig zijn. Begin in elk geval zelf met tweefactorauthenticatie, want dat is het belangrijkst en het snelst geregeld.
Hoeveel kost een beveiligingsincident eigenlijk?
Een datalek of ransomware-aanval kost het MKB al snel tienduizenden euro's aan herstel, stilstand en reputatieschade, zie Wat kost een datalek?. Afgezet tegen die kosten is het inrichten van de beveiligingsinstellingen, waarvan de belangrijkste niets extra's kosten, de goedkoopste verzekering die er bestaat.
---