Microsoft 365 · България · 2026

Microsoft 365 защита: 15-те настройки, които променят всичко

Microsoft 365 идва "готов за работа", но не и "готов за защита". Между двете стоят петнайсет настройки, които повечето български фирми никога не пипат, а точно те решават дали един откраднат имейл и парола ще се превърнат в спрян бизнес. Това е практично ръководство за ИТ администратори: какво точно да включите, в какъв ред и как да проверите, че работи.

Най-важното накратко

• Стандартните настройки на Microsoft 365 са направени за лекота, не за сигурност. По подразбиране многофакторното удостоверяване не е наложено навсякъде, остарелите протоколи са отворени, а одитните логове изтриват следите след 90 дни. Нападателите разчитат точно на това.
• Една открадната парола е най-честият вход. Над 90% от пробивите в M365, които виждаме, започват с фишинг, който дава на нападателя валиден имейл и парола. Без втори фактор и без условен достъп това е достатъчно да влезе.
• Петнайсет настройки покриват основната атака. Самоличност и достъп, отделни администраторски акаунти, защита на имейла (SPF, DKIM, DMARC, Safe Links), наблюдение и откриване, и контрол на споделянето. Всяка е безплатна или включена в плана ви.
• Редът има значение. Първо затворете самоличността (MFA, условен достъп, спиране на остарялото удостоверяване), после имейла, после наблюдението. Така спирате най-вероятната атака още в първите часове работа.
• Логовете за една година са разликата между разследване и гадаене. Ако нещо се случи, без удължен одитен журнал не можете да докажете какво е станало, кои данни са засегнати и да изпълните 72-часовото уведомяване на КЗЛД.
• Настройка без проверка е илюзия за сигурност. Симулиран фишинг и Microsoft Secure Score ви казват дали наистина сте защитени, или просто сте натиснали правилните бутони веднъж.

Първото недоразумение, което чуваме почти винаги, е "ние сме на Microsoft 365, значи Microsoft се грижи за сигурността". Половината е вярна. Microsoft наистина пази инфраструктурата, центровете за данни и наличността на услугата. Но за това кой влиза в пощата ви, с каква парола, от кое устройство и какво може да изнесе навън, отговаряте вие. Това е моделът на споделена отговорност и точно горната половина, вашата, е там, където стават почти всички пробиви.

Вторият проблем е, че фабричните настройки са оптимизирани за лекота на пускане, не за сигурност. Така е по-малко обаждания до поддръжката и по-малко объркани потребители в първия ден. На практика това означава, че по подразбиране многофакторното удостоверяване често не е наложено за всички, остарелите протоколи (които не поддържат втори фактор) са отворени, автоматичното препращане на поща навън е разрешено, а одитният журнал пази събитията само 90 дни. Всяко от тези удобства е отворена врата.

Третият проблем е инерцията. Повечето български фирми получават Microsoft 365 от външен партньор, който го пуска да работи и продължава нататък. Сигурността не е "счупена", затова никой не я пипа с години. Нападателите знаят това по-добре от вас: автоматизирани кампании пробват откраднати пароли срещу хиляди наематели (tenants) денонощно и влизат там, където втори фактор липсва. Добрата новина е, че същата причина прави защитата постижима. Основната атака минава през няколко предвидими врати и петнайсетте настройки по-долу ги затварят, без нов бюджет и без външен екип.

Самоличността е новият периметър. Щом нападателят има валиден имейл и парола, той е "вътре" без нужда да пробива каквото и да било. Затова тези четири настройки са с най-висок приоритет и трябва да са първите неща, които правите. Те спират най-вероятната атака още преди да стигне до данните ви.

Настройка 1. Многофакторно удостоверяване за всички, без изключения. Не само за управителя, не само за администраторите, а за всеки акаунт с поща. MFA сам по себе си спира огромната част от атаките с откраднати пароли, защото паролата вече не стига. Предпочитайте приложение за удостоверяване (Microsoft Authenticator) пред SMS, който е по-уязвим. Включете го през условен достъп или, ако нямате лиценз за него, през Security Defaults. Изключения "само за този човек" са точно дупките, които нападателят намира.

Настройка 2. Условен достъп (Conditional Access). Това е механизмът, който решава кой, откъде и при какви условия може да влезе. Минимумът: изисквай MFA за всички, блокирай вход от държави, в които не оперирате, и изисквай съответстващо или познато устройство за достъп до чувствителни ресурси. Условният достъп изисква лиценз Entra ID P1 (включен в Business Premium и в плановете с Microsoft 365 E3/E5). Ако го имате, той е по-мощен и гъвкав от Security Defaults.

Настройка 3. Блокиране на остарялото удостоверяване (legacy authentication). Стари протоколи като POP, IMAP и базовото удостоверяване в Exchange не поддържат втори фактор. Докато са отворени, нападателят просто заобикаля целия ви MFA, като се удостоверява през тях. Блокирането им с едно правило за условен достъп (или чрез Security Defaults) затваря тази задна врата. Преди да блокирате, проверете дали стар принтер, скенер или приложение не разчита на тях, и ги мигрирайте към модерно удостоверяване.

Настройка 4. Security Defaults срещу Conditional Access. Това не е настройка, а решение. Ако сте малка фирма без лиценз P1, включете Security Defaults: безплатно е и налага MFA и блокира остарялото удостоверяване с едно щракване. Ако имате P1, изключете Security Defaults и постройте политики за условен достъп, които дават същата защита с повече контрол (изключения за break-glass акаунт, гео-ограничения, изисквания към устройства). Едно от двете трябва да е активно. Двете заедно са в конфликт, така че изберете според лиценза си.

Глобалният администратор може всичко: да чете всяка поща, да сваля всеки файл, да изключи самата защита. Затова компрометиран администраторски акаунт не е инцидент, а катастрофа. Тези три настройки правят администраторския достъп малка, добре пазена и наблюдавана цел, вместо широко отворена врата.

Настройка 5. Отделни акаунти за администриране. Никой не бива да чете ежедневната си поща и да сърфира в интернет със същия акаунт, с който управлява наемателя. Един фишинг към ежедневния акаунт тогава дава администраторски права. Дайте на всеки администратор втори, отделен акаунт само за административни задачи, без пощенска кутия и без лиценз за ежедневни приложения. Така фишингът към обикновения акаунт не носи администраторски права.

Настройка 6. Възможно най-малко глобални администратори. Microsoft препоръчва между двама и четирима глобални администратори за цял наемател. Повече означава по-голяма повърхност за атака. Прегледайте кой има тази роля днес (изненадата обикновено е неприятна) и свалете всеки, който не я нуждае ежедневно, към по-тясна роля (например администратор само на Exchange или на потребителите). По-малко ключове, по-малко рискове.

Настройка 7. Авариен (break-glass) акаунт. Един отделен акаунт с глобални права, с много дълга уникална парола, изключен от ежедневните политики за условен достъп, така че да можете да влезете дори ако MFA услугата падне или се заключите сами навън. Паролата му стои на хартия в сейф, а всеки негов вход вдига аларма. Това е застраховката ви да не изгубите достъп до собствения си наемател, без да отваряте дупка за нападател.

Имейлът е любимият вход на нападателите, защото минава покрай всички технически защити право при човека. Тези четири настройки правят две неща: спират чуждите да се представят за вашия домейн и хващат опасното съдържание, преди да стигне до потребителя.

Настройка 8. SPF, DKIM и DMARC на вашия домейн. Тези три записа в DNS казват на света кои сървъри имат право да пращат поща от вашия домейн. Без тях всеки може да изпрати имейл, който изглежда от вашата фирма (класическата измама с фалшива фактура от името на управителя). SPF изброява разрешените изпращачи, DKIM подписва пощата ви, а DMARC казва на получателите какво да правят с подправени съобщения и ви праща доклади. Започнете DMARC с политика p=none за наблюдение, после затегнете до quarantine и накрая reject. Това е безплатно и е сред настройките с най-голям ефект за най-малко усилие.

Настройка 9. Safe Links (безопасни връзки). Част от Microsoft Defender for Office 365. Пренаписва връзките в имейлите и проверява целта в момента на щракване, не само при доставка. Така хваща връзки, които са били безобидни при изпращане и са станали зловредни по-късно (честа техника за заобикаляне на филтрите). Включете го за поща, Teams и Office приложенията. Налично е в плановете с Defender for Office 365 (включен в Business Premium).

Настройка 10. Safe Attachments (безопасни прикачени файлове). Отваря всеки прикачен файл в изолирана среда и наблюдава поведението му, преди да го пусне до потребителя. Хваща зловреден код, който традиционният антивирус още не разпознава. Настройте действие "блокирай" за откритите заплахи. И това е част от Defender for Office 365.

Настройка 11. Защита срещу представяне за чуждо лице (anti-phishing). Политиките срещу фишинг в Defender откриват, когато някой се представя за вашия управител или за домейна ви (например близък по изписване домейн). Включете защитата за самоличност на ключовите хора (управител, финансов директор, счетоводство) и за собствения си домейн. Точно тази настройка щеше да хване имейла, който компрометира счетоводната кантора от началото.

Превенцията не е сто процента. Затова трябва да виждате какво става и да получавате сигнал, когато нещо не е наред. Без това пробивът се открива не от вас, а от ядосан клиент седмици по-късно (точно както стана с кантората). Тези две настройки ви дават очите.

Настройка 12. Удължен одитен журнал (audit log). По подразбиране Microsoft 365 пази одитните събития около 90 дни, а в по-малките планове журналът понякога дори не е включен. Първо проверете, че унифицираният одитен журнал е включен. После, ако планът ви позволява (E5 или добавка), удължете задържането до една година. Това е критично: когато разследвате инцидент, точният момент на пробива и кои файлове са пипани често са на повече от 90 дни назад. Без логовете не можете нито да докажете какво е станало, нито да изпълните 72-часовото уведомяване на КЗЛД с факти.

Настройка 13. Сигнали за рисков вход и невъзможно пътуване (impossible travel). Microsoft може да засече, когато един акаунт влиза от София и след десет минути от друг континент (физически невъзможно), или от мрежа на анонимизатор. Включете автоматичните сигнали за рисков вход и създайте правила за известяване, които пращат имейл до администратора при подозрителна активност. Уверете се, че одитът на пощенските кутии е включен, така че да виждате кой е чел или изтрил кои съобщения. Това е разликата между "усетихме нещо нередно същия ден" и "разбрахме след две седмици от клиент".

Дори когато нападателят влезе, можете да ограничите щетата, като затрудните изнасянето на данни навън. Тези две настройки спират два от най-честите начини, по които данните тихо напускат фирмата.

Настройка 14. Ограничете външното споделяне в SharePoint и OneDrive. По подразбиране потребителите често могат да споделят файлове и папки с "всеки, който има връзката", без вход и без срок. Една такава връзка, изтекла или преслана, отваря данните на целия свят. Сменете нивото на споделяне на "само хора във фирмата" или поне "конкретни хора с вход", сложете срок на годност на връзките за гости и забранете анонимните връзки за чувствителните сайтове. Ако наистина ви трябва външно споделяне, направете го осъзнато, а не по подразбиране.

Настройка 15. Блокирайте автоматичното препращане на поща навън. Любимият трик на нападателя след пробив е да създаде правило, което тихо препраща копие на всяка входяща поща към негов външен адрес. Така той чете кореспонденцията ви седмици наред, дори след като смените паролата. Включете правилото на Exchange, което блокира автоматичното външно препращане за всички, и периодично проверявайте за подозрителни правила в пощенските кутии. Тази единствена настройка щеше да отреже наблюдението на нападателя в кантората от началото.

Натиснатият бутон не е доказана защита. Видели сме наематели, в които MFA "е включено", но половината акаунти имат изключения, или DMARC е на p=none от година и не блокира нищо. Затова последната и често пропускана стъпка е да проверите. Три инструмента ви дават честен отговор.

Microsoft Secure Score. Дава ви оценка в проценти на конфигурацията ви по сигурност и конкретен списък с препоръки, подредени по ефект. Това е най-бързият начин да видите къде сте спрямо най-добрите практики. Поставете си цел (например над 80%) и работете по списъка. Проследявайте оценката месечно, защото тя пада, когато някой направи опасна промяна.

Симулиран фишинг. Microsoft Defender (и редица външни инструменти) позволява да изпратите контролиран фалшив фишинг до собствените си хора и да видите кой щраква и кой въвежда парола. Това е безценно по две причини: проверява дали техническите ви защити хващат атаката и показва на кои хора им трябва обучение. Правете го периодично, без да наказвате, а за да обучавате. Точно това щеше да подготви счетоводителя от началото.

Ръчна проверка на ключовите настройки. Веднъж на тримесечие минете през списъка: всички ли акаунти имат MFA без изключения, блокирано ли е остарялото удостоверяване, колко са глобалните администратори, има ли подозрителни правила за препращане, на какво ниво е DMARC, удължен ли е одитният журнал. Настройките се променят с времето (нов служител, нов плъгин, бързо изключение, което някой е забравил да върне). Периодичният преглед връща дрейфа обратно към сигурното състояние.

Искате да знаете кои от 15-те настройки ви липсват точно сега?

Счетоводната кантора от началото мина през пълен преглед на Microsoft 365: наложихме MFA за всички, изключихме остарялото удостоверяване, разделихме администраторските акаунти, вдигнахме SPF, DKIM и DMARC, включихме Safe Links и Safe Attachments, удължихме логовете и блокирахме външното препращане. Намерихме и премахнахме скритото правило на нападателя, уведомихме засегнатите и оттогава няма нов инцидент. Правим същия преглед на Microsoft 365 за десет работни дни и излизаме с конкретен списък кои настройки ви липсват и в какъв ред да ги поправите.