Microsoft 365 is het meest gebruikte productiviteitsplatform ter wereld en daardoor het favoriete doelwit van cybercriminelen. De standaardconfiguratie biedt basisbeveiliging, maar laat significante gaten open die door aanvallers worden benut. In deze gids doorlopen we alle essentiële hardeningsstappen om uw Microsoft 365 omgeving maximaal te beveiligen.

1. Security Defaults vs Conditional Access

Microsoft biedt twee beveiligingsniveaus: Security Defaults (gratis, basisbeveiliging) en Conditional Access Policies (vereist Azure AD Premium P1 of Microsoft 365 Business Premium). Security Defaults zijn een goed startpunt, maar voor serieuze beveiliging heeft u Conditional Access nodig.

Functie Security Defaults Conditional Access
MFA Basis (alle gebruikers) Granulaire controle
Locatiebeleid ✓ Named Locations
Apparaatbeleid ✓ Device compliance
App-beleid ✓ Per-app policies
Risicogebaseerd ✓ Sign-in risk

2. MFA correct implementeren

MFA is de belangrijkste beveiligingsmaatregel. Zonder MFA is een gestolen wachtwoord voldoende voor een aanvaller om volledige toegang te krijgen tot uw bedrijfsdata. Microsoft rapporteert dat MFA 99,9% van alle accountcompromises voorkomt.

Aanbevolen MFA-methoden (in volgorde van veiligheid)

1

FIDO2 Security Keys (bijv. YubiKey)

Phishing-resistant, hardware-gebaseerd. De gouden standaard.

2

Microsoft Authenticator met Number Matching

Sterk, gratis, vereist dat de gebruiker een nummer intypt.

3

SMS/Telefoon

Beter dan niets, maar kwetsbaar voor SIM-swapping. Gebruik alleen als fallback.

3. Conditional Access Policies

Conditional Access is het Hart van Microsoft 365 beveiliging. Het werkt als een geavanceerde portier die bij elke aanmelding meerdere signalen evalueert voordat toegang wordt verleend.

verified_user Baseline Policies

  • check MFA voor alle gebruikers, altijd
  • check MFA voor alle admin-rollen (afzonderlijk, strenger)
  • check Blokkeer legacy authentication protocols
  • check Blokkeer aanmeldingen met hoog risico

location_on Locatiebeleid

  • check Named locations definiëren (kantoor IP-ranges)
  • check Landen blokkeren waar u geen activiteiten heeft
  • check Extra MFA vereisen buiten het kantoornetwerk

devices Apparaatbeleid

  • check Alleen compliant devices voor gevoelige apps
  • check Intune enrollment afdwingen
  • check App protection policies voor mobiel (MAM)

warning Legacy Authentication: de achterdeur

Oudere protocollen zoals POP3, IMAP en SMTP Basic Auth ondersteunen geen MFA. Dit zijn open deuren voor brute-force aanvallen. Blokkeer legacy authentication volledig via Conditional Access. Dit is een van de meest impactvolle stappen die u kunt nemen.

4. Microsoft Defender for Office 365

Defender for Office 365 (voorheen ATP) biedt geavanceerde bescherming tegen phishing, malware en zero-day exploits. Het is beschikbaar in Business Premium en hoger.

attach_file Safe Attachments

Opent bijlagen in een geïsoleerde sandbox voordat ze worden afgeleverd. Detecteert zero-day malware en ransomware die door traditionele antivirus wordt gemist. Stel in op "Dynamic Delivery" voor minimale vertraging.

link Safe Links

Herschrijft URLs in e-mails en controleert ze op het moment van klikken. Beschermt tegen kwaadaardige links die na aflevering worden geactiveerd (time-bombing). Stel ook in voor Teams en Office-documenten.

person_off Anti-Impersonation

Beschermt tegen mails die zich voordoen als specifieke personen (CEO, CFO) of domeinen. Voeg uw leidinggevenden en belangrijke leveranciers toe aan de beschermde gebruikerslijst.

phishing Anti-Phishing

Machine learning-gebaseerde detectie van phishing-pogingen. Configureert automatische verplaatsing naar quarantaine op basis van betrouwbaarheidsscore. Stel de drempels in op "Most aggressive" voor e-mail van buiten de organisatie.

5. SPF, DKIM en DMARC in M365

Microsoft configureert SPF automatisch voor uw tenant, maar DKIM moet u handmatig inschakelen. Dit is een veelvoorkomende omissie die uw domein kwetsbaar laat voor spoofing.

check_circle

SPF: Zorg dat include:spf.protection.outlook.com in uw SPF-record staat. Microsoft rouleert regelmatig IP-adressen, dus gebruik altijd de include en nooit harde IP-adressen.

check_circle

DKIM: Ga naar Microsoft 365 Defender > Policies > DKIM en schakel het in voor elk domein. Microsoft genereert automatisch de CNAME-records die u in uw DNS moet publiceren.

check_circle

DMARC: Publiceer een DMARC TXT-record in uw DNS. Begin met monitoring (p=none) en werk gradueel naar p=reject. Analyseer de rapportages om alle legitieme verzendservers te identificeren.

6. Exchange Online hardening

  • Transport Rules: Blokkeer gevaarlijke bestandstypen (.exe, .js, .vbs, .ps1) als bijlage. Voeg een waarschuwingsbanner toe aan e-mails van externe afzenders.
  • Mailbox Audit Logging: Schakel uitgebreide auditing in voor alle mailboxen. Dit is essentieel voor forensisch onderzoek bij een incident.
  • Auto-forwarding blokkeren: Blokkeer automatische doorstuurregels naar externe domeinen. Aanvallers gebruiken dit om een kopie van alle inkomende mail te ontvangen na een compromis.
  • Quarantine policies: Configureer quarantine-beleid zodat verdachte mails worden vastgehouden voor review in plaats van direct te worden afgeleverd.
  • Junk mail filtering: Stel de Bulk Complaint Level (BCL) drempel in op 5 of lager en schakel Zero-hour Auto Purge (ZAP) in voor maximale bescherming.

7. SharePoint en OneDrive beveiligen

Aanbevolen instellingen

  • check Extern delen beperken tot specifieke domeinen of geauthenticeerde gebruikers
  • check "Anyone" links uitschakelen (anonieme toegang)
  • check Vervaldatum instellen op gedeelde links (max 30 dagen)
  • check OneDrive sync client beperken tot beheerde apparaten
  • check Sensitivity labels implementeren voor classificatie
  • check Versioning inschakelen (minimaal 100 versies) als ransomware-bescherming

8. Audit, compliance en monitoring

Monitoring is essentieel om aanvallen vroegtijdig te detecteren en de impact te beperken:

  • Unified Audit Log: Schakel in en bewaar logs minimaal 90 dagen (standaard) of langer met E5-licentie
  • Alert policies: Configureer alerts voor verdachte activiteiten: massale bestandsdownloads, ongebruikelijke aanmeldpatronen, mailbox-forwarding rules
  • Secure Score: Gebruik Microsoft Secure Score als routekaart. Het geeft concrete aanbevelingen en meet uw voortgang
  • Microsoft Sentinel: Voor organisaties die de middelen hebben, biedt Sentinel SIEM/SOAR-functionaliteit met AI-gestuurde detectie

checklist Complete hardening checklist

  • check_circle MFA voor alle gebruikers (phishing-resistant)
  • check_circle Legacy auth blokkeren via CA
  • check_circle DKIM inschakelen per domein
  • check_circle DMARC instellen (p=reject)
  • check_circle Safe Attachments + Safe Links
  • check_circle Anti-impersonation policies
  • check_circle Auto-forward blocking
  • check_circle Extern delen beperken
  • check_circle Audit logging & alerts
  • check_circle Transport rules configureren

Laat uw Microsoft 365 omgeving doorlichten

Wij voeren gedetailleerde security audits uit op uw M365-tenant en helpen u met de implementatie van alle hardening-maatregelen.

Plan een M365 audit