Microsoft 365 E5 Security

Auf der Seite Microsoft 365 habe ich die verschiedenen Paketangebote von Microsoft zu Office 365, Windows 365 und EMS 365 vorgestellt. Auf dieser Seite möchte ich das Teilpaket "Microsoft 365 E5 Security" genauer betrachten, welches ein günstigeres E5-Teilpaket mit dem Schwerpunkt "Security" ist. Ein anderes Teilpaket ist M365 E5 Compliance. Beide Pakete gibt es ab ca. Herbst 2019.

Scope: Security

Der Schwerpunkt des "Microsoft 365 E5 Security" liegt, wie der Name schon deutlich macht", bei den gestiegenen Sicherheitsanforderungen. Insofern hat Microsoft hier alle Produkte zusammengefasst, die für Firmen interessant sind, um die Sicherheit zu erhöhen. Microsoft 365 E5 Security ist ein AddOn zu Microsoft 365 E3.

Sie müssen also schon Microsoft 365 E3 für die entsprechenden Anwender lizenziert haben. Durch den Schwerpunkt auf Security und Wegfall einiger Komponenten von Microsoft 365 E5 ist das Paket "Microsoft 365 E5 Security" natürlich etwas günstiger.

Module im Detail

Das Angebot zum Thema Security bei Microsoft ist sehr umfangreich. Betrachten wir uns die Module  in "Microsoft 365 E3" und "Microsoft 365 E5 Security" hinsichtlich der Sicherheit. Für eine Kaufentscheidung können Sie sich ja selbst pro Produkt überlegen, was ihnen die enthaltene Funktion "wert" ist. Nicht für alle Module ist Microsoft 365 E5 Security erforderlich. Einige Sicherheitsfunktionen sind in Microsoft 365 E3 schon enthalten aber werden mit E5 ausgebaut oder aufgewertet.

Sie lernen alle Produkte am besten bei einem eintägigen Workshop mit Erläuterung und Demos kennen, so dass Sie selbst abschätzen können, in welcher Reihenfolge sie die Bausteine umsetzen wollen.

Produkt Win M365 O365 AzureAD EMS Beschreibung

Applocker

E3

E3

 

 

 

Aus meiner Sicht eine einfach umzusetzende Schutzfunktion in Windows, um als Administrator eine Whitelist von erlaubten Apps nach Dateiname, Pfaden, Signaturen etc. zu steuern und damit das Ausführung von nicht bekanntem Code komplett zu unterbinden.

Devicelock

E3

E3

 

 

 

Über DeviceLock lässt sich steuern, welche Geräte z.B. per USB angeschlossen wird. Damit können Sie z.B. die Nutzung von USB-Sticks auf bestimmten Geräten unterbinden.

Deviceguard

E3

E3

 

 

 

Bitlocker

E3

E3

 

 

 

Aus meiner Sicht unverzichtbar für Notebooks und Server ist die Funktion Bitlocker. Notebooks, die das Firmengelände verlassen, werden so gegen Veränderungen von extern geschützt. Der Notebook kann also nicht z.B. von einem USB-Stick oder CD gebootet werden, um dann "offline" die Windows Installation zu verändern.

Für Server ist Bitlocker übrigens auch wichtig, da verschlüsselte Festplatten bei einem Defekt nicht besonders nachbehandelt werden müssen, was Kosten spart, Risiken reduziert und das Recycling vereinfacht.

Multi Faktor Authentifizierung

 

 

E1/3/5

P1

E3

Der Einsatz von MFA sollte für alle Mitarbeiter aktiviert werden, wenn Sie nicht in einem vertrauenswürdigen Standort sind. So können Sie ganz schnell den Missbrauch von Kennworten durch externe Angreifer verhindern, zumindest so lange sie keinen Zugriff auf interne Systeme haben.

Conditional Access

 

E3

 

P1

E3

Über entsprechende Regeln in Office 365 und AzureAD können Sie sehr granular steuern, wann ein Benutzer mit welcher Software auf welchem Client auf welchen Dienst zugreifen kann. So können Sie verhindern, dass ein Anwender auf seinem privaten PC zuhause auf Firmendaten zugreifen oder diese sogar per OST-Datei oder OneDrive auf den unsicheren Client ablegen.

 

Windows Hello for Business

E3

 

 

 

 

Anmeldung am Computer mit biometrischen Daten statt Kennwort.s

Password Less

 

 

 

 

 

Was man nicht eingibt, kann niemand abgreifen. Eine Anmeldung ohne Kennwort kann hier eine Lösung sein. Sie geben dann ihren Benutzernamen ein aber die Bestätigung erfolgt dann z.B. auf dem Smartphone.

Credential Guard

E3

 

 

 

 

Anmeldedaten können in Windows Enterprise in einer geschützten Umgebung abgelegt werden, so dass "böse Prozesse" nicht dran kommen.

Azure ATP

 

E5
E5S

 

 

 

Mit AzureATP überwachen Sie ihre Domain Controller auf sicherheitsrelevante Events.

Exchange Online Protection

 

 

E1/3/5

 

 

Der einfache Spam- und Malware-Filter ist schon in jeder Office 365 Lizenz mit Postfach vorhanden.

Office 365 ATP

 

E5
E5S

E5

 

 

Primär als erweiterte EOP-Version für Exchange Online gestartet, wird die Lösung
auch für OneDrive und SharePoint und sogar Office 365 Pro Plus Client

Defender

E3

E3

 

 

 

Die klassische Antivirenlösung ist in jeder Windows Version enthalten und mit Windows E3 ist "Defender for Business"

Defender ATP

 

E5
E5S

 

 

 

Durch die ATP Erweiterung wird aus dem normalen Defender ein "NextGen Endpoint Protection, Detect & Automated Response"-System.

PIM

 

E5
E5S

 

P2

 

Vier-Augen-Prinzip für die Ausübung von administrativen Berechtigung. Ein "möglicher Administrator" muss erst die Rechte anfordern und erhält sie dann für begrenzte Zeit. Dies ist insbesondere für "Global Admins" interessant.

Cloud App Security

 

E5
E5S

 

 

 

Windows Defender ATP, Office 365 Anmeldevorgänge, AzureATP und Daten aus viele andere Quellen können hier konsolidiert analysiert werden. Selbst eigene Connectoren zum Einbinden eigener Datenquellen sind möglich.

Security Center / Security Score

 

 

 

 

 

Microsoft ermitteln über alle Office 365 und Azure-Dienste einen Score basierend auf eigenen "Best Practices". So können Sie schnell Potential zur Verbesserung der Sicherheit finden.

Azure Sentinel

 

 

 

 

 

Das letzte Produkt in der Reihe ist ein vollständiges SIEM (Security Information and Event Management) System zur Konsolidierung von verschiedenden Events mit einer leistungsfähigen Abfragesprache, automatischen Auswertungen und getriggerten Aktionen.

Die Liste wurde im November 2019 erstellt und könnte sehr schnell wieder veraltet sein. Das ist bei Sicherheitslösungen aber nicht ungewöhnlich, da hier die Entwicklung sehr schnell voran schreitet

Protection

Neben dem "Microsoft 365 E5 Security"-Paket gibt es auch noch ein kleines E5-Paket mit dem Schwerpunkt Compliance. Hier sind aber wohl nur zwei Komponenten enthalten

  • Office 365 Advanced Compliance
    Bestandteil ist hier die "Customer Lockbox". Damit können Sie den Zugriff von Microsoft auf Daten explizit gewähren.
  • Azure Information Protection Plan 2
    Dokumente können Sie schon mit Plan 1 schützen, welcher in EMS E3 oder Microsoft 365 E3 enthalten ist. Über den erweiterten Plan 2 können sie aber die Klassifizierung von Dokumenten automatisch anhand von Regeln durchsetzen, d.h. der Anwender muss nicht mehr manuell einen Schutzlevel festlegen.

Das Paket ist also bei weitem nicht so umfangreich wie die M365 E5 Security.

Weitere Links

BSI: Die Lage der IT-Sicherheit in Deutschland 2018
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2018.pdf?__blob=publicationFile&v=6