Omschrijving
- Type: CUSTOMER
- Severity: WARNING
- Bescherming tegen: MISCONFIGURATION
- FIX Beschikbaar: JA
Deze Customer Check controleert of berichten in Teams worden gescand op onveilige bestanden. Wanneer deze functie is ingeschakeld, worden bestanden met potentieel gevaarlijke extensies die gebruikers ontvangen of verzenden binnen Teams geblokkeerd of gemarkeerd met een waarschuwing.
Waarom deze check?
Microsoft Teams wordt door aanvallers misbruikt als distributiekanaal voor malware en schadelijke bestanden. Gebruikers vertrouwen bestanden die via Teams worden gedeeld vaak meer dan e-mailbijlagen, omdat ze van bekende collega's komen. Dit maakt Teams een aantrekkelijk doelwit voor aanvallers die toegang hebben gekregen tot een account of die gebruikmaken van social engineering technieken.
De FileTypeCheck functie voor Teams blokkeert automatisch bestanden met gevaarlijke extensies zoals executables (.exe, .dll), scripts (.bat, .vbs, .ps1) en andere bestandstypes die vaak worden gebruikt om malware te verspreiden. Microsoft onderhoudt een vaste lijst van meer dan 70 bestandsextensies die automatisch worden geblokkeerd. Wanneer een gebruiker probeert zo'n bestand te verzenden of te openen, wordt er een waarschuwing getoond.
Zonder deze bescherming kunnen aanvallers eenvoudig malware, ransomware of andere schadelijke bestanden verspreiden via Teams berichten. Dit kan leiden tot grootschalige infecties binnen uw organisatie, datalekken of systeem compromittering. Het is daarom essentieel dat deze functie is ingeschakeld voor alle gebruikers.
Welke mogelijke uitkomsten heeft de check?
Deze check heeft twee mogelijke uitkomsten. In Attic komt dit als volgt tot uiting:
- Okay: Teams berichten worden gescand op onveilige bestanden (FileTypeCheck is ingeschakeld)
- Warning: Teams berichten worden NIET gescand op onveilige bestanden, actie van de klant is vereist
Hoe moet dit worden opgevolgd?
Indien de output Warning is, adviseren wij om de bestandstype controle voor Teams berichten in te schakelen. Dit zorgt ervoor dat gebruikers worden beschermd tegen het ontvangen of verzenden van potentieel gevaarlijke bestanden.
Voor deze check is een Fix beschikbaar, deze zullen wij via Attic aanbieden. De fix schakelt de FileTypeCheck in voor Teams berichten.
Handmatige Instructie
Voer deze stappen uit om de instelling handmatig aan te passen:
- Open PowerShell en maak verbinding met Teams via de Teams PowerShell module met het commando:
Connect-MicrosoftTeams - Controleer de huidige instelling met het commando:
Get-CsTeamsMessagingConfiguration -Identity Global | Select-Object FileTypeCheck - Schakel de bestandstype controle in met het commando:
Set-CsTeamsMessagingConfiguration -Identity Global -FileTypeCheck Enabled - Verifieer de wijziging door stap 2 opnieuw uit te voeren. De waarde van FileTypeCheck moet nu "Enabled" zijn
Geblokkeerde Bestandsextensies
Wanneer FileTypeCheck is ingeschakeld, worden de volgende bestandsextensies automatisch geblokkeerd door Microsoft. Deze lijst kan niet worden aangepast door beheerders:
ace, ani, apk, app, appx, arj, bat, cab, cmd, com, deb, dex, dll, docm, elf, exe, hta, img, iso, jar, jnlp, kext, lha, lib, library, lnk, lzh, macho, msc, msi, msix, msp, mst, pif, ppa, ppam, reg, rev, scf, scr, sct, sys, uif, vb, vbe, vbs, vxd, wsc, wsf, wsh, xll, xz, z
Deze extensies zijn geselecteerd omdat ze vaak worden gebruikt voor het uitvoeren van code, het installeren van software, of het wijzigen van systeeminstellingen - allemaal acties die door aanvallers worden misbruikt.
Impact
Deze wijziging heeft de volgende impact op gebruikers en beheerders:
- Voor gebruikers: Gebruikers kunnen geen bestanden meer verzenden of ontvangen met de geblokkeerde extensies. Als ze dit proberen, krijgen ze een foutmelding te zien. Dit kan als hinderlijk worden ervaren bij legitieme gebruik van bijvoorbeeld .exe bestanden voor software distributie. In dat geval moeten alternatieve methoden worden gebruikt (zoals een beveiligde file sharing dienst of een zipbestand met wachtwoord).
Opmerkingen
0 opmerkingen
U moet u aanmelden om een opmerking te plaatsen.