Monthly Archives: February 2020

AzureAD Password Protection

Posted on by
1

A jelszavak problémája az üzemeltetők és felhasználók örök fejfájása. Nem részletezem, mindenki ismeri a problémát, túl bonyolult, túl gyakran kell változtatni, a felhasználó felírja egy post-it-re a monitorára ragasztva, a panaszlista végtelen.

Talán rövidesen eljut a világ a jelszómentes berendezkedésig, ahol ezeket a gondokat elfelejthetjük, addig is egy kis hasznos segítség:

Világszerte nagy problémát jelentenek a gyakran használt gyenge jelszavak (pl. password, admin, qwert123, letmein, secret….) és a könnyen kitalálható verziók (pl. p@ssw0rd stb). A felhasználók is előszeretettel próbálják a cégnevet belevenni a jelszóba, hogy számukra könnyen megjegyezhető legyen (pl. Adatum cégnél @datuM123 és hasonló formák). Az esetleges támadónak így nem nagyon kell erőlködnie, pár jól célzott próbálkozással akár hozzáférést is szerezhet a felhasználói fiókhoz.

A gyenge és könnyen kitalálható jelszavak problémájára ad megoldást az AAD PP.

Beépített és folyamatosan frissülő “weak passwords list” és az adminok által egyedileg definiált tiltott jelszavak listájával megakadályozza, hogy könnyen kitalálható jelszavakat állítsanak be a felhasználók. Ez működhet az tisztán az AzureAD-ra, de akár a földi rendszerek is védhetőek vele.

A beállítása egyszerű, az Azure portálon az Azure Active Directory / Authentication methods / Password protection részhez kell navigálni, és kitölteni a Custom banned passwords mezőt:

A listába 1000 tételt lehet felvenni, minimum 4, maximum 16 karakter a követelmény.

A tiltott jelszó kiértékelése többlépcsős folyamat, mélyebben a mechanizmust a https://docs.microsoft.com/en-us/azure/active-directory/authentication/concept-password-ban-bad cikk írja. Nagyon dióhéjban, tud különbséget tenni az “a és @” illetve “o és 0” értékek között, a végén egy pontszámítással megállapítva, hogy megfelelő-e a jelszó vagy sem (hány tiltott formát tartalmaz a jelszó, van-e további karakter megadva stb)

Nagy erőssége a megoldásnak, hogy földi rendszerrel is integrálható. Ebben az esetben a földi domain controllerek minden jelszóváltoztatás előtt “bekérdeznek” az AAD PP-be, hogy megfelel-e a policynek a jelszó. Ehhez minden domain controllerre (Windows Server 2012 vagy újabb) telepíteni kell egy AzureAD Password Protection DC Agent klienst, illetve egy vagy több member serverre a AzureAD Password Protection Proxy összetevőt.

A DC agentek a Proxy kliensek segítségével kommunikálnak az AzureAD-val és validálják a jelszóváltoztatást. Az alábbi ábra mutatja a működést:

A rendszer kipróbálható Audit és Enforced módban, természetesen érdemes az elején a teszt-üzemmódot választani. A domain controllereken található Eventlogok segítségével láthatóak a jelszóváltozatások, amik éles üzemmód esetén tiltásra kerülnének:

Éles üzem esetén pedig ha a felhasználó nem megfelelő jelszót állítana be, az alábbi üzenetet kapja:

A licenszelést tekintve, ha egyedi tiltólistát szeretnénk használni, és/vagy hibrid környezetben használni, Azure AD Premium P1 vagy P2 licensz szükséges.

Részletes step-by-step leírások a működésről és beüzemelésről itt találhatóak:

Step-by-Step guide to Azure AD Password protection
Using the new Azure Active Directory password protection feature

Segít a felhasználó – könnyebb védekezés a spamek ellen

Posted on by
Reply

A levélszemét egy érdekes terület, amit mind a felhasználók, mind az adminok jól ismernek (sajnos…). Számszerűleg az adminok vannak a legkevesebben, a felhasználók a legtöbben, hát miért ne kérnénk hogy segítsenek a spam elleni küzdelemben? 🙂

Az M365 egy jó eszközt biztosít ehhez, az új user submission policy segítségével. A beállítást a Threat Management alatt találjuk:

Lényege, hogy az Outlookba beépül a Report Message nevű addon, amivel a felhasználó könnyen jelentheti a levélszemetet:

Ezt az add-ont lehet csoportokra vagy minden felhasználóra érvényes módon telepíteni.

A policy újdonsága, hogy beállítható egy reporting mailbox, ahova a bejelentett emailek másolata is kerül, ami további elemzésekben segíthet:

A bejelentésekhez lehet egyedi üzenetet is fűzni a felhasználól számára (itt fel lehet hívni a figyelmet, hogy a Microsoft is átvizsgálhatja a mailt, ezért fontos a személyes vagy érzékeny adatok védelme)

Érdemes ezt a az eszközt igénybe venni, a felhasználókat is bevonni a levélszemét probléma megoldásába, hiszen ez közös érdek és több szem többet lát 🙂

OneDrive mint felhasználói backup

Posted on by
1

Az alábbi cikkben az OneDrive nem új, de vállalati környezetben kevéssé használt funkcióját szeretném bemutatni: automatikus folder átirányítást.

Picit messzebbről indulva: vállalati környezetben nagyon régóta szabályozott, hogy adatokat nem mentünk a helyi gépre, kizárólag a fileszerverre/sharepointra/egyéb központi helyre, amit az IT felügyel, redundáns, van róla mentés stb.

A valóságban viszont számos alkalommal előfordul, hogy a szabályozás ellenére bizony a Desktopra, Documentsbe, egyéb helyekre kerülnek a fileok (tegye fel a kezét, aki még nem “követett el” ilyet 🙂 ) Ennek okai változatosak “nem volt jó a hálózat, nem értem el a fileszervert” , “nem ment valamiért a vpn” és bizony sok alkalmazás alapból ezeket a helyeket kínálja fel mentésre.

A probléma pedig akkor van, mikor a géppel valami történik, tönkremegy benne az adathordozó, ellopják, egyéb dráma történik. Ilyenkor senki nem szeretne az illető helyében lenni, akinek a főnökénél kell számot adnia róla, hogy miért veszett el a nagyon fontos szerződés vagy egyéb céges adat…

A megoldást az OneDrive KnownFolderMove funkciója jelentheti, azaz a gépen található Desktop, Documents és Pictures folderek átirányítását az OneDrive-ba. Innentől kezdve ha bármit lementünk mondjuk a Desktopra, az automatikusan szinkronizálódik a felhőbe.

A KFM (KnownFolderMove) funkció bekapcsolható Intune-nal menedzselt gépek esetén, illetve System Center Configuration Manager és Group Policy is támogatott.

Kétféle módon működhet történhet az átmozgatás:

Automatikusan, ekkor a felhasználó üzenetet kap, hogy a mappák átkerültek az OneDrive-ba

Vagy a felhasználóknak kell elvégezniük a beállítást és ekkor kapnak egy felbukkanó üzenetet:

Amennyiben a felhasználó csak bezárja az ablakot, további üzenetekkel fogja informálni a rendszer, hogy ez a beállítás kötelező:

Ez addig ott marad a képernyő sarkában (nem zárható be) amíg a beállítás meg nem történik.

A legjobb megközelítés a két policy ötvözése: legyen automatikus az átmozgatás, de ha az nem sikerül valamiért, akkor a felhasználót kéri fel a rendszer hogy végezze el. Ekkor persze lehet kérni az IT segítségét, és az adminok is biztosak lehetnek benne, hogy mindenhol végbement az átmozgatás.

Az adminoknak szintén jó hír, hogy policyból letiltható hogy a felhasználók megszüntessék ezt az átirányítást. Ilyenkor az OneDrive kliensen a Stop Backup gomb kiszürkül, tehát nincs mód rá, hogy ezek a mappák kikerüljenek a védelem alól.

Tervezéskor érdemes még észbentartani, hogy egyes felhasználóknál nagy lehet a Desktop/Documents/Pictures mappa mérete, ami a KFM beállításkor jelentős hálózati forgalmat fog okozni.

A KFM implementálása erősen ajánlott bármilyen vállalati környezetben, az automatikus mentés nagy terhet levesz a felhasználók és rendszergazdák válláról egyaránt.

Istvánffy Zoltán