Monthly Archives: July 2020

Dokumentumok megosztása külsős partnerekkel, biztonságosan

Posted on by
Reply

Előző cikkemben bemutattam, hogyan lehet egy alap információvédelmi megoldást implementálni, amit a felhasználók egymás között tudnak használni:

https://istvanffyzoltan.com/2020/07/14/informaciovedelem-m365-alapon/

Ezek után merül fel a jogos igény, hogy lehet ezt kiterjeszteni külsős parterekre is, azaz biztosítani számukra a dokumentumok megosztását és közös Teams-munkát, miközben a hozzáférés/tartalomvédelem is megmarad.

A most következő cikkben leírok egy lehetséges megoldást, amit kiindulási alapnak lehet használni.

A külsős accountok kezelése mindig is fejtörést okozott a szervezeteknek. Létrehozhatók a földi vagy felhős AD-ben, mint standard userek, de akkor nekünk kell a biztonságról/jelszókezelésről/licenszekről gondoskodnunk.

A javasolt megoldás inkább, hogy a kezeljük őket az Azure AD-ban, guestként. Erre az AAD lehetőséget ad, ingyenesen. Az általános szabály, hogy egy licenszelt userre 5 guest juthat. Tehát egy 100 fős cégnél 500 guest accountot lehet létrehozni díjmentesen.

Az Azure AD B2B (business-to-business) lehetőségét kihasználva nagyon egyszerűen megoldható, hogy egy vállalati accounttal rendelkező külsőst meghívjunk (invite) guestként. Így lehetősége van a saját accountja használatára, nincs szükség külön regisztrációra, név/jelszó karbantartására.

Azure AD Guest meghívása

Ehhez küldenünk kell számára egy meghívót az Azure AD-ból. Navigájunk el ide adminként ide: https://portal.azure.com/#blade/Microsoft_AAD_IAM/UsersManagementMenuBlade/AllUsers és válasszuk a New Guest opciót.

Töltsük ki a név és emailcím mezőket, ide fog kimenni a meghívó.

A meghívó elküldése meg is tudjuk nézni az így létrejött accountot:

Látható, hogy még nem fogadta el a meghívást, azaz nem csinálta végig a regisztrációs processt.

A címzett egy emailt kap, melyben lévő linkre kattintva el tudja kezdeni a regisztrációt:

Figyelmeztetés: mindig legyünk óvatosak a invitáló mailekkel! Csak akkor kattintsunk a linkre és végezzük el a belépést, ha előtte megbizonyosodtunk a meghívó szervezet érvényességéről. Ha ismeretlentől érkezik a felkérés, töröljük a meghívó levelet.

A linkre kattintva az O365 bejelentkező képernyő fogad, az authentikáció miatt:

A bejelentkezés után kapunk egy beleegyezés-kérő ablakot, ami felsorolja, hogy milyen információkat kérne rólunk a meghívó szervezet (név, emailcím, esetleg fotó)

A beléptetés után a meghívó szervezet oldalára jutunk:

Ha újra megnézzük az Azure AD-ban a meghívott user adatlapját, már látható, hogy a regisztrációt megcsinálta, és példánkban egy külső Azure AD-tenantból érkezett.

Evvel a felhasználó accountja létrejött az Azure AD-ban, használatra kész.

Természetesen a fenti folyamat scriptelhető, sőt Power Automate segítségével egy olyan workflow is összeállítható, ahol a meghívást indító felhasználó csak beírja a kívánt meghívott nevét és emailcímét, a rendszer pedig a háttérben intézi a folyamatot.

Következő lépésben engedélyezni kell a külsősökkel való együttműködést a Sharepoint Online / Teams rendszerekben.

Teams Guest access engedélyezése:

Az Office Admin Portalon, az Org Settings / Microsoft Teams részen kapcsolhatjuk be a guest accesst:

https://portal.office.com/AdminPortal/Home#/Settings/Services/:/Settings/L1/SkypeTeams

A Sharepoint Online-ban is érdemes beállítani a megosztási lehetőségeket, szabályozva, hogy csak olyan külsősökkel lehet fileokat megosztani, akik már guestként szerepelnek az Azure AD-címtárunkban:

A Sharepoint Admin Centerben állítsuk be az External Sharing opciónól, hogy Existing guests only:

Ezután a guest usert meghívhatjuk a Teamsbe:

Illetve fileokat is megoszthatunk vele az OneDriveból:

Ezeken túl van mód az információvédelmi megoldást is kiterjeszteni a külsősökre. A sensitivity labelek között kell egy olyan labelt definiálni, ahol a jogosultságot vagy “any authenticated users”-re állítjuk be (ilyenkor bárki, akinek van Azure AD, vagy Microsoft-accountja, hozzá tud férni az információhoz a megfelelő jogosultsággal (pl. Viewer, vagy egyedi beállításokkal, hogy ne tudjon a dokumentumból copyzni, printelni)

Természetsen beállíthatunk guestekre vonatkozó labeleket is:

A fenti labelt alkalmazva az Office-dokumentumokra, majd elküldve pl. emailben a külsős partnernek, meglesz a megfelelő adat- és tartalomvédelem.

Evvel az Azure AD guest + sensitivity label párossal megfelelő biztonság mellett tudjuk biztosítani a Teams és filemegosztási együttműködést.

Információvédelem M365 alapon

Posted on by
1

A megbízható üzleti működéshez manapság elengedhetetlen feltétel az információvédelem megléte. Külső partnerekkel történő együttműködés igénye, és a jogszabályi megfelelőség mind-mind arra ösztönzi a szervezeteket, hogy legyen megoldásuk a kihívásra.

A M365-ben lévő információvédelmi megoldással a szervezet digitális információvagyona kezelhető és megvédhető a felhőben, on-premise környezetben, felhasználói eszközökön egyaránt.

Sok esetben kevesen tudják, de az M365 E3 (és O365 E3 + EMS E3, ez utóbbi népszerű licenszkonstrukció a hazai vállalaltoknál) beépítetten tartalmaz sok képességet, amivel lefektethető egy információvédelmi rendszer alapja. A megoldás neve a Microsoft Information Protection, röviden MIP.

A védelem életciklusa a következőképpen épül fel:

  • discover: az érzékeny adatok felderítése
  • classify: adat megfelelő kategóriába helyezése (pl. céges adat, szenzitív információ)
  • protect: az adat védelemmel történő ellátása manuálisan vagy automatikusan (label)
  • monitor: a védett adat felhasználásának követése.

Nézzünk egy fikítv példát, hogyan működik a fenti folyamat, GDPR-megfelelősséggel:

Andrea foglalkozik a HR-folyamatokkal, dolgozói belépésekkel. Emiatt sok személyes adattal dolgozik Word- és Excel fileokban.

Discover: a rendszergazda beállította a MIP-et, hogy felismerje a szenzitív információkat (pl. személyi igazolvány számokat), és policyket rendeljen hozzá.

Classify: a MIP alkalmazza a megfelelő címkét, a policy előírásoknak megfelelően.

Protect: MIP automatikusan ellátja a megfelelő védelemmel a filet, amivel megakadályozható, hogy illetéktelenek férjenek hozzá a tartalomhoz. A védelem maga a file részévé válik. Ebben az esetben, ha a file ki is kerül a szervezetből (véletlen vagy szándékos adatszivárgás során), az információ védett marad.

Monitor: a felhasználó vagy a rendszergazda nyomon tudja követni, ki nyitotta meg a file-t (sikeresen vagy sikertelenül, jogosultság hiányában). Amennyiben úgy tűnik, hogy sok a sikertelen hozzáférés – ez lehet biztonsági probléma is- , a hozzáférés könnyen visszavonható.

A következő leírásban bemutatom, hogyan lehet egy nagyon alap megoldást létrehozni, amivel a céges dokumentumokat lehet védeni, hogy közben a felhasználók zavartalanul dolgozhassanak.

Elvárás a megoldással szemben:

  • minden, céges accounttal rendelkező dolgozó teljeskörűen hozzáférhessen a dokumentumokhoz, szerkeszthesse-nyomtathassa stb, fennakadás nélkül.
  • ha a dokumentum kikerül a szervezetből (emailen elküldve, usb-re kimásolva, stb), a védelem maradjon rajta és illetéktelenek ne tudjanak hozzáférni a tartalmához.

Lépések:

Sensitvity Label létrehozása az O365 Security&Compliance Centerben (https://protection.office.com/sensitivity?viewid=sensitivitylabels)

A labelt nevezzük el, pl Internal Use Onlynak:

Az Encryption részen lehet beállítani, hogy védelmi címke alkalmazódjon. Az “Assign permission now” részben tudjuk a jogosultságokat megszabni, kiknek legyen jogosultsága.

A “Choose permission” résznél pedig definiálható, hogy milyen jogosultság legyen hozzárendelve (save, print, copy stb)

A content marking (itt lehetne vízjelet, headert-footert tenni a dokumentumokba), site and group settings, auto-labeling opciókat ebben a példában nem használjuk, csak el kell menteni a labelt.

Az elkészült label megjelenik a felületen:

A label létrehozása után meghatározhatjuk, hogy kinek legyen elérhető. Ezt a label policy beállításban lehet megtenni. Válasszuk a “Publish labels” opciót:

Válasszuk a “Choose sensitivity labels to publish” részt:

A Publish users and groups résznél kiválaszthatjuk, milyen felhasználóknak vagy csoportoknak szeretnénk elérhetőve tenni:

A Policy settings résznél hagyjuk meg az alapbeállításokat:

Nevezzük el a policyt, majd mentsük el:

Az így létrejött policyt láthatjuk a label publishing policynél:

Következő lépésként a felhasználók gépére telepíteni az Azure Information Protection klienst, ami letölthető a Microsoft oldaláról: https://www.microsoft.com/en-us/download/details.aspx?id=53018

A telepítést követően az Office-alkalmazásokban megjelenik egy új menüsor, benne a publikált labellel:

Felhasználói élmény:

A felhasználó innentől kezdve tudja használni az információvédelmi megoldást, a dokumentumra rátéve a labelt, mentés után a következő információt látja:

Megjegyzendő, hogy a “tartalomfogyasztás” maga az ingyenes, tehát a védett dokumentumok megnyitáshoz nincs szükség az Azure Information Protection kliens telepítésére és AIP P1 licensz hozzárendelésére.

Az alapszintű információvédelemi megoldásunk tehát elkészült, a felhasználók tudnak dolgozni vele. Nézzük meg, hogy mi történik, ha egy ilyen “Internal Use Only” védett dokumentum kikerül a szervezeten kívülre.

A példában egy ilyen védett dokumentumot egy melléütés miatt rossz emailcímre küldtek ki. A fogadó megpróbálja megnyitni a file-t a Wordjében, de az bejelentkezési ablakot dob fel.

Mivel nincsen céges accountja, ezért a dokumentum tartalmához sem tud hozzáférni:

Levelezés esetében is hasonlóképp működik a védelem, ha emailt küldünk és rátesszük az Internal Use Only labelt, csak a cégen belüli felhasználók tudják megnyitni:

A fenti leírás alapján látható, hogy nagyon könnyű egy alapszintű védelmi rendszert beállítani, amit természetesen lehet tovább finomítani (további labelek, külsősökkel történő adatcsere esetére pl), illetve adott esetben automatizmusokkal ellátni.

Bemutató – Microsoft CloudApp Security

Posted on by
Reply

Mi a Cloud App Security?

Ezt a terméket viszonylag kevesen ismerik, pedig nagyon jó szolgáltatot tud tenni egy IT-szervezetben, a felelős szakemberek (CISO, security osztály stb) válláról hatalmas terhet levesz. Az alábbi cikkben szeretném röviden, technikai mélységek nélkül ezt bemutatni.

A Microsoftos világon kívül is rengeteg olyan felhős szolgáltatás van, ami a szervezet működéséhez szükséges, pl Salesforce. A mai IT-trendeket tekintve, nem realis a teljes “bezárkózás”, hanem gondolni kell az MS-ökoszisztémán kívül eső szolgáltatásokra, ezek felügyeletére is.

Mire használató a CloudApp Security?

Egyfelől megoldást ad a Shadow IT problémára, másfelől integrációt tud biztosítani más felhős szolgáltatásokkal, így az IT-által kontrollált módon történhet a céges adatok mozgása/felhasználása.

 Pár szó a Shadow IT jelenségről:

Shadow IT-nak hívjuk azt, mikor a felhasználók valamilyen szolgáltatást nem kapnak meg a céges IT-tól (szándékosan vagy még nincs megoldás az igényre), és ilyenkor maguk kezdenek megoldást keresni/kiépíteni. A klasszikus példa: “szeretném a fileokat máshonnan is elérni, de erre nem volt mód. Ezért beállítottam egy Google Drive-ot és most működik a fileok szinkronizálása“

Ez egy nagyon veszélyes jelenség, mivel könnyen látható, hogy céges adatok kontroll nélkül kerülnek más felhős szolgáltatásokba, menedzseletlen gépekre (pl. otthoni közös gép). A nemzetközi statiszkák alapján pedig a dolgozók 80%-a használ olyan alkalmazásokat/felhős szolgáltatásokat, amiket az IT nem hagyott jóvá!

Az üzleti igényre, hogy miként lehet monitorozni/kontrollálni a céges adatok mozgását más szolgáltatások felé, a CloudApp Security tud választ adni, a következő elven:

A fenti ábra egyszerűsített magyarázata:

–       azonosítsuk a felhős alkalmazásokat

–       vizsgáljuk meg azokat céges szabályzat szerinti megfelelőségnek

–       beszéljünk a felhasználóinkkal, hogy miért hasznáják ezeket, mi az igény és erre az igényre milyen választ/alternatívát tudna adni az IT

–       engedélyezzük vagy tiltsuk ezeket az alkalmazásokat

–       monitorozzuk a további felhasználást

Hogyan monitorozható a felhős alkalmazások használata?

Az egyik lehetőség, mikor csak egy pillanatképet szeretnék kapni, hogy általában milyen alkalmazásokat használnak a felhasználók. Ilyenkor a céges proxy szerver logjait(pl. elmúlt 2-3 hét) be lehet tölteni a CloudApp Securityba (Snapshot report néven található a beállítás) és az kiad egy átlátható dashboardot:

Itt könnyen áttekinthető a felhős alkalmazások használata, felhasználókra, adatforgalomra stb részletezve. 

Van mód folyamatos logolásra is (Continuous report), mikor a céges proxy szerver folyamatosan adja át a logokat a CloudApp Securitynek, így majdnem valós időben is monitorozható a forgalom.

 Mi a helyzet azokkal a gépekkel, amik nincsenek a céges tűfal/proxy mögött? Elég gyakori jelenség már, hiszen a mobilitás ugrásszerűen megnőtt, egyre több felhasználó dolgozik otthonról vagy különféle hálózatokból. Nos, a Windows 10 1809 verzióval bejött az a képesség, hogy a beépített Windows Defender kliensen keresztül közvetlenül tud reportálni a CloudApp Securitybe.

 A riportok elemzése után következő lépésként megvizsgálható, hogy ezek a használt termékek milyen nemzetközi szabványoknak felelnek meg. Például, ha céges előírás, hogy csak olyan Saas alkalmazás használható, ami teljesíti a SOC2 követelményt, ez könnyen ellenőrzihető.

A CloudApp Security több mint 16 ezer alkalmazást kategorizált (ez folyamatosan bővül), és villámgyorsan lekérdezhető a Cloud App Catalogon keresztül, egy-egy alkalmazás megfelelősége:

 A lenti példán a Google Drive compliance reportja:

Ez a Catalog szolgáltatás mérhetetlen mennyiségű munkát levesz a felelős szakember válláról, hiszen nem kell egyenként keresgélnie egy adott felhős alkalmazással kapcsolatban, hanem ezeket a reveláns információkat készen kapja.

 (megjegyzés: a Microsoft 10-es skálán sorolja az alkalmazásokat, a megfelelőségeket tekintve. Mivel itt több mint 70 nemzetközi standardot vesz alapul, így nem “hajlik a keze maga felé” 😊 A Skype sem kapta meg a 10-es pontszámot, mivel security és compliance szempontok alapján nem teljesíti mindet. Így ez a besorolás teljesen objektív)

 Ezek után érdemes párbeszédet kezdeni a felhasználókkal, ha kiugróan nagy használatot látunk. A példához visszatérve, ha azt látjuk a logokból, hogy napi 2-3 gigabájt adatot töltenek fel a Google Drive-ba, akkor érdemes megkérdeni, hogy mi az igény és az IT mit tud erre nyújtani (lehet a megoldás az OneDrive beállítása, ahol már megoldható az adatok feletti kontroll)

Természetesen a szigorúan szabályozott szervezeteknél ez nem feltétlenül járható, de a párbeszéddel és konstruktív megoldási tervvel mindenki jól jár.

 Amennyiben a felhős alkalmazás elfogadható a céges normák szerint, akkor beemelhető a szoftverkatalógusba.

 A CloudApp Security további képességei, csak címszavakban:

–       magas szintű logolás: felhasználók, fileok, aktivitások részletes logolása-elemzése

–       integráció a Windows Defender ATP és Azure Information Protection termékekkel

–       alkalmazások publikálása: Conditional Access segítségével meghatározható, hogy pl. csak domain tag gépről lehet mellékleteket letölteni a gépre, más esetben letiltja

–       előre definiált alert policyk: pl. nagyszámú fileletöltés adott időn belül, emailek kifelé forwardolása, nagymennyiségű adatforgalom nem jóváhagyott felhős alkalmazás felé

–       anomáliák, riasztások észlelése és kezelése

Ez a termék nagyon ajánlott minden szervezet számára, hiszen a céges adatok kontrollálása megkerülhetetlen felelősség manapság.

Kipróbálható a 30 napos verzió: https://www.microsoft.com/en-us/cloud-platform/cloud-app-security-trial illetve része az Enterprise + Mobility E5 csomagnak

Miért ne féljünk a password hash szinkronizálástól?

Posted on by
1

A Microsoft Detection and Response Team (DART) csapat tollából született egy remek cikk, https://www.microsoft.com/security/blog/2019/05/30/demystifying-password-hash-sync/

Ennek kapcsán szeretnék én is pár gondolatot megírni.

Ügyfelekkel történő konzultációk során, mikor szóbakerül a jelszóhash-szinkronizálás, sok esetben a teljes megdöbbenés és elutasítás a reakció:

“nem szeretném, hogy a Microsoft hozzáférjen az összes földi AD-jelszavamhoz”

“szigorúan tilos, hogy jelszóinformációk elhagyják a belső hálózatot”

“küzdjön csak meg az NSA a jelszavaimért, nem adom neki az MS-en kereszül tálcán” (ez remélem, irónia volt, nem mertem visszakérdezni…)

Először is, nézzük, hogyan a fenti aggodalmak miért nem valósak, és hogyan történik ez a hash-kezelés:

  • Az AzureAD Connect kliens a domain controllertől kapott jelszóhash-t átalakítja egy 32 bájtos hexadecimális karakterré
  • utána egy binárissá alakítja UTF-16 kódolással
  • a kapott értéket megsózza (salt) további 10 bájttal
  • az így kapott eredményt pedig 1000 alkalommal újrahash-eli HMAC-SHA256 kódolással
  • a végeredményt pedig a tenanthoz dedikált Service Bus juttatja el az AzureAD-ba (TLS kapcsolaton keresztül)

Ez a folyamat valószínűleg már mindenkinek megnyugató 🙂

Továbbmenve, paradox módon hangozhat, de nagyobb biztonságot tudok elérni a felhő felé nyitással (azaz a password hash szinkronizálással), mintha teljesen bezárkóznék mindenféle földi védelmi rendszere mögé! Szembemegy a gondolat a régi beidegződésekkel,igaz? 🙂

Mire gondolok itt?

Ha engedélyezzük a password hash szinkronizálást, igénybevehetünk robosztus felhő alapú, gép intelligenicára támaszkodó szolgáltatásokat, mint például az Azure AD Identity Protection. Dióhéjban, evvel a szolgáltatással nagyon erősen védhető az userek identitása, kaphatok riasztásokat, ha gyanús bejelentkezések történnek az accountokkal, ha kompromittálódott a felhasználói fiók (azaz az usernév/jelszó páros kiszivárgott, pl feltört adatbázisokba) és ezekhez az anolimáliákhoz automatikus akciókat is lehet rendelni (pl. gyanús felhasználói bejelentkezés esetén legyen kötelező a multifaktoros hitelesítés). Elérhetővé válik a Smart Lockout szolgáltatás, ami a jelszótörő brute-force támadásokat megállítja. Az IP lockout service, ami észleli az ún. password spray-attack támadásokat és blokkolja azokat, miközben a valódi felhasználó továbbra is gond nélkül be tud jelentkezni a hálózatba.

Mondanom sem kell, ilyenhez hasonló földi védelmi rendszer ára (hardverek, licenszköltségek, speciális szoftverek) a csillagos égig érhet.

Összefoglalva: használjuk bátran a password hash szinkronizálás szolgáltatást, a kockázatot nem növeljük vele, és elérhető lesz sok magas szintű felhős védelmi megoldás.

Pajzsok fel!

Posted on by
Reply

A jó védekezés egyik alapvetése, hogy a támadási felületet csökkentjük. Ugyanez igaz az IT-ra is, érdemes minél kisebb teret hagyni a sebezhető pontoknak (másik megközelítés, hogy addig növelni a támadó ROI-ját, hogy inkább más célpontot keressen)

A klasszikus védelmi megoldásokat ismerjük, antivírus szoftver, tűzfal, nem látogatunk kétes oldalakat, stb. Sajnos ezek kevesek lehetnek, ha alkalmazásokon keresztül érkezik a fenyegetés.

Az alkalmazások tartalmazhatnak régi, elavult megoldásokat, amiket kártevők kihasználhatnak. Jellemző példa a makrók, amik nagyszerű eszközök, de rosszindulatú módon is bevethetők. Vagy mint lentebb láthatjuk, egy rosszindulatú-preparált Adobe PDF károkozása “megúszható”

A Microsoft Attack Surface Reduction (ASR) megoldásával az alkalmazásokat kihasználó támadások sikeresen megakadályozhatók.

Gyorsan elő a feketelevessel: csak Windows 10 Enterprise kiadással működik. Cserébe Intune-ból és SCCM-mel is kezelhető… 🙂

Az ASR segítségével letiltható, hogy Office és Adobe programok futtatható állományokat hozzanak létre vagy pl. WMI-n keresztül processeket indítsanak. Könnyen látható, hogy pár legitim eset kivételével ezek bizony kártékony viselkedésre utalhatnak, tehát blokkolandó. Emellett a scriptek (JavaScript, VBScript) működése is felügyelhető.

További szabályozható beállítások, csak felsorolás jelleggel:

  • Block executable content from email client and webmail: régi, de hasznos, levelezőklienssel ne lehessen futtatható állományokat megnyitni.
  • Block Office Communication Applications from Creating Child Processes: megakadályozza, hogy az Office-alkalmazások újabb processeket hozzanak létre. Ha szükség van rá, kivételként engedélyezhető, az alap a blokkolás.
  • Block Adobe Reader from Creating Child Processes: ó, a PDF-fileok, támadók kedvence. Sok sebezhetőséget tartalmaz, sok esetben lassan foltozzák a szoftvert a cégek, ráadásul a “PDF az PDF”, miért ne nyitnám meg? Itt jó szolgáltatot tehet a szabály, hogy egy PDF csak ne akarjon processeket indítgatni….
  • Use advanced protection against ransomware: egy plusz védelmi vonal, ha egy futtatható állomány kártevőre hajaz, letiltja futását, még akkor is, ha alapból engedélyezve van.
  • Block process creations originating from PSExec and WMI commands: psexec és wmi nem hozhat létre processeket. Ha SCCM-et használunk, ez NE állítsuk be, mert csúnyán belekavarhat az SCCM kliens működésébe.
  • Block untrusted and unsigned processes that run from USB: bár az usb használata csökkenőben, azért nem baj, ha egy pendriveon lévő, digitális aláíráson lévő állomány nem indulhat el közvetlenül.
  • Block credential stealing from the Windows local security authority subsystem: nem engedi, hogy külső alkalmazások jelszavakat vagy hash-eket szedjenek ki a memóriából.

A teljes szabálylista itt érhető el: https://docs.microsoft.com/hu-hu/windows/security/threat-protection/microsoft-defender-atp/attack-surface-reduction

Az ASR bevezetésekor érdemes monitorozással kezdeni, hogy a későbbi blokkolás mit érintene (pl. pénzügy esetén makrók generálása stb). Az Audit mode-dal ezt alaposan meg tudjuk vizsgálni, kivételeket képezni. Ezután jöhet a Block mode, ami a fenti szabályok alapján már tiltást végez.

Windows 10 E5 vagy M365 E5 licensz birtokában megkapjuk a Microsoft Defender ATP szoftver is, amivel az ASR teljesen kompatibilis, az evvel kapcsolatos riasztások és policyk központilag kezelhetők. Az alábbi képen látható, hogy átlagos hétfői napon több mint 1800 ASR-block történt…

A fentiek fényében tehát nagyon ajánlott az ASR bevezetése, evvel is csökkentve a támadási felületet.

Pajzsok fel!

Egy cybertámadás forgatókönyve

Posted on by
Reply

Az alábbi cikkemben szeretném kötetlenebb stílusban bemutatni, hogyan zajlik egy célzott phishing cybertámadás. A levezetés mellett bemutatom azokat a Microsoft 365 / Azure szolgáltatásokat is, amikkel ezek a támadások lefülelhetők/megállíthatók.

Képzeletbeli támadónk, legyen a neve Mr. X, szeretne bejutni a Riprop Kft céges IT-rendszerébe, hogy onnan értékes adatokat szerezzen meg észrevétlenül. Célja tehát a rejtőzködés, nem a károkozás, így nem is gondolkodik romboló technikákban. A Riprop Kft egy “felhős” cég, a földi infrasruktúrája mellett M365-öt használ.

Mr. X, miután egyszerű script-kiddie megoldásokkal leellenőrizte hogy kívülről nem tud bejutni a hálózatba, másik támadási vektort keresett. Azt már megtanulta, hogy az emberi tényező (mulasztás, hiszékenység) a legtöbb sikerrel kecsegtető lehetőség, így a phishing mail támadás mellett döntött.

Kisméretű botnetje segítségével elkezdett leveleket küldözgetni a Riprop Kft egyes dolgozóinak. Az emailcímek formátumát ismerte (kis.jolan@riprop.com), így könnyű dolga volt. Az adathalász emailt úgy állította össze, hogy a benne lévő link egy O365 loginpage-re hasonlított, a levél tartalma pedig az volt hogy az IT Helpdesk kéri, hogy a belépésével erősítse meg az accountját.

(ennél vannak kifinomultabb támadások is, tudunk olyan esetről, ahol a támadók ismerték a titkárnő színházak iránti rajongását, ezért a kedvenc színháza formátumával preparált adathalász levelet küldtek neki…)

Lehetséges védekezés: az Office 365 Advanced Threat Protection szolgáltatás egy extra védelmi réteg az Exchange Online-ban. Segítségével az adathalász, és egyéb hamisított mailek (pl. a CEO nevében küldött, pénz átultalását utasító) kiszűrhetőek, fejlett AI alapján. Emellett képes a mailekben lévő linkek előzetes megvizsgálására és ha támadó webhelyre mutatnak, akkor letiltja az elérést a felhasználó számára. Szintén képes az emailekben érkező csatolmányok megvizsgálására, egy felhős virtualizált környezetben lefuttatására. Ha a kapott PDF file mondjuk egy preparált darab és megnyitásakor mindenféle gyanús tevékenységet végezne (powershell futtatás, http kapcsolódás egy ismeretlen IP-címhez, stb) akkor a csatolmányt letiltja, nem kézbesíti a felhasználónak.

Az alábbi képen összefoglalva a működése:

Tegyük fel, hogy ez a védelmi megoldás nem volt beállítva Riprop Kft-nál, így az adathalász mailek akadálytalanul bejuthattak. Sajnos kb. harminc dolgozó nem figyelt eléggé, és gondolkodás nélkül megadta a felhasználónevét és jelszavát a kért URL-re kattintva (közben morogva, hogy “jajj, az IT már megint akar valamit, kétnaponta küldenek maileket, azt se tudom már mit akarnak”. (ez nagyon fontos szempont IT-oldalról, hogy nem szabad “elárasztani” infókkal-változásokkal a felhasználókat, hiszen nem tisztjük ilyen mélységben követni. Teljesen jogosan, csak a munkájukat akarják végezni. Fontos tehát megtalálni az egyensúlyt az oktatás-kommunikáció-informálás között, különben a felhasználók közömbössé válnak és könnyebben esnek ilyen tévedések áldozatául)

Lehetséges védekezés: van mód az O365-be jelszó nélkül bejelentkezni. Használható az okostelefonokkal a Phone Sign-in megoldás (az O365 a név megadása után nem jelszót kér be, hanem a Microsoft Authenticator alkalmazáson megjelenít 3 számjegyet és a megfelelőt kell kiválasztani. A kiválasztás után pedig az okostelefon ujjelnyomat-azonosítása a második faktor.

Ha a Riprop Kft-nél ez a megoldást implementálták volna, a dolgozóknak feltűnik, hogy miért jelszót kér a rendszer, mikor mindig Phone SignIn-t használtak.

Szintén használható a FIDO2 biztonsági kulcs erre a célra, az USB-s hardveres kulcs végzi a hitelesítést, jelszó megadására ott sincs szükség.

Támadónk, Mr.X számára tehát megnyílt az aranybánya, volt harminc érvényes felhasználóneve és jelszava a rendszerhez. Mivel lusta volt próbálgatni egyenként a hozzáféréseket, a már meglévő botnetje segítségével kezdett el belogolni a Riprop Kft rendszerébe a megszerzett accountokkal.

Lehetséges védekezés: Az Azure AD Identity Protection szolgáltatás monitorozza a felhasználói belépéseket, szokásokat. Az ezektől eltérő jelenségekre (pl. bejelentkezés ismeretlen országból (ahol a felhasználó nem járt az elmúlt fél évben), lehetetlen utazás megvalósulása (több belépés rövid idő alatt, pl. pár perc eltéréssel Moszkva és Madrid), belépés TOR-hálózatból, vagy botnet-tag számítógépről) azonnal reagál. Az észlelt anomáliákhoz akciókat is tud hozzárendelni, pl. ismeretlen helyről belépés esetén kényszeríti az MFA hitelesítés végrehajtását, vagy kompromittálódott account esetén azonnal letiltja azt és csak a helpdesk oldhatja fel.

(Kompromittálódott accountok: azok, amiknek kiszivárgott a név/jelszó párosa, és megtalálhatóak mindenféle adatbázisokban. Nem titok, a Microsoft elég sok pénzt és energiát áldoz rá, hogy jelen legyen a “darkweben” is, ahol az ilyen adatbázisok megtalálhatók. Ha talál egyezést, az adatbáziban szerepel a név/jelszó páros, azonnal tudja értesíteni az Azure AD-t, aki a fenti módon letiltja az accountot.

Sajnos mivel a Riprop Kft-nél ez a megoldás sem volt implementálva, nem tűnt fel senkinek, hogy tömegesen jelentkeznek be a felhasználók adataival, különböző országokból.

A baj megtörtént, támadónk bejutott a rendszerbe. Volt néhány alapszintű (tehát admin privilégiumokkal nem rendelkező) accountja, amivel szabadon tudott mozogni a hálózaton. A további lépések ilyenkor a támadó részéről:

  • felmérni, milyen szenzitív (admin jogkörrel bíró) accountok vannak a hálózatban (ezt hívják Reconnaissance-nak)
  • megpróbálni hozzáférést szerezni a szenzitív accountokhoz (lateral movement)
  • végül átvenni az uralmat a rendszer felett, admin jogosultságokkal megbújni a rendszerben (domain dominance)

Mr. X tehát különböző felderítési technikákat alkalmazva (ldap lekérdezések, stb) eljut odáig, hogy van a hálózatban egy Terminal Server, amihez van működő accountja is, ráadásul a TS-en futó régi számlázóprogram miatt local admin jogosultsággal. Ide belépve felfedezi, hogy bizony a helyi IT hibázott és konfigurációs hiba miatt a víruskereső nem működik. Innentől felgyorsulnak az események:

Mivel admin joga van, rögtön látja, hogy még a domain adminok is ide lépnek be, sőt, van éppen bejelentkezett admin. Különféle programok segítségével (pl. Mimikatz) képes kinyerni a TS memóriájából a domain admin jelszóhash-t! Ne felejtsük el, a vírusirtó nem működik a gépen, tehát bármilyen malware jellegű programot lefuttathat.

A megszerzett hash-hel továbbhalad a központi SQL szerver felé, és a domain admint megszemélyesítve bejut az adatbázisszerverre. Ujjgyakorlatként még a domain controllerre is ellátogat, ahol kiállít magának a örök lejáratú kerberos ticketet, így bármelyik szerveren tud már mozogni. Itt a vége, csapda bezárult, a domain dominance megvalósult. Mr. X uralja a hálózatot, az SQL szerverről csendben készít adatbázis dumpokat és http segítségével tölti fel őket a saját rendszerébe. A történésekről nem tud senki, Mr. X hónapokig rejtőzhet a hálózatban (az átlagidő, a bejutásról a felfedezésig, 180 nap körül van, azaz a támadók gyakran fél évig is garázdálkodhatnak a rendszerben, mire felfedezik őket).

Lehetséges védekezés: az Azure ATP segítségével a fenti folyamatok egyenként detektálhatók (Reconnaissance-Lateral Movement-Domain Dominance), így az adminoknak azonnal van módjuk a támadást megakadályozni. A támadónak időre van szüksége, amíg a felderítést stb végrehajtja, ez sokszor több hét is lehet, így van idő a támadás kifejlődése előtt megállítani azt.

Az Azure ATP a domain controllerekre telepített szenzorok segítségével elemzik a hálózati forgalmat és azonnal riasztást küldenek különféle támadási észlelések esetén. Az alábbi táblázat mutat pár észlelési típust, de ez folyamatosan fejlődik, és felhős technológia révén, folyamatosan frissül is.

Kiegészítő védekezés: többszintű jogosultsági rendszer kialakítása. Külön accountok admin feladatokra, “sima” usernek sose legyen admin szerepköre. Admin accountokkal csak védett gépekre lehessen bejelentkezni, többfaktoros hitelesítéssel (pl. security key vagy virtual smart card)

Mint a fenti forgatókönyv is mutatja, a támadás könnyen megvalósítható, a fenyegetés nagy. A cikkben leírt védelmi megoldások viszont nagyrészt megtalálhatóak az O365/M365 előfizetésekben, csak elő kell őket venni a polcról és beüzemelni. Egy ilyen kiépített rendszerrel, a támadás kb az első lépésnél (phishing mailek megérkezése) elhalt volna.

Az egyszerű hitelesítés alkonya, MFA mindörökké?

Posted on by
Reply

Multi-factor authentication…IT-biztonsági berkekben az manapság egyik legnépszerűbb termék, sok esetben a “Szent Grál”, ami megoldja a szervezetek security problémáját.

Sajnos mint minden a világban, ez sem egyszerűen fehér vagy fekete, itt is fontos az átgondolt hozzáállás. Hiába a beruházás MFA-megoldásokba, minden felhasználónál bekapcsolva,stb, ha van olyan technikai megoldás, amire a többtényezős hitelesítés nem értelmezhető.

Tehát legyünk körültekintőek, hiába az MFA, ha az adott szolgáltatások elérhető legacy authentikációval is!

Block legacy authentication….ez olvassuk minden security guide-ban, mint egyik fontos tétel a biztonságos környezet kialakításában.

Mit jelent mindez?

Legacy authentication, mikor egyszerű felhasználónév/jelszó párossal hitelesítünk egy erőforráson, pl. levelezőszerveren. Ilyen többek között a POP, SMTP, IMAP, és MAPI protokollok. Mivel ezek nem támogatják a többfaktoros hitelesítést, a használatuk veszélyt jelent. Ha a felhasználói jelszót ellopják/feltörik, akkor bárhonnan bármikor elérik a céges erőforrásokat.

Hogy a sima jelszó-mint védelem- mennyire kevés, jól személteti az alábbi kép:

Megjelöltem egy tételt feketével. Bizony, hétkarakteres jelszó, ami tartalmaz kisbetű-nagybetű-szám-speciális szimbólumot, 17 óra alatt feltörhető….

Az Azure AD statisztikái szerint a jelszótámadások 99%-a a legacy authenticationhoz köthető. Ahol ezt már letiltották, ott 67%-kal csökkent a sikeres törések száma.

zek után nézzük, hogyan érdemes kivezetni a legacy authenticationt Azure AD környezetben? Segít az AzureAD Conditional Access.

előfeltétel: legalább Azure AD P1 licensz megléte.

  1. Mik a legacy protokollok? Mire valók pontosan?
  • Hitelesített SMTP – A POP és az IMAP-ügyfél által használt e-mail üzenetek küldésére.
  • Automatikus észlelés – Az Outlook és az EAS-ügyfelek segítségével kereshet postaládákat az Exchange Online-ban, és csatlakozhat azokhoz.
  • Exchange Online PowerShell – Az Exchange Online-hoz távoli PowerShell használatával való csatlakozáshoz használható. Ha letiltja az Exchange Online PowerShell alapszintű hitelesítését, a csatlakozáshoz az Exchange Online PowerShell-modult kell használnia. 
  • Exchange Web Services (EWS) – Az Outlook, a Mac Outlook és a külső alkalmazások által használt programozási felület.
  • IMAP4 – Az IMAP levelezőügyfelei használják.
  • MAPI HTTP-n keresztül (MAPI/HTTP) – Az Outlook 2010 és újabb verziói használják.
  • Kapcsolat nélküli címjegyzék (OAB) – Az Outlook által letöltött és használt címlista-gyűjtemények másolata.
  • Outlook Anywhere (HTTP-n keresztüli RPC) – Az Outlook 2016-ban használt
  • Outlook-szolgáltatás – A Windows 10 Posta és Naptár alkalmazása használja.
  • POP3 – A POP e-mail ügyfelek használják.
  • Jelentéskészítő webszolgáltatások – jelentésadatok beolvasására szolgál az Exchange Online-ban.
  • Egyéb ügyfelek – Az örökölt hitelesítést használóként azonosított egyéb protokollok.

2. Hogyan tekintsem át, milyen legacy protokollok vannak használatban?

Az AzureAD Sign-in logs kiváló eszközt nyújt számunkra a kereséshez. Navigáljunk el az AzureAD/Monitoring/Sign-ins részre. Válasszuk ki a kívánt időtartamot és a filterben adjuk hozzá a Client app mezőt, majd pipáljuk be az összes Legacy Authentication Clients-t.

Utána a Columns-nál adjuk hozzá, hogy jelentítse meg a Client Appokat is.

Így lesz egy kész táblázatunk, amiben látjuk a használatban lévő legacy protokollokat:

A tábálzatot letölthetjük CSV vagy JSON formában is, további feldolgozás céljából.

Miután beazonosítottuk a protokollokat, döntést hozhatunk a sorsuk felől. Szükséges a céges levelezéshez a POP? Kell-e támogatni az unsupported ActiveSync klienseket (ezek általában nem szabványos levelezőalkalmazások stb) ? Érdemes manapság a Modern Authenticationt használó alkalmazásokra áttérni (pl. Outlook 2013-tól felfelé és egyéb újabb alkalmazások) Vigyázat, a Skype for Business Exchange Web Services-t használ a Exchange-naptár eléréséhez, tehát tiltás esetén a Skype és naptár integrációtól elbúcsúzhatunk….

3. Blokkoljuk a legacy authenticationt! – monitor módban

Természetesen nem javasolt azonnali tiltást bevezetni, minden felhasználóra vonatkozóan. Szerencsére az Azure AD Conditional Access segítségével tudunk felmérést készíteni, hány felhasználót érintene a tiltás. A policyt beállítva, szűri az usereket, de nem blokkol, csak logolást végez. A szükséges beállítás a következő:

Ezt a policy érdemes futni hagyni 4-6 hétig, hogy elegendő adatot gyűjtsön.

Jön a kiértékelés rész, hány usert érintene a blokkolás? A Conditional Access Insights részen látható a Failure szám.

Érdemes felhasználói csoportokra bontva, fokozatosan bevezetni a tiltást. Azok az userek, akik már biztosan nem használnak ilyen régi protokollokat, bevonhatóak az enforce block beállításba.

4. Blokkoljuk a legacy authenticationt! – enforced módban

Miután meggyőződtünk róla, hogy a felhasználók készen állnak a kivezetésbe, a legegyszerűbb mód, ha a fenti policyt átállítjuk Report-only módból On-ra. Természetesen létrehozhatunk másik policyt, ami csak adott csoportra állítunk be és ott tiltjuk aktívan a legacy authenticationt.

A sig-in logok között látható lesz, ha mégis érkezne ilyen protokollon kapcsolódás:

Összefoglalva: nagyon népszerű manapság a többfaktoros hitelesítés, napról-napra több helyen is vezetik be, ami örvendetes tendencia. Viszont ne feledkezzünk meg róla, hogy csak akkor ér valamit, ha van mihez kötni a második faktort. Erre pedig a legacy protokollok nem képesek.

Miért van szükség az E5-re?

Posted on by
Reply

Az M365 E5 a legnagyobb nagyvállalati csomag, ami a Microsoftnál elérhető. A cikkben csak az IT-biztonsággal kapcsolatos részeire térek ki, az egyéb komponenseire (PowerBI, Audio Conferencing stb) nem.

Miért érdemes tehát az E5-be invesztálni? A legfőbb szempont, hogy nem kell csak IT-kiadásként gondolni a licenszekre, hanem komoly szerepük van az üzletfolytonosság fenntartásában. Ha egy vírustámadás miatt leáll a cég működése, az veszteség. A flottaüzemeltetők sem költségként tekintenek minden kötelező szervizelésre, hanem befeketetésként, hogy az üzlet működjön, fennakadás nélkül és bevételt termeljen.

A modern IT-világban már nem nehéz megoldani a folytonossághoz szükséges redundanciát, akár felhős, akár földi eszközökkel. Mindig be lehet tenni még egy szervert, még egy switchet, még egy internetkapcsolatot behúzni egy X-edik szolgáltatótól.

A következő feladat ennek a működésnek a “faltól-falig” védelme. A védekezés minden cég feladata, mérettől függetlenül. A végpontok, az identitások (felhasználói accountok) és céges adatok védelme kritikus feladat.

Régi és veszélyes gondolkodás, hogy “á, ki kíváncsi a mi adatainkra…”. Előfordult már, hogy a “kis” marketing partner céget törték fel, így szerezve belépési adatokat és hozzáféréseket a “nagy” céghez.

Az alábbi ábrán a klasszikus támadási lánc, az attack kill chain látható:

Balról jobbra haladva, röviden: phishing levelekkel és emberi tévedést- hiszékenységet kihasználva a támadók bejutnak a rendszerbe. Onnan továbbhaladva megpróbálnak egyre magasabb jogosultságokat megszerezni (lateral movement, admin jogosultságok megszerzése). Végül átveszik az irányítást a domain felett és a megszerzett adatokat kijuttatják (extrafilate data)

Itt jön be a képbe az E5 szerepe:

A fenti támadási lánc minden eleméhez van védelmi megoldása. A támadások már az elején azonosíthatók és megakadályozhatók.

Ahogy a képen látjuk, a támadás első fázisára az O365 ATP nyújt megoldást. A phishing maileket fejlett gépi intelligenciával megtámogatva megszűri, a csatolmányokat felhős sandboxban lefuttatja és elemzi viselkedésüket, a mailekben érkező linkeket megszűri, reputációs adatbázis alapján. Szintén erős az anti-spoofing, azaz levélhamisítás elleni védelme.

A következő részben az account feltörési kísérleteket és esetlegesen ellopott identitásokat az Azure AD Identity Protection és Azure ATP szolgáltatásokkal lehet felfedezni és megállítani.

Az Identity Protection figyel a bejelentkezési anomáliákra (idegen országokból, fertőzött hálózatból történéő belépésékre) és szükség esetén kikényszeríti a multi-faktoros hitelesítést, így meggyőződve róla, hogy a valódi felhasználó lépett be.

Az Azure ATP pedig a földi rendszerek kommunikációját figyeli (domain controllerek) és figyelmeztet, ha támadás készülődik (pl. jelszótöréses támadás egy felhasználói fiók ellen vagy Kerberos-ticket manipuláció). Ahogy az Identity Protection esetében, itt is a gépi elemzés segíti a támadások felmérését.

A céges adatok kiszivárogatásának megakadályozására és DLP-funkcióra pedig az utolsó fázisban szereplő Cloud App Security képes.

A Cloud App Security képes felmérni a végpontok (laptopok) forgalmát, adatszivárgási, jogosultatlan megosztási kísérletekre felhívni a figyelmet és megállítani azokat.

Milyen szolgáltatásokat kapunk még az E5-tel?

  • Self-service password reset, önkiszolgáló jelszóvisszaállítás: a felhasználók az IT-helpdesk segítsége nélkül tudják resetelni elfelejtett jelszavukat, kétfaktoros hitelesítés mellett
  • Conditional Access, feltételes hozzáférés: segítségével definiálható, hogy melyik felhős (és adott esetben földi) céges erőforráshoz milyen feltételek esetén lehet hozzáférni. Például, céges levelezés csak domain-tag gépről legyen elérhető.
  • Azure Information Protection, dokumentumvédelmi megoldás: a céges adatok kategorizálására és szükség esetén védelmére is. A védett dokumentumokhoz csak a meghatározott jogosultsággal bíró kör fér hozzá, függetlenül a file helyétől (emailen elküldve, USB-re kimásolva stb.)
  • Azure AD Privileged Identity Management, felhős jogosultságkezelési megoldás: admin szerepkörök időre történő megadása, auditálással, kötelező előzetes jóváhagyásokkal. Segítségével előírható, hogy ki, mennyi időre, milyen jogosultságot kapjon, majd az idő letelte után automatikusan visszavonódik.
  • Azure MFA, többfaktoros hitelesítés: segítéségvel az erőforrásokhoz való hozzáférést megerősíthetjük, a jelszavas bejelentkezésen túl. A fent említett Identity Protectionnal kombinálva, különböző scenáriókra is automatikus reagálás előírható. Például másik kontinensről történő bejelentkezési kísérlet esetén kötelező MFA-hitelesítés végrehajtása.
  • Microsoft Defender ATP: végpontvédelmi megoldás, ami a fejlett támadási formákat és fenyegetéseket észleli és elhárítja. Figyeli a végpontok viselkedését és gépi intelligencia segítségével proaktívan választ ad a felmerülő incidensekre

A teljes E5 funkcionalitás listája elérhető az alábbi linken: https://docs.microsoft.com/office365/servicedescriptions/downloads/microsoft-365-compliance-licensing-comparison.pdf

A fenti termékek működése és nagyfokú integráltsága miatt (pl. Azure ATP integrálódik a Cloud App Securityvel, így egy helyen tekinthetők meg az érintett fenyegetések) számít igazán ütőképesnek az M365 E5. Amennyiben olyan megoldást keresünk, amivel a céges adatokat, a végpontokat és felhasználói fiókokat biztonságban szeretnénk tudni, az E5 egy jó alternatíva lehet.

Miért fontos használni a Junk Email foldert?

Posted on by
Reply

Az Outlookban megtalálható Junk Email folder mindig is nagy viták tárgya volt. A felhasználók nem szeretik, mert ők csak az Inboxot nézik, az üzemeltetőknek is nyűg, ha sorra érkeznek a ticketek “nem érkeznek meg a leveleim”, holott csak a Junkba került.

Erre a problémára sok helyen azt a megoldást adják, hogy a spam-levelek tárgyába betesznek egy előtagot (prepend subject) pl [SPAM] és így küldik be a felhasználók inboxába. A felhasználók pedig tudomásul veszik, hogy néha bejön valami spam, de fontos levél biztosan nem kerül máshova.

Mindenki elégedett a helyzettel mindaddig, amíg nem jönnek az újabb panaszok: a Junk Email folderbe került a levél. Hát ez megy hogy lehet? Hiszen a spamszűrő (esetünkben Exchange Online Protection) oldalán beállítottuk, hogy a levél tárgyába tegyen valamit és utána Inbox. De mégis…

A válasz az Exchange postafiókokhoz tartozó rejtett antispam-rule (“By default, the junk email rule – a hidden Inbox rule named Junk E-mail Rule – is enabled in every mailbox)

Röviden, ehhez a szabályhoz a Spam Confidence Level (SCL) érték 4-esre van állítva. Ha az EOP ennél magasabb értéket állított be SCL-nek (pl 5-ös) akkor hiába a prepend subject, ettől még a Junk Email folderbe fog kerülni a levél.

Ezt a szabályt ki lehet kapcsolni felhasználónként:

Set-MailboxJunkEmailConfiguration “felhasználónév” -Enabled $false

Vagy az összes postafiókra:

$All = Get-Mailbox -RecipientTypeDetails UserMailbox -ResultSize Unlimited; $All | foreach {Set-MailboxJunkEmailConfiguration $_.Name -Enabled $false}

Ezt azért jegyezzük meg, mert később lesz jelentősége: “When the junk email rule is disabled on the mailbox, Exchange can’t deliver messages to the Junk Email folder based on the SCL Junk Email folder threshold”, azaz az Exchange nem fog tudni Junkba mozgatni leveleket. Ezt is akartuk,nem? Feladat teljesítve 🙂

Nos, kikapcsoltuk a fenti hidden szabályt, most már tényleg nem kerülhet semmilyen levél a Junk Email folderbe (ez így nem igaz, hiszen a Blocked Senderektől érkező mailek akkor is itt landolnak majd)

Ezután jön a következő fejvakarás: a spoofed és impersonated-gyanús levelek simán az Inboxban landolnak (a címzett zoltan.istvanffy@qualysoft.com, a feladó pedig zoltan.istvanffy@istvanffy.eu, ráadásul a Display Name is megegyezik, ez elég erősen véleményes lehet, mint megtévesztő)

Belenézve az O365 ATP policykbe, amikkel kontrolláljuk a spoof-impersonated próbálkozásokat, a következő a beállítás:

Hát igen, sajnos az előbb lőttük ki az Exchange képességét, hogy leveleket tudjon mozgatni a Junk Email folderbe, így nem tudott mit tenni, betette az Inboxba.

Visszakapcsolva a Junk Email Rule-t, a következő spoofolt levél már szépen a Junkba kerül:

Sajnos a spoof/impersonate policynél nincs olyan opció, hogy prepend subject, így ezt nem tudjuk beállítani.

És akkor még ott van a ZAP…

A Zero-hour auto purge előnye, hogy a már kézbesített levelek közül is visszamenőleg ki tudja szedni a káros leveleket (ehhez a mailboxnak az Exchange Online-ban kell lennie). Tegyük fel, kapunk egy mailt, benne egy ártalmatlan linkkel. Pár óra múlva a link mögé elhelyeznek egy adathalász oldalt. Erről a Microsoft is hamar tudomást szerez (a Security Intelligence Graph-ba érkező szignálok alapján), és automatikusan elindít egy workflow-t, amivel ezeket a leveleket átteszi a Junk Folderbe. Nagyon szuper szolgáltatás. Igenám, de:

“ZAP moves the message to the Junk Email folder, as long as the junk email rule is enabled on the mailbox ” azaz a működéséhez kell a junk email rule….

pluszban szintén nem működik, ha prepend subject megoldást válaszottunk “Prepend subject line with text: ZAP takes no action on the messagePrepend subject line with text: ZAP takes no action on the message

Összegezve az eddigieket, bár megoldottuk a felhasználóink számára, hogy ne kerüljön semmi a Junk Email folderbe, viszont kilőttünk két fontos védelmi vonalat: spoof-impersonation protection és a ZAP.

Mi lehet a legjobb megoldás: a fentiekből világosan látszik, hogy technikai szempontból a Microsoft erősen támaszkodik a Junk Email folderre. Amennyiben szeretnénk maximalizálni a védelmünket, érdemes átgondoni a koncepciót és használni a beépített lehetőségeket. A felhasználók felé pedig egy alapos (és folyamatos!) kommunikációval meg kell értetni, hogy bár nehézkesebb lehet a Junk Email foldert is figyelni, de összeségében közös érdek a védekezés. Az IT pedig természetesen a finomhangolással biztosítsa, hogy a lehető legkevesebb legitim levél kerüljön a Junk mappába.

Ahogy a bevezetőben is említettem, ez a spam-nem spam-junk kérdés örök vita, de azt látni kell felhasználói-üzemeltetői oldalról, hogy csak közös párbeszéddel-kompromisszummal lehet kezelni a kérdést.

Windows patchelés Intune segítségével – Case Study

Posted on by
Reply

Az előző cikkemben értekeztem a modern megközelítésű patch menedzsmentről (Intune) , itt mutatnék részletes levezetést, ügyféltörténet segítségével.

Az adott ügyfélnél vegyes környezet volt, kb. 400 db on-premise domaines gép, és a felhős iránynak megfelelően, kb. 150 db Azure AD-joined eszköz is, Intune menedzsment alá bevonva.

Az AAD-eszközök viszonylag friss Windows 10 verzióval futtottak (1809-1903), de az onprem gépeknél nagy szórást tapasztaltunk (1703-1803). Itt a patch menedzsmentet az SCCM biztosította.

Problémák

Az ügyféllel a következő fájdalompontokat azonosítottuk:

  • zavaróan nagy a verzió fragmentáció, nincsenek egy szinten a gépek
  • nehézkes az SCCM-oldali adminisztráció (deployment csomagok összeállítása, kiküldése gépekre, monitorozás)
  • nagy a hálózat terhelése a laptopok miatt (home office és VPN)
  • szintén nagy terhelés és sok hibás deployment, ha SCCM-mel próbálták a feaure update-et teríteni
  • nagy a késleltetés, mire egy gép megkapja a csomagot (ha nem használ VPN-t)
  • lassú a visszariportálás (szintén a VPN hiánya miatt)
  • AAD-joined gépeknél nincs riport lehetőség

Megoldás

A megoldási javaslatunk a felhőalapú Intune-patch menedzsment volt, aminek alapja, hogy az update beállításokat az MDM-ből szedik a gépek, a frissítéseket pedig a Microsoft Update szerverekről töltik. A folyamatot a Windows 10 beépített Windows Update workflow vezérli.

Előkészületek

  • Hybrid Azure AD-join kialakítása (hogy az Azure AD-ban tudjuk az on-prem gépeket csoportokba sorolni)
  • Intune automatic enrollment beállítása (onprem gépek bevonása az MDM alá)
  • SCCM Co-management kialakítása (ennek segítségével definiálható, hogy az Update workloadot az Intune kezeli)
  • Intune-ban Windows Update Ringek kialakítása (teszt -és production gépek)
  • Windows 10 Feature Update policy beállítás (a gépek érjék el a cél 1909-es patch levelt, és a további feature update-eket ne telepítsék, evvel biztosítva a szinten maradást)
  • Update Riporting fukció beállítása

Technikai feladatok

Hybrid Azure AD-join kialakítása

Az ügyfélnél federált domaint használtak, ezért az AD Connect segítségével konfiguráltuk be a hybrid joint.

Ezután a Windows 10 eszközöknek definiáltunk egy Group Policyt, hogy regisztrálják be magukat az AzureAD-ba:

Computer Configuration > Policies > Administrative Templates > Windows Components > Device Registration > Register domain-joined computers as devices = Enabled

A sikeres device regisztráció után látható a gép az Azure AD portalon, mint Hybrid Azure AD joined

A kliensgépen pedig egy admin cmd-ben futtatott dsregcmd /status paranccsal ellenőrizhető:

Intune auto-enrollment beállítása

Az auto-enrollment segítségével az onprem gépeket be lehet vonni az MDM-felügyelet alá automatikusan

Az Azure Portalon ellenőriztük, hogy az MDM scope All-ra legyen állítva:

https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/Mobility

A GPO-ban definiáltuk az automatic enrollmentet:

Computer Policy -> Computer Configuration -> Administrative Templates -> Windows Components -> MDM > Enable automatic MDM enrollment using default Azure AD Credentials

Az enrollment sikerességét a kliensen a következő módon lehet ellenőrizni:

Start > Settings > Accounts > Access work or school

A Sync gomb segítségével lekérhetők a policyk:

SCCM Co-Management kialakítása

A 1910-es verziójú SCCM-mel könnyű munka volt a co-management kialakítása.

A gépeknek definiáltuk a windows update beállításokat.

Ilyenkor az SCCM kliensek bekapcsolják az ún. dual scan módot, azaz minden csomagot az SCCM-tól kapnak, kivéve a windows frissítéseket, ott a Microsoft Update-hez fordulnak.

Intune Windowsupdate ring

Az Intune-ban összeállítottunk egy policyt, ami a következő beállításokat tartalmazta a production gépek számára:

  • Windows- és egyéb Microsoft termékekhez való frissítések telepítése (pl. Office 2016)
  • A Quality kiadásától számított 7 napig nem ajánlja fel a telepítést. Ez lehetőséget nyújt az üzemeltetőknek, hogy teszteljék az update-eket és szükség esetén megállítsák a deploymentet (Pause Ring funkcióval)
  • A feature update-eket külön policy vezérli (lásd később)
  • Az aktív időszak 8:00-16:00 között tart. Ez idő alatt nincs letöltés, telepítés és reboot üzenet a felhasználó felé.
  • A telepítések után 7 napig a rendszer figyelmezteti a felhasználót, hogy szükséges az újraindítás. Ha nem teszi meg, akkor felugró üzenetben értesíti, hogy kötelező reboot lesz, és előtte 30 perccel egy kikapcsolhatatlan figyelmeztetést tesz a sarokba

End-user experience

A projekt során a felhasználókat tájékoztattuk, hogy a Windows fog figyelmeztetéseket megjeleníteni, ami a telepítésre-újraindításra hívja fel a figyelmet. A szövegpanelek ismerősek voltak mindenkinek

Windows 10 Feature Update policy

Az ügyfél saját tesztelései alapján a 1909-es verziót stabilnak találta, kompatibiltási problémák nem voltak, így erre a szintre kívántak hozni minden gépet. Továbbá követelmény volt, hogy az új release-ek ne kerüljenek fel (2004), ezt a a feature update policval biztosítottuk.

Update Riporting

Az update riporting funkcióhoz igénybe vettük az Azure Log Analyitcs Workspace-t, azon belül pedig a WaaSUpdateInsights funkciót. Itt lehet nyomon követni a Security és Feature Update státuszokat, hibajelentéseket.

A log analyitcs lekérdezéssekkel részletes státusz lekérdezhető

Természetesen maga az Intune Update Ring is tud statisztikát mutatni:

Eredmények

A konfigurációt követő 7 napon belül az onprem gépek több mint 95%-a elérte a Hybrid Azure AD Join és Intune MDM-enrolled állapotot. A leglátványosabb változás a feature update terén volt megfigyelhető, a teljes géppark kb 85%-a elérte a 1909-es buildet, 25 napon belül. Az IT-helpdesk kiemelten figyelte az esetleges frissítésekkel kapcsolatos panaszokat, de nem érkezett ilyen. A monitorozás során kiderült, hogy a maradék 15%-nyi gép az a ritkábban használt kategóriába esik, így ott várhatóan lassabb lesz a frissítési tempó. Néhány frissítés hibára futott, ott az üzemeltetők megvizsgálták a problémát, túlnyomórészt a C: meghajtón lévő kevés hely okozta a gondot.

Az ügyfél az átadott megoldással elégedett volt, az eredmények az elvárásokat nagyban felülmúlták. A meglévő Intune-licenszek ilyenfajta kihasználása és a céges infrastruktúra terhelésének csökkentése is sikeres volt.