Letöltés blokkolása Cloud App Securityvel

Amennyiben rendelkezünk Azure AD P1 vagy P2 és Cloud App Security licensszel (Microsoft E5, EMS E5 vagy Microsoft E5 Security), könnyen megakadályozhatjuk céges adatok letöltését, ha nem menedzselt eszközről lép be.

Nem menedzselt eszköz: ami nincs az Intune-ba bevonva vagy nem Hybrid Azure AD-tag.

A példában az Exchange Online-nál fogjuk beállítani, tehát ha nem menedzselt eszköről lépünk be az OWA-ra, akkor kötelező lesz az Azure MFA hitelesítés és nem fogjuk tudni a mellékleteket a gépre letölteni. Így megmarad a lehetőség az OWA elérésre bármilyen gépről, de csak “read-only” módban.

Azure AD Conditional Access beállítása:

Navigáljunk el a conditional access portálra és hozzunk létre egy új szabályt:

https://portal.azure.com/#blade/Microsoft_AAD_IAM/ConditionalAccessBlade/Policies

A Conditions részrél állítsuk be a Client app / Browser-t

Az Access Control / Grant mezőnél pedig pipáljuk be a “Require multi-factor authentication” opciót

Az Access Control / Session résznél kapcsoljuk be az “Use Conditional Access App Control” és use custom policy… opciót

Cloud App Security beállítása:

Navigáljunk el az MCAS portálra: https://portal.cloudappsecurity.com/

A Control / Policies résznél készítsünk egy új Session policyt

A session control type-nál állítsuk át “control file download (with inspection)”-ra és az Appnál vegyük fel a Microsoft Exchange Online-t

(Ha megnézzük a szabályt, látszik, hogy ha a Device Tag nem egyenlő “intune compliant” vagy “Hybrid Azure AD joined”, akkor lép érvénybe)

Az Action résznél állítsuk be a block-ot

A szabály elmentése után teszteljünk:

Ha nem menedzselt gépről lépünk be az OWA-ra, ez az üzenet fogad minket:

Továbblépve, ha megpróbálunk egy mellékletet letölteni a levelezésből, a következő üzenetet kapjuk:

A policy kiterjeszthető több alkalmazásra is, pl. Teams / Sharepoint, egyéb üzleti alkalmazások.

Adathalászat ellen- Company Branding

Az adathalászat az egyik legnépszerűbb kísérlet, amivel megpróbálnak céges accountokhoz (felhasználónév és jelszó páros) hozzájutni. Ennek egy tipikus formája, mikor O365 login portalt hamisítanak, és várják hogy valaki gyanútlanul beírja a név/jelszó párost.

Ebben tud segíteni az Azure AD és a Company Branding funkció. Segítségével az O365 login portal testreszabható, céges logóval, egyéb vizuális beállításokkal. A felhasználókat pedig oktatni kell, hogy csak a céges logóval ellátott portalon jelentkezzenek be.

(Megjegyzés: ha ADFS-t használunk hitelesítésre, akkor természetesen nem ezt a portált fogjuk látni, hanem a kiszolgálóét, amit szintén érdemes “brandelni”)

Nézzük, hogy néz ki, ha alapesetben az O365 portal:

Ez egy elég általános felület, könnyű hamisítani. Cseréljük le hát az alapportált egy céges design-ra:

Navigáljunk el az Azure AD portalon a Company Branding részhez:

https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/LoginTenantBranding

A Defaultnál pedig töltsünk fel logót, háttérképet:

Ezt követően a felhasználóink ezt a portalt látják:

Látszik a céglogó és a háttér, jelezve, hogy ez a valódi O365 portal.

Természetesen ez is hamisítható, de ahhoz már elég célzottan kell a támadóknak előkészülni. A Company Branding beállítástól függetlenül, a felhasználókat időszakos securiy awareness tréningek keretében emlékeztetni kell, hogy ne kattintsanak gyanús linkekre, inkább mindig kézzel írják a böngészőbe a https://portal.office.com címet és úgy végezzék el a bejelentkezést.

Azure AD Connect – Auto Upgrade lehetőségek

A hibrid szervezeteknél az AAD Connect egy nagyon fontos eszköz, ennek segítségével tudják naprakészen tartani az Azure AD-t is. Kiemelt jelentőségű tehát, hogy mindig a támogatott és friss verziót használjuk.

(Jó tudni, hogy a 18 hónapnál régebben kiadott AAD Connect verziók nem támogatottak (a cikk írásakor az 1.3.20.0-as verzió és régebbeiek))

Az AAD Connect elég régóta tartalmazza az Auto-Upgrade lehetőséget. A kliens meghatározott időközönként lekérdezi a Microsoft szervereit és frissíti magát.

A frissítések állapotát ellenőrzini lehet az eventlogban, Applications and Services Logs\Microsoft\AzureADConnect\AgentUpdater\Admin résznél

Viszont fontos észben tartani, hogy a fenti Auto-Upgrade nem minden esetben működik! Előfordulhat egyedi konfiguráció, illetve nem minden egyes új kiadás jelenti, hogy az AADConnect frissíti magát.

Ellenőrizzük, az Auto-Upgrade állapotát, az AAD Connect felületén:

illetve powershellből is lekérdezhető:

Get-ADSyncAutoUpgrade 

Háromféle állapot lehetséges:

  • Enabled – Auto-Upgrade engedélyezve van és 6 óránként keres frissítést
  • Disabled – Auto-Upgrade le van tiltva, nem frissül a kliens
  • Suspended – Auto-Upgrade nem támogatott, egyedi beállítás(ok) miatt

Az utolsó, Suspended funkciót maga az AAD Connect kliens állítja be, ennek parancssoros átállítása (Enabled) nem támogatott.

Amennyiben a Suspended állapotot látjuk, akkor érdemes párhavonta ellenőrizni hogy van-e frissebb kliens és kézzel telepíteni (in-place upgrade). Az AAD Connect verziólista itt elérhető: https://docs.microsoft.com/en-us/azure/active-directory/hybrid/reference-connect-version-history

Ha lenne mód az Auto-Upgrade használatára, de mégsem szeretnénk, hogy frissítse magát a kliens (szeretnénk előtte tesztelni stb), akkor a használjuk a következő parancsot:

Set-ADSyncAutoUpgrade -AutoUpgradeState Disabled

Ha pedig mégis visszaállnánk az automatikus frissítésre, akkor így tehetjük meg:

Set-ADSyncAutoUpgrade -AutoUpgradeState Enabled

Vendégposzt – Seamless SSO

Nagy-Löki Balázs kollégám posztját ajánlom mindenki figyelmébe:

Az eredeti poszt linkje: https://nlbit.blog/2020/08/07/seamless-sso-azureadssoacc/

Egyszer volt, hol nem volt, telepítésre került az Azure AD connect és a sok kijelölhető opció közül bepipálásra került az “Enable single sign-on” lehetőség, mert ezzel tuti jó lesz a felhasználói élmény 🙂

Aztán böngésszük az on-premise AD-t (Private cloud AD – csak, hogy maradjunk a hivatalos megnevezéseknél) és találunk egy computer accountot, ami valahogy, valamikor létrejött, aminek a neve “AZUREADSSOACC”. Bizonyám ez összefügg azzal az opcióval amit kipipáltunk. De ez miért jött létre? Mire kell? Hogyan működik? Na ezt nézzük meg.

Az nem kérdés, hogy szeretnénk növelni a felhasználói élményt úgy, hogy a biztonság ne sérüljön, tehát a felhasználó által a private cloud-ban megszokott szolgáltatások elérése, ugyanúgy működjön a felhőben is, tehát ne kelljen újból és újból megadni a felhasználói-jelszó párost. Igen, a kerberosról beszélek.

Bizony, ezért jött létre ez a computer account, ami nem más mint az Azure AD “megszemélyesítése”. De hogyan működik? Vizsgáljuk meg.

  1. Felhasználó be szeretne jelentkezni egy felhős web app-ba.
  2. Az App átírányítja az Azure AD-hoz.
  3. Az adott App nem továbbít semmilyen domain vagy tenant információt, ezért meg kell adni a felhasználónak a felhasználó nevét.
  4. A webbrowser 401-es hibát ad, mert nincs érvényes kerberos ticket.
  5. A felhasználó böngészője kerberos jegyet igényel a “AZUREADSSOACC” objektumhoz. Igen és itt nyer értelmet ez az objektum, ami akkor jött létre, amikor bepipáltuk a “Enable single sign-on” lehetőséget és ez az objektum képviseli az Azure AD-t.
  6. Kapunk egy kerberos ticketet a “AZUREADSSOACC” objektumhoz, ami titkosítva lesz a “számítógép” kulcsával.
  7. A felhasználó böngészője elküldi a titkosított kerberos ticketet.
  8. Azure visszafejti a titkosított kerberos ticketet, azzal a kulcssal, ami akkor jött létre, amikor bepipáltuk a “Enable single sign-on” lehetőséget.
  9. Amennyiben érvényes a jegy, akkor a böngésző visszakap egy tokent, amivel hozzáférhet az erőforráshoz.
  10. Ezáltal a felhasználó sikeresen bejelentkezett a wep app-ba, anélkül, hogy megadta volna a jelszavát.

Remélem hasznos volt! 🙂

Üdv.:
NLB

Távollévő gépek menedzselése

A céges hálózattól tartósan távollévő gépek menedzselésének kérdése nem újkeletű, több szervezetnek is okozott már fejfájást. Illetve új problémaként felmerült a COVID miatt, hogy sok felhasználó hirtelen távolról kényszerült dolgozni az eszközével.

Mit értünk tartósan távollévő gép alatt?

Olyan laptopokat, amik a felhasználási sajátosságok miatt alig lépnek be a céges hálózatba, legyen az irodai hálózat vagy VPN. Néhány opció:

  • orvoslátogatók laptopjai
  • biztosítási és egyéb utazó ügynökök laptojai
  • alvállakozók, akik kapnak céges laptopot, de nincs igény a belső hálózat elérésre

Kiemelten jó példa a gyógyszeripari cégeknék az orvoslátogatók gépei. Kapnak céges eszközt, használják a levelezést, a munkájukat tudják végezni, az irodába nagyjából sosem mennek be, hálózatra nem csatlakoznak fel.

Mi történik menedzsment szempontból egy ilyen géppel?

  • 30 nap után megszűnik a domaines secure channel (“kiesik a domainből”)
  • Az előírt group policyk nem futnak le, nem frissülnek
  • A startup és logon scriptek nem futnak le
  • A wsus/sccm által kezelt frissítések nem települnek a gépre
  • Legrosszabb esetben akár az antivirus definiciós frissítések sem jutnak le a gépre (volt példa, ahol tiltották a frissítések internetről letöltését is)

Amint látjuk, ez a helyzet kellemetlen az IT-számára, hiszen ezen gépek felett gyakorlatilag elveszítette a kontrollt. A menedzselhetőség innetől a felhasználótól függ (mikor megy be az eszközzel céges hálózatra, mikor kapcsolja be a VPN-t stb…és milyen rossz az, mikor a céges bérelt vonalon kezd töltődni az akár több GB-os SCCM-csomag 🙂 ) A kockázat pedig adott: nem kerülnek fel a biztonsági frissítések, az IT nem értesül a gépet érintő incidensekről és lehetne sorolni.

Mi lehet a megoldás?

Toljuk ki a menedzsment határait a céges hálózaton kívülre! Gondoljuk át, hogy milyen nagyszerű lenne, ha az IT-felügyelet az Interneten kereszül történhetne! Az orvoslátogatók gépeinek üzemeltetői repesnének az örömtől.

Csináljunk Hybrid Azure AD joint, vagy akár Azure AD joint, Microsoft Endpoint Management (MEM) felügyeleti eszközzel párban. Evvel a következő lehetőséghez juthatunk (maradva az orvoslátogatók gépeinél)

  • Az on-premise domain gépet beléptetjük az AzureAD-ba is (ezt nevezzük Hybrid Azure AD joinnak. Innenől az AAD “ismeri” a gépobjektumot
  • Nincs secure channel hiba többé
  • A MEM segítségével teljeskörűen tudjuk menedzselni a gépet: frissítések telepítése, scriptek futtatása, VPN, emailfiók konfigurációk leküldése, megfelelőségek ellenőrzése (pl. lemeztitkosítás be van-e még kapcsolva), központi szoftvertelepítések
  • Jelentések-leltár futtatása a távoli gépeken, folyamatos státuszriportolással

Láthatjuk, hogy evvel a megoldással visszakapjuk az elveszett kontrollt a távollévő gépek felett.

Összegzés: érdemes átgondolni a kliensmenedzsment kérdését és válaszolni az új igényekre (céges hálózat nélkül is a kontroll megléte), erre az AzureAD és MEM egy jó alternatíva lehet.

Jelszócsere vagy jelszó reset?

Sok szervezetnél teszem fel az alábbi kérdést: “van password reset megoldásotok?”

A válasz szinte minden esetben egy magabiztos “Igen! Ott az OWA felületünk, vagy akár az ADFS-en”

Elsőre jónak hangzik, de nézzük meg közelebbről. Technikailag a jelszócsere és reset esetén is ugyanaz történik: megváltozik a jelszó. Az odavezető út azonban már árnyaltabb.

Jelszócsere megoldások:

Ahogy említettem, jelszócserére tökéletes az OWA vagy ADFS felület:

Ahogy látjuk, itt minden esetben szükéséges, hogy a felhasználó tudja a régi jelszavát is, annak megadásával tud új jelszót is beállítani.

Ez kockázatos is lehet, mert ha egy támadó megszerzi a jelszót, annak birtokában meg is tudja változtatni.

A fentiek viszont nem adnak megoldást, ha a felhasználó ténylegesen elfelejtette a jelszavát. Ebben az esetben marad a nehézkes megoldás, ahol az IT-helpdesk segítségét kell kérje. Ez is érdekes lehet, hogy miként történik meg, ha a céges ticketing rendszerbe nem tud belépni. Telefonon felhívja az IT-t, hogy kérek egy jelszóresetet? Nem biztonságos. Megkér egy kollégát, hogy nyisson egy ticketet a jelszóresetről? Nem biztonságos, plusz hogyan juttatjuk el neki az új jelszót? Egy külső emailcímre vagy egy megadott telefonszámra sms-ben? Megint csak nem biztonságos.

Fontos tehát, hogy legyen password reset megoldásunk, lehetőleg önkiszolgáló módon, tehát a felhasználó saját magának tudjon jelszót resetelni, az IT-bevonása nélkül. Így az IT-t sem terheli, és felhasználói oldalról sincs várakozás.

Az Azure AD P1 licenszekkel igénybevehető a Self-Service Password Reset eszköz, amivel biztonságos módon, többfaktoros hitelesítéssel lehet új jelszót beállítani.

A felhasználó elnavigál a https://portal.office.com oldalra és kiválasztja a “can’t access your account?”

Megadja a felhasználónevét:

A következő oldalon pedig kiválasztja, hogy milyen megoldással szeretné hitelesíteni magát. A lenti képen az AzureAD-ban regisztrált telefonra SMS-küldéssel vagy az Authenticator alkalmazásból való kóddal:

A kód megadása után már beállítható az új jelszó:

Mint látható, az Azure AD SSPR eszközzel egy nagyon könnyen és gyorsan beüzemelhető bizotonságos jelszóreset-rendszert kapunk.

O365 és M365, mi különbség?

Sokszor felmerül ez a kérdés, hogy mi a különbség a két termék között?

Nagyon röviden:

  • Az O365 az productivityhez kapcsolódó termékeket tartalmaz, Office-Teams-Sharepoint stb
  • Az M365 a fentieket tartalmazza, plusz a Windows 10-et és az Enterprise Mobility + Security csomag részeit.

A lenti táblázat részletezi az egyes elérhető komponenseket

Miért van szükség az E5-re?

Az M365 E5 a legnagyobb nagyvállalati csomag, ami a Microsoftnál elérhető. A cikkben csak az IT-biztonsággal kapcsolatos részeire térek ki, az egyéb komponenseire (PowerBI, Audio Conferencing stb) nem.

Miért érdemes tehát az E5-be invesztálni? A legfőbb szempont, hogy nem kell csak IT-kiadásként gondolni a licenszekre, hanem komoly szerepük van az üzletfolytonosság fenntartásában. Ha egy vírustámadás miatt leáll a cég működése, az veszteség. A flottaüzemeltetők sem költségként tekintenek minden kötelező szervizelésre, hanem befeketetésként, hogy az üzlet működjön, fennakadás nélkül és bevételt termeljen.

A modern IT-világban már nem nehéz megoldani a folytonossághoz szükséges redundanciát, akár felhős, akár földi eszközökkel. Mindig be lehet tenni még egy szervert, még egy switchet, még egy internetkapcsolatot behúzni egy X-edik szolgáltatótól.

A következő feladat ennek a működésnek a “faltól-falig” védelme. A védekezés minden cég feladata, mérettől függetlenül. A végpontok, az identitások (felhasználói accountok) és céges adatok védelme kritikus feladat.

Régi és veszélyes gondolkodás, hogy “á, ki kíváncsi a mi adatainkra…”. Előfordult már, hogy a “kis” marketing partner céget törték fel, így szerezve belépési adatokat és hozzáféréseket a “nagy” céghez.

Az alábbi ábrán a klasszikus támadási lánc, az attack kill chain látható:

Balról jobbra haladva, röviden: phishing levelekkel és emberi tévedést- hiszékenységet kihasználva a támadók bejutnak a rendszerbe. Onnan továbbhaladva megpróbálnak egyre magasabb jogosultságokat megszerezni (lateral movement, admin jogosultságok megszerzése). Végül átveszik az irányítást a domain felett és a megszerzett adatokat kijuttatják (extrafilate data)

Itt jön be a képbe az E5 szerepe:

A fenti támadási lánc minden eleméhez van védelmi megoldása. A támadások már az elején azonosíthatók és megakadályozhatók.

Ahogy a képen látjuk, a támadás első fázisára az O365 ATP nyújt megoldást. A phishing maileket fejlett gépi intelligenciával megtámogatva megszűri, a csatolmányokat felhős sandboxban lefuttatja és elemzi viselkedésüket, a mailekben érkező linkeket megszűri, reputációs adatbázis alapján. Szintén erős az anti-spoofing, azaz levélhamisítás elleni védelme.

A következő részben az account feltörési kísérleteket és esetlegesen ellopott identitásokat az Azure AD Identity Protection és Azure ATP szolgáltatásokkal lehet felfedezni és megállítani.

Az Identity Protection figyel a bejelentkezési anomáliákra (idegen országokból, fertőzött hálózatból történéő belépésékre) és szükség esetén kikényszeríti a multi-faktoros hitelesítést, így meggyőződve róla, hogy a valódi felhasználó lépett be.

Az Azure ATP pedig a földi rendszerek kommunikációját figyeli (domain controllerek) és figyelmeztet, ha támadás készülődik (pl. jelszótöréses támadás egy felhasználói fiók ellen vagy Kerberos-ticket manipuláció). Ahogy az Identity Protection esetében, itt is a gépi elemzés segíti a támadások felmérését.

A céges adatok kiszivárogatásának megakadályozására és DLP-funkcióra pedig az utolsó fázisban szereplő Cloud App Security képes.

A Cloud App Security képes felmérni a végpontok (laptopok) forgalmát, adatszivárgási, jogosultatlan megosztási kísérletekre felhívni a figyelmet és megállítani azokat.

Milyen szolgáltatásokat kapunk még az E5-tel?

  • Self-service password reset, önkiszolgáló jelszóvisszaállítás: a felhasználók az IT-helpdesk segítsége nélkül tudják resetelni elfelejtett jelszavukat, kétfaktoros hitelesítés mellett
  • Conditional Access, feltételes hozzáférés: segítségével definiálható, hogy melyik felhős (és adott esetben földi) céges erőforráshoz milyen feltételek esetén lehet hozzáférni. Például, céges levelezés csak domain-tag gépről legyen elérhető.
  • Azure Information Protection, dokumentumvédelmi megoldás: a céges adatok kategorizálására és szükség esetén védelmére is. A védett dokumentumokhoz csak a meghatározott jogosultsággal bíró kör fér hozzá, függetlenül a file helyétől (emailen elküldve, USB-re kimásolva stb.)
  • Azure AD Privileged Identity Management, felhős jogosultságkezelési megoldás: admin szerepkörök időre történő megadása, auditálással, kötelező előzetes jóváhagyásokkal. Segítségével előírható, hogy ki, mennyi időre, milyen jogosultságot kapjon, majd az idő letelte után automatikusan visszavonódik.
  • Azure MFA, többfaktoros hitelesítés: segítéségvel az erőforrásokhoz való hozzáférést megerősíthetjük, a jelszavas bejelentkezésen túl. A fent említett Identity Protectionnal kombinálva, különböző scenáriókra is automatikus reagálás előírható. Például másik kontinensről történő bejelentkezési kísérlet esetén kötelező MFA-hitelesítés végrehajtása.
  • Microsoft Defender ATP: végpontvédelmi megoldás, ami a fejlett támadási formákat és fenyegetéseket észleli és elhárítja. Figyeli a végpontok viselkedését és gépi intelligencia segítségével proaktívan választ ad a felmerülő incidensekre

A teljes E5 funkcionalitás listája elérhető az alábbi linken: https://docs.microsoft.com/office365/servicedescriptions/downloads/microsoft-365-compliance-licensing-comparison.pdf

A fenti termékek működése és nagyfokú integráltsága miatt (pl. Azure ATP integrálódik a Cloud App Securityvel, így egy helyen tekinthetők meg az érintett fenyegetések) számít igazán ütőképesnek az M365 E5. Amennyiben olyan megoldást keresünk, amivel a céges adatokat, a végpontokat és felhasználói fiókokat biztonságban szeretnénk tudni, az E5 egy jó alternatíva lehet.