M365 - Multifaktor ohne Authenticator dank Azure AD Hybrid Join
In den meisten Projekten lege ich mit dem Kunden gemeinsam fest, dass wir zu Beginn mit der klassischen Multifaktor-Authentifizierung via Microsoft Authenticator beginnen. Hierdurch werden die Anwender sensibilisiert und ein Angreifer kann nicht sein Device als MFA-Faktor hinterlegen (so bereits in der Vergangenheit erlebt!).
Die Authentifizierung via Authenticator ist letztlich ein Schutz gegen Password Spray Attacken und wird von den Anwendern oft nicht hinterfragt, ohne „Number-Matching“ wurde es von den meisten Anwendern einfach ungeprüft bestätigt.
Der bessere zweite Faktor ist aus meiner Sicht der „Azure AD Hybrid Join“. Dieser Status beinhaltet einen Active Directory Domain Join, Sync des Computerobjekts nach Azure AD bzw. Entra und eine Registrierung des physischen PCs in das synchronisierte Objekt im Azure AD. Insofern das Active Directory gehärtet wurde, wird dieser Vorgang durch einen Administrator betreut, der Sync nach Azure AD wird in den meisten Fällen durch ein Attribut oder eine Gruppenmitgliedschaft ausgelöst. Es müssen also mindestens zwei Schritte für den Status des Geräts vorgenommen werden, welche nicht durch den Benutzer beeinflusst werden.
Der Azure AD Hybrid Join ist mit Windows Client- und Serverbetriebssystemen möglich.
Durch Conditional Access-Regeln, Richtlinien für den Rollout lässt sich der Zustand als grundsätzliche Bedingung für den Zugriff auf M365-Ressourcen definieren.
Wie sieht ein solches Projekt für den Rollout aus?
In der Regel beginne ich mit der Analyse der Azure AD Connect-Konfiguration. Um Conditional Access nutzen können, müssen im Tenant Azure AD Premium P1-Lizenzen dediziert vorhanden sein oder im Rahmen der M365-Lizenzen (z. B: ab M365 Business Premium) Bestandteil des Pakets sein.
Im nächsten Schritt werden die Signin-Logs hinsichtlich der Clienttypen (Smartphone, Windows, Mac) und Betriebssystem-Versionen ausgewertet. Oftmals sind die Clients nicht homogenisiert und liegen in unterschiedlichsten Buildversionen vor. Hieraus resultiert oftmals ein Clientprojekt für die Planung und den Rollout eines standardisierten Clients.
Das Active Directory wird hinsichtlich der Gruppenrichtlinien für M365 geprüft und Richtlinien für den gezielten Rollout des Hybrid Joins werden konfiguriert. Oftmals ist das Active Directory „historisch gewachsen“ und kaum dokumentiert, ein Review und ein Optimierungsprojekt (auch mit Hinblick neuer Sicherheitsrichtlinien, Rechte/Rollen-Konzept) ist hier oft die Folge. Die Quelle der Identitäten im hybriden Verzeichnis ist immer noch das Active Directory, daher ist diese zentrale Komponente immer noch kritisch.
Sofern Azure AD Connect noch nicht für den Hybrid Join konfiguriert wurde, wird dies nachgeholt.
Nach Testläufen wird der Rollout in Gruppen vorgenommen. Für den Rollout bedarf es keines Zutuns seitens der Benutzer, das Ergebnis kann im Azure Sign-in-Log geprüft werden.
Je nach Komplexität der Umgebung, Dokumentationsaufwand liegen die Projektaufwände zwischen 1 bis fünf Personentage.
Active Directory – Aber sicher! Part 2 – Delegierung
Redesign des Active Directory – Delegierung Um im Active Directory Verwaltungsaufgaben vorzunehmen, benötigt es nicht immer Domain Admin-Rechte. Die Lösung: Ein Rechte/Rollen-Konzept! Dieser Teil ist
Active Directory – Aber sicher! Part 1 – Richtlinien
Redesign des Active Directory – Projekt Roadmap Aufgrund von Compliance-Anforderungen oder bedingt durch Legacy Anwendungen, werden heute immer noch viele Infrastrukturen hybrid betrieben. Für die
Active Directory Tiermodell
Was ist das Active Directory Tiermodell? Regelmäßig empfehlen Pentester die Umsetzung des Tiermodells im Active Directory.Es handelt sich um ein Sicherheitsmodell und wurde bereits im
BookStack – einfache moderne Dokumentation
Warum eine Dokumentationsplattform? Viele IT-Mitarbeiter nutzen OneNote als Dokumentationsplattform, manche Word-Dateien, wieder andere Textdateien. Die Lösungen sind oftmals dezentral, mindestens aber nicht zentral verwaltet. Systemdokumentationen
Outlook Safe Sender List leeren
Wie im Artikel Exchange Online Protection und die Safe Sender List beschrieben, sollte die Safe Sender List nicht genutzt werden. Um sicherzustellen, dass die Liste
Exchange Online Protection und die Safe Sender List
Warum die Safe Sender List ein Risiko darstellt und wie man das Risiko mindert erkläre ich im nachfolgenden Beitrag Unter Outlook gibt es einen clientseitigen Junk-E-Mail-Filter-Agenten,