Lukáš Beran
Lukáš Beran

Vítejte na mém blogu! Pokud hledáte návody, tipy a triky ze světa IT, jste tu správně. Najdete zde primárně články k produktům a službám Microsoftu, jako například operační systémy, servery, virtualizace, sítě, správa, ale také cloud. Občas přidám i nějaké další zajímavé články.

Listopad 2019
PoÚtStČtSoNe
« Říj  
 123
45678910
11121314151617
18192021222324
252627282930 

Rubriky


Doporučené politiky podmíněného přístupu v Azure AD

Lukáš BeranLukáš Beran

Každá organizace si může vytvořit politik dle svých uvážení a potřeb. Existují ale určitá doporučení na politiky, které by měly být vytvořené ve všech organizacích. Co je podmíněný přístup se můžete dočíst v mém předchozím článku.

Interní statistika Microsoftu říká, že pouhou aktivací vícefaktorového ověřování (MFA) na uživatelských účtech eliminujete 99,9 % útoků na uživatelské identity. Více informací v článku Your Pa$$word doesn’t matter.

Break-Glass účet

S politikami podmíněného přístupu souvisí i bezpečnostní účet, který je možné použít pro nouzový přístup, tzv. Break-Glass account. Tento účet by neměl mít vynucené žádné bezpečnostní omezení a měl by být vyjmutý ze všech politik podmíněného přístupu. Mělo by se jednat o účet globálního admina, který bude mít velmi silné náhodně generované heslo (délka alespoň 36 znaků, náhodná kombinace velkých/malých písmen, čísel a speciálních znaků). Tento účet by měl být zamknutý některé v trezoru a nikdo by k němu neměl znát přístupové údaje a účet by se neměl nikdy k ničemu používat – jen pro výjimečné události. Vhodné je také monitorovat každou aktivitu na tomto účtu a v případě podezření na zneužití okamžitě resetovat heslo.

Dále je dobré z bezpečnostních politik vyjmout servisní účty, které slouží k běhu různých služeb, jako například Azure AD Connect. Tyto účty by měly mít omezená práva a opět jen velmi silná generovaná hesla.

Vyžadovat MFA pro privilegované uživatele

Privilegované uživatelské účty jsou velmi citlivé, proto by měly být extra chráněné. MFA bychom pro tyto účty měli vyžadovat vždy – ze vše lokací, ze všech typů zařízení. Tedy i z firemní sítě a z firemních počítačů.

Microsoft doporučuje vynutit MFA minimálně pro tyto role:

V Azure portálu si tedy najdeme Podmíněný přístup (Conditional Access) a vytvoříme novou politiku. V uživatelích zvolíme uživatele a skupiny a následně Directory roles, ve kterých označíme výše uvedené role. V cloudových aplikacích vybereme všechny aplikace. V Access Control vybereme Grant access – Require multi-factor authentication.

Zablokovat legacy authentication

Legacy authentication je protokol, který umožňuje přístup k službám pomocí ověření jménem a heslem. Problém tohoto protokolu je, že neumožňuje žádné pokročilé bezpečnostní techniky včetně MFA. Z tohoto důvodu také drtivá většina útoků (některé statistiky říkají 99 %) cílí právě na legacy authentication.

Důvodem k používání legacy authentication mohou být staré Microsoft Office aplikace (2010 nebo starší) nebo aplikace/zařízení/služby využívající protokoly IMAP, POP nebo SMTP. Pokud tedy legacy authentication nepotřebujete, je dobré ho zakázat. A pokud ho potřebujete, měli byste ho nechat povolené vyloženě jen pro ty účty, které ho potřebují, a pro zbytek byste ho měli zakázat.

Jak zjistit využití legacy authentication v organizaci

Než budete legacy authentication blokovat, je dobré si ověřit, jestli není tento typ ověřování stále používaný. To lze zjistit snadno z Azure Active Directory v Azure portálu – Sign-ins. Zde musíme přidat nejdřív sloupeček Client App. Následně můžeme filtrovat výsledky podle typu klientské aplikace, kde vybereme Other clients.

Zablokování legacy authentication přes podmíněný přístup

Už víme, že legacy authentication je schované za Other clients. Můžeme tedy vytvořit novou politiku, která bude blokovat Other clients. V Azure portálu si tedy najdeme Podmíněný přístup (Conditional Access) a vytvoříme novou politiku. V uživatelích vybereme všechny uživatele a volitelně můžeme některé účty vyjmout, pokud potřebují legacy authentication. V aplikacích vybereme všechny aplikace. V podmínkách vybereme klientské aplikace, kde vybereme mobilní a desktopové aplikace a zaškrtneme Other clients.

Vyžadovat důvěryhodná umístění pro registraci do MFA

Organizace, které mají aktivní combined registration, mohou nastavit vynucení registrace ověřovacích informací z důvěryhodných umístění. Tím vyřešíte problém slepice-vejce pro registraci MFA, aby si ověřovací informace nemohl registrovat útočník, který má již přístup k uživatelské identitě.

V Azure portálu si tedy najdeme Podmíněný přístup (Conditional Access) a vytvoříme novou politiku. V uživatelích vybereme všechny uživatele. V cloudových aplikacích zvolíme User actions a označíme Register security information. V Conditions vybereme umístění a zde zvolíme All locations a vyjmeme trusted locations. Spolu s nastavením blokování přístupu tím zajistíme, že registrace je povolená pouze z důvěryhodných umístění – blokujeme všechny umístění kromě důvěryhodných.

Blokovat riziková přihlášení

Detekce rizikovosti přihlášení je součástí Azure AD Premium P2 licence. Díky této licenci máte pro každé přihlášení v reálném čase vypočteno riziko a na základě toho je aktivita zařazena do jedné ze čtyř kategorií:

  1. Žádné riziko
  2. Nízké riziko
  3. Střední riziko
  4. Vysoké riziko

Pro přihlašovací aktivitu s vysokým rizikem je doporučené blokovat přihlášení. V Azure portálu si tedy najdeme Podmíněný přístup (Conditional Access) a vytvoříme novou politiku. V uživatelích vybereme všechny uživatele. V aplikacích vybereme všechny aplikace. V conditions zvolíme Sign-in risk a vybereme High. V Access control vybereme Block access.

Vyžadovat firemní zařízení pro privilegované uživatele

Privilegované uživatelské účty jsou velmi citlivé, proto by měly být extra chráněné. Přístup na privilegované účty bychom měli povolit pouze z důvěryhodných zařízení, tedy ze zařízení spravovaných organizací. Ty v Azure AD detekujeme tím, že mají buď udělaný Azure AD Hybrid join nebo jsou spravované pomocí Intune.

Detekce spravovaných zařízení vyžaduje také podporovaný prohlížeč, tedy Microsoft Edge, Internet Explorer nebo Google Chrome s nainstalovaným rozšířením Windows 10 Accounts.

Microsoft doporučuje chránit minimálně tyto role:

V Azure portálu si tedy najdeme Podmíněný přístup (Conditional Access) a vytvoříme novou politiku. V uživatelích zvolíme uživatele a skupiny a následně Directory roles, ve kterých označíme výše uvedené role. V cloudových aplikacích vybereme všechny aplikace. V Access Control vybereme Grant access – Require device to be marked as compliant a také Require Hybrid Azure AD joined device.

Vyžadovat přihlášení z lokální země pro privilegované uživatele

Privilegované uživatelské účty jsou velmi citlivé, proto by měly být extra chráněné. Přístup na privilegované účty bychom měli povolit pouze z lokální země dané organizace, případně nějakého omezeného setu zemí. Útoky totiž obvykle pochází ze zahraničí, takže tímto omezením přirozeně eliminujeme většinu útoků. Navíc správci, pokud jsou mimo organizaci, by tak jako tak měli používat VPN, takže díky tomu je možné spravovat služby ze zahraničí a přitom vypadat, že jsem připojený přímo z firemní sítě.

Microsoft doporučuje chránit minimálně tyto role:

V Azure portálu si tedy najdeme Podmíněný přístup (Conditional Access). Než budeme moct vytvořit politiku podmíněného přístupu, musíme si vydefinovat naše lokální země. V menu vybereme Named locations a vytvoříme si novou lokaci. Libovolně si ji pojmenujeme a zvolíme Countries/Regions, kde označíme ty země, které patří do našich lokálních zemí, ze kterých budeme spravovat služby.

Nyní již můžeme vytvořit novou politiku podmíněného přístupu. V uživatelích zvolíme uživatele a skupiny a následně Directory roles, ve kterých označíme výše uvedené role. V cloudových aplikacích vybereme všechny aplikace. V Conditions zvolíme Locations a do Include dáme Any location a v Exclude vybereme Selected locations a vybereme námi vytvořené pojmenované umístění + vybereme MFA Trusted IPs. V Access Control zvolíme Block access.

Zablokovat Exchange ActiveSync

Exchange ActiveSync je z pohledu bezpečnosti legacy protokol, který není již nutný. Outlook na všech platformách již funguje zcela bez Exchange ActiveSync. Exchange ActiveSync navíc nepodporuje například vícefaktorové ověřování (MFA).

V Azure portálu si tedy najdeme Podmíněný přístup (Conditional Access) a vytvoříme novou politiku. V uživatelích vybereme všechny uživatele. V aplikacích vybereme Office 365 Exchange Online. V Conditions vybereme Client apps a zvolíme Mobile apps and desktop clients a Exchange ActiveSync clients. V Access Control vybereme Block access.

Nadšenec do nových technologií se zájmem primárně o technologie a služby společnosti Microsoft. Občasný blogger a cestovatel.

Komentáře 0
Nejsou zde žádné komentáře.