Přednáška: Microsoft Entra ID – Attack surface
Začátkem roku 2023 jsme přešli z on-prem Active Directory do cloudové Azure Active Directory (nově Microsoft Entra ID). PROČ a JAK jsem psal v článku „Přecházíme do Azure Active Directory„.
Současný stav je takový, že z on-prem AD nám zbývá už jen jeden DC server a dva terminálové servery. Ty mám v plánu nahradit do konce roku s Windows 365 Enterprise (Cloud PC) – které máme v rámci partnerství s Microsoftem k dispozici.
Avšak, aby nedošlo k nedorozumění, cílem není kompletně se zbavit celého on-premu, ale jen Active Directory (tu nahradit za Entra ID, Intune a Defender). On-prem jsme naopak rozšířili o další tři nové fyzické servery. Stále si totiž budeme provozovat řadu služeb: Veeam Cloud Connect infrastrukturu (immutable backups), ESET infrastrukturu, FortiAnalyzer, FortiEMS, log management a další. Stále je pro nás výhodnější, když si to provozujeme sami.
Proč se věnovat Microsoft Entra ID
Z Entra ID se podle mne stane další technologie, kde budou útočníci zatápět obráncům (stejně jako u Active Directory s lateral movement), protože Entra ID je:
- KRITICKÁ: Kompromitace Entra ID bude mít za následek ovládnutí firemních zařízení a dat.
- ROZŠÍŘENÁ: Každý, kdo má nějakou Office/Microsoft 365 službu, má zároveň i svou Entra ID. Bez přehánění se dá říci, že (až na pár výjimek) je to každá firma.
- KOMPLEXNÍ (SLOŽITÁ): Jedná se o stejně rozsáhlou technologii jako je původní Active Directory.
- PODCENĚNÁ (OBRÁNCI): Není dost lidí, co by jí technicky hluboce rozuměli.
Celé prázdniny jsem proto strávil studiem a přípravou interního školení. Z mého studia vznikla tři školení:
- Entra ID: Attack Surface (tento článek)
- Entra ID: Lateral movement and persistence
- Entra ID: Obrana
O ně bych se s vámi rád postupně podělil. Dnes sdílím první z nich zabývající se fází „initial access“ – neboli vektory (cestami) prvotního průniku. Snad se vám bude líbit. 😊
Nechť jsou vaše sítě bezpečné.
Martin
Diskuze k článku
Václav Kyselý
05. 10. 2023 v 14:37
Skvělá přednáška !
Naučit se to všechno musí zabrat neuvěřitelně času …
Odpovědět
Martin Haller
06. 10. 2023 v 09:49
Děkuji! Stálo mě to letní prázdniny 😀.
Odpovědět
Petr Bartoš
09. 10. 2023 v 11:45
díky, moc si cením obětovaných letních prázdnin, stálo to (aspoň pro mě) za to:)
a těším se na pokračování…
Odpovědět
Martin Haller
09. 10. 2023 v 13:24
Děkuji 😊. Pokračování je již načasované. Druhý díl vyjde v pondělí 16.10. a poslední 6.11.
Odpovědět
Pavel Otych
13. 10. 2023 v 10:06
Dobrý den, díky za super přednášku! To že vytáhnete ty tokeny z Outlooku / Onedrive takto snadno mě docela překvapuje…
Mohu se zeptat, jak máte nakonfigurované virtuálky v těch demem? Zkoušel jste to na něčem s TPM / zabezpečenou virtualizací? (čekal bych nějakou ochranu, Credential guard, šifrování přes TPM, atd…) Tak se trochu modlím, že by v jiných podmínkách takto snadlo nešlo 🙁
U toho Continuous Access Evaluation je škoda, že to funguje jen na podmínku lokace + nějaké eventy jako reset hesla atd. Takže když se ten token vytáhne z compliant zařízení a nahraje se do ne-compliant tak se to nezneplatní ihned ani tak (ok, dobře, pojede to „jen“ omezenou dobu). Když tam je conditional access podmínka na lokaci, tak se to zneplatnění s tím CAE v podstatě ihned. Ale když mám podmínky jen na compliant zařízení, tak vlastně nevím, jak se efektivně bránit… 🙁 Jedině novou conditional access podmínku s lokací aplikovat na desktopy, které stejně nikdo nikam nepřenese, to by šlo a možná stálo za zvážení.
Odpovědět
Martin Haller
13. 10. 2023 v 11:05
Dobrý den, Pavle, díky za komentář. Co je mi známo, tak access tokeny a web cookies chráněné nejsou – tzn. vždy to bude jako v demu. TPM v tuhle chvíli chrání jen PRT token. Je možné, že je nějaká ochrana i pro refresh tokeny – k tomu jsem se zatím nedostal.
MS pracuje na nové funkci do CA – nejspíše jste si jí také všiml a to token protection (https://learn.microsoft.com/en-us/azure/active-directory/conditional-access/concept-token-protection). Ta by měla dokázat chránit i refresh tokeny skrze TPM (pokud jsem to správně pochopil).
Souhlasím, že v současné době CA schází hodně funkcionality – dobré je ale vidět, že na tom MS stále pracuje.
Pokud je nějaká firma, které na bezpečí záleží, pak bych nejspíše nepovoloval BYOD. Pracovalo by se jen ze spravovaných/monitorovaných PC – tzn. snížila by se pravděpodobnost krádeže tokenů.
Odpovědět
Pavel Otych
13. 10. 2023 v 13:44
Tak to jste mě nepotěšil… 🙁 Je super vidět to takto uceleně v praxi, jak to je snadné. Token Protection jsem zaznamenal, čekám zatím na podporu v prohlížeči, podívám se na to.
Díky a těším se na další díly!
Odpovědět