Začátkem roku 2023 jsme přešli z on-prem Active Directory do cloudové Azure Active Directory (nově Microsoft Entra ID). PROČ a JAK jsem psal v článku „Přecházíme do Azure Active Directory„.
Současný stav je takový, že z on-prem AD nám zbývá už jen jeden DC server a dva terminálové servery. Ty mám v plánu nahradit do konce roku s Windows 365 Enterprise (Cloud PC) – které máme v rámci partnerství s Microsoftem k dispozici.
Avšak, aby nedošlo k nedorozumění, cílem není kompletně se zbavit celého on-premu, ale jen Active Directory (tu nahradit za Entra ID, Intune a Defender). On-prem jsme naopak rozšířili o další tři nové fyzické servery. Stále si totiž budeme provozovat řadu služeb: Veeam Cloud Connect infrastrukturu (immutable backups), ESET infrastrukturu, FortiAnalyzer, FortiEMS, log management a další. Stále je pro nás výhodnější, když si to provozujeme sami.
Proč se věnovat Microsoft Entra ID
Z Entra ID se podle mne stane další technologie, kde budou útočníci zatápět obráncům (stejně jako u Active Directory s lateral movement), protože Entra ID je:
- KRITICKÁ: Kompromitace Entra ID bude mít za následek ovládnutí firemních zařízení a dat.
- ROZŠÍŘENÁ: Každý, kdo má nějakou Office/Microsoft 365 službu, má zároveň i svou Entra ID. Bez přehánění se dá říci, že (až na pár výjimek) je to každá firma.
- KOMPLEXNÍ (SLOŽITÁ): Jedná se o stejně rozsáhlou technologii jako je původní Active Directory.
- PODCENĚNÁ (OBRÁNCI): Není dost lidí, co by jí technicky hluboce rozuměli.
Celé prázdniny jsem proto strávil studiem a přípravou interního školení. Z mého studia vznikla tři školení:
- Entra ID: Attack Surface (tento článek)
- Entra ID: Lateral movement and persistence
- Entra ID: Obrana
O ně bych se s vámi rád postupně podělil. Dnes sdílím první z nich zabývající se fází „initial access“ – neboli vektory (cestami) prvotního průniku. Snad se vám bude líbit. 😊
Nechť jsou vaše sítě bezpečné.
Martin