Microsoft Entra ID – Rizika delegované správy
V minulém roce se pro nás Entra ID stala prioritou. Zrušili jsme on-premové Active Directory, počítače jsme napojili na Entra ID, GPO jsme nahradili Intunem a ESET jsme vyměnili za Microsoft Defender for Endpoint (viz Přecházíme do Azure Active Directory).
Stejně tak i čas, který mám na výzkum a přednášení, se snažím směřovat na problematiku zabezpečení Office/Microsoft 365. Tenhle rok pro vás budu mít zajímavá témata z Entra ID na CYB3R DAYS 2024 i německou konferenci Troopers, kde budu uvádět přednáškou panelovou diskuzi. Zároveň se hlásím i na BlackHat USA a DEF CON – mám dobrý výzkum/téma, ale vzhledem k tomu, o jak prestižní akci se jedná, je to spíše „kdyby náhodou“. V každém případě to budu zkoušet i další roky, účastnit se je můj sen.
Entra ID a delegovaná správa (GDAP)
Před pár měsíci mne oslovil náš partner TD Synnex, jestli bychom spolu nepřipravili nějaký workshop/webinář pro jejich partnery. Hned mne napadlo téma delegované správy (GDAP).
Téměř u každého zákazníka, co auditujeme, ji vidíme špatně nastavenou/využitou. Zákazník pak má v prostředí místo svých pár administrátorských účtů klidně i desítky/stovky dalších administrátorů, o kterých nemá ponětí (ani netuší zdali k bezpečnosti mají stejně pečlivý přístup jako on sám). Přičemž spousta dodavatelů tento přístup ani nepotřebuje (a i ve svém zájmu by jej neměli chtít, pokud není třeba).
Přednáška je vhodná jak pro Microsoft partnery – oni jsou ti, kteří delegovanou správu využívají. Tak i zákazníky, aby si dokázali zkontrolovat/zauditovat své prostředí a snížili pravděpodobnost, že je někdo hackne v rámci „útoku na dodavatelský řetězec“.
Slajdy k přednášce máte zde: MartinHaller-EntraID-GDAP .
Závěr
Pokud vás napadá nějaké zajímavé téma ohledně Entra ID, na které se podívat příště, budu rád za podnět.
A přeji vám, přátelé, ať jsou vaše sítě bezpečné.
Martin
Diskuze k článku
Jiří Vaculík
27. 05. 2024 v 12:45
Dobrý den, díky za podnětné informace.
Měl bych jedno téma k EntraID, a to novou metodu ověření přes Passkeys skrz Microsoft Authenticator. Vím, že jde zatím o preview, ale strhlo se kolem toho celkem velké „haló“. Zajímal by mě (doufám, že nejsem sám) váš názor případně rozbor, na tuto metodu.
Odpovědět
Martin Haller
27. 05. 2024 v 15:16
Dík za podmět. Passkeys určitě fandím. Jak uděláme nějakou větší plošnou implementaci u zákazníka, zkusím na to zpracovat článek. Hodně se o Passkeys rozepsal i Samuraj – https://www.samuraj-cz.com/clanek/fido-passkeys-cast-1-pristupove-klice-pro-autentizaci/ .
Odpovědět