Administrative Benutzerkonten in Office 365, die der Rolle Globaler Administrator zugeordnet sind, müssen besonders geschützt werden. Joe Davies, Sr. Content Developer bei Microsoft, hat während des Cloud Adoption Advisory Board Webinars am 31. Mai 2017 einfache und hilfreiche Tipps zur Absicherung dieser Konten gegeben.
In diesem Zusammenhand ist es wichtig, sich noch einmal zu vergegenwärtigen, dass die Absicherung von Benutzerkonten und anderen schützenswerten Objekten in der Cloud einer Partnerschaft unterliegt. Microsoft stellt als SaaS Anbieter die notwenigen Funktionen zur Verfügung, als Kunde muss ich diese auch konfigurieren und anwenden.
Angreifer haben es natürlich nicht nur auf Standardbenutzerkonten abgesehen, sondern versuchen insbesondere Benutzerkonten mit hohen Privilegien anzugreifen. Denn nur so lässt sich der maximal Schaden anrichten. Dies gesicht im Allgemeinen durch das Sammeln von Informationen und Phishing Attacken.
Es ist für Angreifer ein Leichtes, administrative Benutzerkonten mit intelligenten Phishing E-Mails auszuspähen, nachdem ein Standardbenutzerkonto gehackt wurde. Mit Hilfe des nachfolgenden PowerShell Befehls, ausgeführt im Kontext des Benutzers, können alle Anwender mit der Rolle Globaler Administrator ausgelesen werden.
Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
Nutzen Sie die nachfolgenden Empfehlungen, damit Ihre Office 365 Umgebung nicht ein leichtes Opfer von Angriffen wird.
Ergebnis
Wenn Sie nur Cloud-Identitäten nutzen:
Wenn Sie synchronisierte oder federierte Identitäten nutzen:
Natürlich werden Sie auch weiterhin administrative PowerShell Scripte gegen Ihren Office 365 Tenant ausführen wollen. Im Blog Post Connect to Office 365 services with multifactor authentication (MFA) and PowerShell sind die erforderlichen Schritte für die Nutzung der PowerShell mit MFA beschrieben.
Die Nutzung von Advanced Security Management (ASM) erfordert eine E5 Lizenz oder aber eine separate ASM Lizenz für Benutzerkonten mit den zugewiesen Rollen Globaler Administrator, Dienstadministrator oder Compliance-Administrator.
Im CAAB Webinar wurden noch weitere interessante Themen behandelt:
Dies ist ein eingebettetes <a target='_blank' data-cke-saved-href='https://office.com' href='https://office.com'>Microsoft Office</a>-Dokument, unterstützt von <a target='_blank' data-cke-saved-href='https://office.com/webapps' href='https://office.com/webapps'>Office Online</a>.
Das Cloud Adoption Advisory Board (CAAB) ist eine excellente Quelle für Informationen rund um die sicher Implementierung von Cloud-Technologien.
Viel Spaß mit Office 365.
Am Dienstag, 23. Mai 2017, verstaltet Microsoft eine Online-Konferenz zum Thema
Unternehmensdaten in der Cloud - Kontrollverlust oder mehr Sicherheit für KMUs?
Veranstaltungstext:
Fragt man Entscheider in Unternehmen, hat Sicherheit höchste Priorität. In der Regel haben sie einen Partner oder einen Mitarbeiter, der sich darum kümmert. Und bekanntlich fasst man Systeme und Lösungen, die laufen, ungerne an. Hauptsache, die Daten befinden sich im eigenen Hause, denn da sind sie sicher. Aber sind sie das wirklich? Jedes dritte Unternehmen in Deutschland hat bereits Angriffe auf seine IT-Infrastruktur verzeichnet. Der deutsche Mittelstand rückt dabei immer stärker in den Fokus von Cyber-Spionage und Datendieben. Wie sehen die Angriffsszenarien aus? Was geschieht mit den Daten? Und wie sollten Unternehmen handeln? Gerade viele KMUs sind in Sachen IT schlechter gesichert als sie denken. Hinzu kommt, dass manche Unternehmen modernen Cloud-Lösungen noch immer skeptisch gegenüberstehen (Stichwort: Kontrollverlust). – Mit dieser praxisorientierten Webkonferenz wollen wir Entscheidern aus kleinen und mittelständischen Unternehmen aufzeigen, welche Bedrohungslage besteht und wie sich eine Sicherheitsstrategie schon mit einfachen Mitteln umsetzen lässt. Die praxisorientierte Veranstaltung bietet ausreichend Raum auch für Ihre Fragen.
Fragt man Entscheider in Unternehmen, hat Sicherheit höchste Priorität. In der Regel haben sie einen Partner oder einen Mitarbeiter, der sich darum kümmert. Und bekanntlich fasst man Systeme und Lösungen, die laufen, ungerne an. Hauptsache, die Daten befinden sich im eigenen Hause, denn da sind sie sicher. Aber sind sie das wirklich? Jedes dritte Unternehmen in Deutschland hat bereits Angriffe auf seine IT-Infrastruktur verzeichnet. Der deutsche Mittelstand rückt dabei immer stärker in den Fokus von Cyber-Spionage und Datendieben. Wie sehen die Angriffsszenarien aus? Was geschieht mit den Daten? Und wie sollten Unternehmen handeln?
Gerade viele KMUs sind in Sachen IT schlechter gesichert als sie denken. Hinzu kommt, dass manche Unternehmen modernen Cloud-Lösungen noch immer skeptisch gegenüberstehen (Stichwort: Kontrollverlust). – Mit dieser praxisorientierten Webkonferenz wollen wir Entscheidern aus kleinen und mittelständischen Unternehmen aufzeigen, welche Bedrohungslage besteht und wie sich eine Sicherheitsstrategie schon mit einfachen Mitteln umsetzen lässt. Die praxisorientierte Veranstaltung bietet ausreichend Raum auch für Ihre Fragen.
Gerade auch im Hinblick auf die im nächsten Jahr gültig werdende Datenschutz-Grundverordnung ist diese Veranstaltung sehr interessant.
Melden Sie sich noch heute an: https://blogs.business.microsoft.com/de-de/2017/05/04/webkonferenz-it-sicherheit-kmu-unternehmensdaten-in-cloud/
Carol Wapshere hat mehrere Best Practices Artikel zum Thema Identity und Access Management (IAM) veröffentlicht. Diese Artikel helfen bei der Planung und fachlichen Implementierung einer IAM Plattform.
Die veröffentlichten Artikel sind:
NoSpamProxy Azure Edition is the cloud based email security gateway of the successful NoSpamProxy family of products by Net at Work. The Azure edition of NoSpamProxy can easiliy be deployed using the Microsoft Azure Marketplace.
NoSpamProxy Azure easily connects an Office 365 tenant and offers an easy way to provide centralized email encryption and decryption with PGP and/or S/MIME for mailboxes hosted in Exchange Online. Additionally, NoSpamProxy Azure provides compliant anti-spam handling, an anti-malware component, and a large file portal.
The edition currently available in Microsoft Azure installs a NoSpamProxy single-server deployment. A single-server deployment combines the NoSpamProxy intranet role and the gateway role on a single server.
The NoSpamProxy Azure Edition is provided as BYOL (Bring Your Own License) deployment. In addition to the recurring fees for the Microsoft Azure VM you are required to buy a NoSpamProxy license. If you already own a NoSpamProxy Version 11 license, the license can be used for the NoSpamProxy Azure Edition as well.
DeploymentOptions Notes Deployment Links
Due to the nature of a cloud service NoSpamProxy Azure can be operated in different scenarios in Microsoft Azure. By default the system is configured as a workgroup system without any Active Directory domain membership. The different operational scenarios for NoSpamProxy Azure depend on the existence of a Site-2-Site VPN between your Azure deployment and your on-premises IT infrastructure.
Currently a direct connection to Azure AD is not supported, but it is planned for a future release.
Depending on the size of the Azure VM different throughputs can be reached in regards to emails per minute.
Tests have shown the following results for Standard A Virtual Machines:
The following steps describe a simple deployment of NoSpamProxy Azure.
Go to Azure Marketplace and search for NoSpamProxy, select the NoSpamProxy Azure Edition.
Click Create to configure the NoSpamProxy Azure system.
Configure the required parameters as needed
Select an appropriate virtual machine type. NoSpamProxy Azure doesn't have extraordinary system requirements for processor and memory. SQL Server 2014 Express is downloaded and installed as part of the standard setup of NoSpamProxy. Even SQL Server 2014 Express can be run on a standard VM..
All other settings remain unchanged for this simple deployment. You can adjust the settings, if required for your individual deployment. Especially if you want to utilize exisiting resources.
Verify the technical summary and click OK to add the configured system to your shopping cart.
Verify the selected Azure service offering and the configured virtual machine. Click Purchase to buy the selected subscription. The deployment is a so called BYOL Deployment and requires a valid NoSpamProxy trial license or an existing full license. After the NoSpamProxy setup as been completed in the virtual machine you will be redirected to a web page to request a trial license.
Connect to the newly deployed virtual machine using Remote Desktop. After first log on NoSpamProxy setup will start automatically as part of an scheduled task. The scheduled task will execute the following steps:
Do not close or interrupt the Windows PowerShell window.
After the setup has finished the public web page of NoSpamProxy Azure Edition will be opened in Internet Explorer. After initial setup of the operating system Internet Explorer runs in secure mode. Therefore, a security warning is displayed. Just add the web page to the list of exclusions and request your personal NoSpamProxy trial license.
The program setup adds new security groups and adds the logged on account to these security groups. It is required to log off and log on again to reflect the new group memberships. This is mandatory to sucessfully manage NoSpamProxy.
After log on start the NoSpamProxy Configuration MMC to import the license.
The NoSpamProxy Configuration MMC displays the NoSpamProxy version.
After initial import of the license you can start configuring NoSpamProxy to suit your needs.
Die E-Mail Gateway Lösung NoSpamProxy von Net at Work ist seit Kurzem als NoSpamProxy Azure Edition im Azure Marketplace verfügbar. Somit kann NoSpamProxy auch dann für den Schutz der E-Mail Kommunikation eingesetzt werden, wenn keine eigenen IT-Systeme für den Betrieb von NoSpamProxy zur Verfügung stehen.
Die in NoSpamProxy Azure integrierte Möglichkeit zur Anbindung von Office 365 bietet eine einfache und kostengünstige Möglichkeit zur zentralen Ver-und Entschlüsselung von E-Mails und zur sicheren Spamabwehr.
Das aktuell verfügbare Paket installiert eine Single-Server Variante, bei der die NoSpamProxy Intranet-Rolle und die Gateway-Rolle auf einem System kombiniert betrieben werden.
Die NoSpamProxy Azure Edition wird als BYOL (Bring Your Own License) System bereitgestellt und erfordert neben den Betriebskosten in Microsoft Azure den Erwerb einer NoSpamProxy Lizenz. Eine bereits vorhandene Lizenz für die aktuelleste NoSpamProxy Version kann bei einer Migration zu Microsoft Azure weiter verwendet werden.
Betriebsmöglichkeiten Hinweise Bereitstellung Links
NoSpamProxy Azure kann auf unterschiedliche Weise in Microsoft Azure betrieben werden. Das System wird standardmäßig als Workgroup System und somit ohne eine AD-Mitgliedschaft in Microsoft Azure bereitgestellt. Die einzelnen Betriebsmöglichkeiten von NoSpamProxy Azure leiten hauptsächlich dadurch ab, ob zwischen der eigenen IT-Infrastruktur und Microsoft Azure ein Site-2-Site VPN besteht oder nicht.
Aktuell wird eine direkte Anbindung an Azure AD nicht unterstützt, ist aber in Planung.
Je nach ausgewählter Azure VM können unterschiedliche Datendurchsätze hinsichtlich der verarbeiteten E-Mails pro Minute erreicht werden.
Lasttests auf Basis von Standard A Maschinen haben folgendes Ergebnis gebracht:
Die nachfolgenden Schritte beschreiben die einfache Bereitstellung von NoSpamProxy Azure.
Suchen Sie im Azure Marketplace nach NoSpamProxy und wählen Sie die NoSpamProxy Azure Edition aus.
Klicken Sie auf Create, um das NoSpamProxy Azure System zu konfigurieren.
Konfigurieren Sie die Parameter für
Wählen Sie einen passenden VM Typ. NoSpamProxy hat keine großen Anforderungen an Prozessor und Arbeitsspeicher. Der verwendete SQL Server 2014 Express kommt initial mit einem kleinen System zurecht.
In diesem einfachen Beispiel bleiben die weiteren Einstellungen unverändert. Diese können bei Bedarf individuell angepasst werden, um bereits bestehende Ressourcen zu nutzen.
Prüfen Sie in der technischen Zusammenfassung die Einstellung und klicken Sie OK, um die das konfigurierte System in den Warenkorb zu legen.
Prüfen Sie auf der Angebotsseite den ausgewählten Azure Service und die konfigurierte VM. Klicken Sie auf Purchase, um den Service und das Systemabo zu kaufen. Da es sich um ein BYOL Deployment handelt, benötigen Sie für die Konfiguration entweder eine NoSpamProxy Testlizenz oder eine gültige NoSpamProxy Volllizenz.
Melden Sie sich nach der erfolgreichen Erstellung des System per Remote Desktop an. Bei der ersten Anmeldung wird die Installation von NoSpamProxy durch einen Scheduled Task gestartet. Der Task führt folgende Schritte durch:
Schließen oder Unterbrechen Sie das Windows PowerShell Fenster nicht.
Nach Abschluss der Installation wird die öffentliche Webseite von NoSpamProxy Azure aufgerufen. Da der Internet Explorer zu diesem Zeitpunkt noch im abgesicherten Modus läuft, erscheint ein Warnhinweis. Nehmen Sie NoSpamProxy in die Liste der Ausnahmen auf. Über diese Webseite können Sie Ihre persönliche Testlizenz anfordern.
Durch die Installation von NoSpamProxy wurden Gruppenmitgliedschaften für das Benutzerkonto des angemeldeten Administrators geändert. Um NoSpamProxy verwalten zu können, müssen Sie sich einmal ab- und wieder anmelden.
Starten Sie nach der erneuten Anmeldung die NoSpamProxy Verwaltungskonsole um beginnen Sie mit dem Import der Testlizenz oder Ihrer vorhandenen Volllizenz.
In der Verwaltungskonsole können Sie auf der rechten Seite die installierte Version von NoSpamProxy ablesen.
Nach dem Import der Lizenz erfolgt die individuelle Konfiguration von NoSpamProxy für Ihre Anforderungen.