Anpassa Secure Email för din organisation

Secure Email är namnet på det nya sättet att dela skyddade email. Secure Email är i grunden en kombination av Rights Management Services (RMS) och OME (Office 365 Message Encryption). Den här tekniken löser tidigare problem med publika eposttjänster eller att mottagaren använder sig av en email-applikation som inte stödjer/förstår RMS.

Avsändaren (eller organisationens Exchange) skyddar ett email på samma sätt som tidigare och behöver inte bry sig om vem mottagaren är eller vilken applikation den använder.

Om mottagaren använder sig av en mailapplikation som förstår RMS, exempelvis Outlook eller dess webbgränssnitt visas mailet precis som övriga mail.

Om mottagaren där emot använder sig av en annan mailapplikation eller mailtjänst ligger det krypterade mailet som en bifogad (rpmsg) fil och istället visas följande information i mailet, med en länk till själva meddelandet.

image

Länken pekar egentligen till avsändarens Office 365 och den skyddade informationen redovisas för användaren utan att lämna Exchange.

Användaren kan välja att autentisera sig med sitt emailkonto (av typen Azure/Microsoft account, Google eller Yahoo) och skulle den möjligheten saknas finns även en möjlighet att logga in med en engångskod (OTP). Denna OTP levereras som ett ytterligare mail med automatik.

Om verksamheten vill förtydliga vem som skickat det skyddade meddelandet, tydligt visa mottagaren vem den autentiserar sig emot och vilken autentisering som tillåts finns även möjlighet att anpassa detta.

Mottagaren får istället ett mail som exempelvis ser ut enligt nedan:

image

I nästa steg får mottagaren välja om den vill autentisera sig med sitt Google-konto

image

Efter lyckad inloggning redovisas meddelandet

image

Anpassning

För att anpassa Secure Email används (som vanligt) PowerShell.

Kommandot ser ut enligt följande

Set-OMEConfiguration -Identity ”Ome Configuration” -EmailText ”<text>“ -BackgroundColor ”#00000” -PortalText ”<text>” -DisclaimerText ”<text>” -OTPEnabled $true -SocialIdSignIn $true -Image (Get-Content ”<image location>” –Encoding byte)

Parametrarna nedan redovisas för att förtydliga vad som är förändringsbart och vilken parameter som styr vad

· EmailText
· BackgroundColor
· PortalText
· DisclaimerText
· OTPEnabled
· SocialIdSignIn
· Image

image

image

Annonser
Publicerat i Azure Information protection | Märkt , , | Lämna en kommentar

Skydda GDPR-information även till publika mailtjänster

Microsofts Information Protection-lösning fortsätter att utvecklas med funktioner som underlättar för våra användare och även för att uppnå kommande GDPR-krav.

En av de stora nyheterna är att vi numera även kan skicka krypterade email till andra publika emailtjänster där vi idag har federation och tillåter autentisering direkt från:

– Gmail
– Yahoo
– Outlook, Hotmail

Alla övriga email-leverantörer har även stöd där man istället kan använda sig av engångskoder (OTP) som med automatik skickas ut till samma mailadress.

Konceptet kallas Secure Email där Microsoft Exchange med automatik hanterar och känner av mottagare av krypterade email.

För att förtydliga användarupplevelsen både som avsändare och mottagare har jag satt ihop en kort video som visar både hur vi kan detektera och skydda information som går under GDPR och resultatet när mottagaren har en gmail-adress.

Händelseförloppet i videon är följande:

  1. Office med hjälp av Azure Information Protection (AIP) -klienten detekterar att personnummer förekommer och uppmanar då slutanvändaren att klassificera och skydda dokumentet.
  2. Användaren avvisar uppmaningen och mailar iväg filen till två mottagare.
    1. A. En mottagare som också använder Exchange och redan autentiseras mot Azure
    2. En gmail adress
  3. En DLP regel i Exchange identifierar att mailets bilaga innehåller personnummer och med automatik krypterar både mailet och den bifogade filen.
  4. Mottagaren med Exchange och Azure-autentisering öppnar både krypterat mail och bifogat dokument med begränsade rättigheter att sprida innehållet.
  5. Gmail användaren får autentisera sig mot Office 365 med sitt gmail-konto där innehållet av mailet och det bifogade dokumentet aldrig lämnar Exchange utan visas för användaren direkt i webbläsaren. Även här begränsas användaren att sprida innehållet och kan enbart svara avsändaren, vilket även det blir krypterat.

Observera att det här bara är ett exempel på konfiguration. Scenariot hade lika gärna kunna varit att blockera GDPR information att skickas utanför organisationen och att dokumentet med automatik blivit klassificerat och krypterat istället för att uppmana användaren.

Återkom om stöttning önskas av Onevinn för att konfigurera en design som följer verksamhetsbehoven för informationsskydd.

 

Publicerat i Okategoriserade | Lämna en kommentar

Defender ger kraftfullare skydd mot Ransomware

Windows 10 Fall Creative Update är på ingång och Microsoft släpper helt fantastiska nyheter rörande säkerhet.

Microsofts antivirus Windows Defender tar stora kliv fram som den ledande produkten att skydda våra klienter mot skadlig kod och attacker.
Bland annat kommer Windows Defender dra nytta av all big data som finns i Microsofts Intelligent Security Graph och som vi tidigare nyttjat med Windows Defender Advanced Threat Protection.

En ny funktion i Windows Defender som skyddar vår känsligaste data mot Ransomware är Controlled Folder Access. En kraftfull funktion där utpekade mappar som exempelvis standardmappar för dokument och bilder eller mappar du själv pekar ut skyddas.
Skyddet baseras på att enbart legitima applikationer får tillgång och kan göra förändringar i dessa mappar. Baserat på reputation (rykte) från Intelligent Security Graph ges eller blockeras applikationers tillgång till dessa mappar. Det här gör att det är enkelt att underhålla verktyget utan att tappa funktionalitet.
Skulle maskinen bli infekterad och ett ransomware börjar kryptera data kommer de utpekade mapparna vara skyddade och all viktig data vara oförändrad.

image

Vid behov kan även applikationer som behöver tillgång till dessa mappar läggas till centralt för en managerad klient och lokalt av en icke managerad klient.

image

Controlled Folder Access skyddar vår känsligaste data när vi väl blir infekterade av ett ransomware. Vi har även en hel del nya skydd i Defender som förhindrar själva infektionen. En ny funktion kallad Exploit Guard har inkluderats i Windows Defender och har bland annat mycket funktionalitet från tidigare EMET (Enhanced Mitigation Experience Toolkit). Faktum är att om en klient har EMET installerat när Windows framöver uppgraderas till Fall Creators update kommer EMET inaktiveras eller avinstalleras eftersom det ersätts av Defender Exploit Guard. Mer information om detta finns att läsa här: https://docs.microsoft.com/en-us/windows/threat-protection/overview-of-threat-mitigations-in-windows-10#understanding-windows-10-in-relation-to-the-enhanced-mitigation-experience-toolkit

Med hjälp av Exploit Guard kan vi skydda system och applikationer att utföra åtgärder som skadlig kod ofta använder för att infektera ett system. En stor del av alla ransomware kommer ofta via skadliga makron i officedokument som i sin tur hämtar hem och startar upp underprocesser för att smitta klienten.

Exploit Guard kan bland annat konfigureras för att stoppa

– Child processes
– Arbitrary code
– Low integrity images
– Untrusted fonts
– m.m.

Precis som tidigare EMET kan alla inställningar skapas i enbart audit mode för att initialt testa av de interna makron som används och dess krav för att sedan härda och låsa ner för att förhindra suspekta makron.

image

Det kommer även komma färdiga regler som gäller för just Office makron och script för att skydda från de vanligaste attackerna.

Vi har även en hel del nyheter i Windows Defender Advanced Threat Protection (ATP) som nu även får in data från Exploit Guard men som även kommer kunna blockera de attacker den tidigare bara informerat om.
Windows Defender ATP kommer kunna dra nytta av alla säkerhetsfunktioner i Windows 10 för att stoppa en pågående attack. Allt ifrån att stoppa exekvering av en nedladdad fil med hjälp av SmartScreen, sätta skadliga filer i karantän med Defender, till att blockera vissa portar och applikationer med hjälp av Windows Defender Firewall för att minska båda spridning och informationsläckage.

image

Missa inte Microsoft TechDays på Kista mässan den 25-26:e oktober för mer information och nyheter.

Publicerat i Endpoint Protection | Märkt | Lämna en kommentar

Kompletta DLP regler även för AIP

För en tid sedan skrev jag en artikel om fördelar med automatiserad klassificering och skydd av dokument som innehåller personnummer och annan känslig information. En uppdatering till den artikeln som då också redovisade hur man manuellt skapar ett  regular expression för detta ändamål:

Det har nu blivit mer administratörsvänligt i form av att motsvarande DLP regler som vi tidigare haft i exempelvis Exchange nu även finns tillgängliga i Azure Information Protection och våra labels:

image

Publicerat i Azure Information protection, Informationssäkerhet | Märkt | Lämna en kommentar

Logg och statistik över ditt informationsskydd

En av de stora fördelarna med Azure Information Protection är att vi får spårbarhet och kan båda övervaka och återkalla känslig information oavsett var filen är lagrad. Detta gör vi enkelt via Tracking Portalen där det finns en vy för slutanvändarna att övervaka de filer de själva har skyddat, samt en vy för administratörer att söka efter både unika filer eller användare.

Det kan dock även vara intressant att få ut en del statistik för att få en översikt hur informationsskyddet faktiskt används inom verksamheten. Hur många skyddar information och hur många är det som konsumerar(läser) skyddad information och så vidare.

Det finns två sätt att lösa detta

Det finns en del färdiga rapporter i den klassiska Azure-portalen (manage.windowsazure.com) där vi även har en del nyheter.

clip_image001

Portalen är väldigt användar(administratörs)-vänligt men dessvärre något begränsat både vad gäller tidsspann och vilken information som går att generera.

Det andra sättet är att helt enkelt nyttja de centrala loggarna. Så gott som all aktivitet runt RMS loggas i separata log filer av typen W3C för varje dygn. Loggning är på som standard sedan februari 2016 och innan dess var man tvungen att aktivera det manuellt.

Men hjälp av dessa loggar kan man få fram allt man kan tänkas behöva veta om sitt informationsskydd. Allt ifrån hur många som faktiskt skyddar eller läser skyddade mail, dokument eller andra format, till hur många som återkallat information.

Loggarna laddas ner via PowerShell där man anger datum för de loggar man vill ha och laddar sedan ner dom lokalt.

clip_image002

Om man vill ta ut statistik eller söka efter ett visst värde under detta tidsspann bör man sammanfoga alla logfiler till en mer lätthanterad logg.

Log Parser är en gratis applikation som löser uppgiften och laddas hem härifrån: Microsoft’s Log Parser

clip_image003

Kommandot ovan ger oss en stor kommaseparerad (csv) fil innehållande all data. Vad man sedan gör med denna är fritt. Jag tänkte tipsa om hur jag oftast hanterar denna data för att söka efter det jag vill.

Excel är en grym programvara som ger oss möjlighet att söka och filtrera all data på ett relativt smidigt sätt.

Det kan dock bli ganska tungt vid väldigt stora mängder data.
Jag brukar då använda mig av Power BI Desktop version för att skapa både rapporter och statistik: Lokal installation av Power BI laddas hem här: https://powerbi.microsoft.com/en-us/downloads/ sedan finns även en molnvariant.

Genom att importera CSV-filen kan vi här skapa rapporter efter önskemål.

Här följer två exempel:

Ta reda på hur många som skyddar information

Använd content-id som loggar ett unikt värde för allt som RMS-skyddas tillsammans med owner-id som redovisar vem som applicerade skyddet.

clip_image001[7]

 

Ta reda på hur många som konsumerar skyddad information

Använd content-id på samma sätt men tillsammans med user-id som redovisar vem som öppnar en skyddad fil.
Välj typ av Count och använd Distinct Count för att beräkna antal unika filer som en användare dekrypterat eller en standard Count för att få reda på hur många gånger användarna öppnar skyddade filer.

Om du har en RMS Connector för lokal infrastruktur se då till att filtrera bort användaren Aadrm_S-1-7-0 som nyttjas av connectorn.
Om du aktiverat IRM-stöd i Exchange och SharePoint Online filtrera då bort användaren microsoftrmsonline@<TenantID>.rms.<region>.aadrm.com

clip_image001[9]

Genom att exportera data från varje rapport får du en skräddarsydd och lätthanterlig CSV-fil som du sedan med fördel kan importera till Excel

Vill du filtrera ut och se hur många skyddade mail eller exempelvis Word dokument som används, skapa ett filter baserat på c-info som innehåller just detta och sök på den applikation du vill filtrera på

clip_image008

Efter import i Excel har möjlighet att filtrera och söka vidare.
Filtrering på Request-type kan exempelvis visa vilka som återkallat information genom att filtrera på RevokeAccess medans AcquireLicens filtrerar ut varje gång något dekrypterats.

clip_image009

Spåra unik information

Tracking Portalen är absolut mest användarvänlig men saknar man exempelvis Premium licens och därmed tillgång till denna portal kan man även söka efter specifika filer direkt i dessa loggar.

I dagsläget är det enbart filer som krypteras via (höger klick funktionen) Classify and protect som loggar själva filnamnet under värdet file-name. Vill vi där emot exempelvis söka efter ett dokument som skyddats via Office får vi söka upp dess content-id. Om vi har tillgång till den skyddade filen ligger detta värde okrypterat och genom att öppna en RMS-krypterad fil med exempelvis Notepad kan vi identifiera värdet och sedan söka på detta värde i loggarna.

På det sättet kan vi identifiera vem eller vilka som tagit del eller försökt tagit del av informationen

clip_image010

Publicerat i Azure Information protection, Informationssäkerhet, RMS | Märkt | Lämna en kommentar

Boka in TechDays innan du går på semester

hängmatta

Innan du checkar ut för semester är mitt tips att boka in något att se fram emot när jobbet drar igång igen efter sommaren. Vad kan då inte vara bättre än att boka in Sveriges största IT-event Microsoft TechDays.

Jag står som föreläsare för 8e året i rad och det kommer bland annat bli:

Säkerhetsfokus runt Windows 10 och Enterprise Mobility + Security (EMS) tillsammans med min kollega Jörgen Nilsson. När vi föreläste om EMS för tre år sedan va EMS nytt för de flesta. Året därpå var Windows 10 färskt på marknaden och vi visade alla fördelar att nyttja Windows 10 och EMS. Förra året gjorde vi en djupdykning inom dessa områden och visade nyheter som ännu inte nått marknaden. I år är det dags igen där vi som vanligt gör demo-maraton och visar allt nytt. Hur du kan kombinera funktionerna i Windows 10 och EMS för att höja säkerheten och bland annat skydda våra identiteter.

Windows 10 + EMS = Helst fantastiskt!

Information Protection från design till införande. En session jag gör med Johan Ohlen från Microsoft där vi kommer fokusera på informationsskydd med Azure Information Protection. Nya lagkrav med GDPR kräver att vi har bättre kontroll och spårbarhet på vår information och den här sessionen går igenom tips för ett lyckat införande. Självklart kommer vi visa allt nytt och hur det kan kombineras och integreras med vår infrastruktur både lokalt och i molnet.

Information Protection från design till införande

Ha nu en trevlig sommar så ses vi på TechDays i oktober!

Publicerat i Microsoft Event | Lämna en kommentar

Identifiera information som innefattas av GDPR

Det krävs näst intill att man bosatt sig på månen utan internet access för att ha undgått de nya lagkraven inom EU som träder i kraft den 25 maj 2018.
Lagar runt GDPR – General Data Protection Regulation – som definierar reglerna för all form av behandling av information som direkt eller indirekt kan knytas till en person

Utmaningen som alla myndigheter, företag och organisationer står inför handlar till stor del av att identifiera all information som innefattas av dessa regler och sedan säkerhetsställa att denna information är skyddad. Personuppgifter som lagras och framför allt delas måste bland annat kunna redovisas.

Azure Information Protection fyller en viktig roll då den uppfyller följande:

  • Kryptering av information
  • Klassificering av information
  • Spårbarhet av information över vem den har delats med, var och när
  • Möjlighet att återkalla och begränsa tillgång till information oavsett var den lagrats/delats
  • …identifiera om och när ovanstående skall appliceras

Då vi (våra användare) idag skapar, hanterar och lagrar information precis överallt är GDPR en tuff utmaning.  Med hjälp av condition/regel -baserad applicering direkt i Office kan vi dock komma en bra bit på väg. Genom att identifiera alla dokument som skapas/sparas innehållande exempelvis svenskt personnummer kan vi antingen föreslå användaren eller påtvinga – ett skydd av informationen.  Motsvarande kan även konfigureras i vårat mailflöde med hjälp av DLP-regler i Exchange som på så sätt identifierar e-post och dess bifogade Office filer och utför åtgärder som antingen blockerar mailet, eller säkerhetsställer att det är krypterat innan det går iväg till en mottagare.

Detta resulterar i att vi fångar upp den större delen av alla dokument som skapas/sparas med personuppgifter som innefattas av den nya GDPR lagen

Här följer ett exempel:
I det här fallet är en regel i Azure Information Protection satt att leta efter ett eller flera svenska personnummer och då upplysa användaren vilket skydd som bör appliceras.

image

Med den här regeln behöver användaren trycka på ”Change now”. Alternativet hade varit att påtvinga skyddet med automatik av regeln.

Resultatet blir i det här exemplet att själva dokumentet kommer krypteras, det kommer klassificeras som ”Secret” som dels redovisas för alla användare inom organisationen via Azure Information Protection listen, samt i själva dokumentet med en visuell märkning som appliceras med automatik. Detta upplyser den användaren som har rätt att konsumera dokumentet om dess känslighet oavsett delning utanför organisationen.

Dokumentets kryptering ger möjligheten att spåra all nyttjande av dokumentet oavsett var det sedan har delats eller lagrats. Vid behov kan även all tillgång återkallas och dokumentet blir oläsbart för alla utom den som faktiskt skapade dokumentet/applicerade skyddet.

image image

I mitt exempel väljer jag även att blockera epost innehållande personnummer med ett meddelande till slutanvändaren som upplyser användaren om att skicka den här typen av information i ett skyddat dokument istället.
Detta beror på att dagens Tracking portal för Azure Information Protection (än så länge) inte stödjer att spåra eller återkalla epost meddelanden eller dokument som skyddats av Exchange.

Användaren kan dock välja att skicka epost-meddelandet med hjälp av “override” vilket då kommer applicera samma skydd med automatik. Ett larm genereras av Exchange som ger oss information om när detta skett vilket vi behöver för att enkelt kunna spåra informationen via Azure Information Protections centrala loggar och på så sätt följa vem som tar del av den.

image

Om användaren inte väljer ”override” utan skickar mailet ändå blockeras detta och användaren får i detta exempel reda på anledningen till blockeringen och en anvisning över vad som bör göras

image

Identifiera svenskt personnummer

Azure Information Protection har ett antal fördefinierade utryck att söka efter men här saknas idag svenskt personnummer och begränsas än så länge till amerikanska social security numbers m.fl.

Vi behöver därför manuellt skapa en regel som identifierar ett svenskt personnummer. Min kollega Tom Aafloen har här definierat ett så kallat regular expression med målsättning att identifiera formatet av ett svenskt personnummer med så hög träffsäkerhet som möjligt.
I det här fallet används ett format för att säkerhetsställa att det bland annat enbart är 12 månader på ett år och max 31 dagar på en månad med mera

Format
[Valbart millennium, 19 el 20][år][månad][dag][möjligt bindesträck][3 siffror][följt av 1 siffra för checksumman]

Regular Expression
^(((20)((0[0-9])|(1[0-1])))|(([1][^0-8])?\d{2}))((0[1-9])|1[0-2])((0[1-9])|(2[0-9])|(3[01]))[-+]?\d{4}[,.]?

image

Exchange Online har där emot ett fördefinierat ”condition” som kan definieras för svenskt personnummer (Sweden National ID).

Följande är den regel som identifierar, blockerar och underrättar användaren om vad som gäller när information skyddad under GDPR skall skickas via E-post

image

Publicerat i Azure Information protection, GDRP, Informationssäkerhet, RMS | Märkt | 2 kommentarer