Modern hantering av Windows 10 med lokalt AD och hybrid Azure AD join

Azure Active Directory (AD) ger en helt annan intelligens och ger många fördelar för våra moderna Windows-enheter. Om Windows-enheten går med i ett Azure AD istället för ett traditionellt lokalt AD får vi med automatik efterfrågade funktioner exempelvis Windows Hello med en förenklad inloggning som skyddar våra autentiseringar och lösenordsåterställning direkt vid Windows-inloggningen.
clip_image002

En enhet kan idag inte gå med i både ett Azure AD och ett lokalt AD vilket gör att de flesta verksamheter inte kan nyttja alla Azure AD funktioner eftersom det oftast finns ett beroende till det lokala ADt.

Automatisk Hybrid Azure AD joined

Från Windows 10 version 1709 kom en lösning på det här med ett nytt koncept som kallas Hybrid Azure AD joined. Det hela bygger på att enheten går med i det lokala traditionella ADt och med automatik går även enheten med i Azure AD i det som kallas Hybrid Azure AD joined.

image

För att det här skall fungera behöver vi

  • Synkronisera även våra datorobjekt från vårat lokala AD till Azure AD med hjälp av Azure AD Connect
  • konfigurera det lokala Active Directoryt och peka ut vårat Azure AD med en så kallad Service Connection Point 
  • anpassa ADFS om detta används då det kräver ett antal nya claim rules

En guide som går igenom detta finns på docs

Efter att ovanstående konfiguration är korrekt utförd kommer Windows-enheter från version 1709 och framåt att bli hybrid joinade vid omstart eller inloggning.

Automatisk MDM registrering i Intune

Vi kan sedan fortsätta med automatiseringen där enheten också blir hanterad av Intune med automatik. Detta ger oss möjlighet att dels fortsätta använda klassiska Group Policies (GPO)s kombinerat med kraftfulla MDM policies som är ett krav för att kunna konfigurera viss funktionalitet i Windows 10, Exempelvis Windows Information Protection.

  • Automatisk registrering i Intune konfigureras via en GPO och här krävs det att dess ADMXer är uppdaterade för att få stöd för Windows 10 version 1709-inställningar. Uppdaterade ADMXer laddas ner här image
  • För att klienterna skall hitta fram till Intune behöver även följande CNAMES läggas in i för klienternas DNS
    EnterpriseEnrollment.<domain.com> EnterpriseEnrollment-s.manage.microsoft.com
    EnterpriseRegistration. <domain.com> EnterpriseRegistration.windows.net

När detta är konfigurerat kommer klienten nu även att registreras i Intune

image

Vi kan sedan börja hantera även dessa enheter och konfigurera allt ifrån skydd av organisationens information med Windows Information Protection till kraftfulla skydd mot Ransomware med Defender Exploit Guard

clip_image010

Annonser
Publicerat i Windows 10 | Märkt , , | Lämna en kommentar

Anpassa Secure Email för din organisation

Secure Email är namnet på det nya sättet att dela skyddade email. Secure Email är i grunden en kombination av Rights Management Services (RMS) och OME (Office 365 Message Encryption). Den här tekniken löser tidigare problem med publika eposttjänster eller att mottagaren använder sig av en email-applikation som inte stödjer/förstår RMS.

Avsändaren (eller organisationens Exchange) skyddar ett email på samma sätt som tidigare och behöver inte bry sig om vem mottagaren är eller vilken applikation den använder.

Om mottagaren använder sig av en mailapplikation som förstår RMS, exempelvis Outlook eller dess webbgränssnitt visas mailet precis som övriga mail.

Om mottagaren där emot använder sig av en annan mailapplikation eller mailtjänst ligger det krypterade mailet som en bifogad (rpmsg) fil och istället visas följande information i mailet, med en länk till själva meddelandet.

image

Länken pekar egentligen till avsändarens Office 365 och den skyddade informationen redovisas för användaren utan att lämna Exchange.

Användaren kan välja att autentisera sig med sitt emailkonto (av typen Azure/Microsoft account, Google eller Yahoo) och skulle den möjligheten saknas finns även en möjlighet att logga in med en engångskod (OTP). Denna OTP levereras som ett ytterligare mail med automatik.

Om verksamheten vill förtydliga vem som skickat det skyddade meddelandet, tydligt visa mottagaren vem den autentiserar sig emot och vilken autentisering som tillåts finns även möjlighet att anpassa detta.

Mottagaren får istället ett mail som exempelvis ser ut enligt nedan:

image

I nästa steg får mottagaren välja om den vill autentisera sig med sitt Google-konto

image

Efter lyckad inloggning redovisas meddelandet

image

Anpassning

För att anpassa Secure Email används (som vanligt) PowerShell.

Kommandot ser ut enligt följande

Set-OMEConfiguration -Identity ”Ome Configuration” -EmailText ”<text>“ -BackgroundColor ”#00000” -PortalText ”<text>” -DisclaimerText ”<text>” -OTPEnabled $true -SocialIdSignIn $true -Image (Get-Content ”<image location>” –Encoding byte)

Parametrarna nedan redovisas för att förtydliga vad som är förändringsbart och vilken parameter som styr vad

· EmailText
· BackgroundColor
· PortalText
· DisclaimerText
· OTPEnabled
· SocialIdSignIn
· Image

image

image

Publicerat i Azure Information protection | Märkt , , | Lämna en kommentar

Skydda GDPR-information även till publika mailtjänster

Microsofts Information Protection-lösning fortsätter att utvecklas med funktioner som underlättar för våra användare och även för att uppnå kommande GDPR-krav.

En av de stora nyheterna är att vi numera även kan skicka krypterade email till andra publika emailtjänster där vi idag har federation och tillåter autentisering direkt från:

– Gmail
– Yahoo
– Outlook, Hotmail

Alla övriga email-leverantörer har även stöd där man istället kan använda sig av engångskoder (OTP) som med automatik skickas ut till samma mailadress.

Konceptet kallas Secure Email där Microsoft Exchange med automatik hanterar och känner av mottagare av krypterade email.

För att förtydliga användarupplevelsen både som avsändare och mottagare har jag satt ihop en kort video som visar både hur vi kan detektera och skydda information som går under GDPR och resultatet när mottagaren har en gmail-adress.

Händelseförloppet i videon är följande:

  1. Office med hjälp av Azure Information Protection (AIP) -klienten detekterar att personnummer förekommer och uppmanar då slutanvändaren att klassificera och skydda dokumentet.
  2. Användaren avvisar uppmaningen och mailar iväg filen till två mottagare.
    1. A. En mottagare som också använder Exchange och redan autentiseras mot Azure
    2. En gmail adress
  3. En DLP regel i Exchange identifierar att mailets bilaga innehåller personnummer och med automatik krypterar både mailet och den bifogade filen.
  4. Mottagaren med Exchange och Azure-autentisering öppnar både krypterat mail och bifogat dokument med begränsade rättigheter att sprida innehållet.
  5. Gmail användaren får autentisera sig mot Office 365 med sitt gmail-konto där innehållet av mailet och det bifogade dokumentet aldrig lämnar Exchange utan visas för användaren direkt i webbläsaren. Även här begränsas användaren att sprida innehållet och kan enbart svara avsändaren, vilket även det blir krypterat.

Observera att det här bara är ett exempel på konfiguration. Scenariot hade lika gärna kunna varit att blockera GDPR information att skickas utanför organisationen och att dokumentet med automatik blivit klassificerat och krypterat istället för att uppmana användaren.

Återkom om stöttning önskas av Onevinn för att konfigurera en design som följer verksamhetsbehoven för informationsskydd.

 

Publicerat i Okategoriserade | Lämna en kommentar

Defender ger kraftfullare skydd mot Ransomware

Windows 10 Fall Creative Update är på ingång och Microsoft släpper helt fantastiska nyheter rörande säkerhet.

Microsofts antivirus Windows Defender tar stora kliv fram som den ledande produkten att skydda våra klienter mot skadlig kod och attacker.
Bland annat kommer Windows Defender dra nytta av all big data som finns i Microsofts Intelligent Security Graph och som vi tidigare nyttjat med Windows Defender Advanced Threat Protection.

En ny funktion i Windows Defender som skyddar vår känsligaste data mot Ransomware är Controlled Folder Access. En kraftfull funktion där utpekade mappar som exempelvis standardmappar för dokument och bilder eller mappar du själv pekar ut skyddas.
Skyddet baseras på att enbart legitima applikationer får tillgång och kan göra förändringar i dessa mappar. Baserat på reputation (rykte) från Intelligent Security Graph ges eller blockeras applikationers tillgång till dessa mappar. Det här gör att det är enkelt att underhålla verktyget utan att tappa funktionalitet.
Skulle maskinen bli infekterad och ett ransomware börjar kryptera data kommer de utpekade mapparna vara skyddade och all viktig data vara oförändrad.

image

Vid behov kan även applikationer som behöver tillgång till dessa mappar läggas till centralt för en managerad klient och lokalt av en icke managerad klient.

image

Controlled Folder Access skyddar vår känsligaste data när vi väl blir infekterade av ett ransomware. Vi har även en hel del nya skydd i Defender som förhindrar själva infektionen. En ny funktion kallad Exploit Guard har inkluderats i Windows Defender och har bland annat mycket funktionalitet från tidigare EMET (Enhanced Mitigation Experience Toolkit). Faktum är att om en klient har EMET installerat när Windows framöver uppgraderas till Fall Creators update kommer EMET inaktiveras eller avinstalleras eftersom det ersätts av Defender Exploit Guard. Mer information om detta finns att läsa här: https://docs.microsoft.com/en-us/windows/threat-protection/overview-of-threat-mitigations-in-windows-10#understanding-windows-10-in-relation-to-the-enhanced-mitigation-experience-toolkit

Med hjälp av Exploit Guard kan vi skydda system och applikationer att utföra åtgärder som skadlig kod ofta använder för att infektera ett system. En stor del av alla ransomware kommer ofta via skadliga makron i officedokument som i sin tur hämtar hem och startar upp underprocesser för att smitta klienten.

Exploit Guard kan bland annat konfigureras för att stoppa

– Child processes
– Arbitrary code
– Low integrity images
– Untrusted fonts
– m.m.

Precis som tidigare EMET kan alla inställningar skapas i enbart audit mode för att initialt testa av de interna makron som används och dess krav för att sedan härda och låsa ner för att förhindra suspekta makron.

image

Det kommer även komma färdiga regler som gäller för just Office makron och script för att skydda från de vanligaste attackerna.

Vi har även en hel del nyheter i Windows Defender Advanced Threat Protection (ATP) som nu även får in data från Exploit Guard men som även kommer kunna blockera de attacker den tidigare bara informerat om.
Windows Defender ATP kommer kunna dra nytta av alla säkerhetsfunktioner i Windows 10 för att stoppa en pågående attack. Allt ifrån att stoppa exekvering av en nedladdad fil med hjälp av SmartScreen, sätta skadliga filer i karantän med Defender, till att blockera vissa portar och applikationer med hjälp av Windows Defender Firewall för att minska båda spridning och informationsläckage.

image

Missa inte Microsoft TechDays på Kista mässan den 25-26:e oktober för mer information och nyheter.

Publicerat i Endpoint Protection | Märkt | 1 kommentar

Kompletta DLP regler även för AIP

För en tid sedan skrev jag en artikel om fördelar med automatiserad klassificering och skydd av dokument som innehåller personnummer och annan känslig information. En uppdatering till den artikeln som då också redovisade hur man manuellt skapar ett  regular expression för detta ändamål:

Det har nu blivit mer administratörsvänligt i form av att motsvarande DLP regler som vi tidigare haft i exempelvis Exchange nu även finns tillgängliga i Azure Information Protection och våra labels:

image

Publicerat i Azure Information protection, Informationssäkerhet | Märkt | Lämna en kommentar

Logg och statistik över ditt informationsskydd

En av de stora fördelarna med Azure Information Protection är att vi får spårbarhet och kan båda övervaka och återkalla känslig information oavsett var filen är lagrad. Detta gör vi enkelt via Tracking Portalen där det finns en vy för slutanvändarna att övervaka de filer de själva har skyddat, samt en vy för administratörer att söka efter både unika filer eller användare.

Det kan dock även vara intressant att få ut en del statistik för att få en översikt hur informationsskyddet faktiskt används inom verksamheten. Hur många skyddar information och hur många är det som konsumerar(läser) skyddad information och så vidare.

Det finns två sätt att lösa detta

Det finns en del färdiga rapporter i den klassiska Azure-portalen (manage.windowsazure.com) där vi även har en del nyheter.

clip_image001

Portalen är väldigt användar(administratörs)-vänligt men dessvärre något begränsat både vad gäller tidsspann och vilken information som går att generera.

Det andra sättet är att helt enkelt nyttja de centrala loggarna. Så gott som all aktivitet runt RMS loggas i separata log filer av typen W3C för varje dygn. Loggning är på som standard sedan februari 2016 och innan dess var man tvungen att aktivera det manuellt.

Men hjälp av dessa loggar kan man få fram allt man kan tänkas behöva veta om sitt informationsskydd. Allt ifrån hur många som faktiskt skyddar eller läser skyddade mail, dokument eller andra format, till hur många som återkallat information.

Loggarna laddas ner via PowerShell där man anger datum för de loggar man vill ha och laddar sedan ner dom lokalt.

clip_image002

Om man vill ta ut statistik eller söka efter ett visst värde under detta tidsspann bör man sammanfoga alla logfiler till en mer lätthanterad logg.

Log Parser är en gratis applikation som löser uppgiften och laddas hem härifrån: Microsoft’s Log Parser

clip_image003

Kommandot ovan ger oss en stor kommaseparerad (csv) fil innehållande all data. Vad man sedan gör med denna är fritt. Jag tänkte tipsa om hur jag oftast hanterar denna data för att söka efter det jag vill.

Excel är en grym programvara som ger oss möjlighet att söka och filtrera all data på ett relativt smidigt sätt.

Det kan dock bli ganska tungt vid väldigt stora mängder data.
Jag brukar då använda mig av Power BI Desktop version för att skapa både rapporter och statistik: Lokal installation av Power BI laddas hem här: https://powerbi.microsoft.com/en-us/downloads/ sedan finns även en molnvariant.

Genom att importera CSV-filen kan vi här skapa rapporter efter önskemål.

Här följer två exempel:

Ta reda på hur många som skyddar information

Använd content-id som loggar ett unikt värde för allt som RMS-skyddas tillsammans med owner-id som redovisar vem som applicerade skyddet.

clip_image001[7]

 

Ta reda på hur många som konsumerar skyddad information

Använd content-id på samma sätt men tillsammans med user-id som redovisar vem som öppnar en skyddad fil.
Välj typ av Count och använd Distinct Count för att beräkna antal unika filer som en användare dekrypterat eller en standard Count för att få reda på hur många gånger användarna öppnar skyddade filer.

Om du har en RMS Connector för lokal infrastruktur se då till att filtrera bort användaren Aadrm_S-1-7-0 som nyttjas av connectorn.
Om du aktiverat IRM-stöd i Exchange och SharePoint Online filtrera då bort användaren microsoftrmsonline@<TenantID>.rms.<region>.aadrm.com

clip_image001[9]

Genom att exportera data från varje rapport får du en skräddarsydd och lätthanterlig CSV-fil som du sedan med fördel kan importera till Excel

Vill du filtrera ut och se hur många skyddade mail eller exempelvis Word dokument som används, skapa ett filter baserat på c-info som innehåller just detta och sök på den applikation du vill filtrera på

clip_image008

Efter import i Excel har möjlighet att filtrera och söka vidare.
Filtrering på Request-type kan exempelvis visa vilka som återkallat information genom att filtrera på RevokeAccess medans AcquireLicens filtrerar ut varje gång något dekrypterats.

clip_image009

Spåra unik information

Tracking Portalen är absolut mest användarvänlig men saknar man exempelvis Premium licens och därmed tillgång till denna portal kan man även söka efter specifika filer direkt i dessa loggar.

I dagsläget är det enbart filer som krypteras via (höger klick funktionen) Classify and protect som loggar själva filnamnet under värdet file-name. Vill vi där emot exempelvis söka efter ett dokument som skyddats via Office får vi söka upp dess content-id. Om vi har tillgång till den skyddade filen ligger detta värde okrypterat och genom att öppna en RMS-krypterad fil med exempelvis Notepad kan vi identifiera värdet och sedan söka på detta värde i loggarna.

På det sättet kan vi identifiera vem eller vilka som tagit del eller försökt tagit del av informationen

clip_image010

Publicerat i Azure Information protection, Informationssäkerhet, RMS | Märkt | Lämna en kommentar

Boka in TechDays innan du går på semester

hängmatta

Innan du checkar ut för semester är mitt tips att boka in något att se fram emot när jobbet drar igång igen efter sommaren. Vad kan då inte vara bättre än att boka in Sveriges största IT-event Microsoft TechDays.

Jag står som föreläsare för 8e året i rad och det kommer bland annat bli:

Säkerhetsfokus runt Windows 10 och Enterprise Mobility + Security (EMS) tillsammans med min kollega Jörgen Nilsson. När vi föreläste om EMS för tre år sedan va EMS nytt för de flesta. Året därpå var Windows 10 färskt på marknaden och vi visade alla fördelar att nyttja Windows 10 och EMS. Förra året gjorde vi en djupdykning inom dessa områden och visade nyheter som ännu inte nått marknaden. I år är det dags igen där vi som vanligt gör demo-maraton och visar allt nytt. Hur du kan kombinera funktionerna i Windows 10 och EMS för att höja säkerheten och bland annat skydda våra identiteter.

Windows 10 + EMS = Helst fantastiskt!

Information Protection från design till införande. En session jag gör med Johan Ohlen från Microsoft där vi kommer fokusera på informationsskydd med Azure Information Protection. Nya lagkrav med GDPR kräver att vi har bättre kontroll och spårbarhet på vår information och den här sessionen går igenom tips för ett lyckat införande. Självklart kommer vi visa allt nytt och hur det kan kombineras och integreras med vår infrastruktur både lokalt och i molnet.

Information Protection från design till införande

Ha nu en trevlig sommar så ses vi på TechDays i oktober!

Publicerat i Microsoft Event | Lämna en kommentar