/images/avatar.png

Work and live with IT

Just-In-Time role assignment in Microsoft Defender

Lange Zeit war die Zuweisung mehrerer Azure AD-Rollen an einen Benutzer eine mühsame Aufgabe, wenn diese nicht über ein Skript erfolgte. Jede Rollenzuweisung musste einzeln vorgenommen werden. Dies machte es auch schwierig, Rollenzuweisungen für eine Gruppe von Personen zu ändern. Das alles änderte sich, als Microsoft Azure AD rollenzuweisbare Gruppen einführte. Es ist nun möglich, einer Gruppe mehrere Rollen zuzuweisen und die Benutzer zu dieser Gruppe hinzuzufügen. Das macht es viel einfacher, diese Rollenzuweisungen zu verwalten.

Änderungen an sensitiven on-Prem Gruppen mit MDI alarmieren

Microsoft Defender for Identity ist ein mächtiges Werkzeug wenn es darum geht Änderungen an Benutzern und Gruppen im on-prem Active Directory zu identifizieren. Wenn man diese Daten im Microsoft 365 Defender Portal mittels Advanced Hunting analysiert und Custom Detection Rules nutzt kann man sehr einfach ein Change Tracking für sensitive Accounts etablieren. Wenn du ein on-prem Active Directory beschützt sind Änderungen an hochprivilegierten Gruppen ein großes Risiko. Microsoft selbst definiert einen Teil dieser Gruppen in der Dokumentation zu Active Directory Domain Services in in der Defender for Identity Dokumentation werden zusätzliche Gruppen genannt.

Defender for Identity, Npcap und Windows Server 2022

Microsoft Defender for Identity ist ein sehr hilfreiches Tool um einen tiefen Einblick in eine Active Directory Umgebung zu erlangen. Die, auf jedem Domain Controller installierten, Agents sammeln dabei unter anderem Informationen direkt aus dem Netzwerkverkehr des Servers und leiten diese an Microsoft Defender weiter. Für die Analyse nutzt der Agent standardmäßig den WinPcap Treiber. Dieser führt auf einem Windows Server 2022 schon bei mäßiger Auslastung zu folgender Fehlermeldung: Die CPU, RAM und Netzwerkauslastung des betroffenen Domain Controllers ist jedoch nicht sonderlich hoch.

Bypass sensitivity label restrictions with mobile Edge and conditional access policies

Vulnerability assesment by MSRC Severity Important Security Impact Security Feature Bypass Scope of the security vulnerability This article describes a security vulnerability that allowed an authenticated Microsoft 365 user to bypass additional protective measures based on sensitivity labels to download content to an unmanaged device. The user could not access files that she otherwise would not have access to.