Artikelübersicht Dies ist Teil drei der sechsteiligen Serie zum Thema “Legacy Authentication kontrolliert abschalten”. Vorwort Modern Authentication aktivieren Voraussetzungen schaffen Einblicke gewinnen Die ersten 90% Die nächsten 9% Abschaltung Wiederholung Im ersten Teil wurde Modern Authentication aktiviert und im Zweiten wurden die Vorrausetzungen geschaffen ausführliche Reports zu erstellen und Legacy Authentication für einzelne Benutzer zu deaktiveren. Conditional Access Policy Logik Um besser zu verstehen wie es jetzt möglich ist einzelne Benutzer zu blockieren, werfen wir einen Blick auf die erstellten Conditional Access Policies und die damit verbundene Login.

Artikelübersicht Dies ist Teil drei der sechsteiligen Serie zum Thema “Legacy Authentication kontrolliert abschalten”. Vorwort Modern Authentication aktivieren Voraussetzungen schaffen Einblicke gewinnen Die ersten 90% Die nächsten 9% Abschaltung Wiederholung Im ersten Teil der Reihe wurde Modern Authentication für alle Microsoft 365 Dienste aktiviert und kann nun genutzt werden. In diesem Teil geht es darum, die Vorrausetzungen zu schaffen, einen detailierten Einblick in die Nutzung der verschiedenen Authentifizierungsmethoden zu gewinnen und es zu ermöglichen Legacy Authentication pro Benutzer deaktivieren zu können.

Artikelübersicht Dies ist Teil zwei der sechsteiligen Serie zum Thema “Legacy Authentication kontrolliert abschalten”. Vorwort Modern Authentication aktivieren Voraussetzungen schaffen Einblicke gewinnen Die ersten 90% Die nächsten 9% Abschaltung Modern Authentication aktivieren Dieser Schritt mag komisch anmuten, jedoch ist in alten Tenants (erstellt vor 01.08.2017) Modern Authentication für Exchange Online und Skype for Business Online nicht zwingend aktiviert. Exchange Online Für Exchange Online muss das Exchange Online PowerShell V2 module installiert werden um Modern Authentication zu aktivieren.

In einer Azure AD Umgebung ist Legacy Authentication die Achillesferse der Security. Während moderne Clients Conditional Access Policies und Multifaktor-Authentifizierung berücksichtigen, reißt der Einsatz von alte Clients und damit verbundenen Protokollen wie SMTP, IMAP oder Exchange ActiveSync eine gern übersehene Lücke in diese Absicherung. Da diese Protokolle nicht mit Conditional Access kompatibel sind, “umgehen” Sie, wenn nicht anders definiert, die dort hinterlegten Regeln. Das ist keine Sicherheitslücke bei Microsoft, sondern eine Designentscheidung und die Auswirkungen auf die eigene Umgebung sollte man daher genau kennen.

Wireshark ist ein mächtiges Tool, um Netzwerkdaten zu analysieren. Jedoch ist es auch ein weiteres Tool das regelmäßig mit Updates versorgt werden muss und das für das Mitschneiden der Netzwerkdaten auf zusätzliche Software (Npcap) angewiesen ist. Aber Windows bringt von Haus die notwendigen Tools mit, um einen Netzwerkmitschnitt zu erstellen. Und mit einem kleinen Zusatztool wird aus der erstellten etl Datei auch problemlos eine pcap Datei. Eine Installation von Wireshark und Npcap ist somit den Mitschnitt der Daten nicht notwendig.

Bei der Analyse von Netzwerkproblemen ist ein einfacher ICMP Ping nie ausreichend um zu verifizieren, ob die Verbindung zwischen zwei Geräten funktioniert. Im Normalfall wird eine TCP Verbindung zu einer Serverkomponente benötigt und PowerShell bringt mit Test-NetConnection ein entsprechendes cmdlet mit. Von Haus aus unterstützt Test-NetConnection jedoch ausschließlich TCP Verbindungen und testet außerdem jedes Mal noch einen ICMP Ping. Und was ist mit UDP? Für die Analyse von stateless UDP Paketen gibt es kein Boardmittel, weshalb ich die folgenden zwei Funktionen geschrieben habe.