Artikelübersicht

Dies ist Teil zwei der sechsteiligen Serie zum Thema “Legacy Authentication kontrolliert abschalten”.

1. Vorwort
2. Modern Authentication aktivieren
3. Voraussetzungen schaffen
4. Einblicke gewinnen
5. Die ersten 90%
6. Die nächsten 9%
7. Abschaltung

Modern Authentication aktivieren

Dieser Schritt mag komisch anmuten, jedoch ist in alten Tenants (erstellt vor 01.08.2017) Modern Authentication für Exchange Online und Skype for Business Online nicht zwingend aktiviert.

Exchange Online

Für Exchange Online muss das Exchange Online PowerShell V2 module installiert werden um Modern Authentication zu aktivieren.

In einer Azure AD Umgebung ist Legacy Authentication die Achillesferse der Security.

Während moderne Clients Conditional Access Policies und Multifaktor-Authentifizierung berücksichtigen, reißt der Einsatz von alte Clients und damit verbundenen Protokollen wie SMTP, IMAP oder Exchange ActiveSync eine gern übersehene Lücke in diese Absicherung.

Da diese Protokolle nicht mit Conditional Access kompatibel sind, “umgehen” Sie, wenn nicht anders definiert, die dort hinterlegten Regeln. Das ist keine Sicherheitslücke bei Microsoft, sondern eine Designentscheidung und die Auswirkungen auf die eigene Umgebung sollte man daher genau kennen.

Wireshark ist ein mächtiges Tool, um Netzwerkdaten zu analysieren. Jedoch ist es auch ein weiteres Tool das regelmäßig mit Updates versorgt werden muss und das für das Mitschneiden der Netzwerkdaten auf zusätzliche Software (Npcap) angewiesen ist.

Aber Windows bringt von Haus die notwendigen Tools mit, um einen Netzwerkmitschnitt zu erstellen. Und mit einem kleinen Zusatztool wird aus der erstellten etl Datei auch problemlos eine pcap Datei. Eine Installation von Wireshark und Npcap ist somit den Mitschnitt der Daten nicht notwendig.

Bei der Analyse von Netzwerkproblemen ist ein einfacher ICMP Ping nie ausreichend um zu verifizieren, ob die Verbindung zwischen zwei Geräten funktioniert. Im Normalfall wird eine TCP Verbindung zu einer Serverkomponente benötigt und PowerShell bringt mit Test-NetConnection ein entsprechendes cmdlet mit.

Von Haus aus unterstützt Test-NetConnection jedoch ausschließlich TCP Verbindungen und testet außerdem jedes Mal noch einen ICMP Ping.

Und was ist mit UDP?

Für die Analyse von stateless UDP Paketen gibt es kein Boardmittel, weshalb ich die folgenden zwei Funktionen geschrieben habe.

At times like these, when everybody is working from home and the whole family uses the internet as well, the traffic requirements can be tough on your internet connection. When you are using real-time collaboration tools, such as Microsoft Teams, that rely on a good and stable internet connection for voice, video and screen sharing, parallel Netflix/Disney+/Hulu/Amazon Prime traffic can make the experience subpar for everybody involved.

Thankfully it’s possible to optimize your outgoing traffic based on what services are used.

Das Projekt Let’s Encrypt hat die Internet Landschaft nachhaltig geprägt. Kostenlose SSL-Zertifikate für Jedermann lassen sich automatisiert erstellen und durch Let’s Encrypt signieren. Durch die breite Akzeptanz durch Browser Hersteller und Cross-Signierung sind die Zertifikate fast überall gültig.
Eine Automatisierungslösung ist durch die kurze Laufzeit von drei Monaten jedoch zwingend erforderlich. Mittels PowerShell in Azure Automation lässt sich ein Workflow erstellen der sich um die Zertifikats-Erneuerung und sichere zentrale Speicherung kümmert. Dieser Workflow ist die optimale Grundlage um die Zertifikate an den eigentlichen Service weiter zu verteilen.