/images/avatar.jpeg

Work and live with IT

Legacy Authentication kontrolliert abschalten - Einblicke gewinnen

Artikelübersicht Dies ist Teil drei der sechsteiligen Serie zum Thema “Legacy Authentication kontrolliert abschalten”. Vorwort Modern Authentication aktivieren Voraussetzungen schaffen Einblicke gewinnen Die ersten 90% Die nächsten 9% Abschaltung Wiederholung Im ersten Teil wurde Modern Authentication aktiviert und im Zweiten wurden die Vorrausetzungen geschaffen ausführliche Reports zu erstellen und Legacy Authentication für einzelne Benutzer zu deaktiveren. Conditional Access Policy Logik Um besser zu verstehen wie es jetzt möglich ist einzelne Benutzer zu blockieren, werfen wir einen Blick auf die erstellten Conditional Access Policies und die damit verbundene Login.

Legacy Authentication kontrolliert abschalten - Voraussetzungen schaffen

Artikelübersicht Dies ist Teil drei der sechsteiligen Serie zum Thema “Legacy Authentication kontrolliert abschalten”. Vorwort Modern Authentication aktivieren Voraussetzungen schaffen Einblicke gewinnen Die ersten 90% Die nächsten 9% Abschaltung Wiederholung Im ersten Teil der Reihe wurde Modern Authentication für alle Microsoft 365 Dienste aktiviert und kann nun genutzt werden. In diesem Teil geht es darum, die Vorrausetzungen zu schaffen, einen detailierten Einblick in die Nutzung der verschiedenen Authentifizierungsmethoden zu gewinnen und es zu ermöglichen Legacy Authentication pro Benutzer deaktivieren zu können.

Legacy Authentication kontrolliert abschalten - Modern Authentication aktivieren

Artikelübersicht Dies ist Teil zwei der sechsteiligen Serie zum Thema “Legacy Authentication kontrolliert abschalten”. Vorwort Modern Authentication aktivieren Voraussetzungen schaffen Einblicke gewinnen Die ersten 90% Die nächsten 9% Abschaltung Modern Authentication aktivieren Dieser Schritt mag komisch anmuten, jedoch ist in alten Tenants Modern Authentication für Exchange Online und Skype for Business Online nicht zwingend aktiviert. Exchange Online Für Exchange Online muss das Exchange Online PowerShell V2 module installiert werden um Modern Authentication zu aktivieren.

Legacy Authentication kontrolliert abschalten - Vorwort

In einer Azure AD Umgebung ist Legacy Authentication die Achillesferse der Security. Während moderne Clients Conditional Access Policies und Multifaktor-Authentifizierung berücksichtigen, reißt der Einsatz von alte Clients und damit verbundenen Protokollen wie SMTP, IMAP oder Exchange ActiveSync eine gern übersehene Lücke in diese Absicherung. Da diese Protokolle nicht mit Conditional Access kompatibel sind, “umgehen” Sie, wenn nicht anders definiert, die dort hinterlegten Regeln. Das ist keine Sicherheitslücke bei Microsoft, sondern eine Designentscheidung und die Auswirkungen auf die eigene Umgebung sollte man daher genau kennen.

Einen Netzwerk Trace ohne Wireshark erstellen

Wireshark ist ein mächtiges Tool, um Netzwerkdaten zu analysieren. Jedoch ist es auch ein weiteres Tool das regelmäßig mit Updates versorgt werden muss und das für das Mitschneiden der Netzwerkdaten auf zusätzliche Software (Npcap) angewiesen ist. Aber Windows bringt von Haus die notwendigen Tools mit, um einen Netzwerkmitschnitt zu erstellen. Und mit einem kleinen Zusatztool wird aus der erstellten etl Datei auch problemlos eine pcap Datei. Eine Installation von Wireshark und Npcap ist somit den Mitschnitt der Daten nicht notwendig.

UDP Verbindung mit PowerShell prüfen

Bei der Analyse von Netzwerkproblemen ist ein einfacher ICMP Ping nie ausreichend um zu verifizieren, ob die Verbindung zwischen zwei Geräten funktioniert. Im Normalfall wird eine TCP Verbindung zu einer Serverkomponente benötigt und PowerShell bringt mit Test-NetConnection ein entsprechendes cmdlet mit. Von Haus aus unterstützt Test-NetConnection jedoch ausschließlich TCP Verbindungen und testet außerdem jedes Mal noch einen ICMP Ping. Und was ist mit UDP? Für die Analyse von stateless UDP Paketen gibt es kein Boardmittel, weshalb ich die folgenden zwei Funktionen geschrieben habe.