Azure Security

Włączamy Azure MFA, aby zabezpieczyć nasze środowisko

Nowoczesne systemy wymagają nowoczesnych rozwiązań. Nasze środowiska biznesowe rosną z zatrważającym tempie i potrzeba ochrony tożsamości staje się kluczowa. Ochrona twierdzy, jaką są nasze dane przechowywane w różnych miejscach, często powoduje ból głowy administratorów. Uwierzytelnianie wieloskładnikowe, zwane również MFA jest jednym z najlepszych metod ochrony tożsamości. W szczególności, jeżeli dodamy do niego inteligencję po stronie dostawcy. Zobaczmy, jak zaimplementować Azure MFA w naszej organizacji.  

Ten wpis jest elementem serii 12 kroków, aby poprawić bezpieczeństwo MS365. Wszystkie wpisy z tej kategorii można zobaczyć w zbiorze Bezpieczeństwo MS365.

Czym jest MFA?

Azure MFA jest technologią, która zweryfikować tożsamość w więcej niż jeden sposób. Tradycyjne logowanie zazwyczaj używa wyłącznie nazwy użytkownika i hasła. Cyberprzestępcy przez lata nauczyli się technik łamania ludzi, aby uzyskać potrzebne im informacje do włamania się. Jeżeli my, jako administratorzy nie podejmiemy akcji mających na celu edukację lub wzmocnienie bezpieczeństwa, możemy stracić nasze dane. Implementacja drugiego czynnika podczas logowawnia pomaga nam upewnić się, że podejrzane logowania nie pozostaną przez użytkowników niezauważone.

Głównym aspektem używania logowania wieloskładnikowego jest użycie więcej niż jednego składnika do zalogowania się. Ogólnie rozróżnia się 4 sposoby weryfikowania tożsamości:

  1. Coś co znasz – hasło/kod PIN/obrazek, na którym trzeba zaznaczyć pewne elementy.
  2. Coś co masz ze sobą – klucz sprzętowy/karta inteligentna/telefon komórkowy
  3. Miejsce, gdzie jesteś – adres IP/przeglądarka/geolokalizacja/rozdzielczość ekranu/system operacyjny
  4. Coś, czym jesteś – odcisk palca/tęczówka/ton głosu/twarz czy nawet szybkość, z jaką piszesz na klawiaturze

Każdy z tych składników używany jest w różnych sytuacjach, zależnie od wymagań bezpieczeństwa. Coraz częściej do oceny ryzyka wykorzystuje się uczenie maszynowe, które bierze pod uwagę wymienione wyżej składniki i ocenia, które elementy logowania są potrzebne aby uwierzytelnić użytkownika.

Opcje uwierzytelniania wieloskładnikowego dla tenanta Microsoft 365

Aktywacja Azure MFA dla tenanata Microsoft 365 wymaga rozważenia wymagań i zaplanowanie wdrożenia. Jest to bardzo ważny proces, ponieważ niewłaściwie wdrożone MFA może spowodować brak dostępu do tenanta. MFA jest kluczową częścią weryfikacji tożsamości użytkownika. Dotyczy to nie tylko portalu Microsoft 365, ale również aplikacji korzystających z tożsamości Azure AD. 

Microsoft oferuje 3 sposoby wdrożenia Azure MFA – dzieląc je ze względu na wilkość organizacji i potrzeby bezpieczeństwa:

  • Aktywacja Azure MFA dla pojedyńczego użytkownika – rozwiązanie niezalecane, może być użyte do testowania rozwiązań. 
  • Domyślne zasady bezpieczeństwa – dedykowany małym organizacjom, wymusza  użycie Azure MFA dla każdego użytkownika w organizacji. 
  • Polityki dostępu warunkowego – użycie MFA jest wywoływane na podstawie kryteriów ryzyka logowania. 

Każda z wymienionych powyżej metoda wdrożenia Azure MFA w organizacji z perspektywy użytkownika wygląda tak samo. Podczas logowania się do usługi, użytkownik proszony jest o podanie adresu e-mail, a następnie hasła. Po poprawnej weryfikacji następuje przekierowanie na stronę, gdzie użytkownik potwierdza swoją tożsamość w sposób skonfigurowany przez niego wcześniej. Może być to powiadomienie z aplikacji mobilnej, 6-cyfrowy kod, który trzeba przepisać z aplikacji, kod z wiadomości SMS lub zatwierdzenie logowania poprzez odebranie telefonu i naciśnięcie przycisku. 

Implementacja Azure MFA dla pojedyńczego użytkownika

Jak wspomniałem wcześniej, nie jest to obecnie zalecane rozwiązanie, jednakże dla celów testowych często praktykowane w firmach, aby zbadać możliwości technologii. Jego włączenie jest najprostsze i zajmuje jedynie kilka sekund. Na początku logujemy się do panelu administracyjnego usługi Microsoft 365. Wchodzimy w Użytkownicy -> Aktywni Użytkownicy.

 

Wybór Aktywnych użytkowników w portalu Microsoft 365

Następnie klikamy opcję Multi-Factor Authentication (Zaznaczenie dowolnego użytkownika spowoduje ukrycie opcji). Po kliknięciu otworzy się nowe okno.

Przejście do panelu zarządzania Multi-factor Authentication

Po otwarciu nowego okna uzyskamy możliwość włączenia Azure MFA dla jednego lub więcej użytkowników, sprawdzenie aktualnego statusu usługi MFA dla każdego z kont.

Konfiguracja Azure MFA

Kolejną opcją, jaką daje nam panel Multi-Factor Authentication jest możliwość konfiguracji podstawowych parametrów usługi Azure MFA. Zaliczamy do nich hasła aplikacji, zaufane adresy IP, opcje weryfikacji czy zapamiętywanie logowań na zaufanych urządzeniach. 

Ustawienia usługi Microsoft Azure Multi-factor Authentication

Implementacja MFA dla wszystkich użytkowników w organizacji z wykorzystaniem Security Defaults

Security Defaults to zbiór ustawień bezpieczeństwa dostępny w ramach Azure Active Directory. Za jego pomocą możemy zabezpieczyć konta użytkowników, aby używały uwierzytelniania wieloskładnikowego, wymagania od administratorów ponownego uwierzytelnienia za pomocą MFA, czy zablokowanie starych i niekoniecznie bezpiecznych protokołów logowania.

Aby włączyć Security Defaults dla naszego tenanta Microsoft 365, musimy udać do portalu Azure i przejść do właściwości tenanta <<Hiperłącze dla leniwych 😉 

Kolejnym krokiem jest kliknięcie Manage Security defaults na dole strony, potwierdzenie włączenia opcji Security Defaults i zatwierdzenie. 

Włączanie Security Defaults w tenancie Microsoft 365

No okej, ale co ta opcja tak dokładnie robi?

Dobre pytanie, już śpieszę z wyjaśnieniem 🙂 

Jak wspomniałem wcześniej, Security defaults włącza konieczność korzystania z MFA wszystkich użytkowników w organizacji. Po włączeniu opcji, każdy z użytkowników ma 14 dni na ustawienie na swoim urządzeniu aplikacji Microsoft Authenticator i konfiguracji AzureMFA. Security Defaults wymaga wykorzystania aplikacji mobilnej w formie powiadomienia lub 6-cyfrowego kodu, alternatywnie możemy wykorzystać token sprzętowy. Nie pozwala na uwierzytelniania tożsamości z wykorzystaniem połączeń telefonicznych i kodów z SMSów. Nie udostępnia także haseł aplikacji – te dostępne są tylko przy wykorzystaniu dostępu warunkowego. 

Brak dostępu do haseł aplikacji oznacza, że starsze programy, które nie posiadają możliwości uwierzytelniania wieloskładnikowego, utracą możliwość korzystania z platformy Microsoft 365 i będą wymagały aktualizacji bądź zmiany na kompatybilne narzędzie. 

Dodatkowo, po włączeniu opcji Security defaults, każda próba do zalogowania się do panelu Microsoft 365 dla użytkowników posiadających jedną z 9 ról w AzureAD, będzie wymagała każdorazowego potwierdzenia logowania za pomocą aplikacji Microsoft Authenticator. Role wymagające podwójnego uwierzytelniania:

  • Global administrator
  • SharePoint administrator
  • Exchange administrator
  • Conditional Access administrator
  • Security administrator
  • Helpdesk administrator
  • Billing administrator
  • User administrator
  • Authentication administrator

Starsze protokoły i aplikacje, takie jak SMTP/IMAP/POP3/ActiveSync, czy Outlook 2010 nie będą mogły się podłączyć do usług Microsoft 365, co pozwala na zmniejszenie wektora ataków. Takim użytkownikom zalecane jest przejście na pakiet Microsoft 365 wraz z aplikacją Microsoft Outlook Mobile, co pozwoli w pełni wykorzystać możliwości platformy Microsoft 365. 

Security defaults jest opcją zalecaną w mniejszych organizacjach, gdzie głównym celem jest zapewnienie szybkiej poprawy bezpieczeństwa, bez konieczności konfiguracji dodatkowych polityk i wyjątków. 

Dostęp warunkowy do usług Microsoft Online

W przypadku konfiguracji Security Defaults oraz konfiguracji dla pojedyńczego użykownika, system zaloguje użytkownika, albo zostanie wysłane żądanie MFA. Dostęp warunkowy natomiast jest zdecydowanie bardziej rozbudowanym rozwiązaniem, biorącym pod uwagę zdecydowanie więcej składników. AI stojące za usługą MFA analizuje informacje o użytkowniku, jego urządzeniu, lokalizacji i konfiguracji. Na podstawie zebranych danych i wcześniejszego określenia ryzyka logowania, użytkownik może zostać zalogowany do systemu automatycznie, może zostać od niego zażądane logowanie wieloskładnikowe, bądź próba logowania zostanie zablokowana. 

Przykładowy schemat oceny dostępu warunkowego przedstawia poniższa ilustracja:

Ocena ryzyka warunkowego dostępu do usług chronionych przez Azure AD.
Ocena ryzyka warunkowego dostępu do usług chronionych przez Azure AD.

Konfiguracja warunkowego dostępu z wykorzystaniem Azure MFA

Podobnie jak podczas konfiguracji pozostałych metod uwierzytelniania wieloskładnikowego musimy zalogować się do portalu administracyjnego. Tym razem jednak zamiast korzystać z portalu administracyjnego Microsoft 365, logujemy się do portalu Azure Active Directory admin center (https://aad.portal.azure.com/). W następnym kroku klikamy All services i w wyszukiwarce wpisujemy Azure AD Conditional Access. 

Konfiguracja dostępu warunkowego z poziomu Azure AD Admin Center
Konfiguracja dostępu warunkowego z poziomu Azure AD Admin Center

Zacznijmy od konfiguracji zaufanej lokalizacji, jaką w naszym przypadku będzie sieć 192.168.122.0/24, stanowiąca fikcyjny oddział firmy.  Aby stworzyć nazwaną lokalizację dla naszego tenanta klikamy na Named Location dostępny z menu po lewej stronie, a następnie klikamy New Location.

Kreator tworzenia nazwanej lokalizacji w Azure AD

Przywita nas kolejny kreator, w którym wprowadzamy nazwę nazwanej lokalizacji. Następnie definiujemy czy lokalizacja będzie bazować na kraju, czy na zakresie IP. Określamy też, czy dana lokalizacja ma być traktowana jako zaufana, oraz podajemy zakresy adresów IP bądź kraje, które mają być objęte przez konfigurowaną właśnie politykę. 

Definiowanie lokalizacji na kraj może pomóc nam wymusić korzystanie z Azure MFA w krajach, które bardziej restrykcyjnie podchodzą do kwestii dostępu do danych wrażliwych. 

Kreator konfiguracji nowej nazwanej lokalizacji w Azure AD
Kreator konfiguracji nowej nazwanej lokalizacji w Azure AD

Tworzenie polityki dostępu warunkowego

Po stworzeniu nazwanej lokalizacji, udajemy się do zakładki Policies i klikamy New Policy. Wybieramy nazwę dla naszej polityki, na przykład Bypass MFA when user in Krakow Office. Warto tworzyć nazwy w formie, która będzie zrozumiała przez wszystkich administratorów w organizacji. 

Tworzenie nowej polityki dostępu warunkowego w AzureAD

Po wybraniu nazwy polityki przechodzimy do przypisania jej do użytkowników, aplikacji i warunków. W pierwszym kroku wybieramy, których użytkowników naszej organizacji ma ona dotyczyć. Mamy możliwość włączenia bądź wykluczenia pojedynczych użytkowników, grup, a nawet całej organizacji. Jeżeli natomiast chcemy stworzyć politykę dla wyłącznie niektórych aplikacji, zwracamy się w stronę Cloud apps or actions, gdzie konfigurujemy wybrane aplikacje. 

Ważne – w organizacji powinniśmy posiadać przynajmniej jedno konto globalnego administratora, któremu nie będziemy włączać uwierzytelniania wieloskładnikowego, aby w sytuacji awaryjnej być w stanie odzyskać dostęp do tenanta. Microsoft nie pomoże nam, jeżeli zablokujemy sobie wszystkie metody dostępu do portalu!

Warunki polityki dostępu warunkowego Azure Active Directory

Warunki dostępu warunkowego są największą potęgą tego rozwiązania. W ich ramach możemy skonfigurować 6 różnych metryk, które sprawdzą ryzyko logowania się użytkownika. Na ich podstawie zostanie podjęta decyzja, czy poprosić użytkownika o weryfikację za pomocą Azure MFA. Tematowi polityk poświęciłem osobny wpis Azure AD – Warunki zasad dostępu warunkowego. Dla konfiguracji naszego przykładu przechodzimy do Conditions -> Locations -> następnie wybieramy Exclude i wybieramy naszą lokalizację. 

Konfiguracja zaufanych lokalizacji dla polityki dostępu warunkowego

Przedostatnim krokiem konfiguracji jest udzielenie dostępu do systemu po spełnieniu wymogu uwierzytelniania wieloskładnikowego. W tym celu udajemy się do opcji Access controls, a następnie Grant, skąd wybieramy opcję Enable Multi-factor Authentication. 

Zezwól na dostęp warunkowy po potwierdzeniu tożsamości z wykorzystaniem Azure MFA

Ostatnim krokiem konfiguracji polityki dostępu warunkowego jest wybór trybu działania polityki. Domyślnie zaznaczoną opcją jest report-only, która pozwala nam na przetestowanie działania usługi przed włączeniem jej. Po testach, usługę należy włączyć zmieniając tryb na Enabled. 

Włączanie polityki dostępu warunkowego

Jak możecie zauważyć, Azure informuje mnie, że muszę najpierw wyłączyć Security Defaults, zanim będę mógł skonfigurować politykę dostępu warunkowego – jest to dodatkowa forma zabezpieczenia nas przed popełnieniem błędu. 

Podsumowanie

Uff, to chyba najdłuższy mój post w życiu – mam nadzieję, że skorzystacie z możliwości, jakie oferuje Microsoft dla zabezpieczenia dostępu do Waszych danych z wykorzystaniem uwierzytelniania wieloskładnikowego. Zapraszam do kolejnych wpisów z tej serii, do obserwacji Facebooka i do kolejnych wpisów. 

Trzymajcie się ciepło!

Posted in Bezpieczeństwo MS365, Microsoft 365 and tagged , , .