Tag Archives: Sicherheit

Warum man sich auf die Textnachricht bei MFA nicht verlassen sollte…

Viele Unternehmen setzen mittlerweile Multi-Faktor-Authentifizierung ein. Hierbei wird eine zweite Methode der Authentifizierung eingesetzt, um den Zugang zu IT-Systemen und das eigene Benutzerkonto abzusichern. Für diesen zweiten Faktor gibt es unterschiedlichste Methoden von SMS bis Anruf und USB-Token. 

Leider scheint die Methode der SMS nicht wirklich die sicherste Variante zu sein. Immer wieder tauchen in Foren und einschlägigen Kreisen die Möglichkeiten auf alle  SMS  recht günstig zu bekommen.

aktuelle Quelle: A Hacker Got All My Texts for $16 (vice.com)

Sensitivity labeling ist nun generell verfügbar

Ich beschäftigte mich schon mit IRM, dann mit RMS und natürlich mit Azure Information Protection. Dazu kam dann recht schnell Sensivity Labeling. Denn mit Sensitvity Labeling ist nun endlich vieles Möglich geworden, was sich die Experten immer gewünscht haben. Ein Produkt ist nie fertig, aber die Usecases wachsen erheblich und auch gerade in Verbindung mit Microsoft Teams:

Continue reading

Microsoft kündigt OneDrive Personal Vault und neue Speicheroptionen an

Die Nutzung des OneDrives als Speicher und als Speicherort für die Zusammenarbeit wächst stetig. Damit wachsen aber auch die Anforderungen zum Beispiel an die Sicherheit dieses Speicherortes. Microsoft kündigte heute den OneDrive Personal Vault an: Continue reading

Microsoft und seine Rechenzentren

Microsoft kündigte gerade erst 2 neue Rechenzentren in Südafrika an, dies wären dann Nummer 43 und 44. Nicht alle Rechenzentren werden direkt durch Microsoft betrieben und z.B. die beiden Rechenzentren in Deutschland sind nur angemietet. 

Wie so ein Rechenzentrum aussieht, zeigt Microsoft nun auf einer zentralen Webseite:

Continue reading

TeamDrive geht in die deutsche Microsoft Cloud

Schloß

TeamDrive ein Produkt der TeamDrive Systems GmbH aus Hamburg hat sich offensichtlich für ein neues Rechenzentrum für ihre Dienste entscheiden. Die Firma bietet für Privatleute und Firmen Speicherdienste ähnlich die OneDrive/OneDrive for Business CrossPlattform und auch für die private Cloud an. “TeamDrive ist [somit] eine sichere Sync & Share Lösung mit Ende-zu-Ende-Verschlüsselung zur Speicherung und Synchronisation für alle Ihre Dateien.”

 

Diese Dienste bietet TeamDrive nun zumindest auch aus den beiden deutschen Microsoft Rechtenzentren an.

 

Dies zeigt, dass nun auch deutsche Clouddientsanbieter, die ihre gerade wegen ihrer in Deutschland gehosteten Dienstleistungen, welche auf Sicherheit und Compliance aufgebaut und so erfolgreich geworden sind hin zur deutschen Microsoft Cloud wechseln.

 

Es bleibt nun spannend, wie diese Situation sich entwickeln wird. Wechseln immer mehr auch deutsche Dienstleister in die deutsche Cloud und damit von ihren RZs oder anderen Cloud-Anbietern wie der Wortmann AG, dann würde das Konzept und die hohe Investition von Microsoft sich rechnen.

 

 

 

via:

http://news.microsoft.com/de-de/teamdrive-setzt-auf-microsoft-rechenzentren-mit-deutscher-datentreuhand/#sm.00000gir5qlg1ceclu7335373rwhu

 

 

 

 

Office 365 Services auf das eigene Netzwerk einschränken

Ich wurde in der letzten Woche gefragt, ob man die Office 365 Services aus Sicherheitsgründen neben einer Multi-Faktor-Authentifizierung nicht gleich komplett auf das eigene Netzwerk einschränken kann. Externe Clients sollen blockiert und komplett ausgeschaltet werden.

 

Nach einigen Minuten Suche habe ich in TechNet die Lösung gefunden:
https://technet.microsoft.com/en-us/library/hh526961%28v=ws.10%29.aspx

 

Dafür benötigt ihr den Active Directory Federation Services (AD FS) 2.0. Anschließen sind dann folgende Einstellungen/Szenarien möglich:

  • “Scenario 1: Block all external access to Office 365
  • Scenario 2: Block all external access to Office 365 except Exchange ActiveSync
  • Scenario 3: Block all external access to Office 365 except browser-based applications”

 

Eine genaue Beschreibung findet sich auch direkt: (zitiert am 08.05.2016)

 

Scenario Description
Block all external access to Office 365 Office 365 access is allowed from all clients on the internal corporate network, but requests from external clients are denied based on the IP address of the external client.
Block all external access to Office 365, except Exchange ActiveSync Office 365 access is allowed from all clients on the internal corporate network, as well as from any external client devices, such as smart phones, that make use of Exchange ActiveSync. All other external clients, such as those using Outlook, are blocked.
Block all external access to Office 365, except for browser-based applications such as Outlook Web Access or SharePoint Online Blocks external access to Office 365, except for passive (browser-based) applications such as Outlook Web Access or SharePoint Online.
Block all external access to Office 365 for members of designated Active Directory groups This scenario is used for testing and validating client access policy deployment. It blocks external access to Office 365 only for members of one or more Active Directory group. It can also be used to provide external access only to members of a group.

 

Azure Backup für mein Win10 Client

Ich sichere, Du sicherst, er sie es sichert, wir sichern, ihr sichert und sie sichern oder eben nur teilweise oder überhaupt nicht. So geht es uns wahrscheinlich schon seitdem wir unseren ersten PC haben. Im Unternehmensumfeld ist dies um so wichtiger, denn ein Datenverlust kann nicht nur wirtschaftliche, sondern auch juristische Konsequenzen nach sich ziehen. Dazu brauchen wir nur einmal an die steuerrechtlichen und handelsrechtlichen Aufbewahrungsfristen denken.

Nun möchte ich in diesem Beitrag natürlich auch einmal den Consumer ins Blickfeld nehmen und einen Windows 10 Rechner mit Azure Backup sichern, bzw. dessen Daten.

Dazu bietet Azure den Dienst Azure recovery services (Azure vault/Azure Backup) an. Dieser Dienst erlaubt es natürlich nicht nur einzelne Dateien, sondern auch gesamte Systeme zu sichern und diese VMs oder auch Dateien auch wieder herzustellen. Erst am 2. Dezember 2015 wurde Microsoft Azure Backup Server angekündigt.

Zunächst einmal ein paar grundlegende Informationen:

  • inkrementelle Backups
  • Region frei wählbar, in Zukunft auch Deutschland
  • 99,9% Verfügbarkeit
  • Clients z.B.: Windows Client 7-10; Exchange ab 2007; SharePoint 3.0, 2007, 2010, 2013; Windows Server 2008 R2, Windows Server 2012 R2
  • Schlüssel liegt bei mir
  • maximal 99 Jahre
  • Geo-repliziert oder lokal-repliziert
  • Preis
  • Datenblatt
  • Dokumentation

 

Wie richtige ich also ein Backup ein?

  1. Backup Vault anlegen (Name & Region)
  2. Konfiguriere: lokal redundant oder geo redundant
  3. Backup Agent auf das Windows 10 Gerät runterladen (Diesen findet ihr auf der rechten Seite auf dem Dashboard)
  4. Backup Agent installieren
    a) Installationsort
    b) Proxy (jeh nach Internetverbindung)
    c) .Net 4.5 und Windows Powershell (im default ausgewählt)
  5. Windows 10 PC registrieren. Dieser taucht entsprechend im Azure unter Servers auf
  6. Schlüssel generieren (36 Zeichen) oder selber erstellen  (Schlüssel sichern!! Nur ihr habt den Schlüssel und der Microsoft Support kann euch diesen nicht zurücksetzen./ er gilt 24h)
  7. Backup im Client einrichten (rechts: Schedule Backup):
  8. Wann soll gesichert werden?
  9. Wie lange soll die Sicherung und welche Sicherung aufgehoben werden?
  10. Sicherung beginnen oder die initiale Sicherung auf eine bestimmte Zeit legen  (Bei einer schwachen Leitung, können auch Festplatten an Microsoft versendet werden. Die Platten erhaltet ihr auch wieder zurück.)
  11. Backup wird eingerichtet.

 

nachfolgend findet ihr dies als Anleitung der Screenshot:

Azurebackup Azurebackup2 Azurebackup3 Azurebackup4 Azurebackup5 Azurebackup6 Azurebackup7 Azurebackup9 Azurebackup10 Azurebackup11 Azurebackup12

 

 

 

 

Video von Peter Kirchner:
https://channel9.msdn.com/Blogs/pkirchner/Azure-Backup-in-Windows-10

Dokumentation

Azure Backup forum

improve Azure Backup

Twitter

Channel9

Microsoft Advanced Threat Analytics (ATA) – Webinar

3. Dezember 2015 von 10:00 bis 11:00 Uhr

Ich hatte bereits über diesen neuen Service gepostet und Erläuterungen geschrieben. Nun gibt es auch dazu ein Webinar:
Anmeldung: https://info.microsoft.com/DE-EMS-WBNR-FY16-12Dec-01-Angriffe-auf-Ihr-Unternehmen-schneller-erkennen-und-handelnmit-Microsoft-Advanced-Threat-Analytics-ATA_Registration.html?ls=Social&lsd=Facebook&WT.mc_id=MSCOM_de-de_ADC_Facebook

 

Interessante Informationen gibt es hier:

 

Vor was wird mit dem Tool eigentlich geschützt ? (Auszug aus TechNet)

“ATA runs in the background and automatically analyzes, learns, and identifies normal behavior on your network, alerting you to possible security concerns, including:

  • Reconnaissance and Brute Force Suspicious Activities:
    • Reconnaissance using DNS
    • Reconnaissance using Account Enumeration
    • Bruteforce (LDAP, Kerberos)
  • Identity Theft Suspicious Activities:
    • Pass-The-Ticket
    • Pass-The-Hash
    • Over-Pass-The-Hash
    • Skeleton Key
    • MS14-068 exploit (Forged PAC)
    • Golden Ticket
    • Remote Execution
  • Honey Token account suspicious activities
  • Abnormal behavior: ATA uses behavioral analytics and machine learning to uncover questionable activities and abnormal behavior such as anomalous logins, abnormal resource access, abnormal working hours, unknown threats, password sharing and lateral movement.
    • Abnormal Behavior based on Resource access, Source Computers and Work hours (machine learning algorithm)
    • Massive object deletion
  • Security issues and risks: ATA identifies known security issues, such as broken trust, weak protocols and known protocol vulnerabilities.
    • Sensitive account exposed in plain text authentication
    • Service exposing accounts in plain text authentication
    • Broken Trust”

Data Loss Prevention nun auch für OfB und SharePoint Online

Ich war vor kurzer Zeit mit meinem MVP Kollegen Michael Kirst auf einer Konferenz und während unserem gemeinsamen Vortrages ist uns aufgefallen, dass der Roleout für DLP im SharePoint Online bereits gestartet war. Kurz darauf erschien nun auch der passende Blogbeitrag auf dem Office Blog.

DLP oder auch Data Loss Prevention ist eine Funktion/Tool in Office 365, welches es ermöglicht beispielsweise die Versendung von Kontodaten oder IP Adressen zu verhindern. Als Administrator kann ich Regeln anlegen, die dies verhindern und mich auch benachrichtigen. Bisher war dies auf die Exchange Daten begrenzt (https://technet.microsoft.com/en-us/library/jj150527(v=exchg.150).aspx).

Neu ist es nun, dass die DLP Regeln auch für SharePoint Online und den OneDrive for Business greifen. Dies schließt eine erhebliche Lücke, denn heutzutage verschickt man keine Dateien mehr, sondern nur noch Links zu Inhalten, die eben in den beiden Speicherbereichen liegen.

via:
https://blogs.office.com/2015/09/30/data-loss-prevention-in-onedrive-for-business-sharepoint-online-and-office-2016-is-rolling-out/