Microsoft aggiorna le funzionalità di rilevamento degli attacchi tramite password spray

Microsoft ha migliorato il rilevamento degli attacchi password spray in Azure Active Directory (Azure AD), raddoppiando il numero di account compromessi che riesce a rilevare utilizzando un nuovo sistema di machine learning (ML).

“Questo nuovo rilevamento di machine learning produce un aumento del 100% del richiamo, il che significa che rileva il doppio del numero di account compromessi dell’algoritmo precedente”, ha affermato Alex Weinert, Director of Identity Security di Microsoft. “Lo fa mantenendo l’incredibile precisione del 98% dell’algoritmo precedente, il che significa che se questo algoritmo dice che un account è caduto in uno password spray attack, è quasi certo che sia così.”

Il machine learning utilizzato per aumentare l’efficienza di rilevamento

Microsoft ha creato un motore euristico incentrato sul rilevamento di questi attacchi, che ha aiutato a individuare e avvisare i tenant di centinaia di migliaia di attacchi ogni mese (350,000 in Aprile 2018).

Questo motore fornisce ai clienti di Azure AD l’accesso alla funzionalità di Identity Protection (tramite una licenza P2 Premium di Azure AD) quando viene rilevato un attacco password spray.

Ora, l’azienda ha migliorato il motore di rilevamento della compromissione delle credenziali per i clienti di Azure AD Identity Protection con un nuovo sistema di machine learning che utilizza modelli di attacco noti e dati aggiuntivi per aumentare l’efficienza del rilevamento.

I dati utilizzati dalla nuova modalità ML, impiegata per potenziare le capacità di rilevamento della compromissione delle credenziali, includono vari segnali di deviazione del comportamento dell’account come proprietà di accesso non familiari e reputazione IP.

Password spray detection

“Questo nuovo rilevamento è un ottimo esempio di come utilizziamo l’intelligence acquisita attraverso i sistemi di identità di Microsoft per espandere e migliorare continuamente le nostre protezioni, che possiamo utilizzare per automatizzare i processi in Azure AD Conditional Access, in Azure Sentinel o tramite le API per tutto ciò che si può immaginare “, ha aggiunto Weinert.

Protezione dagli attacchi password spray incorporato in Azure AD

Gli autori delle minacce lanciano attacchi password spray tramite grandi botnet per tentare di forzare gli account di una o più organizzazioni abbinando i nomi utente a un elenco di password comuni (solitamente deboli), consentendo loro di nascondere i tentativi falliti utilizzando diversi indirizzi IP.

Ciò consente loro anche di sconfiggere le difese automatiche progettate per bloccare più tentativi di accesso non riusciti, come il blocco di IP dannosi e il blocco della password.

AD Password Protection è stata lanciata (in public preview da settembre 2019) per ridurre i rischi dietro gli attacchi password spray, impedendo agli utenti di scegliere password facili da indovinare, riducendo drasticamente il tasso di successo di tali attacchi a circa l’1%, afferma Weinert.

“Ogni colore tiene traccia di un diverso hash della password per i tentativi di accesso con password errate in Azure Active Directory (Azure AD). Esaminando milioni di tenant, possiamo vedere lo schema di un attacco di password spray”, ha spiegato Weinert.

Password spray attack (Microsoft)

“Normalmente il grafico sarebbe piatto e distribuito uniformemente come si vede sul lato sinistro. L’enorme elevazione di un singolo hash che fallisce su molti account indica che una singola password viene tentata contro centinaia di migliaia di nomi utente da molti tenant: un attacco password spray in progresso.”

Per iniziare con Azure AD Password Protection, è necessario accedere al portale Azure come amministratore globale, accedere a Azure Active Directory> Authentication methods, dove è possibile gestire la Password Protection.

I clienti con accesso ad Azure AD Identity Protection possono accedere ai nuovi report di rilevamento dei rischi nel portale e utilizzare le API per Identity Protection.


Le informazioni presenti in questo post, sono prese dall’articolo: https://www.bleepingcomputer.com/news/security/microsoft-upgrades-password-spray-attack-detection-capabilities/

Abilita l’accesso ad Azure AD con la posta elettronica come ID alternativo

Microsoft ha annunciato l’anteprima pubblica di una nuova feature: la possibilità di accedere ad Azure AD con la posta elettronica oltre che con l’UPN (UserPrincipalName). Nelle aziende in cui la posta elettronica e l’UPN non sono la stessa cosa, si può creare confusione per gli utenti che non possono utilizzare il proprio indirizzo mail per accedere. Con questa nuova funzionalità, puoi consentire ai tuoi utenti di accedere con il loro UPN o il loro indirizzo e-mail, evitando loro questo disguido.

Questa feature può essere abilitata impostando l’attributo AlternateIdLogin in HomeRealmDiscoveryPolicy. Utilizza le seguenti istruzioni per configurarlo nella tua organizzazione: https://tinyurl.com/y3og58lr

Al momento, molti stanno usando funzionalità in Azure Active Directory (Azure AD) Connect per raggiungere questo obiettivo, ma ciò richiede loro di impostare l’indirizzo di posta elettronica come UPN in Azure AD. Con questa nuova funzionalità, sarà possibile usare lo stesso UPN su Active Directory e Azure AD on-premises per ottenere la migliore compatibilità tra Office 365 e altri carichi di lavoro, consentendo comunque agli utenti di accedere con il loro UPN o e-mail.

Ci auguriamo che questa novità semplifichi l’esperienza di accesso a tutti gli end users.


Le informazioni presenti in questo post, sono prese dall’articolo: https://tinyurl.com/yypv5yer

NOVITÀ DI INTUNE NELLA RELEASE 2006

In questo articolo, scopriremo insieme quali sono le novità più importanti della versione 2006 di Microsoft Intune:

1. CONSEGNA UNIFICATA DELLE APPLICAZIONI AZURE AD ENTERPRISE E OFFICE ONLINE NEL PORTALE AZIENDALE

Sul riquadro di personalizzazione di Intune, puoi scegliere di nascondere o mostrare sia le applicazioni Azure AD Enterprise sia le applicazioni di Office Online nel Portale aziendale. Ogni utente finale vedrà l’intero catalogo app dal servizio Microsoft scelto. Di default, ogni fonte aggiuntiva di app sarà impostata su “Hide” (Nascondi). Questa funzione sarà attiva dapprima sul sito web del Portale Aziendale, a cui dovrebbe seguire il supporto sul Portale Aziendale di Windows.
Nel Microsoft Endpoint Manager admin center, selezionare Tenant administration Customization per trovare questa impostazione di configurazione.

2. UTILIZZO DI CERTIFICATI PKCS CON PROFILI WI-FI SU WINDOWS 10 E DISPOSITIVI PIÙ RECENTI

Puoi autenticare i profili Wi-Fi di Windows con i certificati SCEP (Device configuration>Profiles>Create profile>Windows 10 and later for platform >Wi-Fi for profile type >Enterprise>EAP type). Da ora puoi utilizzare i certificati PKCS (nuovi o esistenti nel tenant).

3. I DISPOSITIVI PERSONALI POSSONO UTILIZZARE LA VPN PER LA DISTRIBUZIONE

Il nuovo profilo autopilot “Skip Domain Connectivity Check” consente di implementare dispositivi Hybrid Azure AD Join senza accedere alla rete aziendale usando il proprio client VPN Win32 di terze parti. Per vedere il nuovo “bottone”, passa a Microsoft Endpoint Manager admin center Devices > Windows > Windows enrollment > Deployment profiles > Create profile > Out-of-box experience (OOBE).

4. I PROFILI DELLA PAGINA RELATIVA ALLO STATO DI REGISTRAZIONE POSSONO ESSERE IMPOSTATI SU DEVICE GROUPS

In precedenza, i profili della pagina di registrazione (ESP) potevano essere indirizzati solo a gruppi di utenti. Ora, puoi anche impostarli su gruppi di dispositivi target. Per ulteriori informazioni, vedi {Set up an Enrollment Status Page] (../enrollment/windows-enrollment-status.md).

5. CAMBIARE UTENTE PRIMARIO SU DISPOSITIVI CO-GESTITI

Puoi modificare l’utente principale per dispositivi Windows co-gestiti.

6. L’IMPOSTAZIONE DELL’UTENTE PRINCIPALE DI INTUNE IMPOSTA ANCHE LA FUNZIONE DI PROPRIETARIO DI AZURE AD

Questa nuova funzionalità imposta automaticamente la proprietà del titolare sui dispositivi Hybrid Azure AD Joined appena registrati, nello stesso momento in cui viene impostato l’utente primario Intune.

Questa è una modifica al processo di registrazione e si applica solo ai dispositivi appena registrati. Per i dispositivi Hybrid Azure AD Joined esistenti, è necessario aggiornarla manualmente.
Per fare ciò, puoi utilizzare la funzione Change primary user feature o uno script.

Quando i dispositivi Windows 10 si agganciano in Join a Hybrid Azure Azure Directory , il primo utente del dispositivo diventa l’utente principale in Endpoint Manager. Attualmente, l’utente non è impostato sul corrispondente dispositivo Azure AD. Ciò causa un’incoerenza quando si confronta la proprietà di owner dal portale di Azure AD con la proprietà di primary user nell’interfaccia di amministrazione di Microsoft Endpoint Manager. La proprietà non viene popolata sui dispositivi agganciati ad Hybrid Azure AD. Questa limitazione impedisce la configurazione del self-service recovery di BitLocker da Azure AD. La nuova feature risolve la seguente limitazione.

7. GLI AMMINISTRATORI NON HANNO PIÙ BISOGNO DI UNA LICENZA INTUNE PER ACCEDERE ALLA CONSOLE DI AMMINISTRAZIONE DI MICROSOFT ENDPOINT MANAGER

Ora puoi impostare un interruttore a livello di tenant per rimuovere il requisito di licenza Intune per gli amministratori che vogliono accedere alla console di amministrazione MEM ed interrogare graph APIs.
ATTENZIONE: Una volta rimosso il requisito di licenza, non è più possibile ripristinarlo.

8. UTILIZZO DELL’ANALISI DEGLI ENDPOINT PER MIGLIORARE LA PRODUTTIVITÀ DEGLI UTENTI E RIDURRE I COSTI DI SUPPORTO IT

L’analisi degli endpoint ha l’obiettivo di migliorare la produttività e ridurre i costi di supporto IT fornendo informazioni sull’esperienza utente.
Gli insights consentono all’IT di ottimizzare l’esperienza con supporto proattivo e di rilevare eventuali regressioni, valutando l’impatto da parte dell’utente sulle modifiche alla configurazione.
Per ulteriori informazioni, consulta il seguente link: https://docs.microsoft.com/it-it/mem/analytics/overview.

9. RISOLUZIONE PROATTIVA DEI PROBLEMI SUI DISPOSITIVI DEGLI UTENTI FINALI UTILIZZANDO I PACCHETTI DI SCRIPT

Puoi creare ed eseguire pacchetti di script sui dispositivi degli utenti finali per trovare e risolvere in modo proattivo i principali problemi di supporto. La distribuzione di questi ti aiuterà a ridurre le chiamate di supporto. Intune ti consente di visualizzare lo stato dei pacchetti distribuiti e di monitorare i risultati di rilevamento e correzione.

Per maggiori informazioni consulta i seguenti link:


Le informazioni presenti in questo post, sono prese dall’articolo: https://www.cloud-boy.be/blog/whats-new-in-intune-release-2006/

Configurare la sincronizzazione selettiva delle password con AADConnect

In questo articolo vedremo come configurare AADConnect per sincronizzare l’hash delle password in Azure AD, per uno specifico gruppo di utenti.

In generale, possiamo suddividere i clienti in due tipologie:

  • quelli che vogliono utilizzare la modern identity per le applicazioni cloud e decidono di sincronizzare gli hash da un sistema di identità on-premise (Active Directory);
  • quelli che non sono a proprio agio con la sincronizzazione dell’hash delle password sul cloud pubblico ed utilizzano i metodi tradizionali per l’accesso alle app cloud come l’ADFS.

In questo blog, ci focalizzeremo in particolare su questo secondo gruppo di clienti che predilige un approccio graduale alla modern identity e procede a step iniziando da un piccolo set di utenti per la sincronizzazione.

Facciamo un esempio: i clienti potrebbero volere che alcuni utenti abbiano l’hash delle password solo su Azure.
Gli scenari sono dei più vari: ad esempio, supportare le applicazioni basate su Kerberos in Azure AD e modificare l’approccio della migrazione per le applicazioni cloud.
Il metodo di sincronizzazione dell’hash delle password ti offre numerosi vantaggi ed abilita le applicazioni alla Modern cloud identity.
Ti rimandiamo al seguente articolo per maggiori informazioni: https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-password-hash-synchronization#how-password-hash-synchronization-works.

Approccio
Per gli utenti che vogliono sincronizzare l’hash della password su Azure AD, utilizzeremo l’attributo AD “adminDescription” come filtro. In questo esempio sincronizzeremo la password quando il valore ‘adminDescription’ dell’utente sarà uguale a ‘SyncHash‘.
Creeremo due regole custom di sincronizzazione in AADConnect:

  • La prima che sincronizzerà gli utenti e le loro password hashes;
  • La seconda che sincronizzerà solo gli utenti.

La regola di default con il password sync abilitato, verrà disabilitata.

IMPORTANTE: consigliamo di effettuare le operazioni dapprima in ambiente Dev/Test.

Riepilogo modifiche:
Di seguito riassumiamo le attività che devi eseguire per configurare AADConnect per la sincronizzazione selettiva dell’hash delle password:

  • Disabilitare la regola di default con la sincronizzazione dell’hash delle password.
  • Creare le due regole di sincronizzazione personalizzate che sincronizzeranno gli utenti con Azure AD: una con l’hash delle password e una senza.
  • Abilitare la sincronizzazione tramite la procedura guidata di configurazione di AAD Connect.
  • Convalidare la sincronizzazione delle password.

Passaggi:

  1. Sul server AADConnect, assicurati che la voce Password Hash Sync sia disabilitata.

2. Apri il Synchronization Rules Editor ed imposta il “Password Sync” su “On” ed il ” Rule Type” su “Standard”.

3. Seleziona la regola “In from AD – User AccountEnabled” e fai click su “Edit”. Ti apparirà un popup che suggerisce di creare una copia modificabile e di disabilitare la regola originale. Fai click su “Yes“.

  1. Prima di tutto, configura la regola di sincronizzazione senza l’hash delle password.
  • Dai un nome alla regola, ad es. “In from AD – User AccountEnabled – No Pass Sync”.
  • Cambia la precedence in ’99’ o nel valore minimo disponibile.
  • Mantieni entrambe le caselle “Enable Password Sync” e “Disabled” senza flag e fai click su “Next”.

Nella schermata “Scoping filter” fai click su “Add clause” e seleziona “adminDescription” “NOTEQUAL” “SyncHash”. Poi, clicca su “Next”.

  1. Nelle schermate “Join Rules” e “Transformations” non ti viene richiesta nessuna modifica. Fai click su “Save”.
  2. Verrà creata una nuova regola personalizzata senza Password Hash sync.

8. Ora vediamo come creare la regola personalizzata con la sincronizzazione dell’hash delle password abilitata.
Ancora una volta, cerca la regola standard “In from AD – User AccountEnabled“, selezionala e fai click su “Edit”.
Clicca “Yes” quando ti viene richiesto di creare una nuova regola.

9. Come indicato nella procedura precedente:

  • Dai un nome alla regola, ad es. “In from AD – User AccountEnabled – Pass Hash Sync“.
  • Cambia la precedence in ’98’ o nel valore minimo disponibile.
  • Seleziona la casella di “Enable Password Sync” e fai click su “Next”.

10. Nella schermata “Scoping filter“, fai click su “Add clause” e seleziona “adminDescription” “EQUAL” “SyncHash” e clicca su “Next”.

11. Nelle schermate “Join Rules” e “Transformations” non ti viene richiesta alcuna modifica. Fai click su “Save”.

12. Assicurati di avere abilitato una sola regola per la sincronizzazione delle password. Mantieni la regola standard “In from AD – User AccountEnabled” disabilitata per ricevere il flusso dell’hash delle password solo dalla personalizzazione che hai appena creato.

13. Per confermare l’applicazione delle regole, esegui “Full Sync Preview” per utenti casuali con e senza il flag “adminDescription” aggiornato.

14. Gli utenti con “AdminDescription” equals “SyncHash” dovrebbero avere la regola “Pass Hash Sync” applicata.

15. Gli utenti senza flag “AdminDescription” dovrebbero avere la regola “No Pass Sync” applicata.

16. Dopo la convalida tramite “Full Sync preview”, esegui “Full Sync Cycle” per consentire a tutti gli utenti di utilizzare le nuove regole personalizzate.

Start-ADSyncSyncCycle -PolicyType Initial

17. Al termine del Full Sync, assicurati che le regole siano state applicate per tutti gli utenti. A questo punto, potrai abilitare la sincronizzazione dell’hash delle password tramite la procedura guidata di configurazione di AAD Connect.

18. Per confermare che gli utenti con il flag ‘adminDescription’ stanno sincronizzando la password in Azure, cerca i seguenti event log sul server AAD Connect.

Event IDEsempio di eventoCausa
656Password Change Request – Anchor : H552hI9GwEykZwof74JeOQ==, Dn : CN=Viola Hanson,OU=Cloud Objects,DC=contoso,DC=local, Change Date : 05/01/2013 16:34:08La sincronizzazione della password indica che è stata rilevata una modifica e tenta di sincronizzarla con Azure AD. Ciò identifica l’utente o gli utenti la cui password è stata cambiata. Ogni lotto contiene almeno un utente fino ad un massimo di 50.
657Password Change Result – Anchor: eX5b50Rf+UizRIMe2CA/tg==, Dn : CN=Viola Hanson,OU=Cloud Objects,DC=contoso,DC=local, Result : Success.Utenti la cui password è stata sincronizzata correttamente.

Le informazioni presenti in questo post, sono prese dall’articolo: https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/configure-selective-password-synchronization-with-aadconnect/ba-p/1459434

Gestione delle unità amministrative in Azure Active Directory (preview)

Un’unità amministrativa è una risorsa di Azure AD che può fungere da container per altre risorse di Azure AD. Questa versione in preview, permette all’unità amministrativa di contenere solo utenti e gruppi.

Le unità amministrative consentono di concedere autorizzazioni di amministratore limitate a un dipartimento, una regione o un segmento dell’azienda definito. È possibile utilizzarle per delegare le autorizzazioni agli amministratori regionali o per impostare policy a livello granulare. Ad esempio, un amministratore dell’account utente può aggiornare le informazioni del profilo, reimpostare le password ed assegnare licenze per gli utenti solo nella sua unità amministrativa.
Può, ad esempio, delegare agli specialisti dell’assistenza regionale il ruolo di Helpdesk Administrator destinato alla sola gestione degli utenti nella regione che supportano.

Scenario di distribuzione
La limitazione dell’ambito amministrativo mediante le unità amministrative può essere utile nelle organizzazioni costituite da divisioni indipendenti di qualsiasi tipo.
Per esempio: una grande università composta da molte scuole autonome (School of Business, School of Engineering e così via) in cui ognuna ha un team di amministratori IT che controlla l’accesso, gestisce gli utenti e definisce le politiche per la loro scuola.
Un central administrator potrebbe:

  • Creare un ruolo con autorizzazioni amministrative solo per gli utenti di Azure AD nell’unità amministrativa della business school;
  • Creare un’unità amministrativa per la business school;
  • Popolare l’unità di amministrazione solo con gli studenti e il personale della business school;
  • Aggiungere il team IT della business school al ruolo.

Requisiti di licenza

L’uso delle unità amministrative richiede una licenza di Azure Active Directory Premium per ciascun amministratore e la licenza gratuita di Azure Active Directory per i membri.
Per altre informazioni, vi rimandiamo all’articolo: Iniziare ad utilizzare Azure AD Premium

Gestire le unità amministrative
Con questa preview, è possibile gestire le unità amministrative utilizzando il portale di Azure, i cmdlet e gli script di PowerShell o Microsoft Graph.
È possibile fare riferimento alla seguente documentazione per i dettagli:

Creare, rimuovere, popolare e aggiungere ruoli alle unità amministrative: completare le procedure pratiche;
Lavorare con le unità amministrative: come lavorare con le unità amministrative usando PowerShell;
Supporto grafico all’unità amministrativa: documentazione dettagliata su Microsoft Graph per unità amministrative.

Pianificare le proprie unità amministrative
Le unità amministrative possono essere usate per raggruppare logicamente le risorse di Azure AD. Ad esempio, per un’organizzazione il cui dipartimento IT è diffuso a livello globale, potrebbe avere senso creare unità amministrative che definiscano tali confini geografici. In un altro esempio, in cui una multinazionale ha diverse “sub-organizzazioni”, che sono semi-autonome nelle operazioni, ognuna di esse può essere rappresentata da un’unità amministrativa.

I criteri su cui vengono create le unità amministrative saranno guidati dai requisiti unici di un’organizzazione. Le unità amministrative sono un modo comune per definire la struttura tra i servizi M365. È possibile ottenere il massimo valore dalle unità amministrative quando è possibile associare risorse comuni su M365 in un’unità amministrativa.

Fasi per la creazione di unità amministrative nell’azienda:

  1. Adozione iniziale: l’organizzazione inizierà a creare unità amministrative in base a criteri iniziali e il numero di unità amministrative aumenterà man mano che i criteri vengono perfezionati;
  2. Potatura: una volta definiti i criteri, le unità amministrative non più necessarie verranno eliminate;
  3. Stabilizzazione: la struttura organizzativa è ben definita e il numero di unità amministrative non cambierà in modo significativo nel breve periodo.

Scenari attualmente supportati
Gli amministratori globali o gli amministratori con ruolo privilegiato possono usare il portale di Azure AD per creare unità amministrative, aggiungere utenti come membri di unità amministrative ed assegnare il personale IT a ruoli di amministratore. Questi amministratori potranno quindi utilizzare il portale di Office 365 per la gestione di base degli utenti nelle loro unità amministrative.

Inoltre, i gruppi potranno essere aggiunti come membri dell’unità amministrativa e l’amministratore del gruppo potrà gestirli usando PowerShell, Microsoft Graph e il portale di Azure AD.

Le seguenti tabelle descrivono il supporto corrente per gli scenari delle unità amministrative.

Gestione dell’unità amministrativa

PermessiGraph/ PowerShellPortale
Azure AD
Centro amministrazione MS365
Creazione/eliminazione di unità amministrativeSupportatoSupportatoNon supportato
Aggiunta/rimozione membri dell’unità amministrativa singolarmenteSupportatoSupportatoNon supportato
Aggiunta/rimozione in blocco dei membri dell’unità amministrativa utilizzando il file .csvNon supportatoSupportatoNessun piano da supportare
Assegnazione di amministratori con ambito unità amministrativaSupportatoSupportatoNon supportato
Aggiunta e rimozione di membri AU in modo dinamico in base agli attributiSupportatoNon supportatoNon supportato

Gestione Utenti

PermessiGraph/ PowerShellPortale
Azure AD
Centro amministrazione MS365
gestione unità amministrative di proprietà utente, password, licenzeSupportatoSupportatoSupportato
blocco e sblocco nell’ambito delle unità amministrative degli accessi degli utentiSupportatoSupportatoSupportato
gestione nell’ambito delle unità amministrative delle credenziali MFA dell’utenteSupportatoSupportatoNon supportato

Gestione Gruppo

PermessiGraph/ PowerShellPortale
Azure AD
Centro amministrazione MS365
gestione nell’ambito delle unità amministrative delle proprietà e dei membri del gruppoSupportatoSupportatoNon supportato
gestione nell’ambito delle unità amministrative delle licenze di gruppoSupportatoSupportatoNon supportato

Nota: Gli amministratori in ambito di unità amministrativa non possono gestire le regole di appartenenza al gruppo dinamico.Le unità amministrative applicano l’ambito solo alle autorizzazioni di gestione. Non impediscono ai membri o agli amministratori di utilizzare le Autorizzazioni utente predefinite per scoprire altri utenti, gruppi o risorse al di fuori dell’unità amministrativa. Nel portale di Office 365, gli utenti esterni alle unità amministrative vengono filtrati, ma è possibile scoprire altri utenti nel portale di Azure AD, PowerShell e altri servizi Microsoft.

<hr>

Le informazioni presenti in questo post, sono prese dall’articolo: Administrative units management in Azure Active Directory (preview).