MFA is te ingewikkeld voor gebruikers

Ik ben tijdelijk security officer bij een organisatie waar denk ik 80% niet begrijpt hoe MFA werkt en waar de weerstand tegen MFA enorm is (veel gepensioneerden). MFA is dan ook teruggedraaid (al voordat ik kwam). De MSP van deze organisatie kent eigenlijk alleen MFA en doet nooit iets met Conditional Access. Ik ga dus zelf een voorstel doen zodat zij het kunnen implementeren.

Ik heb al een paar standaardzaken die ik ga doordrukken:
https://docs.microsoft.co...ock-legacy-authentication
Legacy Auth en ActiveSync gaat uit. Wat mij betreft is hier ook geen discussie over mogelijk. De printerleverancier zoekt zelf maar een oplossing voor scan-to-email, maar dat gaan we dus niet met Legacy Auth doen.

https://docs.microsoft.co...s-policy-compliant-device
Er komt een conditie dat Modern Auth communicatie alleen vanaf compliant devices kan. Men krijgt een laptop van de zaak en men krijgt de keuze tussen een telefoonvergoeding (i.v.m. enrollment) of een telefoon van de zaak.

https://docs.microsoft.co...-based-conditional-access
Er komt een conditie dat alleen de Microsoft approved apps mogen verbinden.

Daarnaast komt er uiteraard een conditie voor de gebruikelijke zaken (MFA voor externe gebruikers, etc.).

Browsertoegang ben ik nog een beetje over in dubio. Enerzijds wil ik een conditie dat browsertoegang alleen vanaf een compliant computer kan, anderzijds wil ik wellicht toestaan dat een noncompliant device ook toegang kan krijgen na het doen van een MFA challenge. Een klein aantal gebruikers begrijpt namelijk wel hoe MFA werkt en ik wil wel een werkbare situatie houden. Een vereiste voor browsertoegang wordt uiteraard Conditional Access App Control en misschien wil ik zelfs IRM gaan toepassen.

Ook over de enrollment ben ik nog een beetje in dubio. Hiervoor zal uiteraard een vorm van beveiliging moeten komen zodat Jan-en-Alleman niet zomaar een random computer kan enrollen en compliant kan maken met een gestolen wachtwoord.

Daarnaast ben ik nog aan het nadenken over welke compliancy regels er komen. De obvious dingen komen er natuurlijk in, zoals Bitlocker, Defender status, wachtwoord, screenlock timeout, etc. Het is geen enterprise waar de gevolgen van dataverlies groot zijn voor anderen. Het is gewoon een organisatie met mensen die niet zo goed snappen hoe een computer werkt.

De algemene stelling is natuurlijk dat MFA een minimale vereiste is voor een minimaal beveiligingsniveau. MFA gaat er bij deze organisatie helaas niet meer komen, vandaar dat ik naar alternatieven kijk. Uiteraard komt er een addendum waar de gebruikers voor moeten tekenen, waar ook obvious dingen in staan (verplicht Windows Hello for Business gebruiken, diefstal direct melden, etc.). Wat is jullie mening over het beveiligen op basis van compliancy in plaats van MFA? Zijn er dingen waar ik goed op moet letten als je geen MFA gebruikt? Zijn er zaken die ik in bovenstaande situatie kan verbeteren?

Risico blijft natuurlijk dat iemand z'n computer niet nog gelockt is of dat een boef een vriezer bij zich heeft en de Bitlocker sleutels uitleest. Dat is een acceptabel risico. Ik heb natuurlijk niet zo veel aan de obvious antwoorden zoals "je moet MFA aanzetten" of "je moet je collega's opvoeden." Ik ben het met je eens. Helaas heeft mijn voorganger die kansen al opgemaakt.

- Zijn er informatie flyers gedrukt waar simpel opstaat wat de voordelen zijn?
- Is er een 5 stappen plan over de werking die ze kunnen raadplegen?

De een zegt van wel, de ander zegt van niet. Half, denk ik. Ik heb wel ergens de duidelijke YouTube video's van Microsoft voorbij zien komen.

- Zijn er digitale (corna) voorlichting sessies gehouden voor de mensen die er moeite mee hebben?

De MSP zegt 1 op 1 sessies te hebben gehouden. Collega's zeggen van niet.

- Is er iemand van IT fysiek beschikbaar om mensen te helpen bij vragen (vaste dag en tijd)

Dat ben ik aan het regelen met de MSP.

- Is er extra capaciteit op de helpdesk om de MFA vragen snelle te beantwoorden?

Dat is de verantwoordelijkheid van de MSP.

Het is gewoon een wellus/nietus verhaal tussen MSP en organisatie en er wordt veel gepraat maar niets gedaan. Ik heb de opdracht om de beveiliging zo snel mogelijk te verbeteren vanwege een recent beveiligingsincident. Ik mag alles, uitgezonderd algemene MFA. In een later stadium kan MFA waarschijnlijk wel, maar dat is voor mijn opvolger.

Ik begrijp heel goed dat gebruikers opvoeden de beste oplossing is. Dat is ook de leukste oplossing, maar nu moet heel snel de beveiliging omhoog. Aangezien alle licenties al aanwezig zijn (M365 E5) en alle machines al Azure AD joined zijn, is compliancy de snelste quick win. Risk-based MFA is overigens wel een optie en ben aan het overwegen.

DarkSide schreef op donderdag 3 september 2020 @ 19:59:
Zaken als basic auth staan los van MFA.
Je moet geen basic auth willen. Of SMB1 of TLS 1 etc etc.

Ik ben wel meer dingen tegengekomen die echt niet meer kunnen en daar gaat ook iets aan gebeuren. Zo stond er bijvoorbeeld een 3389 open. Nu niet meer.

Je devices moeten voldoen aan een bepaal de baseline.

Dat is compliancy

Maar daarnaast is MFA gewoon erg handig.

Volledig mee eens. Het is de makkelijkste manier om verreweg de meeste security incidenten te voorkomen.

SSO is daar bv ook goed voor. Geen verschillende logins en onthouden (en opschrijven) van wachtwoorden.
Maar netjes gekoppeld met SAML/OpenID bv.

Ben ik ook steeds op aan het hameren. Ik wil de Exact Online en alle bedrijfsapps gekoppeld hebben. Iedereen in de IT houdt van SSO, maar ook eindgebruikers vinden het geweldig.

Tevens zou je kunnen kijken naar riskbased MFA. Dus niet elke keer een MFA.

E5 maakt dit wel mogelijk en ik neem dit serieus mee.

Tevens ook van belang is dat je toch een goede backing gaat krijgen.
Er zijn altijd mensen die "zeuren" Over MFA, updates, Te lange wachtwoorden, etc, etc.
Als management niet achter die beslissingen staat, is de kans groot dat straks iedereen Welkom123 heeft en wachtwoord op never expires staat bv.

Ik weet ook niet precies waarom MFA is teruggedraaid, maar er is gewoon iets verschrikkelijk mis gegaan voordat ik kwam en het draagvlak is dus volledig verdwenen.

[ Voor 35% gewijzigd door Trommelrem op 03-09-2020 20:24 ]

MAX3400 schreef op donderdag 3 september 2020 @ 22:11:
Dus nee, je topic is voor jou misschien valide en je beschrijft voor ons (techneuten) wat er allemaal schort en welke minimale eisen jij denkt te moeten implementeren maar ik lees echt 0 voedingsbodem (gekweekt) hoe je dit aan die gepensioneerden denkt te gaan uitleggen.

Niet. Geen minimale eisen, geen uitleg aan users voor nu. Ik wil nu een minimale set beveiliging zodat eventueel gelekte wachtwoorden niet bruikbaar zijn.
Daarna wil ik met de MSP aan tafel zodat zij MFA opnieuw kunnen gaan uitleggen aan de gebruikers. In de tussentijd wil ik geen compleet onbeveiligde omgeving. Vandaar de vraag of bovenstaand technisch een goede quick-fix is in de tijd dat iedereen weer met elkaar gaat praten, zodat we nu niet onbeveiligd zijn. Ik wil de MSP gewoon een heldere opdracht geven voor nu, en daarna komt de adoptie van MFA.

MAX3400 schreef op donderdag 3 september 2020 @ 22:11:
Grappig dat je MFA schaart onder Windows Clients en niet onder Privacy & Beveiliging dus allicht dat ook jouw visie wat beperkt is op de materie?

Het gaat inderdaad breder dan alleen Windows systemen. Alleen is conditional access nogal een Microsoft dingetje

[ Voor 37% gewijzigd door Trommelrem op 04-09-2020 06:27 ]

Verwijderd schreef op vrijdag 4 september 2020 @ 11:50:
Op je technische implementatie ga ik nieteens in, want het lijkt me duidelijk dat als je dit op deze manier bij mgmt op het bordje gooit de deur dicht gaat, en terecht.

Management is vanmiddag akkoord gegaan met de ingreep (toegang op basis van compliancy). En management is akkoord om opnieuw met de MSP om tafel te gaan zitten voor MFA.

Wat is er aan support voorhanden? Een walk-in clinic met de onsite technici is zo opgezet. Als je dit zo non-optioneel non-trained activeert leg je het halve bedrijf lam en zorg je voor een enorme overstroming aan support vragen aan onsite/servicedesk. Zijn die daar klaar voor?

Om nog maar te zwijgen over waardering richting de IT afdeling & werknemerswaardering tov werkgever (Onsites & SD in dit geval)

Dus - bereid die clinic voor, waar iedereen met zn telefoontje naar binnen loopt & bij voorkeur met de laptop onder de arm, en alles samen opzetten. Klusje zo gepiept, gebruikers blij.

Wat mij betreft gaat men opnieuw met de MSP om tafel voor MFA. Het ging mij er om of de bovenstaande technische maatregelen voor korte termijn voldoende zijn om het beveiligingsniveau iets omhoog te tillen zonder dat gebruikers er iets van merken. MFA komt later, nadat users opnieuw zijn getraind. Als ik nu niets doen en wacht totdat de MSP tijd heeft voor een nieuw project, dan zijn we niet beveiligd in die tussentijd.

eric.1 schreef op vrijdag 4 september 2020 @ 12:29:
[...]

Dit veeg je nu wel van tafel, echter blijft de mens nu eenmaal de zwakste schakel. Je gebruikt dit (samen met het recente indicent) nu als excuus om de doelgroep te omzijlen, niet echt handig.

Weet je überhaupt al hoe het beveiligingsincident is ontstaan?

Gelekt wachtwoord. Toegang via Legacy Auth.

DJMaze schreef op vrijdag 4 september 2020 @ 18:58:
[...]

Gebruik dan geen wachtwoorden. Er zijn zat mogelijkheden.

Als en oud persoon geen wachtwoord hoeft te onthouden is toch makkelijk?

Gebruik van Windows Hello for Business wordt geimplementeerd.

leonbong schreef op vrijdag 4 september 2020 @ 11:41:
@Trommelrem
Ik snap dat jij je gebruikers niet mee krijgt.

Why? Ik heb zelf nog geen poging gedaan. MFA is reeds teruggedraaid voordat ik kwam.

Je hebt alleen maar over “ moeten “ zonder dat je ook maar “een voordeel” uit legt.

Dit heeft de MSP volgens mij wel gedaan, maar hier is het dus een wellus/nietus verhaal tussen MSP en organisatie.

Daarnaast wat is nu eigenlijk je vraag in dit topic?
Want je huidige TS is eigenlijk een warrig verhaal/statement.

Of de voorgestelde technische maatregelen een goede tijdelijke oplossing zijn voor nu tot en met het moment dat de MSP een nieuw MFA project start.

bas-r schreef op vrijdag 4 september 2020 @ 11:38:
Ik ben heel benieuwd hoe je eea nu voor elkaar wil krijgen.
En eigenlijk weet ik niet wat je vraag precies is. Dat wordt me niet duidelijk uit je startpost.

Zijn de voorgestelde technische maatregelen voldoende om de beveiliging tijdelijk op te schroeven, totdat de MSP een nieuw MFA project heeft uitgevoerd?

Misschien onaardig als ik het zeg, maar voor mij klinkt het alsof je precies in dezelfde valkuil gaat stappen waar je voorganger in stapte: zonder je gebruikers te kennen en te betrekken bij je maatregelen creëer je weerstand die zich hoe dan ook tegen je gaat keren.

Maar ik vermoed dat je dit helemaal niet wil horen en enkel hoe je zsm je maatregelen er 'door kan drukken' en dan weer naar je nieuwe klus hopt.

Om eerlijk te zijn: Ja. Ik moet nu iets beveiligen, daarna is het aan de MSP om MFA opnieuw te implementeren, daarna ben ik weer weg.

[ Voor 28% gewijzigd door Trommelrem op 04-09-2020 21:22 ]

Een kleine update:

Afgelopen week hebben we allerlei basale zaken ingericht. Ik heb een tweetal engineers weten te regelen van de MSP die de hele week lang devices hebben geregistreerd in Azure zodat in ieder geval SSO werkt en bepaalde Conditional Access regels werken (zoals hybrid join). Daarnaast heb ik in de sign in logs nog een onopgemerkt gelekt account gevonden.

Een aantal dingen zijn afgelopen week doorgedrukt:
• Legacy Auth is uitgeschakeld, met uitzondering van een legacy SMTP account.
• Company Portal is verplicht als je toegang wilt tot bedrijfsdata vanaf een mobiele telefoon of macOS. Helaas nog even zonder MFA, maar wel met MFA om te registreren.
• Hybrid AD join is verplicht als je toegang wilt krijgen tot bedrijfsdata vanaf Windows. Helaas even zonder MFA, maar zonder Hybrid Join ook geen toegang.
• Browsertoegang is voor nu volledig geblokkeerd, maar wordt straks met MFA aangezet.
• Admins zonder duidelijk doel zijn uitgeschakeld. Als iemand administratieve toegang nodig heeft, dan moet dat maar met PIM.
• Admins met duidelijk doel zijn geen Global Admin meer, maar alleen admin voor hun specifieke taak en met een dedicated named account.
• Windows Hello for Business is ingeschakeld om de implementatie van MFA iets makkelijker te maken.

Squ1zZy schreef op zaterdag 5 september 2020 @ 11:07:
Ik las dat jullie gebruik maken van Microsoft 365 E5. Als MFA niet eens is ingeregeld vraag ik me af hoe het zit met MCAS, Azure ATP, Office 365 ATP, Defender ATP, Identity Protection etc. Volgens mij hebben jullie een grote uitdaging omtrent security.

Het is allemaal verkocht onder het mom van security, maar er is nog niet zo veel ingeregeld inderdaad. Alles wat wel ingeregeld was, kan volgens mij zelfs onder Azure P1. Ze zouden nog net binnen de userlimiet van M365 Business Premium passen, waarschijnlijk is men daarom meteen naar E5 gegaan?

Maar gezien bovenstaande lijst (global admins, geen named accounts, etc.) moet er wel wat meer worden gedaan dan alleen de E5 functionaliteit.

het beste is om een bedrijf in te schakelen die wel weet hoe Conditional Acces werkt

Dat is de taak van de MSP. Een aantal Conditional Access regels zijn al in place en een vierde partij zal een audit doen.

Dit gezegd te hebben: Security moet vanuit de business komen en zou niet IT gedreven moeten zijn. Wat zijn de business en technische requirements vanuit de business?

Business requirement is pas ontstaan toen er gelekte accounts naar boven kwamen. Er begint nu pas besef te komen.

Legacy Authentication ondersteunt GEEN Multi-Factor Authentication.

Er is wel meer mis met Legacy Auth, daarom heb ik dat per direct uitgezet op basis van sign in logs en de peeptest (en zodoende de printers uitgezonderd).

Je geeft aan dat gebruikers niet weten hoe MFA werkt. Je zou met push-notifications kunnen werken waardoor de drempel lager ligt voor de eindgebruiker.

Wat ik inmiddels vermoed is dat de MSP geen rekening heeft gehouden met een aantal sleutelfiguren die vaak reizen en dus per device betalen. Als alleen je laptop internet heeft, dan kun je geen SMS code ontvangen op je mobiel. OTP en Push is uiteraard al ingeschakeld en ik ga de MSP verzoeken het opnieuw te proberen maar dan met training en rekening houdend met deze belangrijke factor. SMS wordt overigens uitgeschakeld, want dat is onveilig.

Ook kan je met Named Locations binnen Azure AD opgeven dat dit een trusted location is waardoor gebruikers geen MFA challenge krijgen om de gebruikers zo min mogelijk lastig te vallen.

Dit is voor mij een no-go, simpelweg omdat het weinig gaat helpen en omdat de public WiFi hetzelfde externe IP adres heeft als het datanetwerk. Wat mij betreft is het interne netwerk onveilig.

Dus een wedervraag aan jou: Wil je simpelweg je opdracht doorlopen en dan "toedels veel plezier met de rest"? Of is dit een opdracht waar je in 3-5 jaar tijd een daadwerkelijke change wilt bereiken voor de organisatie?

Toedels nadat MFA ingeschakeld is. Nu ik de geschiedenis van de implementatie van MFA ken, denk ik dat MFA wel kan lukken op korte termijn, nadat in ieder geval de basis ligt. Voor bepaalde zaken staat MFA nu aan, maar voor de algehele MFA gaat de MSP gewoon opnieuw aan de slag, maar ik heb ook het idee dat na mijn uitleg over MFA dat in ieder geval bepaalde sleutelfiguren het wel weer een kans willen geven en het eerder onopgemerkte gelekte account heeft daarbij geholpen. Misschien kan ik het toch een draai geven zodat beveiliging nu vanuit de business komt en niet vanuit IT.

[ Voor 4% gewijzigd door Trommelrem op 13-09-2020 11:27 ]

Squ1zZy schreef op zondag 13 september 2020 @ 18:01:
[...]
Wel door middel van Conditional Access toch? En SMTP is juist een protocol wat veel door hackers wordt gebruikt. Je zou eej CA aan kunnen maken in monitoring mode om te kijken welke applicatie er allemaal nog gebruik maken van SMTP.

Ja. Ik ben er alleen nog niet uit of Legacy Auth nu ingeschakeld blijft als je zelf iets instelt, omdat Legacy Auth binnenkort wordt uitgeschakeld.

Ik heb moeten werken met twee Conditional Access regels:
1. Legacy Auth uitschakelen, excluding IP adres scanner (en dus hele kantoor)
2. Legacy Auth uitschakelen, excluding account Scanner
Iemand die het SMTP account van de scanner dus kent, kan via de public WiFi (omdat die ook niet beperkt is) gaan spammen. Het scanner account krijgt een procedure om jaarlijks te worden gewijzigd.

Wordt Legacy Auth na deze datum alsnog uitgeschakeld als je zelf iets via CA instelt?

Je hebt zelf aan "helaas", maar om het risico om bedrijfsverlies te verlagen zou ik dit toch echt aandacht geven.

Komt, omdat ik nu het idee heb dat MFA wel bespreekbaar begint te worden.

Zit er een goedkeuring op PIM? Of is het alleen JIT?

Ik zal zelf de goedkeuring regelen, maar voor nu is het gewoon JIT, tenzij ik de reden bij de aanvraag vaag vind. Dit gaat in de toekomst wel via een betere procedure, maar voor nu moest ik gewoon even zo snel mogelijk alle random admins weg hebben. Wat ik nu doe is allemaal reactief, er is nog niet echt iets proactief gebeurd. Maar zeer goede tip om hier snel een goede procedure voor te maken.

Security E5 is 10 euro per maand per gebruiker als je per jaar aftikt. Als je veel licenties koopt krijg je korting en het kan best zijn dat als je een 3-jarig contract tekent je flinke korting krijgt. Dat je nu niet volledig E5 gebruikt is dan maar even zo. Je kunt de features al wel gebruiken namelijk.

Ik wil sowieso niet op korte termijn alle licenties wijzigen. M365 E5 is prima, dan hebben we ook de vrijheid om zonder financiele beperkingen bepaalde security features te gaan gebruiken.

Let ook op dat er een CA is voor "onbekende apparaten". Het is vrij makkelijk om CA te bypassen gezien het op user-agent werkt. Een vage browser op een OS die niet is aangevinkt betekent een bypass van CA/MFA.

Op basis van toekomstige mogelijke fuckups heb ik wel een set regels als volgt gebouwd:
1. Geen CA op basis van inclusions, maar van exclusions. Toekomstige platformen die er dan bij komen, worden dan dubbel non-excluded, in plaats van dat er geen CA bestaat voor dat specifieke platform en dus die CA wordt overgeslagen.
2. Browsertoegang is op dit moment volledig geblokkeerd, met uitzondering van Hybrid joined devices. Pas als duidelijk is wat voor BOYD constructies we gaan toestaan kan dat langzaam weer open.

Zero-trust dus, en goed om te horen! Al met al hebben jullie al goede stappen gemaakt zie ik

Het is vooral reactief geweest en bij een normale gang van zaken was dit ook een normaal project geweest. Ik ben vooral blij dat MFA nu wel bespreekbaar lijkt te worden bij de sleutelfiguren en dat er in iedergeval een basisset beveiliging klaar ligt. De twee lekken die er nu zijn geweest, waren niet door de huidige beveiligingsset heen gekomen.

MFA had in het mislukte MFA project sowieso geen zin, omdat Legacy Auth gewoon nog ingeschakeld was. Ik wist dat Legacy Auth de bron van alle kwaad was, maar hiervan schrok ik en dit wist ik eigenlijk niet eens meer:

Legacy Authentication ondersteunt GEEN Multi-Factor Authentication.