| poslední úprava: včera 20:03
Portál AbcLinuxu, 8. dubna 2026 00:04
včera 20:03
| Přečteno: 205×
| windows
|
| poslední úprava: včera 20:03
Mezi základní zabezpečení patří samozřejmě silné heslo, dvoufaktorové ověřování a pak různé služby.
Celé to má jen takový menší problémek, a to ten, že ani jedno nefunguje. Jak bych to jen řekl, do Office 365 zavlekl MS docihlenosti ze světa Windows.
MS zavlekl do cloudu tolik bordelu, až uživatel neví, kam se a jak ověřuje, takže občas zkouší a zkouší trpělivě. A proč? No, třeba kvůli Teamsům, Sharepoint Online, guest vs firemní účet, nebo více firemních účtů do více tenantů (např. některé firmy nepovolují guest účty, raději spálí licenci a dávají svůj login) apod. Jinými slovy, uživatel má login franta@firma.tld do firemního cloudu, se svým heslem, MFA apod., jenomže do jiného tenantu (nějaká státní firma apod.) má ten stejný login, ale s jiným heslem, protože je to guest účet v jejich tenantu. Do toho když se používá jeden web prohlížeč, tak každou chvíli chyba, protože člověk je sice přihlášen jako franta@firma.tld, ale do jiného tenantu, než se aktuálně snaží dostat apod.
Chování je různé, dnes existuje párování, takže do jiného tenantu je grant s firemním účtem, ale pokud vznikne nejdříve guest a až pak firemní účet, nebo jiné případy v minulosti, tak to je prostě narůstající bordel. Navíc dřív, dnes už je to lepší, byl problém i v MS teams s přepínáním mezi konty / tenanty apod. Já na vše rezignoval a jedu chromium v app mode a profily, abych mohl mít x různých teamsů v jeden čas. Ale nic z toho není řešení pro uživatele.
chromium --profile-directory="teams-tenant1" --app="https://teams.microsoft.com/v2/" chromium --profile-directory="teams-tenant2" --app="https://teams.microsoft.com/v2/" ...
Chceš bezpečnost? Tady potřebuješ P2 Licenci do entry, tady potřebuješ Defender s naším kompletním xdr řešením, nejlépe s licencí, co pokryje i tvá zařízení, takže se zbav svého současného antiviru, my ti dodáme jen to nejlepší, tj. licence E3 a jen za pouchých €35/uživatel/měsíc, ale pozor, je to to minimum, lepší je E5 za €55.20, a protože jdeme s dobou, budeme i nabízen E7 za €7x,xx/uživatel/měsíc. Ostatní licence nedávají smysl, v téhle chybí tohle, v tamté tamto, s touto nejde toto, tato má omezení na počet (víc jak x jich do firmy nekoupíš) atd.
Shrnuto a podtrženo, pokud chceš aspoň trochu chránit náš cloud, musíš:
Kámo bro kámo, můžeš si od nás koupit licenci napřímo, ale lepší bude, když si jí koupíš od támhle toho partnera, on ti jí prodá levněji, než my, jen mu pak musíš dát přístup do vašeho tenantu, aby vám jí tam mohl nahrát. Tj. naprosto zbytečně musíš dát přístup nějaké firmě do tvého prostředí kvůli absolutně ničemu. Viva security.
A jaký že je finální výsledek? No, přijde phishing uživateli od nakaženého uživatele z jiné firmy, takže důvěryhodnost zvýšena. K tomu je phishing nadmíru důvěryhodný, využívá google, cloudflare a tld business. Všechno super zelený, dokonce to načítá objekty přímo od MS, prostě krásný Adversary-in-the-Middle (AiTM) útok. Doteď jsme si mysleli, že jsme na uživatele přísní akorát, někdy až moc, při phishingových kampaních (nedělali jsme 100% důvěryhodné kopie různých prostředí, ale vždy tam byla nějaká nepřesnost, aby si uživatel všiml podobně jako to mají útočníci), jenomže tentokrát to bylo hodně vymazlený.
Nojo, tak to zastaví O365, dá nám echo atd. Zatím to vždy fungovalo, prostě např. podezřelá přihlášení (v jeden čas z více států napříč světem). Nojo, ale v ten den si O365 řeklo, že nebude fungovat. Nepřišla žadná notifikace, vše ok, 7 uživatelů se hlásilo v jeden čas z Paříže, Virginie, Melbourne atd. Pro O365 nic podezřelého. Ok, aspoň teda logy fungovaly a šlo dohledat podezřelé chování "ručně". No, druhý den jsem se dozvěděl, že ty logy nefungovaly. Sice jsem odhalil další dva uživatele, ale druhý den jsem odhalil další dva a fór byl v tom, že průnik byl v 19:30 a já ještě o půlnoci koukal a v logách nebyli. Druhý den už tam ale byli a se správným časem 19:30 z předchozího dne. WTF. A druhý den už přišla i notifikace od dalšího uživatele (propálený login, ale přes MFA neprošli). Jinými slovy, vše fungovalo, chodily nám notifikace, pak přišel den, kdy se fakt něco dělo a to to vůbec nefungovalo a druhý den, po bouři, opět začalo a mezitím nikde žádná chyba, že něco nefunguje atd. Ale určitě to bude tím, že nemáme E5 licence, jinak by logování fungovalo, to je jasný jako facka. Větší sračku aby člověk pohledal.
A nejlepší věc? Do firmy se nasadily procesy, kdy se s uživateli musí komunikovat prostřednictvím oddělení komunikace. Výsledkem je, že i když jsem řekl "vyserme se na komunikaci a pošleme to hned od sebe", tak ne, prostě ne. Takže za nějakých 12h ten informační mail pak z té komunikace odešel. Tj. dávno po boji.
Píši primárně o O365, nevím, jak to mají ostatní. Každopádně MFA v kombinaci s matením uživatelů a AitM útokem je průchozí jako otevřené dveře. K tomu stačí, když na den zazlobí O365 SIEM a útočník má třeba 12h přístup do vašeho cloudu. Když to odbouchne někdo z vyšších pozic, tak ke spoustě citlivým datům. To není náš případ, my jedeme jen maily, Teamsy a pár sdílených dokumentů. Nicméně představa, že do Sharepointu migrujeme data z on-premu, to ve mně nebudí žádnou důvěru. Dokud člověk jel VPN+on-prem+prevenci, tak měl 0 incidentů za 10 let (za 500kkč/rok s komplet zálohováním). Teď s O365 je to cca 20 za necelý rok (za cca 500kkč/měsíc bez ceny velmi omezeného zálohování).
Řešením je prý navýšit licenční model a najmout firmu, co bude dělat bezpečnostní hardening a pravidelnou kontrolu a aplikaci doporučení, protože cloudové prostředí je tak komplikované, že jeho údržba prý nejde zvládnout, pokud firma nemá tým, co se věnuje jen tomu. Dochází tam v čase k tolika změnám, že bez plného zaměření na správu cloudu je to prý neuhlídatelné.
Cloud prostě není o klikání a bezstarostnosti, je to pravý opak. Prostředí a jeho nastavení se vám mění pod nohama a kdo v tom nežije, tomu unikne spousta věcí. Výchozí zabezpečení jsou navíc velmi unsafe. Default je, že všichni mohou vidět pomalu všechno, registrovat, co chtějí, vytvářet si stránky a milion dalších věcí. MS každou chvíli vydává změny, nestačí udržovat ani vlastní dokumentaci (nastavení není tam, kde je udáváno, odkazy nefungují atd.).
Jelikož zde chci být slušný, tak svůj finální názor na celou situaci hodím tuna do linku.
Tiskni
Sdílej:
Loginy a MFA- tohle neni problem u MS ale u lidi co jsou admini pro vsechno a ve finale rozumi vsemu podobne jako Izak... guest vs firemni ucty - Entra B2B je tu v nejake podobe jiz nejakou dobu a ze jsou lidi denne kokoti a delaj to jako lopaty opravdu neni problem MS. Ja tenhle bordel jednou za cas vidim nekde a vzdy jim reknu ze historicky ten bordel chapu ale pokud chteji nejak normalne/bezpecne fungovat tak si to musi uklidit stejne jako osranej hajzl.
Bezpečnost v O365- jo, je to tak, na druhou stranu mas spoustu reseni ktere ti resi to same co MS a jdou hezky integrovat s O365, tedy az na purview a compliance, jakmile potrebujes realne compliance tak jsi v pici a potrebujes vse od MS a jelikoz idioti v MS nejsou uplne idioti tak chteji pay as you go za spoustu veci.
Ale musíš mít licenčního partnera- jo, tohle je peklo vsude kam se podivas. Řešením je prý navýšit licenční model a najmout firmu, co bude dělat bezpečnostní hardening a pravidelnou kontrolu a aplikaci doporučení - tohle je jedna z veci ktera mi zivi firmu a jak rikas, tech zmen je tolik ze s malym tymem adminu to nemas sanci resit a outsourcing je jedina moznost. Pro nas to znamena ze jsme si udelali spoustu veci ktere resime automaticky, spousta veci jde ke schvaleni zakaznikum a pak se implementuji a dle zakaznika mame moznost jim v ramci bezpecnosti blokovat cokoliv povazujeme za problem, nekde jsou ale zakaznici idioti a maji nastaven proces kde kazdy vetsi incident musi schvalit CIO a ten je klidne tyden na dovolene a nic neresi... :D
včera 21:38
Max | skóre: 72
| blog: Max_Devaine
včera 21:41
Max | skóre: 72
| blog: Max_Devaine
Zlatý prciny!
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.