Wij zijn dagelijks bezig met het up-to-date houden van onze systemen en dat van onze klanten. Daarbij is het niet alleen van belang om gewoonweg de beschikbare updates te installeren. Veel updates vereisen namelijk ook aanpassingen in de omgeving, bijvoorbeeld omdat een bepaald protocol niet meer wordt ondersteund of doordat bepaalde stukken software op een gegeven moment niet meer onderhouden worden door de leverancier. Dit kan flinke impact hebben op de omgeving en daarom is het goed om hier op tijd mee te beginnen.
In deze Tech/update aandacht voor het uitfaseren van legacy multifactor authentication methodes, de gevolgen van het forceren van een update van twee jaar geleden (KB5008383) en een aantal interessante ontwikkelingen die naar voren zijn gekomen op Ignite 2023 die in november 2023 heeft plaatsgevonden.
Legacy multifactor authentication en Self-Service Password Reset policies vervallen in januari 2024
Microsoft heeft een klein jaar geleden al aangekondigd dat het de legacy opties in Multifactor Authentication (MFA) zullen worden afgeschaft in januari 2024. In het Microsoft Entra Admin center is een wizard beschikbaar om de legacy policies (de zogeheten Multifactor authentication policy) te migreren naar de nieuwe Authentication method policies. Zie de tabel hieronder om te zien wat dit voor gevolgen heeft:
| Multifactor authentication policy | Authentication method policy |
|---|---|
| Call to phone | Voice calls |
| Text message to phone | SMS |
| Notification through mobile app | Microsoft Authenticator |
| Verification code from mobile app or hardware token | Third party software OATH tokens Hardware OATH tokens (not yet available) Microsoft Authenticator |
Het doorvoeren van deze wijziging heeft invloed op de gehele tenant en hoeft dus niet per groep of gebruiker uitgevoerd te worden.
Hetzelfde geldt voor de Self-Serivce Password Reset policy die bijgewerkt moet worden naar de Authentication method policy volgens onderstaande:
| SSPR authentication methods | Authentication method policy |
|---|---|
| Mobile app notification | Microsoft Authenticator |
| Mobile app code | Microsoft Authenticator Software OATH tokens |
| Email OTP | |
| Mobile phone | Voice calls SMS |
| Office phone | Voice calls |
| Security questions | Security Questions |
Binnen het Microsoft Entra admin center navigeer je voor deze wijziging naar Azure Active Directory > Protect & Secure > Authentication methods. Hier vind je het onderdeel Policies de optie voor “Manage Migration”. Check het volgende KB artikel voor alle stappen: https://learn.microsoft.com/en-us/entra/identity/authentication/how-to-authentication-methods-manage
Als je dan toch bezig bent met het reviewen van de meervoudige authenticatie, check dan ook vooral of de beveiliging nog een stukje strakker kan. Zie onderstaande afbeelding (bron: Microsoft) welke stappen je nog kunt nemen:
KB5008383: beveiligingsprobleem voor Active Directory-machtigingen
In verband met CVE-2021-42291 heeft Microsoft een aantal jaar geleden al update KB5008383 uitgebracht. Deze update lost een beveiligingsprobleem op waardoor gebruikers met bepaalde bevoegdheden waarden kunnen wijzigen op beveiligingsgevoelige kenmerken in Active Directory. De domain controllers moeten voorzien zijn van de update van 9 november 2021(!) waardoor de wijzigingen in de Audit-modus al standaard zijn geïmplementeerd. Daarmee kunnen via de eventlogs van de Directory Service gecheckt worden op events met ID’s 3044-3056. Met de events kan worden geconstateerd of een gebruiker mogelijk overmatige bevoegdheden heeft om computeraccounts te maken met betreffende beveiligingsgevoelige kenmerken. Wanneer er geruime tijd er geen events worden geconstateerd kan de “Enforced mode” worden ingeschakeld.
Op zich allemaal niets nieuws (de update is al een aantal jaar beschikbaar), maar Microsoft heeft aangegeven vanaf 9 januari 2024 de Enforced mode mogelijk actief in te schakelen. Zoals wel vaker is er een grote kans dat dit wordt uitgesteld, maar het is nog verstandiger om deze wijziging op korte termijn door te voeren.
Ontwikkelingen aangekondigd tijdens Ignite 2023
Tijdens Ignite 2023 was er natuurlijk veel aandacht voor AI, maar daarnaast waren er ook voor de sysadmins onder ons een aantal interessante zaken die aangekondigd werden. Een aantal opvallende zaken:
Windows Autopatch en Windows Update for Business samengevoegd
Windows Autopatch en Windows Update for Business worden geintegreerd en Windows Autopatch wordt uitgebreid met driver & firmware management. Voor organisaties met veel Frontline workers wordt Autopatch ook beschikbaar gemaakt binnen de Microsoft 365 F3 licentie. Zie ook: https://techcommunity.microsoft.com/t5/windows-it-pro-blog/what-s-new-in-windows-autopatch-microsoft-ignite-2023-edition/ba-p/3982944
Windows App
Nieuw is “Windows App” als het centrale startpunt om verbinding te maken met Windows 365 en Windows Virtual Desktop. Windows 365 krijgt ondersteuning voor het gebruik van GPU’s en Azure Virtual Desktop krijgt meer opties voor persoonlijke desktops door verbeteringen binnen FSLogix en MSIX app attach.
Uitbreidingen CoPilot
Uiteraard verder de toevoeging van Copilot (AI) binnen zo’n beetje de volledige Microsoft suite. Verwacht hierbij in de praktijk bijvoorbeeld suggesties voor het automatiseren van taken en werkzaamheden binnen Microsoft producten met als doel het verhogen van de productiviteit. Met Copilot Studio biedt Microsoft daarnaast een low code platform om eigen (bedrijfsspecifieke) bots te maken gebruikmakend van data uit systemen van uw eigen organisatie.
Op security gebied zijn er ook een aantal interessante ontwikkelingen door het inzetten van AI. Zo moet Microsoft Security Copilot binnen Microsoft Sentinel (Cloud SIEM oplossing van Microsoft) hulp gaan bieden bij het schrijven van KQL-query’s en analyse van events. AI kan daarnaast worden ingezet om gegevens te verzamelen door het inzetten van decoys & lures (afleidingen en lokvogels). Doel hiervan is aanvallers vroegtijdig te detecteren om maatregelen te kunnen nemen. Dit is één van de nieuwe features in o.a. Microsoft Sentinel in combinatie met Defender for Endpoint. Check bijvoorbeeld een interessant artikel hierover: https://techcommunity.microsoft.com/t5/microsoft-defender-for-endpoint/ignite-news-augment-your-edr-with-deception-tactics-to-catch/ba-p/3982253
Defender XDR en Microsoft Sentinel zullen overigens worden samengevoegd tot één platform voor beveiligingsactiviteiten. Dit is momenteel in een besloten public preview.
Voor wie meer wil lezen, raadpleeg het book of news: https://news.microsoft.com/ignite-2023-book-of-news/nl/.
Heb je een andere CVE of (Security) Update waar je graag meer over wilt weten?
We gaan graag met je aan de slag om te bepalen of iets impact gaat hebben op jouw omgeving. Dit kan natuurlijk via een vraag naar onze technische mannen (helpdesk@gtsonline.nl), maar we kunnen hier ook een blogje aan wijden. Kom dan ook vooral eens in de lucht, vinden we leuk!