Tech/update: interessante ontwikkelingen Ignite 2023, KB5008383 & uitfaseren legacy MFA

Wij zijn dagelijks bezig met het up-to-date houden van onze systemen en dat van onze klanten. Daarbij is het niet alleen van belang om gewoonweg de beschikbare updates te installeren. Veel updates vereisen namelijk ook aanpassingen in de omgeving, bijvoorbeeld omdat een bepaald protocol niet meer wordt ondersteund of doordat bepaalde stukken software op een gegeven moment niet meer onderhouden worden door de leverancier. Dit kan flinke impact hebben op de omgeving en daarom is het goed om hier op tijd mee te beginnen.

In deze Tech/update aandacht voor het uitfaseren van legacy multifactor authentication methodes, de gevolgen van het forceren van een update van twee jaar geleden (KB5008383) en een aantal interessante ontwikkelingen die naar voren zijn gekomen op Ignite 2023 die in november 2023 heeft plaatsgevonden.

Legacy multifactor authentication en Self-Service Password Reset policies vervallen in januari 2024

Microsoft heeft een klein jaar geleden al aangekondigd dat het de legacy opties in Multifactor Authentication (MFA) zullen worden afgeschaft in januari 2024. In het Microsoft Entra Admin center is een wizard beschikbaar om de legacy policies (de zogeheten Multifactor authentication policy) te migreren naar de nieuwe Authentication method policies. Zie de tabel hieronder om te zien wat dit voor gevolgen heeft:

Multifactor authentication policy Authentication method policy
Call to phone Voice calls
Text message to phone SMS
Notification through mobile app Microsoft Authenticator
Verification code from mobile app or hardware token Third party software OATH tokens
Hardware OATH tokens (not yet available)
Microsoft Authenticator

Het doorvoeren van deze wijziging heeft invloed op de gehele tenant en hoeft dus niet per groep of gebruiker uitgevoerd te worden.

Hetzelfde geldt voor de Self-Serivce Password Reset policy die bijgewerkt moet worden naar de Authentication method policy volgens onderstaande:

SSPR authentication methods Authentication method policy
Mobile app notification Microsoft Authenticator
Mobile app code Microsoft Authenticator
Software OATH tokens
Email Email OTP
Mobile phone Voice calls
SMS
Office phone Voice calls
Security questions Security Questions

Binnen het Microsoft Entra admin center navigeer je voor deze wijziging naar Azure Active Directory > Protect & Secure > Authentication methods.  Hier vind je het onderdeel Policies de optie voor “Manage Migration”. Check het volgende KB artikel voor alle stappen: https://learn.microsoft.com/en-us/entra/identity/authentication/how-to-authentication-methods-manage

Als je dan toch bezig bent met het reviewen van de meervoudige authenticatie, check dan ook vooral of de beveiliging nog een stukje strakker kan. Zie onderstaande afbeelding (bron: Microsoft) welke stappen je nog kunt nemen:

KB5008383: beveiligingsprobleem voor Active Directory-machtigingen

In verband met CVE-2021-42291 heeft Microsoft een aantal jaar geleden al update KB5008383 uitgebracht. Deze update lost een beveiligingsprobleem op waardoor gebruikers met bepaalde bevoegdheden waarden kunnen wijzigen op beveiligingsgevoelige kenmerken in Active Directory. De domain controllers moeten voorzien zijn van de update van 9 november 2021(!) waardoor de wijzigingen in de Audit-modus al standaard zijn geïmplementeerd. Daarmee kunnen via de eventlogs van de Directory Service gecheckt worden op events met ID’s 3044-3056. Met de events kan worden geconstateerd of een gebruiker mogelijk overmatige bevoegdheden heeft om computeraccounts te maken met betreffende beveiligingsgevoelige kenmerken. Wanneer er geruime tijd er geen events worden geconstateerd kan de “Enforced mode” worden ingeschakeld.

Op zich allemaal niets nieuws (de update is al een aantal jaar beschikbaar), maar Microsoft heeft aangegeven vanaf 9 januari 2024 de Enforced mode mogelijk actief in te schakelen. Zoals wel vaker is er een grote kans dat dit wordt uitgesteld, maar het is nog verstandiger om deze wijziging op korte termijn door te voeren.

Ontwikkelingen aangekondigd tijdens Ignite 2023

Tijdens Ignite 2023 was er natuurlijk veel aandacht voor AI, maar daarnaast waren er ook voor de sysadmins onder ons een aantal interessante zaken die aangekondigd werden. Een aantal opvallende zaken:

Windows Autopatch en Windows Update for Business samengevoegd

Windows Autopatch en Windows Update for Business worden geintegreerd en Windows Autopatch wordt uitgebreid met driver & firmware management. Voor organisaties met veel Frontline workers wordt Autopatch ook beschikbaar gemaakt binnen de Microsoft 365 F3 licentie. Zie ook: https://techcommunity.microsoft.com/t5/windows-it-pro-blog/what-s-new-in-windows-autopatch-microsoft-ignite-2023-edition/ba-p/3982944

Windows App

Nieuw is “Windows App” als het centrale startpunt om verbinding te maken met  Windows 365 en Windows Virtual Desktop. Windows 365 krijgt ondersteuning voor het gebruik van GPU’s en Azure Virtual Desktop krijgt meer opties voor persoonlijke desktops door verbeteringen binnen FSLogix en MSIX app attach.

Uitbreidingen CoPilot

Uiteraard verder de toevoeging van Copilot (AI) binnen zo’n beetje de volledige Microsoft suite. Verwacht hierbij in de praktijk bijvoorbeeld suggesties voor het automatiseren van taken en werkzaamheden binnen Microsoft producten met als doel het verhogen van de productiviteit. Met Copilot Studio biedt Microsoft daarnaast een low code platform om eigen (bedrijfsspecifieke) bots te maken gebruikmakend van data uit systemen van uw eigen organisatie.

Op security gebied zijn er ook een aantal interessante ontwikkelingen door het inzetten van AI. Zo moet Microsoft Security Copilot binnen Microsoft Sentinel (Cloud SIEM oplossing van Microsoft) hulp gaan bieden bij het schrijven van KQL-query’s en analyse van events. AI kan daarnaast worden ingezet om gegevens te verzamelen door het inzetten van decoys & lures (afleidingen en lokvogels). Doel hiervan is aanvallers vroegtijdig te detecteren om maatregelen te kunnen nemen. Dit is één van de nieuwe features in o.a. Microsoft Sentinel in combinatie met Defender for Endpoint. Check bijvoorbeeld een interessant artikel hierover: https://techcommunity.microsoft.com/t5/microsoft-defender-for-endpoint/ignite-news-augment-your-edr-with-deception-tactics-to-catch/ba-p/3982253

Defender XDR en Microsoft Sentinel zullen overigens worden samengevoegd tot één platform voor beveiligingsactiviteiten. Dit is momenteel in een besloten public preview.

Voor wie meer wil lezen, raadpleeg het book of news: https://news.microsoft.com/ignite-2023-book-of-news/nl/.

Heb je een andere CVE of (Security) Update waar je graag meer over wilt weten?

We gaan graag met je aan de slag om te bepalen of iets impact gaat hebben op jouw omgeving. Dit kan natuurlijk via een vraag naar onze technische mannen (helpdesk@gtsonline.nl), maar we kunnen hier ook een blogje aan wijden. Kom dan ook vooral eens in de lucht, vinden we leuk!