fb

Správa a zabezpečení Windows 10 pomocí nástrojů Microsoft 365 pro efektivní a bezpečnou práci

Společnost System4u pomáhá svým zákazníkům v oblasti Digital Workspace. Správné propojení technologií je zárukou kvalitně fungujícího a bezpečného IT prostředí firem. V následujícím článku se zaměříme na správu a zabezpečení Windows 10 pomocí nástrojů Microsoft 365.

Pokročilá ochrana před útoky, tedy Advanced Threat Protection (ATP), kterou poskytuje Microsoft 365, obsahuje 3 základní části, o kterých bude náš dnešní článek.

První část je Microsoft Defender for O365, který slouží k ochraně základních Microsoft nástrojů pro sdílení souborů, tedy e-mailu, Microsoft Teams, Sharepoit. Funkce Microsoft Safe Attachments chrání soubory (přílohy), které uživatel přijímá zvenčí nebo od kolegů. V praxi to lze popsat tak, že nad odeslaným či přijatým souborem je provedena automatická kontrola, a pokud dojde ke zjištění, že se jedná o „nakažený“ soubor, je tento automaticky odebrán. Dále proběhne kontrola, zda tento soubor nebyl odeslán i dalším uživatelům ve firmě, a pokud ano, i toto dokáže Microsoft Defender zařídit zablokováním přístupu k příloze a jejím vsazením do tzv. karantény.

Na podobném principu funguje i další nástroj – Microsoft Safe Links. Pokud uživatel dostane odkaz na soubor, O365 dokáže tento odkaz zkontrolovat, a pokud vyhodnotí, že obsahuje nebezpečný kód, tak jej také dokáže zablokovat a předejít tím útoku na síť. Součástí Microsoft 365 ATP je i antifishing i antimalware, tedy ochrana, která je známá i u řešení dalších poskytovatelů.

Windows Defender Advanced Threat Protection je další bezpečnostní nástroj od Microsoftu, který ochrání již samotná koncová zařízení, na kterých může být útočníkem spuštěn škodlivý kód. Zde je opět několik komponent, jako je Windows Defender Smart Screen, což je technologie, která na zařízení dokáže zablokovat přístup na nebezpečný web či dokáže zablokovat stažení souboru lokálně do zařízení.

Endpoint Protection, další část Microsoft Defenderu, slouží pro ochranu zařízení, pokud se do něj nebezpečný soubor již dostal. Uživatel či útočník chce tento infikovaný soubor v zařízení spustit a Endpoint Protection provede kontrolu takového souboru či aplikace, a pokud zjistí, že je v souboru nebezpečný kód, proces zablokuje.

Endpoint Detection and Response napravuje případný další krok, tedy pokud je nebezpečný stažený soubor či aplikace na zařízení již spuštěn. Tento nástroj zpětně dokáže analyzovat chování takového souboru či aplikace, dokáže vyhodnotit nebezpečný kód, provést opatření na zařízení a předat informaci dalším koncovým zařízením ve firmě. Využívá k tomu Machine Learning, který probíhá v Microsoft cloudu. Microsoft sbírá informace ze všech zařízení registrovaných v Microsoftu 365, data vyhodnocuje a předchází tak možným útokům.

Jak probíhá ochrana koncových zařízení v praxi? Do zařízení uživatel stáhne soubor, který chce otevřít. Zařízení odešle do Microsoft cloudu informaci, kde ihned dochází k verifikaci, zda se nejedná o soubor či aplikaci s nebezpečným kódem. V situaci, kdy Microsoft o takovém kódu nic neví, posílá do zařízení informaci, že se jedná o neznámý kód. Zařízení potom samo provede základní testy pomocí Machine Learning na lokální úrovni a současně je vzorek kódu odeslán do Microsoft cloudu, kde se dále zkoumá a testuje. Pokud ani v této fázi nedojde ke zjištění, že se jedná o nebezpečný kód, spuštění aplikace je povoleno. Tento proces trvá jednotky sekund, uživatel prakticky ani neví, co se na jeho zařízení děje. Na straně Microsoftu analýza stále trvá a vzorek kódu je dále zkoumán. Pokud dojde ke zjištění, že se přece jen jedná o riziko, je do zařízení opět odeslána informace o možném útoku a takto vyhodnocený soubor je zcela zablokován, izolován a informace je odeslána do všech dalších zařízení v dané firmě.

Azure Advanced Threat Protection (Azure ATP) nebo také Microsoft Defender for Identity dokáže zamezit útokům v interní síti a zakročit proti nim, pokud se do sítě již útočník dostal. Tento nástroj profiluje uživatele a místo, odkud komunikují, rozlišuje jejich oprávnění k přístupům do interní sítě. Pokud zjistí, že ze zařízení některého uživatele chodí mnoho různých požadavků včetně např. požadavků pod jinou identitou na doménový řadič, může vyhodnotit toto chování jako snahu o prolomení hesla a snahu získat vyšší oprávnění v rámci organizace.

Opět to v praxi funguje tak, že Azure ATP senzor, který se instaluje na doménový kontroler nebo jako standalone řešení, sbírá všechny informace, které na doménový řadič přicházejí. Analýza síťové komunikace probíhá na L7 a díky tomu vidíme například přímo do Kerberos tiketů. Víme, odkud a jaký uživatel žádá o přístup do konkrétní aplikace, či žádá-li o přístup pro dalšího uživatele.

Na základě těchto informací se provádí profilování uživatelů včetně modelu jejich obvyklého chování.

Díky funkci IP Resolution dojde na základě dat z ATP k vytvoření mapy zařízení včetně jejich IP adresy a funkce. Toho se využije například, pokud útočník pošle dotaz na replikaci dat na doménový řadič z IP adresy osobního počítače – replikační příkazy si vyměňují pouze doménové řadiče a nikdy nepřijde z koncových stanic. Takové chování lze opět vyhodnotit jako rizikové a možnou snahu získat informace o síti zákazníka.

Všechna data z Azure ATP senzoru se zpracovávají v cloudu Microsoftu a pouze v rámci vašeho tenantu. Díky zpracování dat v cloudu je k dispozici téměř neomezený výkon pro analýzu posbíraných dat. Výsledkem je zpracování a reporting možných hrozeb v reálném čase.

V předchozích krocích jsme tedy získali potřebné informace, vyprofilovali jsme uživatele a dále pak můžeme sledovat jejich abnormální chování. Pokud např. z koncového zařízení, na kterém pracuje jeden uživatel, začnou chodit požadavky na neúspěšné ověření dalších uživatelů, opět zde vidíme snahu o uhodnutí hesla dalších uživatelů v síti a možný útok. Samozřejmě je možné generovat upozornění na podezřelé aktivity na síti a zobrazení detailů v administrátorské konzoli. Také je možné Azure ATP propojit s Windows Defender ATP a dostat tak ucelený pohled na možný útok v rámci časové osy.

Další službou je Microsoft Cloud App Security. Tento nástroj dokáže ochránit další cloudové služby. Provádí analýzu síťové komunikace pomocí instalace sondy na Firewall či Proxy server s cílem odhalit tzv. shadow IT, tedy zda uživatelé nepoužívají aplikace, které nejsou pod kontrolou, nebo zda si nevyměňují data neoficiální cestou, např. přes Dropbox či jiným způsobem. U nalezených aplikací je možné zobrazit jejich hodnocení v Microsoft cloud App Catalogu, který obsahuje Microsoftem sestavený seznam aplikací (nyní jich tam můžeme najít cca 15 000). Na základě negativního hodnocení lze pak aplikace zablokovat.

Také je možné vyhodnotit abnormální chování uživatelů, kdy například dojde ke stahování velkého množství souborů do lokálního počítače z cloudového úložiště. V takovém případě lze uživatele tzv. odstřihnout a zablokovat přístup. Dále může pomoci s ochranou před ransomwarem.

Další nástroj, tentokrát pro ochranu identity, je Azure Privileged Identity Management (Azure AD PIM). Tento nástroj je určen pro nastavování výše oprávnění uživatelů pro přístupy do firemní sítě. Je to předcházení útokům na uživatele s nejvyšším oprávněním a tím zabránění útočníkovi získat např. oprávnění globálního administrátora. Azure AD PIM dokáže přidávat oprávnění „just in time“. Tedy každý uživatel má oprávnění standardní a v okamžiku, kdy potřebuje oprávnění vyšší, v daný moment si o ně teprve zažádá a po stanovené době se mu toto oprávnění opět automaticky převede na oprávnění standardního uživatele. Při přidělování rolí a oprávnění lze například vyžadovat multifaktorové ověření nebo schválení jiným uživatelem.

S ochranou identity souvisí i další nástroj, kterým je Microsoft Identity Protection. Tento nástroj vyhodnocuje rizika při přihlašování uživatelů do služeb Microsoft 365. Pokud se například hlásí z anonymizované sítě, z nestandardní zeměpisné oblasti, neobvyklého času, či IP adresy, odkud komunikují infikované počítače, přihlášení se zablokuje nebo je vynucen další ověřovací faktor.

Microsoft 365 a správa Windows 10

V případě, že firma využívá služby Microsoft 365, doporučuje se využít pro hromadnou správu mobilních zařízení nástroj Microsoft Intune. Pokud firma využívá pro správu Windows zařízení SCCM (Configuration Manager) a má stovky nebo tisíce zařízení, je složité rychle přejít na správu pomocí Intune. Aby tento přechod proběhl plynule, hladce a postupně, stačí propojit služby Intune a SCCM. Tímto propojením dojde k aktivaci tzv. co-managementu a firemní zařízení jsou spravována v jeden okamžik ze dvou systémů, aniž by docházelo ke konfliktům mezi těmito systémy.

Díky co-managementu můžete jednotlivé oblasti správy postupně migrovat z SCCM do Intune. Podmínkou pro co-management je synchronizace a registrace zařízení v Azure AD. Poté zcela automaticky dojde k aktivaci zařízení v Microsoft Intune, kde se v první fázi mohou zařízení jen auditovat, než dojde k postupnému převodu, všech lze opět využít v Conditional Access politikách pro přístup k MS365 službám.

Hlavním důvodem k přechodu na Microsoft Intune je jeho umístění v cloudu a dostupnost kdykoli a odkudkoli. Tím zajistíte vždy aktuální konfiguraci a zabezpečení Windows 10 zařízení.

Co se týče licencování co-magementu, je třeba mít licence Microsoft Azure AD Premium P1 a Microsoft Intune, obě licence jsou obsažené v Microsoft Enterprise and Security nebo je lze koupit i samostatně.

Dalším důvodem, proč zařízení s Windows 10 spravovat pomocí nástrojů Microsoft 365, je snadná a automatická první konfigurace nových zařízení díky nástroji Microsoft Autopilot. Tento nástroj zajistí, že zařízení při prvním spuštění bude aktivováno do správy v MS Intune, který do zařízení doručí potřebné konfigurace a aplikace. Výsledkem je připravené zařízení během několika minut bez nutnosti první konfigurace od IT podpory.

Roman Přikryl Roman Přikryl
Autor článku působí jako System Architect ve společnosti System4u, a. s.

Kalendář akcí
Konference - Semináře - Školení
Časopis IT Systems/Speciál
Aktuální číslo časopisu IT Systems Aktuální číslo časopisu příloha #1
Archív časopisu IT Systems
IT Systems 1-2 IT Systems 12 IT Systems 11 IT Systems 10
Archív časopisu IT Systems Special
Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1