Fabio van der Burg

Microsoft Certified Trainer

Technical Consultant

Microsoft Speaker

Modern Workplace Specialist

NERD

Nerdfluencer

NERD.MS ModernNerdplace
Blog Post

Conditional Access & John Connor

Jul 21, 2024 Blog door Fabio van der Burg

Conditional Access

Laten we beginnen bij het begin. Conditional access, de voorwaarde waaraan je moet voldoen om bij applicaties te mogen komen of bepaalde handelingen te mogen uitvoeren. Dit zorgt voor een hogere beveiliging van jouw data, applicaties en bronnen voor jouw bedrijf. Meeste eindgebruikers kennen het enkel als MFA (Multi Factor Authentication). Conditional Access dwingt dit af.

Voorbeeldje

Je hebt een policy die afgedwongen wordt op alle gebruikers die vanaf een willekeurig apparaat en/of applicatie proberen in te loggen. Hiervoor dwing jij af dat wanneer het niet op een kantoorlocatie is, de gebruiker moet inloggen met gebruikersnaam, wachtwoord en MFA. Deze oplossing leent zich ervoor om nog veel meer voorwaarden te kunnen opstellen voordat iemand mag inloggen.

Ramp Scenario

Maar wat als je telefoon kapot is en je geen MFA kunt gebruiken? Hoe ga je dan inloggen? Of je hebt te strenge policies ingesteld waardoor ook jouw Global Admin niet meer kan inloggen. Wat moet je dan doen? Ja, uiteraard, je moet een ticket aanmaken. Maar inloggen kan je niet, dus in het SelfService Portal lukt dat niet. Zit je in een CSP-kanaal, dan kan soms jouw Indirect Provider er nog bij. Maar als je het te streng hebt ingesteld, dan ook niet.

De enige oplossing op dat moment is bellen met Microsoft. Wachten tot ze een ticket aanmaken en het hele verificatieproces doorlopen. Want ben jij wel wie je zegt dat je bent? ID en persoonsgegevens controleren en dan moet het door naar een team dat het al heel druk heeft, om de voordeur voor jou na heel veel overweging weer open te zetten. Dit kan lang duren. Nog erger is het als niemand kan inloggen. Helaas gebeurt dit volgens Microsoft dagelijks.

Voorkomen is beter dan genezen

Ja, dit willen we liever allemaal. Uiteraard zijn er meerdere wegen die naar Kralingen leiden. Break the Glass is een van de meest bekende principes. Hierbij maak je vaak een account dat uitgesloten is van al deze policies. Is dit handig? Ja, om snel toegang te kunnen krijgen en zaken weer op orde te stellen. Wat alleen ook wordt gedaan, is dat deze gebruiker dusdanig hoge rechten heeft (Global Admin) dat het niet alleen een hele fijne oplossing is, maar ook een target.

In de komende blogs wil ik jullie dan ook meenemen in hoe je het beste met Conditional Access om kunt gaan.

Benaming

Laten we beginnen met een doodsimpel iets. Een hacker is namelijk ook bekend met dit principe. Dus als hij een lijst weet te onderscheppen met alle namen van gebruikers, welke zal hij dan zeker targeten? Uiteraard het BTG, Break the Glass, Last Resort en noem alle variaties hiervan maar op. Doe mij een plezier en maak gebruik van een fictieve naam, iets niet zo generieks. Neem desnoods iets uit een film of serie. Laten we voor nu uitgaan van John Connor (van de film Terminator).

Even niet vergeten om voor dit account het standaard onmicrosoft.com adres te gebruiken. Zo voorkom je ook dat als er iets gebeurt met je andere domeinen, je er nog steeds goed gebruik van kan maken.

Laten we in de komende blogs en policies John Connor ontsluiten.

How to exclude

Wat we vaak doen is enkel deze gebruiker uitsluiten van alle policies, maar hoe is dan de vraag. Wanneer het je eigen omgeving is en je geen MSP bent die tooling kan gebruiken voor Configuration as a Code of Drift monitoring, dan zou ik zeggen enkel het account uitsluiten en je bent klaar. Wanneer je wel een MSP’er bent en alles op alles wilt zetten om het echt veilig te maken, zal je mogelijk een (dynamische) groep aanmaken welke je kan gebruiken om uit te sluiten. Deze kan je vaak in tools zoals SuperVision meesyncen en monitoren over meerdere klantomgevingen tegelijk.

image

Ben je dan veilig? Nee!

Doe mij een enorm plezier en bouw dan enkel nog een CA Policy die ervoor zorgt dat de dynamische groep die je net hebt aangemaakt wordt geblokkeerd van alle locaties behalve die trusted high secure locaties. En onthoud: 1 is geen, dus neem altijd 2 verschillende lijnen. Stel je vaste lijn van KPN gaat kapot door werkzaamheden aan de riolering in de straat, dan wil je bijvoorbeeld nog een 4G/5G Backup simkaart hebben met een dedicated IP, zodat deze ook altijd wordt gezien als een trusted location.

image image image image image

Vaak vragen mensen mij waarom een block en niet een grant omgekeerd instellen. Hier heb je in dit geval helemaal geen extra factoren zoals MFA die je moet gebruiken. Daarnaast heb ik het doemscenario van 2018 meegemaakt dat alle grants niet werkten op de gehele Conditional Access Service. Niet dat ik verwacht dat dat nog eens gebeurt, maar de block werkte perfect. Dus ik kon toen nog wel inloggen. Old habit?

Conclusie

Zorg voor een noodoplossing, maar maak deze ook veilig! Zorg voor meerdere trusted locations. En o ja, laat iedereen binnen je organisatie weten dat John Connor voor elke klant werkt en ze nooit hieraan mogen zitten. Desnoods monitor je het.

Wil je deze en de komende policies alvast bewonderen: GitHub