Intune schneller als GPOs?

Bisher hatte die Verwaltung von Richtlinien für Windows Geräte über Intune einen entscheidenden Nachteil gegenüber GPOs. Der Refresh Zyklus von 8 Stunden. So werden bisher die MDM-Richtlinien nur alle 8 Stunden aktualisiert. Die GPOs jedoch alle 90 Minuten. Mit dem neuen Feature Config Refresh ist das nun Vergangenheit und der Aktualisierungszeitraum für Intune Richtlinien lässt sich anpassen. Mit diesen Anpassungen ist Intune schneller als GPOs!

Was ist der Config Refresh?

Config Refresh ist eine Funktion, die für Windows 11 ab dem Juni 2024 Security Update verfügbar ist. Es ermöglicht, die Häufigkeit der Aktualisierung von MDM-Richtlinien zu konfigurieren. Dies ist wichtig, um sicherzustellen, dass die Einstellungen nicht von den vorgesehenen Richtlinien abweichen. Aber auch, dass Konfigurationsanpassungen schnell auf den Endgeräten ankommen.

Die Vorteile von Config Refresh

Mit Config Refresh können Administratoren die Aktualisierungszeit der Richtlinien auf ein Intervall zwischen 30 Minuten und 24 Stunden einstellen. Zu den weiteren Schlüsselfunktionen von Config Refresh gehören:

  • Eine Reset-Operation, um die Einstellungen, die über den Policy CSP verwaltet werden, zurückzusetzen
  • Offline-Funktionalität
  • Pausieren von Config Refresh für Troubleshooting

Die Konfiguration des Config refresh und des Aktualisierungsintervall findet sich bereits innerhalb des Settings catalog:

Intune Settings catalog: Einstellung für ein schnelleres Intune
Intune Settings catalog: Einstellung für ein schnelleres Intune

Ein benutzerdefiniertes Profil ermöglicht die Konfiguration der Pause. Der Entsprechende Key lautet:

./Device/Vendor/MSFT/DMClient/Provider/MS%20DM%20Server/ConfigRefresh/PausePeriod

Gültige Werte sind eine Zahl zwischen 0 und 1440 Minuten (24 Stunden).

Wichtiger Hinweis

Der Config Refresh ist für MDM-Richtlinien konzipiert, die durch den Policy CSP verwaltet werden. Einige Richtlinien, insbesondere der BitLocker CSP, werden ebenfalls Config Refresh-Regeln folgen. Andere Richtlinien, wie Firewall, AppLocker, PDE und LAPS, fallen nicht in diesen Bereich!

Fazit

Ein interessantes Feature und weiterer Pluspunkt Policies über Intune, anstatt GPOs zu konfigurieren. Neben dem Vorteil Statusmeldungen zu den Policies zu erhalten und der Tatsache, dass eine Verbindung zum Internet ausreichend ist, um eine Policy-Änderungen auf ein Gerät anzuwenden. Bei den klassischen GPOs ist hierfür immer eine Verbindung zum Domain Controller erforderlich. Nun sind ist Intune auch deutlich schneller als die klassischen GPOs.

Microsoft meldet neuen Angriff mit Azure AD Connect

In diesem Blogbeitrag möchte ich den Inhalt des Artikels https://practical365.com/mercury-attack-april-2023 auf Deutsch zusammenfassen.

Der Artikel beschreibt einen neuen Angriff, welcher Azure AD Connect ausnutzt, um sowohl On-Premises- als auch Cloud-Ressourcen zu kompromittieren.

Wer steckt hinter den Angriffen?

Der Angriff wurde von Microsoft Threat Intelligence aufgedeckt und wird zwei Gruppen zugeschrieben: MERCURY, einer mit der iranischen Regierung verbundenen Nation-State-Akteurin, und DEV-1084, einer Gruppe, welche von MERCURY beauftragt wurde, die Netzwerkzugriffe auszunutzen.

Wie begann der Angriff?

Bei Angriffen wie diesem hört man oft zwei Begriffe: Eskalation von Privilegien und Lateral Movement.

Lateral Movement klingt kompliziert, ist aber einfach: Der Begriff bedeutet nur, dass ein Angreifer ein Gerät oder System in einem Netzwerk kompromittiert hat und dies als Sprungbrett oder Drehpunkt nutzt, um in andere Geräte oder Systeme zu gelangen. Diese Bewegung kann sofort erfolgen, aber oft ist sie verzögert (wie in diesem Fall) – ein kluger Angreifer wird eindringen, eine Persistenz herstellen und dann eine Weile warten, das Zielnetzwerk studieren und jede offensichtliche Aktion vermeiden, welche die Verteidiger auf seine Anwesenheit aufmerksam machen könnte.

In diesem Fall begann der Angriff mit der Ausnutzung der bekannten log4j-Schwachstelle, um in das Netzwerk einzudringen und Persistenz zu erlangen. Die Angreifer bewegten sich dann durch das Netzwerk und griffen sowohl On-Premises- als auch Hybrid-Ressourcen an. Für die On-Premises-Angriffe nutzten sie Gruppenrichtlinienobjekte (GPOs), um Sicherheitstools (Endpoint Protection) zu stören und Ransomware über die NETLOGON-Freigaben auf den Active Directory-Domänencontrollern zu verteilen. Für die Hybrid-Angriffe nutzten sie Azure AD Connect, um sich mit Azure AD zu synchronisieren und Zugriff auf Cloud-Ressourcen zu erhalten. Die Angreifer löschten anschließend Daten aus Azure Storage-Konten und Azure SQL-Datenbanken. Mit einem vernünftigen Tier-Modell wäre der Angriff in diesem Ausmaß vermutlich nicht umsetzbar gewesen.

Microsoft empfiehlt dringend, Azure AD Connect zu überprüfen und sicherzustellen, dass es keine unbefugten oder verdächtigen Synchronisierungen gibt. Außerdem sollten die Sicherheitsmaßnahmen für Domänencontroller und GPOs verstärkt werden, um ähnliche Angriffe zu verhindern oder zu erkennen. Microsoft bietet verschiedene Sicherheitstools an, die bei der Untersuchung und Abwehr solcher Angriffe helfen können, wie z.B. Microsoft Defender for Endpoint, Microsoft 365 Defender und Azure Sentinel.

Dennoch zeigt dieser Angriff wieder, wie wichtig es ist, sowohl On-Premises- als auch Cloud-Umgebungen zu schützen und zu überwachen. Hybrid-Umgebungen bieten viele Vorteile, aber auch neue Herausforderungen und Risiken. Es ist daher unerlässlich, sich über die aktuellen Bedrohungen zu informieren und die besten Praktiken für die Sicherheit von Azure AD Connect zu befolgen. Zum Schutz gehört auch der Aufbau von Tier-Strukturen.

Wozu ist ein Azure AD Connect Server notwendig?

Azure AD Connect ist ein wichtiges Werkzeug für die Synchronisation von Identitäten zwischen lokalen Active Directory-Domänen und Azure Active Directory. Da der Azure AD Connect Zugriff auf die Anmeldeinformationen und Attribute aller Benutzer und Gruppen in den verbundenen Domänen hat, muss dieser Server entsprechend gut geschützt werden. Daher sollten Sie den Azure AD Connect wie einen Domänencontroller behandeln und in Tier-0 aufnehmen.

Was bedeutet Tier-0?

Tier-0 ist die höchste Sicherheitsstufe in einem Active Directory-Design, das auf dem Prinzip der administrativen Grenzen basiert. Tier-0 umfasst alle Systeme und Konten, die in der Lage sind, Änderungen an der Active Directory-Domänenstruktur oder den Sicherheitsrichtlinien vorzunehmen. Diese sollten von anderen Tiers isoliert und mit strengen Zugriffs- und Überwachungsregeln versehen werden.

Indem der Azure AD Connect Server in Tier-0 aufgenommen wird, wird sichergestellt, dass nur berechtigte Administratoren darauf zugreifen können und dass alle Aktivitäten auf dem Server protokolliert und überprüft werden. Dies reduziert das Risiko eines unbefugten Zugriffs oder einer Kompromittierung von Azure AD Connect.

Cookie Consent mit Real Cookie Banner