Euer Maester um Eure Tenants zu sichern - Mit Fabian und Thomas
09.10.2024 52 min
Video zur Episode
;
Zusammenfassung & Show Notes
(Disclaimer: erstellt mit Chat GPT)
Hallo liebe Community! 😊
Hallo liebe Community! 😊
🧑💻 Heute bei uns im Talk: Fabian Bader und Thomas Nauenheim, die Security-Gurus und MVPs im Bereich Identität und Sicherheit! 🚨 Die beiden sind die Masterminds hinter dem Community-Tool „Maester“ – einem Werkzeug, das deinen Microsoft 365-Tenant sicherer macht. Wie sicher ist dein Tenant wirklich? Spoiler: Test-Ergebnisse könnten ein Augenöffner sein! 👀💥
Inhalt:
• Kennenlern-Runde: Fabian und Thomas stellen sich vor – inklusive Fun Facts, witziger Kamera-Spielereien und spannender Insights! 🎬😄
• Das Tool „Maester“ 🛠️: Eine Community-Kreation, die eure Tenant-Sicherheit auf Herz und Nieren prüft – und euch auch sagt, wie ihr Sicherheitslücken schließt. 🔐✨
• Security und Community vereint: Warum es besser ist, wenn eine ganze Gemeinschaft an einem Sicherheits-Tool werkelt. 👨👩👧👦❤️
• Live getestet! Thorsten und Michael sind begeistert und teilen ihre Erlebnisse. Spoiler: Thorsten muss noch Slack-Alerts für Teams programmieren. 😆🖥️
• Der typische Admin 🤓: Michael und Thorsten über Conditional Access, MFA und andere Must-Haves, die du wirklich nicht skippen solltest! ⏭️
Tipps und Tricks: 🎩✨
• MAESTER.dev – Testet das Tool selbst und macht mit! Es ist kostenlos und für jeden zugänglich.
• Safety First: Auch wenn’s am Anfang komplex klingt, es ist für alle verständlich und besonders wichtig für euren Tenant. 🔐
• Erweitert euer Wissen – schaut in die Community-Dokumentationen und überlegt, welche Tests eure Umgebung noch sicherer machen könnten. 📚
Nächste Woche 📅: Ein Viva-Special mit Tanja und bald darauf ein deep-dive in Copilot mit Pascal Brunner! 🚀🤖
💌 Teilen: Empfiehlt die Folge allen Admins, Sicherheitsbeauftragten und denen, die endlich den „Security-Score“ verstehen wollen – oder einfach mal sehen wollen, was wirklich in ihrem Tenant los ist!
Euer Michael & Thorsten
-------------------------------------------------
Infos aus der Episode:
Fabian Bader (LinkedIn): https://www.linkedin.com/in/fabianbader/
Thomas Nauenheim (LinkedIn): https://www.linkedin.com/in/thomasnaunheim/
Maester Tool: https://maester.dev/
Infos aus der Episode:
Fabian Bader (LinkedIn): https://www.linkedin.com/in/fabianbader/
Thomas Nauenheim (LinkedIn): https://www.linkedin.com/in/thomasnaunheim/
Maester Tool: https://maester.dev/
Eigene Tests erstellen (Post von Toni Redmond): https://office365itpros.com/2024/10/07/custom-maester-test/
-------------------------------------------------
Link zum Blog findet ihr hier: https://talkm365.net
Auf Twitter unter: @TalkM365
Twitter Michael: @plemich
Twitter Thorsten: @thorpick
Link zum YouTube-Kanal: https://link.talkm365.net/YouTube
Link zum Teams UG - Meetup: https://link.talkm365.net/TeamsUGMeetup
Link zu Thorstens YouTube-Kanal (Quick-Tipps): https://www.youtube.com/c/ThorstenPickhan
-------------------------------------------------
Reference-Links:
Music Intro/Outro: Vacation - AShamaluevMusic.
Music Link: https://soundcloud.com/ashamaluevmusic/vacation
Auf Twitter unter: @TalkM365
Twitter Michael: @plemich
Twitter Thorsten: @thorpick
Link zum YouTube-Kanal: https://link.talkm365.net/YouTube
Link zum Teams UG - Meetup: https://link.talkm365.net/TeamsUGMeetup
Link zu Thorstens YouTube-Kanal (Quick-Tipps): https://www.youtube.com/c/ThorstenPickhan
-------------------------------------------------
Reference-Links:
Music Intro/Outro: Vacation - AShamaluevMusic.
Music Link: https://soundcloud.com/ashamaluevmusic/vacation
Music Background: Inspirational Corporate Ambient - AShamaluevMusic
Music Link: https://www.patreon.com/ashamaluevmusic
-------------------------------------------------
Music Link: https://www.patreon.com/ashamaluevmusic
-------------------------------------------------
(Disclaimer: erstellt mit Chat GPT)
Hallo liebe Community! 😊
Hallo liebe Community! 😊
🧑💻 Heute bei uns im Talk: Fabian Bader und Thomas Nauenheim, die Security-Gurus und MVPs im Bereich Identität und Sicherheit! 🚨 Die beiden sind die Masterminds hinter dem Community-Tool „Maester“ – einem Werkzeug, das deinen Microsoft 365-Tenant sicherer macht. Wie sicher ist dein Tenant wirklich? Spoiler: Test-Ergebnisse könnten ein Augenöffner sein! 👀💥
Inhalt:
• Kennenlern-Runde: Fabian und Thomas stellen sich vor – inklusive Fun Facts, witziger Kamera-Spielereien und spannender Insights! 🎬😄
• Das Tool „Maester“ 🛠️: Eine Community-Kreation, die eure Tenant-Sicherheit auf Herz und Nieren prüft – und euch auch sagt, wie ihr Sicherheitslücken schließt. 🔐✨
• Security und Community vereint: Warum es besser ist, wenn eine ganze Gemeinschaft an einem Sicherheits-Tool werkelt. 👨👩👧👦❤️
• Live getestet! Thorsten und Michael sind begeistert und teilen ihre Erlebnisse. Spoiler: Thorsten muss noch Slack-Alerts für Teams programmieren. 😆🖥️
• Der typische Admin 🤓: Michael und Thorsten über Conditional Access, MFA und andere Must-Haves, die du wirklich nicht skippen solltest! ⏭️
Tipps und Tricks: 🎩✨
• MAESTER.dev – Testet das Tool selbst und macht mit! Es ist kostenlos und für jeden zugänglich.
• Safety First: Auch wenn’s am Anfang komplex klingt, es ist für alle verständlich und besonders wichtig für euren Tenant. 🔐
• Erweitert euer Wissen – schaut in die Community-Dokumentationen und überlegt, welche Tests eure Umgebung noch sicherer machen könnten. 📚
Nächste Woche 📅: Ein Viva-Special mit Tanja und bald darauf ein deep-dive in Copilot mit Pascal Brunner! 🚀🤖
💌 Teilen: Empfiehlt die Folge allen Admins, Sicherheitsbeauftragten und denen, die endlich den „Security-Score“ verstehen wollen – oder einfach mal sehen wollen, was wirklich in ihrem Tenant los ist!
Euer Michael & Thorsten
-------------------------------------------------
Infos aus der Episode:
Fabian Bader (LinkedIn): https://www.linkedin.com/in/fabianbader/
Thomas Nauenheim (LinkedIn): https://www.linkedin.com/in/thomasnaunheim/
Maester Tool: https://maester.dev/
Infos aus der Episode:
Fabian Bader (LinkedIn): https://www.linkedin.com/in/fabianbader/
Thomas Nauenheim (LinkedIn): https://www.linkedin.com/in/thomasnaunheim/
Maester Tool: https://maester.dev/
Eigene Tests erstellen (Post von Toni Redmond): https://office365itpros.com/2024/10/07/custom-maester-test/
-------------------------------------------------
Link zum Blog findet ihr hier: https://talkm365.net
Auf Twitter unter: @TalkM365
Twitter Michael: @plemich
Twitter Thorsten: @thorpick
Link zum YouTube-Kanal: https://link.talkm365.net/YouTube
Link zum Teams UG - Meetup: https://link.talkm365.net/TeamsUGMeetup
Link zu Thorstens YouTube-Kanal (Quick-Tipps): https://www.youtube.com/c/ThorstenPickhan
-------------------------------------------------
Reference-Links:
Music Intro/Outro: Vacation - AShamaluevMusic.
Music Link: https://soundcloud.com/ashamaluevmusic/vacation
Auf Twitter unter: @TalkM365
Twitter Michael: @plemich
Twitter Thorsten: @thorpick
Link zum YouTube-Kanal: https://link.talkm365.net/YouTube
Link zum Teams UG - Meetup: https://link.talkm365.net/TeamsUGMeetup
Link zu Thorstens YouTube-Kanal (Quick-Tipps): https://www.youtube.com/c/ThorstenPickhan
-------------------------------------------------
Reference-Links:
Music Intro/Outro: Vacation - AShamaluevMusic.
Music Link: https://soundcloud.com/ashamaluevmusic/vacation
Music Background: Inspirational Corporate Ambient - AShamaluevMusic
Music Link: https://www.patreon.com/ashamaluevmusic
-------------------------------------------------
Music Link: https://www.patreon.com/ashamaluevmusic
-------------------------------------------------
Transkript
Hallo und herzlich willkommen
zum Talk Microsoft 365.
Mein Name ist Michael und gemeinsam
mit Thorsten durfte ich heute zwei
Gäste bei uns begrüßen, die ein
komplett anderes Gebiet als Microsoft
365 kennen Selbst vor sich haben.
Wir durften Fabian Bader und Thomas
Nauenheim bei uns begrüßen beides
MVPs im Bereich Security und Identity.
Und wir haben über ihr bzw.
das von ihnen und der Community
entwickelte Tool Master gesprochen, das
euch helfen kann, euren Tenant sicherer
zu machen und sehr, sehr einfach ist.
Das kann ich euch aus
eigener Erfahrung sagen.
Schaut da gerne rein, hört da gerne
rein und wir wünschen euch natürlich
sehr viel Spaß mit der Episode,
bevor es dann demnächst weitergeht
mit den Aufzeichnungen vom M365,
diesmal rund um Microsoft Viva.
Aber dazu das nächste Mal mehr.
Bis dahin viel Spaß.
Hallo Thorsten
Hallo Michael.
Hallo, liebe Community.
Herzlich willkommen zu einem Livestream,
der wirklich live ist und nicht
aufgezeichnet oder in irgendeiner Form
so verschoben und mit komischem Setup
Vielen
genannt weil wir tatsächlich jetzt
gerade im Oktober gefühlt streiche
gefühlt jede Woche Gäste dabei haben.
Und dabei machen wir nur alle
zwei Wochen einen Livestream.
Also das ist verrückt Wir hatten letzte
Woche schon eine Aufzeichnung vom
M365 Summit mit Christoph Twiehaus.
Das Zeug ist jetzt richtig
relevant geworden, weil wir nämlich
Copilot Pages bekommen haben.
Ich habe es heute live auf meinem Tenant
gesehen, noch nicht draufgedrückt.
Ich habe nur den Knopf jetzt.
okay.
Ich habe noch nicht gespielt damit.
Also ich weiß noch nicht,
wie sich das anfühlt.
Aber der Christoph hat...
Ich habe gelesen grandios
Das ist ultimativ.
Das revolutioniert die Arbeit.
Das ist
Ich habe Lackfass gelesen.
Also, wer mehr dazu wissen will, der
Christoph hat schon mal ein bisschen
was zusammengestellt Schaut da gerne
auch noch mal natürlich auf unsere
letzte Sendung Hört da gerne rein.
Aber auch auf seinem LinkedIn-Profil
gibt es ein bisschen was dazu.
Allerdings haben wir heute gar
nicht so viele Copilot-Themen hier.
Sondern wir wagen uns in ein Gebiet, das
Thorsten bestimmt ganz gut beruflich kann.
Ich habe davon schon mal was gehört.
Und weil wir natürlich immer dann,
wenn es kritisch wird, Experten
mit einladen freuen wir uns, dass
wir heute zwei Gäste dabei haben.
Den Fabian und den Thomas.
Ich hole euch mal on stage.
Hallo Fabian hallo Thomas.
Hallo zusammen!
Bevor wir in die Vorstellung kommen und
ihr etwas zu euch erzählen dürft, wir
wollen auch noch über ein Tool sprechen.
Das Maester, also ich hoffe, ich
habe das richtig ausgesprochen,
oder macht man das Majester, da
könnt ihr gleich mehr dazu sagen.
Vielleicht erzählt ihr etwas von euch,
wer seid ihr, was macht ihr, warum
haben wir euch hier mit dazugeholt
und jetzt halte ich mal langsam
die Klappe, ihr dürft jetzt auch.
Ihr müsst nur noch wissen, wer
du gerne mit deiner Vorstellung.
Er mag anfangen.
Schmeißt euch den Ball zu, ja.
Vielen Dank.
dann wirklich einfach mal los ja freue
mich sehr dabei sein zu dürfen ich bin
der thomas thomas nonheim cyber security
architekt bei der klüger kann ja und
auch kollege von fabian bin microsoft
security mbp und ja ab dem schwerpunkt
auf die themen identity security und cloud
security und Und von daher passt das mit
dem Thema heute ganz gut, glaube ich.
Und dann würde ich einfach mal
den Ball zu Fabian übergeben.
Ja, danke dafür.
Ja, ich bin Fabian Bader, ich
komme aus Hamburg, bin auch MVP
im Bereich Azure und Security.
Wie Thomas es schon verraten hat,
bin ich ein Kollege von ihm, arbeite
daher auch bei der Klück Kanya
und mein Titel unterscheidet sich
da auch nicht, nennt sich bei mir
auch Cyber Security Architekt.
Und ja, vielen Dank dass ihr
euch uns heute eingeladen habt.
Wir danken ganz herzlich, dass
ihr uns in dem Wilden Format hier,
ich muss euch richtig ansortieren,
dass ihr uns hier beglückt.
Ich muss sie deswegen ansortieren,
weil sie tatsächlich witzige Spiele
mit den Kameras machen können.
Also wenn ihr den Podcast gerade hört,
ihr könnt, solltet vielleicht dann mal
die Videoaufzeichnung anschauen, weil
da gibt es so ein paar Easter Eggs,
die da mit eingebaut sein könnten.
Kein
Also grundsätzlich ist der Talk ja
immer sehenswert, aber heute verdient
er erst recht das Prädikat sehenswert.
Absolut, absolut.
Wir haben jetzt tatsächlich, ich
habe gerade eben schon mal das Tool
angesprochen, euch eingeladen weil ihr...
Die Masterminds hinter
dem Mastertool seid.
Vielleicht könnt ihr mal kurz
ansprechen, was ist das überhaupt?
Warum ist das aus eurer Sicht genial?
Und dann sage ich ob eure Wahrnehmung
auch andere, was steckt dahinter?
Ja, Master ist im Endeffekt ein
Tool, um die Microsoft 365 Umgebung
securitytechnisch zu durchleuchten
und am Ende Einen Report zu bekommen,
wie es denn eigentlich so steht um die
Security Posture im eigenen Tenant.
Ist alles nach Best Practice
konfiguriert oder ist irgendwo doch noch
Multifaktor und nicht für jeden User an?
Das ist jetzt nur einer von
vielen Checks, die da mittlerweile
implementiert sind, aber genau das ist
eigentlich Masters, bietet uns eben
die Möglichkeit hier wirklich relativ
einfach und barrierefrei einen Report
zu erstellen, Mit dem man dann aber
auch, wie nennt man es in Neudeutsch
so schön, actionable insights hat, wie
man das Ganze dann auch fixen kann.
Sehr cool.
Ja, und ich glaube...
Entschuldigung Thomas.
kurz noch, weil ihr es angesprochen
habt, wir sind ja jetzt nur zwei davon.
Also das Ganze ist ein Community-Projekt
und ich glaube, das ist auch so
die Stärke davon, dass ganz viele
da kontributet haben und dass das
jetzt auch was ist, wo immer mehr
Tests auch aus der Community kommen.
Also von daher, wer es bisher
noch nicht genutzt hat oder da
mitmachen will, es ist wie gesagt ein
Community-Driven-Projekt und ich glaube,
das macht es auch nochmal besonders
Das war auch tatsächlich einer der
Gründe warum wir am Anfang das gesehen
haben und nicht einfach gesagt haben,
ja okay, das ist jetzt halt irgendwie
so ein Produktmarketing oder irgendwie
sowas sondern es war und ist auch
das große Highlight, was ich auch mit
herausheben möchte als Community-Projekt.
Du hast Gerade gesagt, ihr macht
das nicht mehr oder nicht nur
zu zweit schräg schräg zu dritt.
Vielen Dank.
Wie seid ihr denn dazu gekommen?
Wie habt ihr denn
angefangen damit umzugehen
Ja, das Ganze hat so im Sommer
letzten Jahres angefangen.
Da hat mich Meryl Fernando, der ein oder
andere kennt ihn vielleicht für seinen
tollen Newsletter, den er jede Woche
zum Thema Entra, auch unter anderem auf
LinkedIn, aber auch auf allen anderen
sozialen Medien postet und auch sonst
tolle Grafiken zu ganz vielen schönen
Themen im Bereich Entra Microsoft Cloud
veröffentlicht, der hat mich auf jeden
Fall angeschrieben und gesagt, hey
Fabian, da gibt es so eine neue Private
Preview für eine Graph API, mit der man
Conditional Access Policies testen kann.
Und du hast doch da so ein anderes
Community-Projekt, mit dem man
Sentinel automatisiert testen kann.
Wäre das nicht was, wo wir uns mal
zusammensetzen und mal sprechen können,
was dabei hinten rauskommen könnte?
Und wie das dann so ist, habe ich erstmal
geschrieben, ja, ich habe jetzt aber
erstmal Urlaub, ich melde mich danach.
Vielen
diese neue Private Preview API genutzt
um eben What-If, was man vielleicht aus
Conditional Access so ein bisschen kennt,
zu automatisieren, durchzuprüfen und
haben aber schnell gemerkt, eigentlich hat
das Ganze noch viel, viel mehr Potenzial
Wir haben von Anfang an auf ein
Test-Framework gesetzt, das in
PowerShell sehr verbreitet ist.
PowerShell ist unsere Grundlage an sich
und die Grundlage für unsere Tests dabei
ist das sogenannte PESTA-Framework.
Das ist eigentlich was, was aus der
Softwareentwicklung kommt, diese ganzen
Test-Frameworks und hier eben auch
genutzt werden kann, um alles Mögliche zu
testen unter anderem eben auch Entra-ID.
Und dann waren wir an dem Punkt, dass
wir gesagt haben, irgendwie brauchen wir
jetzt nochmal ein paar mehr Tests und
bevor wir jetzt anfangen mit so einem
Community-Tool rauszukommen und alles
neu zu erfinden, haben wir mal geschaut
was gibt es denn da draußen und haben
festgestellt gar nicht so weit weg, so
gefühlt ein Raum neben mir ist da jemand,
der hat da schon was gebaut, zwar in einem
komplett anderen Setting Aber eigentlich
mit dem ähnlichen Ziel, nämlich Tenants
sicherer zu machen und so haben wir uns
dann mit dem Thomas in Verbindung gesetzt,
der das AIDS-Gar-Projekt schon eine Weile
davor ins Leben gerufen hat und auch als
Community-Projekt schon betrieben hat.
Thomas, vielleicht erzählst du am
besten, was das eigentlich genau ist.
Ja, gerne.
Also im Hintergrund von 8Scar, auch
eine tolle Abkürzung, die ich nachher
noch erklären kann, wofür die steht,
ist, dass vor jetzt vier Jahren ich
zusammen mit Semmy Lampeau, einem
finnischen MVP, das damalige Azure AD
Attack & Defense Playbook gestartet
habe als Projekt, wo es um Angriffs
und Verteidigungsszenarien geht, damals
noch um Azure AD, heute Entry-ID.
Und wir sind damals dann irgendwann zum
Punkt gekommen, dass wir gesagt haben,
okay, rein Angriff-Verteidigungs-Szenarien
zu beschreiben reicht nicht aus.
Wir würden gerne eigentlich so gewisse
Tenant-Hardening-Sachen beschreiben,
weil wenn wir dann über so Angriffe wie
Consent-Grant-Attacks sprechen, dann kann
man die relativ einfach auch mitigieren
durch effektive Tenant-Settings Und dann
ist auch ein weiterer Kollege damals
dazugekommen, der Markus, und dann
haben wir angefangen, einfach mal alle
Graph APIs, die irgendwie mit Tenant
Settings zu tun haben, rauszusuchen, zu
analysieren, was wäre denn eigentlich
sicherheitstechnisch eine vernünftige
Einstellung an der Stelle, haben dann
noch ein Mapping auf Maitre gemacht,
gesagt, okay, wenn du jetzt zum Beispiel
kein Smart Logout aktiv hast, dann
zählt das auf dein Initial Access.
Attack surface ein und dadurch hast
du die folgenden technik und tactics
die relevant zu weitere ist solltest
du auf schirm haben Und dann sind wir
hingegangen ganz primitiv, und haben
eine, wie es immer ist, eine JSON-Datei
geschrieben, mit einem schönen Schema,
wo diese Graph-Endpunkte das Mapping zum
Eintritt drin war, der Wert, der nicht
standardmäßig von Microsoft ausgeliefert
wird bei jedem neuen Tenant, was wir
für sinnvoll halten, was eigentlich der
Wert ist, und haben dann eine Logic-App
entwickelt, ein Workbook, um das Ganze,
ja, ähm Für die Community relativ einfach
deploybar zu machen und Wir hatten
aber damals schon immer den Ansatz
gehabt, die Definition, was eigentlich
ein sicherer Tenant oder eine sichere
Tenant-Konfiguration ausmacht, war ja
losgelöst was wir nachher verwendet haben.
Logic App und zum
Beispiel dieses Workbook.
Und das war natürlich eine ideale
Ausgangssituation für dieses
Community-Projekt zu sagen, okay, die
Endpunkte wissen wir, wir wissen, was
die Werte sind, die wir gerne hätten,
das einmal in PowerShell konvertiert, um
daraus bester Checks zu machen und schon
hatten wir, ich weiß gar nicht mehr,
wie viele es heute sind, rund um die 40
Checks, die relativ einfach zu adaptieren
waren, auch für das Masterprojekt.
Ja sehr
ein wenig wie wir alle zu
diesem Thema gefunden haben.
Und nochmal kurz unsere
Zuschauer zu höhere abzuholen.
Wir sind ja, wie gesagt, jetzt
eigentlich nicht im Schwerpunkt
Identity oder Security unterwegs,
bisher zumindest nicht.
Also es geht immer darum zu prüfen, wie
einfach ist es für einen Angreifer, an
unsere Daten zu kommen, die im Tenant
liegen, wie einfach ist es, meine
Credentials zu klauen, meine Identität
zu klauen und damit quasi im Tenant
des Unternehmens unterwegs zu sein.
Mich möglichst zu verstecken, unauffällig
zu verhalten, an Daten ranzukommen
und von dort aus dann weiterzugehen
und Daten zu sammeln, aber mich auch
entsprechend anzugreifen und zu schauen
dass ich eben Unfug treiben kann.
Darum geht es bei euren Tests, eben
die Bordmittel von Microsoft, aber auch
eben Mittel, die ich oder Werkzeuge die
ich über Lizensierungen dazu bekomme
zu prüfen, Wie sicher ist das Das
sind die empfohlenen Einstellungen.
Da wäre auch meine Frage,
ist das eure Empfehlung?
Ist das von Microsoft die Empfehlung
Gibt es irgendwelche Standards,
RFC-Norms was auch immer, die
sagen, so und so sollte es sein?
Und das wird quasi geprüft gegen, was
ist dein aktuelles Setting, was ist
die Empfehlung und das und das wäre
das Action-Item um es zu verbessern.
Dank
Richtig?
Also wir haben es im Endeffekt
so, dass wir jetzt mittlerweile in
dem ganzen Test unterschiedliche
Frameworks schon implementiert haben.
Du hast das gerade schon
ein bisschen angesprochen.
Gibt es da eigentlich irgendwas,
was wirklich das Richtige ist?
Und ja, da gibt es
natürlich viele Meinungen.
Microsoft hat eine Meinung dazu,
was richtig ist, was man eigentlich
konfigurieren sollte, aber
trotzdem nicht der Default ist.
Immer ein bisschen interessant, aber okay.
Im Conditional Access Bereich, also
in dem Moment, wo ich zugreife, hat
Microsoft auch Templates veröffentlicht
wo sie sagen, eigentlich solltet
ihr die benutzen, aber auch die sind
eben nicht standardmäßig verteilt
und nicht standardmäßig drinnen.
Und was unser Projekt jetzt hier macht,
ist nicht die eine Wahrheit zu haben.
Das ist am Ende in so einer komplexen
Umgebung wie der Cloud gar nicht
möglich, sondern wir möchten eigentlich
möglichst viele Sachen abbilden
und was wir mittlerweile haben,
ist eben mit dem Aids-Gar eine eher
Community-Driven-Empfehlung Hat die
Community sich zusammengesetzt und
gesagt, das ist eigentlich das, was wir
als sinnvoll erachten, ist natürlich
dann aber auch, sage ich mal, mit
einem gewissen Blick von ein paar
Leuten, die das entwickeln betrieben
Kann jeder mitmachen, aber das kommt
erst mal eben hier aus der Community.
Andere Sachen gibt es dann aber
auch, zum Beispiel gerade im
Amerikanischen gibt es die CISA.
Das ist im Endeffekt so etwas wie in
Deutschland das BSI, das Bundesamt für...
System-Sicherheit-Informationstechnik
irgendwie so, genau.
Ja, reinbeugen, genau.
Und die geben eben auch Empfehlungen
raus, was eigentlich so konfiguriert
sein soll, damit ein Tenant nicht
so leicht gehackt werden kann.
Da sind mittlerweile auch, gerade aus der
Community, schon sehr, sehr viele Checks
mit dazugekommen, die sich auch nicht nur
auf das klassische Entra-ID beschränken,
sondern wir haben mittlerweile sogar
Tests Die bis in Exchange Online schauen
und eben auch da prüfen, sind bestimmte
Security-Sachen wie ein Defender vor
Office 365 oder eben auch die Exchange
Online Protection eigentlich richtig
konfiguriert und das ist eigentlich
auch das, wo wir in Zukunft immer mehr
hinwollen, dass wir eben eine Plattform
bieten, wo aber am Ende auch wieder
Leute sich anpluggen können und sagen,
das sind meine Empfehlungen und Ein
wichtiger Punkt, den wir von Anfang
an dabei hatten, der vielleicht nicht
für jeden, der einsteigt interessant
ist, ist aber auch, ich kann auch meine
eigenen Tests schreiben und Thomas
hatte da gerade eine nette Begegnung zu,
kannst du vielleicht gerade mal erzählen
was da letzte Woche dir passiert ist?
Genau, also es hat ja gerade schon
Fabian erwähnt wir aus der, zum
Beispiel bei dem Aidscar gehen ja auch
hin und machen Bewertungen jetzt zum
Beispiel für Tendent-Settings und wir
waren da sehr strigent und haben zum
Beispiel gesagt, wir gehen erstmal
nur auf Security-Settings Also da,
wie ich vorhin erwähnt habe, wo wir
ganz klar sagen können, das Setting
zahlt jetzt zum Beispiel auf eine
Angriffs-Methode ein, die wir auch dann
zum Beispiel gegen MyTool mappen können.
Und wir haben auch immer, das ist auch
wichtig, eine volle Transparenz, das
heißt, wir verweisen dann auf diese
Maitre-Techniken, wir verweisen auch, wenn
es von Microsoft klare Empfehlungen gibt,
auf die Microsoft Docs und wir verweisen
darauf, wie wir dieses Setting ermittelt
haben und wie man diese auch fixen kann.
Also, wenn es irgendwelche Artikel von
Microsoft gibt, dass wir dann direkt einen
Link haben, hier, so kannst du es beheben.
Also, das ist nochmal kurzfristig
auch von den Settings zu haben.
Also, ihr reportet nur, ihr macht
keine Einstellung am Tendenz mit
dem Tool, sondern ihr lest nur
geht es um Report und genau aufzuzeigen,
wo habe ich mein Drift, also da, wo ich
abweiche und dann im ersten Schritt war
es zumindest bei Skarchecks wichtig,
dass wir dann höchstens mitgeben, hey,
das wären die Settings, wie voll könnt
ihr die dann fixen weil natürlich jeder
nochmal für sich in der Umgebung natürlich
auch beurteilen muss, was ist der Impact.
Mathis kann sein.
prinzipiell lassen natürlich Graph API
Calls auch zu, dass man relativ einfach
einen Quick Fix reinhauen könnte.
Aber da, glaube ich, sind
wir in einem anderen Thema.
Zu kurz aber zu dieser Begegnung.
Ich hatte das Vergnügen, letzte Woche
auf der Tech in Dallas, Texas gewesen
zu sein, wo auch Meryl dabei war, auch
einen Vortrag zu dem Thema gehalten hat.
Und ich hatte da auch das Vergnügen,
Tony Redmond zu treffen, der jetzt
auch kürzlich nochmal einen Blogartikel
zu dem Thema getroffen hat und seinen
relativ, ja, ich sag mal, guten Überblick
darüber gibt, wie relativ einfach man
auch selber Checks schreiben kann.
Und da ist zum Beispiel das Beispiel,
dass man einen Check hat, der
prüft, habe ich meinen Usern erlaubt
dass die zum Beispiel M365 gucken.
Ähm im Default erstellen dürfen.
Also, ist das was, was ich, ähm
Ermöglichen will, jedem Benutzer.
Da war zum Beispiel bei uns in der
8Scar-Community die Frage, ist es
wirklich ein Security-Thema, ist es eher
ein Governance-Thema, weil wie ist das
Risiko wenn jetzt jemand eine Gruppe
erst mal erstellen darf und da ist es
aber wichtig, klar, auch unabhängig von
8Scar kann man eigene Checks schreiben,
wie jetzt Tony hier auch sehr gut zeigt
und auch sehr detailliert beschreibt.
Und es gibt aber auch die Möglichkeit,
Pull-Requests zu stellen und auch
die Diskussion anzudrehen, zu sagen,
hey, ich habe hier jetzt gesehen, es
gibt doch von Microsoft eine andere
Recommendation oder wir sehen das anders,
das wäre doch was, was irgendwie auf
das Technik oder Technik in MITRE 1 hat.
Also da ist man offen und da ist
es auch wichtig, das Feedback der
Community mit reinzubeziehen Vielen
könnt ihr euch das mit anschauen.
Wir haben in der Zwischenzeit auch eine
Frage bekommen, wie kommt man denn an
dieses Tool und ist es frei verfügbar?
Ich möchte jetzt fragen, wer
von euch mag das beantworten Ich
kenne die Antwort, aber ihr dürft.
Jeder kann ja einen
Teil der Antwort geben.
Okay, okay.
Genau, also ist es frei verfügbar?
Ich würde mal den Part übernehmen.
Es ist ein Community-Tool es
ist frei verfügbar und es ist
auch kostenfrei verfügbar.
Also es ist jetzt nicht irgendwie
hinter einer Paywall fünf Checks
und danach bitte Münzen einwerfen
Newsletter anmelden persönliche
Daten da lassen, Geburtsdatum
Genau, natürlich.
Es ist komplett frei.
Es ist auch komplett frei, dieses Tool
zu verändern, zu erweitern zu forken.
Und das kann jeder gerne machen
und wo er das machen kann.
Da steige ich jetzt ein.
Da gibt es auch verschiedene Varianten,
also für die von euch, die es einfach
mal interaktiv ausführen wollen, die
sagen, ich will es einfach mal testen,
das PowerShell-Modul dazu ist auch
in der PowerShell-Gallery verfügbar.
Das ist halt relativ
einfach dann zu konsumieren.
Es gibt auch da kann Fabian nachher
auch ein bisschen mehr dazu sagen, das
Ganze auch in einem GitHub-Marketplace.
Das heißt also, wir hätten da
auch die Möglichkeit, das Ganze
auch als Pipeline zu verwenden.
Und last but not least, für die richtigen
Hardcore-Entwickler da kann man natürlich
auch das Repository, wie Fabian schon
sagt, klonen, forken, wie auch immer
ihr damit tätig Umgehen wollt und das
dann lokal bei euch dann tatsächlich
mit allen Details dann selber euch mal
anschauen was hinter dem Modul steckt.
Der einfachste Einstieg ist eigentlich,
wenn ihr einfach auf die Projektseite
geht und die heißt maester.dev, also
M-A-E-S-T-E-R.D-E-V und hier ist nicht
nur ein schöner Überblick drauf, was
eigentlich dieses Tool macht, was Aidsgar
ist und was hinter dem Kürzel steht,
sondern wir haben oben links auch ein
paar Docs mit drinne Die eben so einen
initialen Einstieg die Installation,
all sowas erleichtern sollen und
hier eben auch unterschiedlichste
Möglichkeiten dokumentiert, wie
das Ganze eigentlich funktioniert.
Es sind teilweise auch Präsentationen
von uns dann noch mit verknüpft die
man sich dann mal anschauen kann, wenn
man sagt, ich möchte das lieber noch
nicht selber ausführen, sondern möchte
mir das erstmal angucken, wie jemand
anderes das auf seiner Maschine macht,
dann gibt es da eben auch mal die ein
oder anderen YouTube-Videos zu sehen.
Und Thomas hat es gerade schon gesagt, es
gibt es eben auch im GitHub-Möglichkeit.
Also im Endeffekt haben wir
mehrere Möglichkeiten, wie so ein
Master ausgeführt werden kann.
Die erste Möglichkeit Ist
eigentlich wirklich so ein One-Off.
Ich möchte einfach meine Umgebung
jetzt hier mal bewerten lassen.
Das heißt, ich installiere mir dieses
Modul, lade mir die Tests runter,
führe es einmal aus und bekomme
am Ende einen schönen HTML-Report.
Dafür muss ich mich natürlich auch
mit meiner Umgebung verbinden.
Im Hintergrund verwenden wir dafür
Standard-Module von Microsoft, also sowas
wie ein Graph-Modul im PowerShell-Bereich
oder das Exchange-Modul je nachdem
welche Tests man dann eben auch ausführt.
Und der zweite Teil, den wir eingebaut
haben, der gibt einem aber auch die
Möglichkeit, sowas in einer mehr
automatisierten Variante zu machen.
Das ist einmal eben in einer
sogenannten GitHub Pipeline, GitHub
Actions das Ganze auszuführen.
Das heißt, ich kann es dann zum Beispiel
täglich ausführen und die Ergebnisse
irgendwo hochladen und sammeln.
Das ist automatisch Auch
sehr schön dokumentiert.
Mittlerweile ist auch eine Dokumentation
wie lasse ich sowas in einem Azure
Automation Account laufen, wie lasse ich
sowas in einem Azure DevOps laufen, in
einer Container App, wie lasse ich mir
E-Mails schicken, wie schicke ich mir
Slack Alerts Also ihr seht es gibt da
unglaublich viele, viele Möglichkeiten.
Slack.
versuchen wir natürlich, offen zu sein.
Und bisher hat noch die Community
mehr nach Slack-Alerts als
nach Teams-Alerts geschrieben.
Ich glaube, im Microsoft 365-Umfeld
schickt man sich einfach noch eine E-Mail.
Ja, aber Thorsten kann
das ja jetzt ändern.
Das ist dein Aufruf dazu,
Kontributor zu werden und deinen
ersten Pull-Request zu stellen.
kann es nur noch mal wiederholen, ich
bin nicht so der Identity-Security-Guy,
aber natürlich habe auch ich dieses Tool
installiert, habe es mal gegen meinen
eigenen Tenant ausgeführt, habe es gegen
meinen Web-Tenant ausgeführt und gerade
das fand ich so gut und da habe ich zu
Michael gesagt, wir müssen die beiden
Jungs mal zu uns in den Talk holen,
weil ich eben nicht der Security und
Identity-Deep-Dive-Engineer sein muss,
um jetzt Zu verstehen, was da passiert
und was ich alles machen muss und ich
muss auch kein Coder sein irgendwie, um
mit irgendwas zu, das sind sehr simple
PowerShell-Befehle, die ich machen kann.
Klar brauche ich Permissions auf den
Tendent, um eben die Reports zu ziehen
oder die aktuellen Einstellungen zu
bekommen, aber es hat mir eben sehr gut
gefallen, dass grundsätzlich erstmal
nichts verändert wird, es wird nur gelesen
und danach bekomme ich eben diesen tollen
Report, der mir genau sagt, Da musst du
mal reingucken und das, was ihr beiden
dann eben auch sagt, ich für mich bewerte
als Tenant-User oder Tenant-Administrator,
als Firma, ist das jetzt ein Setting,
was ich wirklich ändern möchte oder
muss, weil das Risiko XY dahinter
hängt oder es ist vielleicht sogar
bewusst so eingestellt weil wir in der
Zusammenarbeit mit das so brauchen oder
es offen haben wollen oder was auch immer.
Bei meinem Report ist zum Beispiel
direkt rausgeputzt, dass Guest-Management
sehr offen ist, keine Einschränkungen
da sind und so weiter und so fort.
Das ist halt im Lab ein Standard-Tenant,
ohne dass ich da Security dran geschraubt
hätte und das fand ich eben sehr gut.
Das der Report.
Ich muss kein Security-Engineer sein, um
zu verstehen, was da jetzt Thema ist und
wenn mich irgendwas anspricht, wo ich
sage, okay, das hört sich interessant an,
muss ich mal nachgucken, Habe ich eben zum
einen die Möglichkeit, direkt zu Microsoft
abzuspringen oder mir dann eben wiederum
einen Experten zu holen der es für mich
bewertet und sagt, ja das können wir
machen und hat folgenden Impact für euch
und das fand ich eben das Coole an diesem
Tool, dass es auch für Nicht-Security- und
Identity-Engineers einfach zu benutzen ist
und wertvolle Informationen rauskommen.
Und das ist, glaube ich
der entscheidende Punkt.
Also, wenn ich so ein Report sehe,
dann ist es immer ganz cool, wenn
man diesen Turn-on-the-Lights-Moment
hat, wo man dann sagt, okay, ich...
Ich bin ein bisschen davon
ausgegangen, mein Conditional
Access-Regelsatz ist wasserdicht.
Jetzt sind dann hier Sachen aufgetreten,
die vielleicht mich mal zum Nachdenken
oder dass ich dann doch nochmal
schaue, wie die Policies sind.
Und damals bei dem 8-Scar-Projekt
wie jetzt hier auch bei dem Report,
war es für uns wichtig, dass auch
die Admins sich mal kritisch mit den
Default-Settings auseinandersetzen.
Also ja, wie du gerade sagst es
funktioniert Kann sein, dass es super ist.
Alle dürfen jeden in den Tenant einladen
und jeder darf Gruppen und Apps anlegen.
Aber trotzdem nochmal darauf
hinzuweisen, das könnten die Nachteile
sein oder das sind die Gefahren die
damit einhergehen, soll ja eher die
Administrator anleiten sich kritisch auch
mit den Settings auseinanderzusetzen.
Um wegzukommen von diesem
Secure-by-Default-Gedanken sondern auch,
dass ich bei Cloud-Services mir kritisch
mit den Settings auseinandersetzen sollte.
Vielen Dank
weil ich tatsächlich einfach einen
völlig unmanaged, also von den
Security Settings einfach alles
laufen lassen Tenant Getestet habe.
Auch ein Testtenant da ist
nichts produktiv drauf.
Das ist einfach nur einer, mit dem
ich halt alle Jubeljahre mal was tue.
Und
Vielen
gibt's eine schöne Grafik die so ein
Tortendiagramm darstellt Und ich habe noch
nicht mal das erste Viertel vollgekriegt
mit den Sachen, die gut gelaufen sind.
Versetzung gefährdet.
Ja, das ist noch harmlos gesagt.
Und ich fand das sehr
beeindruckend weil ich...
Jetzt fange ich wieder an, ich reite
darauf gerne rum, ich bin ein Mac-User
und ich challenge das gerne, auch
gerade weil bei PowerShell nicht alles
tatsächlich auch auf der PowerShell 7
funktioniert, weil es da immer wieder
auch Sachen gibt, die auch gegen die Wand
fahren, weil ich eben kein klassischer
Windows-User bin, das funktioniert hier
problemlos, das alles, State-of-the-Art,
die aktuellen Module alle verwendet.
Ich habe nie ein Problem gehabt, ähm
Ich habe das einfach laufen lassen
können und einfach laufen lassen können.
Also die Betonung liegt
wirklich auf einfach.
Das war binnen drei Minuten durch.
Das längste waren, glaube ich, die
Berechtigungen geben, dass das Messe
überhaupt die Anfrage stellen kann und
die ganzen Informationen auslesen darf.
Also auch da es passiert nicht ohne
eure Zustimmung Und auch dieser Teil
ist sicher, das fand ich sehr gut,
dass da nicht irgendwie versucht wird,
jeder kann das Tool runterladen und
versucht einfach darüber, weiß ich nicht,
Sicherheitslücken zu finden, so nach
dem Motto, ich lasse das jetzt einfach
laufen und dann weiß ich, wie ich am
besten auf die Tendenz draufkomme.
Also Chapeau, hat mich sehr
beeindruckt dass das so einfach war.
Alles auf einen Blick zu bekommen.
Als Mac-User habe ich auch ein
Eigeninteresse, dass solche Tools,
also es gibt eine Hidden Agenda.
muss auch ganz klar sagen, ich glaube,
dadurch, dass wir mit PowerShell 7
auf Mac, Linux und Windows arbeiten,
Ziemlich gut unterwegs sein können.
Die größere Herausforderung ist
mittlerweile wirklich eine saubere
Kompatibilität zu einer PowerShell 5,
also zu dem klassischen Windows-PowerShell
herzustellen, weil wir natürlich einfach
merken, an der einen oder anderen Stelle
nutzen wir eigentlich gern die neuen
schönen Sachen, die PowerShell Core uns
bietet und müssen es dann aber eben für
die Windows-PowerShell dann doch nochmal
auch in einer anderen Art und Weise
nachbauen, weil die einfach natürlich
noch sehr, sehr verbreitet draußen ist.
Ich weiß nicht, was du meinst.
Vielen Dank.
Vielen Dank
Ich habe jetzt hier so einen
tollen Report bekommen.
Ich kriege aber auch Reports
von Microsoft, wenn ich mir
den Security-Score anschaue.
Ich glaube ihr habt, für mich habt ihr
so einen Teil schon beantwortet mit der,
wie ihr die Ergebnisse bewertet, aber
wenn ich jetzt diesem Security-Score von
Microsoft folge und sage, ich möchte dort
ein hohes Rating haben, ich Persönlich
glaube ich auch nicht, dass jeder 100
Prozent hat, weil es immer Ausnahmen gibt,
die das Business wahrscheinlich braucht,
damit es auch richtig funktioniert
mit dem Arbeiten und anderen Leuten.
Aber ist das, wenn ich den
Security-Check durchmache und den
Security-Score durchmache So viel
Security habe ich lange nicht
Vielen Dank.
So weit nach oben drehe, kriege
ich dann jetzt hier auch in Mester
Report auf einmal alles grün und
bestehe das mit wehenden Fahnen?
Ob jetzt alles da drin ist, würde ich
noch bezweifeln Am Ende sind, glaube
ich aber schon einige Settings sehr
deckungsgleich die wir da drin haben und
auch der Security Score wird natürlich
bestimmte Sachen zum Beispiel in Exchange
Online empfehlen, die wir auch empfehlen,
weil sie eben auch solchen Best Practices
unter anderem von Microsoft mit rauskommen
können Und, natürlich, da sind wir
wieder an dem Punkt, was ist nachher die
richtige Best Practice für mich, was sind
die richtigen Einstellungen für mich.
Der Security Score bietet eine ganz
gute Möglichkeit, hat aber auch wiederum
bestimmte ja, ich würde mal sagen, nicht
so optimale Sachen, was zum Beispiel...
Eigene Tests angeht oder eigene Meinungen
zu bestimmten Einstellungen, die man
da vielleicht hat, oder auch teilweise
einfach Auswertungslogik, die sich in der
Realität nicht immer ganz so widerspiegelt
wie wir das eigentlich erwarten würden.
Und genau das soll eben MESTA hier
durch eine bisschen offenere Plattform
auch mit lösen weil ich hier natürlich
wirklich nachvollziehen kann, warum ist
denn dieser Check jetzt schiefgegangen?
Also nicht nur durch die Erklärung,
die wir haben, Wenn man Interesse hat,
man kann einfach die verschiedenen,
hier haut heute der Zwiebel abziehen
bis man eben feststellt, ah, dahinter
steckt eigentlich dieser Graph
Call und genau dieser Punkt in der
Einstellung und ah, das ist der Grund,
warum das jetzt schief gegangen ist.
Und wenn ich den ändere, kann ich mir
jetzt Gedanken machen, was passiert,
möchte ich das wirklich und was?
Am Ende kann ich es dann eben
ändern und habe eine Empfehlung,
die wir dann hier umgesetzt haben
und dann plötzlich grün ist.
Der Punkt ist sehr, sehr wichtig und ich
glaube, das ist einer der Stärken was ich
vorhin schon meinte mit der Transparenz.
Admins die ihre Herausforderungen
mit dem Secure Score haben,
weil er sich dann plötzlich
verändert und keiner weiß weshalb.
Oder man hat zum Beispiel das Problem,
dass Sachen bewertet werden, die
aber eigentlich out of scope sind.
Die Klassiker sind Prey Class,
die dann doch irgendwie in dem
Berechnung, ob alle User mit MFA
abgedeckt sind, berücksichtigt werden.
Das Thema ändert sich zwar jetzt, das ist
jetzt ein schlechtes Beispiel eigentlich,
aber ich glaube, dass es halt wirklich
der Vorteil ist, dass man relativ klar
sieht, okay, der Check hat sich geändert,
ich habe die Logik dahinter und ich habe
nochmal auch ein bisschen Kontext dazu,
wieso weshalb warum die Das als Check
so gesehen wird und bis hin halt zu der
Erhebung und die Transparenz ist halt
so in der Detailtiefe halt beim Secure
Score auch nicht unbedingt gegeben.
Noch mal eine Frage zu den Tests
als solches also für unsere Podcast
Zuhörer wenn der test bestanden ist es
logischerweise der test grün markiert wenn
der test fehlerhaft gewesen ist weil die
einstellung abweicht von der empfehlung
die getroffen wurde ist der rot dann gibt
es aber auch tests habe ich gesehen die
grau sind mit dem hinweis gibt bedeutet
das dann Diese Funktion kann ich bei mir
im Tenant nicht nutzen, weil ich nicht
die passende Lizenz dafür habe, weil sie
nicht für mich relevant ist oder was hat
das mit dem Skip und Graue auf sich, wenn
so ein Test dann eben übersprungen wurde?
Also an der Stelle gibt es mehrere
Gründe, weshalb es es gibt werden könnte.
Du hattest gerade ja schon skizziert zum
Beispiel weil einfach der Check nicht
anwendbar ist, weil zum Beispiel eine
P2 Lizenz dafür vorhanden sein müsste.
Wir haben aber zum Beispiel
Genau, EntraID P2, genau.
Und dann aber auch entsprechend mit dem
Hinweis und bei Aidscar ist es ähnlich.
Da gibt es auch die sogenannten Skip
Reasons Das heißt, wir übermitteln
dann aber auch für den Report,
weshalb wurde der Test durchgeführt
Geskippt und das ist zum Beispiel
auch, wenn Abhängigkeiten da sind.
Also wir haben festgestellt, wenn
jetzt jemand zum Beispiel komplett
die Gästefunktion deaktiviert hat oder
gewisse Sachen, dann brauche ich jetzt
nicht in die Sub-Einstellungen noch vom
Hardening reinzugehen, weil dann einfach
die Abhängigkeitskette halt vorhanden ist.
Wenn ich jetzt keinem erlaube, die
Authenticator-App Dann brauche ich jetzt
auch nicht als Fail-Check nach oben zu
transportieren, wenn das Number Managing
für die Authenticator-App nicht da ist.
Und das macht es jetzt schon, glaube
ich, auch für jemanden der den Report
liest dann einfacher, als wenn er dann
plötzlich sieht, ja, kann ja gar nicht
funktionieren der Check, weil eine
Abhängigkeit nicht aufgelöst werden kann.
Vielen
ausgeführt, sind auch alle skippt und
da steht dann in der Skip-Reason dann
auch drin, ja, liegt dran, dass du dich
einfach noch mit Exchange verbinden
musst, ne, also standardmäßig macht
man bei Connect Master erstmal eine
Graph-API-Verbindung auf, aber Kann
aber eben auch sagen, verbinde mich mit
dem Service Exchange noch mit, dass es
dann auch gleich in dieser Skip Reason
mit hinterlegt, dass man sich jetzt
nicht komplett wundert, warum eigentlich
diese Exchange-Tests nie laufen.
Gerne einfach mal auf so
einen Test draufklicken.
Das würde ich grundsätzlich immer
empfehlen auch bei denen die
fehlgeschlagen sind, mal ruhig
draufklicken Wir haben eigentlich
versucht, sehr, sehr ausführlich das
Ganze auch aufzunehmen Zu detailliert
zu erklären, warum wir etwas finden,
wie man es beheben kann und weitere
Ressourcen hier zu verlinken.
Also es ist nicht nur diese Übersicht
die man bekommt, Failed, Not Failed,
Skipped, sondern wirklich auch in jedem
dieser Checks ist nochmal mehr Detailtiefe
hinterlegt und deswegen ruhig mal
einfach anklicken auf so einen und dann
bekommt man da eben auch entsprechend die
Information, was genau dahinter steht.
Dank Da sieht man es ja, also für die
Podcast-Hörer der Michael hat jetzt so
ein Testergebnis aufgerufen, am Ende
wird eben eine HTML-Datei erzeugt die ihr
dann auch in jedem Browser eben öffnen
könnt, wo die einzelnen Tests gelistet
werden, dahinter dann entsprechend die
Markierung, ob bestanden, fehlerhaft,
weil abweichend oder eben skippt und
diese Tests pro Zeile könnt ihr dann eben
öffnen Anklicken egal ob bestanden nicht
bestanden oder skippt und bekommt dann
dort eben eine detaillierte Information
in dem Falle wenn es jetzt failed ist,
was ist der aktuelle Wert, was ist die
Empfehlung mit einer Referenzierung zu
dem entsprechenden Microsoft-Artikel und
auch dem Testskript wie der Aufruf erfolgt
ist, um zu prüfen, was jetzt passierte
oder was dort eben getestet wurde.
Das ist nochmal vielleicht wichtig
zu erwähnen, also um jetzt zu dem
Community-Projekt beizusteuern muss man
jetzt nicht unbedingt PowerShell-Gott
sein und die Die Checks selber schreiben,
sondern wir haben auch Feedback bekommen
von der Community, wo Leute gesagt haben,
hey, zu diesem Check würde jetzt zum
Beispiel der How-to-Fix-Artikel super
passen oder wurde gesagt, hier, ich habe
gesehen, da gibt es die Einstellung kann
man auch übers Portal setzen und was unser
Ziel zum Beispiel bei den 8-Scar-Checks
war, ist, dass man direkt einen Link
hat, nicht nur das per Graph-API zu
patchen, was glaube ich so die wenigsten
einfach mal so Zwischen Tür und Angel tun
würden, sondern finden es dann doch ganz
charmant, wenn man ins Portal reinspringen
kann und einfach den Haken setzen kann.
Und da war es dann halt cool, dass wir
dann angefangen haben, verstärkt Deep
Links zum Portal mit reinzunehmen,
dass dann der Absprung dazu da ist.
Also, wie gesagt, da
keine falsche Scheu haben.
Es gibt viele Arten wie man zu einem
Community-Projekt beitragen kann.
Und da gab es ja sehr, sehr
unterschiedliche Arten und Weisen, wie
das Leute aus der Community gemacht haben.
Das heißt aber auch, um jetzt eigene
Tests zu schreiben, an der Community
teilzunehmen, angenommen Michael und ich
sagen jetzt, Mensch, coole Geschichte,
wir nehmen uns jetzt mal den Blog Teams
vor und machen dort quasi eine Validierung
Werden dann relativ schnell feststellen,
okay, Microsoft Teams, Graph API, eher so
mäßige Unterstützung, hätte ich gesagt,
gehen wir besser auf die PowerShell.
Würde das auch funktionieren,
also dass wir die Tests rein mit
PowerShell-Commandlets schreiben würden
und dann das Ergebnis präsentieren
oder sind wir auf Graph API angewiesen?
So machen wir es wie gesagt
bei dem Exchange auch.
Auch da ist jetzt der native
Graph-Anteil noch etwas geringer
von dem her nutzen wir da auch die
korrekt.
Vielen
sowas ist auch natürlich eine
super Idee, zu sagen, hey, hier
Teams fehlt irgendwie noch voll.
Und da ist ja auch so die eine oder andere
Einstellung habe ich mittlerweile gehört,
die vielleicht notwendig ist, um so ein
paar Sachen sauber zu konfigurieren.
Und ja, also gerne Auch wenn man solche
Ideen hat, aber vielleicht noch nicht
so ganz weiß wie es losgehen kann also
Thomas und ich und auch Meryl und auch
viele andere in der Community sind da
super gern bereit auch nochmal irgendwie
einen Startschuss zu geben zu gucken,
dass man da zusammen vielleicht mal die
ersten zwei Tests durchspielt um dann
einfach hier in Flow zu kommen, wo wir
eben auch andere Leute dazu ermächtigen,
selber solche Tests zu schreiben,
weil am Ende wir kennen eben unseren
Themenbereich gut, aber ihr habt andere
Themenbereiche, die ihr viel, viel viel
besser kennt, wo ihr viel, viel mehr
Know-how drin habt und da brauchen wir
einfach die Community, die da unterstützt.
Mega, sehr cool.
Zum Beispiel in Form einer
Teams-Notification in Slack.
Ja, ich habe es verstanden, Thomas.
Ich mache mich gleich ran.
Ja,
Dank.
ja bald Wochenende.
Ja, ja, genau.
Sehr schön.
Ja, wie geht es weiter mit MESTA?
Also, Test ist das eine, gibt
es irgendwie andere Pläne?
Könnt aus dem Nähkästchen
plaudern Gibt es irgendwie was?
ihr schon sagen, wenn ihr
das Pricetag dran macht?
Also ein zähres Ziel.
Messe ist dein Copilot.
Er steuert den Copilot.
Nein also ich glaube, wir wollen
aktuell gucken, dass es eigentlich
in eine einfach mal saubere und
gut getestete Variante kommt.
Wir sind absichtlich noch
auf einer Null-Punkt-Version
unterwegs, weil wir einfach noch
schauen, wie wir das hinkriegen.
Gleichzeitig merken wir, je
mehr wir eigentlich in dieses
Kernmodul aufnehmen, desto...
Ich will es jetzt nicht sagen aufgeplayt
das ist vielleicht das falsche Wort, aber
desto komplexer wird es nachher, dieses
Modul irgendwann noch zu verstehen.
Deswegen gab es schon die ersten Ideen
ob man es nicht vielleicht schafft,
da eine Art Community-Marketplace
zu schaffen, wo nachher eben das
eher so über kleine Plugins läuft.
Da sind wir noch sehr am Anfang und
die letzten Monate auch nicht wirklich
sehr weit gekommen mit, aber das ist
auf jeden Fall eine Idee, wo wir im
Hinterkopf haben, um zu sagen, wir können
vielleicht hier solche Sachen dann eben
ein bisschen aufsplitten und man kann
später einfach sagen, hey, ich habe das
Kernmodul, installiere mir hier noch
Elska, installiere mir hier noch das Teams
Message Plugin von Thorsten, den Teams
Check von Michael und dann los geht's.
Ja, sehr cool.
Ja, man darf halt auch nicht vergessen,
umso mehr Checks halt drin sind,
umso länger dauert es halt in der
Standard-Config Jetzt ist es ja
mega schnell, also schneller kann
man eigentlich nicht ein Review
von Tendent-Settings und CA machen.
Aber wir sehen selbst auch, ich habe
jetzt aktuell einen Check, den ich für
Conditional Access schreibe, der doch
ein wenig länger dauert weil er ziemlich
viele Objekte durchiteriert und dann
ist schon die Frage, das wäre so ein
Ding, so ein optionaler Check, den man
gerne so dazu buchen würde, aber dann
halt auch weiß, was der Grund ist,
weshalb jetzt die Checks nicht mehr in
90 Sekunden durch sind, sondern dann halt
vielleicht ein bisschen länger dauert.
Auch das vielleicht nochmal kurz für
unsere Zuhörer weil wir ja im Security
und so nicht unterwegs sind so häufig.
Für Michael und für euch ist es, auch
für mich ist es normal, Conditional
Access bedeutet eben, dass ich
Zugriff auf meinen Tenant bekomme
unter bestimmten Voraussetzungen.
Aber tatsächlich ist es eben so, dass
nach wie vor sehr viele Tenants unterwegs
sind da draußen, obwohl es mittlerweile
in jeder Lizenz mit dabei ist und auch
Microsoft ja Vorgaben macht, diese
Microsoft Basic Templates bla bla bla,
dass MFA und Conditional Access, der
ganze Kram kaum in Verwendung ist.
Ich kann mich erinnern, dass die
Martina Grohm beim Infinity dieses
Jahr meinte, dass sie, ich weiß nicht
mehr genau, aber ich glaube irgendwie
um 60, 70 Prozent irgendwie überhaupt
gar nicht in Nutzung sind der Tenants
die das gar nicht aktiv haben.
Also, es wird ja jetzt, kommt ja mehr
und mehr jetzt, weil Microsoft auch das
forciert für die Admin-Accounts aber
wenn wir auf die reine User-Perspektive
gehen, ist es nach wie vor eben, ja,
Leider sehr gering.
Aber für alle, die das Portal nutzen
wollen, also Admin Azure.com und auch die
Verwandten die Entra-Teams würde es sich
jetzt nochmal die nächsten, ich glaube,
sechs Tage lohnen irgendwie mal schon mal
MFA zu registrieren und zu testen weil
Microsoft macht jetzt wirklich ernst und
wird anfangen, MFA verpflichtend zu machen
Auf jeden Fall eben für diese Portale.
Das ist ein erster sehr guter Schritt,
den Microsoft jetzt hier geht, den
sie mit den Security Defaults im
Free-Bereich schon eine Weile machen.
Ja, leider ist einfach in vielen
Bereichen das noch nicht sehr weit
verbreitet und gleichzeitig sehen wir
aber in unserer täglichen Arbeit auch,
dass das natürlich ein Einfallstor ist,
über das Angreifer gerne reinkommen
und das sehr gerne nutzen, wenn
sie kein MFA noch als Hürde haben.
Aber die Checks sind auch für alle
was, also nicht nur die jetzt bisher
wenig adoptiert haben Conditional
Access, sondern man darf sich auch
nicht in falscher Sicherheit wägen.
Es gibt durchaus auch Admins die sehr
komplexe Conditional Access Regelsätze mal
gebaut haben und vielleicht den überblick
auch verloren haben wir eigentlich das
ganze wirklich greift und es ist halt
auch ein sicherheitsansatz das immer
wieder kritisch zu hinterfragen habe
ich eigentlich mir gerade irgendwie
loch eingebohrt weil am anfang sieht das
alles super aus wie ich meine richtlinien
designe und dann kommt dann halt wie immer
die marketingabteilung oder der ceo mit
seinem macbook und wie gesagt einfach
auch noch mal das ganze zu sagen Ich mache
meinen Mestertag und dann wird halt auch
mal kritisch über die Settings drüber
geschaut und hat sich auch was geändert.
Also auch diese Vergleiche
dann durchaus mal zu sehen, ist
glaube ich was für jedermann
Das ist auch ein super Beispiel für
einen tollen Check, der aus der Community
kommt, wo wirklich in den Conditional
Access-Einstellungen geprüft wird,
hey, Michael hat hier eine Ausnahme,
ist er denn aber wenigstens irgendwo
anders wieder aufgenommen worden?
Also gibt es einen Fallback, der irgendwie
diesen User oder diese Gruppe abfängt?
Mega tolle Contribution hier und ja
Cool.
alle was dabei.
Ja
Sehr cool.
So, ich glaube, ihr habt
ein wunderbares Tool gebaut.
Also ich bin begeistert von der initialen
Idee, als das veröffentlicht wurde, als
das so durch meine Timeline gerauscht ist.
Da habe ich halt auch gedacht, okay, ja,
aber da ist definitiv ein Preistag dran.
So was kostenfrei zur Verfügung
zu haben als Community-Projekt,
das ist sehr, sehr cool.
Vielen Dank euch und auch den
anderen Community-Teilen, die
nicht hier mit dabei sind.
Vielen Dank Ähm ich...
Wie ich schon gesagt habe, packen
den Link für die Webseite nochmal in
die Shownotes Das Beispiel, deutsche
Sprache schwere Sprache, ich kann
weder Englisch noch Deutsch, das ist
eine gute Situation für einen Podcast.
Das von Tony Redmond, wo beschrieben wird,
auch nochmal, wie man ein Testcase bauen
kann, wenn ihr nicht Schon Test Cases
findet, die auf eure Bedürfnisse passen
und schaut gerne in der Community mit
bei, dass ihr das erweitern könnt und auch
einfach nur die Ideen mit dazu steuern.
Ich möchte noch ein
bisschen Werbung machen.
Ich habe ja gesagt, Community Rocktober.
Wir haben nächste Woche ein spannendes
Interview mit Tanja rund um Viva.
Das wird nächste Woche live gehen
und in zwei Wochen werden wir...
Leider Gottes für alle, die es nicht mehr
hören können, uns mit Copilot beschäftigen
und haben dort Pascal Brunner mit bei uns
und werden mit ihm über Copilot sprechen,
Anwendungsfälle und ich bin mir sicher,
wir werden auch nochmal ein bisschen
mehr Details rund um diese neuen Dinger,
Agents die live sind, Pages, dieses
Gedöns halt uns ein bisschen anschauen.
Ja, und...
Vielen
der kommt, der kommt.
Sonst sind wir nämlich mit diesen
Security und Compliance-Themen, die wir
mit Raphael besprochen haben, rund um
Copilot, schon wieder so outdated, dass
da ist ja auch so viel Bewegung drin.
Also freut euch auf die nächsten Wochen.
Wir haben ein volles Programm.
Aber für heute sage ich erstmal
herzlichen, herzlichsten
Dank Fabian und Thomas.
Sehr gerne.
Sehr sehr cool.
wir da sein durften.
Sehr gerne Es freut uns,
dass es geklappt hat.
Und damit würde ich sagen, teilt
das gerne mit all jenen die immer
schon gucken wollten, ob ihr Tenant
tatsächlich sicher ist und nicht einfach
nur hoffen, dass sie jeden Tag gut
über die Bühne kriegen ohne Angriff.
Und natürlich mit Hund Katze Maus Oma Opa,
Onkel, Tante und damit bis nächste Woche.
Ciao.