Wij gebruiken cookies. Akkoord
Microsoft Ignite 2018 Dag 3

Microsoft Ignite 2018 dag 3: Het nieuws blijft binnenstromen!

27 september 2018 door Remco van Noorloos

Wie kent zaagmans niet? Ook hier in Orlando is hij langs geweest waardoor nog maar anderhalve dag resteert van Ignite 2018. Uit de enorme bak aan sessies blijft het puzzelen om tot een selectie te komen. Uit die sessies komt vervolgens ook weer een enorme bak aan informatie. Wanneer je even uitzoomt schrik je toch wel even van de enorme hoeveelheid informatie die tijdens een Ignite dag op je afkomt. Microsoft is op zoveel fronten tegelijk aan het ontwikkelen waardoor het bijna een dagtaak is om deze ontwikkelingen bij te houden. Ignite is hierin een mooi moment om met 100% focus deze ontwikkelingen aan te horen en in perspectief te plaatsen.

Tijdens deze woensdag heb ik na het ontbijt dat onderdeel is van Ignite weer een aantal sessies gevolgd. Dat security een grote rol speelt in de ontwikkelingen van Microsoft blijkt ook uit de sessies die ik bij heb gewoond.

Microsoft Information Protection
De aanleiding van het ontstaan van de behoefte aan meer geavanceerde beveiligingsmiddelen is eigenlijk de verschuiving van de security boundary. Waar dit van oudsher de firewall in de patchkast was, is dit nu verschoven naar een boundary die minder goed aan te duiden is. Alle data is overal vandaag benaderbaar wat ook impact heeft op de security vereisten.

Microsoft Information Protection (MIP) gebruikt de zogenaamde Intelligent Security Graph. Deze graph bestaat uit allerlei signalen, events en berichten op basis waarvan voorspellingen uitgevoerd kan worden middels Machine Learning.

Defender ATP: veel meer dan antivirus
Windows Defender Advanced Threat Protection (ATP) maakt onderdeel uit van MIP en is crossplatform. Dit betekent in deze niet dat je hier alleen af kunt met ATP wat betreft macOS, Android en iOS. Hiervoor heb je tooling van andere Microsoft partners nodig.

Waar Windows Defender voorheen bekend was om zijn antivirus gaat Defender ATP véél verder dan dat. Een beschrijving hiervan gaat voor dit blog wat te ver; ik wil in deze blog enkel wat nieuwtjes toelichten die zijn aangekondigd.

Gedragsherkenning
De Edge browser heeft ondersteuning voor hardware isolation. Dit betekent dat websites in een virtuele machine geladen worden waardoor mogelijke kwaadaardigheden geen impact hebben op de gehele Windows omgeving. Voor de Chrome browser wordt dit nog niet ondersteund. Hiervoor heeft Microsoft wel een extensie gemaakt waarmee vanuit Chrome een hardware isolated Edge venster geopend kan worden voor een specifieke website.

De gehele antivirus detectie heeft Microsoft omgebouwd van zogenaamde ‘signature herkenning’ naar ‘gedragsherkenning’. Hierdoor kunnen bedreigingen 30% sneller gedetecteerd worden dan dat concurrenten van Microsoft dit kunnen.

Holistische weergave van bedreigingen
Ook is er een integratie tussen Defender ATP en Office 365 ATP beschikbaar. Hierdoor is een holistische weergave van bedreigingen mogelijk waarbij het voorbeeld gegeven werd van een e-mailbericht met kwaadaardige bijlage die lokaal geopend werd. Vanuit O365 ATP worden binnen het portal de details van het e-mailbericht getoond en vanuit Defender ATP de verdere uitvoer van de bijlage. Gegevens uit Defender ATP kunnen ook gerapporteerd worden in Power BI en informatie blijft tot 6 maanden bewaard.

Documenten van classificatie voorzien
Azure Information Protection (AIP) maakt onderdeel uit van MIP en moet zorg dragen voor een viertal aspecten: Content Discovery, Labeling en Classificatie, Encryptie en Beveiliging, en Tracking en Monitoring.

Via AIP kun je dus documenten van een classificatie voorzien. Mooier nog is dat je deze classificatie ook automatisch kunt laten toepassen door middel van intelligente detectie van bepaalde steekwoorden of patronen in een document. AIP zal crossplatform ondersteund gaan worden waardoor ook op Mac, iOS en Android van de functionaliteiten van AIP gebruik gemaakt kan worden.

De AIP Scanner kun je gebruiken om een scan uit te voeren op on-premise netwerkschijven, SharePoint servers of op andere bestanden en mappen om te controleren of er gevoelige informatie opgeslagen is. AIP Scanner is een executable die je binnen je eigen omgeving kan starten om op die manier zo’n scan te starten. Middels rapportages kun je vervolgens inzicht krijgen in de scanresultaten.

E-mailberichten derde partij
Daarnaast is het mogelijk om e-mailberichten te beveiligen die uitgewisseld met een derde partij. Het bericht wordt dan feitelijk versleuteld en kan alleen door de daadwerkelijk geadresseerden geopend en gelezen worden. Wanneer deze derde partij geen Exchange Online gebruikt ziet de ontvanger een e-mailbericht met daarin een link om de e-mail in een specifiek website te openen. Op deze manier kan er nog steeds gebruik gemaakt worden van de mogelijkheden van AIP zonder dat de ontvanger hier ook gebruik van hoeft te maken. Het werkt uiteraard het beste op het moment dat zowel de verzender als de ontvanger over dezelfde tools beschikt. Dit is dan het meest transparant richting een eindgebruiker en voorkomt verwarring.

Preview Data Discovery dashboard
Binnen Azure is nu ook een preview beschikbaar van het Data Discovery dashboard. Dit dashboard beschikt over een aantal rapportages om na te gaan wat het gebruik van AIP is. Op deze manier kan nagegaan worden of het geconfigureerde beleid werkt en kan deze configuratie gefinetuned worden op basis van de bevindingen uit deze rapportage.

Aankondiging Adobe integratie van AIP
Verder zal de samenwerking tussen Adobe en Microsoft hier ook zijn vruchten af gaan werpen. Adobe heeft aangekondigd integratie van AIP te gaan toepassen in haar producten waardoor via AIP beveiligde documenten ook zonder omwegen in Adobe applicaties geopend kunnen worden.

Tijdens deze sessie kreeg Walmart ook nog wat spreektijd. Zij hebben een traject achter de rug waarbij ze AIP geïmplementeerd hebben en konden een behoorlijk aantal tips & tricks delen die goed zijn om in het achterhoofd te houden bij zo’n implementatie.

Datalekken voorkomen
Azure Information Protection is voor klanten van Proxsys een erg relevante dienst. De mogelijkheden die AIP biedt waarmee datalekken voorkomen kunnen worden zijn erg actueel. De gebruiksvriendelijkheid die AIP biedt om met weinig poespas documentclassificatie toe te passen op een manier die voor een eindgebruiker ook nog te begrijpen is geeft aan dat het nu de tijd is om over dit soort oplossingen na te denken.

Mobile Device Management in combinatie met Windows 10
De sessie over Intune in combinatie met Windows 10 werd in een megagrote zaal gegeven. Keer op keer blijf ik me verwonderen over de gigantische hoeveelheid mensen die allemaal met dezelfde ontwikkelingen bezig zijn.

Waar het bij het gebruik van Intune, of MDM in het algemeen, vaak over gaat is het verschil in configuratiemogelijkheden tussen Intune policies en group policies. Tijdens deze sessie werden wat interessante getallen gedeeld rondom de ‘group policy parity’. Hieruit blijkt dat bij ongeveer de helft van de omgevingen Intune nog tekort schiet wat betreft de instellingen die in de group policies gebruikt worden. Verder werd door Microsoft aangegeven dat bij de implementatie van nieuwe instellingen in Intune de focus niet op kwantiteit ligt maar op kwaliteit. Zo zal er dus nooit een 100% fulfillment komen van features uit group policies naar Intune.

Aanbevolen instellingen
Microsoft publiceert daarnaast bij iedere versie van Windows 10 een security baseline met daarin aanbevolen instellingen op het gebied van beveiliging. Hierin staan ook de bijbehorende instellingen die in een group policy aangepast moeten worden om een bepaalde beveiligingsinstelling te forceren. Vanaf de eerstvolgende Windows 10 build zullen deze instellingen ook voor Intune vastgelegd gaan worden. Daarbij komt er in Intune de mogelijkheid om de security baseline te spiegelen met de huidige inrichting. Hierbij kunnen ook direct de bijbehorende instellingen doorgevoerd worden.

Met betrekking tot het vergelijk tussen group policies en Intune policies heeft Microsoft een tool uitgebracht, MDM Migration Analysis Tool (MMAT), waarmee de huidige group policies geïnventariseerd kunnen worden. De tool zal vervolgens per instellingen aangeven of deze via Intune te configureren is.

Eenvoudiger app’s uitrollen
Verder heeft Microsoft aangekondigd ondersteuning te gaan bieden voor het uitrollen van executable en multi-file MSI’s met transform files. Met de komst van deze features wordt een groot gat ingevuld waardoor het een stuk eenvoudiger wordt om apps uit te rollen via Intune.

Intune update
Met het oog op de moderne werkplek die Proxsys ondertussen ook levert aan haar klanten is het erg relevant om op de hoogte te blijven van updates op het gebied van Intune. Intune is de primaire tool waarmee beleidsinstellingen op beheerde apparaten toegepast kunnen worden. De hulpmiddelen die Microsoft aanreikt om te kunnen bepalen of een overstap van group policies naar Intune mogelijk is, is daarbij een erg welkome aanvulling. Waarbij op dit moment vaak vanuit onderbuik wordt gesteld dat Intune nog niet compleet genoeg is kan dit door middel van de geboden tooling op basis van feiten vastgesteld worden.

Microsoft Managed Desktop: hardware huren
Een nieuwe dienst die Microsoft tijdens Ignite heeft aangekondigd is de Microsoft Managed Desktop (MMD). Dit is eigenlijk een volledig door Microsoft beheerde dienst waarbij je per gebruiker per maand hardware huurt voor een periode van 2 of 3 jaar met daarop een Windows 10 installatie en Office ProPlus. Daarnaast biedt Microsoft hier 24x7 end-user support bij.

Devices zullen middels AutoPilot enrolled worden op de tenant van de klant en zijn voorzien van Windows 10 Enterprise. Gebruikers zijn geen lokale beheerders waardoor zij geen eigen applicaties kunnen installeren. De enige mogelijkheden die er zijn, zijn applicaties vanuit de Windows Store of applicaties die via Intune gepushed worden.

Het huidige portfolio aan devices omvat de volledige Microsoft Surface serie. Daarnaast is Microsoft in gesprek met OEM’s om andere devices aan de line-up toe te voegen.

Verder zit ook de Windows Virtual Desktop in de dienst erbij en kan er ook gebruik gemaakt worden van diensten zoals Intune, Defender ATP, Defender Application Control, MFA, Exploit Guard, Azure Information Protection en Credential Guard. De dienst is op dit moment alleen nog beschikbaar in de US, Canada, de UK, Australië en Nieuw-Zeeland. Halverwege 2019 is de verwachting dat er andere landen aan deze lijst toegevoegd worden.

Met het oog op ontzorging is dit een erg mooie aanvulling voor klanten waarbij zij zich geen zorgen meer hoeven te maken over aanschaf van nieuwe werkplekken en de eventuele vervanging hiervan. Het feit dat Microsoft de end-user support vervult is voor Proxsys een mogelijke uitdaging. Overigens is Proxsys zelf ook bezig met een soortgelijke dienst die minder beperkingen kent dan de huidige MMD van Microsoft.

Lees hier de bevindingen en tips van Erik Loef tijdens de Ignite dag 3.

Delen via

Altijd en overal Ongestoord en ongemerkt veilig werken

Proxsys werkt met deze partners