Destacada

End to Basic Authentication MS365

In a few days the basic authentication mode (which could be forced through the portal) will be unavailable. To allow e.g. mail sending from pop3,imap powershell. The advanced authentication mode OAuth2 must be used.

Quick setup of modern authentication

Step 1, create app Azure

Create an application in Microsoft Azure

https://portal.azure.com/#view/Microsoft_AAD_RegisteredApps/CreateApplicationBlade/quickStartType~/null/isMSAApp~/false

Create a name for identification

Once the application is created. Save the following values (we will need them later)

Step 2, Add permission APP

Once the application is created. In the left menu we choose «API permissions» and add permision «Office 365 Exchange Online» – «Applications permisions» – IMAP AccessAsApp

Do not forget to «Grant admin to consent«

Step 3, Add secret key

We must create a secret key, which we will use in the future in our applications that will send mail. Copy the value of the key (only available on creation) and save it

The previous steps allow us to have an application with its permissions and secret key, for sending mail (in this example imap) from any application.

Step 4, add permission account

In this step, we will assign the necessary permissions so that only one account can make use of the application and send mail. To generate the permissions, we need 2 prerequisites module powershell azure, and module exchangeonline

Installation of powershell modules:

Install-Module azureadpreview

Install-Module -Name ExchangeOnlineManagement

Once installed, we connect to our azure

connect-azuread -TenantId bd927bbe-697a-427c-99f1-fedc74ffde18

we validate our application andstore the properties in a variable

Get-AzureADServicePrincipal -SearchString «Imap OAUTH»

$APPIMAP= Get-AzureADServicePrincipal -SearchString «Imap OAUTH»

We connect to exchangeonline

connect-exchangeonline

We create a new service associated with our application

New-ServicePrincipal -AppId $APPIMAP.appid -ServiceId $APPIMAP.objectid -DisplayName «Service IMAP»

And we add the permission for a previously created account

add-mailboxpermission -identity appimap@contoso.com -user $APPIMAP.objectid -accessrights fullaccess

Step 5, Test

To quickly validate our application and mailing. We will make use of a powershell previously created

https://github.com/DanijelkMSFT/ThisandThat/blob/main/Get-IMAPAccessToken.ps1

The required parameters are the 3 previously saved values. TenantID – ClientID – Secretkey

.\Get-IMAPAccessToken.ps1 -tenantID «b236e9b0-cb9d-4345-9fa6-1ec7dbbe7b6d» -clientId «15af54a3-1b39-4b09-911a-61668aa61dc2» -clientsecret «6tJ8Q~lBF6VZZx4vmRUj-4jv15r-5e8p9bhJSbte» -targetMailbox «appimap@contoso.com» -Verbose

If there are no errors. We will have a successful exit

Recovery Items full

Muchas veces al enviar un correo al un destinatario, nos llega el mensaje «cuota al maximo». Esto ocurre porque la carpeta «recovery items» esta con mas de 100GB. El siguiente script, permite crear una nueva regla de retencion, la cual deja en 1 dia. Activa el archive del buzon y permite mover los elementos de la carpeta «recovery items» hacia el archive. Adicional realizar una mantención y borrado de los elementos de la carpeta recovery items.

https://github.com/Nuxi3s/MS365/blob/main/Recoveryitems-erase.ps1

Wazuh Installation Basic

After being away from the implantation site. I decided to go back to the applications that allow us to have a little more control of our assets.
In this opportunity the basic assembly of HIDS based on Wazuh.
The installation was done with Ubuntu Server 22.04 with the minimum installation option.

First step, update and install the prerequisites:

sudo apt update
sudo apt install vim curl apt-transport-https unzip wget libcap2-bin software-properties-common lsb-release gnupg2

In my case, create a folder called «wazuh» execute:

curl -sO https://packages.wazuh.com/4.3/wazuh-install.sh

Later and the most important part. I start the installation (good time to go for a coffee).

sudo bash ./wazuh-install.sh -a

Automatically, it will perform the whole process and will enable the admin user and password.

To access just enter via web with the IP of our server https://192.168.50.1 (only example)

Next steps (Coming soon) :

  • Install agents (linux, windows, mac, others)
  • Enable API, example Virustotal, Mitre, Office365
  • Create Dashboard
  • Create Reports
  • Create Alert / Monitor

Important resources

https://github.com/wazuh/wazuh/wiki/Proof-of-concept-guide#version

Compatibilidad Internet Explorer

Desde el Enero del 2023, Microsoft eliminara mediante un parche de seguridad, el programa Internet Explorer para Windows Server y Estaciones de trabajo.

Para evitar que algunos portales dejen de funcionar. Es necesario habilitar el modo compatibilidad IE en el explorador EDGE.

Para realizarlo de forma masiva a todos los equipos de la organizacion, realizaremos los siguientes pasos:

Descarga de ADMX

Desde el siguiente link descargamos el archivo .cab en nuestro equipo. Copiamos el archivo a nuestro controlador de dominio y extraemos su contenido. Dentro de la carpeta windows/admx encontraremos las plantillas para Microsoft Edge (a modo de ejemplo, se eliminaron los idiomas que no usaremos)

Este contenido, lo copiaremos en nuestro controlador de dominio C:\Windows\PolicyDefinitions para actualizar las plantillas. Ingresamos a nuestro administrador de politicas y creamos nuetra nueva GPO (en este ejemplo Compatibildiad IE11)

Editamos nuestra nueva GPO y configuramos el modo compatibilidad Configuración de usuario/Configuracióndel equipo >Plantillas>administrativas Microsoft Edge

Asignacion de sitios de compatibilidad

Para evitar que todos los sitios funciones en modo compatibildiad. Dejaremos un listado de sitios que usaran esta modalidad. En este caso nos iremos dentro de la misma GPO creada a la ruta Configuración del usuario/Configuración del equipo>Plantillas administrativas>Componentes de Windows>Internet Explorer, Usar la lista de sitios web de IE del Modo de empresa (los sitios deben estan previamente creados y exportados en formato xml por Enterprise Site List Manager

Habilitamos la configuracion, e indicamos la ruta donde se encuentra el archivo .xml previamente exportado

Cerramos la ventana de nuestra GPO y la asignamos a la OU donde alojan las cuentas y computadores del dominio

Intune en Linux

Al fin podemos decir que es posible controlar (no al 100%) pero si otorgar permisos de seguridad y acceso a todos los dispositivos usados habitualmente por los usuarios, Windows, Mac, IOS, Chrome OS y Linux.

Por el momento Intune para Linux, solo es soportado para versiones de Ubuntu 20 y 22. Pero como se ve en el repositorio oficial pronto estara para redhat.

Como instalamos Intune en Linux en 5 simples pasos (todo ejecutado directo en nuestro Ubuntu 22.04)

1.- Instalación de Microsoft EDGE https://www.microsoft.com/es-es/edge?form=MA13FJ en este caso en formato .deb

La instalación se puede hacer en modo grafico mediante el Software install

o a los amantes de las consolas por DPKG -i

2.- Repositorios Intune

Dependiendo de la version de Ubuntu que tengamos, procedemos a crear o generar el repositorio para instalar nuestro paquete de Intune. ¿Como ver la version? cat /etc/issue

Procedemos a instalar dependencias y firmar paquetes

  • sudo apt install curl gpg
  • $ curl https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > microsoft.gpg
  • $ sudo install -o root -g root -m 644 microsoft.gpg /usr/share/keyrings/
  • $ sudo sh -c 'echo "deb [arch=amd64 signed-by=/usr/share/keyrings/microsoft.gpg] https://packages.microsoft.com/ubuntu/22.04/prod jammy main" > /etc/apt/sources.list.d/microsoft-ubuntu-jammy-prod.list'
  • sudo rm microsoft.gpg

Y procedemos a instalar el paquete de Intune. Primero actualizamos el repositorio

sudo apt update

e instalamos

sudo apt install intune-portal

Reiniciamos el equipo

3.- Registro de Equipo

Al igual que cualquier dispositivo, abriremos el portal o el aplicativo de Intune e ingresaremos con las credenciales dele dominio

Lo mas probable les arroje un error de no cumplimiento, debido que pueden tener reglas antes activas y el refresco de las mismas no es inmediato. En este caso pueden ir al portal de intune y verificar el estado de la estacion.

Fin de IE11 Escritorio

INCIDENCIA

La aplicación internet explorer 11 para escritorio, dejara de estar funcional y disponible desde Febrero del año 2023. Esto se hara efectivo luego de la aplicación de un parche de seguridad que será lanzado la misma fecha, el cual inhabilitara el uso del aplicativo.

Cabe destacar que IE11 fue retirado el día 15 de junio del 2022, para dar paso a su nuevo explirador EDGE.

MITIGACIÓN

Como medida de mitigación para las estaciones de trabajo y servidores. Es verificar e instalar el nuevo explorador EDGE.

La instalación se puede realizar vía GPO (en caso el equipo pertenezca a un dominio active directory) o de forma manual por cada equipo.

Link de descarga :

https://www.microsoft.com/es-es/edge/business/download?form=MA13FJ

fuente

MC450856 – IE11 desktop app will be permanently disabled as part of the February 2023 Windows security update (“B”) release | cloudscout.one

Diseña un sitio como este con WordPress.com
Comenzar