lunes, 27 de febrero de 2023

Planificación y características avanzadas Azure AD APP Proxy

 Hola, 

A través de este artículo, voy a recopilar toda la información importante a tener en cuenta sobre el conector y escenario a construir con Azure AD Application Proxy.


Planificación e instalación

  • Requisito en cuanto a licenciamiento Azure AD P1
  • Requisito de entorno entorno AD sincronizado a través de AD Connect.
  • Windows Server 2012 R2 o superior
  • En cuanto a requisito de capacidades en el sevidor, tenéis aquí el capacity planner:
  • El conector, se puede instalar en un servidor en Workgroup. No obstante, si queremos tener Single Sign On, tenemos que tener el equipo en dominio con el fin de poder hacer Kerberos Constrained Delegation.
  • Comando para desplegar el conector de forma silenciosa: AADApplicationProxyConnectorInstaller.exe REGISTERCONNECTOR="false" /q
    • Comando para registrar el conector de forma silenciosa: 
    • $User = "<username>"
    • $PlainPassword = '<password>'
    • $SecurePassword = $PlainPassword | ConvertTo-SecureString -AsPlainText -Force
    • $cred = New-Object –TypeName System.Management.Automation.PSCredential –ArgumentList $User, $SecurePassword
    • .\RegisterConnector.ps1 -modulePath "C:\Program Files\Microsoft AAD App Proxy Connector\Modules\" -moduleName "AppProxyPSModule" -Authenticationmode Credentials -Usercredentials $cred -Feature ApplicationProxy
  • El servidor puede estar en un dominio que tenga relación de confianza con otro e incluso con solo acceso a un Read Only Domain Controller.
  • Es importante instalar Azure AD APP proxy procurando una muy buena comunicación con las aplicaciones internas que publicará (Network topology considerations for Azure Active Directory Application Proxy - Microsoft Entra | Microsoft Learn)
  • No instales Azure AD App proxy en el mismo servidor que hayas instalado Azure AD Password Protection
  • Las identidades que vayan a validarse localmente y las que vayan a validarse en cloud, han de estar sincronizadas vía AD Connect.
  • En Windows Server 2019, tras la instalación de Azure APP proxy has de lanzar estos comandos: 
    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]  "EnableDefaultHTTP2"=dword:00000000
    • Set-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\' -Name EnableDefaultHTTP2 -Value 0
  • TLS 1.2 ha de estar habilitado en el servidor, previamente a la instalación de Azure AD Application proxy: 
    • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
    • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
    • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
    • reiniciar el servidor.
  • Azure AD App Proxy connector, necesita conectividad a internet:
  • Instala más de un Azure AD App Proxy en tu entorno para proveer al sistema de HA y englóbalos en un grupo. Publish apps on separate networks via connector groups - Azure Active Directory - Microsoft Entra | Microsoft Learn
    • Trata de publicar cada Azure AD App Proxy Connector detrás de una salida a internet distinta para evitar un punto de fallo
    • Cada conector está limitado a 200 salidas concurrentes






  • En línea también con la hibridación con servicios Azure, podemos publicar nuestra app a través de Azure Waf: 


Mantenimiento y Remediación



En próximas entradas, hablaremos sobre la validación SSO.

lunes, 20 de febrero de 2023

Publicación de url interna a tavés de Azure AD Application Proxy

 

Hola, 

De forma muy básica, pero muy efectiva, os voy a enseñar como publicar una web no SSL (http://) que podríamos llamar Antigua y que en este caso además, no cuenta ni con validación de usuario, a través de Azure Ad Application proxy, publicando esta web en el portal de Myapps e incluso con una URL directa, que nos pedirá validación de usuarios Azure AD previo a mostrar la página. 

La página en cuestión es esta:




Para publicar esta web, en primer lugar, nos descargaremos el software de Azure AD App Proxy y lo instalaremos en un servidor con acceso a internet, que nos valdrá de Proxy inverso. De hecho es aconsejable instalar el complemento en dos servidores para dotar al servicio de publicación de alta disponibilidad. 

Como curiosidad, destacar algo evidente en cuanto a seguridad. El servidor con el complemento Azure AD APP proxy, no tiene que tener puerto alguno abierto. El servidor con la web, tampoco ha de tener ningún puerto abierto desde internet.

Instalación de complemento:




Tras instalar el paquete y tener ya nuestro servidor APP Proxy.  Nos queda dar de alta la aplicación, generando un nombre público e indicando a Azure AD, la url interna de la web:


Comprobaremos que la web está creada como APP registrada y la podemos ver también en Aplicaciones empresariales de Azure AD:




Nos quedará ahora, solamente asociar a los usuarios que pueden tener acceso a ella:





Y ahora solo nos queda visitar la URL Pública:


y aquí podéis ver, como no tengo publicado el puerto 443 ni 80, del servidor que tiene la Web:




viernes, 17 de febrero de 2023

Control de la sesión de escritorio y aplicaciones Saas

 

Hola, 

Reconozco que este post iba a ser una simple entrada sobre una funcionalidad que hoy he explicado a un cliente pero finalmente, como me está pasando en todo últimamente, termina siendo una explicación de una evolución bastante sorprendente y a mi juicio, interesante. 

El tema que voy a tratar, ha surgido a raíz de una auditoría realizada sobre sistemas, donde por supuesto, hemos tratado los cierres de sesión y salvapantallas y aunque sobre este tema, poco os tengo que decir ya a estas alturas, hay ciertas novedades y evolución que me he decidido a exponer.

Evolución del bloqueo de escritorio

La evolución que ha surgido hoy en la conversación, ha sido a raíz del bloqueo de sesión por distancia del móvil enlazado por Bluethoot. Sí, efectivamente,  tu sistema operativo Windows soporta esto.




Y aunque es muy probable que solo encuentres las opciones habituales en la gpo, es probable que hayas deducido que actualizando los ADMX de tus controladores de dominio, si estos son antiguos, y añadiendo los archivos que te harán ver las GPOs para Windows 10, podrás activar y forzar esta opción, aunque es muy pobable, que si ya tienes tu móvil enlazado con tu equipo, estés actualmente bloqueando tu equipo al separarte de él, llevando el móvil en tu bolsillo.







Sesión en navegación de aplicaciones Asociadas a AD

Por otro lado, desde la aparición y proliferación de aplicaciones Saas que se presentan a través de navegador web y ya sabiendo a estas alturas de la nueva vida tecnológica, que lo suyo es centralizar el inicio de sesión de aplicaciones multi cloud en nuestro Azure AD, tenemos que tener en cuenta también el cierre de sesión en estas aplicaciones.

Para tener esto bien controlado, tenéis dos opciones dentro de Azure AD.

1. Por un lado y por defecto, estamos ofreciendo a los usuarios, mantener la sesión iniciada en el navegador y el equipo donde estamos realizando en ese momento el Login.

Esta opción la tenéis marcada en Yes, por defecto en la ruta : Azure AD \ Users Settings \ Show keep user Signed In



2. En cuanto a la sesión abierta, a mi me gusta añadir al dominio la validación kerberos en aplicaciones web ligadas a Azure AD, para equipos en escenario hybrid, que podéis ver aquí: https://learn.microsoft.com/en-us/windows-365/enterprise/identity-authentication#single-sign-on-sso

3. Por otro lado, también podéis tener single sign on con la identidad validada en web, en aplicaciones on premise publicadas con Azure AD Application Proxy: Inicio de sesión único (SSO) basado en Kerberos en Azure Active Directory con Application Proxy - Microsoft Entra | Microsoft Learn
      

4. Y en lo relativo al cierre de sesión y validación durante ella, os pongo a continuación un organigrama que explica el proceso de validación de usuarios. 



5. Cierre de sesión

    - El cierre de sesión, lo podemos controlar vía Acceso condicional, pudiendo condicionar el cierre en todas o aplicaciones seleccionadas,  tras un tiempo, según la ubicación, tipo de dispositivo y/o escenario de riesgo del usuario.



https://learn.microsoft.com/en-us/azure/active-directory/conditional-access/howto-conditional-access-session-lifetime#policy-1-sign-in-frequency-control




lunes, 6 de febrero de 2023

miércoles, 1 de febrero de 2023

Azure AD - Zero Trust Identidad

 

Hola, 

Siguiendo en la línea de tratar de resumir desde diferentes fuentes y convertir, la aplicación de diferentes escenarios Zero Trust en la consecución de hitos concretos, os enlazo la plantilla relacionada con el plataformado seguro de la identidad en directorios Microsoft.

A través de esta guía, conseguirás: 

  • Asegurar que quien se valida es quien dice ser
  • Trabajar con mínimos privilegios
  • Disponer de los privilegios solo cuando son necesarios
  • Alertar acceso no habitual para la identidad en cuestión

ZerotrustidentidadAzureAD