SamuelCampos.cl

Office 365 : ATP Simulador de ataques – Phishing Parte 1.

Dentro del licenciamiento de Advanced Threat Protection Plan2, existe la opción de simular algunos tipos de ataques con nuestros usuarios del tenant. En la actualidad podemos simular los siguientes ataques :

  • Phishing de objetivo definido (robo de credenciales).
    • Un ataque de phishing de objetivo definido es un intento dirigido de adquirir información confidencial, como nombres de usuario, contraseñas y datos de tarjeta de crédito, haciéndose pasar por una entidad de confianza. Este ataque utilizará una dirección URL para intentar obtener nombres de usuario y contraseñas.
  • Contraseña de fuerza bruta. (Ataque de diccionario).
    • Un diccionario de ataque de fuerza bruta es un método automatizado de prueba y error para generar varios intentos de contraseñas a partir de un archivo de diccionario contra una contraseña de usuario.
  • Ataque de difusión de contraseña.
    • Un ataque de difusión de contraseña es un intento de probar contraseñas utilizadas comúnmente en una lista de cuentas de usuario.

Para simular los ataques, debemos tener la licencia de ATP Plan 2, y el usuario administrador que ejecute o programe los ataques debe tener activa la autenticación de factor múltiple. En esta entrada vamos a simular un ataque de phishing par robo de identidad.

Una vez que contemos con los requisitos anteriores, abrimos una sesión de nuestro navegador y accedemos a https://protection.office.com y seleccionamos “Administración de amenazas” y luego “simulador de ataques” , luego en la ventana que se abrirá al costado derecho, seleccionamos “Iniciar ataque” dentro de la opción “Phishing de objetivo definido” para crear nuestro ataque.

Se nos presentara la configuración del ataque, en primera instancia debemos seleccionar una plantilla para nuestro ataque, para esta demostración usaremos la plantilla de “Actualización de nomina”, para hacer esto presionamos el botón “Usar plantilla” y seleccionamos “Actualización de nomina”. Podemos modificar el nombre sin problemas si así lo desean, en este caso lo dejaremos por defecto y damos clic en “Siguiente”.

En el siguiente paso, debemos configurar los usuarios a quienes les enviaremos el ataque, presionando el botón “Libreta de direcciones”. también podemos agregar usuarios desde un archivo CSV con la opción “Importación”. para este ejemplo usaremos la libreta de direcciones para agregar usuarios. Una vez seleccionados damos clic en siguiente.

Ahora, en este paso podemos personalizar algunos datos del correo que se le enviara a los usuarios. La idea es configurar con datos lo mas parecidos a los reales y damos clic en siguiente.

En esta pantalla, podemos modificar el cuerpo del correo electrónico. si seleccionamos una plantilla, damos clic en siguiente si todo esta en orden.

Una vez que ya tenemos configurado nuestro ataque, damos clic en “Finalizar”

Una vez que presionamos finalizar, se realiza el envío de los correos a los usuarios seleccionados.

Si el usuario, da clic en el botón para actualizar los datos, es llevado a un sitio web del mismo ataque para recopilar la información que entregue el usuario.

si el usuario ingresa sus datos, se le re enviara un sitio, que le avisara que formo parte de una prueba de phishing.

Posteriormente, como administrador, podemos ir al panel de control de simulador de ataques y seleccionar el reporte del mismo. para esto damos clic en “Detalles del ataque” dentro de “Phishing de objetivo definido”

Una vez dentro de los detalles, seleccionamos el ataque del cual queremos ver el informe, en este caso “Actualización de nomina”

Dentro del informe, podemos ver el reporte con los usuarios que hicieron clic en el correo, los que ingresaron las credenciales y los que no realizaron acciones en el mismo.

Con este ataque, podemos ver que usuarios son mas susceptibles a ser victimas de los ataques de Phishing y podemos realizar mas acciones sobre ellos.

Saludos
Samuel 🙂

Office 365 : Habilitar Advanced Threat Protection para SharePoint, OneDrive y Microsoft Teams.

¿Que es
ATP para SharePoint, OneDrive y Teams?

Office 365 ATP para SharePoint, OneDrive y Teams, es una nueva característica liberada por Microsoft para proteger nuestros sistemas de archivos maliciosos y perdida de información por causa de los mismos. Cuando un archivo malicioso es detectado, el archivo es bloqueado y de esta forma nadie puede abrir, copiar, mover, o compartir el mismo hasta que el equipo de seguridad o administración del tenant tome alguna acción.

¿ATP se incluye en todas las versiones de licenciamiento de Office 365? No, ATP solo se incluye en las siguientes licencias :

Office 365 Enterprise E5
Office 365 Education A5
Microsoft 365 Business

Pero también es posible agregarlo como adicional a las siguientes licencias.

  • Exchange Online Plan 1
  • Exchange Online Plan 2
  • Exchange Online Kiosk
  • Exchange Online Protection
  • Office 365 Business Essentials
  • Office 365 Business Premium
  • Office 365 Enterprise E1
  • Office 365 Enterprise E3
  • Office 365 Enterprise F1
  • Office 365 A1
  • Office 365 A3

¿Quien puede habilitar ATP para SharePoint, OneDrive y Teams? Cualquier administrador de nuestro tenant que tenga alguno de los siguientes roles.

Rol
Administrador Global de Office 365
Administrador de Seguridad
Administrador de la organización de Exchange Online

Habilitando
ATP para SharePoint, OneDrive y Teams

Para habilitar ATP para SharePoint, OneDrive y Teams debemos acceder al portal de Seguridad y Cumplimiento, ingresando a https://protection.office.com. Una vez en el portal, seleccionamos en el panel izquierdo, Administración de amenazas y luego Directiva.

Una vez dentro del menú “Directiva”, seleccionamos la tarjeta “Archivo adjuntos seguros de ATP”

y en la nueva ventana seleccionamos el check box “Activar ATP para SharePoint, OneDrive y Teams”y presionamos el botón guardar.

Entonces, con estos sencillos pasos ya hemos habilitado esta importante medida de seguridad para nuestros archivos.

Como siguiente paso recomendado por Microsoft, se debe ejecutar como Administrador Global o como Administrador de SharePoint Online, el siguiente comando, para prohibir la descarga de archivos detectados como maliciosos.

Para poder cargar los comandos PowerShell, debemos iniciar una sesión a SharePoint Online. En esta entrada, puedes encontrar como hacerlo.

Set-SpoTenant -DisallowInfectedFileDownload $true

Según lo indicado en la documentación , la distribución de este cambio, puede tomar mas de 30 minutos en estar disponible en el tenant.

Si una vez habilitado ATP, cargamos un archivo malicioso en SharePoint, se marcara con un escudo rojo con una X indicando que el archivo es peligroso.


De la misma forma, si compartimos un archivo malicioso en Microsoft Teams y un usuario intenta abrirlo, se le indicara que para proteger su equipo, las acciones de abrir, compartir y otros, fueron bloqueados para ese archivo.

Si seleccionamos, mirar estos archivos de Teams en SharePoint, los vemos marcados con el escudo rojo también.

Vista en Teams
Vista en Sharepoint

Configurar alertas para los archivos detectados.

Una vez que finalizamos la habilitación y configuración de ATP para SharePoint, OneDrive y Teams , es recomendado activar las alertas para los archivos detectados en cualquiera de los 3 servicios protegidos.
Para esto, en el mismo portal de Seguridad y cumplimiento, en el menú izquierdo, seleccionamos “Alertas”.

En la nueva alerta, comenzamos asignando un nombre, una descripción, el tipo de gravedad para alerta, y seleccionar la categoría de la misma y presionamos siguiente.

En la siguiente etapa, seleccionamos la actividad que disparara la alerta, en este caso, “Se ha detectado malware en archivo”

y luego seleccionamos como queremos que se active la alerta, y seleccionamos “Cada vez que una actividad coincide con la regla”, en este caso, cada vez que se detecte un malware en archivos de SharePoint o OneDrive. Damos clic en siguiente, para continuar.

Ahora en esta etapa configuramos a quien se le enviaran las notificación. Aquí se recomienda que se agreguen a los encargados de seguridad de nuestra organización, para que puedan tomar las acciones necesarias con el archivo y validar que el equipo de nuestro usuario no mantenga mas vulnerabilidades que afecten a la organización. También podemos seleccionar la cantidad de alertas diarias, en este caso, las dejaremos sin limites. Para continuar damos clic en siguiente.

para finalizar, revisamos la configuración y seleccionamos en que momento queremos activar la directiva. en este ejemplo, las habilitamos de inmediato y damos clic en finalizar.

Como resultado de la habilitación de la alerta, se enviara un correo al administrador o a quien hayamos definido notificar cuando existan archivos maliciosos.

Con estos pasos logramos activar ATP para SharePoint, OneDrive y Teams. En una nueva entrada, veremos como modificar las políticas y como revisar los archivos detectados como maliciosos en la cuarentena del portal de Seguridad y Cumplimiento.

Saludos.
Samuel 🙂

Exchange Online : Copiar todos los items desde un buzon A a un buzón B con New-mailboxSearch (Respaldo)

En algunos escenarios, me he visto en la obligación de mover el contenido completo de un buzón a otro, por temas de respaldo o cambio de casilla del usuarios, así que aquí lo documento por si ustedes se ven en la misma necesidad.

Una forma de lograr copiar todos los items, es usar una búsqueda con el comando New-MailboxSearch. En una proxima entrada veremos la forma de realizar el mismo procedimiento con el comando Mailbox-Search.

Antes de poder generar búsquedas con el comando New-MailboxSearch, debemos asignar los permisos para realizar busquedas de eDiscovery dentro de Exchange Online.

Asignar permisos E-Discovery

Para esto iniciamos sesión en el panel de Office 365 y luego seleccionamos el centro de administración de Exchange.

Una vez en el centro de administración de Exchange, seleccionamos dentro de PERMISOS la opción “Roles de administrador”

Dentro de “Roles de administración”, seleccionamos “Discovery Management” y agregamos el usuario deseado en “Miembros” y damos clic en guardar.

Con esto nuestro usuario ya cuenta con los permisos para realizar las búsquedas eDiscovery y realizar los respaldos a otro buzón de la organización.

Copia de items entre buzones.(Respaldo)

Iniciamos sesión desde PowerShell con nuestro Exchange Online. Si necesitas ayuda en como conectarte a los servicios PowerShell de Office 365, favor leer esta entrada.

Primero obtenemos el nombre del buzón de origen, esto lo logramos con el siguiente comando

Get-Mailbox buzondeorigen@sudominio.cl

Y nos reservamos el campo “Name”.

Realizamos la misma operación para obtener el nombre del buzón de destino y reservamos el “Name” de buzón.

Una vez obtenidos los “Name” de los buzones, generamos el comando para validar cuantos ítems y que tamaño tiene el buzón a respaldar.

New-MailboxSearch -Name "RespaldoBuzonSamuel" -SourceMailboxes samuel_fdc6dd88a8 -TargetMailbox samuel_ee9b249a75 -EstimateOnly

Es importante en esta etapa no olvidar el modificador -EstimateOnly, ya que de otra forma se ejecutará la búsqueda de forma normal.

Una vez ejecutado el comando, se genera la búsqueda, pero esta no es iniciada y se mantiene en el estado “NotStarted”.

Para iniciar la búsqueda, utilizamos el siguiente comando.

Start-MailboxSearch “NombreDeLaBusqueda”

Si realizamos la búsqueda sin delimitadores como la fecha o un asunto en específico, el comando nos advertirá que se copiaran todos los ítems en el buzón, como este es el objetivo de este procedimiento presionamos “Y” o “S” dependiendo del lenguaje  para continuar. Recuerde que en esta etapa es solo un comando de estimación por lo cual no se realizara la copia.

Posterior al inicio de la búsqueda, ejecutamos el siguiente comando para verificar el estado.

Get-MailboxSearch "NombreDeLaBusqueda" | ft name,status,sourcemailboxes,PercentComplete,ResultNumberEstimate,ResultSizeEstimate -auto

Este nos indica el % de avance de la búsqueda, el número estimado de ítems a mover, y el tamaño estimado del buzón. Este paso es de suma importancia, ya que nos permitirá saber si la búsqueda tiene un tamaño acorde al buzón de destino.

Si el resultado de la búsqueda es satisfactorio, ejecutamos el comando de la búsqueda nuevamente, sin el modificador -EstimateOnly, y debemos asignar un nombre de búsqueda nuevo, ya que no pueden existir 2 búsquedas con el mismo nombre. Si desea utilizar el mismo nombre que en la búsqueda con -EstimateOnly, debe remover la busque anterior con el comando Remove-MailboxSearch “NombreDeBusqueda”.
Recuerde que le nombre indicado en la búsqueda, sera el nombre de la carpeta en el buzón de destino, por lo cual se recomienda usar un nombre descriptivo de la tarea.

Una vez ejecutado el comando nuevamente, se debe volver a iniciar con Start-MailboxSearch “NombreDeLaBusqueda, y aceptamos la advertencia escribiendo “Y” y presionando ENTER.

Nuevamente, podemos validar el estado de la búsqueda y la cantidad de datos copiados, con el comando

Get-MailboxSearch "RespaldoBuzonSamuelC" | ft name,status,sourcemailboxes,PercentComplete,ResultNumberEstimate,ResultSizeCopied -auto

Una vez finalizado el proceso, todos los ítems del buzón de origen son traspasados al de destino, en una carpeta con el nombre de la búsqueda.

IMPORTANTE : No debe remover la búsqueda. si posterior al copiado de archivo, se borra la búsqueda, se eliminaran los archivos copiados al buzón de destino. Deben mantener la búsqueda todo el tiempo que deseen mantener los archivos en el buzón de destino.

La tasa de transferencia promedio de este procedimiento es de 2 GB por hora.

Saludos
Samuel 🙂

Office 365 : Revisión de red pre implementación de Teams o Skype for Business

Como regla general, antes de hacer la implementación en nuestros clientes internos de Skype for Business o Microsoft Teams, se recomienda realizar un test de la red para conocer si existen puertos o accesos bloqueados para el correcto funcionamiento de ambos productos.

Dentro de Microsoft FastTrack, existe una herramienta para este proposito llamada “Skype for business and Microsoft Teams Network Testing Companion“.

Para poder utilizar esta herramienta, los requirmientos son los siguientes:

  1. Windows 7 o superior.
  2. Windows Management Framework 5.1 (para instalar los modulos)
  3. Permisos de administrador local. (para instalar los modulos)

Esta herramienta la podemos descargar directamente desde la PowerShell Gallery, realizando los siguientes pasos :

Abrimos una ventana de powershell y escribimos el siguiente comando

Install-Module -Name NetworkTestingCompanion

Cuando nos lo solicite, presionamos la tecla “Y” para permitir la descarga del modulo desde PowerShell Gallery.

Una vez descargado e instalado el complemento, ejecutamos el siguiente comando para crear los accesos directos a la aplicación.

Invoke-ToolCreateShorcuts

En el escritorio se creara el acceso directo a la aplicación y podemos acceder a ella.

En la misma ventana de la aplicación, podemos ver el chequeo de los pre requisitos de la misma, como la versión de Windows, nuestra conexión a Internet, dispositivos certificados para Skype, y la correcta instalación de Network Assessment Tool, el cual si no esta instalado, dará la opción de hacerlo dando clic en el botón verde que dirá “Install”.

Si tenemos el firewall de Windows activo, nos solicitara los permisos de acceso, los cuales debemos aceptar para el correcto funcionamiento.

Luego que todo se encuentre en orden, presionamos el botón “Start” dentro de Network connectivity and quality test para iniciar el test.

Luego de ejecutado el test, obtendremos los resultados, en este caso, todos se ejecutaron de forma correcta y sin errores.

Una revisión de los reportes, nos permitirá saber si existen problemas de conectividad o calidad en la red para los todos los servicios utilizados por Skype y Teams, con el detalle de los errores incluyendo los protocolos para poder resolverlos antes del despliegue masivo.

Saludos
Samuel 🙂

Exchange Online : Problem 4003 (INSUFF_ACCESS_RIGHTS) en migración Exchange.

Cuando intentamos migrar un usuario desde Exchange on Premises a Exchange Online (O entre versiones de Exchange On Prem), el usuario falla con el error “Problem 4003 (INSUFF_ACCESS_RIGHTS)”.

El problema se genera por que el usuario administrador que se esta usando para la migración no tiene permisos para acceder al buzón de este usuario y poder realizar el movimiento.

Para solucionar este problema, debemos aplicar la herencia de permisos de Exchange para el usuario. Para esto necesitamos ver las opciones avanzadas de Active Directory, por lo cual abrimos la consola de AD user and Computers y selecionamos “View” y luego “Advanced Features”.


Una vez habilitado esto, buscamos el usuario con problemas y seleccionamos la pestaña “Seguridad” o “Security”, y luego en el botón “Avanzadas” o “Advanced”

Luego, en la siguiente ventana marcamos el check box de “Include Inheritable permissions from this object’s parent”, luego “Apply” y “Ok”.

Una vez realizado este cambio, esperamos la replicación de nuestro dominio y podremos realizar la migración o movimento sin problemas.

Saludos
Samuel 🙂

Exchange Online : No se puede habilitar DKIM para un dominio del tenant, “No hay claves de DKIM guardadas para este dominio.”

Si la tratar de habilitar DKIM en Exchange Online, encuentras el mensaje “No hay claves de DKIM guardadas para este dominio”, y no aparece el botón “habilitar”, podemos solucionarlo de manera rápida.

Para generar las claves DKIM para el dominio, realizamos lo siguiente.

Nos conectamos a Exchange Online por PowerShell, y ejecutamos el siguiente comando

New-DkimSigningConfig -DomainName NombreDelDominio $true

Como resultado tendremos la generación de los 2 registros de las claves DKIM. Aun que se generaron las llaves, para que DKIM este activo, debemos crear los 2 registros CNAME con las llaves en nuestro DNS.

Si volvemos al tenant y miramos, nuevamente el estado del dominio, podemos verificar que ya podemos habilitar DKIM para el dominio.

Luego de generar los registros CNAME en nuestro DNS, presionamos el botón “Habilitar” y ya esta habilitada la firma DKIM para el dominio.

Para comprobar que los correos del dominio están siendo firmados y validados con DKIM, podemos enviar un correo a hotmail/Office 365 y mirar el encabezado del correo, con Message Header Analyzer, y podemos ver que indica claramente “dkim=pass (signature was verfied)”.

Saludos!
Samuel 🙂

Obtener espacio utilizado por usuario en OneDrive. (Office 365)

Para un cliente tuve que obtener los tamaños en MB utilizados por sus usarios en OneDrive. Para esto hay un sencillo Script en PowerShell, (cortesia de Morgan).

Como pre requisito se debe instalar el complemento de Sharepoint Online para PowerShell, desde aquí. Si necesitan ayuda con la instalación de los complementos Powershell de Office 365, pueden revisar este post anterior en como conectar a los servicios de manera rápida y fácil, sin recordar URL’S. 😉

Una vez instalado el complemento PowerShell, ejecutamos una ventana como administrador y creamos la variable para la URL de administración de SharePoint Oline de nuestro tenant .

$AdminSiteURL="https://<NombreDelTenant>-admin.sharepoint.com"

Luego conectamos al servicio con el siguiente comando

Connect-SPOService -Url $AdminSiteURL

Luego, se nos pedirán las credenciales para establecer la sesión remota

Una vez conectados a la sesión remota ejecutamos el siguiente comando para obtener el espacio utilizado por cada uno de nuestros usuarios en su OneDrive.

Get-SPOSite -IncludePersonalSite $true -Limit All -Filter "Url -like '-my.sharepoint.com/personal/'" |
Select Owner, StorageUsageCurrent, Url

y los resultados se muestran de la siguiente manera en la ventana de PowerShell

Resultado del comando Get-SpoSite

Ahora, si lo queremos, podemos exportar los datos a un archivo .CSV con el siguiente script .

$Result=@()
$oneDriveSites = Get-SPOSite -IncludePersonalSite $true -Limit All -Filter "Url -like '-my.sharepoint.com/personal/'"
$oneDriveSites | ForEach-Object {
$site = $_
$Result += New-Object PSObject -property @{ 
Nombre_de_usuario = $site.Owner
Espacio_en_MB = $site.StorageUsageCurrent
Cuota_de_Almacenaje_enGB = $site.StorageQuota/1024
Advertencia_espacio_enGB =  $site.StorageQuotaWarningLevel/1024
Url_de_OneDrive = $site.URL
}
}
$Result | Select Nombre_de_usuario, Espacio_en_MB, Cuota_de_Almacenaje_enGB, Advertencia_espacio_enGB, Url_de_OneDrive |
Export-CSV "C:\Reportes\Reporte_Espacio_Usado_OneDrive-for-Business.csv" -NoTypeInformation -Encoding UTF8

El resultado es el siguiente listado, con el cual podemos trabajar dentro de excel.

Saludos

Samuel 😉

Error instalando Microsoft Online Services Module para Windows

Si al instalar el modulo de powershell para Microsoft Online Services, tienes el siguiente error, incluso con el Sign-In Assistant ya instalado :

“In order to install Windows Azure Active Directory Module for Windows PowerShell, you must have Microsoft Online Services Sign-In Assistant version 7.0 or greater installed on this computer.”

Debes descargar esta versión del Sign-In Assistant :

http://www.microsoft.com/en-my/download/details.aspx?id=39267

Una vez instalado esta versión del asistente, podras completar con exito la instalación del Modulo de Microsoft Online Services.

Saludos!

Conectar a servicios de Office 365 por PowerShell rápido y fácil.

Si quieres conectarte de manera rápida y fácil a la administración de los servicios de Office 365  vía PowerShell (Exchange Online, Azure Active Directory, Office 365 Security and Compliace Center, Skype For Business Online y SharePoint Online), solo necesitas descargar este Script! cortesía de Chris Goosen.

Este script funciona desde la versión 4.0 de Powershell, y necesita obviamente la instalación de los siguientes componentes :

Luego de instalar los pre requisitos,  lo único que debes hacer es ponerlo en tu carpeta de script y ejecutarlo con .\Connect-365.ps1

En la nueva interfaz abierta, escribimos nuestro nombre de usuario y password con permisos para realizar la conexión y seleccionamos que servicio necesitamos, en este caso Exchange Online y damos click en OK.

Una vez aceptada la conexión comenzara la carga de la sesión.

una vez cargada la sesión ya podemos ejecutar los comandos del servicio al que decidimos conectar.

Saludos

Samuel 🙂

Deshabilitar registro de usuarios en Office 365 (Obligación de registrar correo y teléfono móvil)

Si tienes este mensaje indicando a tus usuarios que la organización necesita mas información para asegurar tu cuenta, pero no quieres que tus usuarios tengan que realizar este proceso debes des habilitar la opción de registro de usuarios en Azure AD..

Imagen 1 . Solicitud de mas información al usuario

Imagen 2. Formulario para el ingreso de la información de verificación.

 

Si el usuario no ingresa la información, se le volverá a solicitar cada vez que inicie sesión, lo cual puede ser un poco molesto.(sobre todo en asuntos urgentes)

Si no queremos que el usuario tenga que ingresar esta información, debemos des habilitar el requerir que los usuarios se registren  en Azure AD, para esto realizamos lo siguiente :

Iniciar sesión en portal.azure.com y seleccionar desde el menú izquierdo la opción “Azure Active Directory”.

Una vez dentro de “Azure Active Directory” seleccionamos la opción “Restablecer la contraseña”.

dentro de “Restablecer contraseña”, seleccionamos “Registro” y marcamos la opción “NO” en “¿Quiere requeir a los usuarios que se registren al iniciar sesión?”, y damos click en “Guardar”

Ahora nuestro usuarios no serán requeridos a registrarse cuando inicien sesión,

Con estos 3 simples paso, eliminamos el problema para los usuarios al iniciar sesión. El único inconveniente de este cambio es que nosotros como administradores deberemos ingresar manualmente la información si queremos que nuestros usuarios puedan recobrar su contraseña sin asistencia. Si todos los cambios de password son realizados por una mesa de ayuda no existe inconveniente alguno.

 

Saludos

Samuel 🙂

 

es_ESSpanish
es_ESSpanish