Two Way Authentication with external IDP’s

More and more web applications like Twitter, Facebook and Outlook.com, using a two way authentication protocol too create a secure environment and make sure the owner has access to their content.

Also companies are building two way authentication systems so users can access from their home computers or for vendors an application such as SharePoint and work more together on documents.

To establish a secure environment some companies are using a third party IDP (Identity Provider) This has the advantage that the company does not need to create and manage an own IDP with a whole own new infrastructure to supply to the end users.

So how works an IDP, it’s quit simple to explain. An IDP is nothing more than a user DataBase. A user log in to a web application. The application does not recognise the user. And will redirect the user to the IDP. The user log in with his e-mail address and a own created password. father this the user will get an secondary password that will send to his mobile phone. when he fill in this password he will be able to enter the application.

Now your logged in but how do you application know you?
There are several solutions possible. Ill describe one of them here.

The user account is stored in an Active directory and disabled So what is happening?
When a User logon on a IDP the IDP creates a SAML token and redirect you to the web application . This token is checked against UAG to see if the user has the correct permissions and UAG give a OKAY and redirects you again to an ADFS server. This ADFS server is only federating with your web app. and in the web app the user will be recognised with his E-mail address and have access. To secure your session UAG will monitor your activity and mark your cookies as active. When there is inactivity the user will automatically log out and need to rerun the authentication process.

To make sure ADFS can sync the users against your web app you don’t want to add these users by hand in the Active Directory. You can use FIM (Forefront Identy Manager) from Microsoft to import the users from the IDP Pull request in to your AD.†IDP Flow Chart

Computer HighJack

Computers zijn zo veilig als de eindgebruiker of beheerder die de machine beheerd is het steek woord dat veel goede beheerders menen. Ik ben zelf er van overtuigd dat dit daad werkelijk zo is. Veel gebruikers menen dat zij nooit virussen binnen krijgen en er altijd op letten waar zij op klikken echter indien iemand een paar keer een melding zien dat een potentieel item toegang wil krijgen tot zijn computer zijn zij naar een aantal keer geneigd om dan toch op OK te klikken.

IT personeel moet ten aller tijden eindgebruikers of dit nu klanten zijn of jouw eigen eindgebruikers bij interne organisatie. Hen er op wijzen dat bepaalde technieken nodig zijn om hen te beschermen. Het kan hierdoor ook voorkomen dat een beveiligings instelling tot overmaat van ramp hun werkzaam heden gedeeltelijk kunnen belemmeren. Een ITer moet er dan ook altijd van bewust zijn dat tussen een veilig en onveilig systeem een gulden middenweg wordt gekozen. Hoe je dit kan doen is per organisatie natuurlijk verschillend. Ik merk hierbij ook steeds vaker dat UAC wordt disabled binnen windows. Ja het systeem kan soms vervelend zijn als je aanpassingen wilt doen dien je ten aller tijden op een OK knop te drukken. Toch is dit een feature die binnen Windows 7 en Windows 2008 er voorzorg dat een systeem iets veiliger is. Bepaalde applicaties kunnen niet zomaar meer aanpassingen als beheerder uitvoeren zonder dat de gebruiker dit weet. Ik ben daarom ook echt een voorstander om deze feature altijd te handhaven.

Een andere feature binnen het Office pakket bied de gebruiker de mogelijkheid om onbekende uitgevers van office documenten tegen zichzelf te beschermen. Office 2010 blokkeert zodoende eigenlijk alle Excel, Word, Powerpoint en andere document vormen vanuit Internet of Outlook. Hiermee maak je de gebruiker bewust dat een document mogelijk foutieve code kan bevatten, hierdoor zijn Macro’s disabled en is het bestand alleen lezen. Waarom?? Office documenten zijn steeds meer doelwit van virussen. In een document is het mogelijk om op de achtergrond code te laten draaien. Door deze beveiliging heeft deze code geen kans. Als je de uitgever echt wel vertrouwd kan je altijd er voor kiezen om het bestand schrijfbaar te maken en de beveiliging uit te schakelen. Ik als beheerder ontmoedig ook iedereen om deze beveiliging geheel uit te zetten. Dit is mogelijk maar bied potentie om je computer te beschadigen. En hierdoor documenten kwijt te raken of zelfs je computer een risico te vormen binnen een netwerk.. Hou hierbij dus altijd rekening mee bij het accepteren van onbekende uitgevers. En hou deze beveiligingen features hierom dan ook aan. Het is niet voor niets dat Microsoft deze hebben ingebouwd!!

Mail – Security, Security, Security!!!

Veel software pakketen kunnen tegenwoordig e-mail ontvangen en versturen denk hierbij aan CRM pakketen (Microsoft Dynamics CRM) ERP pakketten (Microsoft Dynamics Navision)

Deze paketten hebben vaak een eigen mail connector om mail via SMTP te versturen. Dit is ook gelijk ÈÈn van de veiligste manieren om mail vanuit een applicatie te versturen en de juiste!
Microsoft Dynamics CRM 2011 heeft een eigen E-Mail router. Deze haalt mail op en kan mail vanuit CRM versturen. Voordeel is hiervan is dat indien je zeker met meerdere personen gebruik maakt van CRM deze netjes worden gearchiveerd in het pakket. Nadeel is dat je altijd gebruik moet maken van CRM zelf. Microsoft heeft hiervoor een oplossing althans voor Dynamics CRM. De Outlook plugin, hiermee kan je CRM gebruiken binnen Outlook. Wel met een side note dat bepaalde functies niet werken en dus je gebruik moet maken van de CRM applicatie zelf.. Microsoft Dynamics NAV 2009 in tegenstelling maakt gebruik alleen van zijn eigen SMTP send connector. Hiermee maak je direct een verbinding met de exchange server. Wel kan je doormiddel van een keuze kiezen om je mail te laten versturen via Outlook.

Deze functie heeft wel een nadeel, je zult bij het versturen van een mailtje altijd een melding krijgen dat NAV verbinding wil maken met je Outlook client. Echter deze melding heeft Microsoft ingebouwd om dat er bepaalde virussen anders zonder jouw medeweten een mailtje kunnen versturen naar iedereen in jouw adress boek. Door goede spam filters en virusscanners zijn deze virussen vrij ongevaarlijk geworden. Toch moet hier wel bij nagedacht worden is mijn mening. Je kan altijd nog een virus op je PC krijgen. Al vertrouwen steeds meer mensen er op dat zij uitgezonderd zijn en nooit een virus kunnen krijgen. Persoonlijk vind ik zulke mensen een gevaar voor het netwerk. Ik zou daarom ook nooit zomaar externe medewerkers op mijn netwerk willen toestaan.

Ook het geforceerd open breken van je Outlook client wat mogelijk is je krijgt dan een soort gelijke melding als deze;†”A program is trying to send an e-mail message on your behalf. If this is unexpected, click Deny and verify your antivirus software is up-to-date.” Dit is voor mij een vrij vriendelijke melding om aan te geven dat een ander programma een mail wilt versturen via jouw client. Ik vind het daarom ook onverantwoord dat men in het register key’s gaan aanpassen omdat ze de melding vervelend vinden. Daarnaast als dit een vrij bekend programma is kan je vaak op de website van de fabrikant een Outlook plugin vinden waardoor toegang altijd wordt toegestaan voor deze applicatie.