Lync misbruiken om je wachtwoord te laten resetten

Martijn Bellaard, 17 augustus 2011

Bijna klaar om op vakantie te gaan, besloot ik nog even op mijn privé PC me mail te checken. Dat kan via Outlook Web App. Na het inloggen werd er gevraagd om mijn wachtwoord te veranderen. Nadat ik dit netjes gedaan had, kon ik mijn mail lezen.

Drie weken later kwam ik terug van vakantie en begon ik op maandag weer met werken. Aangezien maandag een dag is dat ik voor mijn kinderen zorg, werk ik deze dag vanuit huis. Bij Wortell doen we aan Het Nieuwe Werken en daardoor heb ik dus alle technische middelen om altijd en overal mijn werk te kunnen doen.
Ik start mijn laptop op en bedacht toen dat ik het wachtwoord, dat ik drie weken voor mijn vakantie veranderd had, niet meer wist. Gelukkig kan ik met cached credentials inloggen op mijn laptop. Maar Outlook en SharePoint kwamen met een popup voor authenticatie. Daar begon dus het probleem. Dit probleem werd nog eens vergroot, doordat mijn telefoon stuk was gegaan. Ik kon dus ook niet even naar de Wortell servicedesk bellen om te vragen of zij mijn wachtwoord wilde resetten.
Gelukkig deed Microsoft Lync het wel. Ik kon dus wél gewoon chatten met mijn collega’s. Snel even contact gezocht met onze servicedesk, via Lync en gevraagd of ze mijn wachtwoord wilde resetten. Een paar minuten later kon ik mijn mail weer lezen en dat was wel nodig na drie weken vakantie.

Later dacht ik nog eens na over deze situatie en eigenlijk werd ik toen wat minder blij. Stel dat iemand mijn laptop steelt. Vervolgens via een hacktools mijn cached credentials achterhaalt. Een dief zou op die manier toegang kunnen krijgen tot mijn laptop. Daarna kan hij via Lync contact zoeken met verschillende mensen en zich voordoen als mij. Hij kan aan de servicedesk vragen om een wachtwoord te resetten. Een offerte die we gaan uitbrengen aan een klant zou hij aan een sales manager kunnen vragen, om deze vervolgens door te verkopen aan een concurrent. Afhankelijk van de functie van de eigenaar kan hij met iedereen gaan chatten binnen het bedrijf en informatie opvragen. Het kan zelfs nog verder gaan. Als een organisatie een federation trust heeft met één van haar klanten kan de dief zelfs daar informatie vragen.

De rede dat dit zomaar kan is dat Lync Server waarschijnlijk alleen vraagt om mijn Access Token en niet om mijn credentials. Aangezien ik inlog met cached credentials heb ik dus gelijk een access token (in mijn geval was deze drie weken oud). Op basis van die token kreeg ik toegang. Hoe je dit moet oplossen? Daar ben ik nog niet uit, in ieder geval je servicedesk de opdracht geven een wachtwoord reset verzoek via Lync niet te accepteren. Tenzij ze zeker weten dat ze de juiste persoon voor zich hebben.

Deploy Windows Intune Client

Martijn Bellaard, 28 juni 2011

In de vorig blogs ben ik ingegaan op Windows Intune, hoe je het aanvraagt en de eerste stappen die je moet zetten. Je Windows Intune omgeving is nu klaar voor gebruik. Als eerste zal je nu de Windows Intune client moeten gaan distribueren. Hiervoor zijn er drie optie’s:

  1. Met de hand
  2. Via Active Directory
  3. Via SCCM

In deze blog ga ik in op optie 1 en 2. Optie 3 behandel ik niet in deze blog. Voordat we ingaan hoe je de client moet installeren gaan we hem eerst downloaden

  • Login op je eigen Windows Intune pagina
  • Ga naar Administration
  • In het midden kies je voor Client Software Download
  • Kies rechts voor Download Client Software

clip_image002

  • Download het bestand Windows_Intune_Setup.zip
  • Pak Windows_Intune_Setup.zip uit.

Je hebt nu twee bestanden:

  1. Windows_Intune_Setup.exe
  2. WindowsIntune.accountcert Lees meer (0 reacties)

Updates configureren

Martijn Bellaard, 23 juni 2011

In mijn vorige blog  heb ik uitgelegd hoe je Windows Intune aanvraagt en hoe je de basis configuratie kunt uitvoeren. In deze blog leg ik uit hoe we de updates configureren. De configuratie bestaat uit drie onderdelen:

  • Configure Products
  • Classifications
  • Approval Rules for Updates

Iedereen die wel eens gewerkt heeft met Microsoft Windows Server Update Services (WSUS) zal deze stappen herkennen. Op mijn desktops heb ik Office 2010 en 2007 geïnstalleerd. Daarnaast maak ik gebruik van de Network Monitor. Deze applicaties wil ik gaan updaten via Windows Intune.

Lees meer (0 reacties)

Configure Windows Intune

Martijn Bellaard, 14 juni 2011

 

Windows Intune is de cloudbased management oplossing van Microsoft. In mijn blog hierover (http://blog.wortell.nl/bellaard/windows-intune/) vertel ik meer over wat Windows Intune nu precies is. In deze blog wil ik het aanmelden en configureren van Windwos Intune behandelen.

Stap 1) Aanmelden

Als eerste zul je jezelf moeten aanmelden bij Windows Intune.

- Open internet Explorer en ga naar: www.microsoft.com/windows/windowsintune

- Kies Try and Buy

Je kunt nu kiezen voor Free Trial of Buy Now. Waarschijnlijk wil je het eerst testen dus we kiezen voor Free Trial. Hiermee kun je 30 dagen 25 PC’s managen vanuit de cloud.

- Kies voor Free Trial

Het systeem vraagt je dan om te loggen met je Live ID Account. Heb je die nog niet, dan moet je hem eerst aanvragen. In deze blog ga ik daar niet verder op in.

- Promotion Code (Optioneel): Heb je van Promotie een code gekregen dan kun je deze hier invullen

- * Subscription Identifier: Vul hier een Identifier in die jou identificeert, je bedrijfsnaam is een mooie optie.

- <I ACCEPT>

clip_image002

Nu moet je (Maximaal) 15 minuten wachten voordat je Subscription verwerkt is (ik heb +/- 1 minuut gewacht). Check hiervoor de inbox van je mail. Deze wordt gestuurd naar het email adres van live ID. Heb je dus je prive Live ID gebruikt check dan je privé mail.

- Open de email met het subject: Welcome to your Windows IntuneTM – Trial subscription

Je krijgt dan het volgende e-mailtje binnen:

Dear client,

Welcome to Microsoft Online Services. Your Windows Intune™ – Trial subscription is now ready for you to use. Your service administrator will need to go to the Windows Intune Administrator Console to setup and manage your service.

To sign in to the Windows Intune Administrator Console:

  1. Go to the Windows Intune Administrator Console.
  2. When prompted, sign in with the following Windows Live ID:liveid@bedrijf.nl

If you are not able to sign in to Windows Intune Administrator Console, contact Microsoft Online Services Support.

Helpful links:

This message was sent from an unmonitored e-mail address. Please do not reply to this message.

Sincerely,
Microsoft Online Services Team

To contact Microsoft Online Services Support, go to online support

Microsoft respects your privacy. Please read our online Privacy Statement

Trademarks

- Druk op Windows Intune Administrator Console.

Internet Explore wordt nu geopend en je wordt gevraagd om je Live ID. Je Live ID is al ingevuld.

- Vul je wachtwoord in en <Sign in>

Stap 2) Configure

Je bent nu aangemeld en als het goed is heb je de Windows Intune Admin pagina voor je. Er zijn nog twee dingen die je moet doen voordat je Windows Intune kunt gaan gebruiken. Windows Intune kan een notificatie sturen als er iets gebeurt, zoals een virus dat ontdekt wordt. Hiervoor moet je een adres instellen. Daarnaast is het slim om een extra admin aan te maken.

Het instellen van notificatie regels

- Kies voor Administration, en dan voor Alert and Notifications

Je ziet nu drie menu opties:

1. Alert Types, hier zie je de verschillende alerts en kan je ze aan en uit zetten

2. Recipiens, wie krijgen een melding bij een alert

3. Notifications Rules wanneer krijg je een melding

We gaan nu niet de Alert Types aanpassen, dus die slaan we even over.

- Recipiens

- Add

- clip_image004

- Vul de juiste gegevens in en druk op OK

- Notification Rules

- Selecteer All Alerts

Naast All Alerts (alle meldingen) kun je ook kiezen om een speciale groep meldingen te ontvangen:

· Critical, kritische meldingen

· Informational, informatieve meldingen

· Warning, waarschuwingen

· Remote Assistance Request, verzoek voor ondersteuning op afstand.

- Select Recipiens

- Selecteer de email adressen (e-mail recipiens) waarvan je wilt dat ze een email notificatie ontvangen.

- OK

Het aanmaken van een extra Administrator.

Een Administrator die aangemaakt is via Windows Intune heet een Service Administrator. Deze administrators kun je vanuit Windows Intune beheren. Daarnaast heb je ook Tenant Administrators. Deze zijn gemaakt vanuit een external service, zoals Microsoft Online Service. Als het goed is het account, waarmee je je hebt aangemeld bij Windows Intune zo een account.

- Kies voor Administration, en dan voor Administrator Management

- Add Administrator

- Voer een email adres in. Dit moet wel een email adres zijn met een Live ID account

- clip_image006

- Add Administrator

De administrator is nu toegevoegd en kan inloggen met zijn eigen Live ID account.

World IPv6 Day, Wereld IPv6 dag

Martijn Bellaard, 3 juni 2011

 

Schrijf de volgende datum vast in je agenda:  8-juni-2011. Op die dag is het World IPv6 day. Een initiatief van de Internet Society.

Wat gaat er die dag gebeuren?

Op deze dag wordt IPv6 grootschalig getest.  Een aantal grote sites gaan hun website aanbieden over IPv6. Deze dag heeft twee doelstelling:

  1. Het testen van IPv6, wat gebeurd er als je op grotere schaal IPv6 gaat gebruiken
  2. Aandacht vragen voor IPv6, op deze manier wil men IPv6 onder de aandact brengen bij de hard- en software leveranciers en natuurlijk bij jou

Wie doen er dan mee?

Een aantal van de grootste spelers doen mee, zoals:

-          Google

-          Facebook

-          Yahoo!

-          Youtube

-          Cisco

-          Bing

-          Verisign

-          MasterCard

En nog veel meer. Wil je weten wie er nog meer mee doen. Kijk maar eens op: http://www.worldipv6day.org/participants/index.html. Het zijn er 376 (toen ik keek).

Klinkt leuk, maar hoe doe ik mee?

Als website eigenaar ben je te laat. De inschrijving is al gesloten, maar je kunt nog wel mee doen als gebruiker. Zorg dat je een IPv6 connectie hebt en gebruik hem voor die dag. Het maken van een IPv6 connectie is heel gemakkelijk. Ga naar gogo6.net en meld je aan. Daarna kun je de  gogoCLIENT downloaden en een IPv6 over IPv4 tunnel maken. Op die manier word je IPv6 verkeer dan gerouteerd het internet op geleid en kun je mee doen.

 

Martijn Bellaard


  • Categories

  • Tags

  • Blog Authors

    Amy
    anita
    Anneke
    Danny Burlage
    Dennis Vendel
    Freek Berson
    Gerard
    Iris
    Jasper Oosterveld
    Jean-Claude Chan
    Jorn
    Lab Chicks
    Luc Joziasse
    Maarten van Noort
    Maarten Wijsman
    Marlon
    Martijn Bellaard
    Natasja van Doorn
    Paul Pascha
    Peter Heuvelman
    Rick Slager
    Robert van Son
    Roel
    Roeland Jimenez
    SanderZ
    Sjoerd Schudde
    Stefan van der Wiele
    Tim Heuperman
    Wortell

  • Archief