Swyx en Microsoft Teams, een krachtig team

EEN KRACHTIG TEAM:
Swyx biedt uitgebreide telefoniefuncties met Microsoft Teams

Swyx verbindt zijn communicatieoplossing met Microsoft Teams en biedt gebruikers nog meer functionaliteit en flexibiliteit.

Swyx heeft een intelligente koppeling gemaakt tussen zijn eigen communicatie-oplossing en Microsoft Teams. Bedrijven die Microsoft Teams gebruiken maar de extra telefoniefuncties van Swyx voor hun communicatie willen gebruiken, kunnen vertrouwen op de optimale interoperabiliteit van bestaande Swyx en Microsoft-producten. Configuratiegemak, uitgebreide functionaliteit van het contactcentrum en ondersteuning voor DECT-apparaten en bureautelefoons zijn slechts enkele van de functies die onze oplossing zo waardevol maken voor zowel telefonie- als op samenwerking gerichte gebruikers “, aldus Marco Crueger, VP Sales bij Swyx .

Met behulp van een door Microsoft gecertificeerde Session Border Controller (SBC) stelt Swyx Teams-gebruikers in staat om te bellen via het telefoonnetwerk en biedt ze bewezen Swyx-functies zoals Extended Call Routing (ECR). Gedetailleerde regels voor het afhandelen van inkomende oproepen kunnen bijvoorbeeld worden gedefinieerd wanneer een oproep moet worden doorgestuurd naar een specifieke collega, een andere afdeling, een mailbox of een mobiele telefoon. Gebruikers profiteren ook van de integratiemogelijkheden van de Swyx-oplossing, die bijvoorbeeld op CRM- of ERP-systemen kan worden aangesloten. Dit biedt bedrijven een perfecte combinatie van het centrale werkplatform van Microsoft Teams en de krachtige, aanpasbare communicatie-oplossing van Swyx.

Download voor meer informatie deze PDF of neem contact op met het sales team van Adfocom: +31172434321

Kerberos – Impersonation – Ticketing

Kerberos ticket voorbeeld 
Daniel Sonck [CC BY-SA (https://creativecommons.org/licenses/by-sa/3.0)]
Kerberos ticket aanvraag

Kerberos, ticketing en impersonation. Waar ga ik beginnen? Want werk je in de ICT ben je er ongetwijfeld al eens tegenaan gelopen. Maar was er dat besef dat het hier om dit onderwerp ging toen de foutmelding naar voren kwam? En zo complex als het lijkt, zo eenvoudig kan het zijn als het een plekje heeft. Laat me je meenemen en beginnen met een voorbeeld:

We nemen Navision als voorbeeld. Stel je drukt in Navision op een knop welke een proces in de achtergrond start. De uitkomst van dit proces wordt weggeschreven naar de bestanden in een map. Niet spectaculairs, maar vanuit een beveiliging oogpunt wel. Wat hier feitelijk gebeurt is dat Navision de opdracht gaat verwerken namens de gebruiker die de opdracht heeft gegeven. Jij dus. Dit betekent dat iemand, in dit geval iets, zicht voordoet als iemand anders op het netwerk. Best bijzonder, want juist daarom werk je me Multi Factor Authenticatie. Om dit te voorkomen.

En er is nog een vraagstuk. Stel nu eens dat jij als gebruiker helemaal niet op die betreffende locatie mag schrijven via de verkenner. Dan zou dit impliciet via Navision wel mogelijk zijn. Puur omdat jij binnen Navision de opdracht “mag” geven? Je hebt rechten om dit proces te starten, maar is het logisch dat je daarmee ook alles mag wat nodig is om dit proces tot een succes te laten komen, ook wanneer daarmee acties worden verricht die je normaal niet mag? Nee dus.

En hier komt Impersonation om de hoek kijken. Wat er feitelijk gebeurt is dat onderliggend, door jou als gebruiker, een ‘kerberos ticket’ wordt afgegeven aan Navision. Een ticket uit jouw naam met de machtiging dat Navision bestanden namens jou mag klaarzetten.

Vanaf hier heb jij als gebruiker iemand een “machtiging” gegeven. Navision is gemachtigd om namens jou als persoon bestanden op te slaan. Wanneer Navision klaar is met het desbetreffende proces, dan wil deze de beloofde bestanden op de opgegeven locatie opslaan. Hiervoor gaat Navision naar de beheerder van het opslagsysteem, in deze de ‘file server’. Navision doet het verzoek de bestanden op te slaan als de betreffende gebruiker, jij dus.

En hier vallen de puzzel stukjes op zijn plek.

De ‘fileserver‘ ontvangt het verzoek van Navision om bestanden namens een ander op te slaan. De ‘fileserver’ wil echter wel zekerheid dat de gebruiker hiervoor Navision heeft gemachtigd. Gelukkig heeft hiervoor Navision eerder het ‘kerberos ticket’ verkregen. Dit ticket, welke alleen door de betreffende gebruiker kan worden gegenereerd, omschrijft de machtiging voor Navision. Dit ticket geeft aan dat Navision namens de gebruiker de bestanden op mag slaan op de ‘fileserver’.

Laten we deze stappen vertalen naar Kerberos, ticketing, impersonation.

Hoe weten we wie de gebruiker is? -> De aanmeld gegevens worden geverifieerd bij het eerste contact met, in ons voorbeeld, het Windows (Active Directory) Domein.
De Kerberos aanmelding wordt afgehandeld door het KDC (Key Distribution Center).

De gebruiker geeft een machtiging af -> Dit gebeurt via een ticket. Er wordt bij het centrale punt, de KDC, gevraagd om een speciaal ticket. Bestemd voor Navision, met als doel een opdracht namens de gebruiker te geven om bestanden op te slaan.
De aangevraagde machtiging wordt vertaald naar een kerberos ticket

Navision gebruikt de machtiging -> Navision verzoekt de fileserver om bestanden op te slaan namens de gebruiker. De fileserver wil weten of Navision dat mag, en derhalve wordt het Kerberos ticket gebruikt bij de aanvraag.
Navision overhandigt het verkregen ticket. Impersonation maakt het mogelijk dat Navision zich voor mag doen als de betreffende gebruiker.

De fileserver verifieert de machtiging -> Mag Navision zich inderdaad wel voordoen als een gebruiker? Navision heeft wel een ticket, maar mag deze zich ook inderdaad voordoen als een gebruiker. En als deze gemachtigd is, voor wat voor dienst is deze gemachtigd. Mailen is heel wat anders dan bestanden opslaan. Door dit te beperken tot alleen de benodigde rechten vindt een hoger beveiligingsniveau bereikt.
Er vind een controle plaats of het betreffende ‘service account’ van Navision gemachtigd is voor: ‘impersonation’. Zich voordoen als een gebruiker.
En dan nog de verificatie of deze machtiging inderdaad geldig is voor de gewenste actie. In deze dus bestanden opslaan.

Wat je hiermee voorkomt is dat een kwaadwillend stuk ‘code’ geïmplementeerd kan worden. Deze code zou ‘namens de gebruiker een mail kunnen sturen’. Dit gaat nu niet. Reden is dat er geen machtiging (kerberos ticket voor impersonation) is afgegeven om een e-mail te sturen. Wel om bestanden op te slaan, maar niet om te e-mailen.

In een dergelijke ‘setup’ wordt er ook wel gesproken over een 3-tier model.

  • Tier1
    • Een gebruiker geeft de opdracht in de applicatie. Deze opdracht wordt doorgegeven aan Tier2 t.b.v. verwerking.
  • Tier2
    • Verwerking laag. Opdracht vanaf de client wordt verwerkt op deze laag. Uitkomst wordt opgeslagen in de database.
  • Tier3
    • Database opslag t.b.v. verwerkte data.

Uiteraard kan de applicatie vervangen worden door eenieder product. Exact welke CLIEOP bestaand klaarzet. Een Sharepoint pagina met een Webpart t.b.v. de (outlook) agenda weergave in de pagina. Webmail met een plug-in welke informatie leest/schrijft naar Sharepoint.

PowerBI training op locatie

Vanochtend op locatie bij een klant een PowerBI training gegeven. Daar is de laatste tijd erg veel vraag naar. Met collega Quyen en deze klant hebben we een leuke interactieve cursus gegeven. Ook dachten we na over een klantenportaal voor hun klanten en hoe deze er uit zou kunnen zien. Zo’n klantenportaal moet natuurlijk gevuld zijn met actuele data vanuit hun eigen systemen. Daarbij staan veiligheid en flexibiliteit voorop. Er onstaat zo onderscheidend een extra dienstverlening aan klanten. Voor de klant een geautomatiseerde service verlening wat anders handmatig gedaan wordt. Voor de klanten van de klant extra kwaliteit en informatie die altijd en overal benaderbaar is. Dat is een mooie win-win-win situatie.

PowerBI Pizza sessie met collega’s

PowerBI pizza sessie met collega’s

Een presentatieruimte vol. Niet vanwege de pizza’s, al waren die erg lekker. De echte reden was de interesse voor PowerBI. Met een behoorlijke vaste regelmaat belichten we een diversiteit aan producten uit het dagelijkse werk. Zo was dit keer PowerBI aan de beurt. De opkomst is wederom hoog, maar nu zat de ruimte toch echt wel vol.

De PowerBI mannen hadden een cursus van 2,5 uur in elkaar gezet. Maar goed dat deze bestemd was voor ICT’ers. Het ging in sneltrein vaart, maar dat maakte het des te interessanter. Geeft ook aan hoe sterk het product is. Want in 2,5 uur van Excel, naar draaitabel, naar PowerBI met een fraaie layout is indrukwekkend. Er was zelfs nog ruimte voor een toefje PowerQuery en SQL te koppelen.

Kijk ook eens op de PowerBI pagina op de Adfocom website. Of lees de blog van collega Wilco die de telefonie inzichtelijk heeft gemaakt met PowerBI.

3x groot security issue – patch je systemen nu!

3x een flink security issue in één week. Gooi je agenda om. Zorg dat je deze morgen nog alles bijwerkt. Het kan je zomaar een hoop tijd gaan besparen.

Security issue 1
Citrix – niet geheel nieuw maar van 16 december: Nu.nl – beveiligingslek-bij-citrix-treft-nederlandse-ministeries-en-ziekenhuizen.html
Begin bij dit Citrix support artikel: https://support.citrix.com/article/CTX267027
Om vervolgens de huidige mitigation oplossing uit dit artikel toe te passen: https://support.citrix.com/article/CTX267679

Security issue 2
Deze morgen is een ander ernstig Microsoft lek bekend geworden. Een soortgelijke variant was de oorsprong van het WannCry virus. Dit om de urgentie aan te geven.
Nu.nl – groot beveiligingslek in windows 10 aan het licht gebracht
Het Nationaal Cyber Security Centrum maakt er ook melding van:

Je kan ook direct beginnen bij de Microsoft blogpost. Je dient de updates met de hand uit te rollen. Microsoft neemt ze mee in Windows Updates in de volgende ronde. Welke voor volgende week dinsdag gepland staat.
MIcrosoft Blog artikel over de patch
Al doe je er wellicht verstandig aan hem hier alvast te pakken:
Direct naar de security patch

Security issue 3
De laatste patch is voor de RDP Gateway.
Ook vermeld in hetzelfde Nationaal Cyber Security Centrum artikel

Patch de RDP Gateway met deze fixes:
Link 1 – bevat de link naar juiste CVE’s.

Dit betreft onderstaande patches:
CVE1CVE2CVE3CVE4CVE5

Pak een kop koffie. Controleer de back-ups. Informeer de business, en ga daarna van start.