ระบุประเทศหรือภูมิภาคในการเข้าใช้งาน Office 365 และ Azure

0
278

ปัญหาหนึ่งของการทำ phishing email เมื่อบัญชีถูกเปลี่ยนรหัสผ่านแล้ว คือ การ Log in ซึ่งโดยส่วนใหญ่จะ log in จากนอกประเทศ หรือประเทศที่ไม่น่าจะเป็นไปได้

ผมเคยเจอเคสที่ว่ามี user คนหนึ่ง โดนสวมบัญชี ทั้งๆที่ user นั้นไม่ได้มีแผนไปเที่ยวต่างประเทศ หรือทำงานที่สาขาต่างประเทศแต่อย่างใด แต่ทำพอตรวจสอบถึงมีการ Log in เป็นต่างประเทศ? เพื่อป้องกันเราจะทำ conditional access โดยใช้ Location เป็นหลัก

หมายเหตุ

วิธีนี้ไม่ได้เป็นวิธีที่ช่วยให้หายจาก Phishing Email แต่ช่วยป้องกันการขโมยข้อมูลได้ และควรทดลองในแล็บก่อนใช้งาน Production จริง

 

ขั้นตอนการตั้งค่ามีดังนี้

1. ไปที่ Azure Active Directory > Conditional Access > Name Location > New Location

image

2. ตั้งชื่อ เช่น HQ Office เลือกประเทศ ในที่นี้ผมเลือก Thailand, Singapore และอย่าลืมเลือก Include Unknown area

image

3. เราจะได้ Location มาแล้ว

 

4. ต่อไปคือต้องสร้าง Policy ให้เลือก New Policy

image

5. สร้าง Policy โดยไปที่ Condition > Location เลือก Any Domain

image

6. ไปที่ Exclude > Select Locations > เลือกสองข้อตามภาพ

image

7. หลังจากนั้นไปที่ Grant เลือก Block Access

image

8. และให้ On ตรง Enable Policy

image

9. แล้วทำการ Create และทำการ Log out เข้าระบบอีกครั้ง

 

หมายเหตุ ถ้า Attacker นั้น remote เข้ามายังประเทศที่เราเลือกก็สามารถ log in ได้ ถ้าถูกขโมยบัญชีไปแล้ว