Bevoegde toegang beveiligen voor hybride implementaties en cloudimplementaties in Azure AD

De beveiliging van bedrijfsactiva is afhankelijk van de integriteit van de bevoegde accounts die uw IT-systemen beheren. Cyber-aanvallers gebruiken aanvallen op referentiediefstal om beheerdersaccounts en andere bevoegde toegang te richten om toegang te krijgen tot gevoelige gegevens.

Voor cloudservices zijn preventie en respons de gezamenlijke verantwoordelijkheden van de cloudserviceprovider en de klant. Zie het Microsoft Security Intelligence-rapport voor meer informatie over de nieuwste bedreigingen voor eindpunten en de cloud. Dit artikel kan u helpen bij het ontwikkelen van een roadmap voor het sluiten van de hiaten tussen uw huidige plannen en de richtlijnen die hier worden beschreven.

Notitie

Microsoft zet zich in voor de hoogste vertrouwensniveaus, transparantie, naleving van standaarden en naleving van regelgeving. Meer informatie over hoe het wereldwijde reactieteam van Microsoft de gevolgen van aanvallen tegen cloudservices beperkt en hoe beveiliging is ingebouwd in Zakelijke producten en cloudservices van Microsoft in Het Vertrouwenscentrum van Microsoft - Beveiligings - en Microsoft-nalevingsdoelen in Het Vertrouwenscentrum van Microsoft - Compliance.

Normaal gesproken was de beveiliging van de organisatie gericht op de ingangs- en afsluitpunten van een netwerk als de beveiligingsperimeter. SaaS-apps en persoonlijke apparaten op internet hebben deze benadering echter minder effectief gemaakt. In Azure AD vervangen we de netwerkbeveiligingsperimeter door verificatie in de identiteitslaag van uw organisatie, met gebruikers die zijn toegewezen aan bevoorrechte beheerdersrollen in beheer. Hun toegang moet worden beveiligd, ongeacht of de omgeving on-premises, cloud of hybride is.

Voor het beveiligen van bevoegde toegang zijn wijzigingen vereist voor:

  • Processen, administratieve procedures en kennisbeheer
  • Technische onderdelen, zoals hostbeveiliging, accountbeveiliging en identiteitsbeheer

Beveilig uw bevoegde toegang op een manier die wordt beheerd en gerapporteerd in de Microsoft-services die u belangrijk vindt. Als u on-premises beheerdersaccounts hebt, raadpleegt u de richtlijnen voor on-premises en hybride bevoegde toegang in Active Directory bij Privileged Access beveiligen.

Notitie

De richtlijnen in dit artikel verwijzen voornamelijk naar functies van Azure Active Directory die zijn opgenomen in Azure AD Premium P1 en P2. Azure AD Premium P2 is opgenomen in de EMS E5-suite en Microsoft 365 E5-suite. In deze richtlijnen wordt ervan uitgegaan dat uw organisatie al Azure AD Premium P2-licenties heeft aangeschaft voor uw gebruikers. Als u deze licenties niet hebt, zijn sommige richtlijnen mogelijk niet van toepassing op uw organisatie. In dit artikel betekent de term Globale beheerder ook hetzelfde als 'bedrijfsbeheerder' of 'tenantbeheerder'.

Een roadmap ontwikkelen

Microsoft raadt u aan een roadmap te ontwikkelen en te volgen voor het beveiligen van bevoegde toegang tegen cyberaanvallers. U kunt uw roadmap altijd aanpassen aan uw bestaande mogelijkheden en specifieke vereisten binnen uw organisatie. Elke fase van de roadmap moet de kosten en problemen voor kwaadwillende aanvallers verhogen om bevoegde toegang aan te vallen voor uw on-premises, cloud- en hybride assets. Microsoft raadt de volgende vier roadmapfasen aan. Plan eerst de meest effectieve en snelste implementaties. Dit artikel kan uw handleiding zijn, op basis van de ervaringen van Microsoft met het incident en de implementatie van reacties op cyberaanvallen. De tijdlijnen voor deze roadmap zijn benaderingen.

Stages of the roadmap with time lines

  • Fase 1 (24-48 uur): Kritieke items die u direct aanbevelen

  • Fase 2 (2-4 weken): Beperk de meest gebruikte aanvalstechnieken

  • Fase 3 (1-3 maanden): Zichtbaarheid bouwen en volledig beheer van beheerdersactiviteiten bouwen

  • Fase 4 (zes maanden en verder): Blijf verdediging bouwen om uw beveiligingsplatform verder te beveiligen

Dit roadmapframework is ontworpen om het gebruik van Microsoft-technologieën te maximaliseren die u mogelijk al hebt geïmplementeerd. Overweeg het koppelen aan beveiligingshulpprogramma's van andere leveranciers die u al hebt geïmplementeerd of overweeg om te implementeren.

Fase 1: Kritieke items die u nu moet doen

Stage 1 Critical items to do first

Fase 1 van de roadmap is gericht op kritieke taken die snel en eenvoudig te implementeren zijn. U wordt aangeraden deze paar items meteen binnen de eerste 24-48 uur uit te voeren om een basisniveau van beveiligde bevoegde toegang te garanderen. Deze fase van het roadmap voor beveiligde bevoegde toegang bevat de volgende acties:

Algemene voorbereiding

Azure AD Privileged Identity Management gebruiken

U wordt aangeraden Azure AD Privileged Identity Management (PIM) te gebruiken in uw Azure AD-productieomgeving. Nadat u PIM hebt gebruikt, ontvangt u e-mailberichten met meldingen voor wijzigingen in de toegangsrol met bevoegdheden. Meldingen geven een vroege waarschuwing wanneer extra gebruikers worden toegevoegd aan rollen met hoge bevoegdheden.

Azure AD Privileged Identity Management is opgenomen in Azure AD Premium P2 of EMS E5. Als u de toegang tot toepassingen en resources on-premises en in de cloud wilt beveiligen, meldt u zich aan voor de gratis proefversie van Enterprise Mobility + Security. Azure AD Privileged Identity Management en Azure AD Identity Protection bewaken beveiligingsactiviteiten met behulp van Azure AD-rapportage, controle en waarschuwingen.

Nadat u Azure AD Privileged Identity Management hebt gebruikt:

  1. Meld u aan bij Azure Portal met een account dat een globale beheerder van uw Azure AD-productieorganisatie is.

  2. Als u de Azure AD-organisatie wilt selecteren waar u Privileged Identity Management wilt gebruiken, selecteert u uw gebruikersnaam in de rechterbovenhoek van Azure Portal.

  3. Selecteer alle services in het menu van Azure Portal en filter de lijst voor Azure AD Privileged Identity Management.

  4. Open Privileged Identity Management vanuit de lijst Met alle services en maak deze vast aan uw dashboard.

Zorg ervoor dat de eerste persoon die PIM in uw organisatie gebruikt, is toegewezen aan de rollen Beveiligingsbeheerder en Bevoorrechte rolbeheerder . Alleen beheerders van bevoorrechte rollen kunnen de roltoewijzingen van azure AD-directory's van gebruikers beheren. De wizard PIM-beveiliging begeleidt u bij de eerste detectie- en toewijzingservaring. U kunt de wizard afsluiten zonder dat u op dit moment aanvullende wijzigingen hoeft aan te brengen.

Accounts identificeren en categoriseren die zich in rollen met hoge bevoegdheden bevinden

Nadat u Azure AD Privileged Identity Management hebt gebruikt, bekijkt u de gebruikers die zich in de volgende Azure AD-rollen bevinden:

  • Hoofdbeheerder
  • Beheerder voor bevoorrechte rollen
  • Exchange-beheerder
  • SharePoint-beheerder

Als u azure AD Privileged Identity Management niet in uw organisatie hebt, kunt u de PowerShell-API gebruiken. Begin met de rol Globale beheerder omdat een globale beheerder dezelfde machtigingen heeft voor alle cloudservices waarvoor uw organisatie zich heeft geabonneerd. Deze machtigingen worden verleend, ongeacht waar ze zijn toegewezen: in het Microsoft 365-beheercentrum, de Azure-portal of door de Azure AD-module voor Microsoft PowerShell.

Verwijder alle accounts die niet meer nodig zijn in deze rollen. Categoriseer vervolgens de resterende accounts die zijn toegewezen aan beheerdersrollen:

  • Toegewezen aan gebruikers met beheerdersrechten, maar ook voor niet-administratieve doeleinden (bijvoorbeeld persoonlijke e-mail)
  • Alleen toegewezen aan gebruikers met beheerdersrechten en gebruikt voor beheerdoeleinden
  • Gedeeld tussen meerdere gebruikers
  • Voor noodtoegangsscenario's met break-glass
  • Voor geautomatiseerde scripts
  • Voor externe gebruikers

Ten minste twee accounts voor toegang tot noodgevallen definiëren

Het is mogelijk dat een gebruiker per ongeluk wordt vergrendeld voor zijn rol. Als een federatieve on-premises id-provider bijvoorbeeld niet beschikbaar is, kunnen gebruikers zich niet aanmelden of een bestaand beheerdersaccount activeren. U kunt zich voorbereiden op onbedoeld gebrek aan toegang door twee of meer accounts voor noodtoegang op te slaan.

Accounts voor noodtoegang helpen bevoegde toegang binnen een Azure AD-organisatie te beperken. Deze accounts zijn zeer bevoegd en worden niet toegewezen aan specifieke personen. Accounts voor toegang tot noodgevallen zijn beperkt tot noodgevallen voor 'break glass'-scenario's waarbij normale beheerdersaccounts niet kunnen worden gebruikt. Zorg ervoor dat u het gebruik van het account voor noodgevallen kunt beheren en beperken tot alleen die tijd waarvoor het nodig is.

Evalueer de accounts die zijn toegewezen of in aanmerking komen voor de rol Globale beheerder. Als u geen cloudaccounts ziet die gebruikmaken van het domein *.onmicrosoft.com (voor toegang tot noodgeval), maakt u deze. Zie Beheerdersaccounts voor noodtoegang beheren in Azure AD voor meer informatie.

Meervoudige verificatie inschakelen en alle andere niet-federatieve beheerdersaccounts met hoge bevoegdheden registreren

Vereisen dat Azure AD Multi-Factor Authentication (MFA) wordt aangemeld voor alle afzonderlijke gebruikers die permanent zijn toegewezen aan een of meer azure AD-beheerdersrollen: globale beheerder, beheerder met bevoorrechte rollen, Exchange-beheerder en SharePoint-beheerder. Gebruik de richtlijnen bij Meervoudige verificatie afdwingen voor uw beheerders en zorg ervoor dat al die gebruikers zich hebben geregistreerd bij https://aka.ms/mfasetup. Meer informatie vindt u onder stap 2 en stap 3 van de handleiding Gebruikers- en apparaattoegang beveiligen in Microsoft 365.

Fase 2: Veelgebruikte aanvallen beperken

Stage 2 Mitigate frequently used attacks

Fase 2 van de roadmap is gericht op het beperken van de meest gebruikte aanvalstechnieken van referentiediefstal en misbruik en kan binnen ongeveer 2-4 weken worden geïmplementeerd. Deze fase van het roadmap voor beveiligde bevoegde toegang bevat de volgende acties.

Algemene voorbereiding

Een inventarisatie van services, eigenaren en beheerders uitvoeren

De toename van 'Bring Your Own Device' en het werk vanuit huisbeleid en de groei van draadloze connectiviteit maken het essentieel om te controleren wie verbinding maakt met uw netwerk. Een beveiligingscontrole kan apparaten, toepassingen en programma's in uw netwerk onthullen die uw organisatie niet ondersteunt en die een hoog risico vertegenwoordigen. Zie het overzicht van Azure-beveiligingsbeheer en -bewaking voor meer informatie. Zorg ervoor dat u alle volgende taken in uw inventarisproces opneemt.

  • Identificeer de gebruikers met beheerdersrollen en de services die ze kunnen beheren.

  • Gebruik Azure AD PIM om erachter te komen welke gebruikers in uw organisatie beheerderstoegang hebben tot Azure AD.

  • Naast de rollen die zijn gedefinieerd in Azure AD, wordt Microsoft 365 geleverd met een set beheerdersrollen die u kunt toewijzen aan gebruikers in uw organisatie. Elke beheerdersrol wordt toegewezen aan algemene bedrijfsfuncties en geeft personen in uw organisatie machtigingen om specifieke taken uit te voeren in het Microsoft 365-beheercentrum. Gebruik het Microsoft 365-beheercentrum om erachter te komen welke gebruikers in uw organisatie beheerderstoegang hebben tot Microsoft 365, inclusief via rollen die niet worden beheerd in Azure AD. Zie Voor meer informatie over Microsoft 365-beheerdersrollen en beveiligingsprocedures voor Office 365.

  • Voer de inventaris uit in services waarvoor uw organisatie afhankelijk is, zoals Azure, Intune of Dynamics 365.

  • Zorg ervoor dat uw accounts die worden gebruikt voor beheerdoeleinden:

    • Werk-e-mailadressen aan hen gekoppeld hebben
    • Hebben geregistreerd voor Azure AD Multi-Factor Authentication of MFA on-premises gebruiken
  • Vraag gebruikers om hun zakelijke reden voor beheerderstoegang.

  • Verwijder beheerderstoegang voor personen en services die deze niet nodig hebben.

Microsoft-accounts identificeren in beheerdersrollen die moeten worden overgeschakeld naar werk- of schoolaccounts

Als uw eerste globale beheerders hun bestaande Microsoft-accountreferenties opnieuw gebruiken bij het gebruik van Azure AD, vervangt u de Microsoft-accounts door afzonderlijke cloud- of gesynchroniseerde accounts.

Afzonderlijke gebruikersaccounts en het doorsturen van e-mail voor globale beheerdersaccounts garanderen

Persoonlijke e-mailaccounts worden regelmatig gepromoveerd door cyberaanvallers, een risico dat persoonlijke e-mailadressen onaanvaardbaar maakt voor globale beheerdersaccounts. Als u internetrisico's wilt scheiden van beheerdersbevoegdheden, maakt u speciale accounts voor elke gebruiker met beheerdersbevoegdheden.

  • Zorg ervoor dat u afzonderlijke accounts maakt voor gebruikers om globale beheerderstaken uit te voeren.
  • Zorg ervoor dat uw globale beheerders geen e-mailberichten per ongeluk openen of programma's uitvoeren met hun beheerdersaccounts.
  • Zorg ervoor dat de e-mail van deze accounts is doorgestuurd naar een werkpostvak.
  • Globale beheerdersaccounts (en andere bevoegde groepen) moeten cloudaccounts zijn zonder banden met on-premises Active Directory.

Zorg ervoor dat de wachtwoorden van beheerdersaccounts onlangs zijn gewijzigd

Zorg ervoor dat alle gebruikers zich hebben aangemeld bij hun beheerdersaccounts en hun wachtwoorden ten minste eenmaal hebben gewijzigd in de afgelopen 90 dagen. Controleer ook of gedeelde accounts hun wachtwoorden onlangs hebben gewijzigd.

Wachtwoord-hashsynchronisatie inschakelen

Azure AD Connect synchroniseert een hash van de hash van het wachtwoord van een gebruiker van on-premises Active Directory naar een Azure AD-organisatie in de cloud. U kunt wachtwoord-hashsynchronisatie gebruiken als back-up als u federatie gebruikt met Active Directory Federation Services (AD FS). Deze back-up kan handig zijn als uw on-premises Active Directory- of AD FS-servers tijdelijk niet beschikbaar zijn.

Met wachtwoord-hashsynchronisatie kunnen gebruikers zich aanmelden bij een service met hetzelfde wachtwoord dat ze gebruiken om zich aan te melden bij hun on-premises Active Directory-exemplaar. Met wachtwoordhashsynchronisatie kan Identity Protection gecompromitteerde referenties detecteren door wachtwoordhashes te vergelijken met wachtwoorden die bekend zijn om inbreuk te maken. Zie Wachtwoord-hashsynchronisatie implementeren met Azure AD Connect-synchronisatie voor meer informatie.

Meervoudige verificatie vereisen voor gebruikers met bevoorrechte rollen en weergegeven gebruikers

Azure AD raadt u aan om meervoudige verificatie (MFA) voor al uw gebruikers te vereisen. Houd rekening met gebruikers die een aanzienlijke impact zouden hebben als hun account is gecompromitteerd (bijvoorbeeld financiële agenten). MFA vermindert het risico op een aanval vanwege een aangetast wachtwoord.

Schakel het volgende in:

Als u Windows Hello voor Bedrijven gebruikt, kan aan de MFA-vereiste worden voldaan met behulp van de aanmeldingservaring van Windows Hello. Zie Windows Hello voor meer informatie.

Identity Protection configureren

Azure AD Identity Protection is een hulpprogramma voor bewaking en rapportage op basis van algoritmen waarmee potentiële beveiligingsproblemen worden gedetecteerd die van invloed zijn op de identiteiten van uw organisatie. U kunt geautomatiseerde reacties op gedetecteerde verdachte activiteiten configureren en de juiste actie ondernemen om ze op te lossen. Zie Azure Active Directory Identity Protection voor meer informatie.

Uw Microsoft 365-beveiligingsscore verkrijgen (als u Microsoft 365 gebruikt)

Secure Score bekijkt uw instellingen en activiteiten voor de Microsoft 365-services die u gebruikt en vergelijkt deze met een basislijn die door Microsoft is ingesteld. U krijgt een score op basis van hoe u bent afgestemd op beveiligingsprocedures. Iedereen met de beheerdersmachtigingen voor een Microsoft 365 Business Standard- of Enterprise-abonnement heeft toegang tot de Secure Score op https://security.microsoft.com/securescore.

Bekijk de richtlijnen voor beveiliging en naleving van Microsoft 365 (als u Microsoft 365 gebruikt)

Het plan voor beveiliging en naleving bevat een overzicht van de aanpak voor een Office 365-klant voor het configureren van Office 365 en het inschakelen van andere EMS-mogelijkheden. Bekijk vervolgens stap 3-6 van het beveiligen van toegang tot gegevens en services in Microsoft 365 en de handleiding voor het bewaken van beveiliging en naleving in Microsoft 365.

Microsoft 365 Activity Monitoring configureren (als u Microsoft 365 gebruikt)

Bewaak uw organisatie voor gebruikers die Microsoft 365 gebruiken om medewerkers te identificeren die een beheerdersaccount hebben, maar mogelijk geen Toegang tot Microsoft 365 nodig hebben omdat ze zich niet aanmelden bij deze portals. Zie Activiteitenrapporten in het Microsoft 365-beheercentrum voor meer informatie.

Eigenaren van incident-/noodresponsplannen instellen

Het tot stand brengen van een geslaagde mogelijkheid voor het reageren op incidenten vereist aanzienlijke planning en resources. U moet voortdurend controleren op cyberaanvallen en prioriteiten vaststellen voor incidentafhandeling. Verzamel, analyseer en rapporteer incidentgegevens om relaties te bouwen en communicatie tot stand te brengen met andere interne groepen en planeigenaren. Zie Microsoft Security Response Center voor meer informatie.

Beveilig on-premises bevoegde beheerdersaccounts, als dit nog niet is gebeurd

Als uw Azure Active Directory-organisatie wordt gesynchroniseerd met on-premises Active Directory, volgt u de richtlijnen in de roadmap voor toegang met beveiligingsbevoegdheden: deze fase omvat:

  • Afzonderlijke beheerdersaccounts maken voor gebruikers die on-premises beheertaken moeten uitvoeren
  • Privileged Access Workstations implementeren voor Active Directory-beheerders
  • Unieke lokale beheerderswachtwoorden maken voor werkstations en servers

Aanvullende stappen voor organisaties die toegang tot Azure beheren

Een inventaris van abonnementen voltooien

Gebruik de Enterprise-portal en Azure Portal om de abonnementen in uw organisatie te identificeren die productietoepassingen hosten.

Microsoft-accounts verwijderen uit beheerdersrollen

Microsoft-accounts van andere programma's, zoals Xbox, Live en Outlook, mogen niet worden gebruikt als beheerdersaccounts voor de abonnementen van uw organisatie. Verwijder de beheerdersstatus van alle Microsoft-accounts en vervang deze door Werk- of schoolaccounts van Azure AD (bijvoorbeeld chris@contoso.com). Voor beheerdersdoeleinden is dit afhankelijk van accounts die zijn geverifieerd in Azure AD en niet in andere services.

Azure-activiteit bewaken

Het Azure-activiteitenlogboek bevat een geschiedenis van gebeurtenissen op abonnementsniveau in Azure. Het biedt informatie over wie de resources heeft gemaakt, bijgewerkt en verwijderd en wanneer deze gebeurtenissen hebben plaatsgevonden. Zie Controle en ontvang meldingen over belangrijke acties in uw Azure-abonnement voor meer informatie.

Aanvullende stappen voor organisaties die toegang tot andere cloud-apps beheren via Azure AD

Beleid voor voorwaardelijke toegang configureren

Beleidsregels voor voorwaardelijke toegang voorbereiden voor on-premises en in de cloud gehoste toepassingen. Als u apparaten hebt die zijn toegevoegd aan de werkplek, kunt u meer informatie krijgen over het instellen van on-premises voorwaardelijke toegang met behulp van Azure Active Directory-apparaatregistratie.

Fase 3: Beheer van beheerdersactiviteit overnemen

Stage 3: take control of administrator activity

Fase 3 bouwt voort op de oplossingen van fase 2 en moet binnen ongeveer 1-3 maanden worden geïmplementeerd. Deze fase van het roadmap voor beveiligde bevoegde toegang bevat de volgende onderdelen.

Algemene voorbereiding

Een toegangsbeoordeling voltooien van gebruikers in beheerdersrollen

Meer zakelijke gebruikers krijgen bevoorrechte toegang via cloudservices, wat kan leiden tot niet-beheerde toegang. Gebruikers kunnen tegenwoordig globale beheerders worden voor Microsoft 365-, Azure-abonnementsbeheerders of beheerderstoegang hebben tot VM's of via SaaS-apps.

Uw organisatie moet alle werknemers gewone zakelijke transacties laten afhandelen als onbevoegde gebruikers en vervolgens beheerdersrechten verlenen als dat nodig is. Voltooi toegangsbeoordelingen om de gebruikers te identificeren en te bevestigen die in aanmerking komen voor het activeren van beheerdersbevoegdheden.

U wordt aangeraden dat u:

  1. Bepaal welke gebruikers Azure AD-beheerders zijn, schakel op aanvraag, Just-In-Time-beheerderstoegang en beveiligingsmaatregelen op basis van rollen in.
  2. Converteer gebruikers die geen duidelijke reden hebben voor beheerderstoegang tot een andere rol (als er geen in aanmerking komende rol is, verwijdert u deze).

Continue implementatie van sterkere verificatie voor alle gebruikers

Vereisen dat gebruikers moderne, sterke verificatie hebben, zoals Azure AD MFA of Windows Hello. Voorbeelden van maximaal blootgestelde gebruikers zijn:

  • C-suite leidinggevenden
  • Managers op hoog niveau
  • Kritiek IT- en beveiligingspersoneel

Toegewezen werkstations gebruiken voor beheer voor Azure AD

Aanvallers proberen zich te richten op bevoegde accounts, zodat ze de integriteit en authenticiteit van gegevens kunnen verstoren. Ze gebruiken vaak schadelijke code die de programmalogica wijzigt of de beheerder een referentie invoert. Privileged Access Workstations (PAW's) beschikken over een speciaal besturingssysteem voor gevoelige taken dat is beveiligd tegen aanvallen via internet en dreigingsvectoren. Het scheiden van deze gevoelige taken en accounts van de werkstations en apparaten voor dagelijks gebruik biedt sterke bescherming tegen:

  • Phishing-aanvallen
  • Beveiligingsproblemen met toepassingen en besturingssystemen
  • Imitatieaanvallen
  • Aanvallen met diefstal van referenties, zoals logboekregistratie van toetsaanslagen, Pass-the-Hash en Pass-The-Ticket

Door bevoegde toegangswerkstations te implementeren, kunt u het risico beperken dat beheerders hun referenties invoeren in een bureaubladomgeving die niet is beveiligd. Zie Privileged Access Workstations voor meer informatie.

Raadpleeg de aanbevelingen van het National Institute of Standards and Technology voor het afhandelen van incidenten

Het National Institute of Standards and Technology (NIST) biedt richtlijnen voor het afhandelen van incidenten, met name voor het analyseren van incidentgerelateerde gegevens en het bepalen van de juiste reactie op elk incident. Zie de (NIST) Computer Security Incident Handling Guide (SP 800-61, Revision 2) voor meer informatie.

Privileged Identity Management (PIM) implementeren voor JIT naar aanvullende beheerdersrollen

Gebruik voor Azure Active Directory de mogelijkheid azure AD Privileged Identity Management . Tijdgebonden activering van bevoorrechte rollen werkt door het volgende mogelijk te maken:

  • Beheerdersbevoegdheden activeren om een specifieke taak uit te voeren

  • MFA afdwingen tijdens het activeringsproces

  • Waarschuwingen gebruiken om beheerders te informeren over out-of-band-wijzigingen

  • Gebruikers in staat stellen hun bevoegde toegang te behouden voor een vooraf geconfigureerde hoeveelheid tijd

  • Beveiligingsbeheerders toestaan het volgende te doen:

    • Alle bevoegde identiteiten detecteren
    • Auditrapporten weergeven
    • Toegangsbeoordelingen maken om elke gebruiker te identificeren die in aanmerking komt voor het activeren van beheerdersbevoegdheden

Als u Azure AD Privileged Identity Management al gebruikt, past u zo nodig tijdsframes aan voor tijdgebonden bevoegdheden (bijvoorbeeld onderhoudsvensters).

Blootstelling aan aanmeldingsprotocollen op basis van wachtwoorden bepalen (als u Exchange Online gebruikt)

We raden u aan om elke potentiële gebruiker te identificeren die onherstelbaar kan zijn voor de organisatie als hun referenties zijn aangetast. Voor deze gebruikers stelt u sterke verificatievereisten in en gebruikt u voorwaardelijke toegang van Azure AD om te voorkomen dat ze zich aanmelden bij hun e-mail met behulp van gebruikersnaam en wachtwoord. U kunt verouderde verificatie blokkeren met behulp van voorwaardelijke toegang en u kunt basisverificatie blokkeren via Exchange Online.

Een beoordeling van rollen voltooien voor Microsoft 365-rollen (als u Microsoft 365 gebruikt)

Beoordeel of alle beheerdersgebruikers de juiste rollen hebben (verwijderen en opnieuw toewijzen volgens deze evaluatie).

Bekijk de benadering van beveiligingsincidentbeheer die wordt gebruikt in Microsoft 365 en vergelijk met uw eigen organisatie

U kunt dit rapport downloaden van Security Incident Management in Microsoft 365.

Continue to secure on-premises privileged administrative accounts (Doorgaan met het beveiligen van on-premises beheerdersaccounts met bevoegdheden)

Als uw Azure Active Directory is verbonden met on-premises Active Directory, volgt u de richtlijnen in de roadmap voor toegang met beveiligingsbevoegdheden: fase 2. In deze fase gaat u het volgende doen:

  • Privileged Access Workstations implementeren voor alle beheerders
  • MFA vereisen
  • Just Enough Admin gebruiken voor onderhoud van domeincontrollers, waardoor de kwetsbaarheid voor aanvallen van domeinen wordt verlaagd
  • Advanced Threat Assessment implementeren voor detectie van aanvallen

Aanvullende stappen voor organisaties die toegang tot Azure beheren

Geïntegreerde bewaking tot stand brengen

Microsoft Defender voor Cloud:

  • Biedt geïntegreerde beveiligingsbewaking en beleidsbeheer voor uw Azure-abonnementen
  • Helpt bedreigingen te detecteren die anders onopgemerkt kunnen gaan
  • Werkt met een breed scala aan beveiligingsoplossingen

Inventariseer uw bevoegde accounts binnen gehoste virtuele machines

U hoeft gebruikers meestal geen onbeperkte machtigingen te geven voor al uw Azure-abonnementen of -resources. Gebruik Azure AD-beheerdersrollen om alleen de toegang te verlenen die uw gebruikers nodig hebben om hun taken uit te voeren. U kunt Azure AD-beheerdersrollen gebruiken om één beheerder alleen VM's in een abonnement te laten beheren, terwijl een andere beheerder SQL-databases binnen hetzelfde abonnement kan beheren. Zie Wat is op rollen gebaseerd toegangsbeheer van Azure voor meer informatie.

PIM implementeren voor Azure AD-beheerdersrollen

Gebruik Privileged Identity Management met Azure AD-beheerdersrollen om de toegang tot Azure-resources te beheren, te beheren en te bewaken. Het gebruik van PIM beschermt door de blootstellingstijd van bevoegdheden te verlagen en uw zichtbaarheid in hun gebruik te vergroten via rapporten en waarschuwingen. Zie Wat is Azure AD Privileged Identity Management voor meer informatie.

Azure-logboekintegraties gebruiken om relevante Azure-logboeken naar uw SIEM-systemen te verzenden

Met Azure-logboekintegratie kunt u onbewerkte logboeken van uw Azure-resources integreren in de bestaande SIEM-systemen (Security Information and Event Management) van uw organisatie. Azure-logboekintegratie verzamelt Windows-gebeurtenissen uit Logboeken van Windows en Azure-resources van:

  • Azure-activiteitenlogboeken
  • Microsoft Defender voor Cloud-waarschuwingen
  • Azure-resourcelogboeken

Aanvullende stappen voor organisaties die toegang tot andere cloud-apps beheren via Azure AD

Gebruikersinrichting implementeren voor verbonden apps

Met Azure AD kunt u het maken en onderhouden van gebruikersidentiteiten automatiseren in cloud-apps zoals Dropbox, Salesforce en ServiceNow. Zie Het inrichten en ongedaan maken van inrichting van gebruikers voor SaaS-toepassingen automatiseren met Azure AD voor meer informatie.

Informatiebeveiliging integreren

Met Microsoft Defender voor Cloud Apps kunt u bestanden onderzoeken en beleidsregels instellen op basis van Azure Information Protection-classificatielabels, waardoor uw cloudgegevens beter zichtbaar en beheerd worden. Scan en classificeer bestanden in de cloud en pas Azure Information Protection-labels toe. Zie Azure Information Protection-integratie voor meer informatie.

Voorwaardelijke toegang configureren

Configureer Voorwaardelijke toegang op basis van een groep, locatie en toepassingsgevoeligheid voor SaaS-apps en met Azure AD verbonden apps.

Activiteit bewaken in verbonden cloud-apps

U wordt aangeraden Microsoft Defender voor Cloud Apps te gebruiken om ervoor te zorgen dat gebruikerstoegang ook wordt beveiligd in verbonden toepassingen. Deze functie beveiligt de bedrijfstoegang tot cloud-apps en beveiligt uw beheerdersaccounts, zodat u het volgende kunt doen:

  • Zichtbaarheid en beheer uitbreiden naar cloud-apps
  • Beleid maken voor toegang, activiteiten en het delen van gegevens
  • Automatisch riskante activiteiten, abnormaal gedrag en bedreigingen identificeren
  • Gegevenslekken voorkomen
  • Risico's en geautomatiseerde bedreigingspreventie en beleidshandhaving minimaliseren

De DEFENDER for Cloud Apps SIEM-agent integreert Defender for Cloud Apps met uw SIEM-server om gecentraliseerde bewaking van Microsoft 365-waarschuwingen en -activiteiten mogelijk te maken. Deze wordt uitgevoerd op uw server en haalt waarschuwingen en activiteiten van Defender for Cloud Apps op en streamt deze naar de SIEM-server. Zie SIEM-integratie voor meer informatie.

Fase 4: Doorgaan met het bouwen van verdedigingen

Stage 4: adopt an active security posture

Fase 4 van de roadmap moet zes maanden en langer worden geïmplementeerd. Voltooi uw roadmap om uw bevoegde toegangsbeveiliging te verbeteren tegen mogelijke aanvallen die vandaag bekend zijn. Voor de beveiligingsrisico's van morgen raden we u aan om beveiliging te bekijken als een doorlopend proces om de kosten te verhogen en het slagingspercentage van kwaadwillende aanvallers te verminderen die gericht zijn op uw omgeving.

Het beveiligen van bevoegde toegang is belangrijk om beveiligingsgaranties voor uw bedrijfsassets vast te stellen. Het moet echter deel uitmaken van een volledig beveiligingsprogramma dat doorlopende beveiligingsgaranties biedt. Dit programma moet elementen bevatten, zoals:

  • Beleid
  • Operations
  • Informatiebeveiliging
  • Servers
  • Toepassingen
  • Pc's
  • Apparaten
  • Cloudinfrastructuur

We raden de volgende procedures aan wanneer u bevoegde toegangsaccounts beheert:

  • Zorg ervoor dat beheerders hun dagelijkse zaken doen als onbevoegde gebruikers
  • Ververleent alleen bevoegde toegang wanneer dat nodig is en verwijder deze daarna (just-in-time)
  • Auditactiviteitslogboeken met betrekking tot bevoegde accounts behouden

Voor meer informatie over het bouwen van een volledig beveiligingsschema raadpleegt u resources voor IT-architectuur van Microsoft Cloud. Als u contact wilt opnemen met Microsoft-services om u te helpen bij het implementeren van een deel van uw roadmap, neemt u contact op met uw Microsoft-vertegenwoordiger of bekijkt u kritieke cyberbeveiligingen om uw onderneming te beschermen.

Deze laatste doorlopende fase van de roadmap voor beveiligde bevoegde toegang bevat de volgende onderdelen.

Algemene voorbereiding

Beheerdersrollen controleren in Azure AD

Bepaal of de huidige ingebouwde Azure AD-beheerdersrollen nog steeds up-to-date zijn en ervoor zorgen dat gebruikers alleen de rollen hebben die ze nodig hebben. Met Azure AD kunt u afzonderlijke beheerders toewijzen om verschillende functies te bedienen. Zie ingebouwde Azure AD-rollen voor meer informatie.

Gebruikers controleren die het beheer van aan Azure AD gekoppelde apparaten hebben

Zie Hybride Azure Active Directory-gekoppelde apparaten configureren voor meer informatie.

Leden van ingebouwde Microsoft 365-beheerdersrollen bekijken

Sla deze stap over als u Microsoft 365 niet gebruikt. ‎

Plan voor reactie op incidenten valideren

Om uw plan te verbeteren, raadt Microsoft u aan regelmatig te controleren of uw plan werkt zoals verwacht:

  • Doorloop uw bestaande roadmap om te zien wat er is gemist
  • Op basis van de postmortem-analyse wijzigt u bestaande of definieert u nieuwe procedures
  • Zorg ervoor dat uw bijgewerkte plan en procedures voor incidentrespons worden gedistribueerd in uw organisatie

Aanvullende stappen voor organisaties die toegang tot Azure beheren

Bepaal of u het eigendom van een Azure-abonnement wilt overdragen aan een ander account. ‎

"Glas breken": wat te doen in een noodgeval

Accounts for emergency break glass access

  1. Informeer belangrijke managers en beveiligingsfunctionarissen met informatie over het incident.

  2. Controleer uw aanvalsplaybook.

  3. Open de gebruikersnaam en wachtwoordcombinatie van uw 'break glass'-account om u aan te melden bij Azure AD.

  4. Vraag hulp van Microsoft door een Azure-ondersteuningsaanvraag te openen.

  5. Bekijk de azure AD-aanmeldingsrapporten. Er kan enige tijd zijn tussen een gebeurtenis die zich voordoet en wanneer deze is opgenomen in het rapport.

  6. Voor hybride omgevingen, als uw on-premises infrastructuur federatief is en uw AD FS-server niet beschikbaar is, kunt u tijdelijk overschakelen van federatieve verificatie om wachtwoord-hashsynchronisatie te gebruiken. Met deze switch wordt de domeinfederatie teruggezet naar beheerde verificatie totdat de AD FS-server beschikbaar is.

  7. E-mail bewaken voor bevoegde accounts.

  8. Zorg ervoor dat u back-ups van relevante logboeken opslaat voor mogelijk forensisch en juridisch onderzoek.

Zie Security Incident Management in Microsoft Office 365 voor meer informatie over hoe Microsoft Office 365 beveiligingsincidenten verwerkt.

Veelgestelde vragen: Antwoorden voor het beveiligen van bevoegde toegang

V: Wat moet ik doen als ik nog geen beveiligde toegangsonderdelen heb geïmplementeerd?

Antwoord: Definieer ten minste twee break-glass-accounts, wijs MFA toe aan uw bevoegde beheerdersaccounts en scheid gebruikersaccounts van globale beheerdersaccounts.

V: Wat is na een schending het belangrijkste probleem dat eerst moet worden opgelost?

Antwoord: Zorg ervoor dat u de sterkste verificatie vereist voor maximaal blootgestelde personen.

V: Wat gebeurt er als onze bevoegde beheerders zijn gedeactiveerd?

Antwoord: Maak een globale beheerdersaccount dat altijd up-to-date blijft.

V: Wat gebeurt er als er nog maar één globale beheerder is en ze niet kunnen worden bereikt?

Antwoord: Gebruik een van uw break-glass-accounts om directe bevoegde toegang te krijgen.

V: Hoe kan ik beheerders binnen mijn organisatie beveiligen?

Antwoord: Laat beheerders hun dagelijkse zaken altijd doen als standaard "onbevoegde" gebruikers.

V: Wat zijn de aanbevolen procedures voor het maken van beheerdersaccounts in Azure AD?

Antwoord: Gereserveerde toegang voor specifieke beheerderstaken.

V: Welke hulpprogramma's bestaan er voor het verminderen van permanente beheerderstoegang?

Antwoord: Privileged Identity Management (PIM) en Azure AD-beheerdersrollen.

V: Wat is de microsoft-positie voor het synchroniseren van beheerdersaccounts naar Azure AD?

Antwoord: Beheerdersaccounts van laag 0 worden alleen gebruikt voor on-premises AD-accounts. Dergelijke accounts worden doorgaans niet gesynchroniseerd met Azure AD in de cloud. Beheerdersaccounts in laag 0 omvatten accounts, groepen en andere assets die direct of indirect beheer hebben over het on-premises Active Directory-forest, domeinen, domeincontrollers en assets.

V: Hoe kunnen beheerders geen willekeurige beheerderstoegang toewijzen in de portal?

Antwoord: Gebruik niet-bevoegde accounts voor alle gebruikers en de meeste beheerders. Begin met het ontwikkelen van een footprint van de organisatie om te bepalen welke beheerdersaccounts bevoegd moeten zijn. En controleer op nieuw gemaakte gebruikers met beheerdersrechten.

Volgende stappen

Andere Microsoft Online Services