Bevoegde toegang beveiligen voor hybride implementaties en cloudimplementaties in Azure AD

De beveiliging van bedrijfsassets is afhankelijk van de integriteit van de bevoegde accounts waarmee de IT-systemen worden beheerd. Cyberaanvallers stelen referenties om toegang te krijgen tot beheerdersaccounts en andere bevoegde toegang om zo toegang te krijgen tot gevoelige gegevens.

Voor cloudservices zijn preventie en respons de gezamenlijke verantwoordelijkheden van de cloudserviceprovider en de klant. Zie het Rapport Microsoft-beveiligingsinformatie voor meer informatie over de nieuwste bedreigingen voor eindpunten en de cloud. Dit artikel kan u helpen bij het ontwikkelen van een roadmap voor het sluiten van de hiaten tussen uw huidige plannen en de richtlijnen die hier worden beschreven.

Notitie

Microsoft streeft naar de hoogste vertrouwensniveaus, transparantie, naleving van standaarden en naleving van regelgeving. Meer informatie over hoe het wereldwijde incidentresponsteam van Microsoft de gevolgen van aanvallen op cloudservices beperkt en hoe beveiliging is ingebouwd in Microsoft-bedrijfsproducten en -cloudservices in Microsoft Trust Center - Beveiliging en Microsoft-nalevingsdoelen in Microsoft Trust Center - Compliance.

Normaal gesproken was de beveiliging van de organisatie gericht op de toegangspunten en uitgangen van een netwerk als de beveiligingsperimeter. SaaS-apps en persoonlijke apparaten op internet hebben deze aanpak echter minder effectief gemaakt. In Azure AD vervangen we de perimeter van de netwerkbeveiliging door verificatie in de identiteitslaag van uw organisatie, met gebruikers die zijn toegewezen aan bevoegde beheerdersrollen. De toegang moet worden beveiligd, ongeacht of de omgeving zich on-premises, in de cloud of in een hybride omgeving bevindt.

Voor het beveiligen van bevoegde toegang zijn wijzigingen vereist aan:

  • Processen, administratieve procedures en kennisbeheer
  • Technische onderdelen zoals hostbeveiliging, accountbeveiliging en identiteitsbeheer

Beveilig uw bevoegde toegang op een manier die wordt beheerd en gerapporteerd in de Microsoft-services die u belangrijk vindt. Als u on-premises beheerdersaccounts hebt, raadpleegt u de richtlijnen voor on-premises en hybride bevoegde toegang in Active Directory bij Privileged Access beveiligen.

Notitie

De richtlijnen in dit artikel verwijzen voornamelijk naar functies van Azure Active Directory die zijn opgenomen in Azure AD Premium P1 en P2. Azure AD Premium P2 is inbegrepen in de EMS E5-suite en Microsoft 365 E5-suite. In deze richtlijnen wordt ervan uitgegaan dat uw organisatie al Azure AD Premium P2 licenties heeft aangeschaft voor uw gebruikers. Als u deze licenties niet hebt, zijn sommige richtlijnen mogelijk niet van toepassing op uw organisatie. In dit artikel betekent de term Globale beheerder hetzelfde als 'bedrijfsbeheerder' of 'tenantbeheerder'.

Een roadmap ontwikkelen

Microsoft raadt u aan een roadmap te ontwikkelen en te volgen om bevoegde toegang te beveiligen tegen cyberaanvallers. U kunt uw roadmap altijd aanpassen aan uw bestaande mogelijkheden en specifieke vereisten binnen uw organisatie. Elke fase van het schema heeft als doel om het voor aanvallers duurder en moeilijker te maken om bevoegde toegang voor uw on-premises, cloud- en hybride assets aan te vallen. Microsoft raadt de volgende vier roadmapfasen aan. Plan eerst de meest effectieve en snelste implementaties. Dit artikel kan uw handleiding zijn, op basis van de ervaringen van Microsoft met cyberaanvallen en responsimplementatie. De tijdlijnen voor deze roadmap zijn benaderingen.

Fasen van de roadmap met tijdlijnen

  • Fase 1 (24-48 uur): Kritieke items waarvan wij aanraden ze direct uit te voeren

  • Fase 2 (2-4 weken): De meest gebruikte aanvalstechnieken beperken

  • Fase 3 (1-3 maanden): Zichtbaarheid opbouwen en volledige controle over beheerdersactiviteit opbouwen

  • Fase 4 (zes maanden en daarna): Blijf verdediging bouwen om uw beveiligingsplatform verder te beveiligen

Dit roadmap-tijdskader is ontworpen om het gebruik van Microsoft-technologieën te maximaliseren die u mogelijk al hebt geïmplementeerd. Overweeg om beveiligingshulpprogramma's te koppelen van andere leveranciers die u al hebt geïmplementeerd of overweegt om te implementeren.

Fase 1: Kritieke items die u nu moet regelen

Stage 1 Kritieke items worden eerst voltooid

Fase 1 van de roadmap is gericht op kritieke taken die snel en eenvoudig te implementeren zijn. Microsoft raadt aan deze paar items meteen binnen de eerste 24-48 uur uit te voeren om een basisniveau van beveiligde bevoegde toegang te garanderen. Deze fase van de SPA-roadmap bevat de volgende acties:

Algemene voorbereiding

Azure AD Privileged Identity Management gebruiken

Microsoft raadt aan om Azure AD Privileged Identity Management (PIM) te gebruiken in uw Azure AD productieomgeving. Nadat u PIM hebt gestart, ontvangt u e-mailberichten met meldingen voor wijzigingen in bevoegde toegangsrollen. Meldingen geven een vroege waarschuwing wanneer extra gebruikers worden toegevoegd aan rollen met hoge bevoegdheden.

Azure AD Privileged Identity Management is opgenomen in Azure AD Premium P2 of EMS E5. Meld u aan voor de Gratis proefversie van 90 dagen van Enterprise Mobility + Security om de toegang tot toepassingen en resources on-premises en in de cloud te beveiligen. Azure AD Privileged Identity Management en Azure AD Identity Protection bewaken beveiligingsactiviteiten met behulp van Azure AD rapportages, controle en waarschuwingen.

Nadat u Azure AD Privileged Identity Management bent gaan gebruiken:

  1. Meld u aan bij Azure Portal met een account met de rechten voor globale beheerder van uw Azure AD-productie-organisatie.

  2. Als u de Azure AD organisatie wilt selecteren waar u Privileged Identity Management wilt gebruiken, selecteert u uw gebruikersnaam in de rechterbovenhoek van Azure Portal.

  3. Selecteer Alle services in het menu van Azure Portal en filter de lijst voor Azure AD Privileged Identity Management.

  4. Open Privileged Identity Management in de lijst Alle services en maak deze vast aan uw dashboard.

Zorg ervoor dat de eerste persoon die PIM in uw organisatie gebruikt, is toegewezen aan de rollen Beveiligingsbeheerder en Beheerder voor bevoorrechte rollen. Alleen beheerders van bevoorrechte rollen kunnen de Azure AD maproltoewijzingen van gebruikers beheren. De PIM-beveiligingswizard begeleidt u bij de eerste detectie- en toewijzingservaring. U kunt de wizard afsluiten zonder dat u op dit moment extra wijzigingen hoeft aan te brengen.

Accounts in zeer bevoorrechte rollen identificeren en categoriseren

Nadat u Azure AD Privileged Identity Management hebt gebruikt, bekijkt u de gebruikers met de volgende Azure AD rollen:

  • Hoofdbeheerder
  • Beheerder voor bevoorrechte rollen
  • Exchange-beheerder
  • SharePoint-beheerder

Als u geen Azure AD Privileged Identity Management in uw organisatie hebt, kunt u de PowerShell-API gebruiken. Begin met de rol Globale beheerder omdat een globale beheerder dezelfde machtigingen heeft voor alle cloudservices waarop uw organisatie zich heeft geabonneerd. Deze machtigingen worden verleend, ongeacht waar ze zijn toegewezen: in het Microsoft 365-beheercentrum, Azure Portal of door de Azure AD-module voor Microsoft PowerShell.

Verwijder alle accounts die niet meer nodig zijn in deze rollen. Categoriseer vervolgens de resterende accounts die zijn toegewezen aan beheerdersrollen:

  • Toegewezen aan gebruikers met beheerdersrechten, maar ook voor niet-administratieve doeleinden (bijvoorbeeld persoonlijke e-mail)
  • Alleen toegewezen aan gebruikers met beheerdersrechten en gebruikt voor beheerdersdoeleinden
  • Gedeeld door meerdere gebruikers
  • Voor break-glass-noodtoegangsscenario's
  • Voor geautomatiseerde scripts
  • Voor externe gebruikers

Ten minste twee accounts voor toegang tot noodgevallen definiëren

Het is mogelijk dat een gebruiker per ongeluk wordt vergrendeld voor zijn of haar rol. Als een federatieve on-premises id-provider bijvoorbeeld niet beschikbaar is, kunnen gebruikers zich niet aanmelden of een bestaand beheerdersaccount activeren. U kunt zich voorbereiden op onbedoeld gebrek aan toegang door twee of meer accounts voor noodtoegang op te slaan.

Accounts voor noodtoegang helpen bevoegde toegang binnen een Azure AD organisatie te beperken. Deze accounts hebben hoge bevoegdheden en worden niet toegewezen aan specifieke personen. Accounts voor noodtoegang zijn alleen bestemd voor echte noodsituaties waarin normale beheerdersaccounts niet kunnen worden gebruikt. Zorg ervoor dat u het gebruik van het account voor noodgevallen beperkt tot alleen die tijd waarvoor dit nodig is.

Evalueer de accounts die zijn toegewezen of in aanmerking komen voor de rol Globale beheerder. Als u geen cloudaccounts ziet die gebruikmaken van het domein *.onmicrosoft.com (voor toegang bij noodgevallen), maakt u deze. Zie Beheerdersaccounts beheren voor noodgevallen in Azure AD voor meer informatie.

Meervoudige verificatie inschakelen en alle andere niet-federatieve beheerdersaccounts met hoge bevoegdheden voor één gebruiker registreren

Vereis Azure AD Multi-Factor Authentication (MFA) bij het aanmelden voor alle afzonderlijke gebruikers die permanent zijn toegewezen aan een of meer van de Azure AD beheerdersrollen: Globale beheerder, Beheerder met bevoorrechte rol, Exchange-beheerder en SharePoint-beheerder. Gebruik de richtlijnen in Meervoudige verificatie afdwingen voor uw beheerders en zorg ervoor dat al die gebruikers zich hebben geregistreerd bij https://aka.ms/mfasetup. Meer informatie vindt u in stap 2 en stap 3 van de handleiding Gebruikers- en apparaattoegang beveiligen in Microsoft 365.

Fase 2: Veelgebruikte aanvallen beperken

Fase 2 Veelgebruikte aanvallen beperken

Fase 2 van de roadmap is gericht op het beperken van de meest gebruikte aanvalstechnieken van referentiediefstal en -misbruik en kan in ongeveer 2-4 weken worden geïmplementeerd. Deze fase van de SPA-roadmap bevat de volgende acties.

Algemene voorbereiding

Een inventarisatie van services, eigenaren en beheerders uitvoeren

De toename van 'Bring Your Own Device' en het thuiswerkbeleid, en de groei van draadloze connectiviteit maken het essentieel om te controleren wie verbinding maakt met uw netwerk. Een beveiligingscontrole kan apparaten, toepassingen en programma's in uw netwerk onthullen die uw organisatie niet ondersteunt en die een hoog risico vertegenwoordigen. Zie het Overzicht van Azure-beveiligingsbeheer en -bewaking voor meer informatie. Zorg ervoor dat u alle volgende taken in uw inventarisproces opneemt.

  • Identificeer de gebruikers met beheerdersrollen en de services die ze kunnen beheren.

  • Gebruik Azure AD PIM om erachter te komen welke gebruikers in uw organisatie beheerderstoegang hebben tot Azure AD.

  • Naast de rollen die zijn gedefinieerd in Azure AD, wordt Microsoft 365 geleverd met een set beheerdersrollen die u kunt toewijzen aan gebruikers in uw organisatie. Elke beheerdersrol wordt toegewezen aan algemene bedrijfsfuncties en geeft personen in uw organisatie machtigingen om specifieke taken uit te voeren in het Microsoft 365-beheercentrum. Gebruik het Microsoft 365-beheercentrum om erachter te komen welke gebruikers in uw organisatie beheerderstoegang hebben tot Microsoft 365, inclusief via rollen die niet worden beheerd in Azure AD. Zie Microsoft 365-beheerdersrollen en beveiligingsprocedures voor Office 365 voor meer informatie.

  • Voer de inventaris uit in services waarvoor uw organisatie afhankelijk is, zoals Azure, Intune of Dynamics 365.

  • Zorg ervoor dat uw accounts die worden gebruikt voor beheerdoeleinden:

    • Zijn gekoppeld aan werkende e-mailadressen
    • Zijn geregistreerd voor Azure AD Multi-Factor Authentication of MFA on-premises gebruiken
  • Vraag gebruikers om hun zakelijke reden voor beheerderstoegang.

  • Verwijder beheerderstoegang voor personen en services die deze niet nodig hebben.

Microsoft-accounts identificeren in beheerdersrollen die moeten worden overgeschakeld naar werk- of schoolaccounts

Als uw oorspronkelijke globale beheerders hun bestaande Microsoft-accountreferenties hergebruiken van het moment waarop ze begonnen met het gebruik van Azure AD, vervangt u de Microsoft-accounts door afzonderlijke cloud- of gesynchroniseerde accounts.

Afzonderlijke gebruikersaccounts en het doorsturen van e-mail voor globale beheerdersaccounts garanderen

Persoonlijke e-mailaccounts worden regelmatig aangevallen door cyberaanvallers, een risico dat persoonlijke e-mailadressen onaanvaardbaar maakt voor globale beheerdersaccounts. Om internetrisico's te scheiden van beheerdersbevoegdheden, kunt u toegewezen accounts maken voor elke gebruiker met beheerdersbevoegdheden.

  • Zorg ervoor dat u afzonderlijke accounts maakt voor gebruikers om globale beheerderstaken uit te voeren.
  • Zorg ervoor dat uw globale beheerders geen e-mailberichten per ongeluk openen of programma's uitvoeren met hun beheerdersaccounts.
  • Zorg ervoor dat de e-mails van deze accounts worden doorgestuurd naar een werkpostvak.
  • Globale beheerdersaccounts (en andere bevoegde groepen) moeten cloudaccounts zijn zonder banden met on-premises Active Directory.

Zorg ervoor dat de wachtwoorden van beheerdersaccounts onlangs zijn gewijzigd

Zorg ervoor dat alle gebruikers zich hebben aangemeld bij hun beheerdersaccounts en hun wachtwoorden ten minste eenmaal hebben gewijzigd in de afgelopen 90 dagen. Controleer ook of gedeelde accounts hun wachtwoorden onlangs hebben gewijzigd.

Wachtwoordhashsynchronisatie inschakelen

Azure AD Connect synchroniseert een hash van de hash van het wachtwoord van een gebruiker vanuit een on-premises Active Directory naar een Azure AD-organisatie in de cloud. U kunt wachtwoordhashsynchronisatie gebruiken als back-up als u federatie gebruikt met Active Directory Federation Services (AD FS). Deze back-up kan handig zijn als uw on-premises Active Directory- of AD FS-servers tijdelijk niet beschikbaar zijn.

Met wachtwoordhashsynchronisatie kunnen gebruikers zich aanmelden bij een service met hetzelfde wachtwoord dat ze gebruiken om zich aan te melden bij hun on-premises Active Directory-exemplaar. Met wachtwoordhashsynchronisatie kan Identity Protection gecompromitteerde referenties detecteren door wachtwoordhashes te vergelijken met wachtwoorden waarvan bekend is dat ze gestolen zijn. Zie Wachtwoordhashsynchronisatie implementeren met Azure AD Connect-synchronisatie voor meer informatie.

Meervoudige verificatie vereisen voor gebruikers met bevoorrechte rollen en blootgestelde gebruikers

Azure AD raadt u aan om meervoudige verificatie (MFA) voor al uw gebruikers te vereisen. Houd rekening met gebruikers waarvan de impact aanzienlijk zou zijn als hun account is gecompromitteerd (bijvoorbeeld financiële agenten). MFA vermindert het risico op een aanval vanwege een gestolen wachtwoord.

Schakel het volgende in:

Als u Windows Hello voor Bedrijven gebruikt, kan aan de MFA-vereiste worden voldaan met behulp van de Windows Hello aanmeldingservaring. Zie Windows Hello voor meer informatie.

Id-bescherming configureren

Azure AD Identity Protection is een hulpprogramma voor bewaking en rapportage op basis van algoritmen waarmee potentiële beveiligingsproblemen worden gedetecteerd die van invloed zijn op de identiteiten van uw organisatie. U kunt geautomatiseerde reacties op gedetecteerde verdachte activiteiten configureren en de juiste actie ondernemen om ze op te lossen. Zie Azure Active Directory Identity Protection voor meer informatie.

Uw Microsoft 365-beveiligingsscore verkrijgen (als u Microsoft 365 gebruikt)

Secure Score bekijkt uw instellingen en activiteiten voor de Microsoft 365-services die u gebruikt en vergelijkt deze met een basislijn die door Microsoft is ingesteld. U krijgt een score op basis van hoe u bent afgestemd op beveiligingsprocedures. Iedereen met de beheerdersmachtigingen voor een Microsoft 365 Business Standard- of Enterprise-abonnement heeft toegang tot de Secure Score op https://security.microsoft.com/securescore.

Bekijk de richtlijnen voor beveiliging en naleving van Microsoft 365 (als u Microsoft 365 gebruikt)

Het plan voor beveiliging en naleving beschrijft de aanpak voor een Office 365 klant om Office 365 te configureren en andere EMS-mogelijkheden in te schakelen. Bekijk vervolgens stap 3-6 van Beveiligen van toegang tot gegevens en services in Microsoft 365 en de handleiding voor Bewaken van beveiliging en naleving in Microsoft 365.

Microsoft 365 Activity Monitoring configureren (als u Microsoft 365 gebruikt)

Bewaak uw organisatie voor gebruikers die Microsoft 365 gebruiken om medewerkers te identificeren die een beheerdersaccount hebben, maar mogelijk geen toegang tot Microsoft 365 nodig hebben omdat ze zich niet aanmelden bij deze portals. Zie Activiteitenrapporten in het Microsoft 365-beheercentrum voor meer informatie.

Eigenaren van incident-/noodresponsplannen instellen

Het tot stand brengen van een geslaagde mogelijkheid voor het reageren op incidenten vereist aanzienlijke planning en middelen. U moet voortdurend controleren op cyberaanvallen en prioriteiten vaststellen voor incidentafhandeling. Verzamel, analyseer en rapporteer incidentgegevens om relaties te bouwen en communicatie tot stand te brengen met andere interne groepen en planeigenaren. Zie Microsoft Security Response Center voor meer informatie.

Beveilig on-premises bevoegde beheerdersaccounts, als dit nog niet is gebeurd

Als uw Azure Active Directory-organisatie wordt gesynchroniseerd met on-premises Active Directory, volgt u de richtlijnen in de roadmap voor toegang met beveiligingsbevoegdheden. Deze fase omvat:

  • Afzonderlijke beheerdersaccounts maken voor gebruikers die on-premises beheertaken moeten uitvoeren
  • Privileged Access Workstations implementeren voor Active Directory-beheerders
  • Unieke lokale beheerderswachtwoorden maken voor werkstations en servers

Aanvullende stappen voor organisaties die toegang tot Azure beheren

Een inventaris van abonnementen voltooien

Gebruik de Enterprise-portal en Azure Portal om de abonnementen in uw organisatie te identificeren die productietoepassingen hosten.

Microsoft-accounts verwijderen uit beheerdersrollen

Microsoft-accounts van andere programma's, zoals Xbox, Live en Outlook, mogen niet worden gebruikt als beheerdersaccounts voor de abonnementen van uw organisatie. Verwijder de beheerdersstatus van alle Microsoft-accounts en vervang deze door werk- of schoolaccounts van Azure AD (bijvoorbeeldchris@contoso.com). Voor beheerdersdoeleinden is dit afhankelijk van accounts die zijn geverifieerd in Azure AD en niet in andere services.

Azure-activiteit bewaken

Het Azure-activiteitenlogboek bevat een geschiedenis van gebeurtenissen op abonnementsniveau in Azure. Het biedt informatie over wie welke resources heeft gemaakt, bijgewerkt of verwijderd, en wanneer deze gebeurtenissen hebben plaatsgevonden. Zie Controleren en meldingen ontvangen over belangrijke acties in uw Azure-abonnement voor meer informatie.

Aanvullende stappen voor organisaties die toegang tot andere cloud-apps beheren via Azure AD

Het voorwaardelijke toegangsbeleid configureren

Beleidsregels voor voorwaardelijke toegang voorbereiden voor on-premises en in de cloud gehoste toepassingen. Als u apparaten van gebruikers hebt die zijn toegevoegd aan de werkplek, kunt u meer informatie krijgen over het Instellen van on-premises voorwaardelijke toegang met behulp van Azure Active Directory-apparaatregistratie.

Fase 3: Beheer van beheerdersactiviteit overnemen

Fase 3: beheer van beheerdersactiviteit overnemen

Fase 3 is gebaseerd op de oplossingen uit Fase 2 en zou in ongeveer 1-3 maanden moeten worden geïmplementeerd. Deze fase van de roadmap voor beveiligde bevoegde toegang bevat de volgende onderdelen.

Algemene voorbereiding

Een toegangsbeoordeling voltooien van gebruikers in beheerdersrollen

Meer zakelijke gebruikers krijgen bevoorrechte toegang via cloudservices, wat kan leiden tot niet-beheerde toegang. Gebruikers kunnen tegenwoordig globale beheerders worden voor Microsoft 365, Azure-abonnementsbeheerders of beheerderstoegang hebben tot VM's of via SaaS-apps.

Uw organisatie moet alle werknemers gewone zakelijke transacties laten afhandelen als onbevoegde gebruikers en vervolgens beheerdersrechten verlenen als dat nodig is. Voltooi toegangsbeoordelingen om de gebruikers te identificeren en te bevestigen die in aanmerking komen voor het activeren van beheerdersbevoegdheden.

U wordt aangeraden dat u:

  1. Bepaal welke gebruikers Azure AD beheerders zijn, schakel Just-In-Time-beheerderstoegang op aanvraag en beveiligingsmaatregelen op basis van rollen in.
  2. Converteer gebruikers die geen duidelijke reden hebben voor beheerderstoegang tot een andere rol (als er geen in aanmerking komende rol is, verwijdert u de gebruiker).

Continue implementatie van sterkere verificatie voor alle gebruikers

Vereis dat gebruikers met veel blootstelling moderne, sterke verificatie hebben, zoals Azure AD MFA of Windows Hello. Voorbeelden van maximaal blootgestelde gebruikers zijn:

  • C-suite leidinggevenden
  • Managers op hoog niveau
  • Kritiek IT- en beveiligingspersoneel

Toegewezen werkstations gebruiken voor beheer voor Azure AD

Aanvallers proberen zich mogelijk te richten op accounts met bevoegdheden, zodat ze de integriteit en echtheid van gegevens kunnen verstoren. Ze gebruiken vaak schadelijke code die de programmalogica wijzigt of die kan zien welke referentie een beheerder invoert. Privileged Access Workstations (PAW's) beschikken over een speciaal besturingssysteem voor gevoelige taken dat is beveiligd tegen aanvallen via internet en dreigingsvectoren. Door deze gevoelige taken en accounts uit de werkstations en toestellen voor dagelijks gebruik te scheiden biedt u sterke bescherming tegen:

  • Phishing-aanvallen
  • Beveiligingsproblemen met toepassingen en besturingssystemen
  • Imitatieaanvallen
  • Aanvallen met diefstal van referenties, zoals het vastleggen van toetsaanslagen, Pass-the-Hash en Pass-The-Ticket

Door bevoegde toegangswerkstations te implementeren, kunt u het risico beperken dat beheerders hun referenties invoeren in een bureaubladomgeving die niet is beveiligd. Zie Privileged Access Workstations voor meer informatie.

Review National Institute of Standards and Technology aanbevelingen voor incidentafhandeling

Het National Institute of Standards and Technology (NIST) biedt richtlijnen voor incidentafhandeling, met name voor het analyseren van incidentgerelateerde gegevens en het bepalen van de juiste reactie op elk incident. Zie The (NIST) Computer Security Incident Handling Guide (SP 800-61, Revision 2) voor meer informatie.

Privileged Identity Management (PIM) implementeren voor JIT naar aanvullende beheerdersrollen

Voor Azure Active Directory gebruikt u de Azure AD Privileged Identity Management-mogelijkheid. Tijdsbeperking voor het activeren van bevoorrechte rollen werkt door het volgende mogelijk te maken:

  • Beheerdersbevoegdheden activeren om een specifieke taak uit te voeren

  • MFA afdwingen tijdens het activeringsproces

  • Waarschuwingen gebruiken om beheerders te informeren over out-of-band-wijzigingen

  • Gebruikers in staat stellen hun bevoegde toegang te behouden voor een vooraf geconfigureerde tijdsduur

  • Beveiligingsbeheerders toestaan het volgende te doen:

    • Alle bevoorrechte identiteiten ontdekken
    • Controlerapporten weergeven
    • Toegangsbeoordelingen maken om te bepalen welke gebruikers in aanmerking komen voor het activeren van beheerdersbevoegdheden

Als u al Azure AD Privileged Identity Management gebruikt, past u zo nodig tijdsframes aan voor tijdgebonden bevoegdheden (bijvoorbeeld onderhoudsvensters).

Blootstelling aan op wachtwoord gebaseerde aanmeldingsprotocollen bepalen (bij gebruik van Exchange Online)

Het wordt aanbevolen elke potentiële gebruiker te identificeren die van catastrofale impact kan zijn op de organisatie als zijn referenties worden aangetast. Voor deze gebruikers stelt u sterke verificatievereisten in en gebruikt u Azure AD voorwaardelijke toegang om te voorkomen dat ze zich aanmelden bij hun e-mail met behulp van gebruikersnaam en wachtwoord. U kunt verouderde verificatie met behulp van voorwaardelijke toegang blokkeren en u kunt basisverificatie blokkeren via Exchange Online.

Een beoordeling van rollen voltooien voor Microsoft 365-rollen (als u Microsoft 365 gebruikt)

Evalueer of alle gebruikers die tevens beheerder zijn, de juiste rollen hebben (verwijderen en opnieuw toewijzen volgens deze evaluatie).

Bekijk de benadering voor het beheren van beveiligingsincidenten die wordt gebruikt in Microsoft 365 en vergelijk met uw eigen organisatie

U kunt dit rapport downloaden van Security Incident Management in Microsoft 365.

Doorgaan met het beveiligen van on-premises bevoegde beheerdersaccounts

Als uw Azure Active Directory is verbonden met on-premises Active Directory, volgt u de richtlijnen in de Roadmap voor toegang met beveiligingsbevoegdheden: fase 2. In deze fase gaat u als volgt te werk:

  • Privileged Access Workstations implementeren voor alle beheerders
  • MFA vereisen
  • Just Enough Admin gebruiken voor onderhoud van domeincontrollers, waardoor de kwetsbaarheid van domeinen voor aanvallen wordt verlaagd
  • Advanced Threat Assessment implementeren voor detectie van aanvallen

Aanvullende stappen voor organisaties die toegang tot Azure beheren

Geïntegreerde bewaking tot stand brengen

De Microsoft Defender voor Cloud:

  • Biedt geïntegreerde beveiligingscontrole en beleidsbeheer voor uw Azure-abonnementen
  • Helpt bij het detecteren van bedreigingen die anders onopgemerkt kunnen blijven
  • Werkt met een breed scala aan beveiligingsoplossingen

Inventariseer uw bevoegde accounts binnen gehoste virtuele machines

Meestal hoeft u gebruikers geen onbeperkte machtigingen te geven voor al uw Azure-abonnementen of -resources. Gebruik Azure AD beheerdersrollen om alleen de toegang te verlenen die uw gebruikers nodig hebben om hun taken uit te voeren. U kunt Azure AD beheerdersrollen gebruiken om één beheerder alleen VM's in een abonnement te laten beheren, terwijl een andere beheerder SQL-databases binnen hetzelfde abonnement kan beheren. Zie voor meer informatie Wat is op rollen gebaseerd toegangsbeheer in Azure.

PIM implementeren voor Azure AD beheerdersrollen

Gebruik Privileged Identity Management met Azure AD beheerdersrollen voor het beheren, controleren en bewaken van toegang tot Azure-resources. Door PIM te gebruiken zorgt u voor extra beveiliging door de tijd gedurende welke toegangsbevoegdheden voor een resource zichtbaar te verlagen zijn en uw inzicht in het gebruik ervan door middel van rapporten en waarschuwingen te vergroten. Zie Wat is Azure AD Privileged Identity Management voor meer informatie.

Azure-logboekintegraties gebruiken om relevante Azure-logboeken naar uw SIEM-systemen te verzenden

Met Azure-logboekintegratie kunt u onbewerkte logboeken van uw Azure-resources integreren in de bestaande SIEM-systemen (Security Information and Event Management) van uw organisatie. Integratie van Azure-logboeken verzamelt Windows-gebeurtenissen van Windows Logboeken en Azure-resources van:

  • Activiteitenlogboeken van Azure
  • Meldingen voor Microsoft Defender voor Cloud
  • Azure-resourcelogboeken

Aanvullende stappen voor organisaties die toegang tot andere cloud-apps beheren via Azure AD

Gebruikersinrichting implementeren voor verbonden apps

Met Azure AD kunt u het maken en onderhouden van gebruikersidentiteiten automatiseren in cloud-apps zoals Dropbox, Salesforce en ServiceNow. Zie Automatisch gebruikers inrichten en de inrichting ongedaan maken voor SaaS-toepassingen met Azure AD voor meer informatie.

Informatiebeveiliging integreren

Met Microsoft Defender for Cloud Apps kunt u bestanden onderzoeken en beleid instellen op basis van classificatielabels van Azure Information Protection. Dat zorgt voor meer zichtbaarheid van en controle over uw cloudgegevens. Bestanden scannen en classificeren in de cloud en Azure Information Protection-labels toepassen. Zie Azure Information Protection-integratie voor meer informatie.

Voorwaardelijke toegang configureren

Configureer Voorwaardelijke toegang op basis van een groep, locatie en toepassingsgevoeligheid voor SaaS-apps en Azure AD verbonden apps.

Activiteit bewaken in verbonden cloud-apps

U wordt aangeraden Microsoft Defender for Cloud Apps te gebruiken om ervoor te zorgen dat gebruikerstoegang ook wordt beveiligd in verbonden toepassingen. Deze functie beveiligt de toegang van de onderneming tot cloud-apps en beveiligt uw beheerdersaccounts, zodat u het volgende kunt doen:

  • Zichtbaarheid en controle uitbreiden naar cloud-apps
  • Beleid maken voor toegang, activiteiten en het delen van gegevens
  • Risicovolle activiteiten, abnormaal gedrag en bedreigingen automatisch identificeren
  • Gegevenslekken voorkomen
  • Risico's en geautomatiseerde bedreigingspreventie en beleidshandhaving minimaliseren

De SIEM-agent van Defender voor Cloud Apps integreert Defender for Cloud Apps met uw SIEM-server om gecentraliseerde bewaking van Microsoft 365-waarschuwingen en -activiteiten mogelijk te maken. De agent wordt uitgevoerd op uw server en haalt waarschuwingen en activiteiten op uit Defender for Cloud Apps en verzendt deze naar de SIEM-server. Zie voor meer informatie SIEM-integratie.

Fase 4: Doorgaan met het bouwen van verdedigingen

Fase 4: een actieve houding aannemen ten opzichte van beveiliging

Fase 4 van de roadmap moet na zes maanden en daarna worden geïmplementeerd. Voltooi uw roadmap om uw beschermde toegangsbeveiligingen te versterken tegen mogelijke aanvallen die vandaag de dag bekend zijn. Voor de beveiligingsrisico's van morgen raden we u aan om beveiliging te zien als een continu proces om de kosten te verhogen en het slagingspercentage van kwaadwillende personen te verminderen die gericht zijn op uw omgeving.

Het beveiligen van bevoegde toegang is belangrijk om beveiligingsgaranties voor uw zakelijke assets tot stand te brengen. Het moet echter deel uitmaken van een volledig beveiligingsprogramma dat doorlopende beveiligingsgaranties biedt. Dit programma moet elementen bevatten, zoals:

  • Beleid
  • Operations
  • Informatiebeveiliging
  • Servers
  • Toepassingen
  • Pc's
  • Apparaten
  • Cloudinfrastructuur

U wordt aangeraden de volgende procedures te volgen wanneer u accounts voor bevoegde toegang beheert:

  • Zorg ervoor dat beheerders hun dagelijkse werkzaamheden uitvoeren als niet-gemachtigde gebruikers
  • Verleen alleen bevoegde toegang wanneer dat nodig is en verwijder deze later (Just-In-Time)
  • Bewaar auditactiviteitenlogboeken met betrekking tot bevoegde accounts

Zie IT-architectuurresources voor Microsoft Cloud voor meer informatie over het bouwen van een volledig beveiligingsschema. Als u wilt samenwerken met Microsoft-services om u te helpen bij het implementeren van een deel van uw roadmap, neemt u contact op met uw Microsoft-vertegenwoordiger of raadpleegt u Kritieke cyberbeveiligingen bouwen om uw onderneming te beschermen.

Deze laatste, doorlopende fase van de roadmap voor beveiligde bevoegde toegang bevat de volgende onderdelen.

Algemene voorbereiding

Beheerdersrollen controleren in Azure AD

Bepaal of de huidige ingebouwde Azure AD beheerdersrollen nog steeds up-to-date zijn en zorg ervoor dat gebruikers alleen de rollen hebben die ze nodig hebben. Met Azure AD kunt u afzonderlijke beheerders toewijzen voor verschillende functies. Zie In Azure AD ingebouwde rollen voor meer informatie.

Gebruikers controleren die het beheer van Azure AD gekoppelde apparaten hebben

Zie Hybride Azure Active Directory-gekoppelde apparaten configureren voor meer informatie.

Leden van ingebouwde Microsoft 365-beheerdersrollen controleren

Sla deze stap over als u Microsoft 365 niet gebruikt. ‎

Plan voor het reageren op incidenten valideren

Om uw plan te verbeteren, raadt Microsoft u aan regelmatig te controleren of uw plan werkt zoals verwacht:

  • Doorloop uw bestaande roadmap om te zien wat u hebt gemist
  • Op basis van de postmortem-analyse wijzigt u bestaande of definieert u nieuwe procedures
  • Zorg ervoor dat uw bijgewerkte plan en procedures voor incidentrespons worden gedistribueerd in uw organisatie

Aanvullende stappen voor organisaties die toegang tot Azure beheren

Bepaal of u het eigendom van een Azure-abonnement wilt overdragen aan een ander account. ‎

'Break glass': wat te doen bij een noodgeval

Accounts voor toegang tot 'break glass' bij een noodgeval

  1. Informeer belangrijke managers en beveiligingsfunctionarissen met informatie over het incident.

  2. Raadpleeg uw aanvalsplaybook.

  3. Gebruik uw gebruikersnaam en wachtwoordcombinatie voor uw 'break glass'-account om u aan te melden bij Azure AD.

  4. Krijg hulp van Microsoft door een ondersteuningsaanvraag voor Azure te openen.

  5. Bekijk de Azure AD aanmeldingsrapporten. Er kan enige tijd zitten tussen een gebeurtenis die zich voordoet en wanneer deze wordt opgenomen in het rapport.

  6. Als voor hybride omgevingen uw on-premises infrastructuur federatief is en uw AD FS-server niet beschikbaar is, kunt u tijdelijk overschakelen van federatieve verificatie om wachtwoord-hash-synchronisatie te gebruiken. Met deze schakeloptie wordt de domeinfederatie teruggezet naar beheerde verificatie totdat de AD FS-server weer beschikbaar is.

  7. E-mail controleren op bevoegde accounts.

  8. Zorg ervoor dat u back-ups van relevante logboeken opslaat voor mogelijk forensisch en juridisch onderzoek.

Zie Beveiligingsincidentbeheer in Microsoft Office 365 voor meer informatie over hoe Microsoft Office 365 beveiligingsincidenten afhandelt.

Veelgestelde vragen: Antwoorden voor het beveiligen van bevoegde toegang

V: Wat moet ik doen als ik nog geen beveiligde toegangsonderdelen heb geïmplementeerd?

Antwoord: Definieer ten minste twee break-glass-accounts, wijs MFA toe aan uw bevoegde beheerdersaccounts en scheid gebruikersaccounts van globale beheerdersaccounts.

V: Wat is het belangrijkste probleem dat eerst moet worden opgelost na een inbreuk?

Antwoord: Zorg ervoor dat u de sterkste verificatie nodig hebt voor maximaal blootgestelde personen.

V: Wat gebeurt er als onze bevoegde beheerders worden gedeactiveerd?

Antwoord: Maak een globaal beheerdersaccount dat altijd up-to-date blijft.

V: Wat gebeurt er als er nog maar één globale beheerder is en deze niet kan worden bereikt?

Antwoord: Gebruik een van uw break-glass-accounts om direct bevoegde toegang te krijgen.

V: Hoe kan ik beheerders binnen mijn organisatie beveiligen?

Antwoord: Laat beheerders hun dagelijkse werkzaamheden altijd uitvoeren als standaard, 'onbevoegde' gebruikers.

V: Wat zijn de aanbevolen procedures voor het maken van beheerdersaccounts binnen Azure AD?

Antwoord: Gereserveerde toegang voor specifieke beheerderstaken.

V: Welke hulpprogramma's bestaan er om permanente beheerderstoegang te beperken?

Antwoord: Privileged Identity Management (PIM) en Azure AD beheerdersrollen.

V: Wat is de positie van Microsoft voor het synchroniseren van beheerdersaccounts naar Azure AD?

Antwoord: Beheerdersaccounts op laag 0 worden alleen gebruikt voor on-premises AD-accounts. Dergelijke accounts worden doorgaans niet gesynchroniseerd met Azure AD in de cloud. Beheerdersaccounts op laag 0 bevatten accounts, groepen en andere assets die directe of indirecte controle hebben over het beheer van on-premises Active Directory-forest, -domeinen, -domeincontrollers en activa.

V: Hoe kunnen we ervoor zorgen dat beheerders geen willekeurige beheerderstoegang toewijzen in de portal?

Antwoord: Gebruik niet-bevoegde accounts voor alle gebruikers en de meeste beheerders. Begin met het ontwikkelen van een footprint van de organisatie om te bepalen welke kleine hoeveelheid beheerdersaccounts bevoegd moeten zijn. En controleer op nieuwe gebruikers met beheerdersrechten.

Volgende stappen

Andere Microsoft Online Services

  • Microsoft Intune Security: Intune biedt beheer van mobiele apparaten en toepassingen, en mogelijkheden voor pc-beheer vanuit de cloud.

  • Microsoft Dynamics 365-beveiliging: Dynamics 365 is de cloudoplossing van Microsoft die voorziet in uniforme mogelijkheden voor klantrelatiebeheer (CRM) en enterprise resource planning (ERP).