Bevoegde toegang beveiligen voor hybride en cloudimplementaties in Microsoft Entra-id

De beveiliging van bedrijfsassets is afhankelijk van de integriteit van de bevoegde accounts die uw IT-systemen beheren. Cyberaanvallers gebruiken aanvallen op referentiediefstal om beheerdersaccounts en andere bevoegde toegang te richten om toegang te krijgen tot gevoelige gegevens.

Voor cloudservices zijn preventie en respons de gezamenlijke verantwoordelijkheden van de cloudserviceprovider en de klant. Zie het Microsoft-beveiligingsinformatie-rapport voor meer informatie over de nieuwste bedreigingen voor eindpunten en de cloud. Dit artikel kan u helpen bij het ontwikkelen van een roadmap voor het sluiten van de hiaten tussen uw huidige plannen en de richtlijnen die hier worden beschreven.

Notitie

Microsoft streeft naar de hoogste vertrouwensniveaus, transparantie, naleving van standaarden en naleving van regelgeving. Meer informatie over hoe het wereldwijde team voor incidentrespons van Microsoft de gevolgen van aanvallen op cloudservices beperkt en hoe beveiliging is ingebouwd in Microsoft-bedrijfsproducten en -cloudservices in Het Vertrouwenscentrum van Microsoft - Beveiliging en Microsoft-nalevingsdoelen in Het Vertrouwenscentrum van Microsoft - Compliance.

Traditioneel was de beveiliging van de organisatie gericht op de ingangs- en uitgangspunten van een netwerk als de beveiligingsperimeter. SaaS-apps en persoonlijke apparaten op internet hebben deze aanpak echter minder effectief gemaakt. In Microsoft Entra ID vervangen we de perimeter van de netwerkbeveiliging door verificatie in de identiteitslaag van uw organisatie, met gebruikers die zijn toegewezen aan bevoorrechte beheerdersrollen in beheer. Hun toegang moet worden beveiligd, ongeacht of de omgeving on-premises, cloud of een hybride omgeving is.

Voor het beveiligen van bevoegde toegang zijn wijzigingen vereist voor:

• Processen, administratieve procedures en kennisbeheer
• Technische onderdelen, zoals hostbeveiligingen, accountbeveiligingen en identiteitsbeheer

Beveilig uw bevoegde toegang op een manier die wordt beheerd en gerapporteerd in de Microsoft-services waar u om geeft. Als u on-premises beheerdersaccounts hebt, raadpleegt u de richtlijnen voor on-premises en hybride bevoegde toegang in Active Directory bij Privileged Access beveiligen.

Notitie

De richtlijnen in dit artikel verwijzen voornamelijk naar functies van Microsoft Entra ID die zijn opgenomen in Microsoft Entra ID P1 en P2. Microsoft Entra ID P2 is opgenomen in de EMS E5-suite en De Microsoft 365 E5-suite. In deze richtlijnen wordt ervan uitgegaan dat uw organisatie al Microsoft Entra ID P2-licenties heeft aangeschaft voor uw gebruikers. Als u deze licenties niet hebt, zijn sommige richtlijnen mogelijk niet van toepassing op uw organisatie. In dit artikel betekent de term Globale beheerder ook hetzelfde als 'bedrijfsbeheerder' of 'tenantbeheerder'.

Een roadmap ontwikkelen

Microsoft raadt u aan een roadmap te ontwikkelen en te volgen om bevoegde toegang te beveiligen tegen cyberaanvallen. U kunt uw roadmap altijd aanpassen aan uw bestaande mogelijkheden en specifieke vereisten binnen uw organisatie. Elke fase van de roadmap moet de kosten en problemen verhogen voor kwaadwillende aanvallers om bevoegde toegang aan te vallen voor uw on-premises, cloud- en hybride assets. Microsoft raadt de volgende vier roadmapfasen aan. Plan eerst de meest effectieve en snelste implementaties. Dit artikel kan uw handleiding zijn, op basis van de ervaringen van Microsoft met cyberaanvallen en respons-implementatie. De tijdlijnen voor deze roadmap zijn benaderingen.

• Fase 1 (24-48 uur): Kritieke items die u direct aanbevelen

• Fase 2 (2-4 weken): Beperk de meest gebruikte aanvalstechnieken

• Fase 3 (1-3 maanden): Zichtbaarheid bouwen en volledig beheer van beheerdersactiviteiten opbouwen

• Fase 4 (zes maanden en verder): Ga verder met het bouwen van verdediging om uw beveiligingsplatform verder te beveiligen

Dit roadmapframework is ontworpen om het gebruik van Microsoft-technologieën te maximaliseren die u mogelijk al hebt geïmplementeerd. Overweeg om beveiligingshulpprogramma's te koppelen van andere leveranciers die u al hebt geïmplementeerd of overwegen om te implementeren.

Fase 1: Kritieke items die u nu moet doen

Fase 1 van de roadmap is gericht op kritieke taken die snel en eenvoudig te implementeren zijn. We raden u aan deze paar items direct binnen de eerste 24-48 uur uit te voeren om een basisniveau van beveiligde bevoegde toegang te garanderen. Deze fase van de roadmap voor beveiligde bevoegde toegang omvat de volgende acties:

Algemene voorbereiding

Microsoft Entra Privileged Identity Management gebruiken

U wordt aangeraden Microsoft Entra Privileged Identity Management (PIM) te gebruiken in uw Microsoft Entra-productieomgeving. Nadat u PIM hebt gebruikt, ontvangt u e-mailberichten met meldingen voor gewijzigde bevoorrechte toegangsrollen. Meldingen geven een vroegtijdige waarschuwing wanneer extra gebruikers worden toegevoegd aan rollen met hoge bevoegdheden.

Microsoft Entra Privileged Identity Management is opgenomen in Microsoft Entra ID P2 of EMS E5. Als u de toegang tot toepassingen en resources on-premises en in de cloud wilt beveiligen, meldt u zich aan voor de gratis proefversie van Enterprise Mobility + Security van 90 dagen. Microsoft Entra Privileged Identity Management en Microsoft Entra ID Protection bewaken beveiligingsactiviteiten met behulp van Microsoft Entra ID-rapportage, controle en waarschuwingen.

Nadat u Microsoft Entra Privileged Identity Management hebt gebruikt:

1. Meld u als globale beheerder aan bij het Microsoft Entra-beheercentrum.

2. Als u wilt schakelen tussen mappen waar u Privileged Identity Management wilt gebruiken, selecteert u uw gebruikersnaam in de rechterbovenhoek van het Microsoft Entra-beheercentrum.

3. Blader naar Privileged Identity Management voor identiteitsbeheer>.

Zorg ervoor dat de eerste persoon die PIM in uw organisatie gebruikt, is toegewezen aan de rollen Beveiligingsbeheerder en Bevoorrechte rolbeheerder. Alleen beheerders van bevoorrechte rollen kunnen de roltoewijzingen van microsoft Entra-directory's van gebruikers beheren. De PIM-beveiligingswizard begeleidt u bij de eerste detectie- en toewijzingservaring. U kunt de wizard afsluiten zonder op dit moment aanvullende wijzigingen aan te brengen.

Accounts identificeren en categoriseren die zich in zeer bevoorrechte rollen bevinden

Nadat u Microsoft Entra Privileged Identity Management hebt gebruikt, bekijkt u de gebruikers die zich in de volgende Microsoft Entra-rollen bevinden:

• Globale beheerder
• Beheerder van bevoorrechte rol
• Exchange-beheerder
• SharePoint-beheerder

Als u geen Microsoft Entra Privileged Identity Management in uw organisatie hebt, kunt u Microsoft Graph PowerShell gebruiken. Begin met de rol Globale beheerder omdat een globale beheerder dezelfde machtigingen heeft voor alle cloudservices waarvoor uw organisatie zich heeft geabonneerd. Deze machtigingen worden verleend, ongeacht waar ze zijn toegewezen: in de Microsoft 365-beheercentrum, het Microsoft Entra-beheercentrum of met behulp van Microsoft Graph PowerShell.

Verwijder alle accounts die niet meer nodig zijn in deze rollen. Categoriseer vervolgens de resterende accounts die zijn toegewezen aan beheerdersrollen:

• Toegewezen aan gebruikers met beheerdersrechten, maar ook voor niet-administratieve doeleinden (bijvoorbeeld persoonlijke e-mail)
• Alleen toegewezen aan gebruikers met beheerdersrechten en gebruikt voor beheerdoeleinden
• Gedeeld tussen meerdere gebruikers
• Voor noodtoegangsscenario's voor break-glass
• Voor geautomatiseerde scripts
• Voor externe gebruikers

Ten minste twee accounts voor toegang tot noodgevallen definiëren

Microsoft raadt aan dat organisaties twee accounts voor alleen-cloudtoegang voor noodgevallen hebben toegewezen aan de rol Globale beheerder . Deze accounts zijn zeer bevoegd en worden niet toegewezen aan specifieke personen. De accounts zijn beperkt tot scenario's met nood- of onderbrekingsglas, waarbij normale accounts niet kunnen worden gebruikt of dat alle andere beheerders per ongeluk zijn vergrendeld. Deze accounts moeten worden gemaakt op basis van de aanbevelingen voor toegangsaccounts voor noodgevallen.

Meervoudige verificatie inschakelen en alle andere niet-federatieve beheerdersaccounts met hoge bevoegdheden registreren

Meervoudige verificatie van Microsoft Entra vereisen bij aanmelding voor alle individuele gebruikers die permanent zijn toegewezen aan een of meer van de Microsoft Entra-beheerdersrollen: Globale beheerder, Bevoorrechte rolbeheerder, Exchange-beheerder en SharePoint-beheerder. Gebruik de richtlijnen bij Meervoudige verificatie afdwingen voor uw beheerders en zorg ervoor dat alle gebruikers zich hebben geregistreerd bij https://aka.ms/mfasetup. Meer informatie vindt u in stap 2 en stap 3 van de handleiding Gebruikers- en apparaattoegang beveiligen in Microsoft 365.

Fase 2: Veelgebruikte aanvallen beperken

Fase 2 van de roadmap is gericht op het beperken van de meest gebruikte aanvalstechnieken van referentiediefstal en misbruik en kan in ongeveer 2-4 weken worden geïmplementeerd. Deze fase van de roadmap voor beveiligde bevoegde toegang bevat de volgende acties.

Algemene voorbereiding

Een inventaris van services, eigenaren en beheerders uitvoeren

De toename van 'Bring Your Own Device' en het werken vanuit het thuisbeleid en de groei van draadloze connectiviteit maken het essentieel om te controleren wie verbinding maakt met uw netwerk. Een beveiligingscontrole kan apparaten, toepassingen en programma's in uw netwerk onthullen die uw organisatie niet ondersteunt en die een hoog risico vertegenwoordigen. Zie het overzicht van Azure-beveiligingsbeheer en -bewaking voor meer informatie. Zorg ervoor dat u alle volgende taken in uw voorraadproces opneemt.

• Identificeer de gebruikers met beheerdersrollen en de services die ze kunnen beheren.

• Gebruik Microsoft Entra PIM om erachter te komen welke gebruikers in uw organisatie beheerderstoegang hebben tot Microsoft Entra-id.

• Naast de rollen die zijn gedefinieerd in Microsoft Entra-id, wordt Microsoft 365 geleverd met een set beheerdersrollen die u kunt toewijzen aan gebruikers in uw organisatie. Elke beheerdersrol wordt toegewezen aan algemene bedrijfsfuncties en geeft personen in uw organisatie machtigingen om specifieke taken uit te voeren in de Microsoft 365-beheercentrum. Gebruik de Microsoft 365-beheercentrum om erachter te komen welke gebruikers in uw organisatie beheerderstoegang hebben tot Microsoft 365, inclusief via rollen die niet worden beheerd in Microsoft Entra-id. Zie Microsoft 365-beheerdersrollen en beveiligingsprocedures voor Office 365 voor meer informatie.

• Voer de inventaris uit in services waar uw organisatie van afhankelijk is, zoals Azure, Intune of Dynamics 365.

• Zorg ervoor dat uw accounts die worden gebruikt voor beheerdoeleinden:

  • Werk-e-mailadressen toevoegen
  • U hebt zich geregistreerd voor Meervoudige Verificatie van Microsoft Entra of MFA on-premises gebruiken

• Vraag gebruikers om hun zakelijke reden voor beheerderstoegang.

• Verwijder beheerderstoegang voor personen en services die deze niet nodig hebben.

Microsoft-accounts identificeren in beheerdersrollen die moeten worden overgeschakeld naar werk- of schoolaccounts

Als uw initiële globale beheerders hun bestaande Microsoft-accountreferenties opnieuw gebruiken toen ze Microsoft Entra-id gingen gebruiken, vervangt u de Microsoft-accounts door afzonderlijke cloud- of gesynchroniseerde accounts.

Zorg voor afzonderlijke gebruikersaccounts en doorsturen van e-mail voor globale beheerdersaccounts

Persoonlijke e-mailaccounts worden regelmatig gepromoveerd door cyberaanvallers, een risico dat persoonlijke e-mailadressen onaanvaardbaar maakt voor globale beheerdersaccounts. Als u internetrisico's wilt scheiden van beheerdersbevoegdheden, maakt u toegewezen accounts voor elke gebruiker met beheerdersbevoegdheden.

• Zorg ervoor dat u afzonderlijke accounts maakt voor gebruikers om globale beheerderstaken uit te voeren.
• Zorg ervoor dat uw globale beheerders niet per ongeluk e-mailberichten openen of programma's uitvoeren met hun beheerdersaccounts.
• Zorg ervoor dat de e-mail van deze accounts is doorgestuurd naar een werkpostvak.
• Globale beheerdersaccounts (en andere bevoegde groepen) moeten alleen cloudaccounts zijn die geen banden hebben met on-premises Active Directory.

Zorg ervoor dat de wachtwoorden van beheerdersaccounts onlangs zijn gewijzigd

Zorg ervoor dat alle gebruikers zich hebben aangemeld bij hun beheerdersaccounts en dat hun wachtwoorden ten minste eenmaal in de afgelopen 90 dagen zijn gewijzigd. Controleer ook of gedeelde accounts onlangs hun wachtwoorden hebben gewijzigd.

Wachtwoord-hashsynchronisatie inschakelen

Microsoft Entra Connect synchroniseert een hash van de hash van het wachtwoord van een gebruiker van on-premises Active Directory naar een Microsoft Entra-organisatie in de cloud. U kunt wachtwoord-hashsynchronisatie als back-up gebruiken als u federatie met Active Directory Federation Services (AD FS). Deze back-up kan handig zijn als uw on-premises Active Directory- of AD FS-servers tijdelijk niet beschikbaar zijn.

Met wachtwoord-hashsynchronisatie kunnen gebruikers zich aanmelden bij een service met hetzelfde wachtwoord dat ze gebruiken om zich aan te melden bij hun on-premises Active Directory-exemplaar. Met wachtwoord-hashsynchronisatie kan Microsoft Entra ID Protection gecompromitteerde referenties detecteren door wachtwoordhashes te vergelijken met wachtwoorden die bekend zijn. Zie Wachtwoord-hashsynchronisatie implementeren met Microsoft Entra Connect Sync voor meer informatie.

Meervoudige verificatie vereisen voor gebruikers met bevoorrechte rollen en blootgestelde gebruikers

Microsoft Entra ID raadt u aan meervoudige verificatie te vereisen voor al uw gebruikers. Houd er rekening mee dat gebruikers die een aanzienlijke impact zouden hebben als hun account is aangetast (bijvoorbeeld financiële medewerkers). MFA vermindert het risico op een aanval vanwege een aangetast wachtwoord.

Aanzetten:

• MFA met beleid voor voorwaardelijke toegang voor alle gebruikers in uw organisatie.

Als u Windows Hello voor Bedrijven gebruikt, kan aan de MFA-vereiste worden voldaan met behulp van de aanmeldingservaring van Windows Hello. Zie Windows Hello voor meer informatie.

Microsoft Entra ID Protection

Microsoft Entra ID Protection is een hulpprogramma voor bewaking en rapportage op basis van algoritmen waarmee potentiële beveiligingsproblemen worden gedetecteerd die van invloed zijn op de identiteiten van uw organisatie. U kunt geautomatiseerde reacties op gedetecteerde verdachte activiteiten configureren en de juiste actie ondernemen om ze op te lossen. Zie Microsoft Entra ID Protection voor meer informatie.

Uw Microsoft 365-beveiligingsscore verkrijgen (als u Microsoft 365 gebruikt)

Secure Score bekijkt uw instellingen en activiteiten voor de Microsoft 365-services die u gebruikt en vergelijkt deze met een basislijn die door Microsoft is ingesteld. U krijgt een score op basis van hoe u bent afgestemd op beveiligingsprocedures. Iedereen met de beheerdersmachtigingen voor een Microsoft 365 Business Standard- of Enterprise-abonnement heeft toegang tot de beveiligingsscore op https://security.microsoft.com/securescore.

Bekijk de richtlijnen voor beveiliging en naleving van Microsoft 365 (als u Microsoft 365 gebruikt)

Het plan voor beveiliging en naleving beschrijft de aanpak voor een Office 365-klant voor het configureren van Office 365 en het inschakelen van andere EMS-mogelijkheden. Bekijk vervolgens stap 3-6 over het beveiligen van toegang tot gegevens en services in Microsoft 365 en de handleiding voor het bewaken van beveiliging en naleving in Microsoft 365.

Microsoft 365-activiteitscontrole configureren (als u Microsoft 365 gebruikt)

Bewaak uw organisatie voor gebruikers die Microsoft 365 gebruiken om medewerkers te identificeren die een beheerdersaccount hebben, maar mogelijk geen Toegang tot Microsoft 365 nodig hebben omdat ze zich niet aanmelden bij deze portals. Zie Activiteitenrapporten in de Microsoft 365-beheercentrum voor meer informatie.

Eigenaren van incident-/noodresponsplannen instellen

Het tot stand brengen van een geslaagde mogelijkheid voor het reageren op incidenten vereist aanzienlijke planning en resources. U moet voortdurend controleren op cyberaanvallen en prioriteiten vaststellen voor incidentafhandeling. Verzamel, analyseer en rapporteer incidentgegevens om relaties op te bouwen en communicatie tot stand te brengen met andere interne groepen en planeigenaren. Zie Microsoft Security Response Center voor meer informatie.

On-premises bevoegde beheerdersaccounts beveiligen, als dit nog niet is gebeurd

Als uw Microsoft Entra-organisatie wordt gesynchroniseerd met on-premises Active Directory, volgt u de richtlijnen in de roadmap voor bevoegde toegang tot beveiliging: deze fase omvat:

• Afzonderlijke beheerdersaccounts maken voor gebruikers die on-premises beheertaken moeten uitvoeren
• Privileged Access Workstations implementeren voor Active Directory-beheerders
• Unieke lokale beheerderswachtwoorden maken voor werkstations en servers

Aanvullende stappen voor organisaties die toegang tot Azure beheren

Een inventaris van abonnementen voltooien

Gebruik de Enterprise-portal en De Azure-portal om de abonnementen in uw organisatie te identificeren die productietoepassingen hosten.

Microsoft-accounts verwijderen uit beheerdersrollen

Microsoft-accounts van andere programma's, zoals Xbox, Live en Outlook, mogen niet worden gebruikt als beheerdersaccounts voor de abonnementen van uw organisatie. Verwijder de beheerdersstatus van alle Microsoft-accounts en vervang deze door Microsoft Entra-id (bijvoorbeeld chris@contoso.com) werk- of schoolaccounts. Voor beheerdersdoeleinden is het afhankelijk van accounts die zijn geverifieerd in Microsoft Entra-id en niet in andere services.

Azure-activiteit bewaken

Het Azure-activiteitenlogboek bevat een geschiedenis van gebeurtenissen op abonnementsniveau in Azure. Het biedt informatie over wie welke resources heeft gemaakt, bijgewerkt en verwijderd en wanneer deze gebeurtenissen hebben plaatsgevonden. Zie Controle en meldingen ontvangen over belangrijke acties in uw Azure-abonnement voor meer informatie.

Aanvullende stappen voor organisaties die de toegang tot andere cloud-apps beheren via Microsoft Entra-id

Beleid voor voorwaardelijke toegang configureren

Bereid beleid voor voorwaardelijke toegang voor on-premises en in de cloud gehoste toepassingen voor. Als u apparaten hebt die zijn toegevoegd aan de werkplek van gebruikers, kunt u meer informatie krijgen over het instellen van on-premises voorwaardelijke toegang met behulp van Microsoft Entra-apparaatregistratie.

Fase 3: Beheer van beheerdersactiviteit overnemen

Fase 3 bouwt voort op de oplossingen van fase 2 en moet in ongeveer 1-3 maanden worden geïmplementeerd. Deze fase van de roadmap voor beveiligde bevoegde toegang bevat de volgende onderdelen.

Algemene voorbereiding

Een toegangsbeoordeling van gebruikers in beheerdersrollen voltooien

Meer zakelijke gebruikers krijgen bevoorrechte toegang via cloudservices, wat kan leiden tot niet-beheerde toegang. Gebruikers kunnen tegenwoordig globale beheerders worden voor Microsoft 365-, Azure-abonnementsbeheerders of beheerderstoegang hebben tot VM's of via SaaS-apps.

Uw organisatie moet alle werknemers gewone zakelijke transacties laten afhandelen als onbevoegde gebruikers en vervolgens alleen beheerdersrechten verlenen als dat nodig is. Voltooi toegangsbeoordelingen om de gebruikers te identificeren en te bevestigen die in aanmerking komen voor het activeren van beheerdersbevoegdheden.

We raden u aan het volgende te doen:

1. Bepaal welke gebruikers Microsoft Entra-beheerders zijn, on-demand, Just-In-Time-beheerderstoegang en op rollen gebaseerde beveiligingscontroles inschakelen.
2. Converteer gebruikers die geen duidelijke reden hebben voor beheerderstoegang tot een andere rol (als er geen in aanmerking komende rol is, verwijdert u deze).

Implementatie van sterkere verificatie voor alle gebruikers voortzetten

Vereisen dat zeer blootgestelde gebruikers moderne, sterke verificatie hebben, zoals Microsoft Entra multifactor-verificatie of Windows Hello. Voorbeelden van maximaal blootgestelde gebruikers zijn:

• C-suite executives
• Managers op hoog niveau
• Kritiek IT- en beveiligingspersoneel

Toegewezen werkstations gebruiken voor beheer voor Microsoft Entra-id

Aanvallers proberen zich te richten op bevoegde accounts, zodat ze de integriteit en echtheid van gegevens kunnen verstoren. Ze gebruiken vaak schadelijke code die de programmalogica wijzigt of de beheerder een referentie invoert. Privileged Access Workstations (PAW's) bieden een speciaal besturingssysteem voor gevoelige taken die worden beschermd tegen internetaanvallen en bedreigingsvectoren. Het scheiden van deze gevoelige taken en accounts van de werkstations en apparaten voor dagelijks gebruik biedt sterke bescherming tegen:

• Phishingaanvallen
• Beveiligingsproblemen met toepassingen en besturingssystemen
• Imitatieaanvallen
• Aanvallen voor diefstal van referenties, zoals logboekregistratie van toetsaanslagen, Pass-the-Hash en Pass-The-Ticket

Door bevoegde toegangswerkstations te implementeren, kunt u het risico beperken dat beheerders hun referenties invoeren in een bureaubladomgeving die niet is beveiligd. Zie Privileged Access Workstations voor meer informatie.

National Institute of Standards and Technology recommendations for handling incidents (National Institute of Standards and Technology recommendations for handling incidents) beoordelen

Het National Institute of Standards and Technology (NIST) biedt richtlijnen voor incidentafhandeling, met name voor het analyseren van incidentgerelateerde gegevens en het bepalen van de juiste reactie op elk incident. Zie de (NIST) Computer Security Incident Handling Guide (SP 800-61, Revision 2) voor meer informatie.

Privileged Identity Management (PIM) voor JIT implementeren naar aanvullende beheerdersrollen

Voor Microsoft Entra ID gebruikt u de mogelijkheid van Microsoft Entra Privileged Identity Management . Tijdsgebonden activering van bevoorrechte rollen werkt door u in staat te stellen het volgende te doen:

• Beheerdersbevoegdheden activeren om een specifieke taak uit te voeren

• MFA afdwingen tijdens het activeringsproces

• Waarschuwingen gebruiken om beheerders te informeren over out-of-band-wijzigingen

• Gebruikers in staat stellen hun bevoegde toegang te behouden voor een vooraf geconfigureerde hoeveelheid tijd

• Beveiligingsbeheerders toestaan:

  • Alle bevoegde identiteiten detecteren
  • Controlerapporten weergeven
  • Toegangsbeoordelingen maken om elke gebruiker te identificeren die in aanmerking komt voor het activeren van beheerdersbevoegdheden

Als u Microsoft Entra Privileged Identity Management al gebruikt, past u indien nodig de tijdsperioden aan voor tijdsgebonden bevoegdheden (bijvoorbeeld onderhoudsvensters).

Blootstelling aan aanmeldingsprotocollen op basis van een wachtwoord bepalen (als u Exchange Online gebruikt)

We raden u aan om elke potentiële gebruiker te identificeren die onherstelbaar kan zijn voor de organisatie als hun referenties zijn aangetast. Voor deze gebruikers stelt u sterke verificatievereisten in en gebruikt u voorwaardelijke toegang van Microsoft Entra om te voorkomen dat ze zich aanmelden bij hun e-mail met een gebruikersnaam en wachtwoord. U kunt verouderde verificatie blokkeren met behulp van voorwaardelijke toegang en u kunt basisverificatie via Exchange Online blokkeren.

Voltooi een beoordeling van rollen voor Microsoft 365-rollen (als u Microsoft 365 gebruikt)

Beoordeel of alle beheerdersgebruikers de juiste rollen hebben (verwijderen en opnieuw toewijzen volgens deze evaluatie).

Bekijk de benadering voor beveiligingsincidentbeheer die wordt gebruikt in Microsoft 365 en vergelijk met uw eigen organisatie

U kunt dit rapport downloaden van Security Incident Management in Microsoft 365.

On-premises bevoegde beheerdersaccounts blijven beveiligen

Als uw Microsoft Entra-id is verbonden met on-premises Active Directory, volgt u de richtlijnen in de roadmap voor toegang met beveiligingsbevoegdheden: fase 2. In deze fase gaat u het volgende doen:

• Privileged Access Workstations implementeren voor alle beheerders
• MFA vereisen
• Just Enough Admin gebruiken voor onderhoud van domeincontrollers, waardoor de kwetsbaarheid voor aanvallen van domeinen wordt verlaagd
• Advanced Threat Analytics implementeren voor aanvalsdetectie

Aanvullende stappen voor organisaties die toegang tot Azure beheren

Geïntegreerde bewaking tot stand brengen

De Microsoft Defender voor Cloud:

• Biedt geïntegreerde beveiligingsbewaking en beleidsbeheer voor uw Azure-abonnementen
• Helpt bedreigingen te detecteren die anders onopgemerkt kunnen worden
• Werkt met een breed scala aan beveiligingsoplossingen

Inventariseer uw bevoegde accounts binnen gehoste virtuele machines

Meestal hoeft u gebruikers geen onbeperkte machtigingen te geven voor al uw Azure-abonnementen of -resources. Gebruik Microsoft Entra-beheerdersrollen om alleen de toegang te verlenen die uw gebruikers nodig hebben om hun taken uit te voeren. U kunt Microsoft Entra-beheerdersrollen gebruiken om één beheerder alleen VM's in een abonnement te laten beheren, terwijl een andere beheerder SQL-databases binnen hetzelfde abonnement kan beheren. Zie Wat is op rollen gebaseerd toegangsbeheer van Azure voor meer informatie.

PIM implementeren voor Microsoft Entra-beheerdersrollen

Gebruik Privileged Identity Management met Microsoft Entra-beheerdersrollen voor het beheren, beheren en bewaken van toegang tot Azure-resources. Het gebruik van PIM beschermt door de blootstellingstijd van bevoegdheden te verlagen en uw zichtbaarheid te vergroten in het gebruik ervan via rapporten en waarschuwingen. Zie Wat is Microsoft Entra Privileged Identity Management voor meer informatie.

Azure-logboekintegraties gebruiken om relevante Azure-logboeken naar uw SIEM-systemen te verzenden

Met Azure-logboekintegratie kunt u onbewerkte logboeken van uw Azure-resources integreren in de bestaande SIEM-systemen (Security Information and Event Management) van uw organisatie. Integratie van Azure-logboeken verzamelt Windows-gebeurtenissen uit Windows Logboeken-logboeken en Azure-resources van:

• Azure-activiteitenlogboeken
• waarschuwingen Microsoft Defender voor Cloud
• Azure-resourcelogboeken

Aanvullende stappen voor organisaties die de toegang tot andere cloud-apps beheren via Microsoft Entra-id

Gebruikersinrichting implementeren voor verbonden apps

Met Microsoft Entra ID kunt u het maken en onderhouden van gebruikersidentiteiten automatiseren in cloud-apps zoals Dropbox, Salesforce en ServiceNow. Zie Inrichting en ongedaan maken van inrichting van gebruikers automatiseren voor SaaS-toepassingen met Microsoft Entra ID voor meer informatie.

Informatiebeveiliging integreren

Microsoft Defender voor Cloud Apps kunt u bestanden onderzoeken en beleidsregels instellen op basis van Azure Information Protection-classificatielabels, waardoor u meer zichtbaarheid en controle over uw cloudgegevens mogelijk maakt. Scan en classificeer bestanden in de cloud en pas Azure Information Protection-labels toe. Zie Azure Information Protection-integratie voor meer informatie.

Voorwaardelijke toegang configureren

Configureer voorwaardelijke toegang op basis van een groep, locatie en toepassingsgevoeligheid voor SaaS-apps en met Microsoft Entra verbonden apps.

Activiteit bewaken in verbonden cloud-apps

U wordt aangeraden Microsoft Defender voor Cloud Apps te gebruiken om ervoor te zorgen dat gebruikerstoegang ook wordt beveiligd in verbonden toepassingen. Met deze functie beveiligt u de toegang van ondernemingen tot cloud-apps en beveiligt u uw beheerdersaccounts, zodat u het volgende kunt doen:

• Zichtbaarheid en beheer uitbreiden naar cloud-apps
• Beleid maken voor toegang, activiteiten en het delen van gegevens
• Risicovolle activiteiten, abnormaal gedrag en bedreigingen automatisch identificeren
• Gegevenslekken voorkomen
• Risico's en geautomatiseerde bedreigingspreventie en beleidshandhaving minimaliseren

De SIEM-agent Defender voor Cloud Apps integreert Defender voor Cloud Apps met uw SIEM-server om gecentraliseerde bewaking van Microsoft 365-waarschuwingen en -activiteiten mogelijk te maken. Deze wordt uitgevoerd op uw server en haalt waarschuwingen en activiteiten op uit Defender voor Cloud Apps en streamt deze naar de SIEM-server. Zie SIEM-integratie voor meer informatie.

Fase 4: Doorgaan met het bouwen van verdedigingen

Fase 4 van het roadmap moet binnen zes maanden en na zes maanden worden uitgevoerd. Voltooi uw roadmap om uw beschermde toegangsbeveiligingen te versterken tegen mogelijke aanvallen die tegenwoordig bekend zijn. Voor de beveiligingsrisico's van morgen raden we u aan om de beveiliging te bekijken als een doorlopend proces om de kosten te verhogen en het slagingspercentage te verlagen van kwaadwillende aanvallers die gericht zijn op uw omgeving.

Het beveiligen van bevoegde toegang is belangrijk om beveiligingsgaranties voor uw bedrijfsactiva vast te stellen. Het moet echter deel uitmaken van een volledig beveiligingsprogramma dat doorlopende beveiligingsgaranties biedt. Dit programma moet elementen bevatten, zoals:

• Beleid
• Operaties
• Informatiebeveiliging
• Servers
• Toepassingen
• Pcs
• Apparaten
• Cloudinfrastructuur

We raden u aan de volgende procedures te volgen wanneer u bevoegde toegangsaccounts beheert:

• Zorg ervoor dat beheerders hun dagelijkse zaken doen als onbevoegde gebruikers
• Ververleent alleen bevoegde toegang wanneer dat nodig is en verwijder deze later (Just-In-Time)
• Auditactiviteitenlogboeken houden met betrekking tot bevoegde accounts

Zie it-architectuurresources in de Microsoft-cloud voor meer informatie over het bouwen van een volledig beveiligingsschema. Als u wilt samenwerken met Microsoft-services om u te helpen bij het implementeren van een deel van uw roadmap, neemt u contact op met uw Microsoft-vertegenwoordiger of bekijkt u kritieke cyberbeveiligingen om uw onderneming te beschermen.

Deze laatste doorlopende fase van de roadmap voor beveiligde bevoegde toegang bevat de volgende onderdelen.

Algemene voorbereiding

Beheerdersrollen controleren in Microsoft Entra-id

Bepaal of de huidige ingebouwde Microsoft Entra-beheerdersrollen nog steeds up-to-date zijn en ervoor zorgen dat gebruikers zich alleen in de rollen bevinden die ze nodig hebben. Met Microsoft Entra ID kunt u afzonderlijke beheerders toewijzen voor verschillende functies. Zie ingebouwde rollen van Microsoft Entra voor meer informatie.

Gebruikers controleren die toegang hebben tot Microsoft Entra-apparaten

Zie Microsoft Entra hybride gekoppelde apparaten configureren voor meer informatie.

Leden van ingebouwde Microsoft 365-beheerdersrollen controleren

Sla deze stap over als u Microsoft 365 niet gebruikt.

Plan voor het reageren op incidenten valideren

Om uw plan te verbeteren, raadt Microsoft u aan regelmatig te controleren of uw plan werkt zoals verwacht:

• Doorloop uw bestaande roadmap om te zien wat er is gemist
• Op basis van de postmortemanalyse kunt u bestaande of nieuwe procedures herzien of definiëren
• Zorg ervoor dat uw bijgewerkte plan en procedures voor het reageren op incidenten worden gedistribueerd in uw organisatie

Aanvullende stappen voor organisaties die toegang tot Azure beheren

Bepaal of u het eigendom van een Azure-abonnement wilt overdragen aan een ander account.

"Glas breken": wat te doen in een noodgeval

1. Informeer belangrijke managers en beveiligingsfunctionarissen met informatie over het incident.

2. Controleer uw aanvalsplaybook.

3. Open uw gebruikersnaam en wachtwoordcombinatie voor uw account break glass om u aan te melden bij Microsoft Entra ID.

4. Vraag hulp van Microsoft door een ondersteuning voor Azure aanvraag te openen.

5. Bekijk de aanmeldingsrapporten van Microsoft Entra. Er kan enige tijd zijn tussen een gebeurtenis die plaatsvindt en wanneer deze is opgenomen in het rapport.

6. Als uw on-premises infrastructuur federatief is en uw AD FS-server niet beschikbaar is voor hybride omgevingen, kunt u tijdelijk overschakelen van federatieve verificatie om wachtwoord-hashsynchronisatie te gebruiken. Met deze schakeloptie wordt de domeinfederatie teruggezet naar beheerde verificatie totdat de AD FS-server beschikbaar is.

7. Controleer e-mail voor bevoegde accounts.

8. Zorg ervoor dat u back-ups van relevante logboeken opslaat voor mogelijk forensisch en juridisch onderzoek.

Zie Security Incident Management in Microsoft Office 365 voor meer informatie over hoe Microsoft Office 365 beveiligingsincidenten afhandelt.

Veelgestelde vragen: Antwoorden voor het beveiligen van bevoegde toegang

V: Wat moet ik doen als ik nog geen beveiligde toegangsonderdelen heb geïmplementeerd?

Antwoord: Definieer ten minste twee break-glass-accounts, wijs MFA toe aan uw bevoegde beheerdersaccounts en scheid gebruikersaccounts van globale beheerdersaccounts.

V: Wat is het belangrijkste probleem dat als eerste moet worden aangepakt na een schending?

Antwoord: Zorg ervoor dat u de sterkste verificatie vereist voor maximaal blootgestelde personen.

V: Wat gebeurt er als onze bevoegde beheerders zijn gedeactiveerd?

Antwoord: Maak een globale beheerdersaccount dat altijd up-to-date blijft.

V: Wat gebeurt er als er nog maar één globale beheerder is en ze niet kunnen worden bereikt?

Antwoord: Gebruik een van uw break-glass-accounts om direct bevoegde toegang te krijgen.

V: Hoe kan ik beheerders binnen mijn organisatie beveiligen?

Antwoord: Laat beheerders hun dagelijkse zaken altijd doen als standaard "onbevoegde" gebruikers.

V: Wat zijn de aanbevolen procedures voor het maken van beheerdersaccounts binnen Microsoft Entra ID?

Antwoord: Gereserveerde toegang reserveren voor specifieke beheerderstaken.

V: Welke hulpprogramma's bestaan er voor het verminderen van permanente beheerderstoegang?

Antwoord: Privileged Identity Management (PIM) en Microsoft Entra-beheerdersrollen.

V: Wat is de Microsoft-positie voor het synchroniseren van beheerdersaccounts met Microsoft Entra-id?

Antwoord: Beheerdersaccounts van laag 0 worden alleen gebruikt voor on-premises AD-accounts. Dergelijke accounts worden doorgaans niet gesynchroniseerd met Microsoft Entra-id in de cloud. Beheerdersaccounts van laag 0 omvatten accounts, groepen en andere assets die direct of indirect beheer hebben over het on-premises Active Directory-forest, domeinen, domeincontrollers en assets.

V: Hoe kunnen beheerders geen willekeurige beheerderstoegang toewijzen in de portal?

Antwoord: Gebruik niet-bevoegde accounts voor alle gebruikers en de meeste beheerders. Begin met het ontwikkelen van een footprint van de organisatie om te bepalen welke beheerdersaccounts bevoegd moeten zijn. En controleer op nieuw gemaakte gebruikers met beheerdersrechten.

Volgende stappen

• Microsoft Trust Center for Product Security – Beveiligingsfuncties van Microsoft-cloudproducten en -services

• Microsoft-nalevingsaanbiedingen : de uitgebreide set nalevingsaanbiedingen van Microsoft voor cloudservices

• Richtlijnen voor het uitvoeren van een risicoanalyse - Beveiligings- en nalevingsvereisten voor Microsoft-cloudservices beheren

Andere Microsoft Online Services

• Microsoft Intune-beveiliging : Intune biedt beheer van mobiele apparaten, beheer van mobiele toepassingen en pc-beheermogelijkheden vanuit de cloud.

• Microsoft Dynamics 365-beveiliging : Dynamics 365 is de cloudoplossing van Microsoft die mogelijkheden voor klantrelatiebeheer (CRM) en ERP (Enterprise Resource Planning) samensluit.