Bevoegde toegang beveiligen voor hybride en cloudimplementaties in Microsoft Entra-id

De beveiliging van bedrijfsassets is afhankelijk van de integriteit van de bevoegde accounts waarmee de IT-systemen worden beheerd. Cyberaanvallers stelen referenties om toegang te krijgen tot beheerdersaccounts en andere bevoegde toegang om zo toegang te krijgen tot gevoelige gegevens.

Voor cloudservices zijn preventie en respons de gezamenlijke verantwoordelijkheden van de cloudserviceprovider en de klant. Zie het Rapport Microsoft-beveiligingsinformatie voor meer informatie over de nieuwste bedreigingen voor eindpunten en de cloud. Dit artikel kan u helpen bij het ontwikkelen van een roadmap voor het sluiten van de hiaten tussen uw huidige plannen en de richtlijnen die hier worden beschreven.

Notitie

Microsoft streeft naar het hoogste niveau van vertrouwen, transparantie, conformiteit met normen en naleving van regelgeving. Meer informatie over hoe het wereldwijde incidentresponsteam van Microsoft de gevolgen van aanvallen op cloudservices beperkt en hoe beveiliging is ingebouwd in Microsoft-bedrijfsproducten en -cloudservices in Microsoft Trust Center - Beveiliging en Microsoft-nalevingsdoelen in Microsoft Trust Center - Compliance.

Normaal gesproken was de beveiliging van de organisatie gericht op de toegangspunten en uitgangen van een netwerk als de beveiligingsperimeter. SaaS-apps en persoonlijke apparaten op internet hebben deze aanpak echter minder effectief gemaakt. In Microsoft Entra ID vervangen we de perimeter van de netwerkbeveiliging door verificatie in de identiteitslaag van uw organisatie, met gebruikers die zijn toegewezen aan bevoorrechte beheerdersrollen in beheer. De toegang moet worden beveiligd, ongeacht of de omgeving zich on-premises, in de cloud of in een hybride omgeving bevindt.

Voor het beveiligen van bevoegde toegang zijn wijzigingen vereist aan:

• Processen, administratieve procedures en kennisbeheer
• Technische onderdelen zoals hostbeveiliging, accountbeveiliging en identiteitsbeheer

Beveilig uw bevoegde toegang op een manier die wordt beheerd en gerapporteerd in de Microsoft-services die u belangrijk vindt. Als u on-premises beheerdersaccounts hebt, raadpleegt u de richtlijnen voor on-premises en hybride bevoegde toegang in Active Directory bij Privileged Access beveiligen.

Notitie

De richtlijnen in dit artikel verwijzen voornamelijk naar functies van Microsoft Entra ID die zijn opgenomen in Microsoft Entra ID P1 en P2. Microsoft Entra ID P2 is opgenomen in de EMS E5-suite en De Microsoft 365 E5-suite. In deze richtlijnen wordt ervan uitgegaan dat uw organisatie al Microsoft Entra ID P2-licenties heeft aangeschaft voor uw gebruikers. Als u deze licenties niet hebt, zijn sommige richtlijnen mogelijk niet van toepassing op uw organisatie. In dit artikel betekent de term Globale beheerder hetzelfde als 'bedrijfsbeheerder' of 'tenantbeheerder'.

Een roadmap ontwikkelen

Microsoft raadt u aan een roadmap te ontwikkelen en te volgen om bevoegde toegang te beveiligen tegen cyberaanvallers. U kunt uw roadmap altijd aanpassen aan uw bestaande mogelijkheden en specifieke vereisten binnen uw organisatie. Elke fase van het schema heeft als doel om het voor aanvallers duurder en moeilijker te maken om bevoegde toegang voor uw on-premises, cloud- en hybride assets aan te vallen. Microsoft raadt de volgende vier roadmapfasen aan. Plan eerst de meest effectieve en snelste implementaties. Dit artikel kan uw handleiding zijn, op basis van de ervaringen van Microsoft met cyberaanvallen en responsimplementatie. De tijdlijnen voor deze roadmap zijn benaderingen.

• Fase 1 (24-48 uur): Kritieke items waarvan wij aanraden ze direct uit te voeren

• Fase 2 (2-4 weken): De meest gebruikte aanvalstechnieken beperken

• Fase 3 (1-3 maanden): Zichtbaarheid opbouwen en volledige controle over beheerdersactiviteit opbouwen

• Fase 4 (zes maanden en daarna): Blijf verdediging bouwen om uw beveiligingsplatform verder te beveiligen

Dit roadmap-tijdskader is ontworpen om het gebruik van Microsoft-technologieën te maximaliseren die u mogelijk al hebt geïmplementeerd. Overweeg om beveiligingshulpprogramma's te koppelen van andere leveranciers die u al hebt geïmplementeerd of overweegt om te implementeren.

Fase 1: Kritieke items die u nu moet regelen

Fase 1 van de roadmap is gericht op kritieke taken die snel en eenvoudig te implementeren zijn. Microsoft raadt aan deze paar items meteen binnen de eerste 24-48 uur uit te voeren om een basisniveau van beveiligde bevoegde toegang te garanderen. Deze fase van de SPA-roadmap bevat de volgende acties:

Algemene voorbereiding

Microsoft Entra Privileged Identity Management gebruiken

U wordt aangeraden Microsoft Entra Privileged Identity Management (PIM) te gebruiken in uw Microsoft Entra-productieomgeving. Nadat u PIM hebt gestart, ontvangt u e-mailberichten met meldingen voor wijzigingen in bevoegde toegangsrollen. Meldingen geven een vroege waarschuwing wanneer extra gebruikers worden toegevoegd aan rollen met hoge bevoegdheden.

Microsoft Entra Privileged Identity Management is opgenomen in Microsoft Entra ID P2 of EMS E5. Meld u aan voor de Gratis proefversie van 90 dagen van Enterprise Mobility + Security om de toegang tot toepassingen en resources on-premises en in de cloud te beveiligen. Microsoft Entra Privileged Identity Management en Microsoft Entra ID Protection bewaken beveiligingsactiviteiten met behulp van Microsoft Entra ID-rapportage, controle en waarschuwingen.

Nadat u Microsoft Entra Privileged Identity Management hebt gebruikt:

1. Meld u aan bij het Microsoft Entra-beheercentrum als een Globale Beheer istrator.

2. Als u wilt schakelen tussen mappen waar u Privileged Identity Management wilt gebruiken, selecteert u uw gebruikersnaam in de rechterbovenhoek van het Microsoft Entra-beheercentrum.

3. Blader naar Privileged Identity Management voor identiteitsbeheer>.

Zorg ervoor dat de eerste persoon die PIM in uw organisatie gebruikt, is toegewezen aan de rollen Beveiligingsbeheerder en Beheerder voor bevoorrechte rollen. Alleen bevoorrechte rol Beheer istrators kunnen de roltoewijzingen van microsoft Entra-directory's van gebruikers beheren. De PIM-beveiligingswizard begeleidt u bij de eerste detectie- en toewijzingservaring. U kunt de wizard afsluiten zonder dat u op dit moment extra wijzigingen hoeft aan te brengen.

Accounts in zeer bevoorrechte rollen identificeren en categoriseren

Nadat u Microsoft Entra Privileged Identity Management hebt gebruikt, bekijkt u de gebruikers die zich in de volgende Microsoft Entra-rollen bevinden:

• Globale beheerder
• Beheerder voor bevoorrechte rollen
• Exchange-beheerder
• SharePoint-beheerder

Als u geen Microsoft Entra Privileged Identity Management in uw organisatie hebt, kunt u Microsoft Graph PowerShell gebruiken. Begin met de rol Globale beheerder omdat een globale beheerder dezelfde machtigingen heeft voor alle cloudservices waarop uw organisatie zich heeft geabonneerd. Deze machtigingen worden verleend, ongeacht waar ze zijn toegewezen: in de Microsoft 365-beheercentrum, het Microsoft Entra-beheercentrum of met behulp van Microsoft Graph PowerShell.

Verwijder alle accounts die niet meer nodig zijn in deze rollen. Categoriseer vervolgens de resterende accounts die zijn toegewezen aan beheerdersrollen:

• Toegewezen aan gebruikers met beheerdersrechten, maar ook voor niet-administratieve doeleinden (bijvoorbeeld persoonlijke e-mail)
• Alleen toegewezen aan gebruikers met beheerdersrechten en gebruikt voor beheerdersdoeleinden
• Gedeeld door meerdere gebruikers
• Voor break-glass-noodtoegangsscenario's
• Voor geautomatiseerde scripts
• Voor externe gebruikers

Ten minste twee accounts voor toegang tot noodgevallen definiëren

Het is mogelijk dat een gebruiker per ongeluk wordt vergrendeld voor zijn of haar rol. Als een federatieve on-premises id-provider bijvoorbeeld niet beschikbaar is, kunnen gebruikers zich niet aanmelden of een bestaand beheerdersaccount activeren. U kunt zich voorbereiden op onbedoeld gebrek aan toegang door twee of meer accounts voor noodtoegang op te slaan.

Accounts voor noodtoegang helpen bevoegde toegang binnen een Microsoft Entra-organisatie te beperken. Deze accounts hebben hoge bevoegdheden en worden niet toegewezen aan specifieke personen. Accounts voor noodtoegang zijn alleen bestemd voor echte noodsituaties waarin normale beheerdersaccounts niet kunnen worden gebruikt. Zorg ervoor dat u het gebruik van het account voor noodgevallen beperkt tot alleen die tijd waarvoor dit nodig is.

Evalueer de accounts die zijn toegewezen of in aanmerking komen voor de rol Globale beheerder. Als u geen cloudaccounts ziet die gebruikmaken van het domein *.onmicrosoft.com (voor toegang bij noodgevallen), maakt u deze. Zie Beheeraccounts voor noodtoegang beheren in Microsoft Entra-id voor meer informatie.

Meervoudige verificatie inschakelen en alle andere niet-federatieve beheerdersaccounts met hoge bevoegdheden registreren

Meervoudige verificatie van Microsoft Entra vereisen bij aanmelding voor alle individuele gebruikers die permanent zijn toegewezen aan een of meer van de Microsoft Entra-beheerdersrollen: Global Beheer istrator, Privileged Role Beheer istrator, Exchange Beheer istrator en SharePoint Beheer istrator. Gebruik de richtlijnen in Meervoudige verificatie afdwingen voor uw beheerders en zorg ervoor dat al die gebruikers zich hebben geregistreerd bij https://aka.ms/mfasetup. Meer informatie vindt u in stap 2 en stap 3 van de handleiding Gebruikers- en apparaattoegang beveiligen in Microsoft 365.

Fase 2: Veelgebruikte aanvallen beperken

Fase 2 van de roadmap is gericht op het beperken van de meest gebruikte aanvalstechnieken van referentiediefstal en -misbruik en kan in ongeveer 2-4 weken worden geïmplementeerd. Deze fase van de SPA-roadmap bevat de volgende acties.

Algemene voorbereiding

Een inventarisatie van services, eigenaren en beheerders uitvoeren

De toename van 'Bring Your Own Device' en het thuiswerkbeleid, en de groei van draadloze connectiviteit maken het essentieel om te controleren wie verbinding maakt met uw netwerk. Een beveiligingscontrole kan apparaten, toepassingen en programma's in uw netwerk onthullen die uw organisatie niet ondersteunt en die een hoog risico vertegenwoordigen. Zie het Overzicht van Azure-beveiligingsbeheer en -bewaking voor meer informatie. Zorg ervoor dat u alle volgende taken in uw inventarisproces opneemt.

• Identificeer de gebruikers met beheerdersrollen en de services die ze kunnen beheren.

• Gebruik Microsoft Entra PIM om erachter te komen welke gebruikers in uw organisatie beheerderstoegang hebben tot Microsoft Entra-id.

• Naast de rollen die zijn gedefinieerd in Microsoft Entra-id, wordt Microsoft 365 geleverd met een set beheerdersrollen die u kunt toewijzen aan gebruikers in uw organisatie. Elke beheerdersrol wordt toegewezen aan algemene bedrijfsfuncties en geeft personen in uw organisatie machtigingen om specifieke taken uit te voeren in het Microsoft 365-beheercentrum. Gebruik de Microsoft 365-beheercentrum om erachter te komen welke gebruikers in uw organisatie beheerderstoegang hebben tot Microsoft 365, inclusief via rollen die niet worden beheerd in Microsoft Entra-id. Zie Microsoft 365-beheerdersrollen en beveiligingsprocedures voor Office 365 voor meer informatie.

• Voer de inventaris uit in services waarvoor uw organisatie afhankelijk is, zoals Azure, Intune of Dynamics 365.

• Zorg ervoor dat uw accounts die worden gebruikt voor beheerdoeleinden:

  • Zijn gekoppeld aan werkende e-mailadressen
  • U hebt zich geregistreerd voor Meervoudige Verificatie van Microsoft Entra of MFA on-premises gebruiken

• Vraag gebruikers om hun zakelijke reden voor beheerderstoegang.

• Verwijder beheerderstoegang voor personen en services die deze niet nodig hebben.

Microsoft-accounts identificeren in beheerdersrollen die moeten worden overgeschakeld naar werk- of schoolaccounts

Als uw eerste Global Beheer istrators hun bestaande Microsoft-accountreferenties opnieuw gebruiken toen ze begonnen met het gebruik van Microsoft Entra-id, vervangt u de Microsoft-accounts door afzonderlijke cloud- of gesynchroniseerde accounts.

Afzonderlijke gebruikersaccounts en het doorsturen van e-mail voor globale beheerdersaccounts garanderen

Persoonlijke e-mailaccounts worden regelmatig aangevallen door cyberaanvallers, een risico dat persoonlijke e-mailadressen onaanvaardbaar maakt voor globale beheerdersaccounts. Om internetrisico's te scheiden van beheerdersbevoegdheden, kunt u toegewezen accounts maken voor elke gebruiker met beheerdersbevoegdheden.

• Zorg ervoor dat u afzonderlijke accounts maakt voor gebruikers om globale beheerderstaken uit te voeren.
• Zorg ervoor dat uw globale beheerders geen e-mailberichten per ongeluk openen of programma's uitvoeren met hun beheerdersaccounts.
• Zorg ervoor dat de e-mails van deze accounts worden doorgestuurd naar een werkpostvak.
• Globale beheerdersaccounts (en andere bevoegde groepen) moeten cloudaccounts zijn zonder banden met on-premises Active Directory.

Zorg ervoor dat de wachtwoorden van beheerdersaccounts onlangs zijn gewijzigd

Zorg ervoor dat alle gebruikers zich hebben aangemeld bij hun beheerdersaccounts en hun wachtwoorden ten minste eenmaal hebben gewijzigd in de afgelopen 90 dagen. Controleer ook of gedeelde accounts hun wachtwoorden onlangs hebben gewijzigd.

Wachtwoordhashsynchronisatie inschakelen

Microsoft Entra Verbinding maken synchroniseert een hash van de hash van het wachtwoord van een gebruiker van on-premises Active Directory naar een Microsoft Entra-organisatie in de cloud. U kunt wachtwoordhashsynchronisatie gebruiken als back-up als u federatie gebruikt met Active Directory Federation Services (AD FS). Deze back-up kan handig zijn als uw on-premises Active Directory- of AD FS-servers tijdelijk niet beschikbaar zijn.

Met wachtwoordhashsynchronisatie kunnen gebruikers zich aanmelden bij een service met hetzelfde wachtwoord dat ze gebruiken om zich aan te melden bij hun on-premises Active Directory-exemplaar. Met wachtwoordhashsynchronisatie kan Identity Protection gecompromitteerde referenties detecteren door wachtwoordhashes te vergelijken met wachtwoorden waarvan bekend is dat ze gestolen zijn. Zie Wachtwoord-hashsynchronisatie implementeren met Microsoft Entra Verbinding maken Sync voor meer informatie.

Meervoudige verificatie vereisen voor gebruikers met bevoorrechte rollen en blootgestelde gebruikers

Microsoft Entra ID raadt u aan meervoudige verificatie te vereisen voor al uw gebruikers. Houd rekening met gebruikers waarvan de impact aanzienlijk zou zijn als hun account is gecompromitteerd (bijvoorbeeld financiële agenten). MFA vermindert het risico op een aanval vanwege een gestolen wachtwoord.

Schakel het volgende in:

• MFA met behulp van beleid voor voorwaardelijke toegang voor alle gebruikers in uw organisatie.

Als u Windows Hello voor Bedrijven gebruikt, kan aan de MFA-vereiste worden voldaan met behulp van de Windows Hello aanmeldingservaring. Zie Windows Hello voor meer informatie.

Id-bescherming configureren

Microsoft Entra ID Protection is een hulpprogramma voor bewaking en rapportage op basis van algoritmen waarmee potentiële beveiligingsproblemen worden gedetecteerd die van invloed zijn op de identiteiten van uw organisatie. U kunt geautomatiseerde reacties op gedetecteerde verdachte activiteiten configureren en de juiste actie ondernemen om ze op te lossen. Zie Microsoft Entra ID Protection voor meer informatie.

Uw Microsoft 365-beveiligingsscore verkrijgen (als u Microsoft 365 gebruikt)

Secure Score bekijkt uw instellingen en activiteiten voor de Microsoft 365-services die u gebruikt en vergelijkt deze met een basislijn die door Microsoft is ingesteld. U krijgt een score op basis van hoe u bent afgestemd op beveiligingsprocedures. Iedereen met de beheerdersmachtigingen voor een Microsoft 365 Business Standard- of Enterprise-abonnement heeft toegang tot de Secure Score op https://security.microsoft.com/securescore.

Bekijk de richtlijnen voor beveiliging en naleving van Microsoft 365 (als u Microsoft 365 gebruikt)

Het plan voor beveiliging en naleving beschrijft de aanpak voor een Office 365 klant om Office 365 te configureren en andere EMS-mogelijkheden in te schakelen. Bekijk vervolgens stap 3-6 van Beveiligen van toegang tot gegevens en services in Microsoft 365 en de handleiding voor Bewaken van beveiliging en naleving in Microsoft 365.

Microsoft 365 Activity Monitoring configureren (als u Microsoft 365 gebruikt)

Bewaak uw organisatie voor gebruikers die Microsoft 365 gebruiken om medewerkers te identificeren die een beheerdersaccount hebben, maar mogelijk geen toegang tot Microsoft 365 nodig hebben omdat ze zich niet aanmelden bij deze portals. Zie Activiteitenrapporten in het Microsoft 365-beheercentrum voor meer informatie.

Eigenaren van incident-/noodresponsplannen instellen

Het tot stand brengen van een geslaagde mogelijkheid voor het reageren op incidenten vereist aanzienlijke planning en middelen. U moet voortdurend controleren op cyberaanvallen en prioriteiten vaststellen voor incidentafhandeling. Verzamel, analyseer en rapporteer incidentgegevens om relaties te bouwen en communicatie tot stand te brengen met andere interne groepen en planeigenaren. Zie Microsoft Security Response Center voor meer informatie.

Beveilig on-premises bevoegde beheerdersaccounts, als dit nog niet is gebeurd

Als uw Microsoft Entra-organisatie wordt gesynchroniseerd met on-premises Active Directory, volgt u de richtlijnen in de roadmap voor bevoegde toegang tot beveiliging: deze fase omvat:

• Afzonderlijke beheerdersaccounts maken voor gebruikers die on-premises beheertaken moeten uitvoeren
• Privileged Access Workstations implementeren voor Active Directory-beheerders
• Unieke lokale beheerderswachtwoorden maken voor werkstations en servers

Aanvullende stappen voor organisaties die toegang tot Azure beheren

Een inventaris van abonnementen voltooien

Gebruik de Enterprise-portal en Azure Portal om de abonnementen in uw organisatie te identificeren die productietoepassingen hosten.

Microsoft-accounts verwijderen uit beheerdersrollen

Microsoft-accounts van andere programma's, zoals Xbox, Live en Outlook, mogen niet worden gebruikt als beheerdersaccounts voor de abonnementen van uw organisatie. Verwijder de beheerdersstatus van alle Microsoft-accounts en vervang deze door Microsoft Entra-id (bijvoorbeeld chris@contoso.com) werk- of schoolaccounts. Voor beheerdersdoeleinden is het afhankelijk van accounts die zijn geverifieerd in Microsoft Entra-id en niet in andere services.

Azure-activiteit bewaken

Het Azure-activiteitenlogboek bevat een geschiedenis van gebeurtenissen op abonnementsniveau in Azure. Het biedt informatie over wie welke resources heeft gemaakt, bijgewerkt of verwijderd, en wanneer deze gebeurtenissen hebben plaatsgevonden. Zie Controleren en meldingen ontvangen over belangrijke acties in uw Azure-abonnement voor meer informatie.

Aanvullende stappen voor organisaties die de toegang tot andere cloud-apps beheren via Microsoft Entra-id

Het voorwaardelijke toegangsbeleid configureren

Beleidsregels voor voorwaardelijke toegang voorbereiden voor on-premises en in de cloud gehoste toepassingen. Als u apparaten hebt die zijn toegevoegd aan de werkplek van gebruikers, kunt u meer informatie krijgen over het instellen van on-premises voorwaardelijke toegang met behulp van Microsoft Entra-apparaatregistratie.

Fase 3: Beheer van beheerdersactiviteit overnemen

Fase 3 is gebaseerd op de oplossingen uit Fase 2 en zou in ongeveer 1-3 maanden moeten worden geïmplementeerd. Deze fase van de roadmap voor beveiligde bevoegde toegang bevat de volgende onderdelen.

Algemene voorbereiding

Een toegangsbeoordeling voltooien van gebruikers in beheerdersrollen

Meer zakelijke gebruikers krijgen bevoorrechte toegang via cloudservices, wat kan leiden tot niet-beheerde toegang. Gebruikers kunnen tegenwoordig globale beheerders worden voor Microsoft 365, Azure-abonnementsbeheerders of beheerderstoegang hebben tot VM's of via SaaS-apps.

Uw organisatie moet alle werknemers gewone zakelijke transacties laten afhandelen als onbevoegde gebruikers en vervolgens beheerdersrechten verlenen als dat nodig is. Voltooi toegangsbeoordelingen om de gebruikers te identificeren en te bevestigen die in aanmerking komen voor het activeren van beheerdersbevoegdheden.

U wordt aangeraden dat u:

1. Bepaal welke gebruikers Microsoft Entra-beheerders zijn, on-demand, Just-In-Time-beheerderstoegang en op rollen gebaseerde beveiligingscontroles inschakelen.
2. Converteer gebruikers die geen duidelijke reden hebben voor beheerderstoegang tot een andere rol (als er geen in aanmerking komende rol is, verwijdert u de gebruiker).

Continue implementatie van sterkere verificatie voor alle gebruikers

Vereisen dat zeer blootgestelde gebruikers moderne, sterke verificatie hebben, zoals Microsoft Entra multifactor-verificatie of Windows Hello. Voorbeelden van maximaal blootgestelde gebruikers zijn:

• C-suite leidinggevenden
• Managers op hoog niveau
• Kritiek IT- en beveiligingspersoneel

Toegewezen werkstations gebruiken voor beheer voor Microsoft Entra-id

Aanvallers proberen zich mogelijk te richten op accounts met bevoegdheden, zodat ze de integriteit en echtheid van gegevens kunnen verstoren. Ze gebruiken vaak schadelijke code die de programmalogica wijzigt of die kan zien welke referentie een beheerder invoert. Privileged Access Workstations (PAW's) beschikken over een speciaal besturingssysteem voor gevoelige taken dat is beveiligd tegen aanvallen via internet en dreigingsvectoren. Door deze gevoelige taken en accounts uit de werkstations en toestellen voor dagelijks gebruik te scheiden biedt u sterke bescherming tegen:

• Phishing-aanvallen
• Beveiligingsproblemen met toepassingen en besturingssystemen
• Imitatieaanvallen
• Aanvallen met diefstal van referenties, zoals het vastleggen van toetsaanslagen, Pass-the-Hash en Pass-The-Ticket

Door bevoegde toegangswerkstations te implementeren, kunt u het risico beperken dat beheerders hun referenties invoeren in een bureaubladomgeving die niet is beveiligd. Zie Privileged Access Workstations voor meer informatie.

Review National Institute of Standards and Technology aanbevelingen voor incidentafhandeling

Het National Institute of Standards and Technology (NIST) biedt richtlijnen voor incidentafhandeling, met name voor het analyseren van incidentgerelateerde gegevens en het bepalen van de juiste reactie op elk incident. Zie The (NIST) Computer Security Incident Handling Guide (SP 800-61, Revision 2) voor meer informatie.

Privileged Identity Management (PIM) implementeren voor JIT naar aanvullende beheerdersrollen

Voor Microsoft Entra ID gebruikt u de mogelijkheid van Microsoft Entra Privileged Identity Management . Tijdsbeperking voor het activeren van bevoorrechte rollen werkt door het volgende mogelijk te maken:

• Beheerdersbevoegdheden activeren om een specifieke taak uit te voeren

• MFA afdwingen tijdens het activeringsproces

• Waarschuwingen gebruiken om beheerders te informeren over out-of-band-wijzigingen

• Gebruikers in staat stellen hun bevoegde toegang te behouden voor een vooraf geconfigureerde tijdsduur

• Beveiligingsbeheerders toestaan het volgende te doen:

  • Alle bevoorrechte identiteiten ontdekken
  • Controlerapporten weergeven
  • Toegangsbeoordelingen maken om te bepalen welke gebruikers in aanmerking komen voor het activeren van beheerdersbevoegdheden

Als u Microsoft Entra Privileged Identity Management al gebruikt, past u indien nodig de tijdsperioden aan voor tijdsgebonden bevoegdheden (bijvoorbeeld onderhoudsvensters).

Blootstelling aan op wachtwoord gebaseerde aanmeldingsprotocollen bepalen (bij gebruik van Exchange Online)

Het wordt aanbevolen elke potentiële gebruiker te identificeren die van catastrofale impact kan zijn op de organisatie als zijn referenties worden aangetast. Voor deze gebruikers stelt u sterke verificatievereisten in en gebruikt u voorwaardelijke toegang van Microsoft Entra om te voorkomen dat ze zich aanmelden bij hun e-mail met een gebruikersnaam en wachtwoord. U kunt verouderde verificatie met behulp van voorwaardelijke toegang blokkeren en u kunt basisverificatie blokkeren via Exchange Online.

Een beoordeling van rollen voltooien voor Microsoft 365-rollen (als u Microsoft 365 gebruikt)

Evalueer of alle gebruikers die tevens beheerder zijn, de juiste rollen hebben (verwijderen en opnieuw toewijzen volgens deze evaluatie).

Bekijk de benadering voor het beheren van beveiligingsincidenten die wordt gebruikt in Microsoft 365 en vergelijk met uw eigen organisatie

U kunt dit rapport downloaden van Security Incident Management in Microsoft 365.

Doorgaan met het beveiligen van on-premises bevoegde beheerdersaccounts

Als uw Microsoft Entra-id is verbonden met on-premises Active Directory, volgt u de richtlijnen in de roadmap voor toegang met beveiligingsbevoegdheden: fase 2. In deze fase gaat u als volgt te werk:

• Privileged Access Workstations implementeren voor alle beheerders
• MFA vereisen
• Just Enough Admin gebruiken voor onderhoud van domeincontrollers, waardoor de kwetsbaarheid van domeinen voor aanvallen wordt verlaagd
• Advanced Threat Analytics implementeren voor aanvalsdetectie

Aanvullende stappen voor organisaties die toegang tot Azure beheren

Geïntegreerde bewaking tot stand brengen

De Microsoft Defender voor Cloud:

• Biedt geïntegreerde beveiligingscontrole en beleidsbeheer voor uw Azure-abonnementen
• Helpt bij het detecteren van bedreigingen die anders onopgemerkt kunnen blijven
• Werkt met een breed scala aan beveiligingsoplossingen

Inventariseer uw bevoegde accounts binnen gehoste virtuele machines

Meestal hoeft u gebruikers geen onbeperkte machtigingen te geven voor al uw Azure-abonnementen of -resources. Gebruik Microsoft Entra-beheerdersrollen om alleen de toegang te verlenen die uw gebruikers nodig hebben om hun taken uit te voeren. U kunt Microsoft Entra-beheerdersrollen gebruiken om één beheerder alleen VM's in een abonnement te laten beheren, terwijl een andere beheerder SQL-databases binnen hetzelfde abonnement kan beheren. Zie voor meer informatie Wat is op rollen gebaseerd toegangsbeheer in Azure.

PIM implementeren voor Microsoft Entra-beheerdersrollen

Gebruik Privileged Identity Management met Microsoft Entra-beheerdersrollen voor het beheren, beheren en bewaken van toegang tot Azure-resources. Door PIM te gebruiken zorgt u voor extra beveiliging door de tijd gedurende welke toegangsbevoegdheden voor een resource zichtbaar te verlagen zijn en uw inzicht in het gebruik ervan door middel van rapporten en waarschuwingen te vergroten. Zie Wat is Microsoft Entra Privileged Identity Management voor meer informatie.

Azure-logboekintegraties gebruiken om relevante Azure-logboeken naar uw SIEM-systemen te verzenden

Met Azure-logboekintegratie kunt u onbewerkte logboeken van uw Azure-resources integreren in de bestaande SIEM-systemen (Security Information and Event Management) van uw organisatie. Integratie van Azure-logboeken verzamelt Windows-gebeurtenissen van Windows Logboeken en Azure-resources van:

• Activiteitenlogboeken van Azure
• Meldingen voor Microsoft Defender voor Cloud
• Azure-resourcelogboeken

Aanvullende stappen voor organisaties die de toegang tot andere cloud-apps beheren via Microsoft Entra-id

Gebruikersinrichting implementeren voor verbonden apps

Met Microsoft Entra ID kunt u het maken en onderhouden van gebruikersidentiteiten automatiseren in cloud-apps zoals Dropbox, Salesforce en ServiceNow. Zie Inrichting en ongedaan maken van inrichting van gebruikers automatiseren voor SaaS-toepassingen met Microsoft Entra ID voor meer informatie.

Informatiebeveiliging integreren

Met Microsoft Defender for Cloud Apps kunt u bestanden onderzoeken en beleid instellen op basis van classificatielabels van Azure Information Protection. Dat zorgt voor meer zichtbaarheid van en controle over uw cloudgegevens. Bestanden scannen en classificeren in de cloud en Azure Information Protection-labels toepassen. Zie Azure Information Protection-integratie voor meer informatie.

Voorwaardelijke toegang configureren

Configureer voorwaardelijke toegang op basis van een groep, locatie en toepassingsgevoeligheid voor SaaS-apps en met Microsoft Entra verbonden apps.

Activiteit bewaken in verbonden cloud-apps

U wordt aangeraden Microsoft Defender for Cloud Apps te gebruiken om ervoor te zorgen dat gebruikerstoegang ook wordt beveiligd in verbonden toepassingen. Deze functie beveiligt de toegang van de onderneming tot cloud-apps en beveiligt uw beheerdersaccounts, zodat u het volgende kunt doen:

• Zichtbaarheid en controle uitbreiden naar cloud-apps
• Beleid maken voor toegang, activiteiten en het delen van gegevens
• Risicovolle activiteiten, abnormaal gedrag en bedreigingen automatisch identificeren
• Gegevenslekken voorkomen
• Risico's en geautomatiseerde bedreigingspreventie en beleidshandhaving minimaliseren

De SIEM-agent van Defender voor Cloud Apps integreert Defender for Cloud Apps met uw SIEM-server om gecentraliseerde bewaking van Microsoft 365-waarschuwingen en -activiteiten mogelijk te maken. De agent wordt uitgevoerd op uw server en haalt waarschuwingen en activiteiten op uit Defender for Cloud Apps en verzendt deze naar de SIEM-server. Zie voor meer informatie SIEM-integratie.

Fase 4: Doorgaan met het bouwen van verdedigingen

Fase 4 van de roadmap moet na zes maanden en daarna worden geïmplementeerd. Voltooi uw roadmap om uw beschermde toegangsbeveiligingen te versterken tegen mogelijke aanvallen die vandaag de dag bekend zijn. Voor de beveiligingsrisico's van morgen raden we u aan om beveiliging te zien als een continu proces om de kosten te verhogen en het slagingspercentage van kwaadwillende personen te verminderen die gericht zijn op uw omgeving.

Het beveiligen van bevoegde toegang is belangrijk om beveiligingsgaranties voor uw zakelijke assets tot stand te brengen. Het moet echter deel uitmaken van een volledig beveiligingsprogramma dat doorlopende beveiligingsgaranties biedt. Dit programma moet elementen bevatten, zoals:

• Beleid
• Operations
• Informatiebeveiliging
• Servers
• Toepassingen
• Pcs
• Apparaten
• Cloudinfrastructuur

U wordt aangeraden de volgende procedures te volgen wanneer u accounts voor bevoegde toegang beheert:

• Zorg ervoor dat beheerders hun dagelijkse werkzaamheden uitvoeren als niet-gemachtigde gebruikers
• Verleen alleen bevoegde toegang wanneer dat nodig is en verwijder deze later (Just-In-Time)
• Bewaar auditactiviteitenlogboeken met betrekking tot bevoegde accounts

Zie IT-architectuurresources voor Microsoft Cloud voor meer informatie over het bouwen van een volledig beveiligingsschema. Als u wilt samenwerken met Microsoft-services om u te helpen bij het implementeren van een deel van uw roadmap, neemt u contact op met uw Microsoft-vertegenwoordiger of raadpleegt u Kritieke cyberbeveiligingen bouwen om uw onderneming te beschermen.

Deze laatste, doorlopende fase van de roadmap voor beveiligde bevoegde toegang bevat de volgende onderdelen.

Algemene voorbereiding

Beheerdersrollen controleren in Microsoft Entra-id

Bepaal of de huidige ingebouwde Microsoft Entra-beheerdersrollen nog steeds up-to-date zijn en ervoor zorgen dat gebruikers zich alleen in de rollen bevinden die ze nodig hebben. Met Microsoft Entra ID kunt u afzonderlijke beheerders toewijzen voor verschillende functies. Zie Ingebouwde rollen in Microsoft Entra voor meer informatie.

Gebruikers controleren die toegang hebben tot Microsoft Entra-apparaten

Zie Microsoft Entra hybride gekoppelde apparaten configureren voor meer informatie.

Leden van ingebouwde Microsoft 365-beheerdersrollen controleren

Sla deze stap over als u Microsoft 365 niet gebruikt.

Plan voor het reageren op incidenten valideren

Om uw plan te verbeteren, raadt Microsoft u aan regelmatig te controleren of uw plan werkt zoals verwacht:

• Doorloop uw bestaande roadmap om te zien wat u hebt gemist
• Op basis van de postmortem-analyse wijzigt u bestaande of definieert u nieuwe procedures
• Zorg ervoor dat uw bijgewerkte plan en procedures voor incidentrespons worden gedistribueerd in uw organisatie

Aanvullende stappen voor organisaties die toegang tot Azure beheren

Bepaal of u het eigendom van een Azure-abonnement wilt overdragen aan een ander account.

'Break glass': wat te doen bij een noodgeval

1. Informeer belangrijke managers en beveiligingsfunctionarissen met informatie over het incident.

2. Raadpleeg uw aanvalsplaybook.

3. Open uw gebruikersnaam en wachtwoordcombinatie voor uw account break glass om u aan te melden bij Microsoft Entra ID.

4. Krijg hulp van Microsoft door een ondersteuningsaanvraag voor Azure te openen.

5. Bekijk de aanmeldingsrapporten van Microsoft Entra. Er kan enige tijd zitten tussen een gebeurtenis die zich voordoet en wanneer deze wordt opgenomen in het rapport.

6. Als voor hybride omgevingen uw on-premises infrastructuur federatief is en uw AD FS-server niet beschikbaar is, kunt u tijdelijk overschakelen van federatieve verificatie om wachtwoord-hash-synchronisatie te gebruiken. Met deze schakeloptie wordt de domeinfederatie teruggezet naar beheerde verificatie totdat de AD FS-server weer beschikbaar is.

7. E-mail controleren op bevoegde accounts.

8. Zorg ervoor dat u back-ups van relevante logboeken opslaat voor mogelijk forensisch en juridisch onderzoek.

Zie Beveiligingsincidentbeheer in Microsoft Office 365 voor meer informatie over hoe Microsoft Office 365 beveiligingsincidenten afhandelt.

Veelgestelde vragen: Antwoorden voor het beveiligen van bevoegde toegang

V: Wat moet ik doen als ik nog geen beveiligde toegangsonderdelen heb geïmplementeerd?

Antwoord: Definieer ten minste twee break-glass-accounts, wijs MFA toe aan uw bevoegde beheerdersaccounts en scheid gebruikersaccounts van globale beheerdersaccounts.

V: Wat is het belangrijkste probleem dat eerst moet worden opgelost na een inbreuk?

Antwoord: Zorg ervoor dat u de sterkste verificatie nodig hebt voor maximaal blootgestelde personen.

V: Wat gebeurt er als onze bevoegde beheerders worden gedeactiveerd?

Antwoord: Maak een globaal beheerdersaccount dat altijd up-to-date blijft.

V: Wat gebeurt er als er nog maar één globale beheerder is en deze niet kan worden bereikt?

Antwoord: Gebruik een van uw break-glass-accounts om direct bevoegde toegang te krijgen.

V: Hoe kan ik beheerders binnen mijn organisatie beveiligen?

Antwoord: Laat beheerders hun dagelijkse werkzaamheden altijd uitvoeren als standaard, 'onbevoegde' gebruikers.

V: Wat zijn de aanbevolen procedures voor het maken van beheerdersaccounts binnen Microsoft Entra ID?

Antwoord: Gereserveerde toegang voor specifieke beheerderstaken.

V: Welke hulpprogramma's bestaan er om permanente beheerderstoegang te beperken?

Antwoord: Privileged Identity Management (PIM) en Microsoft Entra-beheerdersrollen.

V: Wat is de Microsoft-positie voor het synchroniseren van beheerdersaccounts met Microsoft Entra-id?

Antwoord: Beheerdersaccounts op laag 0 worden alleen gebruikt voor on-premises AD-accounts. Dergelijke accounts worden doorgaans niet gesynchroniseerd met Microsoft Entra-id in de cloud. Beheerdersaccounts op laag 0 bevatten accounts, groepen en andere assets die directe of indirecte controle hebben over het beheer van on-premises Active Directory-forest, -domeinen, -domeincontrollers en activa.

V: Hoe kunnen we ervoor zorgen dat beheerders geen willekeurige beheerderstoegang toewijzen in de portal?

Antwoord: Gebruik niet-bevoegde accounts voor alle gebruikers en de meeste beheerders. Begin met het ontwikkelen van een footprint van de organisatie om te bepalen welke kleine hoeveelheid beheerdersaccounts bevoegd moeten zijn. En controleer op nieuwe gebruikers met beheerdersrechten.

Volgende stappen

• Microsoft Trust Center for Product Security: beveiligingsfuncties van Microsoft-cloudproducten en -services

• Microsoft-nalevingsaanbiedingen : de uitgebreide set nalevingsaanbiedingen van Microsoft voor cloudservices

• Richtlijnen voor het uitvoeren van een risicoanalyse: beveiligings- en nalevingsvereisten voor Microsoft-cloudservices beheren

Andere Microsoft Online Services

• Microsoft Intune Security: Intune biedt beheer van mobiele apparaten en toepassingen, en mogelijkheden voor pc-beheer vanuit de cloud.

• Microsoft Dynamics 365-beveiliging: Dynamics 365 is de cloudoplossing van Microsoft die voorziet in uniforme mogelijkheden voor klantrelatiebeheer (CRM) en enterprise resource planning (ERP).