Stap 3. Identiteiten beveiligen

Gebruik de volgende secties om uw organisatie te beschermen tegen het onderscheppen van referenties. Dit is doorgaans de eerste fase van een grotere ransomware-aanval.

Aanmeldingsbeveiliging versterken

Gebruik verificatie zonder wachtwoord voor gebruikersaccounts in Microsoft Entra-id.

Gebruik tijdens de overgang naar verificatie zonder wachtwoord deze aanbevolen procedures voor gebruikersaccounts die nog gebruikmaken van wachtwoordverificatie:

• Blokkeer bekende zwakke en aangepaste wachtwoorden met Microsoft Entra Wachtwoordbeveiliging.
• Breid het blokkeren van bekende zwakke en aangepaste wachtwoorden uit naar uw on-premises Active Directory Domeinservices (AD DS) met Microsoft Entra Wachtwoordbeveiliging.
• Sta uw gebruikers toe om hun eigen wachtwoorden te wijzigen met self-service voor wachtwoordherstel (SSPR).

Implementeer vervolgens het Algemene beleid voor identiteit en apparaattoegang. Deze beleidsregels bieden een hogere beveiliging voor toegang tot Microsoft 365-cloudservices.

Voor gebruikersaanmeldingen omvatten deze beleidsregels:

• Meervoudige verificatie (MFA) vereisen voor prioriteitsaccounts (onmiddellijk) en uiteindelijk alle gebruikersaccounts.
• Aanmeldingen met een hoog risico verplichten om MFA te gebruiken.
• Gebruikers met een hoog risico met aanmeldingen met een hoog risico verplichten hun wachtwoord te wijzigen.

Escalatie van bevoegdheden voorkomen

Maak gebruik van deze aanbevolen procedures:

• Implementeer het principe van de minste bevoegdheden en gebruik wachtwoordbeveiliging zoals beschreven in Aanmeldingsbeveiliging verhogen voor gebruikersaccounts die nog steeds wachtwoorden gebruiken voor hun aanmeldingen.
• Vermijd het gebruik van domeinbrede serviceaccounts op beheerdersniveau.
• Beperk lokale beheerdersbevoegdheden om de installatie van Remote Access Trojans (RATs) en andere ongewenste toepassingen te beperken.
• Gebruik Microsoft Entra voorwaardelijke toegang om expliciet het vertrouwen van gebruikers en werkstations te valideren voordat u toegang tot beheerportals toestaat. Zie dit voorbeeld voor de Azure Portal.
• Schakel lokaal beheer van beheerderswachtwoorden in.
• Bepaal waar accounts met hoge bevoegdheden zich aanmelden en referenties weergeven. Accounts met hoge bevoegdheden mogen niet aanwezig zijn op werkstations.
• Schakel de lokale opslag van wachtwoorden en referenties uit.

Gevolgen voor gebruikers- en wijzigingsbeheer

U moet de gebruikers in uw organisatie bewust maken van:

• De nieuwe vereisten voor sterkere wachtwoorden.
• De wijzigingen in aanmeldingsprocessen, zoals het vereiste gebruik van MFA en de registratie van de secundaire verificatiemethode voor MFA.
• Het gebruik van wachtwoordonderhoud met SSPR. U hoeft bijvoorbeeld niet meer naar de helpdesk te bellen om het wachtwoord opnieuw in te stellen.
• Het vragen om MFA of een wachtwoordwijziging te vereisen voor aanmeldingen die riskant zijn.

Resulterende configuratie

Dit is de ransomware-beveiliging voor uw tenant voor de stappen 1-3.

Volgende stap

Ga verder met stap 4 om apparaten (eindpunten) in uw Microsoft 365-tenant te beveiligen.