Delen via


Stap 3. Identiteiten beveiligen

Gebruik de volgende secties om uw organisatie te beschermen tegen het onderscheppen van referenties. Dit is doorgaans de eerste fase van een grotere ransomware-aanval.

Aanmeldingsbeveiliging versterken

Gebruik verificatie zonder wachtwoord voor gebruikersaccounts in Microsoft Entra-id.

Gebruik tijdens de overgang naar verificatie zonder wachtwoord deze aanbevolen procedures voor gebruikersaccounts die nog gebruikmaken van wachtwoordverificatie:

Implementeer vervolgens het Algemene beleid voor identiteit en apparaattoegang. Deze beleidsregels bieden een hogere beveiliging voor toegang tot Microsoft 365-cloudservices.

Voor gebruikersaanmeldingen omvatten deze beleidsregels:

  • Meervoudige verificatie (MFA) vereisen voor prioriteitsaccounts (onmiddellijk) en uiteindelijk alle gebruikersaccounts.
  • Aanmeldingen met een hoog risico verplichten om MFA te gebruiken.
  • Gebruikers met een hoog risico met aanmeldingen met een hoog risico verplichten hun wachtwoord te wijzigen.

Escalatie van bevoegdheden voorkomen

Maak gebruik van deze aanbevolen procedures:

  • Implementeer het principe van de minste bevoegdheden en gebruik wachtwoordbeveiliging zoals beschreven in Aanmeldingsbeveiliging verhogen voor gebruikersaccounts die nog steeds wachtwoorden gebruiken voor hun aanmeldingen.
  • Vermijd het gebruik van domeinbrede serviceaccounts op beheerdersniveau.
  • Beperk lokale beheerdersbevoegdheden om de installatie van Remote Access Trojans (RATs) en andere ongewenste toepassingen te beperken.
  • Gebruik Microsoft Entra voorwaardelijke toegang om expliciet het vertrouwen van gebruikers en werkstations te valideren voordat u toegang tot beheerportals toestaat. Zie dit voorbeeld voor de Azure Portal.
  • Schakel lokaal beheer van beheerderswachtwoorden in.
  • Bepaal waar accounts met hoge bevoegdheden zich aanmelden en referenties weergeven. Accounts met hoge bevoegdheden mogen niet aanwezig zijn op werkstations.
  • Schakel de lokale opslag van wachtwoorden en referenties uit.

Gevolgen voor gebruikers- en wijzigingsbeheer

U moet de gebruikers in uw organisatie bewust maken van:

  • De nieuwe vereisten voor sterkere wachtwoorden.
  • De wijzigingen in aanmeldingsprocessen, zoals het vereiste gebruik van MFA en de registratie van de secundaire verificatiemethode voor MFA.
  • Het gebruik van wachtwoordonderhoud met SSPR. U hoeft bijvoorbeeld niet meer naar de helpdesk te bellen om het wachtwoord opnieuw in te stellen.
  • Het vragen om MFA of een wachtwoordwijziging te vereisen voor aanmeldingen die riskant zijn.

Resulterende configuratie

Dit is de ransomware-beveiliging voor uw tenant voor de stappen 1-3.

Ransomwarebeveiliging implementeren voor uw Microsoft 365-tenant na stap 3

Volgende stap

Stap 4 voor ransomwarebeveiliging met Microsoft 365

Ga verder met stap 4 om apparaten (eindpunten) in uw Microsoft 365-tenant te beveiligen.