Beheer

Beheer istration is de praktijk van het bewaken, onderhouden en gebruiken van IT-systemen (Information Technology) om te voldoen aan serviceniveaus die het bedrijf nodig heeft. Beheer istratie introduceert een aantal van de hoogste beveiligingsrisico's, omdat voor het uitvoeren van deze taken uitgebreide toegang tot een zeer brede set van deze systemen en toepassingen is vereist. Aanvallers weten dat het verkrijgen van toegang tot een account met beheerdersbevoegdheden hen toegang kan geven tot de meeste of alle gegevens waarop ze zich zouden richten, waardoor de beveiliging van het beheer een van de meest kritieke beveiligingsgebieden wordt.

Microsoft investeert bijvoorbeeld aanzienlijk in bescherming en training van beheerders voor onze cloudsystemen en IT-systemen:

De aanbevolen kernstrategie van Microsoft voor beheerdersbevoegdheden is het gebruik van de beschikbare besturingselementen om risico's te verminderen

Blootstelling aan risico's verminderen (bereik en tijd): het principe van minimale bevoegdheden wordt het beste bereikt met moderne controles die bevoegdheden op aanvraag bieden. Dit helpt bij het beperken van risico's door blootstelling aan beheerdersbevoegdheden te beperken door:

• Bereik : Just Enough Access (JEA) biedt alleen de vereiste bevoegdheden voor de vereiste beheerbewerking (versus het hebben van directe en onmiddellijke bevoegdheden voor veel of alle systemen tegelijk, wat bijna nooit vereist is).

• Time : JIT-benaderingen (Just-In-Time) hebben de vereiste bevoegdheden geboden wanneer ze nodig zijn.

• De resterende risico's beperken: gebruik een combinatie van preventieve controles en rechercheurcontroles om risico's te verminderen, zoals het isoleren van beheerdersaccounts van de meest voorkomende risico's phishing en algemeen surfen, het vereenvoudigen en optimaliseren van hun werkstroom, het vergroten van de controle van verificatiebeslissingen en het identificeren van afwijkingen van normaal basislijngedrag dat kan worden geblokkeerd of onderzocht.

Microsoft heeft aanbevolen procedures vastgelegd en gedocumenteerd voor het beveiligen van beheerdersaccounts en gepubliceerde roadmaps met prioriteit voor het beveiligen van bevoegde toegang die kunnen worden gebruikt als verwijzingen voor het prioriteren van risicobeperking voor accounts met bevoegde toegang.

• Beveiligd-WACHTWOORDVERIFICATIE-roadmap (Privileged Access) voor beheerders van on-premises Active Directory

• Richtlijnen voor het beveiligen van beheerders van Microsoft Entra-id

Aantal kritieke impactbeheerders minimaliseren

Het minste aantal accounts toekennen aan bevoegdheden die een kritieke bedrijfsimpact kunnen hebben

Elk beheerdersaccount vertegenwoordigt een potentieel aanvalsoppervlak waarop een aanvaller zich kan richten, waardoor het aantal accounts met die bevoegdheid wordt geminimaliseerd om het totale risico van de organisatie te beperken. Ervaring heeft ons geleerd dat het lidmaatschap van deze bevoorrechte groepen in de loop van de tijd groeit naarmate mensen rollen veranderen als lidmaatschap niet actief beperkt en beheerd.

We raden een aanpak aan die dit risico voor aanvallen vermindert, terwijl de bedrijfscontinuïteit wordt gewaarborgd voor het geval er iets gebeurt met een beheerder:

• Ten minste twee accounts toewijzen aan de bevoegde groep voor bedrijfscontinuïteit

• Wanneer twee of meer accounts vereist zijn, moet u een reden opgeven voor elk lid, inclusief de oorspronkelijke twee

• Regelmatig lidmaatschap controleren en uitvullen voor elk groepslid

Beheerde accounts voor beheerders

Zorg ervoor dat alle kritieke impactbeheerders worden beheerd door de ondernemingsdirectory om het afdwingen van organisatiebeleid te volgen.

Consumentenaccounts zoals Microsoft-accounts zoals @Hotmail.com, @live.com, @outlook.com bieden niet voldoende zichtbaarheid en controle om ervoor te zorgen dat het beleid van de organisatie en wettelijke vereisten worden gevolgd. Omdat Azure-implementaties vaak klein en informeel beginnen voordat ze in enterprise-beheerde tenants groeien, blijven sommige consumentenaccounts lang daarna als beheerdersaccounts, bijvoorbeeld oorspronkelijke Azure-projectmanagers, het creëren van blinde vlekken en potentiële risico's.

Afzonderlijke accounts voor beheerders

Zorg ervoor dat alle kritieke impactbeheerders een afzonderlijk account hebben voor beheertaken (versus het account dat ze gebruiken voor e-mail, surfen op internet en andere productiviteitstaken).

Phishing- en webbrowseraanvallen vertegenwoordigen de meest voorkomende aanvalsvectoren voor inbreuk op accounts, waaronder beheerdersaccounts.

Maak een afzonderlijk beheerdersaccount voor alle gebruikers met een rol waarvoor kritieke bevoegdheden zijn vereist. Voor deze beheerdersaccounts blokkeert u productiviteitsprogramma's zoals Office 365-e-mail (licentie verwijderen). U kunt, indien mogelijk, willekeurige surfen blokkeren (met proxy- en/of toepassingsbesturingselementen), terwijl uitzonderingen voor bladeren naar Azure Portal en andere sites die nodig zijn voor beheertaken, worden toegestaan.

Geen permanente toegang/Just-In-Time-bevoegdheden

Voorkom permanente 'permanente' toegang voor kritieke impactaccounts

Permanente bevoegdheden verhogen het bedrijfsrisico door de tijd te verhogen waarop een aanvaller het account kan gebruiken om schade te veroorzaken. Tijdelijke bevoegdheden dwingen aanvallers die gericht zijn op een account om te werken binnen de beperkte tijd dat de beheerder al gebruikmaakt van het account of om uitbreiding van bevoegdheden te initiëren (waardoor de kans op detectie en verwijdering uit de omgeving toeneemt).

Ververleent bevoegdheden die alleen zijn vereist als vereist met behulp van een van deze methoden:

• Just-In-Time: Schakel Microsoft Entra Privileged Identity Management (PIM) of een oplossing van derden in om een goedkeuringswerkstroom te volgen om bevoegdheden te verkrijgen voor accounts met kritieke gevolgen

• Break glass: volg een proces voor toegang tot noodgevallen voor zelden gebruikte accounts om toegang te krijgen tot de accounts. Dit is de voorkeur voor bevoegdheden die weinig behoefte hebben aan normaal operationeel gebruik, zoals leden van globale beheerdersaccounts.

Accounts voor toegang tot noodgevallen of 'Break Glass'-accounts

Zorg ervoor dat u een mechanisme hebt voor het verkrijgen van beheerderstoegang in geval van nood

Hoewel zeldzame, soms extreme omstandigheden ontstaan waarbij alle normale middelen voor administratieve toegang niet beschikbaar zijn.

We raden u aan de instructies te volgen bij het beheren van beheerdersaccounts voor noodtoegang in Microsoft Entra ID en ervoor te zorgen dat beveiligingsbewerkingen deze accounts zorgvuldig controleren.

Beheer werkstationbeveiliging

Zorg ervoor dat beheerders van kritieke invloed een werkstation gebruiken met verhoogde beveiliging en bewaking

Aanvalsvectoren die browsen en e-mail zoals phishing gebruiken, zijn goedkoop en gebruikelijk. Het isoleren van kritieke impactbeheerders van deze risico's vermindert uw risico op een groot incident waarbij een van deze accounts wordt aangetast en wordt gebruikt om uw bedrijf of missie aanzienlijk te beschadigen.

Kies het niveau van beheerwerkstationbeveiliging op basis van de opties die beschikbaar zijn op https://aka.ms/securedworkstation

• Zeer veilig productiviteitsapparaat (uitgebreid beveiligingswerkstation of gespecialiseerd werkstation)
  U kunt dit beveiligingstraject starten voor beheerders van kritieke gevolgen door ze een hoger beveiligingswerkstation te bieden waarmee u nog steeds algemene navigatie- en productiviteitstaken kunt uitvoeren. Door deze stap als tussentijdse stap te gebruiken, kunt u de overgang naar volledig geïsoleerde werkstations vereenvoudigen voor zowel de kritieke impactbeheerders als het IT-personeel dat deze gebruikers en hun werkstations ondersteunt.

• Privileged Access Workstation (gespecialiseerd werkstation of beveiligd werkstation)
  Deze configuraties vertegenwoordigen de ideale beveiligingsstatus voor kritieke impactbeheerders, omdat ze de toegang tot phishing-, browser- en productiviteitsaanvallenvectors sterk beperken. Deze werkstations staan geen algemeen surfen op internet toe, alleen browsertoegang tot Azure Portal en andere beheersites.

Kritieke invloed op beheerdersafhankelijkheden – Account/werkstation

Kies zorgvuldig de on-premises beveiligingsafhankelijkheden voor kritieke impactaccounts en hun werkstations

Als u het risico van een groot incident on-premises wilt bevatten om een groot compromis te vormen met cloudassets, moet u de controlemiddelen elimineren of minimaliseren die on-premises resources nodig hebben om kritieke impactaccounts in de cloud te hebben. Aanvallers die inbreuk maken op de on-premises Active Directory, hebben bijvoorbeeld toegang tot cloudassets die afhankelijk zijn van die accounts, zoals resources in Azure, Amazon Web Services (AWS), ServiceNow, enzovoort. Aanvallers kunnen ook werkstations gebruiken die zijn gekoppeld aan die on-premises domeinen om toegang te krijgen tot accounts en services die van hen worden beheerd.

Kies het isolatieniveau van on-premises controlemiddelen, ook wel beveiligingsafhankelijkheden genoemd voor kritieke impactaccounts

• Gebruikersaccounts : kiezen waar u de kritieke impactaccounts wilt hosten

  • Systeemeigen Microsoft Entra-accounts -*Systeemeigen Microsoft Entra-accounts maken die niet worden gesynchroniseerd met on-premises Active Directory

  • Synchroniseren vanuit on-premises Active Directory (niet aanbevolen): maak gebruik van bestaande accounts die worden gehost in de on-premises Active Directory.

• Werkstations: kies hoe u de werkstations beheert en beveiligt die worden gebruikt door kritieke beheerdersaccounts :

  • Systeemeigen cloudbeheer en beveiliging (aanbevolen): werkstations toevoegen aan Microsoft Entra ID & Beheren/patchen met Intune of andere cloudservices. Beveiligen en bewaken met Windows Microsoft Defender ATP of een andere cloudservice die niet wordt beheerd door on-premises accounts.

  • Beheren met bestaande systemen - Voeg een bestaand AD-domein toe en maak gebruik van bestaand beheer/beveiliging.

Wachtwoordloze of meervoudige verificatie voor beheerders

Vereisen dat alle beheerders van kritieke invloed gebruikmaken van verificatie zonder wachtwoord of meervoudige verificatie (MFA).

Aanvalsmethoden zijn ontwikkeld tot het punt waar wachtwoorden alleen niet betrouwbaar een account kunnen beveiligen. Dit is goed gedocumenteerd in een Microsoft Ignite-sessie.

Beheer istratieve accounts en alle kritieke accounts moeten een van de volgende verificatiemethoden gebruiken. Deze mogelijkheden worden vermeld in voorkeursvolgorde door de hoogste kosten/moeilijkheidsgraad om aan te vallen (sterkste/voorkeursopties) tot laagste kosten/moeilijk aan te vallen:

• Zonder wachtwoord (zoals Windows Hello)
  https://aka.ms/HelloForBusiness

• Wachtwoordloos (Authenticator-app)
  </azure/active-directory/authentication/howto-authentication-phone-sign-in>

• Meervoudige verificatie
  </azure/active-directory/authentication/howto-mfa-userstates>

Houd er rekening mee dat MFA op basis van sms-berichten zeer goedkoop is geworden voor aanvallers om te omzeilen, dus we raden u aan om te voorkomen dat u erop vertrouwt. Deze optie is nog steeds sterker dan alleen wachtwoorden, maar is veel zwakker dan andere MFA-opties

Voorwaardelijke toegang afdwingen voor beheerders - Zero Trust

Verificatie voor alle beheerders en andere kritieke impactaccounts moet het meten en afdwingen van belangrijke beveiligingskenmerken omvatten ter ondersteuning van een Zero Trust-strategie.

Aanvallers die azure Beheer-accounts in gevaar brengen, kunnen aanzienlijke schade toebrengen. Voorwaardelijke toegang kan dat risico aanzienlijk verminderen door beveiligingscontroles af te dwingen voordat toegang tot Azure-beheer wordt toegestaan.

Configureer beleid voor voorwaardelijke toegang voor Azure-beheer dat voldoet aan de risicobereidheid en operationele behoeften van uw organisatie.

• Meervoudige verificatie en/of verbinding van aangewezen werknetwerk vereisen

• Apparaatintegriteit vereisen met Microsoft Defender ATP (Strong Assurance)

Gedetailleerde en aangepaste machtigingen voorkomen

Vermijd machtigingen die specifiek verwijzen naar afzonderlijke resources of gebruikers

Specifieke machtigingen zorgen voor onnodige complexiteit en verwarring, omdat ze niet de bedoeling hebben om nieuwe vergelijkbare resources te gebruiken. Dit wordt vervolgens samengevoegd tot een complexe verouderde configuratie die moeilijk te onderhouden of te veranderen is zonder bang te zijn voor 'iets breken', wat negatieve gevolgen heeft voor zowel beveiliging als oplossingsflexibiliteit.

Gebruik een van beide in plaats van specifieke resourcespecifieke machtigingen toe te wijzen

• Beheergroepen voor machtigingen voor het hele bedrijf

• Resourcegroepen voor machtigingen binnen abonnementen

In plaats van machtigingen te verlenen aan specifieke gebruikers, wijst u toegang toe aan groepen in Microsoft Entra-id. Als er geen geschikte groep is, neemt u contact op met het identiteitsteam om er een te maken. Hiermee kunt u groepsleden extern aan Azure toevoegen en verwijderen en ervoor zorgen dat de machtigingen actueel zijn, terwijl u de groep ook toestaat voor andere doeleinden, zoals mailinglijsten, te gebruiken.

Ingebouwde rollen gebruiken

Gebruik waar mogelijk ingebouwde rollen voor het toewijzen van machtigingen.

Aanpassing leidt tot complexiteit die verwarring verhoogt en automatisering complexer, uitdagender en kwetsbaarder maakt. Deze factoren hebben allemaal een negatieve invloed op de beveiliging

We raden u aan de ingebouwde rollen te evalueren die zijn ontworpen om de meeste normale scenario's te behandelen. Aangepaste rollen zijn een krachtige en soms nuttige functie, maar ze moeten worden gereserveerd voor gevallen waarin ingebouwde rollen niet werken.

Levenscyclusbeheer instellen voor kritieke impactaccounts

Zorg ervoor dat u een proces hebt voor het uitschakelen of verwijderen van beheerdersaccounts wanneer beheerdersmedewerkers de organisatie verlaten (of administratieve posities verlaten)

Zie Gebruikers- en gastgebruikerstoegang beheren met toegangsbeoordelingen voor meer informatie.

Aanvalssimulatie voor kritieke impactaccounts

Simuleer regelmatig aanvallen tegen gebruikers met beheerdersrechten met de huidige aanvalstechnieken om hen te informeren en in staat te stellen.

Mensen zijn een essentieel onderdeel van uw verdediging, met name uw personeel met toegang tot kritieke impactaccounts. Door ervoor te zorgen dat deze gebruikers (en idealiter alle gebruikers) de kennis en vaardigheden hebben om aanvallen te voorkomen en te weerstaan, vermindert u het totale risico van uw organisatie.

U kunt office 365-mogelijkheden voor aanvalssimulatie of een willekeurig aantal aanbiedingen van derden gebruiken.

Volgende stappen

Zie de beveiligingsdocumentatie van Microsoft voor aanvullende beveiligingsrichtlijnen van Microsoft.