Plan voor snelle modernisering van beveiliging

  • Artikel

Met dit snelle moderniseringsplan (RAMP) kunt u snel gebruikmaken van de aanbevolen strategie voor bevoegde toegang van Microsoft.

Deze roadmap bouwt voort op de technische controles die zijn vastgesteld in de richtlijnen voor geprivilegieerde toegangsdistributie . Voer deze stappen uit en gebruik vervolgens de stappen in deze RAMP om de besturingselementen voor uw organisatie te configureren.

Privileged access RAMP summary

Notitie

Veel van deze stappen hebben een dynamisch groen/bruinveld, omdat organisaties vaak beveiligingsrisico's hebben op de manier waarop ze al zijn geïmplementeerd of geconfigureerde accounts. In deze roadmap wordt prioriteit gegeven aan het stoppen van de accumulatie van nieuwe beveiligingsrisico's en vervolgens worden de resterende items die al zijn verzameld, later opgeschoond.

Tijdens het doorlopen van de roadmap kunt u Microsoft Secure Score gebruiken om veel items in het traject bij te houden en te vergelijken met anderen in vergelijkbare organisaties gedurende een bepaalde periode. Meer informatie over Microsoft Secure Score vindt u in het artikel Overzicht van Secure Score.

Elk item in deze RAMP is gestructureerd als een initiatief dat wordt bijgehouden en beheerd met behulp van een indeling die voortbouwt op de doelstellingen en de belangrijkste resultatenmethode (OKR). Elk item bevat wat (doelstelling), waarom, wie, hoe en hoe te meten (belangrijke resultaten). Voor sommige items zijn wijzigingen in processen en kennis/vaardigheden van personen vereist, terwijl andere eenvoudigere technologiewijzigingen zijn. Veel van deze initiatieven omvatten leden buiten de traditionele IT-afdeling die moeten worden opgenomen in de besluitvorming en implementatie van deze wijzigingen om ervoor te zorgen dat ze met succes in uw organisatie worden geïntegreerd.

Het is essentieel om samen te werken als organisatie, partnerschappen te creëren en mensen te onderwijzen die traditioneel geen deel uitmaken van dit proces. Het is essentieel om in de hele organisatie buy-in te maken en te onderhouden, zonder dat er veel projecten mislukken.

Bevoegde accounts scheiden en beheren

Accounts voor noodtoegang

  • Wat: Zorg ervoor dat u niet per ongeluk bent vergrendeld voor uw Microsoft Entra-organisatie in een noodsituatie.
  • Waarom: accounts voor noodtoegang die zelden worden gebruikt en zeer schadelijk zijn voor de organisatie als ze zijn gecompromitteerd, maar hun beschikbaarheid voor de organisatie is ook van cruciaal belang voor de weinige scenario's wanneer ze nodig zijn. Zorg ervoor dat u een plan hebt voor de continuïteit van de toegang die geschikt is voor zowel verwachte als onverwachte gebeurtenissen.
  • Wie: dit initiatief wordt doorgaans geleid door identiteits- en sleutelbeheer en/of beveiligingsarchitectuur.
  • Hoe: volg de richtlijnen in Accounts voor toegang tot noodgevallen beheren in Microsoft Entra ID.
  • Belangrijke resultaten meten:
    • Tot stand gebracht toegangsproces voor noodgevallen is ontworpen op basis van Microsoft-richtlijnen die voldoen aan de behoeften van de organisatie
    • De toegang tot noodgevallen is binnen de afgelopen 90 dagen beoordeeld en getest

Microsoft Entra Privileged Identity Management inschakelen

  • Wat: Microsoft Entra Privileged Identity Management (PIM) gebruiken in uw Microsoft Entra-productieomgeving om bevoegde accounts te detecteren en te beveiligen
  • Waarom: Privileged Identity Management biedt op tijd gebaseerde en op goedkeuring gebaseerde rolactivering om de risico's van overmatige, onnodige of misbruikte toegangsmachtigingen te beperken.
  • Wie: dit initiatief wordt doorgaans geleid door identiteits- en sleutelbeheer en/of beveiligingsarchitectuur.
  • Hoe: Microsoft Entra Privileged Identity Management implementeren en configureren met behulp van de richtlijnen in het artikel Microsoft Entra Privileged Identity Management (PIM) implementeren.
  • Belangrijke resultaten meten: 100% van de toepasselijke bevoegde toegangsrollen maken gebruik van Microsoft Entra PIM

Bevoegde accounts identificeren en categoriseren (Microsoft Entra-id)

  • Wat: Identificeer alle rollen en groepen met een hoge bedrijfsimpact waarvoor een bevoegd beveiligingsniveau (onmiddellijk of na verloop van tijd) is vereist. Deze beheerders hebben een spatrate-account nodig in een latere stap Privileged Access Administration.

  • Waarom: deze stap is vereist om het aantal personen te identificeren en te minimaliseren dat afzonderlijke accounts en bevoegde toegangsbeveiliging vereisen

  • Wie: dit initiatief wordt doorgaans geleid door identiteits- en sleutelbeheer en/of beveiligingsarchitectuur.

  • Hoe: Nadat u Microsoft Entra Privileged Identity Management hebt ingeschakeld, bekijkt u de gebruikers die zich in de volgende Microsoft Entra-rollen bevinden, minimaal op basis van het risicobeleid van uw organisatie:

    • Globale beheerder
    • Beheerder voor bevoorrechte rollen
    • Exchange-beheerder
    • SharePoint-beheerder

    Zie Beheer rolmachtigingen in Microsoft Entra ID voor een volledige lijst met beheerdersrollen.

    Verwijder alle accounts die niet meer nodig zijn in deze rollen. Categoriseer vervolgens de resterende accounts die zijn toegewezen aan beheerdersrollen:

    • Toegewezen aan gebruikers met beheerdersrechten, maar ook voor niet-administratieve productiviteitsdoeleinden, zoals lezen en reageren op e-mail.
    • Alleen toegewezen aan gebruikers met beheerdersrechten en gebruikt voor beheerdersdoeleinden
    • Gedeeld door meerdere gebruikers
    • Voor break-glass-noodtoegangsscenario's
    • Voor geautomatiseerde scripts
    • Voor externe gebruikers

Als u microsoft Entra Privileged Identity Management niet in uw organisatie hebt, kunt u de PowerShell-API gebruiken. Begin ook met de rol Global Beheer istrator, omdat een global Beheer istrator dezelfde machtigingen heeft voor alle cloudservices waarvoor uw organisatie zich heeft geabonneerd. Deze machtigingen worden verleend, ongeacht waar ze zijn toegewezen: in het Microsoft 365-beheercentrum, Azure Portal of door de Azure AD-module voor Microsoft PowerShell.

  • Belangrijke resultaten meten: De afgelopen 90 dagen is de beoordeling en identificatie van bevoorrechte toegangsrollen voltooid

Afzonderlijke accounts (on-premises AD-accounts)

  • Wat: Beveilig on-premises bevoegde beheerdersaccounts, als dit nog niet is gebeurd. Deze fase omvat:

    • Afzonderlijke beheerdersaccounts maken voor gebruikers die on-premises beheertaken moeten uitvoeren
    • Privileged Access Workstations implementeren voor Active Directory-beheerders
    • Unieke lokale beheerderswachtwoorden maken voor werkstations en servers

  • Waarom: de accounts die worden gebruikt voor beheertaken beperken. De beheerdersaccounts moeten e-mail hebben uitgeschakeld en er mogen geen persoonlijke Microsoft-accounts worden toegestaan.

  • Wie: dit initiatief wordt doorgaans geleid door identiteits- en sleutelbeheer en/of beveiligingsarchitectuur.

  • Hoe: Alle medewerkers die gemachtigd zijn om beheerdersbevoegdheden te bezitten, moeten afzonderlijke accounts hebben voor beheerfuncties die verschillen van gebruikersaccounts. Deel deze accounts niet tussen gebruikers.

    • Standaardgebruikersaccounts: hieraan worden de standaardgebruikversbevoegdheden verleend voor standaardgebruikerstaken, zoals e-mail, surfen en het gebruik van bedrijfstoepassingen. Deze accounts krijgen geen beheerdersbevoegdheden.
    • Administratoraccounts: dit zijn afzonderlijke accounts voor werknemers die de juiste administratorbevoegdheden hebben gekregen.

  • Belangrijke resultaten meten: 100% van de on-premises bevoegde gebruikers hebben afzonderlijke toegewezen accounts

Microsoft Defender for Identity

  • Wat: Microsoft Defender for Identity combineert on-premises signalen met cloudinzichten om gebeurtenissen in een vereenvoudigde indeling te bewaken, te beveiligen en te onderzoeken, zodat uw beveiligingsteams geavanceerde aanvallen tegen uw identiteitsinfrastructuur kunnen detecteren met de mogelijkheid om:

    • Gebruikers, entiteitsgedrag en activiteiten bewaken met op leer gebaseerde analyses
    • Opgeslagen gebruikersidentiteiten en referenties in Active Directory beveiligen
    • Verdachte gebruikersactiviteiten en geavanceerde aanvallen in de kill chain identificeren en onderzoeken
    • Geef duidelijke incidentinformatie op een eenvoudige tijdlijn voor snelle sortering

  • Waarom: Moderne aanvallers kunnen gedurende lange tijd onopgemerkt blijven. Veel bedreigingen zijn moeilijk te vinden zonder een samenhangende afbeelding van uw hele identiteitsomgeving.

  • Wie: dit initiatief wordt doorgaans geleid door identiteits- en sleutelbeheer en/of beveiligingsarchitectuur.

  • Hoe: Microsoft Defender for Identity implementeren en inschakelen en eventuele geopende waarschuwingen bekijken.

  • Belangrijke resultaten meten: alle geopende waarschuwingen die door de juiste teams zijn beoordeeld en beperkt.

Ervaring voor referentiebeheer verbeteren

Selfservice voor wachtwoordherstel en gecombineerde registratie van beveiligingsgegevens implementeren en documenteer

  • Wat: Schakel selfservice voor wachtwoordherstel (SSPR) in uw organisatie in en schakel de gecombineerde registratie van beveiligingsgegevens in.
  • Waarom: gebruikers kunnen hun eigen wachtwoorden opnieuw instellen zodra ze zich hebben geregistreerd. De gecombineerde ervaring voor registratie van beveiligingsgegevens biedt een betere gebruikerservaring waardoor registratie voor meervoudige verificatie van Microsoft Entra en selfservice voor wachtwoordherstel mogelijk is. Deze hulpprogramma's die samen worden gebruikt, dragen bij aan lagere helpdeskkosten en meer tevreden gebruikers.
  • Wie: dit initiatief wordt doorgaans geleid door identiteits- en sleutelbeheer en/of beveiligingsarchitectuur.
  • Instructies: Als u SSPR wilt inschakelen en implementeren, raadpleegt u het artikel Een selfservice voor wachtwoordherstel van Microsoft Entra plannen.
  • Sleutelresultaten meten: selfservice voor wachtwoordherstel is volledig geconfigureerd en beschikbaar voor de organisatie

Beheerdersaccounts beveiligen - MFA/wachtwoordloos inschakelen en vereisen voor gebruikers met bevoegdheden van Microsoft Entra ID

  • Wat: Vereisen dat alle bevoegde accounts in Microsoft Entra ID sterke meervoudige verificatie gebruiken

  • Waarom: om de toegang tot gegevens en services in Microsoft 365 te beveiligen.

  • Wie: dit initiatief wordt doorgaans geleid door identiteits- en sleutelbeheer en/of beveiligingsarchitectuur.

  • Hoe: Schakel Microsoft Entra multifactor authentication (MFA) in en registreer alle andere niet-federatieve beheerdersaccounts met hoge bevoegdheden voor één gebruiker. Meervoudige verificatie vereisen bij aanmelding voor alle afzonderlijke gebruikers die permanent zijn toegewezen aan een of meer van de Microsoft Entra-beheerdersrollen, zoals:

    • Globale beheerder
    • Beheerder voor bevoorrechte rollen
    • Exchange-beheerder
    • SharePoint-beheerder

    Beheerders verplichten om aanmeldingsmethoden zonder wachtwoord te gebruiken, zoals FIDO2-beveiligingssleutels of Windows Hello voor Bedrijven in combinatie met unieke, lange, complexe wachtwoorden. Dwing deze wijziging af met een organisatiebeleidsdocument.

Volg de richtlijnen in de volgende artikelen, Plan a Microsoft Entra multifactor authentication deployment and Plan a passwordless authentication deployment in Microsoft Entra ID.

  • Meet de belangrijkste resultaten: 100% van de bevoegde gebruikers gebruiken verificatie zonder wachtwoord of een sterke vorm van meervoudige verificatie voor alle aanmeldingen. Zie Privileged Access-accounts voor een beschrijving van meervoudige verificatie

Verouderde verificatieprotocollen blokkeren voor bevoegde gebruikersaccounts

  • Wat: Gebruik van verouderde verificatieprotocol voor bevoegde gebruikersaccounts blokkeren.

  • Waarom: organisaties moeten deze verouderde verificatieprotocollen blokkeren, omdat meervoudige verificatie niet kan worden afgedwongen. Door verouderde verificatieprotocollen ingeschakeld te laten, kan een toegangspunt worden gemaakt voor aanvallers. Sommige verouderde toepassingen kunnen afhankelijk zijn van deze protocollen en organisaties hebben de mogelijkheid om specifieke uitzonderingen voor bepaalde accounts te maken. Deze uitzonderingen moeten worden bijgehouden en er moeten aanvullende controlemechanismen worden geïmplementeerd.

  • Wie: dit initiatief wordt doorgaans geleid door identiteits- en sleutelbeheer en/of beveiligingsarchitectuur.

  • Procedure: Als u verouderde verificatieprotocollen in uw organisatie wilt blokkeren, volgt u de richtlijnen in het artikel Instructies: Verouderde verificatie blokkeren voor Microsoft Entra-id met voorwaardelijke toegang.

  • Belangrijke resultaten meten:

    • Verouderde protocollen geblokkeerd: alle verouderde protocollen worden geblokkeerd voor alle gebruikers, met alleen geautoriseerde uitzonderingen
    • Uitzonderingen worden elke 90 dagen beoordeeld en verlopen permanent binnen één jaar. Eigenaren van toepassingen moeten alle uitzonderingen binnen één jaar na goedkeuring van de eerste uitzondering oplossen
  • Wat: Eindgebruikerstoestemming uitschakelen voor Microsoft Entra-toepassingen.

Notitie

Voor deze wijziging moet het besluitvormingsproces worden gecentraliseerd met de beveiligings- en identiteitsbeheerteams van uw organisatie.

Account- en aanmeldingsrisico's opschonen

  • Wat: Schakel Microsoft Entra ID Protection in en schoon eventuele risico's op die worden gevonden.
  • Waarom: Riskante gebruikers en aanmeldingsgedrag kunnen een bron zijn van aanvallen op uw organisatie.
  • Wie: dit initiatief wordt doorgaans geleid door identiteits- en sleutelbeheer en/of beveiligingsarchitectuur.
  • Hoe: Maak een proces dat gebruikers- en aanmeldingsrisico's bewaakt en beheert. Bepaal of u herstel gaat automatiseren, met behulp van Meervoudige Verificatie en SSPR van Microsoft Entra, of blokkeren en beheerdersintervallen vereisen. Volg de richtlijnen in het artikel Instructies: Risicobeleid configureren en inschakelen.
  • Belangrijke resultaten meten: de organisatie heeft geen niet-aangepaste gebruikers- en aanmeldingsrisico's.

Notitie

Beleid voor voorwaardelijke toegang is vereist om de toename van nieuwe aanmeldingsrisico's te blokkeren. Zie de sectie Voorwaardelijke toegang van de implementatie van bevoegde toegang

Beheer eerste implementatie van werkstations

  • Wat: bevoegde accounts zoals Global Beheer istrators hebben toegewezen werkstations om beheertaken uit te voeren van.
  • Waarom: apparaten waarop bevoegde beheertaken zijn voltooid, zijn een doelwit van aanvallers. Het beveiligen van niet alleen het account, maar deze assets zijn essentieel voor het verminderen van uw kwetsbaarheid voor aanvallen. Deze scheiding beperkt hun blootstelling aan veelvoorkomende aanvallen gericht op productiviteitsgerelateerde taken, zoals e-mail en surfen.
  • Wie: dit initiatief wordt doorgaans geleid door identiteits- en sleutelbeheer en/of beveiligingsarchitectuur.
  • Hoe: De eerste implementatie moet op enterpriseniveau zijn, zoals beschreven in het artikel Privileged Access Deployment
  • Belangrijke resultaten meten: elk bevoegd account heeft een toegewezen werkstation om gevoelige taken uit te voeren.

Notitie

Deze stap brengt snel een beveiligingsbasislijn tot stand en moet zo snel mogelijk worden verhoogd naar gespecialiseerde en bevoegde niveaus.

Volgende stappen