Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Dit artikel maakt deel uit van de oplossingshandleiding voor een uitgebreide toegangsarchitectuur implementeren .
Bevoegde toegang vormt een kritiek beveiligingsrisico in de meeste organisaties, omdat hiermee directe controle over identiteitssystemen, cloudbesturingsvlakken en bedrijfskritieke assets mogelijk is.
Meer informatie over hoe een beveiligde bevoorrechte toegangsarchitectuur een cruciale rol speelt in uw bedrijfsscenario - Kritieke bedrijfsactiva beveiligen - door dit risico te verminderen en de controle over gevoelige systemen te versterken.
In dit artikel wordt fase 3 van de implementatie beschreven. Het dwingt beleidsregels voor bevoegde toegang af om te beperken waar bevoegde identiteiten kunnen worden gebruikt.
Met behulp van de vertrouwde apparaatsignalen die zijn ingesteld in fase 2, configureert u voorwaardelijke toegang, zodat bevoorrechte rollen, portals en beheerinterfaces alleen kunnen worden gebruikt vanaf goedgekeurde, bevoegde toegangswerkstations met beperkte risico's (PAW's).
Beveiligingsdoelen
Fase 3 dwingt de volgende beveiligingsdoelen af:
- Zorg ervoor dat bevoegde inloggegevens niet kunnen worden gebruikt op niet-PAW-apparaten.
- Beheerportals en interfaces zijn alleen bereikbaar vanaf compatibele apparaten met een laag risico.
- Geprivilegieerde toegang vereist sterke gebruikersauthenticatie en geverifieerd vertrouwen in het apparaat.
- Beperk de toegang tot beheerinterfaces (portals, API's, PowerShell) tot goedgekeurde PAW's.
- Gestolen referenties kunnen niet opnieuw worden gebruikt vanuit standaard- of onbeheerde eindpunten.
- Geprivilegieerde toegangspaden zijn expliciet, controleerbaar en afdwingbaar.
Beveiligingsbereik
Fase 3 beveiligt bevoegde toegangsinterfaces en werkstromen waarmee bevoegde acties plaatsvinden, waaronder:
- Cloudbeheerportals (Azure portal, Microsoft Entra-beheercentrum, Microsoft 365-beheercentrum)
- Portals voor beveiligingsbeheer (Microsoft Defender portals)
- Gebruik en activering van bevoorrechte rollen (inclusief door PIM beheerde rollen)
- Sessies in de beheerbrowser
- Uitgaande netwerkpaden die worden gebruikt door apparaten met uitgebreide bevoegdheden
In fase 3 worden apparaten of identiteiten niet opnieuw geconfigureerd. Het handhaaft beleid op basis van de output van fase 1 en 2.
Risico’s beperkt
| Risico | Waarom het belangrijk is | Fase 3-mitigatie |
|---|---|---|
| Bevoorrechte inloggegevens hergebruikt op niet-PAW-apparaten | MFA en goedkeuringen verhinderen niet dat aanvallers gestolen tokens of referenties hergebruiken op gecompromitteerde standaardwerkstations. | Voor voorwaardelijke toegang zijn bevoorrechte rollen vereist om alleen te verifiëren bij compatibele PAW's met een laag risico. |
| Bevoegde toegang vanaf apparaten met een hoog risico of niet-gepatchte apparaten | Met een kwetsbaar apparaat kunnen aanvallers onmiddellijk beheer uitoefenen. | Toegangsbeslissingen evalueren Intune-naleving en Microsoft Defender voor Eindpunt risiconiveau voordat bevoegde toegang wordt verleend. |
| Beheerportals die toegankelijk zijn vanaf onbeheerde of BYOD-apparaten | Cloudbesturingsvlakken worden bereikbaar vanaf apparaten buiten organisatiebeheer. | Met voorwaardelijke toegang worden beheerportals beperkt tot PAW's, waardoor de toegang vanaf niet-PAW-apparaten wordt geblokkeerd. |
| Bypass van beveiligde portals met alternatieve interfaces | Aanvallers kunnen beveiligingsmaatregelen omzeilen door PowerShell, API's of alternatieve beheerendpoints te gebruiken. | Handhaving geldt consequent voor beheerinterfaces, niet alleen voor hoofdportalen. |
| Activering van bevoorrechte rollen vanaf gecompromitteerde werkstations | Goedkeuringswerkstromen kunnen worden gekaapt als de activering van rollen op een onveilig apparaat plaatsvindt. | PIM-rolactivering en rolgebruik worden afgedwongen via dezelfde vereisten voor het vertrouwen van apparaten met voorwaardelijke toegang. |
| Referenties verlenen alleen bevoegde toegang | Bij beveiliging met alleen identiteiten wordt ervan uitgegaan dat er een betrouwbare uitvoeringsomgeving is. | Fase 3 bindt de identiteit, het apparaat en de interfacevoorwaarden, zodat referenties alleen onvoldoende zijn. |
| Gebrek aan zichtbaarheid van afdwinging | Zonder het afdwingen van beleid is het moeilijk om te bewijzen dat bevoegde toegang wordt beperkt. | Beslissingen over voorwaardelijke toegang en Defender telemetrie bieden controleerbare, waarneembare afdwingingsinformatie. |
| Snelle escalatie na inbreuk op werkstation | Aanvallers draaien snel van een gecompromitteerd apparaat naar bedrijfsbrede controle. | Fase 3 zorgt ervoor dat gestolen aanmeldgegevens buiten PAW's onbruikbaar zijn, waardoor veelvoorkomende escalatiepaden worden doorbroken. |
Faseresultaten
Na voltooiing van fase 3:
- Bevoorrechte rollen en beheerportals zijn alleen toegankelijk vanaf compatibele PAW's met een laag risico.
- Voorwaardelijke toegang blokkeert bevoegde toegang vanaf niet-PAW-apparaten.
- Apparaatnaleving en Microsoft Defender voor Eindpunt risicosignalen zijn vereiste invoer voor toegangsbeslissingen.
- Bevoorrechte toegang wordt afgedwongen op de identiteits-, apparaat- en interfacelagen.
- Toegangspogingen worden vastgelegd, waarneembaar en controleerbaar.
Prerequisites
Voordat u procedures in dit artikel configureert:
- Voltooi fase 1-instructies om het identiteitsbeheervlak te beveiligen.
- Voltooi Fase 2 om PAW's te implementeren en te beveiligen.
- Zorg ervoor dat apparaatcompatibiliteit en Defender voor eindpuntintegratie actief is.
Stap 1: MFA en apparaatvertrouwen vereisen voor bevoegde toegang
Zorg ervoor dat bevoegde toegang sterke gebruikersverificatie en vertrouwde apparaten vereist.
- Navigeer in het Microsoft Entra-beheercentrum naar Protection>Conditional Access>Policies.
- Selecteer Nieuw beleid maken.
- In Toewijzingen> configurerengebruikers deze instellingen:
- Neem bevoorrechte directoryrollen op, zoals globale beheerder, beveiligingsbeheerder.
- Sluit de glasgroep voor noodgevallen uit.
- In Assignments>Cloud-apps zijn cloudbeheertoepassingen zoals de Azure-portal, Microsoft Entra-beheercentrum, Microsoft 365-beheercentrum en Defender-portals.
- In Toegangsbeheer verleent u toegang met deze instellingen:
- Meervoudige verificatie vereisen
- Vereisen dat het apparaat moet worden gemarkeerd als compatibel
- Microsoft Defender voor Eindpunt-apparaatrisiconiveau vereisen = Laag
- Schakel het beleid in.
Stap 2: beheerportals beperken tot PAW's
Zorg ervoor dat beheerportals alleen bereikbaar zijn vanaf compatibele PAW's.
- Navigeer in het Microsoft Entra-beheercentrum naar Protection>Conditional Access>Policies.
- Selecteer Nieuw beleid maken om een extra beleid te maken.
- In Toewijzingen> configurerengebruikers deze instellingen:
- Neem bevoorrechte directoryrollen op, zoals globale beheerder, beveiligingsbeheerder.
- Sluit de break-glassgroep voor noodgevallen uit.
- Neem in Toewijzingen>Cloud-apps de beheertoepassingen op die worden gebruikt voor bevoorrechte toegang in uw omgeving.
- In Toegangsbeheer verleent u toegang met deze instellingen:
- Vereisen dat het apparaat moet worden gemarkeerd als compatibel
- Vereis dat het apparaatrisico van Microsoft Defender voor Eindpunt laag is
- Schakel het beleid in.
Stap 3: bevoegde toegang blokkeren vanaf niet-PAW-apparaten
Zorg ervoor dat bevoegde toegang tot beheerportals wordt geblokkeerd voor niet-PAW-apparaten, zelfs als deze apparaten voldoen aan algemene nalevingsvereisten.
- Navigeer in het Microsoft Entra-beheercentrum naar Protection>Conditional Access>Policies.
- Selecteer Nieuw beleid maken om een derde beleid te maken.
- In Toewijzingen> configurerengebruikers deze instellingen:
- Neem bevoorrechte directoryrollen op, zoals globale beheerder, beveiligingsbeheerder.
- Sluit aangewezen accounts voor toegang tot noodgevallen uit.
- In Toewijzingen>Cloud-apps zijn dezelfde beheerportals opgenomen.
- Selecteer Onder Voorwaardenfilter voor apparaten.
- Configureer het apparaatfilter om niet-PAW-apparaten te targeten:
- Selecteer Gefilterde apparaten opnemen:
- Configureer een apparaatfilter dat niet-PAW-apparaten identificeert op basis van het kenmerk of de regel die uw organisatie gebruikt om PAW's te onderscheiden. Zorg ervoor dat dit overeenkomt met de identificatiemethode die is vastgesteld in fase 2.
- Selecteer Gereed om de apparaatfiltervoorwaarde toe te passen.
- Selecteer Onder Besturingselementen voor toegang de optie Toegang blokkeren.
- Selecteer Maken om het beleid in te schakelen.
Stap 4: TOEGANG tot PAW-netwerk beperken
Beperk de toegang tot het PAW-netwerk tot alleen vereiste beheer- en beheereindpunten. Deze configuratie is afhankelijk van expliciete firewallregels om vereiste eindpunten toe te staan, in plaats van brede op protocollen gebaseerde rechten.
Navigeer in het Microsoft Intune-beheercentrum naar Endpoint-beveiliging>Firewall.
Selecteer Beleid maken.
Configureer het beleid: - Platform: Windows 10 en hoger. 1. Configureer de firewallprofielinstellingen:
- Binnenkomende verbindingen: Blokkeren
- Uitgaande verbindingen: Toestaan (standaard, beheerd door regels hieronder)
Configureer onder Instellingenfirewallregels . Gebruik firewallregels om het verkeer te definiëren dat is vereist voor bevoegd beheer.
Maak uitgaande toelatingsregels voor vereiste services, zoals:
- DNS
- DHCP
- NTP
- Vereist Microsoft eindpunten voor cloudbeheer, zoals Intune en Microsoft Entra ID.
- Vereiste beheer-eindpunten.
Elke regel moet:
- Geef de richting op: uitgaand.
- Actie opgeven: Toestaan
- Doeleindpunten definiëren (IP-bereiken, FQDN's of servicetags waar ondersteund)
Zorg ervoor dat er geen algemene regels voor toestaan, zoals onbeperkte HTTP/HTTPS, zijn geconfigureerd.
Wijs het beleid toe aan Secure Workstation Devices (PAW's).
Selecteer Maken om het beleid te implementeren.
Hiermee voltooit u de laag voor het afdwingen van bevoegde toegang. Het volgende artikel kan hierop voortbouwen om meet-, bewakings- en succescriteria te behandelen.
Volgende stappen
Nu de bevoegde toegang afdwingingslaag aanwezig is, is de laatste stap het configureren van bewaking.