Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Bevoegde toegang bevindt zich in het enterprise-toegangsmodel en biedt het enige beheerpad naar het besturingsvlak. Hiermee wordt gedefinieerd wie systemen kan configureren, identiteiten kan beheren, beveiliging kan afdwingen en uiteindelijk de technologieomgeving van de organisatie kan vormgeven.
In moderne ondernemingen heeft een relatief klein aantal identiteiten — beheerders, serviceaccounts en controlplanerollen — bevoegdheden en toegang tot het merendeel van de bedrijfsactiva. Deze identiteiten kunnen:
- Toegangsbeheer wijzigen
- Systeemconfiguraties wijzigen
- Toegang tot gevoelige gegevens
- Beveiligingsbeveiligingen uitschakelen of overslaan
Aanvallers herkennen dit. In plaats van elk systeem afzonderlijk aan te vallen, richten ze zich op:
- Inloggegevens stelen.
- Bevoegdheden escaleren.
- Lateraal overstappen op rollen met een hoge waarde.
Zodra bevoegde toegang is verkregen, kan de aanvaller met snelheid en schaal werken.
Daarom behandelen moderne beveiligingsmodellen bevoegde toegang anders:
- Deze moet expliciet worden beheerd. Definieer bijvoorbeeld bevoorrechte rollen en onboarding via identiteitsbeheer en privileged identity management (PIM), waarvoor goedkeuring en tijdgebonden uitbreiding is vereist in plaats van permanente roltoewijzingen.
- Het moet worden geïsoleerd van normale activiteit. Gebruik bijvoorbeeld afzonderlijke beheerdersaccounts en toegewezen PAW's (Privileged Access Devices), zodat bevoegde acties nooit plaatsvinden vanuit standaardgebruikerssessies of onbeheerde apparaten.
- Het moet continu worden bewaakt. Verzend bijvoorbeeld bevoegde aanmeldingen, rolactiveringen en beleidswijzigingen voor het bewaken van hulpprogramma's zoals Microsoft Sentinel om ongebruikelijke gebruikspatronen te detecteren en waarschuwingen of geautomatiseerde reacties te activeren.
- Het moet worden overeengekomen dat bevoegde toegang een primair doelwit is van inbreuk. Beveilig bijvoorbeeld alle accounts met verhoogde rechten met sterke multifactorauthenticatie (MFA), zonder permanente toegangsrechten en met controlemaatregelen voor break-glass-accounts, waarbij ervan wordt uitgegaan dat aanvallers proberen inloggegevens te stelen en privilege-escalatie uit te voeren.
Het beveiligen van bevoegde toegang vereist dat u niet alleen rollen en accounts hoeft te gebruiken om inzicht te krijgen in alle onderdelen die bevoegde toegang hebben. Dit omvat:
- Het identiteitsbeheervlak.
- Bevoegde apparaten, apps en interfaces.
- Intermediaire systemen zoals VPN's, PIM en systemen voor beheer van bevoorrechte toegang (PAM).
Samen bepalen deze hoe controle wordt uitgeoefend en hoe het moet worden beveiligd.
In de volgende afbeelding ziet u het mogelijke aanvalsoppervlak voor inbreuk op bevoegde toegang.
Identiteitsbeheervlak
Het identiteitsbeheervlak is de laag die definieert en bepaalt wie bevoorrechte rollen kan hebben en hoe deze bevoegdheden worden toegewezen, verhoogd en ingetrokken in de hele organisatie. In een bevoorrechte toegangscontext omvat het bevoorrechte identiteiten, roltoewijzingen en goedgekeurde uitbreidingspaden, die de basis vormen waarop alle andere besturingselementen afhankelijk zijn.
Het beveiligen van het identiteitsbeheervlak zorgt ervoor dat bevoegdheden expliciet, tijdgebonden, sterk geverifieerd en controleerbaar zijn, waardoor onbevoegde of onbeheerde toegang tot de systemen die uiteindelijk de hele omgeving beheren, wordt voorkomen.
Het volgende diagram laat zien dat de beheerlaag centraal wordt beheerd in cloudservices (Microsoft Entra ID, Intune, Defender for Endpoint) en alleen toegankelijk is via een Privileged Access Workstation (PAW), waarmee isolatie, controle en veilig beheer van alle bevoorrechte handelingen worden afgedwongen.
Rollen in het controlevlak
Microsoft Entra ID heeft rollen en machtigingen die zijn geïdentificeerd als bevoegd.
Deze rollen en machtigingen kunnen worden gebruikt voor het delegeren van het beheer van directory-resources aan andere gebruikers, het wijzigen van referenties, verificatie- of autorisatiebeleid of toegang tot beperkte gegevens. Bevoorrechte roltoewijzingen kunnen leiden tot uitbreiding van bevoegdheden als deze niet op een veilige en beoogde manier worden gebruikt.
- Bekijk privilegede Microsoft Entra rollen.
- Meer informatie over het weergeven en gebruiken van bevoorrechte rollen.
Bevoegde toegangswerkstations
Een Privileged Access Workstation (PAW) is een toegewezen, beveiligd apparaat dat alleen wordt gebruikt voor het uitvoeren van beheertaken. Het is gescheiden van gewone gebruikersapparaten en is nauw beveiligd om het risico op diefstal van referenties, malware of zijdelingse verplaatsing te verminderen. PAW's dwingen belangrijke beveiligingsmaatregelen af, zoals:
- Sterke verificatie (bijvoorbeeld Windows Hello voor Bedrijven)
- Apparaatverharding (Credential Guard, Device Guard, Exploit Guard, AppLocker)
- Beperkt gebruik (geen algemene browse- of productiviteitsactiviteit)
Het doel is ervoor te zorgen dat bevoegde referenties en acties nooit worden blootgesteld aan niet-vertrouwde omgevingen.
In het volgende diagram ziet u dat de PAW het enige vertrouwde toegangspunt tot de beheerlaag is.
Zoals in het diagram wordt weergegeven, stromen alle beheeracties door het PAW en worden deze beheerd zoals samengevat in de tabel.
| Controle | Implementatie |
|---|---|
| Expliciet beheerd | Administratieve toegang wordt alleen verleend via beleidsgebaseerde identiteitscontroles, waarvoor sterke authenticatie en een goedgekeurde, tijdelijke verhoging van rechten vereist zijn. De apparaatstatus moet ook voldoen aan de nalevingsvereisten voordat toegang wordt toegestaan. |
| Geïsoleerd van normale activiteit | Geprivilegieerde bewerkingen zijn beperkt tot een toegewezen PAW-apparaat met nauw beheerde gebruik en connectiviteit. Het PAW wordt niet gebruikt voor algemene productiviteit, met beperkte internettoegang en beveiligde externe connectiviteit met gevoelige systemen. |
| Voortdurend bewaakt | Alle identiteitsactiviteit, apparaatstatus en eindpuntgedrag worden continu verzameld en geanalyseerd, waardoor detectie van abnormale bevoegde activiteit en snelle reactie mogelijk is. |
| Wordt ervan uitgegaan dat het doelwit is | De omgeving wordt beveiligd en continu gevalideerd, ervan uitgaande dat aanvallers gericht zijn op bevoegde toegang. Apparaten worden bijgewerkt gehouden, veilige bootstrapping wordt afgedwongen. |
Volgende stappen
Een architectuur voor bevoegde toegang implementeren.