Vijf stappen voor het beveiligen van uw identiteitsinfrastructuur

  • Artikel
  • 15 minuten om te lezen

Als u dit document leest, bent u zich bewust van het belang van beveiliging. U bent waarschijnlijk al verantwoordelijk voor het beveiligen van uw organisatie. Als u anderen wilt overtuigen van het belang van beveiliging, stuurt u ze naar het laatste Microsoft-beveiligingsinformatie lezen.

Dit document helpt u een veiligere postuur te krijgen met behulp van de mogelijkheden van Azure Active Directory door een controlelijst in vijf stappen te gebruiken om uw organisatie te inoculateeren tegen cyberaanvallen.

Met deze controlelijst kunt u snel essentiële aanbevolen acties implementeren om uw organisatie onmiddellijk te beschermen door het volgende uit te leggen:

  • Uw referenties versterken.
  • Verminder de kans surface area.
  • Bedreigingsreactie automatiseren.
  • Cloudintelligentie gebruiken.
  • Selfservice voor eindgebruikers inschakelen.

Houd tijdens het lezen van deze controlelijst bij welke functies en stappen zijn voltooid.

Notitie

Veel van de aanbevelingen in dit document zijn alleen van toepassing op toepassingen die zijn geconfigureerd om Azure Active Directory als id-provider te gebruiken. Het configureren van apps voor single Sign-On zorgt voor de voordelen van referentiebeleid, detectie van bedreigingen, controle, logboekregistratie en andere functies die aan deze toepassingen toevoegen. Azure AD Application Management is de basis waarop al deze aanbevelingen zijn gebaseerd.

De aanbevelingen in dit document zijn afgestemd op de Id-beveiligingsscore, een automatische evaluatie van de configuratie van de identiteitsbeveiliging van uw Azure AD-tenant. Organisaties kunnen de pagina Id-beveiligingsscore in de Azure AD-portal gebruiken om hiaten in hun huidige beveiligingsconfiguratie te vinden om ervoor te zorgen dat ze de huidige best practices van Microsoft voor beveiliging volgen. Als u elke aanbeveling op de pagina Veilige score implementeert, verhoogt u uw score en kunt u uw voortgang bijhouden, plus hulp bij het vergelijken van uw implementatie met andere organisaties van vergelijkbare grootte of uw branche.

Id-secure score

Notitie

Veel van de functies die hier worden beschreven, vereisen een Azure AD Premium abonnement, terwijl sommige gratis zijn. Raadpleeg onze controlelijst Azure Active Directory prijzen en Azure AD-implementatie voor meer informatie.

Voordat u begint: bevoorrechte accounts beveiligen met MFA

Voordat u met deze controlelijst begint, moet u ervoor zorgen dat u niet wordt aangetast tijdens het lezen van deze controlelijst. U moet eerst uw bevoegde accounts beveiligen.

Aanvallers die controle krijgen over bevoegde accounts kunnen enorme schade aanrichten, dus het is essentieel om deze accounts eerst te beveiligen. Azure AD Multi-Factor Authentication (MFA) inschakelen en vereisen voor alle beheerders in uw organisatie die gebruikmaken van De standaardinstellingen van Azure AD-beveiliging of voorwaardelijke toegang. Als u MFA nog niet hebt geïmplementeerd, kunt u dit nu doen. Zo belangrijk is het.

Klaar? Laten we aan de slag gaan met de controlelijst.

Stap 1: uw referenties versterken

De meeste schendingen van bedrijfsbeveiliging zijn afkomstig van een account dat is aangetast met een van de verschillende methoden, zoals wachtwoordspray, opnieuw afspelen van inbreuk of phishing. Meer informatie over deze aanvallen in deze video (45 min.):

Zorg ervoor dat uw organisatie gebruikmaakt van sterke verificatie

Gezien de frequentie waarmee wachtwoorden worden geraden, phished, gestolen met malware of opnieuw worden gebruikt, is het essentieel om het wachtwoord met een bepaalde vorm van sterke referenties te gebruiken. Meer informatie over Azure AD Multi-Factor Authentication.

Als u eenvoudig het basisniveau van identiteitsbeveiliging wilt inschakelen,kunt u de inschakelen met één klik gebruiken met Azure AD Security Defaults . Standaardinstellingen voor beveiliging dwingen Azure AD MFA af voor alle gebruikers in een tenant en blokkeert aanmeldingen van verouderde protocollen voor de hele tenant.

Begin met het verbieden van vaak aangevallen wachtwoorden en schakel traditionele complexiteit en verloopregels uit.

Veel organisaties gebruiken de traditionele complexiteit (waarvoor speciale tekens, cijfers, hoofdletters en kleine letters zijn vereist) en regels voor het verlopen van wachtwoorden. Uit onderzoek van Microsoft blijkt dat deze beleidsregels ertoe leiden dat gebruikers wachtwoorden kiezen die gemakkelijker te raden zijn.

De dynamische functie voor verboden wachtwoorden van Azure AD maakt gebruik van het huidige gedrag van aanvallers om te voorkomen dat gebruikers wachtwoorden instellen die eenvoudig kunnen worden geraden. Deze mogelijkheid is altijd beschikbaar wanneer gebruikers worden gemaakt in de cloud, maar is nu ook beschikbaar voor hybride organisaties wanneer ze Azure AD-wachtwoordbeveiliging implementeren voor Windows Server Active Directory. Azure AD-wachtwoordbeveiliging blokkeert het kiezen van deze algemene wachtwoorden en kan worden uitgebreid om het wachtwoord te blokkeren met aangepaste trefwoorden die u opgeeft. U kunt bijvoorbeeld voorkomen dat uw gebruikers wachtwoorden kiezen die de productnamen van uw bedrijf of een lokaal sportteam bevatten.

Microsoft raadt aan het volgende moderne wachtwoordbeleid te gebruiken op basis van NIST-richtlijnen:

  1. Vereisen dat wachtwoorden ten minste 8 tekens bevatten. Langer is niet noodzakelijkerwijs beter, omdat ze ervoor zorgen dat gebruikers voorspelbare wachtwoorden kiezen, wachtwoorden opslaan in bestanden of ze opschrijven.
  2. Schakel verloopregels uit, waardoor gebruikers gemakkelijk wachtwoorden zoals Spring2019 kunnen raden.
  3. Schakel de vereisten voor het samenstellen van tekens uit en voorkom dat gebruikers vaak aangevallen wachtwoorden kiezen, omdat ze ervoor zorgen dat gebruikers voorspelbare tekenvervangingen in wachtwoorden kiezen.

U kunt PowerShell gebruiken om te voorkomen dat wachtwoorden voor gebruikers verlopen als u identiteiten rechtstreeks in Azure AD maakt. Hybride organisaties moeten deze beleidsregels implementeren met behulp van instellingen voor domeingroepsbeleid of Windows PowerShell.

Beschermen tegen gelekte referenties en tolerantie tegen uitval toevoegen

Als uw organisatie gebruikmaakt van een hybride identiteitsoplossing met pass-through-verificatie of federatie, moet u wachtwoord-hashsynchronisatie inschakelen om de volgende twee redenen:

  • In het rapport Gebruikers met gelekte referenties in het Azure AD-beheer wordt u gewaarschuwd voor gebruikersnaam- en wachtwoordparen, die zijn blootgesteld op het 'dark web'. Een groot aantal wachtwoorden wordt gelekt via phishing, malware en wachtwoorden hergebruiken op sites van derden die later worden geschonden. Microsoft vindt veel van deze gelekte referenties en vertelt u in dit rapport of ze overeenkomen met de referenties in uw organisatie, maar alleen als u wachtwoordhashsynchronisatie inschakelen of cloudidentiteiten hebt.
  • In het geval van een on-premises storing (bijvoorbeeld bij een ransomware-aanval) kunt u overschakelen naar cloudverificatie met behulp van wachtwoord-hashsynchronisatie. Met deze verificatiemethode voor back-ups kunt u toegang blijven krijgen tot apps die zijn geconfigureerd voor verificatie met Azure Active Directory, waaronder Microsoft 365. In dit geval hoeven IT-medewerkers geen gebruik te maken van persoonlijke e-mailaccounts om gegevens te delen totdat de on-premises storing is opgelost.

Meer informatie over hoe wachtwoord-hashsynchronisatie werkt.

Notitie

Als u wachtwoordhashsynchronisatie inschakelen en Azure AD Domain Services gebruikt, worden Kerberos-hashes (AES 256) en optioneel NTLM-hashes (RC4, geen salt) ook versleuteld en gesynchroniseerd met Azure AD.

Slimme AD FS extranet implementeren

Organisaties die toepassingen configureren om rechtstreeks bij Azure AD te verifiëren, profiteren van slimme vergrendeling van Azure AD. Als u AD FS in Windows Server 2012R2 gebruikt, implementeert u AD FS extranetvergrendelingsbeveiliging. Als u een AD FS Windows Server 2016 gebruikt, implementeert u extranet smart lockout. AD FS Smart Extranet-vergrendeling beschermt tegen brute force-aanvallen, die gericht zijn op AD FS voorkomen dat gebruikers worden vergrendeld in Active Directory.

Profiteer van intrinsiek veilige, eenvoudiger te gebruiken referenties

Met Windows Hellokunt u wachtwoorden vervangen door sterke tweefactorauthenticatie op pc's en mobiele apparaten. Deze verificatie bestaat uit een nieuw type gebruikersreferenties dat veilig is gekoppeld aan een apparaat en gebruikmaakt van een biometrische of pincode.

Stap 2: uw aanvalsoppervlak verminderen

Gezien de alomtegenwoordigheid van wachtwoordcompromitteerd gebruik, is het minimaliseren van de aanvalsoppervlak in uw organisatie essentieel. Het elimineren van het gebruik van oudere, minder veilige protocollen, het beperken van toegangspunten en het meer beheer van beheertoegang tot resources kan helpen de kans op aanvallen surface area.

Verouderde verificatie blokkeren

Apps die gebruikmaken van hun eigen verouderde methoden voor verificatie met Azure AD en toegang tot bedrijfsgegevens vormen een ander risico voor organisaties. Voorbeelden van apps die gebruikmaken van verouderde verificatie zijn POP3-, IMAP4- of SMTP-clients. Verouderde verificatie-apps worden namens de gebruiker geverifieerd en voorkomen dat Azure AD geavanceerde beveiligingsevaluaties kan uitvoeren. Het alternatief, moderne verificatie, vermindert uw beveiligingsrisico, omdat het ondersteuning biedt voor meervoudige verificatie en voorwaardelijke toegang. We raden de volgende drie acties aan:

  1. Verouderde verificatie blokkeren als u AD FS.
  2. Stel SharePoint Online en Exchange Online in voor het gebruik van moderne verificatie.
  3. Als u een Azure AD Premium, gebruikt u beleid voor voorwaardelijke toegang om verouderdeverificatie te blokkeren, anders gebruikt u Standaardinstellingen voor Azure AD-beveiliging.

Ongeldige verificatie-toegangspunten blokkeren

Als u gebruik maakt van de geschonden denkbaarheid, moet u de impact van gecompromitteerde gebruikersreferenties verminderen wanneer deze zich voor doen. Houd voor elke app in uw omgeving rekening met de geldige use cases: welke groepen, welke netwerken, welke apparaten en andere elementen zijn geautoriseerd, en blokkeer vervolgens de rest. Met voorwaardelijke toegang van Azure ADkunt u bepalen hoe gemachtigde gebruikers toegang hebben tot hun apps en resources op basis van specifieke voorwaarden die u definieert.

Het is belangrijk om inzicht te krijgen in de verschillende ervaringen met Azure AD-toepassingstoestemming, de typen machtigingen en toestemming en de implicatieservan voor de beveiligingsstatus van uw organisatie. Standaard kunnen alle gebruikers in Azure AD toepassingen verlenen die gebruikmaken van het Microsoft-identiteitsplatform voor toegang tot de gegevens van uw organisatie. Hoewel gebruikers zelf toestemming kunnen geven, kunnen gebruikers eenvoudig nuttige toepassingen verkrijgen die kunnen worden geïntegreerd met Microsoft 365, Azure en andere services, maar het kan een risico vormen als dit niet wordt gebruikt en zorgvuldig wordt bewaakt.

Microsoft raadt aan om gebruikers toestemming te beperken om uw gebruikers surface area te beperken en dit risico te beperken. U kunt ook app-toestemmingsbeleid (preview) gebruiken om toestemming van eindgebruikers te beperken tot alleen geverifieerde uitgevers en alleen voor machtigingen die u selecteert. Als toestemming van eindgebruikers is beperkt, worden eerdere toestemmingsverlagen nog steeds gehonoreerd, maar moeten alle toekomstige toestemmingsbewerkingen worden uitgevoerd door een beheerder. In beperkte gevallen kan toestemming van de beheerder worden aangevraagd door gebruikers via een geïntegreerde werkstroom voor toestemmingsaanvraag van de beheerder of via uw eigen ondersteuningsprocessen. Voordat u toestemming van eindgebruikers beperkt, gebruikt u onze aanbevelingen om deze wijziging in uw organisatie te plannen. Voor toepassingen die u alle gebruikers toegang wilt geven, kunt u overwegen om toestemming te verlenen namens alle gebruikers,zodat gebruikers die nog niet afzonderlijk toestemming hebben gegeven, toegang hebben tot de app. Als u niet wilt dat deze toepassingen beschikbaar zijn voor alle gebruikers in alle scenario's, gebruikt u toepassingstoewijzing en voorwaardelijke toegang om gebruikerstoegang tot specifieke apps te beperken.

Zorg ervoor dat gebruikers goedkeuring van de beheerder kunnen aanvragen voor nieuwe toepassingen om frictie van gebruikers te verminderen, ondersteuningsvolume te minimaliseren en te voorkomen dat gebruikers zich registreren voor toepassingen die niet-Azure AD-referenties gebruiken. Zodra u uw toestemmingsbewerkingen reguleert, moeten beheerders regelmatig app- en toestemmingsmachtigingen controleren.

Een Azure AD Privileged Identity Management

Een andere impact van 'schending aannemen' is de noodzaak om de kans te minimaliseren dat een aangetast account met een bevoorrechte rol kan werken.

Azure AD Privileged Identity Management (PIM) helpt u bij het minimaliseren van accountbevoegdheden door u te helpen:

  • Identificeer en beheer gebruikers die zijn toegewezen aan beheerdersrollen.
  • Krijg inzicht in ongebruikte of overmatige bevoegdheden die u moet verwijderen.
  • Stel regels in om ervoor te zorgen dat bevoorrechte rollen worden beveiligd door meervoudige verificatie.
  • Stel regels in om ervoor te zorgen dat bevoorrechte rollen alleen lang genoeg worden verleend om de bevoorrechte taak uit te voeren.

Schakel Azure AD PIM in, bekijk vervolgens de gebruikers aan wie beheerdersrollen zijn toegewezen en verwijder onnodige accounts in die rollen. Voor resterende gebruikers met bevoegdheden verplaatst u deze van permanent naar in aanmerking komend. Stel ten slotte de juiste beleidsregels in om ervoor te zorgen dat ze veilig toegang moeten krijgen tot deze bevoorrechte rollen, met het benodigde wijzigingsbeheer.

Als onderdeel van het implementeren van uw bevoegde accountproces, volgt u de best practice om ten minste twee noodaccounts te maken om ervoor te zorgen dat u nog steeds toegang hebt tot Azure AD als u uzelf vergrendelt.

Stap 3: Bedreigingsreactie automatiseren

Azure Active Directory biedt veel mogelijkheden die aanvallen automatisch onderscheppen om de latentie tussen detectie en reactie te verminderen. U kunt de kosten en risico's verlagen wanneer u de tijd vermindert die criminaliteit nodig heeft om zichzelf in te sluit in uw omgeving. Dit zijn de concrete stappen die u kunt nemen.

Beveiligingsbeleid voor gebruikersrisico's implementeren met Azure AD Identity Protection

Gebruikersrisico geeft de kans aan dat de identiteit van een gebruiker is aangetast en wordt berekend op basis van de detectie van gebruikersrisico's die zijn gekoppeld aan de identiteit van een gebruiker. Een beleid voor gebruikersrisico's is een beleid voor voorwaardelijke toegang dat het risiconiveau evalueert voor een specifieke gebruiker of groep. Op basis van laag, gemiddeld, hoog risiconiveau kan een beleid worden geconfigureerd om toegang te blokkeren of om een veilige wachtwoordwijziging te vereisen met meervoudige verificatie. Het wordt door Microsoft aanbevolen om een veilige wachtwoordwijziging te vereisen voor gebruikers met een hoog risico.

Schermopname toont Gebruikers voor risico gemarkeerd, met een gebruiker geselecteerd.

Beleid voor aanmeldingsrisico's implementeren met behulp van Azure AD Identity Protection

Aanmeldingsrisico is de kans dat iemand anders dan de accounteigenaar zich probeert aan te melden met behulp van de identiteit. Een beleid voor aanmeldingsrisico's is een beleid voor voorwaardelijke toegang dat het risiconiveau evalueert voor een specifieke gebruiker of groep. Op basis van het risiconiveau (hoog/gemiddeld/laag) kan een beleid worden geconfigureerd om toegang te blokkeren of meervoudige verificatie af te dwingen. Zorg ervoor dat u meervoudige verificatie forceer bij gemiddelde of bovenstaande risico-aanmeldingen.

Aanmelden vanaf anonieme IP's

Stap 4: cloudintelligentie gebruiken

Controle en logboekregistratie van beveiligingsgebeurtenissen en gerelateerde waarschuwingen zijn essentiële onderdelen van een efficiënte beveiligingsstrategie. Beveiligingslogboeken en -rapporten bieden u een elektronisch overzicht van verdachte activiteiten en helpen u bij het detecteren van patronen die kunnen wijzen op pogingen of geslaagde externe penetratie van het netwerk en interne aanvallen. U kunt controles gebruiken om gebruikersactiviteiten te bewaken, naleving van regelgeving te documenteren, forensische analyses uit te voeren en meer. Waarschuwingen bieden meldingen over beveiligingsgebeurtenissen.

Azure AD bewaken

Microsoft Azure-services en -functies bieden u configureerbare opties voor beveiligingscontrole en logboekregistratie, zodat u hiaten in uw beveiligingsbeleid en -mechanismen kunt identificeren en deze hiaten kunt aanpakken om schendingen te voorkomen. U kunt Logboekregistratie en controle van Azure gebruiken en controleactiviteitenrapporten gebruiken in Azure Active Directory portal.

Uw Azure AD Connect Health in hybride omgevingen bewaken

Bewaking AD FS met Azure AD Connect Health biedt u meer inzicht in mogelijke problemen en zichtbaarheid van aanvallen op uw AD FS infrastructuur. Azure AD Connect Health waarschuwingen met details, oplossingsstappen en koppelingen naar gerelateerde documentatie; gebruiksanalyse voor verschillende metrische gegevens met betrekking tot verificatieverkeer; prestatiebewaking en -rapporten.

Azure AD Connect Health (Engelstalig)

Gebeurtenissen Azure AD Identity Protection bewaken

Azure AD Identity Protection is een hulpprogramma voor meldingen, bewaking en rapportage dat u kunt gebruiken om potentiële beveiligingsproblemen te detecteren die van invloed zijn op de identiteiten van uw organisatie. Het detecteert risicodetecties, zoals gelekte referenties, onmogelijke reis en aanmeldingen vanaf geïnfecteerde apparaten, anonieme IP-adressen, IP-adressen die zijn gekoppeld aan de verdachte activiteit en onbekende locaties. Schakel meldingswaarschuwingen in om e-mail te ontvangen van gebruikers die risico lopen en/of een wekelijkse samenvattings-e-mail.

Azure AD Identity Protection bevat twee belangrijke rapporten die u dagelijks moet controleren:

  1. Riskante aanmeldingsrapporten worden aanmeldactiviteiten van gebruikers die u moet onderzoeken, mogelijk heeft de legitieme eigenaar de aanmelding niet uitgevoerd.
  2. In rapporten van riskante gebruikers worden gebruikersaccounts aangetroffen die mogelijk zijn aangetast, zoals gelekte referenties die zijn gedetecteerd of de gebruiker die is aangemeld vanaf verschillende locaties, waardoor een onmogelijke reisgebeurtenis wordt veroorzaakt.

Schermopname van het deelvenster Azure A D Identity Protection met gebruikers en hun risiconiveaus.

Apps en toestemmingsmachtigingen controleren

Gebruikers kunnen worden lastig te navigeren naar een aangetaste website of apps die toegang krijgen tot hun profielgegevens en gebruikersgegevens, zoals hun e-mailadres. Een kwaadwillende actor kan de machtigingen die hij heeft ontvangen, gebruiken om de inhoud van zijn postvak te versleutelen en vragen om een verzoek om terug te gaan naar uw postvakgegevens. Beheerders moeten de machtigingen van gebruikers controleren en controleren of de mogelijkheid van gebruikers om toestemming te geven standaard uitschakelen.

Naast het controleren van de machtigingen van gebruikers, kunt u riskante of ongewenste OAuth-toepassingen vinden in Premium-omgevingen.

Stap 5: selfservice voor eindgebruikers inschakelen

U wilt de beveiliging zoveel mogelijk in balans brengen met productiviteit. Op dezelfde manier als bij het benaderen van uw traject met de instelling dat u op de lange termijn een basis voor beveiliging wilt instellen, kunt u frictie bij uw organisatie wegnemen door uw gebruikers te helpen en tegelijkertijd te blijven.

Selfservice voor wachtwoord opnieuw instellen implementeren

De selfservice voor wachtwoord opnieuw instellen (SSPR) van Azure AD biedt IT-beheerders een eenvoudige manier om gebruikers toe te staan hun wachtwoorden of accounts opnieuw in te stellen of te ontgrendelen zonder tussenkomst van de helpdesk of beheerder. Het systeem bevat gedetailleerde rapporten die bij houdt wanneer gebruikers hun wachtwoord opnieuw hebben ingesteld, samen met meldingen om u te waarschuwen voor misbruik of misbruik.

Selfservice voor groeps- en toepassingstoegang implementeren

Azure AD biedt niet-beheerders de mogelijkheid om toegang tot resources te beheren met behulp van beveiligingsgroepen, Microsoft 365 groepen, toepassingsrollen en toegang tot pakketcatalogi. Met groepsbeheer via selfservice kunnen groepseigenaren hun eigen groepen beheren, zonder dat er een beheerdersrol aan hoeft te worden toegewezen. Gebruikers kunnen ook groepen maken en Microsoft 365 beheren zonder dat ze afhankelijk zijn van beheerders om hun aanvragen te verwerken, en ongebruikte groepen verlopen automatisch. Azure AD-rechtenbeheer maakt delegering en zichtbaarheid verder mogelijk, met uitgebreide werkstromen voor toegangsverzoeken en automatische verloopdatum. U kunt aan niet-beheerders de mogelijkheid delegeren om hun eigen toegangspakketten te configureren voor groepen, Teams, toepassingen en SharePoint Online-sites waarvan ze eigenaar zijn, met aangepast beleid voor wie toegang moet goedkeuren, inclusief het configureren van werknemersmanagers en zakelijke partners als fiattoren.

Azure AD-toegangsbeoordelingen implementeren

Met Azure AD-toegangsbeoordelingenkunt u toegangspakket- en groepslidmaatschap, toegang tot bedrijfstoepassingen en bevoorrechte roltoewijzingen beheren om ervoor te zorgen dat u een beveiligingsstandaard behoudt. Regelmatig toezicht door de gebruikers zelf, resource-eigenaren en andere revisoren zorgt ervoor dat gebruikers de toegang gedurende langere tijd niet behouden wanneer ze deze niet meer nodig hebben.

Samenvatting

Er zijn veel aspecten van een beveiligde identiteitsinfrastructuur, maar deze controlelijst in vijf stappen helpt u snel een veiligere en veilige identiteitsinfrastructuur te realiseren:

  • Uw referenties versterken.
  • Verminder de kans surface area.
  • Bedreigingsreactie automatiseren.
  • Cloudintelligentie gebruiken.
  • Voorspelbare en volledige beveiliging van eindgebruikers inschakelen met zelfhulp.

We waarderen hoe serieus u Identity Security neemt en hopen dat dit document een nuttig schema is voor een veiligere postuur voor uw organisatie.

Volgende stappen

Als u hulp nodig hebt bij het plannen en implementeren van de aanbevelingen, raadpleegt u de azure AD-projectimplementatieplannen voor hulp.

Als u zeker weet dat al deze stappen zijn voltooid, gebruikt u de Id-beveiligingsscore van Microsoft,waarmee u op de hoogte blijft van de nieuwste best practices en beveiligingsrisico's.