Beheer

Beheer is de praktijk van het bewaken, onderhouden en bedienen van IT-systemen (Information Technology) om te voldoen aan de serviceniveaus die het bedrijf nodig heeft. Beheer introduceert enkele van de grootste beveiligingsrisico's, omdat het uitvoeren van deze taken geprivilegieerde toegang vereist tot een zeer brede reeks van deze systemen en toepassingen. Aanvallers weten dat het verkrijgen van toegang tot een account met beheerdersbevoegdheden hen toegang kan geven tot de meeste of alle gegevens die ze zouden targeten, waardoor de beveiliging van beheer een van de meest kritieke beveiligingsgebieden is.

Microsoft doet bijvoorbeeld aanzienlijke investeringen in beveiliging en training van beheerders voor onze cloudsystemen en IT-systemen:

De aanbevolen basisstrategie van Microsoft voor beheerdersbevoegdheden is het gebruik van de beschikbare besturingselementen om risico's te beperken

Risicoblootstelling beperken (bereik en tijd) – Het principe van de minste bevoegdheden kunt u het beste uitvoeren met moderne besturingselementen die op aanvraag bevoegdheden bieden. Dit helpt risico's te beperken door de blootstelling aan beheerdersbevoegdheden te beperken door:

• Bereik:Just Enough Access (JEA) biedt alleen de vereiste bevoegdheden voor de vereiste beheerbewerking (versus directe en directe bevoegdheden voor veel of alle systemen tegelijk, wat bijna nooit vereist is).

• Tijd-Just in Time (JIT)-benaderingen boden de vereiste bevoegdheden als ze nodig zijn.

• De resterende risico's beperken: gebruik een combinatie van preventief en recherchebesturingselementen om risico's te beperken, zoals het isoleren van beheerdersaccounts van de meest voorkomende risico's phishing en algemeen surfen op het web, het vereenvoudigen en optimaliseren van hun werkstroom, het vergroten van de betrouwbaarheid van verificatiebeslissingen en het identificeren van afwijkingen van normale basislijngedrag dat kan worden geblokkeerd of onderzocht.

Microsoft heeft best practices vastgelegd en gedocumenteerd voor het beschermen van beheerdersaccounts en gepubliceerde prioriteits roadmaps voor het beschermen van geprivilegieerde toegang die kunnen worden gebruikt als verwijzingen voor het prioriteren van risicobeperking voor accounts met geprivilegieerde toegang.

• Roadmap voor Privileged Access (SPA) beveiligen voor beheerders van on-premises Active Directory

• Richtlijnen voor het beveiligen van beheerders van Azure Active Directory

Het aantal beheerders van kritieke effecten minimaliseren

Het minste aantal accounts verlenen aan bevoegdheden die een kritieke zakelijke impact kunnen hebben

Elk beheerdersaccount vertegenwoordigt een potentieel aanvalsoppervlak dat een aanvaller kan targeten, dus door het aantal accounts met dat privilege te minimaliseren, wordt het totale organisatierisico beperkt. De ervaring leert ons dat het lidmaatschap van deze bevoorrechte groepen in de tijd vanzelf toeneemt naarmate mensen van rol veranderen als het lidmaatschap niet actief wordt beperkt en beheerd.

We raden u aan om een benadering te kiezen die het risico van dit aanvalsoppervlak vermindert en tegelijkertijd de bedrijfscontinuïteit garandeert voor het geval er iets gebeurt met een beheerder:

• Ten minste twee accounts toewijzen aan de bevoorrechte groep voor bedrijfscontinuïteit

• Wanneer er twee of meer accounts vereist zijn, geeft u de rechtvaardiging voor elk lid, inclusief de oorspronkelijke twee

• Regelmatig de rechtvaardiging van & het lidmaatschap voor elk groepslid controleren

Beheerde accounts voor beheerders

Zorg ervoor dat alle beheerders van kritieke gevolgen worden beheerd door de ondernemingslijst om de handhaving van het organisatiebeleid te volgen.

Consumentenaccounts zoals Microsoft-accounts zoals @Hotmail.com, @live.com, @outlook.com bieden onvoldoende beveiligingszichtbaarheid en -controle om ervoor te zorgen dat het beleid van de organisatie en eventuele wettelijke vereisten worden gevolgd. Omdat Azure-implementaties vaak klein en informeel beginnen voordat ze worden uitgroeien tot door ondernemingen beheerde tenants, blijven sommige consumentenaccounts lang daarna als beheerdersaccounts over, bijvoorbeeld oorspronkelijke Azure-projectmanagers, het maken van blinde vlekken en mogelijke risico's.

Afzonderlijke accounts voor beheerders

Zorg ervoor dat alle beheerders van kritieke gevolgen een afzonderlijk account hebben voor beheertaken (ten opzichte van het account dat ze gebruiken voor e-mail, surfen op het web en andere productiviteitstaken).

Phishing- en webbrowseraanvallen vertegenwoordigen de meest voorkomende aanvalsvectoren om accounts te compromitteerden, waaronder beheerdersaccounts.

Maak een afzonderlijk beheeraccount voor alle gebruikers die een rol hebben die kritieke bevoegdheden vereist. Voor deze beheeraccounts blokkeert u productiviteitshulpmiddelen zoals Office 365 e-mail (licentie verwijderen). Blokkeer indien mogelijk willekeurig surfen op het web (met proxy- en/of toepassingsbesturingselementen) terwijl u uitzonderingen toestaat voor het browsen naar de Azure-portal en andere sites die vereist zijn voor beheertaken.

Geen staande toegang / Just in Time-bevoegdheden

Vermijd permanente permanente toegang voor kritieke impactaccounts

Permanente bevoegdheden vergroten het zakelijke risico door de tijd te verhogen dat een aanvaller het account kan gebruiken om schade toe te brengen. Tijdelijke bevoegdheden dwingen aanvallers die zich op een account richten, te werken binnen de beperkte tijd dat de beheerder het account al gebruikt of om bevoegdheden te verhogen (waardoor de kans wordt vergroot dat ze worden gedetecteerd en verwijderd uit de omgeving).

Machtigingen verlenen die alleen nodig zijn op basis van een van deze methoden:

• Just in Time - Azure AD-Privileged Identity Management (PIM) of een oplossing van derden inschakelen om na een goedkeuringswerkstroom machtigingen te verkrijgen voor accounts met kritieke gevolgen

• Break glass – Voor zelden gebruikte accounts volgt u een toegangsproces voor noodgevallen om toegang te krijgen tot de accounts. Dit heeft de voorkeur voor bevoegdheden die weinig nodig hebben voor regelmatig operationeel gebruik, zoals leden van globale beheerdersaccounts.

Accounts voor toegang bij noodgevallen of 'Break Glass'

Zorg ervoor dat u een mechanisme hebt voor het verkrijgen van administratieve toegang in geval van nood

Hoewel zeldzame, soms extreme omstandigheden zich voordoen waarbij alle normale beheermiddelen niet beschikbaar zijn.

Het is raadzaam om de instructies bij Beheeraccounts voor toegang voor noodgevallen in Azure AD te volgen en ervoor te zorgen dat deze accounts zorgvuldig worden gecontroleerd door beveiligingsbewerkingen.

Beveiliging van het beheerwerkstation

Zorg ervoor dat beheerders van kritieke invloed een werkstation gebruiken met verhoogde beveiliging en controle

Aanvalsvectoren die browsen en e-mail gebruiken, zoals phishing, zijn goedkoop en veelvoorkomende. Door beheerders van kritieke gevolgen te isoleren van deze risico's, wordt het risico op een ernstig incident waarbij een van deze accounts is gecompromitteerd aanzienlijk verminderd en gebruikt om uw bedrijf of missie aanzienlijk te beschadigen.

Het niveau van de beveiliging van het beheerwerkstation kiezen op basis van de opties die beschikbaar zijn op https://aka.ms/securedworkstation

• Zeer veilig productiviteitsapparaat (verbeterd beveiligingswerkstation of gespecialiseerd werkstation)
  U kunt dit beveiligingstraject voor beheerders met kritieke gevolgen starten door hen een werkstation met een hogere beveiliging te bieden dat nog steeds algemene browse- en productiviteitstaken mogelijk maakt. Als u dit als tussentijdse stap gebruikt, kunt u de overgang naar volledig geïsoleerde werkstations voor zowel de beheerders van kritieke gevolgen als het IT-personeel dat deze gebruikers en hun werkstations ondersteunt, gemachtigen.

• Privileged Access Workstation (Specialized Workstation of Secured Workstation)
  Deze configuraties vormen de ideale beveiligingstoestand voor beheerders met kritieke gevolgen, omdat ze de toegang tot vectoren voor phishing-, browser- en productiviteitstoepassingsaanvallen sterk beperken. Deze werkstations staan geen algemeen surfen op internet toe, alleen browsertoegang tot Azure Portal en andere beheersites.

Afhankelijkheden van beheerders van kritieke invloed – Account/Workstation

Kies zorgvuldig de on-premises beveiligingsafhankelijkheden voor accounts met kritieke gevolgen en hun werkstations

Als u het risico wilt beperken dat een belangrijk incident on-premises overloop om een belangrijk compromis van cloudactiva te worden, moet u de controlemiddelen die on-premises resources hebben, verwijderen of minimaliseren voor kritieke gevolgen voor accounts in de cloud. Aanvallers die de on-premises Active Directory in gevaar brengen, hebben bijvoorbeeld toegang tot en compromissen met cloudactiva die afhankelijk zijn van deze accounts, zoals resources in Azure, Amazon Web Services (AWS), ServiceNow, en meer. Aanvallers kunnen ook werkstations gebruiken die zijn verbonden met lokale domeinen om toegang te krijgen tot accounts en services die van hen worden beheerd.

Kies het niveau van isolatie van on-premises beheermiddelen, ook wel beveiligingsafhankelijkheden genoemd voor accounts met kritieke gevolgen

• Gebruikersaccounts: kies waar de accounts met kritieke gevolgen moeten worden hosten

  • Native Azure AD Accounts -*Native Azure AD Accounts maken die niet worden gesynchroniseerd met on-premises active directory

  • Synchroniseren vanuit On Premises Active Directory (Niet aanbevolen zie On-premises beheerdersaccounts niet synchroniseren met cloudidentiteitsproviders )- Maak gebruik van bestaande accounts die worden gehost in de on-premisesactive directory.

• Werkstations: kies hoe u de werkstations beheert en beveiligt die worden gebruikt door kritieke beheerdersaccounts:

  • Native Cloud Management Security (Aanbevolen) - Voeg workstations toe aan & Azure AD & Manage/Patch ze met Intune of andere cloudservices. Beveiligen en bewaken met Windows Microsoft Defender ATP of een andere cloudservice die niet wordt beheerd door on-premises accounts.

  • Beheren met bestaande systemen: deelnemen aan bestaand AD-domein & maakt gebruik van bestaand beheer/beveiliging.

Dit heeft betrekking op de on-premises beheerdersaccounts niet synchroniseren met cloudidentiteitsproviders met richtlijnen voor cloudidentiteitsproviders in de beheersectie, zodat het omgekeerde risico van het omvijveren van cloudactiva naar on-premises assets wordt beperkt

Wachtwoordloze of meervoudige verificatie voor beheerders

Alle beheerders van kritieke effecten moeten wachtwoordloze verificatie of meervoudige verificatie (MFA) gebruiken.

Aanvalsmethoden zijn zo ontwikkeld dat wachtwoorden alleen een account niet betrouwbaar kunnen beveiligen. Dit is goed gedocumenteerd in een Microsoft Ignite-sessie.

Beheerdersaccounts en alle kritieke accounts moeten een van de volgende verificatiemethoden gebruiken. Deze mogelijkheden worden weergegeven in voorkeursorder op de hoogste kosten/moeite om aan te vallen (sterkste/voorkeursopties) tot de laagste kosten/moeilijk aan te vallen:

• Wachtwoordloos (zoals Windows Hello)
  https://aka.ms/HelloForBusiness

• Wachtwoordloos (Authenticator App)
  https://docs.microsoft.com/azure/active-directory/authentication/howto-authentication-phone-sign-in

• Meervoudige verificatie
  https://docs.microsoft.com/azure/active-directory/authentication/howto-mfa-userstates

Houd er rekening mee dat MFA op basis van sms-berichten erg goedkoop is geworden voor aanvallers om te omzeilen, dus raden we u aan ervoor te zorgen dat u er niet op vertrouwt. Deze optie is nog steeds sterker dan alleen wachtwoorden, maar is veel zwakker dan andere MFA-opties

Voorwaardelijke toegang afdwingen voor beheerders - Nul vertrouwen

Verificatie voor alle beheerders en andere accounts met kritieke gevolgen moet het meten en afdwingen van belangrijke beveiligingskenmerken bevatten ter ondersteuning van een Zero Trust-strategie.

Aanvallers die azure-beheerdersaccounts compromitteren, kunnen aanzienlijke schade veroorzaken. Voorwaardelijke toegang kan dit risico aanzienlijk beperken door beveiligingshygiëne te handhaven voordat u toegang tot Azure-beheer toestaat.

Configureer beleid voor voorwaardelijke toegang voor Azure-beheer dat voldoet aan de risicobereidheid en operationele behoeften van uw organisatie.

• Meervoudige verificatie en/of verbinding vereisen vanuit een aangewezen werknetwerk

• Apparaatintegriteit vereisen met Microsoft Defender ATP (Strong Assurance)

Gedetailleerde en aangepaste machtigingen vermijden

Machtigingen vermijden die specifiek verwijzen naar afzonderlijke resources of gebruikers

Specifieke machtigingen zorgen voor onnodige complexiteit en verwarring omdat ze niet de bedoeling hebben om nieuwe vergelijkbare resources te gebruiken. Dit wordt dan opgestapeld in een complexe oudere configuratie die moeilijk te onderhouden of te wijzigen is zonder bang te zijn dat er iets wordt gebroken, wat een negatieve invloed heeft op zowel de beveiliging als de flexibiliteit van de oplossing.

In plaats van specifieke resourcespecifieke machtigingen toe te wijzen, gebruikt u

• Beheergroepen voor machtigingen voor het hele bedrijf

• Resourcegroepen voor machtigingen binnen abonnementen

In plaats van machtigingen te verlenen aan specifieke gebruikers, wijst u toegang toe aan groepen in Azure AD. Als er geen geschikte groep is, werkt u samen met het identiteitsteam om er een te maken. Op deze manier kunt u groepsleden extern toevoegen en verwijderen aan Azure en ervoor zorgen dat machtigingen actueel zijn, terwijl de groep ook kan worden gebruikt voor andere doeleinden, zoals adressenlijsten.

Ingebouwde rollen gebruiken

Gebruik ingebouwde rollen om waar mogelijk machtigingen toe te wijzen.

Aanpassingen leiden tot complexiteit die verwarring vergroot en automatisering complexer, uitdagender en kwetsbaarder maakt. Deze factoren hebben allemaal een negatieve invloed op de beveiliging

U wordt aangeraden de ingebouwde rollen te evalueren die zijn ontworpen voor de meest normale scenario's. Aangepaste rollen zijn een krachtige en soms nuttige mogelijkheid, maar ze moeten worden gereserveerd voor gevallen waarin ingebouwde rollen niet werken.

Levenscyclusbeheer voor accounts met kritieke gevolgen vaststellen

Zorg ervoor dat u een proces hebt voor het uitschakelen of verwijderen van beheerdersaccounts wanneer beheerders de organisatie verlaten (of beheerdersposities verlaten)

Zie Regelmatig kritieke toegang controleren voor meer informatie.

Aanvalssimulatie voor accounts met kritieke gevolgen

Simuleert regelmatig aanvallen op beheerders met de nieuwste aanvalstechnieken om hen te informeren en te machtigen.

Personen zijn een belangrijk onderdeel van uw verdediging, met name uw personeel met toegang tot accounts met kritieke gevolgen. Als u ervoor zorgt dat deze gebruikers (en idealiter alle gebruikers) over de kennis en vaardigheden beschikken om aanvallen te voorkomen en te voorkomen, vermindert u het algehele organisatierisico.

U kunt de Office 365 mogelijkheden van Attack Simulation of eender welke aanbieding van derden gebruiken.

Volgende stappen

Zie Microsoft-beveiligingsdocumentatie voor aanvullende beveiligingsadviezen van Microsoft.