Administration

Beheer is de praktijk van het bewaken, onderhouden en gebruiken van IT-systemen (Information Technology) om te voldoen aan serviceniveaus die het bedrijf nodig heeft. Beheer introduceert enkele van de hoogste impact beveiligingsrisico's, omdat voor het uitvoeren van deze taken bevoegde toegang tot een zeer brede set van deze systemen en toepassingen vereist is. Aanvallers weten dat het verkrijgen van toegang tot een account met beheerdersbevoegdheden hen toegang kan geven tot de meeste of alle gegevens waarop ze zich richten, waardoor de beveiliging van beheer een van de meest kritieke beveiligingsgebieden wordt.

Microsoft investeert bijvoorbeeld aanzienlijk in beveiliging en training van beheerders voor onze cloudsystemen en IT-systemen:

A screenshot of a cell phone Description automatically generated

De aanbevolen kernstrategie van Microsoft voor beheerdersbevoegdheden is het gebruik van de beschikbare besturingselementen om risico's te beperken

Risicoblootstelling verminderen (bereik en tijd) – Het principe van minimale bevoegdheden kan het beste worden bereikt met moderne besturingselementen die bevoegdheden op aanvraag bieden. Dit helpt risico's te beperken door de blootstelling van beheerdersbevoegdheden te beperken door:

  • Bereik : Just Enough Access (JEA) biedt alleen de vereiste bevoegdheden voor de vereiste beheerbewerking (versus directe en directe bevoegdheden hebben voor veel of alle systemen tegelijk, wat bijna nooit vereist is).

  • TimeJit-benaderingen (Just-In-Time) zorgden voor de vereiste bevoegdheden zoals ze nodig zijn.

  • Verminder de resterende risico's : gebruik een combinatie van preventieve en detectivecontroles om risico's te verminderen, zoals het isoleren van beheerdersaccounts van de meest voorkomende risico's voor phishing en algemeen surfen op internet, het vereenvoudigen en optimaliseren van hun werkstroom, het vergroten van de zekerheid van verificatiebeslissingen en het identificeren van afwijkingen van normaal basislijngedrag dat kan worden geblokkeerd of onderzocht.

Microsoft heeft aanbevolen procedures voor het beveiligen van beheeraccounts vastgelegd en gedocumenteerd en roadmaps gepubliceerd met prioriteit voor het beveiligen van bevoegde toegang die kunnen worden gebruikt als verwijzingen voor het prioriteren van risicobeperking voor accounts met bevoegde toegang.

Aantal kritieke impactbeheerders minimaliseren

Zo min mogelijk accounts aan bevoegdheden verlenen die een kritieke bedrijfsimpact kunnen hebben

Elk beheerdersaccount vertegenwoordigt een potentieel aanvalsoppervlak waarop een aanvaller zich kan richten, dus het minimaliseren van het aantal accounts met die bevoegdheid helpt het algehele risico van de organisatie te beperken. De ervaring heeft ons geleerd dat het lidmaatschap van deze bevoorrechte groepen in de loop van de tijd natuurlijk groeit naarmate mensen van rol veranderen als het lidmaatschap niet actief wordt beperkt en beheerd.

We raden u aan een aanpak te gebruiken die het risico op aanvallen vermindert en tegelijkertijd de bedrijfscontinuïteit garandeert voor het geval er iets gebeurt met een beheerder:

  • Ten minste twee accounts toewijzen aan de bevoorrechte groep voor bedrijfscontinuïteit

  • Wanneer twee of meer accounts vereist zijn, geeft u een reden op voor elk lid, inclusief de oorspronkelijke twee

  • Controleer regelmatig de reden van het lidmaatschap & voor elk groepslid

Beheerde accounts voor beheerders

Zorg ervoor dat alle kritieke impactbeheerders worden beheerd door de ondernemingsmap om de afdwinging van organisatiebeleid te volgen.

Consumentenaccounts, zoals Microsoft-accounts zoals @Hotmail.com, @live.com, @outlook.com, bieden onvoldoende zichtbaarheid en controle op de beveiliging om ervoor te zorgen dat het beleid van de organisatie en eventuele wettelijke vereisten worden gevolgd. Omdat Azure-implementaties vaak klein en informeel beginnen voordat ze uitgroeien tot door ondernemingen beheerde tenants, blijven sommige consumentenaccounts lang daarna als beheeraccounts, bijvoorbeeld oorspronkelijke Azure-projectmanagers, waardoor er blinde vlekken ontstaan en potentiële risico's ontstaan.

Afzonderlijke accounts voor beheerders

Zorg ervoor dat alle kritieke impactbeheerders een afzonderlijk account hebben voor beheertaken (versus het account dat ze gebruiken voor e-mail, surfen op internet en andere productiviteitstaken).

Phishing- en webbrowseraanvallen vertegenwoordigen de meest voorkomende aanvalsvectoren om accounts te compromitteren, waaronder beheerdersaccounts.

Maak een afzonderlijk beheerdersaccount voor alle gebruikers met een rol die kritieke bevoegdheden vereist. Voor deze beheerdersaccounts blokkeert u productiviteitshulpprogramma's zoals Office 365 e-mail (licentie verwijderen). Blokkeer, indien mogelijk, willekeurig surfen op internet (met proxy- en/of toepassingsbesturingselementen) en sta uitzonderingen toe voor het bladeren naar de Azure Portal en andere sites die vereist zijn voor beheertaken.

Geen permanente toegang / Just-In-Time-bevoegdheden

Vermijd permanente 'permanente' toegang voor kritieke impactaccounts

Permanente bevoegdheden verhogen het bedrijfsrisico door de tijd te verhogen dat een aanvaller het account kan gebruiken om schade aan te brengen. Tijdelijke bevoegdheden dwingen aanvallers om een account te gebruiken binnen de beperkte tijd dat de beheerder het account al gebruikt of om uitbreiding van bevoegdheden te initiëren (waardoor de kans groter is dat ze worden gedetecteerd en verwijderd uit de omgeving).

Verleen alleen bevoegdheden die vereist zijn op basis van een van de volgende methoden:

  • Just-In-Time - Azure AD Privileged Identity Management (PIM) of een oplossing van derden inschakelen om het volgen van een goedkeuringswerkstroom te vereisen voor het verkrijgen van bevoegdheden voor kritieke impactaccounts

  • Breekglas – Voor accounts die zelden worden gebruikt, volgt u een noodtoegangsproces om toegang te krijgen tot de accounts. Dit is de voorkeur voor bevoegdheden die weinig behoefte hebben aan regelmatig operationeel gebruik, zoals leden van globale beheerdersaccounts.

Accounts voor noodtoegang of 'Break Glass'

Zorg ervoor dat u een mechanisme hebt voor het verkrijgen van beheerderstoegang in geval van nood

Hoewel dit zelden voorkomt, ontstaan er soms extreme omstandigheden waarbij alle normale beheertoegangsmiddelen niet beschikbaar zijn.

We raden u aan de instructies voor het beheren van beheerdersaccounts voor noodtoegang in Azure AD te volgen en ervoor te zorgen dat beveiligingsbewerkingen deze accounts zorgvuldig bewaken.

Beveiliging van werkstation voor beheerders

Zorg ervoor dat kritieke impactbeheerders een werkstation gebruiken met verhoogde beveiliging en bewaking

Aanvalsvectoren die gebruikmaken van browsen en e-mail zoals phishing zijn goedkoop en gemeenschappelijk. Het isoleren van kritieke impactbeheerders van deze risico's vermindert uw risico op een groot incident waarbij een van deze accounts wordt aangetast en wordt gebruikt om uw bedrijf of missie aanzienlijk te beschadigen.

Kies het niveau van de beveiliging van het beheerwerkstation op basis van de opties die beschikbaar zijn op https://aka.ms/securedworkstation

  • Zeer veilig productiviteitsapparaat (verbeterd beveiligingswerkstation of speciaal werkstation)
    U kunt dit beveiligingstraject voor kritieke impactbeheerders starten door ze een hoger beveiligingswerkstation te bieden dat nog steeds algemene browse- en productiviteitstaken mogelijk maakt. Als u dit als tussentijdse stap gebruikt, kunt u de overgang naar volledig geïsoleerde werkstations vereenvoudigen voor zowel de kritieke impactbeheerders als het IT-personeel dat deze gebruikers en hun werkstations ondersteunt.

  • Werkstation met uitgebreide toegang (speciaal werkstation of beveiligd werkstation)
    Deze configuraties vertegenwoordigen de ideale beveiligingsstatus voor kritieke impactbeheerders omdat ze de toegang tot aanvalsvectoren voor phishing- en browsertoepassingen en productiviteitstoepassingen sterk beperken. Deze werkstations staan geen algemene browsertoegang toe, alleen browsertoegang tot Azure Portal en andere beheersites.

Kritieke impact op beheerafhankelijkheden : account/werkstation

Kies zorgvuldig de on-premises beveiligingsafhankelijkheden voor kritieke impactaccounts en hun werkstations

Als u het risico van een groot on-premises incident wilt beperken tot een groot inbreuk op cloudassets, moet u de controlemiddelen elimineren of minimaliseren die on-premises resources hebben voor kritieke impactaccounts in de cloud. Aanvallers die de on-premises Active Directory in gevaar brengen, kunnen bijvoorbeeld toegang krijgen tot cloudactiva die afhankelijk zijn van deze accounts, zoals resources in Azure, Amazon Web Services (AWS), ServiceNow, enzovoort. Aanvallers kunnen ook werkstations gebruiken die zijn gekoppeld aan die on-premises domeinen om toegang te krijgen tot accounts en services die van hen worden beheerd.

Kies het isolatieniveau van on-premises beheermiddelen, ook wel bekend als beveiligingsafhankelijkheden voor kritieke impactaccounts

  • Gebruikersaccounts : kies waar de accounts met kritieke gevolgen moeten worden gehost

    • Systeemeigen Azure AD-accounts -*Systeemeigen Azure AD-accounts maken die niet zijn gesynchroniseerd met on-premises Active Directory

    • Synchroniseren vanuit on-premises Active Directory (niet aanbevolen zie Geen on-premises beheerdersaccounts in cloud-id-providers: maak gebruik van bestaande accounts die worden gehost in de on-premises Active Directory.

  • Werkstations : kies hoe u de werkstations beheert en beveiligt die worden gebruikt door kritieke beheerdersaccounts:

    • Systeemeigen cloudbeheerbeveiliging & (aanbevolen): werkstations koppelen aan Azure AD&- beheren/patchen met Intune of andere cloudservices. Beveilig en bewaak met Windows Microsoft Defender ATP of een andere cloudservice die niet wordt beheerd door on-premises accounts.

    • Beheren met bestaande systemen - Maak gebruik van bestaand beheer/beveiliging om lid te worden van een bestaand AD-domein & .

Dit is gerelateerd aan de richtlijnen voor geen on-premises beheerdersaccounts in cloud-id-providers voor cloud-id-providers in de beheersectie, waarmee het omgekeerde risico van het draaien van cloudassets naar on-premises assets wordt beperkt

Wachtwoordloze of meervoudige verificatie voor beheerders

Vereisen dat alle kritieke impactbeheerders wachtwoordloze verificatie of meervoudige verificatie (MFA) gebruiken.

Aanvalsmethoden zijn geëvolueerd tot het punt waar wachtwoorden alleen een account niet betrouwbaar kunnen beveiligen. Dit is goed gedocumenteerd in een Microsoft Ignite-sessie.

Voor beheeraccounts en alle kritieke accounts moet een van de volgende verificatiemethoden worden gebruikt. Deze mogelijkheden worden weergegeven in voorkeursvolgorde door de hoogste kosten/moeilijkheid om aan te vallen (sterkste/voorkeursopties) tot de laagste kosten/moeilijk aan te vallen:

  • Zonder wachtwoord (zoals Windows Hello)
    https://aka.ms/HelloForBusiness

  • Zonder wachtwoord (Authenticator-app)
    </azure/active-directory/authentication/howto-authentication-phone-sign-in>

  • Meervoudige verificatie
    </azure/active-directory/authentication/howto-mfa-userstates>

Houd er rekening mee dat MFA op basis van sms-berichten erg goedkoop is geworden voor aanvallers om te omzeilen, dus we raden u aan om te voorkomen dat u erop vertrouwt. Deze optie is nog steeds sterker dan wachtwoorden alleen, maar is veel zwakker dan andere MFA-opties

Voorwaardelijke toegang afdwingen voor beheerders - Zero Trust

Verificatie voor alle beheerders en andere kritieke impactaccounts moet het meten en afdwingen van belangrijke beveiligingskenmerken omvatten ter ondersteuning van een Zero Trust-strategie.

Aanvallers die Azure Admin-accounts in gevaar brengen, kunnen aanzienlijke schade veroorzaken. Voorwaardelijke toegang kan dat risico aanzienlijk verminderen door beveiligingshygiëne af te dwingen voordat u toegang tot Azure-beheer toestaat.

Configureer beleid voor voorwaardelijke toegang voor Azure-beheer dat voldoet aan de risicobereiding en operationele behoeften van uw organisatie.

  • Meervoudige verificatie en/of verbinding van een aangewezen werknetwerk vereisen

  • Apparaatintegriteit vereisen met Microsoft Defender ATP (Strong Assurance)

Gedetailleerde en aangepaste machtigingen vermijden

Machtigingen vermijden die specifiek verwijzen naar afzonderlijke resources of gebruikers

Specifieke machtigingen zorgen voor onnodige complexiteit en verwarring, omdat ze niet de bedoeling hebben om vergelijkbare resources te maken. Dit wordt vervolgens samengevoegd tot een complexe verouderde configuratie die moeilijk te onderhouden of te wijzigen is zonder bang te zijn dat er iets wordt verbroken. Dit heeft een negatieve invloed op zowel de beveiliging als de flexibiliteit van de oplossing.

In plaats van specifieke resourcespecifieke machtigingen toe te wijzen, gebruikt u een van beide

  • Beheergroepen voor machtigingen voor de hele onderneming

  • Resourcegroepen voor machtigingen binnen abonnementen

In plaats van machtigingen te verlenen aan specifieke gebruikers, wijst u toegang toe aan groepen in Azure AD. Als er geen geschikte groep is, werkt u samen met het identiteitsteam om er een te maken. Hiermee kunt u externe groepsleden toevoegen aan en verwijderen uit Azure en ervoor zorgen dat de machtigingen actueel zijn, terwijl u de groep ook kunt gebruiken voor andere doeleinden, zoals adressenlijsten.

Ingebouwde rollen gebruiken

Gebruik waar mogelijk ingebouwde rollen voor het toewijzen van machtigingen.

Aanpassing leidt tot complexiteit die verwarring vergroot en automatisering complexer, uitdagender en kwetsbaarder maakt. Deze factoren hebben allemaal een negatieve invloed op de beveiliging

We raden u aan de ingebouwde rollen te evalueren die zijn ontworpen voor de meeste normale scenario's. Aangepaste rollen zijn een krachtige en soms nuttige mogelijkheid, maar ze moeten worden gereserveerd voor gevallen waarin ingebouwde rollen niet werken.

Levenscyclusbeheer instellen voor accounts met kritieke impact

Zorg ervoor dat u een proces hebt voor het uitschakelen of verwijderen van beheerdersaccounts wanneer het beheerderspersoneel de organisatie verlaat (of beheerdersfuncties verlaat)

Zie Gebruikers- en gastgebruikerstoegang beheren met toegangsbeoordelingen voor meer informatie.

Aanvalssimulatie voor accounts met kritieke impact

Simuleer regelmatig aanvallen tegen gebruikers met beheerdersrechten met de huidige aanvalstechnieken om hen te trainen en te ondersteunen.

Mensen vormen een essentieel onderdeel van uw verdediging, met name uw personeel met toegang tot kritieke impactaccounts. Als u ervoor zorgt dat deze gebruikers (en idealiter alle gebruikers) over de kennis en vaardigheden beschikken om aanvallen te voorkomen en te weerstaan, vermindert u het algehele risico van uw organisatie.

U kunt Office 365 mogelijkheden voor aanvalssimulatie of een willekeurig aantal aanbiedingen van derden gebruiken.

Volgende stappen

Zie de beveiligingsdocumentatie van Microsoft voor aanvullende beveiligingsrichtlijnen van Microsoft.