💼 Management Samenvatting
Meervoudige authenticatie voor geprivilegieerde accounts, zoals accounts met globale beheerderrechten, beveiligingsbeheerder en andere beheerdersrollen, vormt een absoluut minimale beveiligingsvereiste omdat deze accounts volledige controle over de tenant hebben.
Aanbeveling
IMPLEMENTEER MEERVOUDIGE AUTHENTICATIE VOOR GEPRIVILEGIEERDE ACCOUNTS
Risico zonder
Critical
Risk Score
10/10
Implementatie
3u (tech: 1u)
Van toepassing op:
✓ Azure
✓ Azure AD
✓ Entra ID
✓ Azure AD
✓ Entra ID
Geprivilegieerde accounts vormen het primaire doelwit voor cyberaanvallers. Eén gecompromitteerd account met globale beheerderrechten kan leiden tot een volledige overname van de tenant: beveiligingscontroles uitschakelen, alle gegevens exporteren, backdooraccounts aanmaken en ransomware tenantbreed implementeren. Zonder meervoudige authenticatie is de bescherming van geprivilegieerde accounts uitsluitend afhankelijk van wachtwoorden, wat buitengewoon onvoldoende is. Beheerdersaccounts moeten minimaal reguliere meervoudige authenticatie hebben, bij voorkeur phishing-resistente meervoudige authenticatie zoals FIDO2 of Windows Hello voor Bedrijven.
PowerShell Modules Vereist
Primary API: Microsoft Graph API
Connection:
Required Modules: Microsoft.Graph.Identity.SignIns
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.Identity.SignIns
Implementatie
Deze controle verifieert dat een Conditional Access-beleid meervoudige authenticatie afdwingt voor alle geprivilegieerde rollen in Azure AD, waaronder globale beheerder, geprivilegieerde rolbeheerder, beveiligingsbeheerder, gebruikersbeheerder, Exchange-beheerder, SharePoint-beheerder en andere beheerdersrollen. Het beleid dient als volgt te zijn geconfigureerd: doelgebruikers zijn directoryrollen waarbij alle beheerdersrollen zijn geselecteerd, cloud-apps omvat alle cloud-apps, toekennen vereist meervoudige authenticatie en de status is ingeschakeld. Er zijn geen uitzonderingen toegestaan: alle beheerders moeten meervoudige authenticatie gebruiken.
Vereisten
De implementatie van meervoudige authenticatie voor geprivilegieerde accounts vereist een grondige voorbereiding op zowel technisch als organisatorisch vlak. Voordat organisaties kunnen beginnen met de configuratie van Conditional Access-beleid, moeten zij beschikken over de juiste licentieverlening. Azure AD Premium P1 vormt de minimale licentievereiste voor het gebruik van Conditional Access, een premiumfunctie die niet beschikbaar is in de gratis versie van Azure Active Directory. Deze licentie is onmisbaar omdat Conditional Access de enige manier is om meervoudige authenticatie af te dwingen op basis van rollen en gebruikersgroepen, in plaats van alleen op individueel gebruikersniveau. Zonder deze licentie kunnen organisaties weliswaar meervoudige authenticatie per gebruiker inschakelen, maar ontbreekt de flexibiliteit en granulariteit die nodig is voor een effectieve beveiliging van geprivilegieerde accounts. Organisaties die reeds beschikken over Microsoft 365 E3 of E5-licenties hebben automatisch toegang tot Azure AD Premium P1-functionaliteit, wat de implementatie aanzienlijk vereenvoudigt.
Een kritieke voorbereidingsstap betreft de registratie van alle beheerdersaccounts voor meervoudige authenticatie voordat het Conditional Access-beleid wordt geactiveerd. Deze registratie is essentieel omdat gebruikers die niet zijn geregistreerd onmiddellijk worden geblokkeerd zodra het beleid wordt afgedwongen, wat kan leiden tot operationele verstoringen en productiviteitsverlies. Het registratieproces kan plaatsvinden via verschillende authenticatiemethoden, waaronder de Microsoft Authenticator-app, SMS-berichten, telefoongesprekken of hardwaretokens. Elke methode heeft zijn eigen voor- en nadelen in termen van beveiliging, gebruiksgemak en kosten. De Microsoft Authenticator-app wordt over het algemeen beschouwd als de meest gebruiksvriendelijke optie, terwijl hardwaretokens de hoogste beveiligingsstandaard bieden maar hogere kosten met zich meebrengen. Organisaties moeten een duidelijk communicatieplan ontwikkelen om alle beheerders te informeren over de vereiste registratie en hen te begeleiden door het proces. Het is raadzaam om een registratieperiode van minimaal twee weken in te plannen voordat het beleid wordt geactiveerd, zodat alle beheerders voldoende tijd hebben om hun registratie te voltooien.
Voor organisaties die voldoen aan strikte beveiligingsstandaarden, met name Nederlandse overheidsorganisaties, is het implementeren van phishing-resistente meervoudige authenticatie niet alleen aanbevolen maar vaak verplicht volgens BIO-normen en NIS2-richtlijnen. Phishing-resistente authenticatiemethoden, zoals FIDO2-beveiligingssleutels of Windows Hello voor Bedrijven, bieden superieure beveiliging omdat ze niet kunnen worden onderschept door traditionele phishing-aanvallen of man-in-the-middle-aanvallen. FIDO2 maakt gebruik van cryptografische authenticatie op basis van publieke sleutels, waardoor wachtwoorden en eenmalige codes volledig overbodig worden. Deze technologie werkt door middel van een cryptografisch sleutelpaar dat lokaal op het apparaat wordt gegenereerd en opgeslagen, waarbij de privésleutel nooit de beveiligingssleutel verlaat. Wanneer een gebruiker zich authenticeert, wordt een cryptografische handshake uitgevoerd tussen de beveiligingssleutel en de server, waarbij de gebruiker fysiek de sleutel moet aanraken of een biometrische verificatie moet uitvoeren. Deze aanpak elimineert volledig het risico van phishing omdat er geen geheimen worden gedeeld die kunnen worden gestolen. Voor Nederlandse overheidsorganisaties die werken met zeer gevoelige gegevens is de implementatie van phishing-resistente authenticatie niet alleen een best practice maar een wettelijke verplichting onder de NIS2-richtlijn en BIO-normen.
Break-glass accounts, ook wel noodtoegangsaccounts genoemd, vormen een uitzondering op de regel dat alle beheerdersaccounts meervoudige authenticatie moeten gebruiken. Deze accounts zijn specifiek ontworpen voor noodsituaties waarbij normale beheerdersaccounts mogelijk niet toegankelijk zijn, bijvoorbeeld tijdens een beveiligingsincident waarbij de primaire authenticatiesystemen zijn gecompromitteerd of uitgevallen. In dergelijke scenario's is het van cruciaal belang dat organisaties nog steeds toegang hebben tot hun systemen om de situatie te kunnen beheren en te herstellen. Break-glass accounts moeten echter worden beveiligd met uitzonderlijk sterke wachtwoorden die voldoen aan de hoogste beveiligingsstandaarden, inclusief minimale lengtevereisten van minimaal twintig tekens, complexiteitseisen en regelmatige rotatie. Deze wachtwoorden moeten worden opgeslagen in een fysieke kluis met strikte toegangscontroles en alleen worden gebruikt in gedocumenteerde noodsituaties waarbij normale toegang niet mogelijk is. Het uitsluiten van deze accounts van het meervoudige authenticatiebeleid moet zorgvuldig worden gedocumenteerd en gerechtvaardigd in het beveiligingsbeleid van de organisatie, inclusief duidelijke procedures voor wanneer en hoe deze accounts mogen worden gebruikt. Regelmatige audits moeten worden uitgevoerd om te verifiëren dat break-glass accounts niet worden misbruikt en dat hun gebruik wordt gedocumenteerd en gerechtvaardigd.
Een uitgebreid testplan is essentieel voordat het Conditional Access-beleid wordt geactiveerd in productieomgevingen. Dit testplan moet verschillende scenario's omvatten om ervoor te zorgen dat het beleid correct werkt en geen onverwachte gevolgen heeft voor de operationele continuïteit. Organisaties moeten verschillende beheerdersrollen testen om te verifiëren dat het beleid correct wordt toegepast op alle relevante rollen, inclusief globale beheerders, beveiligingsbeheerders, gebruikersbeheerders en andere rollen met uitgebreide rechten. Daarnaast moeten verschillende authenticatiemethoden worden getest om te verifiëren dat alle ondersteunde methoden correct werken en dat gebruikers succesvol kunnen authenticeren. Het is ook belangrijk om de impact op bestaande workflows en geautomatiseerde processen te controleren, omdat sommige geautomatiseerde systemen mogelijk niet in staat zijn om meervoudige authenticatie uit te voeren. In dergelijke gevallen moeten service accounts of andere uitzonderingen worden geconfigureerd, maar deze moeten strikt worden beheerd en gedocumenteerd. Organisaties moeten beginnen met het beleid in rapportagemodus, ook wel bekend als alleen-rapportage of testmodus, waarbij de impact wordt gemonitord zonder gebruikers daadwerkelijk te blokkeren. Na een monitoringperiode van minimaal één week, waarin alle beheerders succesvol meervoudige authenticatie hebben gebruikt en eventuele problemen zijn geïdentificeerd en opgelost, kan het beleid worden overgeschakeld naar afdwingingsmodus. Tijdens de testperiode moeten alle toegangspogingen worden geanalyseerd, eventuele problemen worden gedocumenteerd en opgelost, en alle stakeholders worden geïnformeerd over de voortgang en eventuele wijzigingen in de planning.
Implementatie
Gebruik PowerShell-script privileged-accounts-mfa-azure.ps1 (functie Invoke-Implementation) – Implementeren.
De implementatie van meervoudige authenticatie voor geprivilegieerde accounts begint met het navigeren naar de Azure AD-portal, waar beheerders toegang hebben tot alle configuratie-opties voor identiteits- en toegangsbeheer. Binnen de Azure AD-portal moeten beheerders naar de sectie Beveiliging navigeren, die zich bevindt in het linkermenu van de portal. Vanuit de Beveiligingssectie kunnen beheerders toegang krijgen tot Voorwaardelijke toegang, een krachtige functie die organisaties in staat stelt om specifieke toegangsvereisten af te dwingen op basis van verschillende voorwaarden zoals gebruikers, toepassingen, locaties, apparaten en risiconiveaus. Het is belangrijk om een duidelijke en beschrijvende naamgeving te gebruiken voor het Conditional Access-beleid, zoals 'Meervoudige authenticatie vereist voor beheerdersrollen' of 'MFA verplicht voor geprivilegieerde accounts', zodat het doel en de scope van het beleid direct duidelijk zijn voor andere beheerders, auditors en toekomstige onderhoudsmedewerkers. Een goede naamgeving vergemakkelijkt niet alleen het beheer van meerdere beleidsregels, maar draagt ook bij aan de compliance-documentatie en maakt het eenvoudiger om tijdens audits te verifiëren welke beleidsregels van toepassing zijn op welke gebruikersgroepen.
Bij het configureren van de gebruikersscope is het van cruciaal belang om te kiezen voor directoryrollen in plaats van individuele gebruikers of gebruikersgroepen. Deze aanpak biedt aanzienlijke voordelen omdat het beleid automatisch van toepassing is op alle gebruikers die een beheerdersrol hebben, ongeacht wanneer deze rol wordt toegewezen of verwijderd. Dit betekent dat wanneer een nieuwe gebruiker een beheerdersrol krijgt toegewezen, het meervoudige authenticatiebeleid automatisch van toepassing wordt zonder dat handmatige configuratiewijzigingen nodig zijn. Omgekeerd geldt hetzelfde: wanneer een gebruiker zijn beheerdersrol verliest, wordt het beleid automatisch niet meer toegepast, wat helpt om de beveiligingspostuur te handhaven zonder onnodige beperkingen voor niet-beheerders. Alle relevante beheerdersrollen moeten zorgvuldig worden geselecteerd, waaronder globale beheerder, geprivilegieerde rolbeheerder, beveiligingsbeheerder, gebruikersbeheerder, Exchange-beheerder, SharePoint-beheerder, factureringsbeheerder, applicatiebeheerder en andere rollen met uitgebreide rechten die toegang hebben tot gevoelige systemen of gegevens. Het is essentieel om een uitzondering te maken voor break-glass accounts door een specifieke beveiligingsgroep te selecteren die alleen deze noodtoegangsaccounts bevat. Deze uitzondering moet duidelijk worden gedocumenteerd en gerechtvaardigd in het beveiligingsbeleid van de organisatie.
De cloud-apps scope moet worden ingesteld op alle cloud-apps om ervoor te zorgen dat meervoudige authenticatie wordt afgedwongen voor alle Microsoft 365-services, Azure-services en andere geïntegreerde toepassingen die gebruikmaken van Azure AD voor authenticatie. Deze brede scope is essentieel omdat beheerders vaak toegang hebben tot een breed scala aan toepassingen en services, en het beperken van meervoudige authenticatie tot alleen specifieke toepassingen zou beveiligingsgaten kunnen creëren. Door alle cloud-apps te selecteren, wordt ervoor gezorgd dat beheerders hun identiteit moeten verifiëren met meervoudige authenticatie ongeacht welke toepassing of service ze gebruiken, of het nu gaat om de Azure-portal, Microsoft 365-beheercentrum, Exchange-beheercentrum, SharePoint-beheercentrum, of een van de honderden andere geïntegreerde toepassingen. Deze aanpak voorkomt dat beheerders toegang krijgen tot gevoelige systemen zonder meervoudige authenticatie door gebruik te maken van een toepassing die mogelijk niet expliciet is geselecteerd in een beperktere scope. Bij de toekenningsvoorwaarden moet worden gekozen voor 'Meervoudige authenticatie vereisen', wat betekent dat gebruikers hun identiteit moeten verifiëren met ten minste twee verschillende factoren voordat toegang wordt verleend. Deze factoren kunnen bestaan uit iets dat de gebruiker weet (zoals een wachtwoord), iets dat de gebruiker heeft (zoals een telefoon of beveiligingssleutel), of iets dat de gebruiker is (zoals biometrische gegevens).
Tijdens de initiële implementatie moet het Conditional Access-beleid worden ingesteld op rapportagemodus, ook wel bekend als alleen-rapportage of testmodus. Deze modus is een krachtige functie die organisaties in staat stelt om de impact van het beleid te evalueren zonder daadwerkelijk gebruikers te blokkeren of de productiviteit te verstoren. In rapportagemodus worden alle toegangspogingen geëvalueerd alsof het beleid actief is, en de resultaten worden geregistreerd in de aanmeldingslogboeken, maar gebruikers worden niet daadwerkelijk geblokkeerd als ze niet voldoen aan de vereisten. Dit stelt organisaties in staat om te identificeren welke gebruikers mogelijk problemen zouden ondervinden, welke toepassingen worden gebruikt, en of er onverwachte blokkades zouden optreden voordat het beleid daadwerkelijk wordt afgedwongen. Gedurende een monitoringperiode van minimaal één week moeten alle toegangspogingen worden geanalyseerd om te identificeren welke beheerders mogelijk problemen ondervinden, welke toepassingen worden gebruikt, en of er onverwachte blokkades zouden optreden. Deze analyse moet worden uitgevoerd met behulp van de aanmeldingslogboeken in Azure AD, die gedetailleerde informatie bevatten over elke aanmeldingspoging, inclusief of het Conditional Access-beleid zou worden toegepast en of de gebruiker zou worden geblokkeerd. Tijdens deze monitoringperiode moeten eventuele problemen worden geïdentificeerd en opgelost voordat het beleid wordt overgeschakeld naar afdwingingsmodus.
Na de monitoringperiode en na het oplossen van eventuele geïdentificeerde problemen, kan het Conditional Access-beleid worden overgeschakeld naar afdwingingsmodus. Deze overgang is een kritiek moment in het implementatieproces en moet zorgvuldig worden gepland en uitgevoerd. In afdwingingsmodus worden gebruikers die niet voldoen aan de meervoudige authenticatievereisten daadwerkelijk geblokkeerd totdat ze hun identiteit verifiëren met een tweede factor. Het is cruciaal om deze overgang te plannen tijdens een onderhoudsvenster of buiten kantooruren, wanneer de impact op de productiviteit minimaal is en er voldoende tijd is om eventuele problemen op te lossen zonder dat dit de dagelijkse operaties verstoort. Organisaties moeten ook een duidelijk rollbackplan hebben voor het geval er onverwachte problemen optreden die de operationele continuïteit bedreigen. Dit rollbackplan moet gedetailleerde stappen bevatten voor het uitschakelen of aanpassen van het beleid, inclusief wie bevoegd is om deze wijzigingen door te voeren en onder welke omstandigheden. Beheerders moeten ruim van tevoren worden geïnformeerd over de activering van het beleid en moeten worden herinnerd aan de noodzaak om meervoudige authenticatie te gebruiken bij elke aanmelding. Het is ook belangrijk om een helpdesk of ondersteuningsteam beschikbaar te hebben tijdens de overgangsperiode om eventuele problemen snel op te lossen en gebruikers te helpen bij het voltooien van de meervoudige authenticatie.
Compliance en Auditing
Meervoudige authenticatie voor geprivilegieerde accounts vormt een fundamentele vereiste volgens verschillende internationale en nationale beveiligingsstandaarden die wereldwijd worden erkend en toegepast. De CIS Azure Benchmark versie 3.0.0 specificeert in controle 1.26 expliciet dat meervoudige authenticatie moet zijn ingeschakeld voor alle geprivilegieerde gebruikers, waarbij geprivilegieerde gebruikers worden gedefinieerd als gebruikers met beheerdersrollen of andere rollen met uitgebreide rechten binnen de Azure-omgeving. Deze controle is geclassificeerd als Level 1, wat betekent dat het een basisbeveiligingsmaatregel is die door alle organisaties moet worden geïmplementeerd, ongeacht hun grootte, complexiteit of industrie. De CIS Benchmark wordt wereldwijd erkend als een best practice-raamwerk voor cloudbeveiliging en wordt vaak gebruikt als basis voor compliance-audits, beveiligingsbeoordelingen en certificeringsprocessen. Organisaties die voldoen aan de CIS Benchmark-controles kunnen aantonen dat zij een robuuste beveiligingspostuur hebben geïmplementeerd die voldoet aan internationaal erkende standaarden. De CIS Benchmark wordt regelmatig bijgewerkt om rekening te houden met nieuwe bedreigingen en technologische ontwikkelingen, waardoor het een actueel en relevant raamwerk blijft voor cloudbeveiliging.
Voor Nederlandse overheidsorganisaties is de Baseline Informatiebeveiliging Overheid, kortweg BIO, van toepassing als de primaire beveiligingsstandaard. Thema 09.04 van de BIO behandelt toegangsbeheer in detail en vereist dat organisaties sterke authenticatiemechanismen implementeren voor accounts met uitgebreide rechten, waarbij meervoudige authenticatie wordt beschouwd als de minimale vereiste voor geprivilegieerde accounts. De BIO-normen zijn specifiek ontwikkeld voor de Nederlandse publieke sector en zijn gebaseerd op de internationale ISO 27001-standaard, maar met aanvullende eisen die relevant zijn voor de Nederlandse context en de specifieke uitdagingen waarmee overheidsorganisaties worden geconfronteerd. De BIO-normen zijn verplicht voor alle Nederlandse overheidsorganisaties, inclusief ministeries, provincies, gemeenten, waterschappen en andere publieke entiteiten. Organisaties die voldoen aan de BIO-normen moeten kunnen aantonen dat alle beheerdersaccounts zijn beveiligd met meervoudige authenticatie en dat deze beveiliging actief wordt gemonitord en gehandhaafd. Dit vereist niet alleen de technische implementatie van meervoudige authenticatie, maar ook de organisatorische processen en procedures die ervoor zorgen dat de beveiliging wordt onderhouden en gecontroleerd. Regelmatige audits en assessments zijn vereist om te verifiëren dat organisaties blijven voldoen aan de BIO-normen en dat eventuele wijzigingen in de beveiligingspostuur worden gedocumenteerd en geëvalueerd.
De internationale ISO 27001:2022-standaard bevat verschillende controles die direct relevant zijn voor meervoudige authenticatie en toegangsbeheer. Controle A.5.17 behandelt authenticatie-informatie en vereist dat organisaties passende authenticatiemechanismen implementeren op basis van het risiconiveau van de toegang en de gevoeligheid van de informatie die wordt beschermd. Voor geprivilegieerde accounts, die toegang hebben tot gevoelige systemen en gegevens, vereist deze controle expliciet het gebruik van sterke authenticatie, waarbij meervoudige authenticatie wordt beschouwd als de minimale vereiste. Controle A.9.4.3 specificeert dat toegangsrechten moeten worden beheerd en dat sterke authenticatie moet worden gebruikt voor geprivilegieerde toegang, waarbij geprivilegieerde toegang wordt gedefinieerd als toegang die verder gaat dan normale gebruikersrechten en die kan worden gebruikt om wijzigingen aan te brengen in systemen, configuraties of gegevens. ISO 27001-certificering is vaak vereist voor organisaties die werken met gevoelige gegevens, die contracten hebben met internationale partners, of die moeten voldoen aan specifieke compliance-vereisten. Meervoudige authenticatie voor beheerdersaccounts is een essentiële vereiste voor het behalen en behouden van ISO 27001-certificering, en auditors zullen tijdens certificeringsaudits expliciet controleren of deze beveiligingsmaatregel correct is geïmplementeerd en wordt onderhouden. Organisaties die ISO 27001-certificering nastreven of behouden moeten kunnen aantonen dat zij een robuust toegangsbeheersysteem hebben geïmplementeerd dat voldoet aan alle relevante controles, inclusief meervoudige authenticatie voor geprivilegieerde accounts.
De Europese NIS2-richtlijn, die is geïmplementeerd in de Nederlandse wetgeving via de Wet beveiliging netwerk- en informatiesystemen, vereist in artikel 21 dat essentiële entiteiten en belangrijke entiteiten passende technische en organisatorische maatregelen nemen om de beveiliging van netwerk- en informatiesystemen te waarborgen. Dit omvat expliciet het gebruik van sterke authenticatie voor geprivilegieerde accounts, waarbij meervoudige authenticatie wordt beschouwd als de minimale vereiste voor het voldoen aan deze verplichting. NIS2 is van toepassing op organisaties in kritieke sectoren zoals energie, transport, gezondheidszorg, financiële dienstverlening, digitale infrastructuur, drinkwatervoorziening, afvalwaterbeheer, ruimtevaart, en andere sectoren die als essentieel worden beschouwd voor de samenleving en de economie. Organisaties die onder NIS2 vallen moeten kunnen aantonen dat zij adequate beveiligingsmaatregelen hebben geïmplementeerd, en meervoudige authenticatie voor beheerdersaccounts vormt een essentieel onderdeel van deze maatregelen. NIS2 vereist niet alleen de implementatie van beveiligingsmaatregelen, maar ook regelmatige beoordelingen en updates om ervoor te zorgen dat de beveiliging effectief blijft tegen nieuwe bedreigingen. Organisaties die niet voldoen aan de NIS2-vereisten kunnen worden geconfronteerd met boetes en andere sancties, wat de noodzaak benadrukt om adequaat te voldoen aan alle beveiligingsvereisten, inclusief meervoudige authenticatie voor geprivilegieerde accounts.
Voor compliance-audits moeten organisaties uitgebreide documentatie kunnen overleggen die aantoont dat het Conditional Access-beleid correct is geconfigureerd, dat alle beheerdersaccounts zijn geregistreerd voor meervoudige authenticatie, en dat het beleid daadwerkelijk wordt afgedwongen in de productieomgeving. Deze documentatie moet screenshots bevatten van de beleidsconfiguratie die duidelijk de scope, voorwaarden en toekenningsvereisten tonen, zodat auditors kunnen verifiëren dat het beleid correct is geconfigureerd en van toepassing is op alle relevante gebruikers en toepassingen. Daarnaast moeten organisaties rapporten kunnen overleggen van aanmeldingslogboeken die de afdwinging van meervoudige authenticatie tonen, inclusief voorbeelden van succesvolle authenticaties waarbij meervoudige authenticatie is gebruikt en voorbeelden van geblokkeerde pogingen waarbij meervoudige authenticatie niet is voltooid. Documentatie van uitzonderingen zoals break-glass accounts moet ook beschikbaar zijn, inclusief de rechtvaardiging voor deze uitzonderingen en de beveiligingsmaatregelen die zijn genomen om deze accounts te beschermen. Regelmatige audits moeten worden uitgevoerd om te verifiëren dat het beleid nog steeds actief is en dat er geen onbevoegde wijzigingen zijn aangebracht die de beveiliging kunnen compromitteren. Organisaties moeten ook kunnen aantonen dat zij een proces hebben voor het monitoren en reageren op beveiligingsincidenten waarbij geprivilegieerde accounts betrokken zijn, inclusief procedures voor het identificeren, onderzoeken en oplossen van dergelijke incidenten. Deze documentatie en processen zijn essentieel voor het succesvol doorstaan van compliance-audits en het aantonen van een robuuste beveiligingspostuur.
Monitoring
Gebruik PowerShell-script privileged-accounts-mfa-azure.ps1 (functie Invoke-Monitoring) – Controleren.
Effectieve monitoring van meervoudige authenticatie voor geprivilegieerde accounts vereist een continue en systematische beoordeling van de status en effectiviteit van het Conditional Access-beleid. Beveiligingsteams moeten regelmatig, bij voorkeur wekelijks of dagelijks, controleren of het beleid nog steeds actief is en correct wordt afgedwongen, en of alle beheerdersaccounts daadwerkelijk meervoudige authenticatie gebruiken bij hun aanmeldingen. Deze monitoring kan worden gerealiseerd door gebruik te maken van de uitgebreide aanmeldingslogboeken in Azure AD, die gedetailleerde informatie bevatten over elke aanmeldingspoging, inclusief of meervoudige authenticatie is gebruikt, of het Conditional Access-beleid is toegepast, welke authenticatiemethode is gebruikt, en of de aanmelding succesvol was of werd geblokkeerd. Deze logboeken bieden waardevolle inzichten in het gebruikspatroon van beheerdersaccounts en kunnen helpen bij het identificeren van ongebruikelijke activiteiten of potentiële beveiligingsincidenten. Organisaties moeten een gestructureerd proces hebben voor het regelmatig analyseren van deze logboeken en het identificeren van trends, afwijkingen of problemen die aandacht vereisen.
Het monitoren van de registratiestatus van meervoudige authenticatie is eveneens van cruciaal belang voor het handhaven van een sterke beveiligingspostuur. Organisaties moeten regelmatig, bij voorkeur maandelijks, verifiëren dat alle beheerdersaccounts zijn geregistreerd voor meervoudige authenticatie en dat hun registraties nog steeds geldig zijn en niet zijn verlopen. Accounts die niet zijn geregistreerd of waarvan de registratie is verlopen, vormen een significant beveiligingsrisico omdat deze accounts mogelijk toegang hebben tot gevoelige systemen zonder de vereiste meervoudige authenticatie. Microsoft biedt verschillende rapporten en dashboards in de Azure AD-portal die inzicht geven in de registratiestatus van meervoudige authenticatie voor alle gebruikers, inclusief beheerdersaccounts. Deze rapporten tonen welke gebruikers zijn geregistreerd, welke authenticatiemethoden zij hebben geconfigureerd, en of er accounts zijn die nog moeten worden geregistreerd of waarvan de registratie moet worden vernieuwd. Organisaties moeten een proces hebben voor het regelmatig controleren van deze rapporten en het actief adresseren van accounts die niet voldoen aan de vereisten, inclusief het informeren van gebruikers over de noodzaak om hun registratie te voltooien of te vernieuwen.
Beveiligingswaarschuwingen moeten worden geconfigureerd om beveiligingsteams onmiddellijk te informeren wanneer er ongebruikelijke activiteiten worden gedetecteerd met betrekking tot geprivilegieerde accounts. Deze waarschuwingen moeten verschillende scenario's dekken, waaronder aanmeldingspogingen die worden geblokkeerd omdat meervoudige authenticatie niet is voltooid, wat kan wijzen op een poging tot ongeautoriseerde toegang of een probleem met de configuratie van het beleid. Daarnaast moeten waarschuwingen worden geconfigureerd voor aanmeldingspogingen vanaf onbekende locaties of apparaten, wat kan wijzen op een gecompromitteerd account of een poging tot ongeautoriseerde toegang vanaf een externe locatie. Ook moeten waarschuwingen worden geconfigureerd voor pogingen om het Conditional Access-beleid te wijzigen of uit te schakelen, wat een kritieke beveiligingsgebeurtenis is die onmiddellijke aandacht vereist. Deze waarschuwingen moeten worden geïntegreerd met het Security Information and Event Management-systeem van de organisatie voor gecentraliseerde monitoring en incidentrespons, zodat beveiligingsteams een volledig beeld hebben van alle beveiligingsgebeurtenissen en snel kunnen reageren op potentiële bedreigingen. De waarschuwingen moeten worden geconfigureerd met de juiste prioriteitsniveaus en escalatieprocedures om ervoor te zorgen dat kritieke gebeurtenissen onmiddellijk worden geadresseerd.
Regelmatige compliance-rapportages moeten worden gegenereerd, bij voorkeur maandelijks of kwartaal, om te demonstreren dat het Conditional Access-beleid correct wordt afgedwongen en dat alle beheerdersaccounts voldoen aan de vereisten voor meervoudige authenticatie. Deze rapportages moeten worden gebruikt tijdens interne en externe audits en moeten worden gedeeld met het management, de beveiligingsteams en andere relevante stakeholders om transparantie te bieden over de beveiligingspostuur van de organisatie. De rapportages moeten uitgebreide informatie bevatten over het aantal beheerdersaccounts in de organisatie, het percentage accounts dat meervoudige authenticatie gebruikt, het aantal geblokkeerde aanmeldingspogingen en de redenen voor deze blokkades, en eventuele uitzonderingen of afwijkingen van het beleid zoals break-glass accounts. Daarnaast moeten de rapportages trends en patronen tonen over een bepaalde periode, zodat organisaties kunnen zien of de beveiligingspostuur verbetert of verslechtert, en of er actie nodig is om de naleving te verbeteren. Deze rapportages vormen een essentieel onderdeel van de compliance-documentatie en zijn waardevol voor het aantonen van due diligence en het handhaven van een robuuste beveiligingspostuur.
Remediatie
Gebruik PowerShell-script privileged-accounts-mfa-azure.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer wordt vastgesteld dat een beheerdersaccount niet is geregistreerd voor meervoudige authenticatie of dat het Conditional Access-beleid niet correct wordt afgedwongen, moeten onmiddellijk corrigerende maatregelen worden genomen om het beveiligingsrisico te adresseren en de compliance te herstellen. Het remediatieproces begint met het identificeren en analyseren van de oorzaak van het probleem, wat kan variëren van een account dat niet is geregistreerd voor meervoudige authenticatie, een verlopen registratie die niet is vernieuwd, een onjuist geconfigureerd Conditional Access-beleid dat niet correct wordt toegepast, of een uitzondering die niet is gedocumenteerd of gerechtvaardigd. Het is belangrijk om een systematische aanpak te volgen bij het identificeren van de oorzaak, waarbij alle relevante informatie wordt verzameld, inclusief aanmeldingslogboeken, beleidsconfiguraties, en communicatie met de betrokken gebruikers. Zodra de oorzaak is geïdentificeerd, moeten de juiste stappen worden ondernomen om het probleem op te lossen, waarbij prioriteit wordt gegeven aan kritieke beveiligingsrisico's die onmiddellijke aandacht vereisen. Het remediatieproces moet worden gedocumenteerd om te verifiëren dat het probleem correct is geadresseerd en om te voorkomen dat soortgelijke problemen in de toekomst optreden.
Voor accounts die niet zijn geregistreerd voor meervoudige authenticatie moet het registratieproces onmiddellijk worden gestart om het beveiligingsrisico te elimineren. De beheerder moet persoonlijk worden geïnformeerd over de vereiste om meervoudige authenticatie te registreren en moet worden begeleid door het volledige registratieproces om ervoor te zorgen dat de registratie correct wordt voltooid. Indien nodig moet tijdelijke toegang worden verleend met beperkte rechten totdat de registratie is voltooid, waarbij deze tijdelijke toegang strikt wordt beheerd en wordt gecontroleerd om te voorkomen dat deze wordt misbruikt. Voor accounts met verlopen registraties moet het registratieproces opnieuw worden doorlopen, waarbij de gebruiker wordt geïnformeerd over de noodzaak om zijn registratie te vernieuwen en wordt begeleid door het proces. Organisaties moeten overwegen om automatische herinneringen in te stellen om te voorkomen dat registraties verlopen, waarbij gebruikers worden gewaarschuwd voordat hun registratie verloopt en worden herinnerd aan de noodzaak om hun registratie te vernieuwen. Deze automatische herinneringen kunnen worden geconfigureerd via e-mailnotificaties, in-app meldingen, of andere communicatiekanalen die geschikt zijn voor de organisatie.
Wanneer het Conditional Access-beleid niet correct wordt afgedwongen, moet de configuratie van het beleid grondig worden gecontroleerd en gecorrigeerd om ervoor te zorgen dat het beleid correct werkt en alle beheerdersaccounts adequaat beschermt. Dit kan betekenen dat het beleid opnieuw moet worden geconfigureerd met de juiste scope en voorwaarden, dat de scope moet worden aangepast om ervoor te zorgen dat alle relevante gebruikers en toepassingen zijn opgenomen, of dat conflicterende beleidsregels moeten worden opgelost die mogelijk het meervoudige authenticatiebeleid overschrijven of conflicteren. Het is belangrijk om te verifiëren dat er geen andere Conditional Access-beleidsregels zijn die het meervoudige authenticatiebeleid voor beheerdersaccounts overschrijven of conflicteren, omdat Conditional Access-beleidsregels worden geëvalueerd in een specifieke volgorde en conflicterende beleidsregels kunnen leiden tot onverwachte resultaten. Na het corrigeren van de configuratie moet het beleid opnieuw worden getest in rapportagemodus om te verifiëren dat het correct werkt voordat het wordt overgeschakeld naar afdwingingsmodus. Deze tests moeten verschillende scenario's omvatten, inclusief verschillende beheerdersrollen, verschillende toepassingen, en verschillende authenticatiemethoden om ervoor te zorgen dat het beleid correct werkt in alle situaties.
Na het oplossen van een remediatieprobleem moeten alle wijzigingen worden gedocumenteerd in een gedetailleerd remediatierapport dat beschrijft wat het probleem was, hoe het is geïdentificeerd, welke stappen zijn ondernomen om het op te lossen, en wat de resultaten zijn van de remediatie. Dit rapport moet worden opgeslagen in een centrale locatie waar het toegankelijk is voor beveiligingsteams, auditors en andere relevante stakeholders. Daarnaast moet een post-remediatiecontrole worden uitgevoerd om te verifiëren dat het probleem daadwerkelijk is opgelost en dat de beveiligingspostuur is hersteld. Deze controle moet het testen van de aanmelding met het betrokken account omvatten om te verifiëren dat meervoudige authenticatie correct wordt afgedwongen, het controleren van de aanmeldingslogboeken om te bevestigen dat de authenticatie correct wordt geregistreerd en dat er geen ongebruikelijke activiteiten zijn, en het verifiëren dat alle relevante beleidsregels correct zijn geconfigureerd en actief zijn. Organisaties moeten ook overwegen om het incident te analyseren om te identificeren of er systemische problemen zijn die moeten worden aangepakt om toekomstige incidenten te voorkomen, zoals gebrekkige processen, onvoldoende training, of technische problemen die kunnen leiden tot soortgelijke problemen in de toekomst. Deze analyse moet worden gebruikt om verbeteringen aan te brengen in processen, procedures en systemen om de beveiligingspostuur te versterken en toekomstige incidenten te voorkomen.
Compliance & Frameworks
- CIS M365: Control 1.26 (L1) - Zorg ervoor dat meervoudige authenticatie is ingeschakeld voor alle geprivilegieerde gebruikers
- BIO: 09.04 - BIO: bescherming van geprivilegieerde accounts
- ISO 27001:2022: A.5.17, A.9.4.3 - Authenticatie en geprivilegieerd toegangsbeheer
- NIS2: Artikel - Sterke authenticatie voor geprivilegieerde toegang
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Privileged Accounts MFA Azure
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 1.42
Controleert dat MFA is ingeschakeld voor privileged accounts.
.NOTES
Filename: privileged-accounts-mfa-azure.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 1.42
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "Privileged Accounts MFA Azure"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer Conditional Access policies:" -ForegroundColor Gray
Write-Host " - MFA required voor Directory Roles" -ForegroundColor Gray
Write-Host " - Target: All admin roles" -ForegroundColor Gray
Write-Host " - Grant: Require MFA" -ForegroundColor Gray
Write-Host " - State: Enabled" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: MFA for privileged accounts" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer Conditional Access policies:" -ForegroundColor Gray
Write-Host " - MFA required voor Directory Roles" -ForegroundColor Gray
Write-Host " - Target: All admin roles" -ForegroundColor Gray
Write-Host " - Grant: Require MFA" -ForegroundColor Gray
Write-Host " - State: Enabled" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: MFA for privileged accounts" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
Critical: Een gecompromitteerd beheerdersaccount zonder meervoudige authenticatie kan leiden tot onmiddellijke volledige overname van de tenant. Cyberaanvallers richten zich primair op beheerdersaccounts omdat deze de hoogste rechten hebben. Onderzoek toont aan dat negentig procent van de beveiligingsincidenten betrekking heeft op gecompromitteerde geprivilegieerde accounts zonder adequate meervoudige authenticatie. Herstel na een dergelijk incident kan weken duren en kan kosten van meer dan vijfhonderdduizend euro met zich meebrengen. Compliance-vereisten zoals CIS 1.26, BIO 9.04 en NIS2 maken meervoudige authenticatie voor beheerdersaccounts verplicht. Het risico is kritiek voor alle beheerdersaccounts.
Management Samenvatting
Meervoudige authenticatie voor geprivilegieerde accounts: Conditional Access-beleid gericht op directoryrollen zoals globale beheerder, beveiligingsbeheerder en andere beheerdersrollen, van toepassing op alle apps, vereist meervoudige authenticatie waarbij phishing-resistente methoden zoals FIDO2 de voorkeur hebben. Activatie via Conditional Access door directoryrollen te selecteren en meervoudige authenticatie te vereisen. Meervoudige authenticatie is inbegrepen in Azure AD-licenties. Verplicht volgens CIS 1.26, BIO 9.04 en NIS2. Technische implementatietijd: één uur. Kritieke prioriteit voor beveiliging van beheerdersaccounts.
- Implementatietijd: 3 uur
- FTE required: 0.02 FTE