💼 Management Samenvatting
Security Defaults moet uitgeschakeld zijn wanneer Conditional Access-beleidsregels worden gebruikt, omdat beide systemen niet gelijktijdig kunnen functioneren. Deze configuratie is essentieel voor organisaties die geavanceerde toegangscontrole willen implementeren met behulp van Conditional Access-beleidsregels.
Aanbeveling
Verifieer dat Conditional Access actief is wanneer Security Defaults is uitgeschakeld
Risico zonder
High
Risk Score
8/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Azure
Security Defaults en Conditional Access zijn twee verschillende authenticatie- en autorisatiemechanismen die elkaar uitsluiten. Wanneer een organisatie kiest voor Conditional Access, krijgt deze toegang tot veel meer configuratiemogelijkheden en granulair beheer dan Security Defaults kan bieden. Security Defaults is een eenvoudige, alles-of-niets oplossing die automatisch basisbeveiligingsmaatregelen activeert, terwijl Conditional Access organisaties in staat stelt om specifieke beleidsregels te definiëren op basis van gebruikers, locaties, apparaten en applicaties. Het gelijktijdig gebruiken van beide systemen is technisch onmogelijk en zou leiden tot conflicterende beveiligingsregels.
PowerShell Modules Vereist
Primary API: Microsoft Graph
Connection:
Required Modules: Microsoft.Graph
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph
Implementatie
Voor organisaties die Conditional Access implementeren, is het cruciaal om Security Defaults uit te schakelen voordat Conditional Access-beleidsregels worden geactiveerd. Dit voorkomt conflicten en zorgt ervoor dat alleen de geconfigureerde Conditional Access-beleidsregels van kracht zijn. Organisaties die nog geen Conditional Access gebruiken en geen Entra ID P1-licenties hebben, moeten Security Defaults actief houden om basisbeveiligingsmaatregelen te waarborgen, zoals meervoudige authenticatie voor beheerders en het blokkeren van verouderde authenticatieprotocollen.
Vereisten
Voor het implementeren van Conditional Access en het uitschakelen van Security Defaults zijn specifieke licentievereisten en technische voorwaarden van toepassing. De primaire vereiste is dat de organisatie beschikt over Entra ID P1-licenties, voorheen bekend als Azure AD Premium P1, of hoger. Deze licenties zijn essentieel omdat Conditional Access een premium functie is die niet beschikbaar is in de gratis versie van Entra ID. Organisaties moeten ervoor zorgen dat alle gebruikers die onder Conditional Access-beleidsregels vallen, beschikken over een geldige P1-licentie. Dit geldt met name voor gebruikers die toegang nodig hebben tot cloudapplicaties en services die via Conditional Access worden beveiligd. De licentievereisten vormen een fundamenteel onderdeel van de implementatie, omdat zonder de juiste licenties Conditional Access simpelweg niet beschikbaar is in de Entra ID-omgeving. Organisaties die overwegen om Conditional Access te implementeren, moeten eerst een grondige licentie-audit uitvoeren om te bepalen hoeveel P1-licenties nodig zijn en of deze binnen het budget passen. Deze audit moet niet alleen kijken naar het huidige aantal gebruikers, maar ook rekening houden met toekomstige groei en de verschillende gebruikersgroepen die verschillende niveaus van toegang nodig hebben. Het is belangrijk om te begrijpen dat licentievereisten kunnen variëren afhankelijk van de specifieke Conditional Access-functies die een organisatie wil gebruiken, en dat sommige geavanceerde functies mogelijk aanvullende licenties vereisen.
Naast licentievereisten moet de organisatie beschikken over een globale beheerder of beveiligingsbeheerder met voldoende rechten om wijzigingen door te voeren in de Entra ID-configuratie. Deze beheerders moeten toegang hebben tot de Azure-portal of Microsoft Entra-beheercentrum om Security Defaults te kunnen uitschakelen en Conditional Access-beleidsregels te configureren. Het is aan te raden om wijzigingen eerst te testen in een testomgeving of met een beperkte groep gebruikers voordat de volledige implementatie wordt doorgevoerd. De rol van beheerders is cruciaal in dit proces, omdat zij verantwoordelijk zijn voor het maken van de juiste configuratiebeslissingen en het waarborgen van de beveiliging van de organisatie. Beheerders moeten niet alleen technische kennis hebben van Conditional Access, maar ook begrijpen hoe deze configuratie past binnen de bredere beveiligingsstrategie van de organisatie. Het is daarom belangrijk dat beheerders regelmatig trainingen volgen en op de hoogte blijven van de nieuwste ontwikkelingen op het gebied van identiteits- en toegangsbeheer. Bovendien moeten beheerders een diepgaand begrip hebben van de bedrijfsprocessen en de verschillende gebruikersgroepen binnen de organisatie, zodat zij Conditional Access-beleidsregels kunnen configureren die zowel beveiliging als productiviteit waarborgen. Dit vereist vaak nauwe samenwerking met verschillende afdelingen, waaronder IT, beveiliging, compliance en human resources, om ervoor te zorgen dat de configuratie voldoet aan alle organisatorische vereisten.
Een kritische technische vereiste is dat alle Conditional Access-beleidsregels volledig zijn geconfigureerd en getest voordat Security Defaults wordt uitgeschakeld. Dit voorkomt dat gebruikers onverwacht worden geblokkeerd of dat essentiële beveiligingsmaatregelen ontbreken. Organisaties moeten een volledige inventarisatie hebben van alle gebruikers, applicaties en services die toegang nodig hebben, en ervoor zorgen dat deze allemaal zijn opgenomen in de Conditional Access-beleidsregels. Bovendien moet er een duidelijk rollback-plan zijn voor het geval er problemen optreden tijdens de implementatie. Het testen van Conditional Access-beleidsregels is een complex proces dat verschillende stappen omvat. Organisaties moeten eerst alle gebruikersgroepen identificeren die toegang nodig hebben tot verschillende applicaties en services. Dit vereist een grondige analyse van de organisatiestructuur en de verschillende rollen en verantwoordelijkheden binnen de organisatie. Vervolgens moeten organisaties de voorwaarden definiëren waaronder toegang wordt verleend, zoals locaties, apparaten en risiconiveaus. Deze voorwaarden moeten zorgvuldig worden afgestemd op de beveiligingsvereisten van de organisatie en de verschillende gebruikersgroepen. Ten slotte moeten organisaties de toegangscontroles configureren, zoals meervoudige authenticatie of apparaatcompliance. Alleen wanneer al deze elementen volledig zijn geconfigureerd en getest, kan Security Defaults veilig worden uitgeschakeld. Het testen moet worden uitgevoerd in een gecontroleerde omgeving met een beperkte groep gebruikers voordat de volledige implementatie wordt doorgevoerd, om eventuele problemen te identificeren en op te lossen voordat alle gebruikers worden beïnvloed.
Voor Nederlandse overheidsorganisaties gelden aanvullende compliance-vereisten. Organisaties moeten kunnen aantonen dat de Conditional Access-configuratie voldoet aan de BIO-normen, de Baseline Informatiebeveiliging Overheid, en andere relevante wet- en regelgeving, zoals de Algemene Verordening Gegevensbescherming. Dit betekent dat alle beleidsregels moeten worden gedocumenteerd en dat er regelmatige audits moeten worden uitgevoerd om te verifiëren dat de configuratie correct blijft functioneren. Bovendien moeten organisaties kunnen aantonen dat alle gebruikers de juiste toegangsrechten hebben en dat er geen onbevoegde toegang mogelijk is. De BIO-normen stellen specifieke eisen aan authenticatie- en autorisatiemechanismen, en Conditional Access biedt organisaties de mogelijkheid om aan deze eisen te voldoen. Organisaties moeten echter kunnen aantonen dat hun Conditional Access-configuratie daadwerkelijk voldoet aan de relevante BIO-normen, wat betekent dat zij gedetailleerde documentatie moeten bijhouden en regelmatig compliance-audits moeten uitvoeren. Deze audits moeten niet alleen controleren of de configuratie technisch correct is, maar ook of deze voldoet aan de organisatorische en procesmatige eisen die de BIO-normen stellen. Bovendien moeten organisaties kunnen aantonen dat zij een duidelijk proces hebben voor het beheren van toegangsrechten en dat zij regelmatig controleren of gebruikers nog steeds de juiste toegangsrechten hebben. Dit vereist vaak de implementatie van toegangsreviews en regelmatige verificatie van gebruikersrechten, wat kan worden geautomatiseerd met behulp van Entra ID Identity Governance functies.
Een belangrijke overweging bij de implementatie van Conditional Access is de impact op de gebruikerservaring. Organisaties moeten ervoor zorgen dat de Conditional Access-beleidsregels niet onnodig complex zijn en dat gebruikers nog steeds efficiënt kunnen werken. Dit betekent dat organisaties een balans moeten vinden tussen beveiliging en gebruiksvriendelijkheid. Te strenge beleidsregels kunnen leiden tot frustratie bij gebruikers en kunnen zelfs leiden tot beveiligingsrisico's als gebruikers manieren vinden om de beleidsregels te omzeilen. Aan de andere kant kunnen te soepele beleidsregels onvoldoende beveiliging bieden. Organisaties moeten daarom zorgvuldig nadenken over welke beveiligingsmaatregelen echt nodig zijn en hoe deze kunnen worden geïmplementeerd zonder de productiviteit van gebruikers te belemmeren. Dit vereist vaak een iteratief proces waarbij organisaties beginnen met een basisconfiguratie en deze geleidelijk aanpassen op basis van gebruikersfeedback en beveiligingsbehoeften. Het is belangrijk om gebruikers te betrekken bij het implementatieproces en hen te informeren over de nieuwe beveiligingsmaatregelen en waarom deze nodig zijn. Goede communicatie en gebruikersondersteuning kunnen helpen om gebruikersacceptatie te vergroten en ervoor zorgen dat de implementatie succesvol is.
Monitoring
Gebruik PowerShell-script security-defaults-disabled-ca.ps1 (functie Invoke-Monitoring) – Controleren.
Het monitoren van de configuratie tussen Security Defaults en Conditional Access is een kritieke beveiligingstaak die regelmatig moet worden uitgevoerd. Organisaties moeten continu verifiëren dat de juiste configuratie actief is: wanneer Conditional Access-beleidsregels bestaan en actief zijn, moet Security Defaults uitgeschakeld zijn. Omgekeerd, wanneer er geen Conditional Access-beleidsregels zijn geconfigureerd, moet Security Defaults ingeschakeld zijn om basisbeveiligingsmaatregelen te waarborgen. Deze verificatie voorkomt dat organisaties onbedoeld zonder beveiligingsbescherming komen te zitten. Het monitoren van deze configuratie is niet alleen belangrijk voor beveiligingsdoeleinden, maar ook voor compliance. Organisaties moeten kunnen aantonen dat zij regelmatig controleren of de juiste beveiligingsconfiguratie actief is en dat er geen onbevoegde wijzigingen zijn aangebracht. Dit is met name belangrijk voor Nederlandse overheidsorganisaties die moeten voldoen aan de BIO-normen en andere relevante wet- en regelgeving.
Het monitoringproces begint met het controleren van de status van Security Defaults in de Azure-portal. Beheerders kunnen deze status vinden onder Entra ID Properties, waar duidelijk wordt aangegeven of Security Defaults is ingeschakeld of uitgeschakeld. Vervolgens moeten beheerders verifiëren of er Conditional Access-beleidsregels zijn geconfigureerd en of deze actief zijn. Dit kan worden gedaan via de Conditional Access-sectie in de Azure-portal, waar alle beleidsregels worden weergegeven met hun respectievelijke statussen. Het is belangrijk dat beheerders niet alleen controleren of de beleidsregels bestaan, maar ook of zij daadwerkelijk actief zijn en correct functioneren. Dit betekent dat beheerders moeten controleren of de beleidsregels de juiste gebruikers en applicaties omvatten, of de voorwaarden correct zijn geconfigureerd, en of de toegangscontroles naar verwachting werken.
Een belangrijk aspect van monitoring is het detecteren van configuratiewijzigingen die mogelijk zijn aangebracht door andere beheerders of via geautomatiseerde processen. Organisaties moeten gebruik maken van Azure Monitor en audit logs om alle wijzigingen aan Security Defaults en Conditional Access-beleidsregels te traceren. Deze logs bieden inzicht in wie welke wijzigingen heeft doorgevoerd en wanneer deze zijn aangebracht, wat essentieel is voor compliance-doeleinden en security audits. Het is belangrijk dat organisaties niet alleen de logs verzamelen, maar ook regelmatig analyseren om te detecteren of er onbevoegde of onverwachte wijzigingen zijn aangebracht. Dit kan worden gedaan door middel van geautomatiseerde alerting die beheerders waarschuwt wanneer er wijzigingen worden aangebracht aan kritieke beveiligingsconfiguraties. Daarnaast moeten organisaties regelmatig handmatige reviews uitvoeren om te verifiëren dat alle wijzigingen zijn goedgekeurd en gedocumenteerd volgens de juiste procedures.
Voor Nederlandse overheidsorganisaties is het monitoren van deze configuratie extra belangrijk vanwege compliance-vereisten. Organisaties moeten kunnen aantonen dat ze regelmatig controleren of de juiste beveiligingsconfiguratie actief is en dat er geen onbevoegde wijzigingen zijn aangebracht. Dit kan worden gedaan door middel van geautomatiseerde monitoring scripts die dagelijks of wekelijks worden uitgevoerd, en door regelmatige handmatige verificaties door beveiligingsbeheerders. De resultaten van deze controles moeten worden gedocumenteerd en bewaard voor audit-doeleinden. Het is belangrijk dat organisaties niet alleen de technische configuratie monitoren, maar ook de organisatorische en procesmatige aspecten. Dit betekent dat organisaties moeten kunnen aantonen dat er duidelijke procedures zijn voor het maken van wijzigingen aan de beveiligingsconfiguratie, dat alle wijzigingen worden goedgekeurd door de juiste personen, en dat er regelmatige reviews worden uitgevoerd om te verifiëren dat de configuratie nog steeds voldoet aan de beveiligings- en compliance-vereisten.
Naast het monitoren van de configuratiestatus, moeten organisaties ook de effectiviteit van de Conditional Access-beleidsregels monitoren. Dit omvat het analyseren van sign-in logs om te zien of gebruikers succesvol kunnen inloggen, of er veel false positives zijn, en of de beleidsregels de beoogde beveiligingsdoelen bereiken. Organisaties moeten alert zijn op patronen die kunnen wijzen op misconfiguraties, zoals een hoog aantal geblokkeerde legitieme gebruikers of juist te veel toegestane inlogpogingen die verdacht lijken. Het monitoren van de effectiviteit van Conditional Access-beleidsregels is een continu proces dat regelmatige aanpassingen vereist. Organisaties moeten niet alleen controleren of de beleidsregels technisch correct functioneren, maar ook of zij daadwerkelijk de beoogde beveiligingsdoelen bereiken. Dit betekent dat organisaties moeten analyseren of de beleidsregels de juiste balans vinden tussen beveiliging en gebruiksvriendelijkheid, en of zij moeten worden aangepast op basis van veranderende beveiligingsbehoeften of gebruikersfeedback.
Een belangrijk onderdeel van het monitoringproces is het opzetten van geautomatiseerde alerting die beheerders waarschuwt wanneer er problemen worden gedetecteerd met de beveiligingsconfiguratie. Dit kan bijvoorbeeld een waarschuwing zijn wanneer Security Defaults wordt uitgeschakeld zonder dat er Conditional Access-beleidsregels actief zijn, of wanneer er onverwachte wijzigingen worden aangebracht aan Conditional Access-beleidsregels. Deze alerting moet niet alleen technisch correct zijn, maar ook praktisch bruikbaar, wat betekent dat beheerders snel kunnen reageren op waarschuwingen en dat er duidelijke procedures zijn voor het oplossen van gedetecteerde problemen. Organisaties moeten ervoor zorgen dat de alerting niet te veel false positives genereert, omdat dit kan leiden tot alert fatigue waarbij beheerders belangrijke waarschuwingen over het hoofd zien.
Implementatie
Gebruik PowerShell-script security-defaults-disabled-ca.ps1 (functie Invoke-Implementation) – Implementeren.
De implementatie van Conditional Access en het uitschakelen van Security Defaults vereist een zorgvuldige, stapsgewijze aanpak om te voorkomen dat gebruikers onverwacht worden geblokkeerd of dat essentiële beveiligingsmaatregelen ontbreken. Wanneer een organisatie besluit om Conditional Access te implementeren, moet Security Defaults worden uitgeschakeld voordat de Conditional Access-beleidsregels worden geactiveerd. Dit proces begint met het volledig configureren van alle benodigde Conditional Access-beleidsregels, inclusief beleidsregels voor meervoudige authenticatie voor beheerders, meervoudige authenticatie voor gebruikers, en het blokkeren van verouderde authenticatieprotocollen. Het is belangrijk dat organisaties dit proces niet overhaasten, omdat een verkeerde configuratie kan leiden tot ernstige beveiligingsrisico's of tot het blokkeren van legitieme gebruikers. Organisaties moeten daarom voldoende tijd nemen om alle aspecten van de implementatie zorgvuldig te plannen en uit te voeren.
Voordat Security Defaults wordt uitgeschakeld, moeten organisaties ervoor zorgen dat alle Conditional Access-beleidsregels volledig zijn geconfigureerd en getest. Dit omvat het definiëren van gebruikersgroepen die onder de beleidsregels vallen, het configureren van voorwaarden zoals locaties en apparaten, en het instellen van toegangscontroles zoals meervoudige authenticatie of apparaatcompliance. Het is aan te raden om de beleidsregels eerst in rapportagemodus te plaatsen, zodat organisaties kunnen zien wat de impact zou zijn zonder daadwerkelijk gebruikers te blokkeren. De rapportagemodus is een waardevol hulpmiddel dat organisaties in staat stelt om te testen hoe Conditional Access-beleidsregels zouden werken zonder daadwerkelijk gebruikers te blokkeren. Dit geeft organisaties de mogelijkheid om eventuele problemen te identificeren en op te lossen voordat de beleidsregels volledig worden geactiveerd. Organisaties moeten de rapportagemodus gebruiken om te verifiëren dat alle gebruikersgroepen correct zijn geconfigureerd, dat de voorwaarden naar verwachting werken, en dat de toegangscontroles de beoogde beveiligingsdoelen bereiken.
Zodra alle Conditional Access-beleidsregels zijn geconfigureerd en getest, kan Security Defaults worden uitgeschakeld via de Azure-portal. Dit gebeurt onder Entra ID Properties, waar beheerders de optie vinden om Security Defaults in of uit te schakelen. Na het uitschakelen van Security Defaults moeten organisaties onmiddellijk verifiëren dat de Conditional Access-beleidsregels correct functioneren en dat gebruikers nog steeds toegang hebben tot de benodigde resources. Het is belangrijk om dit proces te documenteren en te monitoren voor eventuele problemen. De verificatie na het uitschakelen van Security Defaults is een kritieke stap die niet mag worden overgeslagen. Organisaties moeten testen of gebruikers nog steeds kunnen inloggen, of de meervoudige authenticatie correct werkt, en of alle applicaties en services nog steeds toegankelijk zijn. Als er problemen worden gedetecteerd, moeten organisaties onmiddellijk actie ondernemen om deze op te lossen, of indien nodig Security Defaults opnieuw inschakelen totdat de problemen zijn opgelost.
Voor organisaties die nog geen Conditional Access implementeren en geen Entra ID P1-licenties hebben, is het essentieel om Security Defaults ingeschakeld te houden. Security Defaults biedt basisbeveiligingsmaatregelen die cruciaal zijn voor de bescherming van cloudresources, inclusief meervoudige authenticatie voor beheerders en het blokkeren van verouderde authenticatieprotocollen. Zonder Security Defaults of Conditional Access zouden organisaties kwetsbaar zijn voor verschillende beveiligingsbedreigingen, zoals brute force-aanvallen en credential stuffing. Het is belangrijk dat organisaties begrijpen dat Security Defaults een eenvoudige maar effectieve oplossing is voor basisbeveiligingsbehoeften. Hoewel Security Defaults niet de geavanceerde configuratiemogelijkheden biedt die Conditional Access biedt, is het een waardevol hulpmiddel voor organisaties die nog niet klaar zijn voor de implementatie van Conditional Access of die niet beschikken over de benodigde licenties. Organisaties moeten daarom Security Defaults niet uitschakelen tenzij zij volledig voorbereid zijn om Conditional Access te implementeren.
Tijdens de implementatie moeten organisaties ook rekening houden met uitzonderingen en noodgevallen. Het is belangrijk om break-glass accounts te configureren die altijd toegang hebben, zelfs wanneer Conditional Access-beleidsregels problemen veroorzaken. Daarnaast moeten organisaties een duidelijk rollback-plan hebben voor het geval er onverwachte problemen optreden. Dit plan moet beschrijven hoe Security Defaults opnieuw kan worden ingeschakeld als dat nodig is, en hoe Conditional Access-beleidsregels kunnen worden aangepast of uitgeschakeld zonder de beveiliging volledig te compromitteren. Break-glass accounts zijn kritieke accounts die moeten worden gebruikt in noodsituaties wanneer normale toegangsprocedures niet werken. Deze accounts moeten zeer goed beveiligd zijn, omdat zij toegang hebben tot de volledige omgeving, en moeten alleen worden gebruikt wanneer dit absoluut noodzakelijk is. Organisaties moeten duidelijke procedures hebben voor het gebruik van break-glass accounts, inclusief wie deze accounts mag gebruiken, wanneer zij mogen worden gebruikt, en hoe het gebruik wordt gemonitord en gedocumenteerd.
Een belangrijk aspect van de implementatie is de communicatie met gebruikers. Organisaties moeten gebruikers informeren over de wijzigingen die worden doorgevoerd en wat dit betekent voor hun dagelijkse werk. Dit omvat het uitleggen van nieuwe authenticatievereisten, het bieden van ondersteuning bij het instellen van meervoudige authenticatie, en het verstrekken van duidelijke instructies voor het oplossen van problemen. Goede communicatie kan helpen om gebruikersfrustratie te voorkomen en kan ervoor zorgen dat gebruikers de nieuwe beveiligingsmaatregelen begrijpen en accepteren. Organisaties moeten ook een helpdesk of ondersteuningskanaal beschikbaar hebben voor gebruikers die problemen ondervinden met de nieuwe configuratie. Dit kan helpen om problemen snel op te lossen en kan voorkomen dat gebruikers manieren vinden om de beveiligingsmaatregelen te omzeilen.
Compliance en Auditing
De configuratie van Security Defaults en Conditional Access heeft directe gevolgen voor compliance met verschillende beveiligingsstandaarden en regelgeving. Voor Nederlandse overheidsorganisaties is het essentieel om te voldoen aan de CIS controle 1.22, waarbij CIS staat voor Center for Internet Security. Deze controle eist specifiek dat organisaties ofwel Security Defaults gebruiken, ofwel Conditional Access-beleidsregels implementeren, maar niet beide gelijktijdig. Deze controle is onderdeel van de CIS Microsoft 365 Foundations Benchmark en is een kritieke beveiligingsvereiste voor cloudomgevingen. Het niet voldoen aan deze controle kan leiden tot ernstige beveiligingsrisico's en kan resulteren in het niet voldoen aan compliance-vereisten. Organisaties moeten daarom zorgvuldig controleren of zij voldoen aan deze controle en moeten regelmatig verifiëren dat de configuratie correct blijft. Dit is met name belangrijk voor Nederlandse overheidsorganisaties die moeten voldoen aan strikte beveiligings- en compliance-vereisten. Bovendien moeten organisaties kunnen aantonen dat zij regelmatig controleren of de configuratie nog steeds voldoet aan de CIS-vereisten en moeten zij documentatie bijhouden die aantoont dat de configuratie correct is geconfigureerd en wordt gemonitord. Deze documentatie moet beschikbaar zijn voor interne en externe auditors en moet regelmatig worden bijgewerkt om de actuele status weer te geven.
Naast CIS 1.22 moeten Nederlandse overheidsorganisaties ook voldoen aan de BIO-norm 09.04, die betrekking heeft op authenticatiebeveiliging. Deze norm vereist dat organisaties passende authenticatiemechanismen implementeren om onbevoegde toegang te voorkomen. Conditional Access biedt organisaties de mogelijkheid om geavanceerde authenticatievereisten te implementeren die verder gaan dan de basisbeveiliging die Security Defaults biedt, wat essentieel is voor het voldoen aan de BIO-normen voor gevoelige overheidsdata. De BIO-normen stellen specifieke eisen aan authenticatie- en autorisatiemechanismen, en organisaties moeten kunnen aantonen dat hun configuratie voldoet aan deze eisen. Dit betekent dat organisaties niet alleen de technische configuratie correct moeten hebben, maar ook moeten kunnen aantonen dat zij de juiste processen en procedures hebben geïmplementeerd om de beveiliging te waarborgen. Organisaties moeten daarom regelmatig controleren of hun configuratie nog steeds voldoet aan de actuele BIO-normen en moeten deze aanpassen wanneer de normen worden bijgewerkt.
Voor compliance-doeleinden moeten organisaties kunnen aantonen dat ze regelmatig controleren of de juiste configuratie actief is. Dit betekent dat er regelmatige audits moeten worden uitgevoerd om te verifiëren dat Security Defaults correct is geconfigureerd in relatie tot Conditional Access-beleidsregels. Deze audits moeten worden gedocumenteerd en de resultaten moeten worden bewaard voor externe audits en compliance-verificaties. Organisaties moeten ook kunnen aantonen dat alle wijzigingen aan de configuratie zijn goedgekeurd en gedocumenteerd volgens de juiste procedures. Het uitvoeren van regelmatige audits is niet alleen belangrijk voor compliance, maar ook voor het waarborgen van de beveiliging. Audits kunnen helpen om misconfiguraties te detecteren voordat deze tot beveiligingsincidenten leiden, en kunnen helpen om te verifiëren dat de configuratie nog steeds voldoet aan de beveiligings- en compliance-vereisten. Organisaties moeten daarom een gestructureerd auditprogramma opzetten dat regelmatig wordt uitgevoerd en dat alle relevante aspecten van de beveiligingsconfiguratie omvat.
Bij het implementeren van Conditional Access moeten organisaties ervoor zorgen dat alle beleidsregels voldoen aan de relevante compliance-vereisten. Dit betekent dat beleidsregels moeten worden geconfigureerd om meervoudige authenticatie te vereisen voor beheerders en gebruikers, verouderde authenticatieprotocollen te blokkeren, en andere beveiligingsmaatregelen te implementeren die nodig zijn voor compliance. Organisaties moeten regelmatig controleren of de Conditional Access-beleidsregels nog steeds voldoen aan de actuele compliance-vereisten en deze aanpassen wanneer nodig. Het is belangrijk dat organisaties niet alleen de technische configuratie controleren, maar ook verifiëren dat de beleidsregels daadwerkelijk de beoogde beveiligingsdoelen bereiken. Dit betekent dat organisaties moeten analyseren of de beleidsregels effectief zijn in het voorkomen van onbevoegde toegang, of zij de juiste balans vinden tussen beveiliging en gebruiksvriendelijkheid, en of zij moeten worden aangepast op basis van veranderende beveiligingsbehoeften of nieuwe bedreigingen.
Voor audit-doeleinden moeten organisaties gedetailleerde logs bijhouden van alle wijzigingen aan Security Defaults en Conditional Access-beleidsregels. Deze logs moeten informatie bevatten over wie de wijzigingen heeft doorgevoerd, wanneer deze zijn aangebracht, en wat de reden was voor de wijziging. Bovendien moeten organisaties regelmatig compliance-rapporten genereren die aantonen dat de configuratie voldoet aan alle relevante normen en standaarden. Deze rapporten moeten beschikbaar zijn voor interne en externe auditors en moeten regelmatig worden bijgewerkt om de actuele status weer te geven. Het bijhouden van gedetailleerde logs is niet alleen belangrijk voor audit-doeleinden, maar ook voor het waarborgen van de beveiliging. Logs kunnen helpen om onbevoegde wijzigingen te detecteren, kunnen helpen om problemen op te sporen en op te lossen, en kunnen helpen om te verifiëren dat alle wijzigingen zijn goedgekeurd en gedocumenteerd volgens de juiste procedures. Organisaties moeten daarom ervoor zorgen dat alle relevante logs worden verzameld, bewaard en regelmatig worden geanalyseerd.
Een belangrijk aspect van compliance is het kunnen aantonen dat de organisatie de juiste processen en procedures heeft geïmplementeerd om de beveiliging te waarborgen. Dit betekent dat organisaties niet alleen de technische configuratie correct moeten hebben, maar ook moeten kunnen aantonen dat zij de juiste organisatorische en procesmatige maatregelen hebben genomen. Dit omvat het hebben van duidelijke procedures voor het maken van wijzigingen aan de beveiligingsconfiguratie, het hebben van een change management proces dat alle wijzigingen goedkeurt en documenteert, en het hebben van regelmatige reviews om te verifiëren dat de configuratie nog steeds voldoet aan de beveiligings- en compliance-vereisten. Organisaties moeten ook kunnen aantonen dat zij regelmatig trainingen geven aan beheerders en andere relevante medewerkers, en dat zij regelmatig controleren of de configuratie nog steeds correct is. Dit alles is belangrijk voor het waarborgen van compliance en voor het kunnen aantonen aan auditors dat de organisatie de juiste maatregelen heeft genomen om de beveiliging te waarborgen.
Remediatie
Gebruik PowerShell-script security-defaults-disabled-ca.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer een organisatie ontdekt dat Security Defaults en Conditional Access niet correct zijn geconfigureerd, moet er onmiddellijk actie worden ondernomen om de beveiligingsrisico's te beperken. De remediatiestrategie hangt af van de specifieke situatie: als Security Defaults is uitgeschakeld zonder dat er Conditional Access-beleidsregels actief zijn, loopt de organisatie een kritiek beveiligingsrisico omdat er geen bescherming is tegen basisbedreigingen zoals brute force-aanvallen en verouderde authenticatieprotocollen. In dit geval moet er onmiddellijk worden gekozen voor een van de twee opties: het opnieuw inschakelen van Security Defaults, of het snel implementeren van Conditional Access-beleidsregels die dezelfde bescherming bieden. Het is belangrijk dat organisaties snel handelen wanneer zij een misconfiguratie detecteren, omdat elke minuut dat de organisatie zonder beveiligingsbescherming zit, het risico op een beveiligingsincident toeneemt. Organisaties moeten daarom duidelijke procedures hebben voor het detecteren en oplossen van misconfiguraties, en moeten ervoor zorgen dat beheerders weten wat zij moeten doen wanneer zij een probleem detecteren.
Als de organisatie beschikt over Entra ID P1-licenties en de intentie heeft om Conditional Access te gebruiken, moet de remediatie zich richten op het snel configureren van de benodigde Conditional Access-beleidsregels. Dit omvat het creëren van beleidsregels voor meervoudige authenticatie voor beheerders, meervoudige authenticatie voor gebruikers, en het blokkeren van verouderde authenticatieprotocollen. Deze beleidsregels moeten worden geconfigureerd en getest voordat Security Defaults wordt uitgeschakeld, maar in een noodsituatie kunnen ze worden geactiveerd terwijl Security Defaults nog actief is, en vervolgens kan Security Defaults worden uitgeschakeld zodra de beleidsregels zijn geverifieerd. Het is belangrijk dat organisaties in noodsituaties niet overhaasten, omdat een verkeerde configuratie kan leiden tot het blokkeren van legitieme gebruikers of tot andere beveiligingsproblemen. Organisaties moeten daarom, zelfs in noodsituaties, zorgvuldig controleren of de Conditional Access-beleidsregels correct zijn geconfigureerd voordat zij Security Defaults uitschakelen. Als er twijfel bestaat over de correctheid van de configuratie, moeten organisaties Security Defaults ingeschakeld houden totdat de configuratie volledig is geverifieerd.
Voor organisaties die niet beschikken over Entra ID P1-licenties of die nog niet klaar zijn voor Conditional Access, is de remediatie eenvoudiger: Security Defaults moet onmiddellijk worden ingeschakeld om basisbeveiligingsmaatregelen te herstellen. Dit kan worden gedaan via de Azure-portal onder Entra ID Properties, waar beheerders Security Defaults kunnen inschakelen met een enkele klik. Na het inschakelen moeten organisaties verifiëren dat Security Defaults correct functioneert en dat gebruikers nog steeds toegang hebben tot de benodigde resources. Het is belangrijk dat organisaties niet alleen Security Defaults inschakelen, maar ook verifiëren dat het daadwerkelijk actief is en correct functioneert. Dit betekent dat organisaties moeten testen of gebruikers nog steeds kunnen inloggen, of de meervoudige authenticatie correct werkt, en of alle applicaties en services nog steeds toegankelijk zijn. Als er problemen worden gedetecteerd, moeten organisaties deze onmiddellijk onderzoeken en oplossen.
In gevallen waar beide systemen per ongeluk gelijktijdig actief zijn (wat technisch niet mogelijk zou moeten zijn, maar kan voorkomen bij configuratiefouten), moet de organisatie onmiddellijk een van de twee systemen uitschakelen. De keuze hangt af van de licentievereisten en de geavanceerdheid van de gewenste beveiligingsconfiguratie. Organisaties met Entra ID P1-licenties en geavanceerde beveiligingsvereisten moeten Security Defaults uitschakelen en Conditional Access gebruiken. Organisaties zonder P1-licenties of met eenvoudige beveiligingsvereisten moeten Conditional Access-beleidsregels verwijderen en Security Defaults gebruiken. Het is belangrijk dat organisaties snel handelen wanneer zij ontdekken dat beide systemen gelijktijdig actief zijn, omdat dit kan leiden tot conflicterende beveiligingsregels en kan resulteren in onverwachte gedragingen. Organisaties moeten daarom onmiddellijk een van de twee systemen uitschakelen en moeten vervolgens verifiëren dat de gekozen configuratie correct functioneert.
Na het uitvoeren van de remediatie moeten organisaties een grondige verificatie uitvoeren om te zorgen dat de configuratie correct is en dat alle gebruikers nog steeds toegang hebben tot de benodigde resources. Dit omvat het testen van inlogpogingen voor verschillende gebruikersgroepen, het verifiëren dat beveiligingsmaatregelen actief zijn, en het controleren van audit logs om te zien of er onverwachte gebeurtenissen zijn. Organisaties moeten ook de oorzaak van de misconfiguratie onderzoeken en maatregelen nemen om te voorkomen dat dit in de toekomst opnieuw gebeurt, zoals het implementeren van geautomatiseerde monitoring en het verbeteren van change management processen. Het onderzoeken van de oorzaak van de misconfiguratie is belangrijk omdat dit kan helpen om te voorkomen dat het probleem opnieuw optreedt. Organisaties moeten daarom analyseren hoe de misconfiguratie is ontstaan, of er procedures zijn gevolgd, en of er verbeteringen nodig zijn aan de processen of procedures. Dit kan helpen om toekomstige problemen te voorkomen en kan helpen om de algehele beveiligingspostuur van de organisatie te verbeteren.
Een belangrijk aspect van remediatie is het documenteren van alle genomen acties en de resultaten daarvan. Organisaties moeten gedetailleerde documentatie bijhouden van wat er is gedetecteerd, welke acties zijn ondernomen, en wat de resultaten waren. Deze documentatie is belangrijk voor compliance-doeleinden, voor het kunnen leren van incidenten, en voor het kunnen aantonen aan auditors dat de organisatie de juiste maatregelen heeft genomen. Organisaties moeten ook ervoor zorgen dat alle relevante stakeholders worden geïnformeerd over de misconfiguratie en de genomen remediatieacties. Dit kan helpen om transparantie te waarborgen en kan helpen om ervoor te zorgen dat alle betrokkenen op de hoogte zijn van de situatie en de genomen maatregelen.
Compliance & Frameworks
- CIS M365: Control 1.22 (L1) - Security Defaults of CA
- BIO: 09.04 - Authentication security
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Security Defaults Disabled CA
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 1.48
Controleert dat Security Defaults zijn disabled wanneer CA is geconfigureerd.
.NOTES
Filename: security-defaults-disabled-ca.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 1.48
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "Security Defaults Disabled CA"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer in Entra ID portal:" -ForegroundColor Gray
Write-Host " - Azure AD > Properties" -ForegroundColor Gray
Write-Host " - Security defaults = Disabled" -ForegroundColor Gray
Write-Host " - Conditional Access policies = Configured" -ForegroundColor Gray
Write-Host " - Security Defaults en CA kunnen niet samen" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: Security Defaults vs CA" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer in Entra ID portal:" -ForegroundColor Gray
Write-Host " - Azure AD > Properties" -ForegroundColor Gray
Write-Host " - Security defaults = Disabled" -ForegroundColor Gray
Write-Host " - Conditional Access policies = Configured" -ForegroundColor Gray
Write-Host " - Security Defaults en CA kunnen niet samen" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: Security Defaults vs CA" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
High: Wanneer Security Defaults is uitgeschakeld zonder dat Conditional Access-beleidsregels actief zijn, heeft de organisatie geen basisbeveiligingsbescherming. Dit betekent dat er geen meervoudige authenticatie wordt afgedwongen, verouderde authenticatieprotocollen zijn toegestaan, en de organisatie kwetsbaar is voor verschillende beveiligingsbedreigingen. Deze configuratie voldoet niet aan de CIS 1.22-controle en het risico is kritiek wanneer beide systemen zijn uitgeschakeld of niet correct zijn geconfigureerd.
Management Samenvatting
Controleer de configuratie van Security Defaults en Conditional Access: wanneer Security Defaults is uitgeschakeld, moet u verifiëren dat Conditional Access-beleidsregels actief zijn, inclusief meervoudige authenticatie voor beheerders en gebruikers, en het blokkeren van verouderde authenticatie. Beide systemen kunnen niet gelijktijdig worden gebruikt. Verificatie kan worden uitgevoerd via Azure AD Properties waar de status van Security Defaults wordt weergegeven, en via de Conditional Access-sectie waar alle actieve beleidsregels zichtbaar zijn. Deze configuratie is verplicht volgens CIS 1.22 en de implementatie vereist ongeveer 1 tot 2 uur voor verificatie en configuratie.
- Implementatietijd: 2 uur
- FTE required: 0.02 FTE