💼 Management Samenvatting
Security Defaults vormen een verzameling standaard beveiligingsinstellingen die automatisch worden toegepast in Azure AD en die meervoudige authenticatie verplicht stellen, verouderde authenticatiemethoden blokkeren en extra bescherming bieden voor beheerderaccounts. Deze instellingen leveren fundamentele identiteitsbeveiliging zonder dat er premium licenties voor voorwaardelijke toegang nodig zijn, waardoor ze bij uitstek geschikt zijn voor organisaties met beperkte budgetten die toch essentiële beveiligingsmaatregelen willen implementeren.
Aanbeveling
IMPLEMENTEER BEVEILIGINGSSTANDAARDS OF BELEID VOOR VOORWAARDELIJKE TOEGANG
Risico zonder
Critical
Risk Score
10/10
Implementatie
1.5u (tech: 0.5u)
Van toepassing op:
✓ Azure
✓ Azure AD
✓ Entra ID
✓ Azure AD
✓ Entra ID
Nieuwe Azure AD tenants zonder beveiligingsconfiguratie zijn extreem kwetsbaar voor identiteitsgerelateerde aanvallen zoals wachtwoordspray, credential stuffing en brute force aanvallen die kunnen leiden tot accountovername en tenantcompromittering. Deze aanvallen vormen een reëel en actueel gevaar voor organisaties, waarbij aanvallers systematisch proberen toegang te krijgen tot gebruikersaccounts door middel van geautomatiseerde technieken die grote aantallen inlogpogingen uitvoeren met gestolen of veelgebruikte wachtwoorden. Security Defaults bieden onmiddellijke baseline bescherming door meervoudige authenticatie verplicht te stellen voor alle gebruikers, verouderde authenticatie volledig te blokkeren, meervoudige authenticatie verplicht te maken voor beheerdersrollen en aanvullende bescherming te bieden voor geprivilegieerde activiteiten. Voor tenants zonder Azure AD Premium P1 licentie zijn Security Defaults de beste gratis beveiligingsoptie die direct beschikbaar is zonder extra kosten en die essentiële bescherming biedt tegen de meest voorkomende aanvallen. Voor tenants met Azure AD Premium licenties wordt aanbevolen om Security Defaults uit te schakelen en deze te vervangen door uitgebreide Conditional Access beleidsregels die meer flexibiliteit en granulair controle bieden over de beveiligingsmaatregelen die worden toegepast.
PowerShell Modules Vereist
Primary API: Microsoft Graph API
Connection:
Required Modules: Microsoft.Graph.Identity.SignIns
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.Identity.SignIns
Implementatie
Deze controle verifieert of Security Defaults daadwerkelijk zijn ingeschakeld voor tenants die niet beschikken over Conditional Access beleidsregels, of dat Security Defaults weliswaar zijn uitgeschakeld maar dat er uitgebreide Conditional Access beleidsregels zijn geconfigureerd die dezelfde of betere beveiligingsfuncties leveren. In het eerste geval moeten Security Defaults actief zijn en alle standaard beveiligingsinstellingen moeten van kracht zijn, inclusief de verplichting tot meervoudige authenticatie voor alle gebruikers via de Microsoft Authenticator app, de volledige blokkering van verouderde authenticatieprotocollen die bekend staan om hun beveiligingszwaktes, de verplichting tot meervoudige authenticatie voor Azure portal toegang, en de extra bescherming voor geprivilegieerde beheerderactiviteiten die een hoger risico vormen voor de organisatie. In het tweede geval moeten Security Defaults zijn uitgeschakeld omdat ze niet compatibel zijn met Conditional Access beleidsregels, maar moeten er minstens equivalent geconfigureerde Conditional Access beleidsregels actief zijn die meervoudige authenticatie vereisen voor alle gebruikers ongeacht hun rol of functie, verouderde authenticatieprotocollen volledig blokkeren, en aanvullende beveiligingsmaatregelen implementeren voor gebruikers met beheerdersrollen of andere geprivilegieerde accounts.
Vereisten
De succesvolle implementatie van Security Defaults of de overstap naar Conditional Access beleidsregels vereist een grondige voorbereiding op verschillende niveaus binnen de organisatie. Deze voorbereiding omvat niet alleen technische aspecten zoals toegangsrechten en licentievereisten, maar ook organisatorische elementen zoals communicatie, training en gebruikersondersteuning. Het negeren van deze vereisten kan leiden tot implementatieproblemen, gebruikersfrustratie en zelfs tijdelijke toegangsblokkades voor werknemers die niet adequaat zijn voorbereid op de nieuwe beveiligingsmaatregelen.
De eerste en meest fundamentele vereiste betreft de beschikking over globale beheerderrechten in Azure AD. Deze rechten zijn absoluut noodzakelijk omdat Security Defaults en Conditional Access beleidsregels configuraties zijn die op het niveau van de gehele tenant worden toegepast. Deze instellingen hebben directe en verstrekkende gevolgen voor de beveiligingspositie van de volledige organisatie, waardoor alleen beheerders met de hoogste toegangsniveaus deze wijzigingen mogen doorvoeren. Zonder globale beheerderrechten is het technisch onmogelijk om Security Defaults te activeren of uit te schakelen, of om Conditional Access beleidsregels te configureren die dezelfde functies vervullen. Deze beperking is opzettelijk ontworpen om te voorkomen dat onbevoegde personen wijzigingen kunnen aanbrengen die de beveiliging van de organisatie zouden kunnen compromitteren.
Organisaties die besluiten om Security Defaults te implementeren als hun primaire beveiligingsoplossing hebben het voordeel dat ze hiervoor geen extra licenties nodig hebben. Security Defaults zijn specifiek ontwikkeld voor organisaties die beschikken over een standaard Azure AD licentie zonder premium functionaliteiten. Deze gratis oplossing maakt fundamentele identiteitsbeveiliging toegankelijk voor organisaties met beperkte budgetten, waardoor ook kleinere organisaties en non-profit instellingen kunnen profiteren van essentiële beveiligingsmaatregelen zonder significante investeringen in licenties. Het is belangrijk te begrijpen dat Security Defaults een bewuste keuze zijn van Microsoft om basisbeveiliging beschikbaar te stellen aan alle Azure AD tenants, ongeacht hun licentieportefeuille.
Daarentegen hebben organisaties die ervoor kiezen om Security Defaults te vervangen door uitgebreidere Conditional Access beleidsregels wel Azure AD Premium P1 licenties nodig. Deze licentievereiste is niet willekeurig, maar gebaseerd op het feit dat Conditional Access een geavanceerde premium functie is die aanzienlijk meer configuratiemogelijkheden biedt dan Security Defaults. Conditional Access beleidsregels maken het mogelijk om zeer gedetailleerde regels te definiëren op basis van gebruikersgroepen, applicaties, locaties, apparaten en risiconiveaus, wat een mate van flexibiliteit en controle biedt die ver uitgaat boven de standaardinstellingen van Security Defaults. Bovendien is het van cruciaal belang dat alle benodigde Conditional Access beleidsregels volledig zijn geconfigureerd, getest en geactiveerd voordat Security Defaults worden uitgeschakeld, om te voorkomen dat er een gevaarlijk beveiligingsgat ontstaat tijdens de overgangsperiode waarin gebruikers mogelijk zonder adequate bescherming zitten.
Een vaak onderschat maar uiterst belangrijk organisatorisch vereiste is de ontwikkeling en uitvoering van een uitgebreid plan voor de registratie van gebruikers voor meervoudige authenticatie. Wanneer Security Defaults worden geactiveerd, krijgen alle gebruikers in de tenant bij hun volgende aanmelding automatisch een prompt om zich te registreren voor meervoudige authenticatie. Dit proces kan voor veel gebruikers onverwacht en verwarrend zijn, vooral als ze niet zijn geïnformeerd over wat er gaat gebeuren en waarom deze beveiligingsmaatregel belangrijk is voor de organisatie. Het registratieproces vereist dat gebruikers de Microsoft Authenticator app installeren en configureren, of een alternatieve verificatiemethode instellen zoals een telefoonnummer voor SMS-verificatie of een alternatieve e-mailadres. Zonder adequate voorbereiding kunnen gebruikers dit proces als hinderlijk of ingewikkeld ervaren, wat kan leiden tot frustratie, onnodige vragen aan de helpdesk en in het ergste geval tot situaties waarin gebruikers niet succesvol kunnen registreren en daardoor tijdelijk geen toegang hebben tot hun accounts en de organisatieapplicaties die ze nodig hebben om hun werk uit te voeren.
Het MFA-registratieplan moet daarom uitgebreide communicatie bevatten die gebruikers informeert over de komende wijzigingen, het belang van meervoudige authenticatie voor de beveiliging van zowel hun persoonlijke accounts als de organisatiedata, en stapsgewijze instructies voor het registratieproces. Deze communicatie moet worden verspreid via meerdere kanalen zoals e-mail, intranet, teamvergaderingen en posters op kantoor, zodat alle gebruikers voldoende gelegenheid hebben om zich voor te bereiden op de aankomende wijzigingen. Daarnaast moeten organisaties training aanbieden aan gebruikers over het gebruik van authenticatie-apps en alternatieve verificatiemethoden, zodat gebruikers zelfvertrouwen ontwikkelen in het omgaan met deze nieuwe technologie. Deze training kan worden aangeboden in de vorm van workshops, webinars, video-instructies of persoonlijke begeleiding voor gebruikers die extra ondersteuning nodig hebben. Bovendien moet er een robuust ondersteuningssysteem zijn dat gebruikers kan helpen wanneer ze problemen ondervinden tijdens het registratieproces, inclusief directe toegang tot technische ondersteuning en duidelijke procedures voor het oplossen van veelvoorkomende problemen. Deze voorbereiding helpt niet alleen om gebruikersfrustratie te minimaliseren, maar zorgt er ook voor dat de adoptie van meervoudige authenticatie soepel verloopt en dat alle gebruikers binnen redelijke termijn succesvol zijn geregistreerd, waardoor de organisatie optimaal beschermd is tegen identiteitsgerelateerde bedreigingen.
Implementatie
De implementatie van Security Defaults of Conditional Access beleidsregels is een kritiek proces dat een systematische en doordachte aanpak vereist, waarbij elke stap zorgvuldig moet worden gepland en uitgevoerd om ervoor te zorgen dat de beveiliging van de organisatie niet wordt aangetast tijdens de overgangsperiode. De gekozen implementatiestrategie hangt primair af van de licentievereisten van de organisatie en de specifieke beveiligingsbehoeften die moeten worden vervuld. Er zijn twee fundamenteel verschillende implementatiepaden die organisaties kunnen volgen: ten eerste het rechtstreeks inschakelen van Security Defaults voor tenants die niet beschikken over premium licenties, of ten tweede het vervangen van Security Defaults door geavanceerde Conditional Access beleidsregels voor organisaties die wel Azure AD Premium P1 licenties hebben en gebruik willen maken van de uitgebreide configuratiemogelijkheden die deze licentie biedt.
Voor organisaties zonder Azure AD Premium P1 licentie vormt het inschakelen van Security Defaults de meest logische en kosteneffectieve aanpak om fundamentele identiteitsbeveiliging te implementeren. De implementatie begint met het openen van de Azure AD portal, waar beheerders kunnen navigeren naar de sectie Properties. In deze sectie bevindt zich de optie Security Defaults, die specifiek is ontworpen voor het beheren en activeren van deze standaard beveiligingsinstellingen. De interface is opzettelijk eenvoudig gehouden om te voorkomen dat onervaren beheerders zich kunnen vergissen tijdens het configuratieproces. Het activatieproces zelf is relatief rechttoe rechtaan: na het selecteren van de optie om Security Defaults in te schakelen en het bevestigen van deze keuze, worden de beveiligingsinstellingen onmiddellijk actief voor de gehele tenant zonder dat er een wachttijd of propagatieperiode nodig is. Deze directe activatie betekent dat organisaties meteen beschermd zijn tegen veelvoorkomende identiteitsgerelateerde bedreigingen, wat bijzonder waardevol is voor organisaties die momenteel geen enkele vorm van meervoudige authenticatie hebben geïmplementeerd.
Zodra Security Defaults daadwerkelijk zijn ingeschakeld, treedt een automatisch proces in werking waarbij alle gebruikers in de tenant bij hun volgende aanmelding worden geconfronteerd met een registratiewizard voor meervoudige authenticatie. Dit registratieproces is naadloos geïntegreerd in de standaard aanmeldervaring van Microsoft 365 en Azure AD, waardoor gebruikers intuïtief door de verschillende stappen worden geleid zonder dat ze naar externe documentatie of handleidingen hoeven te zoeken. De wizard begeleidt gebruikers door het proces van het installeren en configureren van de Microsoft Authenticator app op hun mobiele apparaat, of het instellen van een alternatieve verificatiemethode zoals een telefoonnummer voor SMS-verificatie of een alternatief e-mailadres dat kan worden gebruikt voor authenticatiecodes. Het is van groot belang dat organisaties hun gebruikers ruim van tevoren informeren over deze aankomende wijziging, inclusief duidelijke uitleg over waarom meervoudige authenticatie noodzakelijk is en hoe het hen zal helpen om hun accounts beter te beschermen. Deze proactieve communicatie minimaliseert verwarring en voorkomt dat de helpdesk wordt overspoeld met vragen van gebruikers die niet begrijpen wat er gebeurt of waarom ze plotseling worden gevraagd om extra verificatiestappen te voltooien.
Na de activatie van Security Defaults is het absoluut essentieel om een uitgebreide monitoringstrategie te implementeren die de adoptie van meervoudige authenticatie onder alle gebruikers nauwlettend volgt. Deze monitoring moet worden uitgevoerd via de aanmeldingslogboeken die beschikbaar zijn in Azure AD, die gedetailleerde informatie bevatten over alle aanmeldingspogingen, inclusief succesvolle en mislukte authenticaties, de gebruikte verificatiemethoden en eventuele foutmeldingen die tijdens het proces zijn opgetreden. Deze logboeken bieden waardevolle inzichten in welke gebruikers succesvol zijn geregistreerd voor meervoudige authenticatie en welke gebruikers nog problemen ondervinden met het configureren van hun verificatiemethoden. Bovendien kunnen deze logboeken ongebruikelijke aanmeldingspatronen onthullen die mogelijk wijzen op beveiligingsproblemen, zoals aanmeldingspogingen vanaf verdachte locaties of met verdachte apparaten, wat kan duiden op mogelijke accountovernamepogingen of andere vormen van ongeautoriseerde toegang. Regelmatige en grondige monitoring tijdens de eerste weken na de implementatie is cruciaal om problemen tijdig te identificeren en op te lossen voordat ze kritiek worden en de productiviteit van gebruikers of de beveiliging van de organisatie negatief beïnvloeden.
Voor organisaties die wel beschikken over Azure AD Premium P1 licenties wordt over het algemeen aanbevolen om Security Defaults te vervangen door uitgebreidere Conditional Access beleidsregels die een veel grotere mate van flexibiliteit en granulair controle bieden over de beveiligingsmaatregelen die worden toegepast. Deze aanpak stelt organisaties in staat om zeer specifieke regels te definiëren die zijn afgestemd op hun unieke beveiligingsbehoeften, organisatorische structuur en risicoprofiel, in plaats van te vertrouwen op de generieke instellingen die Security Defaults bieden. De implementatie van deze aanpak begint met het zorgvuldig creëren van Conditional Access beleidsregels die ten minste dezelfde mate van bescherming bieden als Security Defaults, en idealiter een nog hoger niveau van beveiliging implementeren. Deze beleidsregels moeten onder meer meervoudige authenticatie vereisen voor alle gebruikers ongeacht hun rol of functie, verouderde authenticatieprotocollen volledig blokkeren die bekend staan om hun beveiligingszwaktes, en aanvullende beveiligingsmaatregelen implementeren voor gebruikers met beheerdersrollen of andere geprivilegieerde accounts die een hoger risico vormen voor de organisatie als ze worden gecompromitteerd.
Voordat de nieuwe Conditional Access beleidsregels volledig worden geactiveerd en de organisatie wordt blootgesteld aan hun volledige impact, is het van cruciaal belang dat deze beleidsregels uitvoerig worden getest in de Report-only modus die beschikbaar is in Azure AD. Deze modus is specifiek ontworpen om beheerders in staat te stellen de potentiële gevolgen van nieuwe beleidsregels te evalueren zonder dat deze daadwerkelijk worden afgedwongen en gebruikers worden beïnvloed. Wanneer beleidsregels in Report-only modus draaien, worden alle aanmeldingspogingen geëvalueerd alsof de beleidsregels actief zijn, maar worden gebruikers niet daadwerkelijk geblokkeerd of gevraagd om aanvullende verificatiestappen te voltooien. In plaats daarvan worden de resultaten van deze evaluaties vastgelegd in gedetailleerde rapporten die beheerders kunnen analyseren om te zien welke gebruikers en applicaties zouden worden beïnvloed als de beleidsregels daadwerkelijk zouden worden geactiveerd. Deze testfase is onmisbaar om te voorkomen dat legitieme gebruikers onverwachts worden geblokkeerd van toegang tot systemen en applicaties die ze nodig hebben om hun werk uit te voeren, en om eventuele configuratiefouten of onbedoelde bijwerkingen te identificeren en te corrigeren voordat de beleidsregels actief worden en mogelijk negatieve gevolgen hebben voor de bedrijfsvoering.
Na succesvolle en uitgebreide testen in Report-only modus, waarbij alle potentiële problemen zijn geïdentificeerd en opgelost, kunnen de Conditional Access beleidsregels veilig worden geactiveerd voor productiegebruik. Het is echter aan te raden om deze activatie gefaseerd uit te voeren volgens een zorgvuldig uitgewerkt roll-outplan, waarbij in eerste instantie slechts een beperkte en goed voorbereide groep gebruikers wordt blootgesteld aan de nieuwe beleidsregels. Deze gefaseerde aanpak maakt het mogelijk om te verifiëren dat alles correct functioneert zoals verwacht in een gecontroleerde omgeving met een beperkt aantal gebruikers voordat de volledige organisatie wordt geconfronteerd met de nieuwe beveiligingsmaatregelen. Zodra is geconstateerd dat de Conditional Access beleidsregels volledig operationeel zijn en dezelfde of betere bescherming bieden dan Security Defaults, kunnen Security Defaults veilig worden uitgeschakeld zonder dat de organisatie wordt blootgesteld aan een verhoogd beveiligingsrisico. Deze verificatiestap is essentieel om te voorkomen dat er een gevaarlijk beveiligingsgat ontstaat tijdens de overgangsperiode waarin de organisatie mogelijk zonder adequate bescherming zou zitten als Security Defaults te vroeg zouden worden uitgeschakeld voordat de Conditional Access beleidsregels volledig operationeel en getest zijn.
Compliance en Auditing
De implementatie van Security Defaults of Conditional Access beleidsregels vertegenwoordigt veel meer dan alleen een technische beveiligingsmaatregel die de identiteitsbeveiliging van een organisatie verbetert. Het vormt in feite een essentiële en vaak wettelijk verplichte vereiste voor naleving van een breed scala aan cybersecurity frameworks, standaarden en regelgeving die specifiek van toepassing zijn op Nederlandse overheidsorganisaties en andere entiteiten die verantwoordelijk zijn voor de verwerking van gevoelige gegevens. Deze compliance-vereisten zijn niet louter administratieve verplichtingen, maar vormen de juridische en ethische basis voor een robuuste identiteitsbeveiliging en zijn absoluut cruciaal voor het voldoen aan audit- en certificeringsvereisten die regelmatig worden uitgevoerd door externe auditors, certificeringsinstanties en toezichthouders die verantwoordelijk zijn voor het controleren of organisaties voldoen aan de van toepassing zijnde wet- en regelgeving op het gebied van informatiebeveiliging en gegevensbescherming.
Een van de meest erkende en breed geaccepteerde cybersecurity frameworks is de CIS Azure Foundations Benchmark versie 3.0.0, die wordt ontwikkeld en onderhouden door het Center for Internet Security, een toonaangevende autoriteit op het gebied van cybersecurity best practices. Deze benchmark specificeert in controle 1.1 zeer duidelijk dat Security Defaults moeten zijn ingeschakeld op Azure AD voor alle tenants, tenzij deze zijn vervangen door equivalent of superieur Conditional Access beleidsregels die dezelfde of betere mate van bescherming bieden. Deze controle is geclassificeerd als Level 1, wat betekent dat het wordt beschouwd als een fundamentele en onmisbare beveiligingsmaatregel die door alle organisaties zonder uitzondering moet worden geïmplementeerd, ongeacht hun grootte, sector of specifieke omstandigheden. De CIS Benchmark wordt wereldwijd erkend en gerespecteerd als een best practice framework dat de basis vormt voor veel andere beveiligingsstandaarden en wordt vaak expliciet vereist door organisaties die werken met bijzonder gevoelige gegevens, door overheidsinstellingen die moeten voldoen aan strikte beveiligingsstandaarden, of door organisaties die moeten aantonen dat ze voldoen aan internationale beveiligingscertificeringen zoals ISO 27001.
Voor Nederlandse overheidsorganisaties heeft de BIO, oftewel de Baseline Informatiebeveiliging Overheid, bijzondere relevantie omdat dit het centrale beveiligingsframework vormt dat specifiek is ontwikkeld voor de Nederlandse publieke sector. De BIO is opgesteld door het Nationaal Cyber Security Centrum en biedt concrete richtlijnen voor informatiebeveiliging binnen overheidsorganisaties. Thema 09.04 van de BIO richt zich expliciet op baseline beveiligingscontroles voor identiteits- en toegangsbeheer, waarbij wordt benadrukt dat organisaties fundamentele beveiligingsmaatregelen moeten implementeren om te zorgen dat alleen geautoriseerde personen toegang hebben tot systemen en gegevens. Security Defaults of equivalente Conditional Access beleidsregels zijn niet alleen aanbevolen maar essentieel voor het voldoen aan deze BIO-vereisten, omdat ze precies die fundamentele beveiligingsmaatregelen implementeren die nodig zijn om bescherming te bieden tegen veelvoorkomende en geavanceerde aanvallen zoals wachtwoordspray, waarbij aanvallers grote aantallen veelgebruikte wachtwoorden proberen op verschillende accounts, en credential stuffing, waarbij gestolen inloggegevens worden gebruikt om toegang te krijgen tot andere systemen. Organisaties die niet voldoen aan deze BIO-vereisten kunnen worden geconfronteerd met formele auditbevindingen die moeten worden opgelost, mogelijk negatieve gevolgen voor hun certificeringsstatus, en in ernstige gevallen zelfs met bestuurlijke sancties of andere handhavingsacties door toezichthouders.
De ISO 27001:2022 standaard, die internationaal wordt erkend als de belangrijkste norm voor informatiebeveiligingsmanagementsystemen, vereist in specifieke controle A.5.17 dat organisaties authenticatiebeveiligingsbaselines implementeren die ervoor zorgen dat alleen geautoriseerde gebruikers toegang hebben tot systemen, applicaties en gegevens. Deze controle richt zich niet alleen op het waarborgen van juiste authenticatie, maar ook op het verzekeren dat de gebruikte authenticatiemechanismen voldoende sterk zijn om moderne aanvallen te weerstaan en niet kunnen worden omzeild door aanvallers met kwaadaardige bedoelingen. Security Defaults, met hun verplichting tot meervoudige authenticatie en volledige blokkering van verouderde authenticatieprotocollen die bekend staan om hun beveiligingszwaktes, voldoen direct en volledig aan deze ISO 27001 vereisten. Voor organisaties die ISO 27001 gecertificeerd zijn of die certificering nastreven als bewijs van hun inzet voor informatiebeveiliging, is het implementeren van Security Defaults of Conditional Access beleidsregels niet alleen een best practice maar een kritieke en verplichte stap in het certificeringsproces die vereist is om te kunnen voldoen aan de gestelde eisen en om te kunnen aantonen aan auditors en certificeringsinstanties dat de organisatie serieus omgaat met de beveiliging van haar digitale identiteiten en toegangsbeheer.
De NIS2 richtlijn, die is geïmplementeerd in Nederlandse wetgeving en die specifiek is gericht op het verbeteren van de cyberweerbaarheid van essentiële en belangrijke entiteiten binnen de Europese Unie, vereist in Artikel 21 expliciet dat essentiële en belangrijke entiteiten basis cybersecurity maatregelen implementeren die geschikt zijn voor hun risicoprofiel en de aard van de diensten die ze leveren. Deze maatregelen omvatten onder andere de implementatie van sterke authenticatiemechanismen die voorkomen dat onbevoegde personen toegang krijgen tot systemen, en effectieve bescherming tegen ongeautoriseerde toegang door middel van technische en organisatorische maatregelen. Security Defaults vormen een directe en concrete implementatie van deze NIS2 vereisten en helpen organisaties niet alleen om te voldoen aan hun wettelijke verplichtingen onder deze richtlijn, maar ook om te kunnen aantonen aan toezichthouders dat ze proactief maatregelen hebben genomen om hun cyberweerbaarheid te verbeteren. Het niet implementeren van deze maatregelen kan leiden tot aanzienlijke boetes die kunnen oplopen tot miljoenen euro's, verplichte actieplannen om de beveiliging te verbeteren, en andere handhavingsacties door toezichthouders die de bevoegdheid hebben om organisaties te dwingen om hun beveiligingspraktijken te verbeteren of om bepaalde activiteiten te staken als de beveiliging ontoereikend is.
Voor auditdoeleinden en om te kunnen voldoen aan de documentatievereisten van de verschillende frameworks en regelgeving, is het van groot belang dat organisaties op elk moment kunnen aantonen en bewijzen dat Security Defaults daadwerkelijk zijn ingeschakeld en actief zijn, of dat equivalente Conditional Access beleidsregels volledig zijn geconfigureerd en operationeel zijn. Dit vereist uitgebreide en actuele documentatie van de configuratie, inclusief gedetailleerde screenshots van de instellingen die duidelijk laten zien dat Security Defaults zijn ingeschakeld of welke Conditional Access beleidsregels zijn geconfigureerd, en regelmatige verificatie dat de beveiligingsmaatregelen actief blijven en niet onbedoeld zijn uitgeschakeld door wijzigingen in de configuratie of door technische problemen. Auditors zullen deze documentatie grondig controleren tijdens hun bezoeken en evaluaties om te verifiëren dat de organisatie daadwerkelijk voldoet aan de relevante compliance-vereisten en dat er geen gevaarlijke beveiligingsgaten zijn ontstaan door configuratiefouten, menselijke fouten of onbedoelde wijzigingen die mogelijk de effectiviteit van de beveiligingsmaatregelen hebben aangetast. Deze documentatie moet daarom worden beschouwd als een levend document dat regelmatig wordt bijgewerkt en geverifieerd om te zorgen dat het altijd actueel en accuraat is en een betrouwbaar beeld geeft van de werkelijke beveiligingsstatus van de organisatie.
Monitoring
Effectieve monitoring van Security Defaults of Conditional Access beleidsregels is een kritieke component van een robuust identiteitsbeveiligingsprogramma. Organisaties moeten niet alleen vertrouwen op de initiële configuratie en activatie van deze beveiligingsmaatregelen, maar moeten ook een uitgebreide en continue monitoringstrategie implementeren die regelmatig verifieert dat de beveiligingsinstellingen actief blijven en dat er geen onbedoelde wijzigingen zijn aangebracht in de configuratie die de beveiliging van de organisatie zouden kunnen compromitteren. Deze monitoringstrategie moet meerdere aspecten omvatten: de actuele status van Security Defaults of Conditional Access beleidsregels, de adoptiegraad van meervoudige authenticatie onder gebruikers, de effectiviteit van de beveiligingsmaatregelen in het voorkomen van beveiligingsincidenten, en de naleving van compliance-vereisten die regelmatig worden gecontroleerd door externe auditors en toezichthouders.
De eerste en meest fundamentele monitoringtaak betreft de regelmatige verificatie van de actuele status van Security Defaults of Conditional Access beleidsregels. Deze verificatie moet ten minste wekelijks worden uitgevoerd, bij voorkeur dagelijks, om ervoor te zorgen dat de beveiligingsinstellingen actief blijven en niet onbedoeld zijn uitgeschakeld door wijzigingen in de configuratie, technische problemen, of door onbevoegde personen die mogelijk toegang hebben gekregen tot beheerderaccounts. Deze verificatie kan worden uitgevoerd via de Azure AD portal waar beheerders direct kunnen zien of Security Defaults zijn ingeschakeld of uitgeschakeld, of via PowerShell scripts die automatisch de status controleren en waarschuwingen genereren wanneer er wijzigingen worden gedetecteerd. Het gebruik van geautomatiseerde monitoringtools en scripts voorkomt menselijke fouten en zorgt ervoor dat beveiligingsproblemen onmiddellijk worden gedetecteerd voordat ze kunnen leiden tot serieuze beveiligingsincidenten.
Voor organisaties die Conditional Access beleidsregels hebben geconfigureerd als vervanging voor Security Defaults, is het van cruciaal belang om niet alleen te verifiëren dat Security Defaults zijn uitgeschakeld, maar ook om regelmatig te controleren dat alle benodigde Conditional Access beleidsregels actief zijn en correct zijn geconfigureerd. Deze controle moet verifiëren dat er minstens één Conditional Access beleid is dat meervoudige authenticatie vereist voor alle gebruikers, dat er een beleid is dat verouderde authenticatieprotocollen volledig blokkeert, en dat er aanvullende beveiligingsmaatregelen zijn geïmplementeerd voor gebruikers met beheerdersrollen of andere geprivilegieerde accounts. Bovendien moeten beheerders controleren dat deze beleidsregels correct zijn toegepast op de juiste gebruikersgroepen en applicaties, en dat er geen conflicterende beleidsregels zijn geconfigureerd die de beveiliging onbedoeld zouden kunnen verzwakken.
Een tweede belangrijk aspect van monitoring betreft het volgen van de adoptiegraad van meervoudige authenticatie onder gebruikers. Wanneer Security Defaults worden geactiveerd, krijgen alle gebruikers in de tenant automatisch een prompt om zich te registreren voor meervoudige authenticatie bij hun volgende aanmelding. Het is echter mogelijk dat sommige gebruikers dit proces niet succesvol voltooien, wat kan leiden tot situaties waarin gebruikers tijdelijk geen toegang hebben tot hun accounts of waarin bepaalde gebruikers nog steeds niet zijn geregistreerd voor meervoudige authenticatie en daardoor een beveiligingsrisico vormen. Regelmatige monitoring van de MFA-registratiestatus via de Azure AD portal of via PowerShell scripts stelt beheerders in staat om te identificeren welke gebruikers nog niet zijn geregistreerd voor meervoudige authenticatie, en om proactieve maatregelen te nemen om deze gebruikers te helpen bij het voltooien van het registratieproces. Deze monitoring moet minstens wekelijks worden uitgevoerd tijdens de eerste maanden na de implementatie, en daarna maandelijks om ervoor te zorgen dat nieuwe gebruikers die aan de organisatie worden toegevoegd ook succesvol worden geregistreerd voor meervoudige authenticatie.
Een derde cruciaal monitoringaspect betreft de analyse van aanmeldingslogboeken om te identificeren of de beveiligingsmaatregelen effectief zijn in het voorkomen van beveiligingsincidenten en om ongebruikelijke aanmeldingspatronen te detecteren die mogelijk wijzen op beveiligingsproblemen. Deze logboeken bevatten gedetailleerde informatie over alle aanmeldingspogingen, inclusief succesvolle en mislukte authenticaties, de gebruikte verificatiemethoden, de locaties waarvan gebruikers proberen in te loggen, en eventuele foutmeldingen die tijdens het proces zijn opgetreden. Door deze logboeken regelmatig te analyseren kunnen beheerders identificeren of er sprake is van verdachte activiteiten zoals aanmeldingspogingen vanaf onbekende locaties, meerdere mislukte aanmeldingspogingen die kunnen wijzen op brute-force aanvallen, of aanmeldingen met verouderde authenticatieprotocollen die ondanks de blokkering toch worden geprobeerd. Deze analyses moeten minstens wekelijks worden uitgevoerd, en geautomatiseerde waarschuwingen moeten worden geconfigureerd om beheerders onmiddellijk te informeren wanneer er kritieke beveiligingsgebeurtenissen worden gedetecteerd die mogelijk een snelle reactie vereisen.
Ten slotte is het belangrijk om regelmatig te monitoren of de organisatie voldoet aan de relevante compliance-vereisten die worden gesteld door frameworks zoals de CIS Azure Foundations Benchmark, de BIO Baseline Informatiebeveiliging Overheid, ISO 27001, en de NIS2 richtlijn. Deze frameworks vereisen niet alleen dat Security Defaults of Conditional Access beleidsregels zijn geïmplementeerd, maar ook dat organisaties kunnen aantonen dat deze beveiligingsmaatregelen actief blijven en effectief zijn in het beschermen van de organisatie tegen identiteitsgerelateerde bedreigingen. Deze monitoring moet uitgebreide en actuele documentatie omvatten van de configuratie, inclusief gedetailleerde screenshots van de instellingen die duidelijk laten zien dat Security Defaults zijn ingeschakeld of welke Conditional Access beleidsregels zijn geconfigureerd, en regelmatige verificatie dat de beveiligingsmaatregelen actief blijven. Deze documentatie is essentieel voor auditdoeleinden en moet regelmatig worden bijgewerkt om ervoor te zorgen dat auditors en toezichthouders kunnen verifiëren dat de organisatie daadwerkelijk voldoet aan de relevante compliance-vereisten.
Gebruik PowerShell-script security-defaults-enabled.ps1 (functie Invoke-Monitoring) – Controleren.
Remediatie
Wanneer monitoring of audits aantonen dat Security Defaults niet zijn ingeschakeld of dat Conditional Access beleidsregels ontbreken of onjuist zijn geconfigureerd, is onmiddellijke remediatie vereist om de beveiliging van de organisatie te herstellen en te voorkomen dat de organisatie kwetsbaar blijft voor identiteitsgerelateerde bedreigingen. De remediatieprocedure moet worden uitgevoerd door een ervaren beheerder met globale beheerderrechten in Azure AD, en moet een systematische aanpak volgen die ervoor zorgt dat de beveiligingsmaatregelen correct worden geconfigureerd zonder dat dit leidt tot onbedoelde blokkades van legitieme gebruikers of andere negatieve gevolgen voor de bedrijfsvoering. Het is belangrijk om de remediatieprocedure zorgvuldig te plannen en uit te voeren, vooral in productieomgevingen waar veel gebruikers afhankelijk zijn van de toegang tot systemen en applicaties.
Voor organisaties die geen Azure AD Premium P1 licenties hebben en die moeten remediëren door Security Defaults in te schakelen, begint de remediatieprocedure met het openen van de Azure AD portal en het navigeren naar de sectie Properties. In deze sectie bevindt zich de optie Security Defaults, die specifiek is ontworpen voor het beheren en activeren van deze standaard beveiligingsinstellingen. De beheerder moet controleren of Security Defaults momenteel zijn uitgeschakeld, en indien dat het geval is, moet deze optie worden geactiveerd door de schakelaar in te schakelen en de wijziging te bevestigen. Het is belangrijk om te beseffen dat zodra Security Defaults worden geactiveerd, alle gebruikers in de tenant bij hun volgende aanmelding automatisch worden geconfronteerd met een registratiewizard voor meervoudige authenticatie. Daarom is het van cruciaal belang dat organisaties hun gebruikers ruim van tevoren informeren over deze aankomende wijziging, inclusief duidelijke uitleg over waarom meervoudige authenticatie noodzakelijk is en hoe het hen zal helpen om hun accounts beter te beschermen, om te voorkomen dat gebruikers worden verrast door het registratieproces en mogelijk hulp nodig hebben van de helpdesk.
Voor organisaties die wel beschikken over Azure AD Premium P1 licenties en die moeten remediëren door Conditional Access beleidsregels te configureren die Security Defaults vervangen, is de remediatieprocedure complexer en vereist deze meer voorbereiding en planning. De procedure begint met het zorgvuldig creëren van Conditional Access beleidsregels die ten minste dezelfde mate van bescherming bieden als Security Defaults, en idealiter een nog hoger niveau van beveiliging implementeren. Deze beleidsregels moeten onder meer meervoudige authenticatie vereisen voor alle gebruikers ongeacht hun rol of functie, verouderde authenticatieprotocollen volledig blokkeren die bekend staan om hun beveiligingszwaktes, en aanvullende beveiligingsmaatregelen implementeren voor gebruikers met beheerdersrollen of andere geprivilegieerde accounts. Het is van cruciaal belang dat deze beleidsregels eerst uitvoerig worden getest in de Report-only modus die beschikbaar is in Azure AD, om te voorkomen dat legitieme gebruikers onverwachts worden geblokkeerd van toegang tot systemen en applicaties die ze nodig hebben om hun werk uit te voeren. Alleen nadat alle potentiële problemen zijn geïdentificeerd en opgelost in de testfase, mogen de Conditional Access beleidsregels worden geactiveerd voor productiegebruik.
Een belangrijk aspect van de remediatieprocedure betreft de gefaseerde implementatie van de beveiligingsmaatregelen, vooral wanneer dit betrekking heeft op grote organisaties met veel gebruikers. In plaats van alle gebruikers tegelijkertijd bloot te stellen aan de nieuwe beveiligingsmaatregelen, is het aan te raden om de implementatie gefaseerd uit te voeren volgens een zorgvuldig uitgewerkt roll-outplan, waarbij in eerste instantie slechts een beperkte en goed voorbereide groep gebruikers wordt blootgesteld aan de nieuwe beveiligingsmaatregelen. Deze gefaseerde aanpak maakt het mogelijk om te verifiëren dat alles correct functioneert zoals verwacht in een gecontroleerde omgeving met een beperkt aantal gebruikers voordat de volledige organisatie wordt geconfronteerd met de nieuwe beveiligingsmaatregelen. Bovendien maakt deze aanpak het mogelijk om eventuele problemen die zich voordoen tijdens de implementatie te identificeren en op te lossen zonder dat dit grote groepen gebruikers beïnvloedt, en zorgt dit ervoor dat de helpdesk niet wordt overspoeld met vragen en problemen van gebruikers die niet goed zijn voorbereid op de nieuwe beveiligingsmaatregelen.
Na de succesvolle implementatie van Security Defaults of Conditional Access beleidsregels is het van groot belang om uitgebreide monitoring uit te voeren om te verifiëren dat de beveiligingsmaatregelen correct functioneren en dat er geen onbedoelde negatieve gevolgen zijn voor de bedrijfsvoering. Deze monitoring moet minstens dagelijks worden uitgevoerd tijdens de eerste weken na de implementatie, en moet zich richten op verschillende aspecten: de actuele status van Security Defaults of Conditional Access beleidsregels om te verifiëren dat deze actief blijven, de adoptiegraad van meervoudige authenticatie onder gebruikers om te identificeren welke gebruikers nog hulp nodig hebben bij het registratieproces, de analyse van aanmeldingslogboeken om te detecteren of er ongebruikelijke aanmeldingspatronen zijn die mogelijk wijzen op beveiligingsproblemen, en de monitoring van helpdesk tickets om te identificeren of er veel vragen of problemen zijn gerelateerd aan de nieuwe beveiligingsmaatregelen. Deze monitoring helpt niet alleen om te verifiëren dat de remediatie succesvol is, maar zorgt er ook voor dat eventuele problemen die zich voordoen snel worden gedetecteerd en opgelost voordat ze kunnen leiden tot serieuze beveiligingsincidenten of negatieve gevolgen voor de productiviteit van gebruikers.
Ten slotte is het belangrijk om na de succesvolle remediatie uitgebreide documentatie bij te werken die duidelijk laat zien dat Security Defaults zijn ingeschakeld of welke Conditional Access beleidsregels zijn geconfigureerd, inclusief gedetailleerde screenshots van de instellingen en informatie over wanneer de remediatie is uitgevoerd en door wie. Deze documentatie is essentieel voor auditdoeleinden en moet worden bewaard volgens de documentatieretentievereisten die worden gesteld door de verschillende compliance-frameworks. Bovendien moeten organisaties overwegen om een incident response procedure te ontwikkelen die specifiek gericht is op het identificeren en remediëren van problemen met Security Defaults of Conditional Access beleidsregels, zodat toekomstige problemen snel kunnen worden opgelost zonder dat dit leidt tot langdurige beveiligingsgaten die de organisatie kwetsbaar maken voor aanvallen.
Gebruik PowerShell-script security-defaults-enabled.ps1 (functie Invoke-Remediation) – Herstellen.
Compliance & Frameworks
- CIS M365: Control 1.1 (L1) - Zorg ervoor dat Security Defaults is ingeschakeld op Azure AD (tenzij vervangen door Conditional Access)
- BIO: 09.04 - BIO Baseline Informatiebeveiliging Overheid - Thema 9: Baseline beveiligingscontroles
- ISO 27001:2022: A.5.17 - Authenticatiebeveiligingsbasis
- NIS2: Artikel - Basis cybersecurity maatregelen
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Security Defaults Enabled
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 1.49
Controleert dat Security Defaults zijn enabled (indien geen CA).
.NOTES
Filename: security-defaults-enabled.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 1.49
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "Security Defaults Enabled"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer in Entra ID portal:" -ForegroundColor Gray
Write-Host " - Azure AD > Properties > Security defaults" -ForegroundColor Gray
Write-Host " - Security defaults = Enabled (indien geen CA)" -ForegroundColor Gray
Write-Host " - Of Conditional Access policies configured" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: Security Defaults status" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer in Entra ID portal:" -ForegroundColor Gray
Write-Host " - Azure AD > Properties > Security defaults" -ForegroundColor Gray
Write-Host " - Security defaults = Enabled (indien geen CA)" -ForegroundColor Gray
Write-Host " - Of Conditional Access policies configured" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: Security Defaults status" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
Critical: Een tenant zonder Beveiligingsstandaards of beleid voor voorwaardelijke toegang betekent dat er geen basisbescherming is. Er is geen afdwinging van meervoudige authenticatie, verouderde authenticatie is toegestaan en beheerders zijn onbeschermd. Dit levert een extreem risico op voor accountovername en compromittering van de tenant. Naleving: CIS 1.1, BIO 9.04. Het risico is KRITIEK zonder basisbescherming.
Management Samenvatting
Beveiligingsstandaards: Activeer voor onmiddellijke basisbescherming (afdwinging van meervoudige authenticatie, blokkeer verouderde authenticatie, beheerderbescherming). GRATIS. Alternatief: Schakel Beveiligingsstandaards uit wanneer uitgebreide beleidsregels voor voorwaardelijke toegang zijn geïmplementeerd (voorkeur - meer gedetailleerd). Activatie: Azure AD → Eigenschappen → Beveiligingsstandaards: Ingeschakeld. Gratis. Verplicht CIS 1.1, BIO 9.04. Implementatie: 15 minuten. Minimale basisvereiste.
- Implementatietijd: 1.5 uur
- FTE required: 0.01 FTE