Delen via

Plan voor snelle modernisering van beveiliging

Met dit snelle moderniseringsplan (RAMP) kunt u snel gebruikmaken van de aanbevolen strategie voor bevoegde toegang van Microsoft.

Deze roadmap bouwt voort op de technische controles die zijn vastgesteld in de richtlijnen voor geprivilegieerde toegangsdistributie . Voer deze stappen uit en gebruik vervolgens de stappen in deze RAMP om de besturingselementen voor uw organisatie te configureren.

Samenvatting van RAMP voor bevoorrechte toegang

Opmerking

Veel van deze stappen zullen een groenveld/bruinveld-dynamiek hebben, aangezien organisaties vaak beveiligingsrisico's lopen door de manier waarop systemen al zijn geïmplementeerd of accounts zijn geconfigureerd. In deze roadmap wordt prioriteit gegeven aan het stoppen van de accumulatie van nieuwe beveiligingsrisico's en vervolgens worden de resterende items die al zijn verzameld, later opgeschoond.

Tijdens het doorlopen van de roadmap kunt u Microsoft Secure Score gebruiken om veel items in het traject bij te houden en te vergelijken met anderen in vergelijkbare organisaties gedurende een bepaalde periode. Meer informatie over Microsoft Secure Score vindt u in het artikel Overzicht van Secure Score.

Elk item in deze RAMP is gestructureerd als een initiatief dat wordt bijgehouden en beheerd met behulp van een indeling die voortbouwt op de doelstellingen en de belangrijkste resultatenmethode (OKR). Elk item bevat wat (doelstelling), waarom, wie, hoe en hoe te meten (belangrijke resultaten). Sommige items vereisen wijzigingen in processen en de kennis of vaardigheden van mensen, terwijl andere eenvoudigere technologiewijzigingen zijn. Veel van deze initiatieven omvatten leden buiten de traditionele IT-afdeling die moeten worden opgenomen in de besluitvorming en implementatie van deze wijzigingen om ervoor te zorgen dat ze succesvol zijn geïntegreerd in uw organisatie.

Het is essentieel om samen te werken als organisatie, partnerschappen te creëren en mensen te onderwijzen die traditioneel geen deel uitmaken van dit proces. Het is van cruciaal belang om draagvlak binnen de hele organisatie te creëren en te behouden; zonder dat falen veel projecten.

Bevoorrechte accounts scheiden en beheren

Accounts voor noodtoegang

  • Wat: Zorg ervoor dat u niet per ongeluk bent uitgesloten van uw Microsoft Entra-organisatie in een noodsituatie.
  • Waarom: accounts voor noodtoegang die zelden worden gebruikt en zeer schadelijk zijn voor de organisatie als ze zijn gecompromitteerd, maar hun beschikbaarheid voor de organisatie is ook van cruciaal belang voor de weinige scenario's wanneer ze nodig zijn. Zorg ervoor dat u een plan hebt voor de continuïteit van de toegang die geschikt is voor zowel verwachte als onverwachte gebeurtenissen.
  • Wie: Dit initiatief wordt doorgaans geleid door identiteits- en sleutelbeheer en/of beveiligingsarchitectuur.
  • Hoe: volg de richtlijnen in Accounts voor toegang tot noodgevallen beheren in Microsoft Entra ID.
  • Belangrijke resultaten meten:
    • Vastgesteld Het toegangsproces voor noodgevallen is ontworpen op basis van Microsoft-richtlijnen die voldoen aan de behoeften van de organisatie
    • Onderhouden De toegang tot noodgevallen is in de afgelopen 90 dagen beoordeeld en getest

Microsoft Entra Privileged Identity Management inschakelen

  • Wat: Microsoft Entra Privileged Identity Management (PIM) gebruiken in uw Microsoft Entra-productieomgeving om bevoegde accounts te detecteren en te beveiligen
  • Waarom: Privileged Identity Management biedt op tijd gebaseerde en op goedkeuring gebaseerde rolactivering om de risico's van overmatige, onnodige of misbruikte toegangsmachtigingen te beperken.
  • Wie: Dit initiatief wordt doorgaans geleid door identiteits- en sleutelbeheer en/of beveiligingsarchitectuur.
  • Hoe: Microsoft Entra Privileged Identity Management implementeren en configureren met behulp van de richtlijnen in het artikel Microsoft Entra Privileged Identity Management (PIM) implementeren.
  • Belangrijke resultaten meten: 100% van toepasselijke bevoegde toegangsrollen maken gebruik van Microsoft Entra PIM

Bevoegde accounts identificeren en categoriseren (Microsoft Entra-id)

  • Wat: Identificeer alle rollen en groepen met een hoge bedrijfsimpact waarvoor een bevoegd beveiligingsniveau (onmiddellijk of na verloop van tijd) is vereist. Deze beheerders hebben afzonderlijke accounts nodig in een latere stap Privileged Access Administration.

  • Waarom: deze stap is vereist om het aantal personen te identificeren en te minimaliseren dat afzonderlijke accounts en bevoegde toegangsbeveiliging vereisen.

  • Wie: Dit initiatief wordt doorgaans geleid door identiteits- en sleutelbeheer en/of beveiligingsarchitectuur.

  • Hoe: Nadat u Microsoft Entra Privileged Identity Management hebt ingeschakeld, bekijkt u de gebruikers die zich in de volgende Microsoft Entra-rollen bevinden, minimaal op basis van het risicobeleid van uw organisatie:

    • Globale beheerder
    • Bevoorrechte Rollenbeheerder
    • Exchange-beheerder
    • SharePoint-beheerder

    Zie voor een volledige lijst met beheerdersrollen Beheerdersrolmachtigingen in Microsoft Entra ID.

    Verwijder alle accounts die niet meer nodig zijn in deze rollen. Categoriseer vervolgens de resterende accounts die zijn toegewezen aan beheerdersrollen:

    • Toegewezen aan gebruikers met beheerdersrechten, maar ook voor niet-administratieve productiviteitsdoeleinden, zoals lezen en reageren op e-mail.
    • Alleen toegewezen aan gebruikers met beheerdersrechten en gebruikt voor beheerdoeleinden
    • Gedeeld door meerdere gebruikers
    • Voor noodtoegangsscenario's voor break-glass
    • Voor geautomatiseerde scripts
    • Voor externe gebruikers

Als u microsoft Entra Privileged Identity Management niet in uw organisatie hebt, kunt u de PowerShell-API gebruiken. Begin met de rol Globale beheerder, omdat deze dezelfde machtigingen heeft voor alle cloudservices waarvoor uw organisatie zich heeft geabonneerd. Deze machtigingen worden verleend, ongeacht waar ze zijn toegewezen: in het Microsoft 365-beheercentrum, de Azure-portal of door de Azure AD-module voor Microsoft PowerShell.

  • Belangrijke resultaten meten: Controleren en identificeren van bevoorrechte toegangsrollen is binnen de afgelopen 90 dagen voltooid

Afzonderlijke accounts (On-premises AD-accounts)

  • Wat: Beveilig on-premises bevoegde beheerdersaccounts, als dit nog niet is gebeurd. Deze fase omvat:

    • Afzonderlijke beheerdersaccounts maken voor gebruikers die on-premises beheertaken moeten uitvoeren
    • Privileged Access Workstations implementeren voor Active Directory-beheerders
    • Unieke lokale beheerderswachtwoorden maken voor werkstations en servers

  • Waarom: Het verharden van de accounts die worden gebruikt voor beheertaken. De beheerdersaccounts moeten e-mail hebben uitgeschakeld en er mogen geen persoonlijke Microsoft-accounts worden toegestaan.

  • Wie: Dit initiatief wordt doorgaans geleid door identiteits- en sleutelbeheer en/of beveiligingsarchitectuur.

  • Hoe: Alle medewerkers die gemachtigd zijn om beheerdersbevoegdheden te bezitten, moeten afzonderlijke accounts hebben voor beheerfuncties die verschillen van gebruikersaccounts. Deel deze accounts niet tussen gebruikers.

    • Standaardgebruikersaccounts: standaardgebruikersbevoegdheden verleend voor standaardgebruikerstaken, zoals e-mail, surfen op internet en het gebruik van Line-Of-Business-toepassingen. Deze accounts krijgen geen beheerdersbevoegdheden.
    • Beheerdersaccounts : afzonderlijke accounts die zijn gemaakt voor personeel waaraan de juiste beheerdersbevoegdheden zijn toegewezen.

  • Belangrijke resultaten meten: 100% van on-premises bevoegde gebruikers hebben afzonderlijke toegewezen accounts

Microsoft Defender for Identity

  • Wat: Microsoft Defender for Identity combineert on-premises signalen met cloudinzichten om gebeurtenissen in een vereenvoudigde indeling te bewaken, te beveiligen en te onderzoeken, zodat uw beveiligingsteams geavanceerde aanvallen tegen uw identiteitsinfrastructuur kunnen detecteren met de mogelijkheid om:

    • Gebruikers, entiteitsgedrag en activiteiten bewaken met op leer gebaseerde analyses
    • Gebruikersidentiteiten en -referenties beveiligen die zijn opgeslagen in Active Directory
    • Verdachte gebruikersactiviteiten en geavanceerde aanvallen in de kill chain identificeren en onderzoeken
    • Geef duidelijke incidentinformatie op een eenvoudige tijdlijn voor snelle sortering

  • Waarom: Moderne aanvallers kunnen gedurende lange tijd onopgemerkt blijven. Veel bedreigingen zijn moeilijk te vinden zonder een samenhangende afbeelding van uw hele identiteitsomgeving.

  • Wie: Dit initiatief wordt doorgaans geleid door identiteits- en sleutelbeheer en/of beveiligingsarchitectuur.

  • Hoe: Microsoft Defender for Identity implementeren en inschakelen en eventuele geopende waarschuwingen bekijken.

  • Belangrijke resultaten meten: Alle geopende waarschuwingen zijn gereviewd en gemitigeerd door de juiste teams.

Ervaring voor referentiebeheer verbeteren

Selfservice voor wachtwoordherstel en gecombineerde registratie van beveiligingsgegevens implementeren en documenteer

  • Wat: Schakel selfservice voor wachtwoordherstel (SSPR) in uw organisatie in en schakel de gecombineerde registratie van beveiligingsgegevens in.
  • Waarom: gebruikers kunnen hun eigen wachtwoorden opnieuw instellen zodra ze zich hebben geregistreerd. De gecombineerde ervaring voor registratie van beveiligingsgegevens biedt een betere gebruikerservaring waardoor registratie voor meervoudige verificatie van Microsoft Entra en selfservice voor wachtwoordherstel mogelijk is. Deze hulpprogramma's die samen worden gebruikt, dragen bij aan lagere helpdeskkosten en meer tevreden gebruikers.
  • Wie: Dit initiatief wordt doorgaans geleid door identiteits- en sleutelbeheer en/of beveiligingsarchitectuur.
  • Instructies: Als u SSPR wilt inschakelen en implementeren, raadpleegt u het artikel Een selfservice voor wachtwoordherstel van Microsoft Entra plannen.
  • Sleutelresultaten meten: selfservice voor wachtwoordherstel is volledig geconfigureerd en beschikbaar voor de organisatie

Beheerdersaccounts beveiligen - MFA/wachtwoordloos inschakelen en vereisen voor gebruikers met bevoegdheden van Microsoft Entra ID

  • Wat: Vereisen dat alle bevoegde accounts in Microsoft Entra ID sterke meervoudige verificatie gebruiken

  • Waarom: om de toegang tot gegevens en services in Microsoft 365 te beveiligen.

  • Wie: Dit initiatief wordt doorgaans geleid door identiteits- en sleutelbeheer en/of beveiligingsarchitectuur.

  • Hoe: Schakel Microsoft Entra multifactor authentication (MFA) in en registreer alle andere niet-federatieve beheerdersaccounts met hoge bevoegdheden voor één gebruiker. Meervoudige verificatie bij aanmelding vereisen voor alle afzonderlijke gebruikers die permanent zijn toegewezen aan een of meer Microsoft Entra-beheerdersrollen.

    Beheerders verplichten om aanmeldingsmethoden zonder wachtwoord te gebruiken, zoals FIDO2-beveiligingssleutels of Windows Hello voor Bedrijven, in combinatie met unieke, lange, complexe wachtwoorden. Dwing deze wijziging af met een organisatiebeleidsdocument.

Volg de richtlijnen in de volgende artikelen, Een Microsoft Entra-multifactorauthenticatie-implementatie plannen en Een wachtwoordloze authenticatie-implementatie in Microsoft Entra ID plannen.

  • Belangrijke resultaten meten: 100% van bevoegde gebruikers gebruiken verificatie zonder wachtwoord of een sterke vorm van meervoudige verificatie voor alle aanmeldingen. Zie Privileged Access-accounts voor een beschrijving van meervoudige verificatie

Verouderde verificatieprotocollen blokkeren voor bevoegde gebruikersaccounts

  • Wat: Gebruik van verouderde verificatieprotocol voor bevoegde gebruikersaccounts blokkeren.

  • Waarom: organisaties moeten deze verouderde verificatieprotocollen blokkeren, omdat meervoudige verificatie niet kan worden afgedwongen. Door verouderde verificatieprotocollen ingeschakeld te laten, kan een toegangspunt worden gemaakt voor aanvallers. Sommige oudere toepassingen kunnen afhankelijk zijn van deze protocollen en organisaties hebben de mogelijkheid om specifieke uitzonderingen voor bepaalde accounts te maken. Deze uitzonderingen moeten worden bijgehouden en er moeten aanvullende controlemechanismen worden geïmplementeerd.

  • Wie: Dit initiatief wordt doorgaans geleid door identiteits- en sleutelbeheer en/of beveiligingsarchitectuur.

  • Procedure: Als u verouderde verificatieprotocollen in uw organisatie wilt blokkeren, volgt u de richtlijnen in het artikel Instructies : Verouderde verificatie blokkeren voor Microsoft Entra-id met voorwaardelijke toegang.

  • Belangrijke resultaten meten:

    • Verouderde protocollen zijn geblokkeerd: Alle verouderde protocollen worden geblokkeerd voor alle gebruikers, met alleen geautoriseerde uitzonderingen
    • Uitzonderingen worden elke 90 dagen beoordeeld en verlopen permanent binnen één jaar. Eigenaren van toepassingen moeten alle uitzonderingen binnen één jaar na goedkeuring van de eerste uitzondering oplossen
  • Wat: Eindgebruikerstoestemming uitschakelen voor Microsoft Entra-toepassingen.

Opmerking

Voor deze wijziging moet het besluitvormingsproces worden gecentraliseerd met de beveiligings- en identiteitsbeheerteams van uw organisatie.

Account- en aanmeldingsrisico's opschonen

  • Wat: Schakel Microsoft Entra ID Protection in en schoon eventuele risico's op die worden gevonden.
  • Waarom: Riskante gebruikers en aanmeldingsgedrag kunnen een bron zijn van aanvallen op uw organisatie.
  • Wie: Dit initiatief wordt doorgaans geleid door identiteits- en sleutelbeheer en/of beveiligingsarchitectuur.
  • Hoe: Maak een proces dat gebruikers- en aanmeldingsrisico's bewaakt en beheert. Bepaal of u het herstelproces automatiseert met behulp van Microsoft Entra meervoudige verificatie en SSPR, of of u blokkeert en administratorsinmenging vereist. Volg de richtlijnen in het artikel Instructies: Risicobeleid configureren en inschakelen.
  • Belangrijke resultaten meten: de organisatie heeft geen niet-aangepaste gebruikers- en aanmeldingsrisico's.

Opmerking

Beleid voor voorwaardelijke toegang is vereist om de toename van nieuwe aanmeldingsrisico's te blokkeren. Zie de sectie Voorwaardelijke toegang van de implementatie van bevoegde toegang

Initiële implementatie van beheerwerkstations

  • Wat: Bevoegde accounts, zoals accounts die Microsoft Entra ID beheren, hebben toegewezen werkstations voor het uitvoeren van beheertaken van.
  • Waarom: apparaten waarop bevoegde beheertaken zijn voltooid, zijn een doelwit van aanvallers. Het beveiligen van niet alleen het account, maar deze assets zijn essentieel voor het verminderen van uw kwetsbaarheid voor aanvallen. Deze scheiding beperkt hun blootstelling aan veelvoorkomende aanvallen gericht op productiviteitsgerelateerde taken, zoals e-mail en surfen.
  • Wie: Dit initiatief wordt doorgaans geleid door identiteits- en sleutelbeheer en/of beveiligingsarchitectuur.
  • Hoe: De eerste implementatie moet op enterpriseniveau zijn, zoals beschreven in het artikel Privileged Access Deployment
  • Belangrijke resultaten meten: elk bevoegd account heeft een toegewezen werkstation om gevoelige taken uit te voeren.

Opmerking

Deze stap brengt snel een beveiligingsbasislijn tot stand en moet zo snel mogelijk worden verhoogd naar gespecialiseerde en bevoegde niveaus.

Volgende stappen

  • Last updated on