Microsoft gaat Security Defaults inschakelen, nu ook bij bestaande omgevingen
Microsoft probeert 60 miljoen kwetsbare accounts te beveiligen door standaard Security Defaults te maken, zoals MultiFactor Authenticatie. Leer wat het voor jou betekent.
Microsoft heeft aangekondigd dat ze de Microsoft “Security Defaults” gaan doorvoeren bij bestaande klanten die nog geen Security Defaults of Azure AD Conditional Access actief hebben in de Microsoft Cloud omgeving.
Het risico is onvermijdelijk dat, ondanks de identity protocols en beveiligingen die mensen hebben ingesteld om aanvallen te voorkomen, sommigen aanvallen er doorheen komen. Veel van deze succesvolle aanvallen zouden kunnen worden voorkomen met een goede securityhygiëne, onder andere op het gebied van identiteitsbeveiliging.
Het vereisen van MultiFactor Authenticatie (ook wel MFA genoemd), is een van de meest effectieve methoden om aanvallen te stoppen. Als Microsoft naar gecompromitteerde accounts kijkt, heeft meer dan 99,9% van hen geen MFA, wat betekent dat deze accounts kwetsbaar zijn voor populaire hackmethoden, zoals hergebruik van wachtwoorden, phishing en wachtwoordspray.
Helaas ontbreekt het veel bedrijven aan een team van beveiligingsexperts om deze kwesties aan te pakken en vaak hebben ze helemaal geen IT-team. Dus ook al is het belang van MFA in het algemeen duidelijk, er is niemand om deze beveiligingsvereisten te horen of uit te voeren. Deze organisaties zijn vaak het kwetsbaarst en hebben het meest te maken met gecompromitteerde accounts.
Microsoft besloot iets aan dit probleem te doen. In 2019 hebben ze standaard Security Defaults aangezet binnen nieuwe tenants, wat betekent dat alle nieuwe klanten standaard voorzien zijn van basis securitymaatregelen in de vorm van Security Defaults; met name MFA en andere moderne authenticatieprotocollen.
Met Security Defaults kun je jouw organisatie gemakkelijker beschermen tegen identiteit gerelateerde aanvallen, met vooraf geconfigureerde beveiligingsinstellingen:
- Vereisen dat alle gebruikers zich registreren voor Azure AD Multi-Factor Authentication
- Beheerders verplichten om meervoudige verificatie uit te voeren
- Gebruikers verplichten om meervoudige verificatie uit te voeren, wanneer dat nodig is
- Verouderde verificatieprotocollen blokkeren
- Beschermde activiteiten beveiligen, zoals toegang tot de Azure Portal
Fast forward naar 2022, nu zijn meer dan 30 miljoen organisaties voorzien van dit beschermingsniveau. Deze organisaties ervaren 80% minder beveiligingscomplicaties dan de totale tenant-populatie van Microsoft. De meeste van deze organisaties laten het gewoon aan staan, terwijl anderen nog meer beveiliging toevoegen met Conditional Access, als ze daar klaar voor zijn.
Daarom heeft Microsoft besloten om ook de tentants die vóór de introductie van Security Defaults in 2019 zijn gemaakt, te voorzien van de Microsoft Security Defaults. Historisch gezien moesten deze klanten functies zoals Identity Protection, Conditional Access en MFA expliciet inschakelen. Veel bedrijven waren zich echter er totaal niet van bewust dat deze opties bestonden, terwijl het gevaar en het risico op aanvallen steeds groter werd.
Microsoft mikt hiermee op ongeveer 60 miljoen accounts die vóór 2019 zijn gemaakt en die sinds de oorspronkelijke implementatie geen enkele van hun beveiligingsinstellingen hebben aangepast. Dat zijn veel accounts die veel veiliger zullen worden.
What gebeurt er nu?
Security Defaults vraagt gebruikers om MFA wanneer dat nodig is, op basis van factoren zoals locatie, apparaat, rol en taak. Vanwege de rechten die beheerders hebben om wijzigingen aan te brengen in jouw omgeving, zijn zij verplicht om elke keer dat ze zich aanmelden MFA uit te voeren.
Andere gebruikers worden mogelijk niet om MFA gevraagd, als bijvoorbeeld hun locatie en apparaat ongewijzigd zijn. Dit betekent dat als je op maandagochtend regelmatig inlogt met je MacBook op kantoor of thuis, je niet telkens hoeft in te loggen met MFA als je doorgaat met dit activiteitenpatroon.
Zoals hierboven vermeld, zal Microsoft deze wijziging niet centraal op een vastgestelde datum uitrollen. In plaats daarvan zullen ze het stapsgewijs uitrollen, in eerste instantie gericht op organisaties die ‘goed passen’ bij ”Security Defaults”. Wat betekent ‘goed passen’? In dit geval verwijst Microsoft naar organisaties die nog niet eerder “Security Defaults” hebben gebruikt, die ”Conditional Access” niet hebben ingeschakeld en die geen verouderde authenticatieclients gebruiken.
Meldingen over deze wijzigingen gaan via e-mail naar de ”Global Admins” van de Microsoft omgevingen. Dit gebeurt misschien nu al. Tegen het einde van de maand juni begint Microsoft met de berichtgeving en zullen de Global Admins prompts te zien krijgen bij het inloggen, met het verzoek om ”Security Defaults” in te schakelen. Deze melding waarschuwt ook dat de Security Defaults vanaf dat moment binnen 14 dagen automatisch wordt ingeschakeld.
Zodra de beheerder de Security Defaults heeft ingeschakeld, wordt alle gebruikers gevraagd zich te registreren voor MFA via de Microsoft Authenticator-app. Net als bij het beheerdersverzoek, is er een respijtperiode van 14 dagen voor gebruikers om zich te registreren voor MFA. Naast het gebruik van de Authenticator-app als een standaardgebruiker, moeten Global Admins ook een telefoonnummer opgeven.
Alle gebruikers in de tenant moeten zich registreren voor MFA, zodra de standaardinstellingen voor beveiliging zijn ingeschakeld. Nogmaals, er is een bedenktijd van 14 dagen voor registratie.
Ik wil de Security Defaults niet inschakelen, wat kan ik doen?
Er kunnen zich gevallen voordoen waarin een organisatie geen Security Defaults voor beveiliging in hun omgeving wil inschakelen. Als die organisatie de risico’s begrijpt, die gepaard gaan met het niet gebruiken van dit basisniveau van beveiliging en deze liever niet inschakelt, is het mogelijk om dit te doen. Een beheerder kan standaard Security Defaults uitschakelen in de Azure AD-eigenschappen of via het M365-beheercentrum.
Conditional Access in plaats van Security Defaults
Wanneer de beveiliging wel gewenst is, maar de Microsoft Security Defaults je te weinig flexibiliteit biedt, kunt je ervoor kiezen om de Security Defaults uit te schakelen en Microsoft Conditional Access te gebruiken, je kunt niet beide gebruiken.
Wie zou Conditional Access moeten gebruiken?
- Als je een organisatie bent die momenteel Conditional Access policies gebruikt, dan zijn Security Defaults waarschijnlijk niet geschikt voor jou.
- Als je een organisatie bent met Azure Active Directory Premium licenties, dan zijn beveiligingsstandaards waarschijnlijk niet de juiste keuze voor jou.
- Als jouw organisatie complexe beveiligingseisen heeft, moet je Conditional Access overwegen.
De moderne beveiligingsperimeter gaat nu verder dan het netwerk van een organisatie en omvat ook de identiteit van gebruikers en apparaten. Organisaties kunnen identiteitsgestuurde signalen gebruiken als onderdeel van hun beslissingen over toegangscontrole.
Conditional Access brengt signalen samen, om beslissingen te nemen en organisatorisch beleid af te dwingen. Azure AD Conditional Access is het hart van de nieuwe identity-driven control plane.
Conditional Access policies zijn op zijn eenvoudigst if-then statements, als een gebruiker toegang wil tot een bron, dan moet hij een actie uitvoeren. Voorbeeld: Een payroll manager wil toegang tot de payroll applicatie en is verplicht om Multi-Factor Authenticatie te doen om toegang te krijgen.
Beheerders worden geconfronteerd met twee primaire doelstellingen:
- Gebruikers in staat stellen overal en altijd productief te zijn
- De bedrijfsmiddelen van de organisatie beschermen
Gebruik Conditional Access policies om de juiste toegangscontrole toe te passen, wanneer dat nodig is, om jouw organisatie veilig te houden.
Veel voorkomende signalen (“If”) waarmee Conditional Access rekening kan houden, bij het nemen van een beleidsbeslissing, zijn onder andere de volgende signalen:
- Gebruikers- of groepslidmaatschap
- IP-locatie-informatie
- Apparaat
- Toepassing
- Realtime en berekende risicodetectie
- Microsoft Defender for Cloud Apps
Voorkomende beslissingen (“Then”) waar Conditional Access rekening mee kan houden zijn:
- Toegang blokkeren
- Toegang verlenen
Bij de minst beperkende beslissing kunnen nog steeds een of meer van de volgende opties nodig zijn:
- Multi-Factor Authentication vereisen
- Vereisen dat het apparaat moet worden gemarkeerd als compatibel
- Hybride Azure AD-gekoppeld apparaat is vereist
- Goedgekeurde client-apps vereisen
- Beleid voor app-beveiliging vereisen (preview)
Veel organisaties hebben veel voorkomende toegangskwesties, waar Conditional Access policies bij kan helpen, zoals:
- MFA vereisen voor gebruikers met beheerdersrollen
- MFA vereisen voor Azure-beheertaken
- Blokkeren van aanmeldingen voor gebruikers, die proberen legacy authenticatieprotocollen te gebruiken
- Vertrouwde locaties vereisen voor Azure AD MFA registratie
- Toegang blokkeren of verlenen vanaf specifieke locaties
- Risicovol aanmeldgedrag blokkeren
- Door de organisatie beheerde apparaten vereisen voor specifieke toepassingen
Wil je meer weten over Microsoft Security Defaults of Conditional Access, neem dan contact op met Ekco. Wij informeren je graag verder, tevens kunnen wij je helpen bij de implementatie van bijvoorbeeld Conditional Access.