💼 Management Samenvatting
Administratieve accounts moeten volledig gescheiden zijn van dagelijkse gebruikersaccounts om het risico op inbreuk op referenties en misbruik van bevoegdheden te minimaliseren door middel van toegewijde beheerdersidentiteiten.
Aanbeveling
IMPLEMENTEER BEHEERDERSACCOUNT SCHEIDING
Risico zonder
High
Risk Score
8/10
Implementatie
12u (tech: 4u)
Van toepassing op:
✓ Azure
✓ Entra ID
✓ Entra ID
Beheerdersaccounts die worden gebruikt voor dagelijkse activiteiten zoals e-mail, webbrowsing en Office-applicaties lopen een aanzienlijk verhoogd risico op compromittering. Dit risico ontstaat door verschillende aanvalsvectoren die specifiek gericht zijn op beheerdersaccounts. Phishing-e-mails vormen een primaire bedreiging omdat aanvallers bewust zoeken naar accounts met verhoogde bevoegdheden. Tijdens het reguliere webbrowsen met een beheerdersaccount kunnen kwaadaardige websites automatisch schadelijke software downloaden en installeren, waarbij ze direct profiteren van de verhoogde rechten. Kwaadaardige Office-macro's in documenten kunnen eveneens misbruik maken van de beheerdersrechten wanneer een document wordt geopend met een beheerdersaccount. Wanneer een beheerdersaccount wordt gecompromitteerd tijdens routinematige activiteiten, verkrijgt de aanvaller onmiddellijk verhoogde bevoegdheden die kunnen leiden tot volledige overname van de omgeving. Het principe van scheiding van taken vereist daarom toegewijde beheerdersaccounts die uitsluitend worden gebruikt voor administratieve taken, waardoor het risico op compromittering tijdens dagelijkse activiteiten wordt geëlimineerd.
PowerShell Modules Vereist
Primary API: Microsoft Graph API
Connection:
Required Modules: Microsoft.Graph.Authentication, Microsoft.Graph.Identity.DirectoryManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.Authentication, Microsoft.Graph.Identity.DirectoryManagement
Implementatie
Deze controle verifieert dat administratieve accounts toegewijde beheerdersidentiteiten zijn, volledig gescheiden van normale gebruikersaccounts. De best practice voor naamgeving is het gebruik van een duidelijk herkenbaar voorvoegsel zoals admin-gebruikersnaam of adm-gebruikersnaam, waardoor beheerdersaccounts direct identificeerbaar zijn in logs en rapportages. Beheerdersaccounts mogen absoluut niet worden gebruikt voor e-mailcommunicatie vanwege het verhoogde phishingrisico, noch voor webbrowsen vanwege het risico op automatische downloads van kwaadaardige software, noch voor het openen van Office-documenten vanwege het risico op macro-aanvallen, en evenmin voor dagelijkse productiviteitstaken. Beheerdersaccounts worden uitsluitend gebruikt voor beheer via de Azure Portal, PowerShell-administratieve taken, configuratie van op rollen gebaseerd toegangsbeheer en beveiligingsconfiguratie. Elke gebruiker met beheerdersrechten moet beschikken over twee afzonderlijke accounts: een normale gebruikersaccount voor dagelijks werk en een toegewijde beheerdersaccount voor administratieve taken, waarbij deze accounts nooit door elkaar mogen worden gebruikt.
Vereisten
Voor de succesvolle implementatie van scheiding tussen beheerdersaccounts en dagelijkse gebruikersaccounts zijn verschillende technische en organisatorische voorwaarden essentieel. Deze vereisten vormen de basis voor een veilige en effectieve implementatie van het principe van scheiding van taken binnen de Azure-omgeving. Het implementeren van deze scheiding vereist een grondige voorbereiding en planning om ervoor te zorgen dat alle aspecten van de beveiliging en het beheer correct worden geadresseerd. Organisaties moeten zich realiseren dat deze implementatie niet alleen een technische configuratie betreft, maar ook een fundamentele verandering in de manier waarop beheerders hun dagelijkse werkzaamheden uitvoeren. De technische vereisten omvatten toegang tot de Entra ID-tenant met globale beheerderrechten, wat noodzakelijk is voor het configureren van accounts, licenties en toegangsbeheer. Deze rechten zijn vereist omdat het aanmaken en configureren van toegewijde beheerdersaccounts wijzigingen vereist aan de directorystructuur en omdat licenties en toegangsbeperkingen op tenantniveau moeten worden geconfigureerd. Globale beheerderrechten zijn tijdelijk nodig tijdens de initiële implementatie, maar moeten daarna worden beperkt tot alleen die personen die daadwerkelijk deze rechten nodig hebben voor hun werkzaamheden. Het is belangrijk om te beseffen dat globale beheerderrechten zeer krachtig zijn en dat misbruik van deze rechten kan leiden tot volledige compromittering van de omgeving. Daarom moeten deze rechten worden beveiligd met multi-factor authenticatie en moeten alle acties worden gelogd en gemonitord. Daarnaast is PowerShell versie 5.1 of hoger vereist voor het uitvoeren van geautomatiseerde controles en configuratietaken. Deze versievereiste is belangrijk omdat moderne PowerShell-modules specifieke functies gebruiken die niet beschikbaar zijn in oudere versies. PowerShell 5.1 is de laatste versie van Windows PowerShell en wordt ondersteund op Windows 10 en Windows Server 2016 en later. Voor nieuwere versies van Windows kan PowerShell 7 of hoger worden gebruikt, wat cross-platform ondersteuning biedt en verbeterde prestaties en functionaliteit. De specifieke PowerShell-modules Az.Accounts en Az.Resources moeten geïnstalleerd zijn om verbinding te kunnen maken met Azure en om resources te kunnen beheren. Deze modules bieden de benodigde cmdlets voor het beheren van Entra ID-accounts, licenties en toegangsrechten. De Az.Accounts module is vereist voor authenticatie en verbindingsbeheer, terwijl de Az.Resources module nodig is voor het beheren van Azure-resources en Entra ID-objecten. Daarnaast kunnen aanvullende modules zoals Microsoft.Graph.Authentication en Microsoft.Graph.Identity.DirectoryManagement nuttig zijn voor geavanceerde beheertaken. Organisatorisch is een duidelijk gedefinieerd naamgevingsbeleid voor beheerdersaccounts cruciaal, waarbij een consistente naamgevingsconventie wordt vastgelegd die door de gehele organisatie wordt toegepast. Dit beleid moet specifiek aangeven welke voorvoegsels worden gebruikt, hoe accounts worden geïdentificeerd en welke regels gelden voor accountnamen. Een consistente naamgevingsconventie vergemakkelijkt het identificeren van beheerdersaccounts in logs, rapportages en auditingprocessen. Bovendien maakt een gestandaardiseerde naamgeving het mogelijk om geautomatiseerde controles uit te voeren en waarschuwingen te configureren wanneer niet-conforme accounts worden gedetecteerd. Het naamgevingsbeleid moet worden vastgelegd in het beveiligingsbeleid van de organisatie en moet regelmatig worden gecontroleerd en bijgewerkt. Gebruikerstraining vormt een essentieel onderdeel van de implementatie, waarbij beheerders worden geïnstrueerd over het correcte gebruik van beheerdersaccounts, de risico's van misbruik en de procedures voor het schakelen tussen accounts. Deze training moet praktische voorbeelden bevatten van de risico's die ontstaan wanneer beheerdersaccounts worden gebruikt voor dagelijkse activiteiten, en moet duidelijk uitleggen hoe gebruikers efficiënt kunnen schakelen tussen hun normale account en beheerdersaccount. De training moet ook aandacht besteden aan het herkennen van phishing-pogingen en andere bedreigingen die specifiek gericht zijn op beheerdersaccounts. Training moet worden gegeven aan alle gebruikers die beheerdersrechten hebben, ongeacht hun rol of niveau binnen de organisatie. De training moet regelmatig worden herhaald om ervoor te zorgen dat gebruikers op de hoogte blijven van de nieuwste bedreigingen en best practices. Ten slotte moet een gestructureerde procedure voor het inrichten van beheerdersaccounts worden ontwikkeld, waarbij duidelijk wordt vastgelegd wie bevoegd is om accounts aan te maken, welke goedkeuringsprocessen moeten worden doorlopen en hoe accounts worden geconfigureerd met de juiste licenties en beperkingen. Deze procedure moet ervoor zorgen dat alleen geautoriseerde personen beheerdersaccounts kunnen aanmaken en dat alle accounts voldoen aan de beveiligingsvereisten voordat ze worden geactiveerd. Bovendien moet de procedure een mechanisme bevatten voor het periodiek beoordelen van beheerdersaccounts om te verifiëren dat ze nog steeds nodig zijn en correct worden gebruikt. De procedure moet ook een proces bevatten voor het deactiveren of verwijderen van beheerdersaccounts wanneer deze niet meer nodig zijn, bijvoorbeeld wanneer een medewerker de organisatie verlaat of van functie verandert.
Monitoring
Gebruik PowerShell-script admin-accounts-not-daily-use.ps1 (functie Invoke-Monitoring) – Handmatige verificatiecontrole die beheerdersaccountnaamgeving en gebruikspatronen controleert..
Effectieve monitoring van beheerdersaccounts vereist een systematische aanpak waarbij meerdere aspecten worden gecontroleerd om te verzekeren dat beheerdersaccounts niet worden gebruikt voor dagelijkse activiteiten. De eerste controle betreft de naamgevingsconventie, waarbij wordt geverifieerd dat alle beheerdersaccounts een toegewijde naamgeving hebben met het voorvoegsel admin- of adm-, waardoor ze direct identificeerbaar zijn in alle systemen en logs. Deze naamgevingsconventie moet consistent worden toegepast en eventuele afwijkingen moeten worden geïdentificeerd en gecorrigeerd. De controle van de naamgevingsconventie kan worden geautomatiseerd door middel van PowerShell-scripts die regelmatig alle accounts in de directory scannen en verificeren of beheerdersaccounts voldoen aan de vastgestelde naamgevingsconventie. Wanneer een beheerdersaccount wordt gevonden dat niet voldoet aan de naamgevingsconventie, moet dit worden geëscaleerd naar het beveiligingsteam voor verdere analyse en correctie. De tweede kritieke controle betreft licentiebeheer, waarbij wordt geverifieerd dat beheerdersaccounts niet zijn gelicentieerd voor Exchange Online, waardoor het ontvangen en verzenden van e-mail wordt voorkomen. Het ontbreken van een Exchange-licentie elimineert het risico op phishing-aanvallen via e-mail op beheerdersaccounts. Deze controle moet regelmatig worden uitgevoerd omdat licenties kunnen worden toegevoegd of gewijzigd door verschillende personen binnen de organisatie. Bovendien moeten wijzigingen in licentietoewijzingen worden gelogd voor auditdoeleinden. De derde controle betreft de analyse van aanmeldingslogboeken, waarbij wordt geverifieerd dat aanmeldingsactiviteiten alleen betrekking hebben op administratieve taken zoals toegang tot de Azure Portal, PowerShell-sessies en beheerinterfaces. Eventuele aanmeldingen bij productiviteitsapplicaties zoals SharePoint, Teams of Office-apps moeten worden geïdentificeerd als afwijkingen die onmiddellijke aandacht vereisen. De analyse van aanmeldingslogboeken moet gebruik maken van geavanceerde query's die specifiek zoeken naar aanmeldingsactiviteiten van beheerdersaccounts bij applicaties die niet geschikt zijn voor beheerdersgebruik. Deze loganalyse moet worden geautomatiseerd om tijdig te kunnen reageren op potentieel misbruik. Bovendien moeten waarschuwingen worden geconfigureerd die automatisch worden gegenereerd wanneer beheerdersaccounts worden gebruikt voor activiteiten die buiten de normale administratieve taken vallen. Deze monitoring moet regelmatig worden uitgevoerd, bij voorkeur wekelijks, en alle afwijkingen moeten worden gedocumenteerd en geëscaleerd naar het beveiligingsteam voor verdere analyse en corrigerende maatregelen. De frequentie van monitoring moet worden aangepast aan het risiconiveau van de organisatie en het aantal beheerdersaccounts dat wordt beheerd. Organisaties met veel beheerdersaccounts of met een hoog risicoprofiel kunnen ervoor kiezen om dagelijks te monitoren, terwijl organisaties met minder beheerdersaccounts en een lager risicoprofiel kunnen volstaan met wekelijkse of maandelijkse controles. Alle monitoringresultaten moeten worden gedocumenteerd in een centraal systeem dat toegankelijk is voor het beveiligingsteam en dat geschikt is voor auditdoeleinden.
Implementatie
Gebruik PowerShell-script admin-accounts-not-daily-use.ps1 (functie Invoke-Implementation) – Automatiseert de implementatie van beheerdersaccount scheiding..
De implementatie van scheiding tussen beheerdersaccounts en dagelijkse gebruikersaccounts vereist een gestructureerde aanpak die zowel technische configuratie als organisatorische veranderingen omvat. De eerste stap is het definiëren van een duidelijke naamgevingsconventie waarbij beheerdersaccounts worden voorzien van het voorvoegsel admin- gevolgd door de gebruikersnaam, bijvoorbeeld admin-jan.jansen. Deze conventie moet worden vastgelegd in het beveiligingsbeleid en consistent worden toegepast door de gehele organisatie. De naamgevingsconventie moet worden gecommuniceerd aan alle betrokken partijen en moet worden opgenomen in de documentatie en trainingmateriaal. Bovendien moeten bestaande accounts die niet voldoen aan de naamgevingsconventie worden geïdentificeerd en worden aangepast tijdens de implementatieperiode. Vervolgens moeten voor alle gebruikers met beheerdersrollen toegewijde beheerdersaccounts worden aangemaakt, waarbij elk beheerdersaccount volledig gescheiden is van het normale gebruikersaccount. Dit betekent dat het beheerdersaccount een unieke gebruikersnaam heeft, een uniek wachtwoord en volledig gescheiden licenties en toegangsrechten. Het aanmaken van deze accounts moet worden gedaan door geautoriseerde personeelsleden die beschikken over de benodigde rechten en die bekend zijn met de beveiligingsvereisten. Deze accounts moeten worden geconfigureerd zonder Exchange-licentie, waardoor het ontvangen en verzenden van e-mail wordt voorkomen en het phishingrisico wordt geëlimineerd. Het ontbreken van een Exchange-licentie zorgt ervoor dat beheerdersaccounts geen e-mailbox hebben en daardoor niet kunnen worden gebruikt voor e-mailcommunicatie. Dit is een kritieke beveiligingsmaatregel omdat phishing-e-mails een van de meest voorkomende aanvalsvectoren zijn voor beheerdersaccounts. Eveneens moeten beheerdersaccounts worden geconfigureerd zonder Office-licenties, waardoor toegang tot Office-applicaties zoals Word, Excel en PowerPoint wordt geblokkeerd en het risico op macro-aanvallen wordt voorkomen. Het blokkeren van Office-toegang voorkomt dat beheerdersaccounts worden gebruikt voor het openen van documenten die mogelijk kwaadaardige macro's bevatten. Consumentenopslag moet worden geblokkeerd op beheerdersaccounts door OneDrive uit te schakelen, waardoor het risico op onbedoelde gegevensopslag en synchronisatie wordt geëlimineerd. Het uitschakelen van OneDrive voorkomt dat gebruikers per ongeluk gevoelige informatie opslaan in persoonlijke cloudopslag en elimineert het risico op gegevenslekken. Voorwaardelijke toegang moet worden geïmplementeerd om te verzekeren dat beheerdersaccounts alleen kunnen worden gebruikt vanaf beheerde apparaten die voldoen aan de beveiligingsvereisten van de organisatie. Deze voorwaardelijke toegangsregels moeten eisen stellen aan de status van het apparaat, de locatie en de netwerkverbinding. Gebruikers moeten worden getraind om hun normale account te gebruiken voor e-mail en Office-taken en alleen over te schakelen naar het beheerdersaccount wanneer specifieke Azure-beheertaken moeten worden uitgevoerd. Deze training moet praktische voorbeelden bevatten en moet regelmatig worden herhaald om ervoor te zorgen dat gebruikers de procedures blijven volgen. Monitoring via aanmeldingslogboeken moet worden geconfigureerd met waarschuwingen die worden gegenereerd wanneer beheerdersaccounts worden gebruikt voor Office-apps of andere niet-administratieve activiteiten. Deze waarschuwingen moeten worden geconfigureerd in het Security Information and Event Management systeem en moeten worden geëscaleerd naar het beveiligingsteam wanneer ze worden geactiveerd. Ten slotte moeten periodieke toegangsbeoordelingen worden uitgevoerd om te verifiëren dat beheerdersaccounts niet worden gebruikt voor dagelijkse activiteiten en dat alle accounts voldoen aan het beveiligingsbeleid. Deze beoordelingen moeten worden uitgevoerd door onafhankelijke personen en moeten worden gedocumenteerd voor auditdoeleinden.
Compliance en Audit
Deze controle draagt significant bij aan het voldoen aan verschillende internationale en nationale beveiligingsstandaarden en compliancevereisten die essentieel zijn voor Nederlandse overheidsorganisaties. Compliance met deze standaarden is niet alleen een wettelijke verplichting, maar ook een kritieke component van een effectief beveiligingsprogramma. Het implementeren van beheerdersaccount scheiding helpt organisaties om te voldoen aan meerdere compliancevereisten tegelijkertijd en biedt een solide basis voor verdere beveiligingsverbeteringen. Het belang van compliance kan niet worden overschat, vooral voor Nederlandse overheidsorganisaties die werken met gevoelige informatie en die moeten voldoen aan strikte beveiligings- en privacyvereisten. Het niet voldoen aan deze vereisten kan leiden tot aanzienlijke financiële boetes, reputatieschade en mogelijk juridische gevolgen. Daarom is het essentieel dat organisaties een proactieve aanpak hanteren voor compliance en dat zij regelmatig controleren of hun beveiligingsmaatregelen voldoen aan de vereisten van de verschillende standaarden en frameworks. De CIS Azure Foundations Benchmark versie 3.0.0 specificeert in controle 1.1 expliciet dat beheerdersaccounts gescheiden moeten zijn van dagelijkse gebruikersaccounts, waarbij deze controle een directe implementatie vormt van deze vereiste. Deze CIS-controle is geclassificeerd als Level 1, wat betekent dat deze controle relatief eenvoudig te implementeren is en minimale impact heeft op de operationele processen, terwijl het tegelijkertijd een aanzienlijke beveiligingswaarde biedt. De CIS Benchmark is een internationaal erkende standaard die best practices definieert voor cloudbeveiliging en wordt veel gebruikt door organisaties die hun Azure-omgeving willen beveiligen. Het voldoen aan deze controle is essentieel voor organisaties die willen aantonen dat zij de CIS-recommendaties volgen en die hun beveiligingspostuur willen verbeteren. Tijdens CIS-audits wordt specifiek gecontroleerd of beheerdersaccounts zijn gescheiden van dagelijkse gebruikersaccounts en of er adequate controles zijn geïmplementeerd om te verzekeren dat deze scheiding wordt gehandhaafd. Organisaties die niet voldoen aan deze controle kunnen niet claimen dat zij volledig voldoen aan de CIS Azure Foundations Benchmark, wat kan leiden tot problemen tijdens externe audits en beoordelingen. De BIO Baseline Informatiebeveiliging Overheid behandelt in thema 09.02 de noodzaak van effectief gebruikers toegangsbeheer, waarbij specifiek aandacht wordt besteed aan het beheer van geprivilegieerde accounts en de scheiding tussen normale en beheerdersaccounts. De BIO is de Nederlandse standaard voor informatiebeveiliging in de overheidssector en is verplicht voor alle Nederlandse overheidsorganisaties. Het voldoen aan de BIO-vereisten is essentieel voor organisaties die werken met gevoelige overheidsinformatie en die moeten aantonen dat zij adequate beveiligingsmaatregelen hebben geïmplementeerd. Thema 09.02 van de BIO specificeert dat organisaties effectief gebruikers toegangsbeheer moeten implementeren, waarbij specifiek aandacht wordt besteed aan het beheer van geprivilegieerde accounts. Dit thema vereist dat organisaties maatregelen nemen om te verzekeren dat geprivilegieerde accounts niet worden misbruikt en dat er adequate controles zijn geïmplementeerd om het gebruik van deze accounts te monitoren en te controleren. Het implementeren van beheerdersaccount scheiding is een directe invulling van deze BIO-vereiste en helpt organisaties te voldoen aan hun verplichtingen onder de BIO Baseline. De ISO 27001:2022 standaard adresseert in controles A.5.15 en A.9.2.3 respectievelijk toegangscontrole en authenticatiebeleid en het beheer van geprivilegieerde toegangsrechten, waarbij deze implementatie beide controles ondersteunt door een duidelijke scheiding te creëren tussen accounts met verschillende bevoegdheidsniveaus. Controle A.5.15 richt zich op toegangscontrole en vereist dat organisaties toegangsrechten beheren op basis van het principe van minimale bevoegdheden, waarbij gebruikers alleen die rechten krijgen die zij daadwerkelijk nodig hebben voor hun werkzaamheden. Controle A.9.2.3 specificeert dat organisaties geprivilegieerde toegangsrechten moeten beheren en controleren, waarbij specifiek aandacht wordt besteed aan het voorkomen van misbruik van beheerdersrechten. ISO 27001 is een internationaal erkende standaard voor informatiebeveiligingsmanagement en wordt veel gebruikt door organisaties die hun informatiebeveiligingssysteem willen certificeren. Het voldoen aan deze controles is essentieel voor organisaties die ISO 27001-certificering willen behalen of behouden. Tijdens ISO 27001-audits wordt specifiek gecontroleerd of organisaties effectief beheer voeren over geprivilegieerde toegangsrechten en of er adequate controles zijn geïmplementeerd om misbruik te voorkomen. Door beheerdersaccounts te scheiden van dagelijkse gebruikersaccounts, kunnen organisaties aantonen dat zij effectief beheer voeren over geprivilegieerde toegangsrechten en dat zij maatregelen hebben genomen om misbruik te voorkomen. De NIS2-richtlijn specificeert in artikel 21 de vereisten voor geprivilegieerd accountbeheer en scheiding van taken, waarbij deze controle een concrete invulling geeft aan deze vereisten. De NIS2-richtlijn is een Europese richtlijn die beveiligingsvereisten stelt aan essentiële en belangrijke entiteiten in verschillende sectoren, waaronder energie, transport, gezondheidszorg, financiële markten en digitale infrastructuur. Nederlandse organisaties die onder de NIS2-richtlijn vallen moeten aantonen dat zij adequate beveiligingsmaatregelen hebben geïmplementeerd, waaronder effectief beheer van geprivilegieerde accounts. Artikel 21 van de NIS2-richtlijn vereist specifiek dat organisaties maatregelen nemen voor het beheer van geprivilegieerde accounts en voor de scheiding van taken, waarbij wordt verzekerd dat gebruikers met verhoogde bevoegdheden deze alleen gebruiken wanneer dit daadwerkelijk noodzakelijk is. Het niet voldoen aan deze vereisten kan leiden tot aanzienlijke boetes en andere sancties van de toezichthoudende autoriteiten. Daarom is het essentieel dat organisaties die onder de NIS2-richtlijn vallen adequate maatregelen implementeren voor het beheer van geprivilegieerde accounts, waaronder het scheiden van beheerdersaccounts van dagelijkse gebruikersaccounts. De NIST 800-53 standaard benadrukt in controle AC-6 het principe van minimale bevoegdheden, waarbij deze implementatie dit principe ondersteunt door te verzekeren dat beheerdersaccounts alleen worden gebruikt wanneer verhoogde bevoegdheden daadwerkelijk nodig zijn, en niet voor routinematige activiteiten. Het principe van minimale bevoegdheden is een fundamenteel beveiligingsprincipe dat stelt dat gebruikers alleen die rechten en bevoegdheden moeten krijgen die zij minimaal nodig hebben om hun werkzaamheden uit te voeren. NIST 800-53 is een Amerikaanse standaard die veel wordt gebruikt door organisaties die werken met gevoelige informatie en die hun beveiligingscontroles willen structureren volgens een gestandaardiseerd framework. Door beheerdersaccounts te scheiden van dagelijkse gebruikersaccounts en door te verzekeren dat beheerdersaccounts alleen worden gebruikt voor administratieve taken, kunnen organisaties dit principe effectief implementeren en kunnen zij het risico op compromittering van beheerdersaccounts aanzienlijk verminderen. Tijdens audits en beoordelingen kunnen organisaties aantonen dat zij effectief beheer voeren over geprivilegieerde accounts door documentatie te presenteren die aantoont dat beheerdersaccounts zijn gescheiden van dagelijkse gebruikersaccounts, dat beheerdersaccounts niet zijn gelicentieerd voor Exchange of Office, en dat monitoring en controles zijn geïmplementeerd om te verzekeren dat beheerdersaccounts niet worden gebruikt voor dagelijkse activiteiten. Deze documentatie vormt essentieel bewijsmateriaal tijdens compliance audits en helpt organisaties te demonstreren dat zij voldoen aan de diverse beveiligingsstandaarden en compliancevereisten. Auditbewijs moet worden verzameld en bewaard voor alle aspecten van de implementatie, inclusief naamgevingsconventies, licentie-toewijzingen, aanmeldingslogboeken en trainingregistraties. Dit bewijs moet worden bewaard voor de vereiste bewaartermijn, die voor Nederlandse overheidsorganisaties doorgaans minimaal zeven jaar is, en moet toegankelijk zijn voor auditors en beoordelaars. Het bewaren van auditbewijs is essentieel omdat het organisaties in staat stelt om tijdens audits en beoordelingen aan te tonen dat zij hebben voldaan aan de compliancevereisten en dat zij adequate beveiligingsmaatregelen hebben geïmplementeerd. Door deze controle te implementeren, kunnen organisaties niet alleen voldoen aan compliancevereisten, maar kunnen zij ook hun algehele beveiligingspostuur aanzienlijk verbeteren door het risico op compromittering van beheerdersaccounts te verminderen.
Remediatie
Gebruik PowerShell-script admin-accounts-not-daily-use.ps1 (functie Invoke-Remediation) – Automatiseert het herstelproces voor niet-conforme beheerdersaccounts..
Wanneer tijdens monitoring wordt vastgesteld dat beheerdersaccounts niet voldoen aan het beveiligingsbeleid, moet onmiddellijk een gestructureerd herstelproces worden gestart. Dit herstelproces is cruciaal omdat niet-conforme beheerdersaccounts een aanzienlijk beveiligingsrisico vormen en omdat snelle correctie essentieel is om verdere beveiligingsincidenten te voorkomen. Het herstelproces begint met de identificatie van alle niet-conforme accounts, waarbij wordt geanalyseerd welke specifieke overtredingen zijn vastgesteld, zoals het gebruik van beheerdersaccounts voor e-mail, webbrowsen of Office-applicaties. Deze analyse moet worden uitgevoerd door het beveiligingsteam dat beschikt over de benodigde expertise en rechten om accounts te analyseren en te corrigeren. De analyse moet gedetailleerd zijn en moet inzicht geven in de omvang en ernst van de overtreding. Voor elk niet-conform account moet worden bepaald of het account daadwerkelijk een beheerdersaccount is of dat het account onterecht is geclassificeerd als beheerdersaccount. Deze bepaling is belangrijk omdat het de basis vormt voor de juiste remediatie-actie. Indien een account niet daadwerkelijk een beheerdersaccount is, moet de classificatie worden gecorrigeerd. Indien een account beheerdersrechten heeft maar wordt gebruikt voor dagelijkse activiteiten, moet worden geëvalueerd of deze beheerdersrechten daadwerkelijk noodzakelijk zijn. Deze evaluatie moet worden uitgevoerd in samenwerking met de direct leidinggevende van de gebruiker en moet gebaseerd zijn op een analyse van de taken die de gebruiker uitvoert. Indien de beheerdersrechten niet essentieel zijn, moeten deze worden verwijderd en moet het account worden geconverteerd naar een normaal gebruikersaccount. Deze actie elimineert het beveiligingsrisico zonder dat er extra accounts hoeven te worden aangemaakt. Indien de beheerdersrechten wel noodzakelijk zijn, moet een toegewijde beheerdersaccount worden aangemaakt volgens de vastgestelde naamgevingsconventie, waarbij alle beheerdersrechten worden overgedragen naar het nieuwe account en worden verwijderd van het oorspronkelijke account. Deze overdracht moet zorgvuldig worden uitgevoerd om ervoor te zorgen dat geen rechten verloren gaan en dat alle bestaande configuraties correct worden overgedragen. Het nieuwe beheerdersaccount moet worden geconfigureerd zonder Exchange- en Office-licenties, en OneDrive moet worden uitgeschakeld. Deze configuratie moet worden gecontroleerd voordat het account wordt geactiveerd. Voorwaardelijke toegang moet worden geconfigureerd om te verzekeren dat het nieuwe beheerdersaccount alleen kan worden gebruikt vanaf beheerde apparaten. Deze configuratie moet worden getest om ervoor te zorgen dat deze correct werkt en dat gebruikers niet onterecht worden geblokkeerd. De gebruiker moet worden getraind in het correcte gebruik van beide accounts en moet worden geïnformeerd over de risico's van het gebruik van beheerdersaccounts voor dagelijkse activiteiten. Deze training moet praktisch zijn en moet concrete voorbeelden bevatten van de risico's die ontstaan wanneer beheerdersaccounts worden gebruikt voor dagelijkse activiteiten. Na het herstelproces moet extra monitoring worden ingesteld om te verifiëren dat de gebruiker de accounts correct gebruikt en dat er geen verdere overtredingen plaatsvinden. Deze extra monitoring moet worden uitgevoerd gedurende een periode van minimaal drie maanden en moet worden aangepast op basis van de resultaten. Alle herstelacties moeten worden gedocumenteerd voor auditdoeleinden, inclusief de reden voor de herstelactie, de genomen maatregelen en de verificatie van de effectiviteit van de herstelactie. Deze documentatie moet worden opgeslagen in een centraal systeem dat toegankelijk is voor auditors en die voldoet aan de documentatievereisten van de relevante compliance-standaarden.
Compliance & Frameworks
- CIS M365: Control 1.1 (L1) - CIS Azure v3.0.0 - 1.1: zorg ervoor dat beheerdersaccounts niet worden gebruikt voor dagelijkse taken
- BIO: 09.02 - BIO Baseline Informatiebeveiliging Overheid - Thema 9: Gebruikerstoegangsbeheer - Scheiding van geprivilegieerde en normale accounts
- ISO 27001:2022: A.5.15, A.9.2.3 - Toegangscontrole en authenticatiebeleid en beheer van geprivilegieerde toegangsrechten
- NIS2: Artikel - Geprivilegieerd toegangsbeheer en scheiding van taken
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Admin Accounts Not Daily Use
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 1.1
Controleert of admin accounts niet voor dagelijks gebruik worden ingezet.
.NOTES
Filename: admin-accounts-not-daily-use.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 1.1
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Resources
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "Admin Accounts Not Daily Use"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer admin account naamgeving:" -ForegroundColor Gray
Write-Host " - Admin accounts hebben aparte identity" -ForegroundColor Gray
Write-Host " - Naam convention (bijv. admin-*, adm-*)" -ForegroundColor Gray
Write-Host " - Geen dagelijkse activiteiten met admin account" -ForegroundColor Gray
Write-Host " - Separate normale user accounts voor dagelijks werk" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: Admin account separation" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer admin account naamgeving:" -ForegroundColor Gray
Write-Host " - Admin accounts hebben aparte identity" -ForegroundColor Gray
Write-Host " - Naam convention (bijv. admin-*, adm-*)" -ForegroundColor Gray
Write-Host " - Geen dagelijkse activiteiten met admin account" -ForegroundColor Gray
Write-Host " - Separate normale user accounts voor dagelijks werk" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: Admin account separation" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
High: Beheerdersaccounts die worden gebruikt voor e-mail en webbrowsen vormen primaire phishingdoelen voor aanvallers. Een enkele succesvolle phishingaanval resulteert direct in beheerdersbevoegdheden, wat kan leiden tot volledige overname van de omgeving. Laterale beweging door de omgeving is triviaal met een gecompromitteerd beheerdersaccount. Compliancevereisten: CIS 1.1, BIO 9.02, NIS2. Het risico is hoog voor alle omgevingen met beheerdersaccounts.
Management Samenvatting
Beheerdersaccount scheiding: Gescheiden beheerdersaccounts (admin-gebruikersnaam) uitsluitend voor administratieve taken, normale gebruikersaccounts voor e-mail, Office, webbrowsen en dagelijks werk, geen Exchange- of Office-licenties op beheerdersaccounts (voorkomt e-mailphishing), naamgevingsconventie: admin-voornaam.achternaam. Activatie: Maak gescheiden beheerdersaccounts aan, verwijder beheerdersrollen van dagelijkse accounts, gebruikers training. Gratis. Verplicht volgens CIS 1.1, BIO 9.02, NIS2. Implementatie: 4 uur technisch werk plus 8 uur organisatorisch werk (training, beleid).
- Implementatietijd: 12 uur
- FTE required: 0.1 FTE