💼 Management Samenvatting
Het beperken van app-registraties in Azure AD tot alleen beheerders voorkomt dat gebruikers ongecontroleerd OAuth-applicaties kunnen aanmaken die als toegangspoort kunnen dienen voor gegevensexfiltratie, privilege escalation en backdoor-toegang tot de tenant. Deze restrictie is essentieel voor het behouden van controle over welke applicaties toegang hebben tot organisatiegegevens.
Aanbeveling
IMPLEMENTEER APP REGISTRATION RESTRICTION
Risico zonder
High
Risk Score
7/10
Implementatie
1.5u (tech: 0.5u)
Van toepassing op:
✓ Azure
Wanneer gebruikers zelf app-registraties kunnen aanmaken in Azure AD, ontstaan aanzienlijke beveiligingsrisico's en governance-problemen. Kwaadwillende insiders kunnen rogue OAuth-applicaties creëren die brede machtigingen hebben tot organisatiegegevens zoals e-mails, bestanden en gebruikersprofielen, waarna deze apps kunnen worden gebruikt voor gegevensexfiltratie buiten normale beveiligingsmonitoring om. Shadow IT neemt toe wanneer ontwikkelteams zonder governance eigen apps registreren voor prototyping of testing, waarbij deze apps vaak excessive machtigingen krijgen en nooit worden opgeruimd na projectafsluiting. Verweesde applicaties ontstaan wanneer werknemers apps aanmaken en vervolgens uit dienst treden zonder de apps te verwijderen, wat resulteert in onbeheerde applicaties met actieve credentials die beveiligingsrisico's vormen. Privilege escalation wordt mogelijk wanneer gebruikers apps aanmaken met hogere machtigingen dan hun eigen account heeft, waarna ze via de app indirect toegang krijgen tot resources die normaal verboden zijn. Door ontwikkelaars aangemaakte service principals met geheimen of certificaten kunnen worden gestolen en misbruikt voor persistente toegang. Het ontbreken van centraal toezicht betekent dat IT Security-teams geen zichtbaarheid hebben in welke apps zijn geregistreerd, welke machtigingen ze hebben, of wie verantwoordelijk is voor onderhoud en beveiliging. Dit resulteert in app sprawl met honderden ongedocumenteerde applicaties waarvan niemand weet wat ze doen of of ze nog worden gebruikt. Het beperken van app-registraties tot beheerders lost deze problemen op door centrale governance af te dwingen waarbij elke app-registratie moet worden beoordeeld en goedgekeurd door IT, beveiligingsbeoordeling kan plaatsvinden voordat apps worden geregistreerd, app lifecycle management wordt afgedwongen met gedocumenteerde eigenaren en vervaldatums, excessive machtigingen kunnen worden voorkomen door beveiligingsbeoordeling, en een centraal applicatie-inventaris kan worden onderhouden van alle geregistreerde apps. Deze governance is essentieel voor compliance met ISO 27001 controle A.14.2.5 voor secure system engineering principles en CIS Azure Foundations Benchmark controle 1.1.14.
PowerShell Modules Vereist
Primary API: Microsoft Graph
Connection:
Required Modules: Microsoft.Graph
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph
Implementatie
Deze maatregel configureert de Azure AD tenant-instelling 'Users can register applications' op 'No', waardoor alleen gebruikers met specifieke beheerdersrollen (zoals Application Administrator of Cloud Application Administrator) nieuwe app-registraties kunnen aanmaken. De configuratie gebeurt via Azure Portal onder Entra ID → Users → User settings waar de optie 'Users can register applications' moet worden ingesteld op 'No'. Na deze wijziging ontvangen gewone gebruikers die proberen een app te registreren een foutmelding dat zij onvoldoende machtigingen hebben, en moeten zij een formeel verzoek indienen bij IT voor app-registratie via een gedefinieerd workflow. Voor operationele efficiëntie moet een app-registratieaanvraagproces worden geïmplementeerd waarbij ontwikkelaars kunnen aanvragen om apps te laten registreren door IT, met vereiste informatie zoals app-naam, doel, vereiste machtigingen, gegevenstoegangsbehoeften en bedrijfsrechtvaardiging. IT Security kan dan een beveiligingsbeoordeling uitvoeren om te evalueren of de machtigingen passend zijn, of er een bestaande app dezelfde functionaliteit biedt, of de app voldoet aan organisatorische beveiligingsstandaarden, en of het app lifecycle management is gedefinieerd met eigenaar en onderhoudsplan. Goedgekeurde apps worden geregistreerd door beheerders waarbij least privilege machtigingen worden toegekend, credentials veilig worden opgeslagen in Azure Key Vault, en de app wordt toegevoegd aan het centrale applicatie-inventaris. Voor ontwikkeling en testing kunnen aparte non-productie Azure AD-tenants worden gebruikt waar ontwikkelaars wel app-registratierechten hebben zonder de productie-tenant te beïnvloeden. De implementatie kost 1 uur voor tenantconfiguratie plus 3 uur voor app-registratie workflow documentatie en goedkeuringsproces opzet. Doorlopende overhead is circa 0,05 FTE voor het beoordelen van app-registratieaanvragen. Deze maatregel is must-have voor alle enterprise Azure AD-tenants en voldoet aan CIS Azure Foundations controle 1.1.14 Level 1.
Vereisten
Voor het implementeren van app-registratiebeperkingen in Azure AD zijn specifieke vereisten nodig om een succesvolle en veilige implementatie te garanderen. De primaire vereiste is toegang tot een Azure AD-tenant met beheerdersrechten. Dit betekent dat de persoon die de configuratie uitvoert, moet beschikken over een rol met voldoende privileges, zoals Global Administrator, Application Administrator of Cloud Application Administrator. Deze rollen zijn essentieel omdat alleen beheerders met deze rechten de tenant-instellingen kunnen wijzigen die bepalen wie applicaties mag registreren. Naast de technische vereisten is het belangrijk om organisatorische voorbereidingen te treffen voordat deze maatregel wordt geïmplementeerd. Organisaties moeten een duidelijk proces hebben voor het aanvragen en goedkeuren van nieuwe app-registraties. Dit proces moet gedocumenteerd zijn en bekend zijn bij alle ontwikkelaars en IT-medewerkers die mogelijk nieuwe applicaties nodig hebben. Het is raadzaam om een aanvraagformulier of ticket-systeem op te zetten waarin ontwikkelaars kunnen aangeven welke applicatie zij willen registreren, wat het doel is, welke machtigingen nodig zijn en welke bedrijfsrechtvaardiging er is voor de registratie. Een andere belangrijke vereiste is de beschikbaarheid van een Azure Key Vault of een ander veilig systeem voor het opslaan van applicatiegeheimen en certificaten. Wanneer alleen beheerders apps kunnen registreren, moeten deze beheerders ook verantwoordelijk zijn voor het veilig beheren van de credentials die bij deze apps horen. Azure Key Vault biedt een gecentraliseerde en veilige manier om geheimen op te slaan, te roteren en te monitoren. Voor ontwikkelings- en testomgevingen is het aan te raden om een aparte Azure AD-tenant te hebben waar ontwikkelaars wel de mogelijkheid hebben om apps te registreren zonder de productie-tenant te beïnvloeden. Dit vereist dat organisaties beschikken over een non-productie tenant of bereid zijn om deze aan te maken. Deze scheiding tussen productie en ontwikkeling is een best practice die helpt om de beveiliging van de productieomgeving te waarborgen terwijl ontwikkelaars nog steeds de flexibiliteit hebben om te experimenteren en te testen. Tot slot is het belangrijk dat de IT Security-afdeling beschikt over de kennis en tools om security reviews uit te voeren op app-registratieaanvragen. Dit betekent dat security professionals moeten begrijpen welke machtigingen risicovol zijn, hoe ze kunnen beoordelen of een app voldoet aan organisatorische beveiligingsstandaarden, en hoe ze kunnen controleren of er al een bestaande applicatie is die dezelfde functionaliteit biedt. Deze expertise is cruciaal voor het effectief beheren van app-registraties en het voorkomen van onnodige of risicovolle registraties.
Monitoring
Gebruik PowerShell-script app-registrations-restricted.ps1 (functie Invoke-Monitoring) – Controleren.
Het monitoren van app-registratiebeperkingen is een kritieke activiteit die ervoor zorgt dat de beveiligingsmaatregel effectief blijft en dat er geen ongeautoriseerde registraties plaatsvinden. Regelmatige monitoring helpt organisaties om te verifiëren dat de configuratie correct is ingesteld en dat gebruikers daadwerkelijk geen applicaties kunnen registreren zonder beheerdersrechten. Dit monitoren moet zowel proactief als reactief gebeuren om een volledig beeld te krijgen van de beveiligingsstatus. De primaire monitoringactiviteit is het controleren of de tenant-instelling 'Users can register applications' daadwerkelijk is ingesteld op 'No'. Dit kan worden geverifieerd via de Azure Portal door te navigeren naar Entra ID, vervolgens naar Users, en dan naar User settings. De status van deze instelling moet regelmatig worden gecontroleerd, bijvoorbeeld maandelijks, om er zeker van te zijn dat deze niet per ongeluk is gewijzigd of door een beheerder is aangepast zonder de juiste autorisatie. Naast het controleren van de configuratie-instelling zelf, is het belangrijk om te monitoren of er pogingen worden gedaan door gebruikers om applicaties te registreren. Azure AD Audit Logs bevatten informatie over alle activiteiten in de tenant, inclusief mislukte pogingen om apps te registreren. Door deze logs regelmatig te analyseren, kunnen security teams identificeren of gebruikers proberen om apps te registreren en of er mogelijk een behoefte is aan een betere communicatie over het aanvraagproces of aan een bestaande app die dezelfde functionaliteit biedt. Een andere belangrijke monitoringactiviteit is het bijhouden van alle geregistreerde applicaties in de tenant. Organisaties moeten een centraal register of inventaris bijhouden van alle app-registraties, inclusief informatie over wie de eigenaar is, wanneer de app is geregistreerd, welke machtigingen de app heeft, en of de app nog actief wordt gebruikt. Deze inventaris moet regelmatig worden gecontroleerd om orphaned applications te identificeren - apps die niet meer worden gebruikt maar nog steeds actieve credentials hebben en toegang tot organisatiegegevens. Het monitoren van app-registraties moet ook aandacht besteden aan de machtigingen die aan geregistreerde apps zijn verleend. Security teams moeten regelmatig controleren of apps excessive permissions hebben, of er apps zijn met tenant-level permissions die mogelijk niet nodig zijn, en of de toegekende machtigingen nog steeds overeenkomen met het oorspronkelijke doel van de app. Dit helpt om het principe van least privilege te handhaven en om te voorkomen dat apps meer toegang hebben dan strikt noodzakelijk. Voor geavanceerde monitoring kunnen organisaties gebruik maken van Azure Sentinel of andere Security Information and Event Management (SIEM) systemen om automatische waarschuwingen in te stellen voor verdachte activiteiten. Bijvoorbeeld, een waarschuwing kan worden geconfigureerd wanneer een nieuwe app wordt geregistreerd met zeer brede machtigingen, of wanneer een app die al lange tijd inactief is plotseling begint met het maken van API-aanroepen. Deze geautomatiseerde monitoring helpt om snel te reageren op potentiële beveiligingsincidenten. Tot slot moet de monitoring ook aandacht besteden aan compliance en auditing. Organisaties die moeten voldoen aan normen zoals ISO 27001 of de CIS Azure Foundations Benchmark moeten kunnen aantonen dat app-registraties correct worden beheerd en gemonitord. Dit betekent dat alle monitoringactiviteiten moeten worden gedocumenteerd en dat er regelmatig rapporten moeten worden gegenereerd die aantonen dat de beveiligingsmaatregel effectief is en dat er geen ongeautoriseerde registraties hebben plaatsgevonden.
Implementatie
Gebruik PowerShell-script app-registrations-restricted.ps1 (functie Invoke-Implementation) – Implementeren.
De implementatie van app-registratiebeperkingen in Azure AD is een relatief eenvoudig proces dat echter zorgvuldige planning en communicatie vereist om te voorkomen dat legitieme ontwikkelaars worden gehinderd in hun werk. De technische implementatie zelf kan worden uitgevoerd via de Azure Portal of via PowerShell, maar de organisatorische voorbereidingen zijn minstens zo belangrijk als de technische configuratie. De eerste stap in de implementatie is het communiceren van de wijziging naar alle betrokken partijen. Ontwikkelaars, IT-medewerkers en andere gebruikers die mogelijk apps willen registreren, moeten worden geïnformeerd over de nieuwe restrictie en over het proces dat zij moeten volgen om een app-registratie aan te vragen. Deze communicatie moet duidelijk uitleggen waarom de restrictie wordt geïmplementeerd, wat de voordelen zijn voor de beveiliging van de organisatie, en hoe het nieuwe aanvraagproces werkt. Het is aan te raden om deze communicatie minstens twee weken voor de implementatie te versturen om gebruikers de tijd te geven om zich voor te bereiden en eventuele vragen te stellen. De technische implementatie begint met het aanmelden bij de Azure Portal met een account dat beschikt over beheerdersrechten, zoals Global Administrator of Application Administrator. Navigeer naar Entra ID, selecteer vervolgens Users, en klik op User settings. In deze sectie bevindt zich de optie 'Users can register applications' die standaard vaak is ingesteld op 'Yes'. Deze instelling moet worden gewijzigd naar 'No' om de restrictie te activeren. Na het wijzigen van deze instelling moet de wijziging worden opgeslagen door op de knop 'Save' te klikken. Na het opslaan van de wijziging is de restrictie direct actief. Dit betekent dat gewone gebruikers die proberen een app te registreren via de Azure Portal of via andere methoden, een foutmelding zullen ontvangen die aangeeft dat zij onvoldoende rechten hebben om deze actie uit te voeren. Het is belangrijk om te testen of de restrictie correct werkt door te proberen in te loggen met een gewone gebruikersaccount en te verifiëren dat app-registratie inderdaad niet mogelijk is. Parallel aan de technische implementatie moet een app-registratieaanvraagproces worden opgezet. Dit proces moet een duidelijk gedefinieerd pad bieden voor ontwikkelaars om aanvragen in te dienen. Dit kan gebeuren via een ticket-systeem, een speciaal aanvraagformulier, of een andere geformaliseerde methode. Het aanvraagformulier moet informatie verzamelen over de naam van de applicatie, het doel en de bedrijfsrechtvaardiging, welke machtigingen nodig zijn, welke gegevens de app moet kunnen benaderen, en wie verantwoordelijk zal zijn voor het onderhoud van de app. Het goedkeuringsproces moet een security review omvatten waarbij IT Security professionals evalueren of de gevraagde machtigingen passend zijn voor het doel van de app, of er al een bestaande app is die dezelfde functionaliteit biedt, of de app voldoet aan organisatorische beveiligingsstandaarden, en of er een duidelijk plan is voor het beheer van de app lifecycle inclusief een eigenaar en een onderhoudsplan. Deze review moet worden uitgevoerd voordat de app wordt geregistreerd om te voorkomen dat onveilige of onnodige apps worden toegevoegd aan de tenant. Wanneer een app-registratieaanvraag is goedgekeurd, moet een beheerder de app registreren met het principe van least privilege in gedachten. Dit betekent dat alleen de minimale machtigingen die nodig zijn voor de functionaliteit van de app moeten worden toegekend. De credentials die bij de app horen, zoals client secrets of certificaten, moeten veilig worden opgeslagen in Azure Key Vault of een vergelijkbaar systeem, en de app moet worden toegevoegd aan het centrale applicatie-inventaris met alle relevante informatie over eigenaar, machtigingen en onderhoud. Voor ontwikkelings- en testomgevingen is het aan te raden om een aparte Azure AD-tenant te gebruiken waar ontwikkelaars wel de mogelijkheid hebben om apps te registreren. Deze scheiding tussen productie en ontwikkeling zorgt ervoor dat de beveiliging van de productie-tenant wordt gewaarborgd terwijl ontwikkelaars nog steeds de flexibiliteit hebben om te experimenteren. Als een app in de ontwikkelomgeving succesvol is en naar productie moet worden gebracht, kan deze via het formele aanvraagproces worden geregistreerd in de productie-tenant. De totale implementatietijd voor deze maatregel is ongeveer één uur voor de technische configuratie van de tenant-instelling, plus ongeveer drie uur voor het opzetten van het app-registratieaanvraagproces, het documenteren van de workflows, en het trainen van de betrokken medewerkers. De doorlopende overhead bedraagt ongeveer 0,05 FTE voor het beoordelen van app-registratieaanvragen, afhankelijk van het aantal aanvragen dat de organisatie ontvangt.
Compliance en Auditing
Het beperken van app-registraties tot alleen beheerders is een essentiële beveiligingsmaatregel die helpt om te voldoen aan verschillende compliance-vereisten en beveiligingsstandaarden die relevant zijn voor Nederlandse overheidsorganisaties en andere organisaties die werken met gevoelige gegevens. Deze maatregel draagt bij aan het waarborgen van een gecontroleerde en veilige omgeving waarin applicaties die toegang hebben tot organisatiegegevens op een gestructureerde en beveiligde manier worden beheerd. Een van de belangrijkste compliance-vereisten waaraan deze maatregel voldoet, is de CIS Azure Foundations Benchmark controle 1.12, die specifiek richtlijnen geeft over app-registratiebeperkingen. Deze controle is geclassificeerd als Level 1, wat betekent dat het een fundamentele beveiligingsmaatregel is die door alle organisaties zou moeten worden geïmplementeerd. De CIS Benchmark is een internationaal erkende set van beveiligingsrichtlijnen die zijn ontwikkeld door het Center for Internet Security en die worden gebruikt door organisaties over de hele wereld om hun cloud-omgevingen te beveiligen. Door te voldoen aan controle 1.12, demonstreren organisaties dat zij een basisniveau van beveiligingscontrole hebben geïmplementeerd voor het beheer van applicatieregistraties. Voor Nederlandse overheidsorganisaties is de BIO (Baseline Informatiebeveiliging Overheid) norm 09.01 van bijzonder belang. Deze norm richt zich op toegangscontrole en authenticatie en vereist dat organisaties passende maatregelen treffen om te voorkomen dat onbevoegde personen toegang krijgen tot systemen en gegevens. Het beperken van app-registraties tot alleen beheerders draagt direct bij aan deze norm door ervoor te zorgen dat alleen geautoriseerde personen nieuwe applicaties kunnen registreren die toegang hebben tot organisatiegegevens. Dit helpt om te voorkomen dat kwaadwillende of onbevoegde applicaties worden geregistreerd die mogelijk kunnen worden gebruikt voor ongeautoriseerde toegang tot gevoelige informatie. Naast de CIS en BIO normen, draagt deze maatregel ook bij aan compliance met ISO 27001, de internationale standaard voor informatiebeveiligingsmanagement. Specifiek voldoet het aan controle A.14.2.5, die richtlijnen geeft over secure system engineering principles. Deze controle vereist dat organisaties ervoor zorgen dat beveiligingsmaatregelen worden geïmplementeerd tijdens de ontwikkeling en implementatie van systemen, inclusief het beheer van applicaties die toegang hebben tot organisatiegegevens. Door app-registraties te beperken en een gestructureerd proces te hebben voor het beoordelen en goedkeuren van nieuwe applicaties, demonstreren organisaties dat zij deze principes volgen. Voor auditing doeleinden is het belangrijk dat organisaties kunnen aantonen dat de app-registratiebeperking correct is geïmplementeerd en dat er een proces is voor het beheren van app-registraties. Dit betekent dat er documentatie moet zijn die aantoont dat de tenant-instelling 'Users can register applications' is ingesteld op 'No', dat er een gedefinieerd proces is voor het aanvragen en goedkeuren van app-registraties, en dat er een centraal register is van alle geregistreerde applicaties met informatie over eigenaren, machtigingen en onderhoud. Screenshots van de Azure Portal configuratie kunnen worden gebruikt als auditbewijs, en deze moeten worden bewaard voor de vereiste bewaarperiode, die voor veel organisaties zeven jaar is. Regelmatige audits moeten worden uitgevoerd om te verifiëren dat de restrictie nog steeds actief is en dat er geen ongeautoriseerde app-registraties hebben plaatsgevonden. Deze audits moeten worden gedocumenteerd en moeten aantonen dat de organisatie proactief controleert op compliance met de beveiligingsmaatregel. Auditlogs uit Azure AD kunnen worden gebruikt om te verifiëren dat alleen beheerders apps hebben geregistreerd en dat er geen mislukte pogingen zijn geweest door gewone gebruikers om apps te registreren die mogelijk wijzen op beveiligingsproblemen of onvoldoende communicatie over het aanvraagproces. Voor organisaties die moeten voldoen aan de Algemene Verordening Gegevensbescherming (AVG), draagt deze maatregel ook bij aan het waarborgen van de beveiliging van persoonsgegevens. Door te controleren welke applicaties toegang hebben tot organisatiegegevens en door ervoor te zorgen dat alleen goedgekeurde en beveiligde applicaties worden geregistreerd, helpen organisaties om te voldoen aan de vereisten voor gegevensbescherming door ontwerp en door standaardinstellingen, zoals beschreven in artikel 25 van de AVG.
Remediatie
Gebruik PowerShell-script app-registrations-restricted.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer tijdens monitoring of auditing wordt vastgesteld dat de app-registratiebeperking niet correct is geconfigureerd of dat gebruikers nog steeds in staat zijn om applicaties te registreren, moet onmiddellijk actie worden ondernomen om de beveiligingsmaatregel te herstellen. Remediatie is het proces waarbij de correcte configuratie wordt hersteld en waarbij wordt gecontroleerd of er ongeautoriseerde app-registraties hebben plaatsgevonden die moeten worden verwijderd of beoordeeld. De eerste stap in het remediatieproces is het identificeren van het probleem. Dit kan gebeuren tijdens een routinecontrole waarbij wordt vastgesteld dat de tenant-instelling 'Users can register applications' is ingesteld op 'Yes' in plaats van 'No', of het kan worden gedetecteerd door monitoringtools die waarschuwen wanneer een gebruiker zonder beheerdersrechten een app heeft geregistreerd. Zodra het probleem is geïdentificeerd, moet de oorsprong worden onderzocht om te begrijpen hoe de configuratie is gewijzigd en of dit per ongeluk is gebeurd of dat er mogelijk een beveiligingsincident is. Na het identificeren van het probleem moet de configuratie onmiddellijk worden hersteld. Een beheerder met de juiste rechten moet inloggen bij de Azure Portal, navigeren naar Entra ID, vervolgens naar Users, en dan naar User settings. De instelling 'Users can register applications' moet worden gewijzigd naar 'No' en de wijziging moet worden opgeslagen. Het is belangrijk om te verifiëren dat de wijziging correct is opgeslagen door de pagina te vernieuwen en te controleren dat de instelling nog steeds op 'No' staat. Na het herstellen van de configuratie moet een grondige audit worden uitgevoerd om te identificeren of er tijdens de periode dat de restrictie niet actief was, ongeautoriseerde app-registraties hebben plaatsgevonden. Dit kan worden gedaan door de Azure AD Audit Logs te analyseren om alle app-registraties te identificeren die zijn gemaakt door gebruikers zonder beheerdersrechten. Elke geïdentificeerde app moet worden beoordeeld om te bepalen of deze legitiem is of dat deze mogelijk een beveiligingsrisico vormt. Voor elke ongeautoriseerde app-registratie die wordt geïdentificeerd, moet een beoordeling worden uitgevoerd om te bepalen wat de juiste actie is. Als de app legitiem is en voldoet aan de organisatorische beveiligingsstandaarden, kan deze worden behouden maar moet deze worden overgedragen aan een beheerder en worden toegevoegd aan het centrale applicatie-inventaris. Als de app echter verdacht is, excessive permissions heeft, of niet voldoet aan de beveiligingsstandaarden, moet deze onmiddellijk worden verwijderd of uitgeschakeld om te voorkomen dat deze wordt gebruikt voor ongeautoriseerde toegang tot organisatiegegevens. Wanneer een ongeautoriseerde app wordt verwijderd, is het belangrijk om ook alle bijbehorende credentials te verwijderen of te roteren. Dit omvat client secrets, certificaten, en eventuele andere authenticatiemiddelen die bij de app horen. Als de app toegang heeft gehad tot organisatiegegevens, moet ook worden onderzocht of er mogelijk gegevens zijn geëxporteerd of misbruikt, en moeten passende maatregelen worden genomen om eventuele schade te beperken. Na het voltooien van de remediatie moet een rapport worden opgesteld dat documenteert wat het probleem was, hoe het is opgelost, welke ongeautoriseerde app-registraties zijn geïdentificeerd en verwijderd, en welke maatregelen zijn genomen om te voorkomen dat het probleem opnieuw optreedt. Dit rapport moet worden gedeeld met de relevante stakeholders, inclusief IT Security, compliance officers, en management, en moet worden bewaard voor audit doeleinden. Om te voorkomen dat het probleem opnieuw optreedt, moeten preventieve maatregelen worden geïmplementeerd. Dit kan onder meer het instellen van automatische monitoring en waarschuwingen omvatten die onmiddellijk een melding geven wanneer de configuratie wordt gewijzigd, het implementeren van change management processen die vereisen dat wijzigingen aan kritieke beveiligingsinstellingen worden goedgekeurd door meerdere personen, en het regelmatig trainen van beheerders over het belang van deze beveiligingsmaatregel en de gevolgen van het per ongeluk wijzigen van de configuratie.
Compliance & Frameworks
- CIS M365: Control 1.12 (L1) - App registration restrictions
- BIO: 09.01 - Toegangscontrole en authenticatie
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
App Registrations Restricted
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 1.3
Controleert of app registrations zijn beperkt.
.NOTES
Filename: app-registrations-restricted.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 1.3
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "App Registrations Restricted"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer in Entra ID portal:" -ForegroundColor Gray
Write-Host " - Azure AD > User settings" -ForegroundColor Gray
Write-Host " - Users can register applications = No" -ForegroundColor Gray
Write-Host " - Alleen admins kunnen apps registreren" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: App registrations restricted" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer in Entra ID portal:" -ForegroundColor Gray
Write-Host " - Azure AD > User settings" -ForegroundColor Gray
Write-Host " - Users can register applications = No" -ForegroundColor Gray
Write-Host " - Alleen admins kunnen apps registreren" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: App registrations restricted" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
High: Users kunnen malicious OAuth apps registreren zonder oversight - backdoor creation. Rogue apps met tenant-level permissions. Compliance: CIS 1.12, BIO. Het risico is hoog voor alle tenants.
Management Samenvatting
App Registration Restriction: Disable user app registrations, Only admins kunnen apps registreren (controlled process). Activatie: Azure AD → User settings → App registrations → Users can register applications: NO. Gratis. Verplicht CIS 1.12, BIO. Implementatie: 30 minuten. Prevents rogue app creation.
- Implementatietijd: 1.5 uur
- FTE required: 0.01 FTE