💼 Management Samenvatting
Legacy authenticatieprotocollen zoals Basic Authentication omzeilen moderne beveiligingsmaatregelen zoals meervoudige authenticatie, voorwaardelijke toegang en Azure AD identiteitsbescherming. Door legacy authenticatie te blokkeren worden organisaties gedwongen moderne authenticatie te gebruiken met superieure beveiliging.
Aanbeveling
IMPLEMENTEER LEGACY AUTHENTICATIE BLOKKERING
Risico zonder
High
Risk Score
8/10
Implementatie
16u (tech: 6u)
Van toepassing op:
✓ Azure
✓ Azure AD
✓ Exchange Online
✓ SharePoint
✓ Teams
✓ Azure AD
✓ Exchange Online
✓ SharePoint
✓ Teams
Legacy protocollen zoals POP3, IMAP, SMTP AUTH, ActiveSync en EWS ondersteunen geen meervoudige authenticatie. Wanneer een gebruiker legacy authenticatie gebruikt, wordt alleen gebruikersnaam en wachtwoord gevraagd, zonder tweede authenticatiefactor. Dit maakt accounts extreem kwetsbaar voor wachtwoordaanvallen zoals credential stuffing, waarbij gestolen inloggegevens automatisch worden geprobeerd op meerdere accounts, en password spraying, waarbij een beperkt aantal veelgebruikte wachtwoorden worden geprobeerd op een groot aantal accounts. Aanvallers richten zich specifiek op legacy authenticatie eindpunten omdat deze meervoudige authenticatie omzeilen. Microsoft data toont aan dat 99 procent van alle wachtwoordspray-aanvallen zich richt op legacy authenticatie eindpunten. Legacy authenticatie is bovendien onzichtbaar voor Conditional Access beleidsregels, waardoor geografische restricties, apparaatcompliance en aanmeldingsrisicodetectie volledig worden omzeild.
PowerShell Modules Vereist
Primary API: Microsoft Graph API
Connection:
Required Modules: Microsoft.Graph.Identity.SignIns
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.Identity.SignIns
Implementatie
Deze controle blokkeert legacy authenticatie via een Conditional Access beleid dat alle verouderde authenticatieprotocollen uitschakelt. De beleidsconfiguratie bestaat uit vier essentiële elementen die samen zorgen voor een complete blokkering. Bij gebruikers selecteert u alle gebruikers met uitzondering van noodtoegangsaccounts, ook wel break-glass accounts genoemd, die worden gebruikt voor noodsituaties wanneer normale toegang niet mogelijk is. Bij cloud-apps selecteert u alle cloud-apps om ervoor te zorgen dat de blokkering van toepassing is op alle Microsoft 365 services. Bij voorwaarden selecteert u bij client-apps alle legacy protocollen zoals Exchange ActiveSync, andere clients, POP3, IMAP en SMTP, waardoor deze specifieke authenticatiemethoden worden uitgesloten. Bij toegangstoewijzing kiest u voor het blokkeren van toegang, wat betekent dat alle authenticatiepogingen met deze protocollen worden geweigerd. Na implementatie moeten gebruikers overstappen naar moderne authenticatie-apps zoals de Outlook desktop client, Outlook mobile of de Mail app met moderne authenticatie ingeschakeld. Voor legacy apparaten die moderne authenticatie niet ondersteunen, dient u de zakelijke noodzaak te evalueren en risico's te mitigeren met alternatieve oplossingen zoals apparaatvervanging of aanvullende beveiligingsmaatregelen.
Vereisten
Voordat u begint met het blokkeren van legacy authenticatieprotocollen, is het essentieel om te beschikken over de juiste licentie en een grondige voorbereiding uit te voeren. Deze controle vereist specifieke technische en organisatorische voorwaarden om succesvol te kunnen worden geïmplementeerd zonder onnodige verstoring van bedrijfsprocessen.
De primaire technische vereiste is een Azure AD Premium P1 licentie voor elke gebruiker die onderhevig is aan het Conditional Access beleid. Deze licentie is noodzakelijk omdat voorwaardelijke toegang een premium functie is die niet beschikbaar is in de gratis versie van Azure AD. Zonder deze licentie kunt u geen Conditional Access beleidsregels maken die legacy authenticatie blokkeren. Voor organisaties met een Microsoft 365 E3 of E5 licentie is Azure AD Premium P1 al inbegrepen, waardoor deze vereiste automatisch wordt vervuld.
Een kritieke voorbereidingsstap is het uitvoeren van een volledige inventarisatie van alle applicaties en apparaten die momenteel legacy authenticatie gebruiken. Deze inventarisatie moet worden uitgevoerd door middel van een grondige analyse van Azure AD sign-in logs. Filter de logs op client-apps die gebruik maken van legacy protocollen zoals Exchange ActiveSync, IMAP, POP3 of SMTP AUTH. Identificeer welke gebruikers, applicaties en apparaten nog steeds afhankelijk zijn van deze verouderde authenticatiemethoden. Documenteer voor elk gebruik de zakelijke rechtvaardiging en de impact die blokkering zou hebben op de dagelijkse werkzaamheden.
Organisatorische voorbereiding is minstens zo belangrijk als de technische voorbereiding. Ontwikkel een uitgebreid communicatieplan dat gebruikers informeert over de deprecation van legacy authenticatie. Dit plan moet duidelijk uitleggen waarom deze wijziging wordt doorgevoerd, welke beveiligingsvoordelen dit oplevert, en wat gebruikers moeten doen om hun apparaten en applicaties bij te werken. Plan communicatiemomenten op verschillende tijdstippen: een eerste aankondiging minimaal vier weken voor implementatie, een herinnering twee weken voor implementatie, en een laatste waarschuwing één week voor implementatie. Zorg ervoor dat het communicatieplan meerdere kanalen gebruikt, zoals e-mail, intranet berichten, en persoonlijke communicatie via managers.
Voor elke legacy authenticatiescenario dat wordt geïdentificeerd tijdens de inventarisatie, moet een moderne authenticatie-alternatief worden geïdentificeerd en gevalideerd. Dit betekent dat u voor applicaties die POP3 of IMAP gebruiken, moet bepalen of gebruikers kunnen overstappen naar moderne e-mailclients zoals Outlook of de Mail app met moderne authenticatie. Voor apparaten die Exchange ActiveSync gebruiken zonder ondersteuning voor moderne authenticatie, moet u evalueren of deze apparaten kunnen worden bijgewerkt of vervangen. In zeldzame gevallen waar geen alternatief beschikbaar is, moet u een uitzonderingsproces opzetten met aanvullende beveiligingsmaatregelen zoals IP-restricties of toegewijde accounts met verhoogde monitoring.
Tot slot is het essentieel om een testgroep samen te stellen voor de pilotfase. Deze groep moet representatief zijn voor de organisatie en verschillende gebruikersprofielen bevatten, zoals eindgebruikers, managers, en IT-personeel. De testgroep moet ook verschillende apparaten en applicaties vertegenwoordigen om een volledig beeld te krijgen van de impact. Plan minimaal twee weken voor de pilotfase waarin het beleid in Report-Only modus wordt geactiveerd, zodat u de impact kunt monitoren zonder gebruikers daadwerkelijk te blokkeren. Deze periode geeft u de mogelijkheid om onverwachte scenario's te identificeren en aan te pakken voordat u het beleid volledig activeert.
Implementatie
Gebruik PowerShell-script block-legacy-auth-azure.ps1 (functie Invoke-Implementation) – Implementeren.
De implementatie van legacy authenticatie blokkering vereist een gefaseerde aanpak om verstoring van bedrijfsprocessen te minimaliseren en gebruikers voldoende tijd te geven voor migratie. De implementatie bestaat uit vijf opeenvolgende fasen die elk specifieke activiteiten en deliverables bevatten.
Fase 1, de Discovery fase, vormt de basis van de gehele implementatie. In deze fase voert u een grondige analyse uit van Azure AD sign-in logs om alle gebruik van legacy authenticatie te identificeren. Filter de logs op het veld 'Client App' en selecteer alle legacy authenticatieprotocollen zoals Exchange ActiveSync, andere clients, POP3, IMAP en SMTP AUTH. Voor elke gebruiker of applicatie die nog steeds legacy authenticatie gebruikt, documenteert u de zakelijke rechtvaardiging. Vraag afdelingen waarom zij legacy authenticatie nodig hebben en wat de impact zou zijn als deze wordt geblokkeerd. Deze informatie is cruciaal voor het bepalen van de migratiestrategie en het identificeren van potentiële uitzonderingen. Maak een overzichtelijke lijst met alle gebruikers, applicaties en apparaten die legacy authenticatie gebruiken, inclusief de frequentie van gebruik en de zakelijke context.
Fase 2, de Migration fase, richt zich op het voorbereiden van de omgeving en gebruikers voor moderne authenticatie. Implementeer moderne authenticatie-capabele clients zoals Outlook 2016 of nieuwer, bijgewerkte mobiele apps, en andere applicaties die OAuth 2.0 ondersteunen. Controleer of moderne authenticatie is ingeschakeld in Exchange Online, SharePoint en Teams. Hoewel dit standaard zou moeten zijn, is het belangrijk om te verifiëren dat alle services correct zijn geconfigureerd. Migreer gebruikers geleidelijk van legacy applicaties naar moderne alternatieven. Dit kan betekenen dat u gebruikers helpt bij het bijwerken van hun e-mailclients, het configureren van nieuwe apparaten, of het installeren van bijgewerkte applicaties. Zorg ervoor dat gebruikers training krijgen over het gebruik van moderne authenticatie en begrijpen hoe zij moeten inloggen met meervoudige authenticatie. Test alle kritieke bedrijfsprocessen om te verifiëren dat zij werken met moderne authenticatie voordat u doorgaat naar de volgende fase.
Fase 3, de Pilot fase, introduceert het Conditional Access beleid in Report-Only modus. Maak een nieuw Conditional Access beleid aan met de naam 'Blokkeer Legacy Auth' en configureer het volgens de specificaties: selecteer alle gebruikers behalve break-glass accounts, alle cloud-apps, en bij client-apps selecteert u alle legacy protocollen. Stel de toegangstoewijzing in op blokkeren, maar laat het beleid in Report-Only modus staan. Deze modus betekent dat het beleid wordt geëvalueerd en gelogd, maar gebruikers worden niet daadwerkelijk geblokkeerd. Monitor de impact gedurende minimaal twee weken door regelmatig de sign-in logs te controleren. Identificeer welke gebruikers of applicaties zouden worden geblokkeerd als het beleid actief zou zijn. Adresseer alle resterende legacy authenticatie gebruik door gebruikers te helpen migreren of door uitzonderingen voor te bereiden. Deze fase geeft u inzicht in de werkelijke impact zonder gebruikers te verstoren.
Fase 4, de Enforcement fase, is het moment waarop het beleid daadwerkelijk wordt geactiveerd. Schakel het Conditional Access beleid over van Report-Only modus naar ingeschakeld. Dit betekent dat alle legacy authenticatiepogingen daadwerkelijk worden geblokkeerd. Monitor de eerste 48 uur intensief door helpdesk tickets te volgen en sign-in logs te analyseren. Wees voorbereid op een verhoogd aantal helpdesk tickets van gebruikers die niet meer kunnen inloggen. Zorg ervoor dat de helpdesk is getraind in het herkennen van legacy authenticatie problemen en weet hoe gebruikers kunnen worden geholpen bij het overstappen naar moderne authenticatie. Onderzoek alle business-critical legacy authenticatie gebruik dat mogelijk is gemist tijdens de eerdere fasen. Voor deze gevallen moet u snel een oplossing vinden, hetzij door gebruikers te helpen migreren, hetzij door tijdelijk een uitzondering te maken terwijl een permanente oplossing wordt ontwikkeld.
Fase 5, de Exception Management fase, behandelt zeldzame gevallen waar legacy authenticatie echt noodzakelijk is voor bedrijfskritieke processen. Voor elke uitzondering moet u de beveiligingsrisico's grondig evalueren. Vraag uzelf af of het risico acceptabel is en welke aanvullende beveiligingsmaatregelen kunnen worden geïmplementeerd om het risico te mitigeren. Mogelijke compenserende maatregelen zijn het gebruik van toegewijde accounts met verhoogde monitoring, IP-restricties die alleen toegang toestaan vanaf specifieke netwerklocaties, of het implementeren van extra authenticatielagen buiten het legacy protocol om. Documenteer elke uitzondering met een duidelijke goedkeuring van de security officer of CISO, inclusief de zakelijke rechtvaardiging, de geïmplementeerde compenserende maatregelen, en een review datum waarop de uitzondering opnieuw wordt geëvalueerd. Streef ernaar om uitzonderingen tijdelijk te maken en regelmatig te herzien om te bepalen of zij nog steeds noodzakelijk zijn.
Compliance en Auditing
Het blokkeren van legacy authenticatieprotocollen is niet alleen een best practice voor beveiliging, maar ook een vereiste voor naleving van verschillende cybersecurity frameworks en standaarden die van toepassing zijn op Nederlandse overheidsorganisaties. Deze controle adresseert specifieke eisen uit meerdere compliance frameworks en helpt organisaties te voldoen aan hun verplichtingen op het gebied van informatiebeveiliging.
De CIS Azure Foundations Benchmark versie 3.0.0 bevat in control 1.5 een expliciete vereiste om legacy authenticatieprotocollen te blokkeren. Deze benchmark wordt wereldwijd erkend als een autoriteit op het gebied van cloud security best practices en wordt vaak gebruikt als basis voor security audits. Door legacy authenticatie te blokkeren, voldoet u aan deze control en demonstreert u dat u de aanbevolen beveiligingsmaatregelen implementeert. Tijdens audits wordt vaak gecontroleerd of Conditional Access beleidsregels zijn geconfigureerd om legacy authenticatie te blokkeren, en het ontbreken van deze controle kan leiden tot bevindingen in auditrapporten.
Voor Nederlandse overheidsorganisaties is de BIO Baseline Informatiebeveiliging Overheid van cruciaal belang. Thema 14.01 binnen de BIO stelt beveiligingseisen voor informatiesystemen en vereist expliciet het gebruik van moderne cryptografische protocollen. Legacy authenticatieprotocollen zoals Basic Authentication gebruiken verouderde cryptografische methoden en voldoen niet aan de moderne beveiligingseisen die de BIO stelt. Door legacy authenticatie te blokkeren en moderne authenticatie te verplichten, voldoet u aan deze BIO-vereiste en zorgt u ervoor dat uw authenticatiemechanismen voldoen aan de hoogste beveiligingsstandaarden die voor overheidsorganisaties gelden.
De ISO 27001:2022 standaard bevat in controle A.8.5 specifieke eisen voor veilige authenticatiemechanismen. Deze controle vereist dat organisaties sterke authenticatiemethoden implementeren die geschikt zijn voor het beveiligingsniveau van de informatie en systemen. Legacy authenticatieprotocollen voldoen niet aan deze eis omdat zij geen ondersteuning bieden voor meervoudige authenticatie en moderne beveiligingsfuncties. Door legacy authenticatie te blokkeren en moderne authenticatie te verplichten, voldoet u aan ISO 27001:2022 controle A.8.5 en demonstreert u dat u passende authenticatiemechanismen heeft geïmplementeerd. Dit is vooral belangrijk voor organisaties die ISO 27001 gecertificeerd zijn of certificering nastreven.
De NIS2 richtlijn, die van toepassing is op essentiële en belangrijke entiteiten in de Europese Unie, bevat in Artikel 21 specifieke vereisten voor cybersecurity maatregelen, waaronder veilige authenticatiemechanismen. Nederlandse organisaties die onder de NIS2 richtlijn vallen, moeten aantonen dat zij passende technische en organisatorische maatregelen hebben geïmplementeerd om hun systemen te beveiligen. Het blokkeren van legacy authenticatie en het verplichten van moderne authenticatie met meervoudige authenticatie is een concrete maatregel die voldoet aan deze NIS2-vereiste. Tijdens NIS2 compliance audits wordt gecontroleerd of organisaties moderne authenticatiemechanismen gebruiken en legacy protocollen hebben uitgeschakeld.
De Microsoft Security Baseline bevat expliciete aanbevelingen om legacy authenticatie te blokkeren als onderdeel van een complete beveiligingsstrategie. Deze baseline vertegenwoordigt Microsoft's aanbevolen configuraties voor optimale beveiliging van Microsoft 365 en Azure omgevingen. Door deze aanbeveling te volgen, zorgt u ervoor dat uw omgeving is geconfigureerd volgens Microsoft's best practices en minimaliseert u het risico op beveiligingsincidenten. Organisaties die Microsoft Security Baseline configuraties implementeren, worden beschouwd als beter beveiligd en kunnen dit gebruiken als bewijs van due diligence tijdens audits en compliance controles.
Voor auditdoeleinden is het essentieel om te documenteren dat het Conditional Access beleid voor het blokkeren van legacy authenticatie is geïmplementeerd en actief is. Bewaar screenshots of exports van het beleid, sign-in logs die aantonen dat legacy authenticatiepogingen worden geblokkeerd, en documentatie van eventuele uitzonderingen met bijbehorende goedkeuringen. Deze documentatie dient als auditbewijs en kan worden gebruikt om aan auditors te demonstreren dat u voldoet aan de verschillende compliance vereisten. Zorg ervoor dat deze documentatie regelmatig wordt bijgewerkt en beschikbaar is voor interne en externe audits.
Monitoring
Gebruik PowerShell-script block-legacy-auth-azure.ps1 (functie Invoke-Monitoring) – Controleren.
Effectieve monitoring van legacy authenticatie blokkering is essentieel om te verifiëren dat het Conditional Access beleid correct functioneert en dat er geen onbevoegde legacy authenticatiepogingen plaatsvinden. Monitoring stelt security teams in staat om trends te identificeren, potentiële beveiligingsincidenten vroegtijdig te detecteren, en compliance te demonstreren tijdens audits. Een goed ingericht monitoringproces combineert geautomatiseerde controles met regelmatige handmatige reviews om een compleet beeld te krijgen van de authenticatieactiviteit binnen de organisatie.
De primaire monitoringmethode voor legacy authenticatie blokkering is het analyseren van Azure AD sign-in logs. Deze logs bevatten gedetailleerde informatie over elke authenticatiepoging, inclusief het gebruikte authenticatieprotocol, de client applicatie, de gebruiker, en het resultaat van de authenticatiepoging. Filter de sign-in logs op client-apps die legacy protocollen gebruiken, zoals Exchange ActiveSync, andere clients, POP3, IMAP en SMTP. Het Conditional Access beleid zou alle legacy authenticatiepogingen moeten blokkeren, wat betekent dat u in de logs alleen geblokkeerde pogingen zou moeten zien. Als u succesvolle legacy authenticatiepogingen ziet, betekent dit dat het beleid niet correct is geconfigureerd of dat er uitzonderingen zijn gemaakt die niet zijn gedocumenteerd.
Stel een geautomatiseerd monitoringproces in dat dagelijks de sign-in logs analyseert en rapporteert over legacy authenticatie activiteit. Het monitoring script moet alle legacy authenticatiepogingen identificeren, categoriseren op basis van het protocol en de gebruiker, en een rapport genereren dat aangeeft of er onverwachte activiteit is gedetecteerd. Configureer alerts die worden geactiveerd wanneer er succesvolle legacy authenticatiepogingen worden gedetecteerd, omdat dit een indicatie kan zijn van een beveiligingsincident of een configuratiefout. Deze alerts moeten direct worden doorgestuurd naar het security operations center of de verantwoordelijke security officer voor verdere analyse.
Naast het monitoren van geblokkeerde authenticatiepogingen, is het belangrijk om trends te analyseren in legacy authenticatie activiteit. Identificeer gebruikers of applicaties die regelmatig proberen legacy authenticatie te gebruiken, zelfs nadat het beleid is geactiveerd. Deze patronen kunnen wijzen op gebruikers die niet zijn gemigreerd naar moderne authenticatie of applicaties die nog steeds zijn geconfigureerd om legacy protocollen te gebruiken. Documenteer deze trends en werk samen met de betreffende afdelingen om gebruikers te helpen migreren of applicaties bij te werken. Regelmatige trendanalyse helpt ook bij het identificeren van nieuwe legacy authenticatie gebruik dat mogelijk is ontstaan na de initiële implementatie.
Voor compliance doeleinden is het essentieel om regelmatig rapporten te genereren die aantonen dat legacy authenticatie daadwerkelijk is geblokkeerd. Deze rapporten moeten informatie bevatten over het aantal geblokkeerde legacy authenticatiepogingen per protocol, de gebruikers die hebben geprobeerd legacy authenticatie te gebruiken, en de periode waarin de monitoring heeft plaatsgevonden. Bewaar deze rapporten minimaal zeven jaar, zoals vereist door verschillende compliance frameworks en Nederlandse wetgeving. De rapporten dienen als auditbewijs en kunnen worden gebruikt om aan auditors te demonstreren dat de organisatie voldoet aan de compliance vereisten voor het blokkeren van legacy authenticatie.
Implementeer ook monitoring voor het Conditional Access beleid zelf om te verifiëren dat het beleid actief is en correct functioneert. Controleer regelmatig of het beleid nog steeds is ingeschakeld en of de configuratie niet is gewijzigd. Configureer alerts die worden geactiveerd wanneer het beleid wordt uitgeschakeld of gewijzigd, omdat dit een indicatie kan zijn van onbevoegde wijzigingen of configuratiefouten. Documenteer alle wijzigingen aan het beleid, inclusief de reden voor de wijziging en de goedkeuring van de security officer. Deze documentatie is belangrijk voor change management en audit doeleinden.
Voor organisaties met een Security Information and Event Management systeem, integreer de Azure AD sign-in logs in het SIEM platform voor gecentraliseerde monitoring en correlatie met andere security events. Dit stelt security teams in staat om legacy authenticatie activiteit te correleren met andere beveiligingsincidenten en een completer beeld te krijgen van de security posture van de organisatie. Configureer dashboards in het SIEM platform die real-time inzicht bieden in legacy authenticatie activiteit en trends over tijd. Deze dashboards kunnen worden gebruikt tijdens security reviews en executive briefings om de effectiviteit van de legacy authenticatie blokkering te demonstreren.
Voer minimaal maandelijks een handmatige review uit van de monitoring rapporten en trends. Deze review moet worden uitgevoerd door een security officer of compliance officer die de autoriteit heeft om actie te ondernemen wanneer er afwijkingen worden gedetecteerd. Tijdens de review, analyseer of er nieuwe patronen zijn ontstaan, of er gebruikers zijn die regelmatig proberen legacy authenticatie te gebruiken, en of het monitoringproces zelf effectief is. Documenteer de bevindingen van elke review en neem corrigerende maatregelen wanneer nodig. Deze regelmatige reviews zorgen ervoor dat het monitoringproces blijft functioneren en dat potentiële problemen vroegtijdig worden geïdentificeerd en aangepakt.
Remediatie
Gebruik PowerShell-script block-legacy-auth-azure.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer monitoring of audits aantonen dat legacy authenticatie nog steeds wordt gebruikt of dat het Conditional Access beleid niet correct functioneert, is het essentieel om snel corrigerende maatregelen te nemen. Remediatie van legacy authenticatie problemen vereist een gestructureerde aanpak die zowel technische als organisatorische aspecten adresseert. Het doel van remediatie is om ervoor te zorgen dat alle legacy authenticatie daadwerkelijk wordt geblokkeerd en dat gebruikers succesvol zijn gemigreerd naar moderne authenticatieoplossingen.
Het eerste stap in het remediatieproces is het identificeren van de oorzaak van het probleem. Analyseer de sign-in logs om te bepalen welke gebruikers, applicaties of apparaten nog steeds legacy authenticatie gebruiken. Categoriseer deze gevallen op basis van de oorzaak: zijn het gebruikers die niet zijn gemigreerd, applicaties die niet zijn bijgewerkt, apparaten die moderne authenticatie niet ondersteunen, of configuratiefouten in het Conditional Access beleid? Deze categorisering helpt bij het bepalen van de juiste remediatiestrategie voor elk geval.
Voor gebruikers die nog steeds legacy authenticatie gebruiken omdat zij niet zijn gemigreerd, ontwikkel een gericht migratieplan. Identificeer welke legacy applicaties of apparaten deze gebruikers gebruiken en werk samen met hen om moderne alternatieven te implementeren. Help gebruikers bij het bijwerken van hun e-mailclients naar Outlook 2016 of nieuwer, het configureren van moderne authenticatie op hun mobiele apparaten, of het installeren van bijgewerkte applicaties die OAuth 2.0 ondersteunen. Zorg ervoor dat gebruikers training krijgen over het gebruik van moderne authenticatie en begrijpen hoe zij moeten inloggen met meervoudige authenticatie. Stel een deadline in voor de migratie en monitor de voortgang regelmatig.
Wanneer applicaties nog steeds legacy authenticatie gebruiken omdat zij niet zijn bijgewerkt, evalueer of deze applicaties kunnen worden bijgewerkt naar versies die moderne authenticatie ondersteunen. Werk samen met applicatie-eigenaren en ontwikkelaars om applicaties bij te werken of te vervangen door moderne alternatieven. Als applicaties niet kunnen worden bijgewerkt, evalueer of zij kunnen worden vervangen door alternatieve oplossingen die moderne authenticatie ondersteunen. In zeldzame gevallen waar geen alternatief beschikbaar is, moet u een uitzonderingsproces opzetten met aanvullende beveiligingsmaatregelen zoals IP-restricties, toegewijde accounts met verhoogde monitoring, of extra authenticatielagen buiten het legacy protocol om.
Als het Conditional Access beleid niet correct functioneert, onderzoek de configuratie om te identificeren wat er mis is. Controleer of het beleid is ingeschakeld, of de juiste gebruikers en cloud-apps zijn geselecteerd, en of de client-app voorwaarden correct zijn geconfigureerd. Verifieer of er geen conflicterende Conditional Access beleidsregels zijn die legacy authenticatie toestaan. Test het beleid door een testaccount te gebruiken en te proberen legacy authenticatie te gebruiken. Documenteer alle configuratiewijzigingen en test deze grondig voordat u ze in productie implementeert.
Voor apparaten die moderne authenticatie niet ondersteunen, evalueer of deze apparaten kunnen worden bijgewerkt of vervangen. Werk samen met de afdeling die verantwoordelijk is voor deze apparaten om een migratieplan te ontwikkelen. Als apparaten niet kunnen worden bijgewerkt of vervangen, moet u de zakelijke noodzaak evalueren en bepalen of het risico acceptabel is. Voor deze gevallen, implementeer aanvullende beveiligingsmaatregelen zoals IP-restricties, toegewijde accounts met verhoogde monitoring, of tijdelijke uitzonderingen terwijl een permanente oplossing wordt ontwikkeld. Documenteer alle uitzonderingen met een duidelijke goedkeuring van de security officer of CISO.
Na het implementeren van remediatiemaatregelen, monitor de effectiviteit door regelmatig de sign-in logs te controleren om te verifiëren dat legacy authenticatie daadwerkelijk is gestopt. Stel een follow-up proces in dat controleert of gebruikers succesvol zijn gemigreerd en of er geen nieuwe legacy authenticatie gebruik is ontstaan. Documenteer alle remediatie-activiteiten, inclusief de genomen maatregelen, de resultaten, en eventuele resterende problemen. Deze documentatie is belangrijk voor change management, compliance doeleinden, en het leren van ervaringen voor toekomstige implementaties.
Voor kritieke gevallen waar legacy authenticatie nog steeds wordt gebruikt ondanks remediatiepogingen, escaleren naar het management en de security officer. Deze gevallen vereisen mogelijk aanvullende resources, budget voor hardware of software upgrades, of organisatorische wijzigingen om de migratie te voltooien. Documenteer de zakelijke rechtvaardiging voor het voortdurende gebruik van legacy authenticatie en de geïmplementeerde compenserende maatregelen. Stel een review datum in waarop deze gevallen opnieuw worden geëvalueerd om te bepalen of zij nog steeds noodzakelijk zijn of dat alternatieve oplossingen zijn ontwikkeld.
Compliance & Frameworks
- CIS M365: Control 1.5 (L1) - Zorg ervoor dat legacy authenticatieprotocollen zijn geblokkeerd
- BIO: 14.01 - BIO Baseline Informatiebeveiliging Overheid - Thema 14: Beveiligingseisen voor informatiesystemen - Gebruik moderne cryptografische protocollen
- ISO 27001:2022: A.8.5 - Veilige authenticatie met moderne protocollen
- NIS2: Artikel - Cybersecurity risicobeheer - veilige authenticatiemechanismen
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Block Legacy Auth Azure
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 1.5
Controleert of legacy authentication is geblokkeerd.
.NOTES
Filename: block-legacy-auth-azure.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 1.5
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "Block Legacy Auth Azure"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer Conditional Access policies:" -ForegroundColor Gray
Write-Host " - Policy blocks legacy authentication" -ForegroundColor Gray
Write-Host " - Client apps: Exchange ActiveSync, Other clients" -ForegroundColor Gray
Write-Host " - Block toegang voor legacy auth protocols" -ForegroundColor Gray
Write-Host " - Scope: All users (excl. break-glass)" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: Legacy auth blocked" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer Conditional Access policies:" -ForegroundColor Gray
Write-Host " - Policy blocks legacy authentication" -ForegroundColor Gray
Write-Host " - Client apps: Exchange ActiveSync, Other clients" -ForegroundColor Gray
Write-Host " - Block toegang voor legacy auth protocols" -ForegroundColor Gray
Write-Host " - Scope: All users (excl. break-glass)" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: Legacy auth blocked" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
High: Legacy authenticatie omzeilt meervoudige authenticatie en voorwaardelijke toegang, wat een enorme kwetsbaarheid creëert. Volgens Microsoft data richt 99 procent van alle wachtwoordaanvallen zich op legacy authenticatie eindpunten. Wachtwoordspray-aanvallen en credential stuffing aanvallen zijn succesvol zonder de bescherming van meervoudige authenticatie. Deze controle is vereist voor compliance met CIS 1.5, BIO 14.01, ISO 27001 A.8.5 en NIS2. Het risico is hoog voor alle tenants omdat legacy authenticatie de nummer één aanvalsvector is.
Management Samenvatting
Blokkeer legacy authenticatie via een Conditional Access beleid: dit blokkeert alle legacy authenticatieprotocollen zoals IMAP, POP3, SMTP en Basic Auth, en dwingt moderne authenticatie af met OAuth 2.0 en ondersteuning voor meervoudige authenticatie. Vereist clientmigratie naar Outlook 2016 of nieuwer en bijgewerkte mobiele apps. Activatie gebeurt via Conditional Access door een beleid aan te maken dat legacy authenticatie blokkeert. Geen extra kosten. Verplicht voor CIS 1.5, BIO 14.01 en NIS2 compliance. Implementatie vereist 6 uur technisch werk en 10 uur organisatorisch werk voor gebruikersmigratie. Resulteert in 99 procent reductie van de aanvalsoppervlakte.
- Implementatietijd: 16 uur
- FTE required: 0.08 FTE