💼 Management Samenvatting
Meervoudige authenticatie (MFA) voor alle Azure-gebruikers vormt de meest effectieve beveiligingsmaatregel tegen accountcompromittering, met een bewezen preventiepercentage van 99,9% tegen accountovernames volgens Microsoft-beveiligingsinformatie.
Aanbeveling
IMPLEMENTEER - ZIE mfa-all-azure-users.json
Risico zonder
Critical
Risk Score
10/10
Implementatie
1u (tech: 0.5u)
Van toepassing op:
✓ Azure
✓ Azure AD
✓ Entra ID
✓ Azure AD
✓ Entra ID
Authenticatie uitsluitend op basis van wachtwoorden is extreem kwetsbaar voor verschillende aanvalstechnieken. Phishingaanvallen stelen inloggegevens binnen seconden door gebruikers te misleiden tot het invoeren van hun wachtwoorden op valse websites. Wachtwoordsprayaanvallen proberen veelvoorkomende wachtwoorden systematisch uit tegen alle accounts in een organisatie. Credential stuffing gebruikt gelekte wachtwoorden van andere datalekken om toegang te verkrijgen tot accounts waar gebruikers dezelfde inloggegevens hergebruiken. Keyloggers registreren wachtwoorden tijdens het typen, terwijl social engineering gebruikers manipuleert om hun wachtwoorden vrijwillig prijs te geven. Meervoudige authenticatie voegt een tweede authenticatiefactor toe die een aanvaller niet bezit: iets wat u heeft, zoals een smartphone met authenticatorapp, een FIDO2-beveiligingssleutel of een hardwaretoken; iets wat u bent, zoals biometrische gegevens in de vorm van vingerafdrukken of gezichtsherkenning; of tijdgebaseerde eenmalige wachtwoorden (TOTP-codes). Zelfs wanneer een aanvaller het wachtwoord steelt, kan deze zonder de tweede factor niet inloggen. Microsoft-beveiligingstelemetrie toont aan dat accounts met MFA 99,9% minder waarschijnlijk worden gecompromitteerd. Voor Azure-toegang is MFA essentieel omdat compromittering van een Azure-beheerdersaccount kan leiden tot volledige overname van de cloudomgeving.
PowerShell Modules Vereist
Primary API: Microsoft Graph API
Connection:
Required Modules: Microsoft.Graph.Identity.SignIns
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.Identity.SignIns
Implementatie
Deze controle verifieert dat MFA is ingeschakeld voor alle Azure AD-gebruikers via beleidsregels voor voorwaardelijke toegang. De aanbevolen implementatie verloopt via een beleid voor voorwaardelijke toegang dat vereist dat alle gebruikers, met uitzondering van break-glass-accounts, meervoudige authenticatie moeten gebruiken voor alle cloud-apps, inclusief de Azure-portal. Het script controleert of er actieve beleidsregels voor voorwaardelijke toegang zijn die MFA afdwingen voor alle gebruikers en rapporteert de nalevingsstatus. Dit is een duplicaatverificatie naast de primaire MFA-controle om consistentie te waarborgen.
Vereisten
Voor de implementatie van meervoudige authenticatie is een grondige voorbereiding noodzakelijk om een soepele uitrol en acceptatie door gebruikers te waarborgen. De basisvereiste voor het implementeren van MFA via voorwaardelijke toegang is een Azure AD Premium P1-licentie. Deze licentie biedt toegang tot de geavanceerde functionaliteiten van voorwaardelijke toegang, die essentieel zijn voor het afdwingen van meervoudige authenticatie op organisatieniveau. Zonder deze licentie kunnen organisaties alleen per-gebruiker MFA inschakelen, wat niet schaalbaar is voor grote organisaties en niet voldoet aan moderne beveiligingsstandaarden. Een kritieke voorbereidingsstap is het configureren van break-glass-accounts en het uitsluiten van deze accounts van het MFA-beleid. Break-glass-accounts zijn noodtoegangsaccounts die worden gebruikt in noodsituaties wanneer de reguliere toegangsbeheerprocessen niet functioneren. Deze accounts moeten altijd toegankelijk blijven, zelfs wanneer andere authenticatiemethoden falen. Het uitsluiten van deze accounts van MFA-beleid is een bewuste beveiligingsafweging die noodzakelijk is om continuïteit te waarborgen tijdens kritieke incidenten. Organisaties moeten echter aanvullende controles implementeren voor deze accounts, zoals strikte monitoring, beperkte toegang tot specifieke systemen en regelmatige rotatie van wachtwoorden. Een succesvolle MFA-implementatie vereist een uitgebreide registratiecampagne voor alle gebruikers. Deze campagne moet gebruikers begeleiden bij het registreren van hun authenticatiemethoden, zoals de Microsoft Authenticator-app, SMS-verificatie of hardwaretokens. De campagne moet gebruiksvriendelijk zijn en duidelijke instructies bevatten over het registratieproces. Organisaties moeten verschillende communicatiekanalen gebruiken, zoals e-mail, intranet, teamvergaderingen en persoonlijke begeleiding voor gebruikers die extra ondersteuning nodig hebben. De Microsoft Authenticator-app wordt aanbevolen als de voorkeursmethode voor meervoudige authenticatie. Deze app biedt verschillende voordelen ten opzichte van alternatieve methoden: pushmeldingen voor snelle goedkeuring, offline TOTP-codes voor situaties zonder internetverbinding, en biometrische verificatie voor extra beveiliging. De app is beschikbaar voor zowel iOS als Android en integreert naadloos met Azure AD. Organisaties moeten gebruikers actief aanmoedigen om deze methode te gebruiken en duidelijke instructies verstrekken over het downloaden, installeren en configureren van de app. Helpdeskmedewerkers spelen een cruciale rol bij de ondersteuning van gebruikers tijdens en na de MFA-implementatie. Zij moeten grondig worden getraind in het oplossen van veelvoorkomende problemen, zoals verloren of gestolen apparaten, problemen met pushmeldingen, en gebruikers die hun authenticatiemethode niet kunnen gebruiken. Training moet ook betrekking hebben op het resetten van MFA-registraties, het verifiëren van gebruikersidentiteiten voordat hulp wordt verleend, en het begrijpen van de verschillende authenticatiemethoden die beschikbaar zijn. Een goed getrainde helpdesk vermindert frustratie bij gebruikers en versnelt de acceptatie van MFA binnen de organisatie. Gebruikersbewustwordingstraining is essentieel voor het succes van een MFA-implementatie. Gebruikers moeten begrijpen waarom MFA belangrijk is, hoe het hen beschermt tegen cyberaanvallen, en hoe ze het effectief kunnen gebruiken. Training moet praktische voorbeelden bevatten van phishingaanvallen en uitleggen hoe MFA deze aanvallen voorkomt. Gebruikers moeten ook worden geïnformeerd over best practices, zoals het niet delen van authenticatiecodes, het melden van verdachte activiteiten, en het onmiddellijk rapporteren van verloren of gestolen apparaten. Regelmatige herhalingstrainingen en bewustwordingscampagnes helpen om MFA-top-of-mind te houden en zorgen voor blijvende naleving van beveiligingsbeleid.
Monitoring
Gebruik PowerShell-script mfa-enabled-all-users.ps1 (functie Invoke-Monitoring) – Controleren.
Het monitoren van de MFA-implementatie is essentieel om te waarborgen dat alle gebruikers daadwerkelijk meervoudige authenticatie gebruiken en dat het beleid correct wordt afgedwongen. Deze controle fungeert als een duplicaatverificatie naast de primaire MFA-controle om consistentie en volledigheid te waarborgen. Het monitoringproces controleert of er actieve beleidsregels voor voorwaardelijke toegang zijn die MFA afdwingen voor alle gebruikers en rapporteert de nalevingsstatus van de organisatie. Het script voert verschillende verificaties uit om de MFA-status te bepalen. Ten eerste controleert het of er beleidsregels voor voorwaardelijke toegang zijn geconfigureerd die MFA vereisen. Deze beleidsregels moeten van toepassing zijn op alle gebruikers, met uitzondering van break-glass-accounts, en moeten betrekking hebben op alle cloud-apps, inclusief de Azure-portal. Het script verifieert ook of de beleidsregels daadwerkelijk actief zijn en correct zijn geconfigureerd met de juiste toekenningscontroles. Naast de verificatie van beleidsregels controleert het script ook de registratiestatus van gebruikers. Het identificeert gebruikers die nog geen MFA-methode hebben geregistreerd en rapporteert deze als niet-nalevend. Dit is belangrijk omdat zelfs wanneer MFA-beleid correct is geconfigureerd, gebruikers die nog niet zijn geregistreerd mogelijk nog steeds toegang hebben via uitzonderingen of tijdelijke bypasses. Het script genereert gedetailleerde rapporten die organisaties helpen om gebruikers te identificeren die aanvullende ondersteuning nodig hebben bij het voltooien van hun MFA-registratie. Voor uitgebreide documentatie over MFA-implementatie en monitoring verwijzen we naar de primaire MFA-controles. De primaire M365 MFA-controle, beschikbaar in m365/identity-bescherming/mfa-alle-gebruikers.json, bevat gedetailleerde informatie over het implementeren van MFA voor alle gebruikers in Microsoft 365-omgevingen. Deze controle behandelt niet alleen de technische implementatie, maar ook de organisatorische aspecten, gebruikerscommunicatie en best practices voor een succesvolle uitrol. Voor specifieke beveiligingsvereisten voor beheerderstoegang verwijzen we naar azure/identity-access/ca-mfa-admin-portals.json. Deze controle behandelt de implementatie van MFA voor beheerportalen, wat bijzonder belangrijk is gezien de verhoogde risico's die gepaard gaan met beheerdersaccounts. Beheerdersaccounts hebben toegang tot gevoelige configuraties en gegevens, waardoor compromittering van deze accounts kan leiden tot ernstige beveiligingsincidenten. Organisaties die extra beveiliging willen implementeren tegen geavanceerde phishingaanvallen kunnen gebruikmaken van phishing-resistente MFA-methoden, zoals beschreven in m365/identity-bescherming/phishing-resistant-mfa.json. Phishing-resistente methoden, zoals FIDO2-beveiligingssleutels en Windows Hello for Business, bieden superieure beveiliging omdat ze niet kunnen worden onderschept door phishingaanvallen. Deze methoden zijn bijzonder aanbevolen voor gebruikers met verhoogde privileges en voor organisaties die werken met zeer gevoelige gegevens. Regelmatige monitoring van MFA-naleving is cruciaal voor het handhaven van een sterke beveiligingspostuur. Organisaties moeten wekelijkse of maandelijkse controles uitvoeren om te waarborgen dat alle gebruikers MFA gebruiken en dat er geen uitzonderingen zijn gemaakt die de beveiliging kunnen ondermijnen. Het monitoren van MFA-gebruik helpt ook bij het identificeren van trends, zoals gebruikers die herhaaldelijk problemen ondervinden met MFA, wat kan wijzen op de noodzaak van aanvullende training of ondersteuning.
Compliance en Auditing
De implementatie van meervoudige authenticatie voor alle gebruikers is een fundamentele vereiste in verschillende beveiligings- en compliancekaders die van toepassing zijn op Nederlandse overheidsorganisaties. Deze controle draagt direct bij aan de naleving van meerdere belangrijke standaarden en helpt organisaties om te voldoen aan hun wettelijke en regelgevende verplichtingen. De CIS Azure Foundations Benchmark versie 3.0.0 bevat controle 1.27, die expliciet vereist dat meervoudige authenticatie is ingeschakeld voor alle gebruikers in Azure AD. Deze controle is geclassificeerd als Level 1, wat betekent dat deze moet worden geïmplementeerd in alle omgevingen, inclusief ontwikkel- en testomgevingen. De CIS-benchmark wordt wereldwijd erkend als een best practice voor cloudbeveiliging en wordt vaak gebruikt als basis voor compliance-audits. Organisaties die voldoen aan deze controle demonstreren dat zij een fundamentele beveiligingsmaatregel hebben geïmplementeerd die essentieel is voor het beschermen van cloudomgevingen. Het BIO-thema 09.04, dat betrekking heeft op toegangsbeveiliging en specifiek multi-factor authenticatie, is van bijzonder belang voor Nederlandse overheidsorganisaties. Het BIO (Baseline Informatiebeveiliging Overheid) is het beveiligingskader dat specifiek is ontwikkeld voor de Nederlandse publieke sector en bevat gedetailleerde richtlijnen voor het beveiligen van informatie en informatiesystemen. Thema 09.04 benadrukt het belang van meervoudige authenticatie als een essentiële beveiligingsmaatregel voor het beschermen van toegang tot systemen en gegevens. Naleving van deze controle helpt organisaties om te voldoen aan de BIO-vereisten en toont aan dat zij de beveiliging van toegang serieus nemen. ISO 27001:2022 bevat in controle A.5.17 specifieke vereisten voor authenticatie-informatie en sterke authenticatiemechanismen. Deze internationale standaard voor informatiebeveiligingsmanagement vereist dat organisaties sterke authenticatiemechanismen implementeren om ongeautoriseerde toegang te voorkomen. Meervoudige authenticatie wordt expliciet genoemd als een voorbeeld van een sterk authenticatiemechanisme. Organisaties die gecertificeerd zijn volgens ISO 27001 of die streven naar certificering moeten kunnen aantonen dat zij sterke authenticatie hebben geïmplementeerd voor alle gebruikers. De NIS2-richtlijn, die is geïmplementeerd in de Nederlandse wetgeving, bevat in artikel 21 specifieke vereisten voor cybersecurity-risicobeheer, waaronder de implementatie van meervoudige authenticatie. NIS2 is van toepassing op essentiële en belangrijke entiteiten in verschillende sectoren, waaronder de publieke sector. Artikel 21 vereist dat organisaties passende technische en organisatorische maatregelen nemen om cybersecurity-risico's te beheersen, en meervoudige authenticatie wordt beschouwd als een essentiële maatregel voor het beschermen van toegang tot systemen en netwerken. Naleving van deze controle helpt organisaties om te voldoen aan de NIS2-vereisten en vermindert het risico op boetes en andere handhavingsmaatregelen. Naast deze specifieke compliancevereisten draagt de implementatie van MFA ook bij aan de algemene naleving van de Algemene Verordening Gegevensbescherming (AVG). Hoewel de AVG geen expliciete vereiste bevat voor meervoudige authenticatie, wordt sterke authenticatie beschouwd als een passende technische maatregel voor het beschermen van persoonsgegevens, zoals vereist in artikel 32 van de AVG. Organisaties die MFA implementeren demonstreren dat zij passende maatregelen hebben genomen om persoonsgegevens te beschermen tegen ongeautoriseerde toegang. Voor auditdoeleinden moeten organisaties kunnen aantonen dat MFA daadwerkelijk is geïmplementeerd en actief wordt gebruikt. Dit vereist documentatie van de configuratie van beleidsregels voor voorwaardelijke toegang, rapporten over MFA-registraties die aantonen dat alle gebruikers zijn geregistreerd, en logbestanden die bewijzen dat MFA daadwerkelijk wordt gebruikt tijdens aanmeldingen. Regelmatige audits moeten worden uitgevoerd om te verifiëren dat het MFA-beleid correct wordt afgedwongen en dat er geen onbevoegde uitzonderingen zijn gemaakt.
Remediatie
Gebruik PowerShell-script mfa-enabled-all-users.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer de monitoringcontrole aangeeft dat MFA niet correct is geconfigureerd of niet wordt afgedwongen voor alle gebruikers, moeten organisaties onmiddellijk corrigerende maatregelen nemen. Het remediatieproces begint met een grondige analyse van de huidige configuratie om te identificeren waarom MFA niet correct werkt. Mogelijke oorzaken kunnen zijn: ontbrekende of inactieve beleidsregels voor voorwaardelijke toegang, onjuiste configuratie van beleidsregels, gebruikers die zijn uitgesloten van het beleid zonder goede reden, of gebruikers die nog geen MFA-methode hebben geregistreerd. Het eerste stap in het remediatieproces is het controleren van de configuratie van beleidsregels voor voorwaardelijke toegang. Organisaties moeten verifiëren dat er ten minste één actief beleid is dat MFA vereist voor alle gebruikers, met uitzondering van break-glass-accounts. Het beleid moet van toepassing zijn op alle cloud-apps, inclusief de Azure-portal, en moet de juiste toekenningscontroles bevatten die meervoudige authenticatie vereisen. Als er geen dergelijk beleid bestaat, moet er onmiddellijk een worden gemaakt en geactiveerd. Voor gebruikers die nog geen MFA-methode hebben geregistreerd, moet een gerichte aanpak worden gevolgd. Organisaties moeten deze gebruikers identificeren en persoonlijk benaderen om hen te helpen bij het voltooien van hun registratie. Dit kan betekenen dat er extra training wordt aangeboden, dat helpdeskmedewerkers persoonlijke ondersteuning bieden, of dat er tijdelijke uitzonderingen worden gemaakt voor gebruikers die legitieme problemen ondervinden, zoals het verlies van een apparaat of technische problemen. Het is belangrijk dat deze uitzonderingen tijdelijk zijn en worden gedocumenteerd, en dat er een duidelijk plan is om deze uitzonderingen op te heffen zodra de problemen zijn opgelost. In sommige gevallen kan het nodig zijn om gebruikers tijdelijk te blokkeren van toegang tot systemen totdat zij hun MFA-registratie hebben voltooid. Dit is een drastische maatregel die alleen moet worden gebruikt wanneer andere methoden hebben gefaald en wanneer de beveiligingsrisico's van het toestaan van toegang zonder MFA groter zijn dan de operationele impact van het blokkeren van gebruikers. Voordat gebruikers worden geblokkeerd, moeten zij worden geïnformeerd over de reden en moeten zij duidelijke instructies krijgen over hoe zij hun toegang kunnen herstellen door hun MFA-registratie te voltooien. Na het implementeren van corrigerende maatregelen is het belangrijk om te verifiëren dat de remediatie succesvol is geweest. Dit betekent dat de monitoringcontrole opnieuw moet worden uitgevoerd om te bevestigen dat MFA nu correct is geconfigureerd en wordt afgedwongen. Organisaties moeten ook de registratiestatus van gebruikers blijven monitoren om te waarborgen dat nieuwe gebruikers hun MFA-registratie tijdig voltooien en dat bestaande gebruikers hun registraties actueel houden. Het remediatieproces moet worden gedocumenteerd voor auditdoeleinden. Dit omvat het vastleggen van de geïdentificeerde problemen, de genomen corrigerende maatregelen, de betrokken gebruikers en systemen, en de resultaten van de verificatie. Deze documentatie helpt organisaties om te leren van incidenten en om hun MFA-implementatie continu te verbeteren. Het helpt ook bij het aantonen van naleving tijdens audits en het demonstreren dat organisaties proactief werken aan het handhaven van een sterke beveiligingspostuur.
Compliance & Frameworks
- CIS M365: Control 1.27 (L1) - Zorg ervoor dat meervoudige authenticatie is ingeschakeld voor alle gebruikers in Azure AD
- BIO: 09.04.02 - Multi-factor authenticatie voor alle gebruikers
- ISO 27001:2022: A.5.17 - Authentication information - Strong authentication mechanisms
- NIS2: Artikel - Meervoudige authenticatie vereist
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
MFA Enabled All Users
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 1.28
Controleert dat MFA is enabled voor alle gebruikers.
.NOTES
Filename: mfa-enabled-all-users.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 1.28
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "MFA Enabled All Users"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer MFA status:" -ForegroundColor Gray
Write-Host " - Per-user MFA of Conditional Access MFA" -ForegroundColor Gray
Write-Host " - Alle users hebben MFA geregistreerd" -ForegroundColor Gray
Write-Host " - MFA registration reports in Entra ID" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: MFA enabled all users" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer MFA status:" -ForegroundColor Gray
Write-Host " - Per-user MFA of Conditional Access MFA" -ForegroundColor Gray
Write-Host " - Alle users hebben MFA geregistreerd" -ForegroundColor Gray
Write-Host " - MFA registration reports in Entra ID" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: MFA enabled all users" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
Critical: Zonder MFA: 99,9 procent hoger risico op accountcompromittering, volledige overname van de omgeving mogelijk. Naleving: CIS 1.27, BIO 9.04, NIS2. Het risico is KRITIEK.
Management Samenvatting
Alternatieve verificatie voor MFA voor alle gebruikers. Zie mfa-all-azure-users.json voor volledige implementatie via voorwaardelijke toegang. Vereist Azure AD P1. Verplicht CIS 1.27. Verificatie: 30 minuten.
- Implementatietijd: 1 uur
- FTE required: 0.01 FTE