💼 Management Samenvatting
Groepseigenaren die lidmaatschapsverzoeken beheren zonder toezicht vormt een risico voor toegangscontrole en authenticatie.
Aanbeveling
OVERWEEG - LAAG RISICO
Risico zonder
Low
Risk Score
3/10
Implementatie
0.5u (tech: 0.5u)
Van toepassing op:
✓ Azure
Zonder deze beveiligingsmaatregel kunnen er aanzienlijke beveiligingsrisico's ontstaan die leiden tot gegevenscompromittering, nalevingsschendingen en reputatieschade voor de organisatie.
PowerShell Modules Vereist
Primary API: Microsoft Graph
Connection:
Required Modules: Microsoft.Graph
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph
Implementatie
Deze controle implementeert beveiligingsbest practices via Azure Policy, ARM-sjablonen of Microsoft Intune om cloudresources en eindpunten te beschermen volgens actuele nalevingskaders.
Vereisten
Voor de implementatie van deze beveiligingscontrole is een actieve Entra ID-tenant vereist. Entra ID, voorheen bekend als Azure Active Directory, vormt de basis voor identiteits- en toegangsbeheer binnen Microsoft-cloudomgevingen. De tenant moet beschikken over de juiste licentieconfiguratie om groepbeheerfunctionaliteiten te kunnen gebruiken. Organisaties moeten beschikken over globale beheerdersrechten of beheerdersrechten voor groepen om de benodigde configuratiewijzigingen door te voeren. Daarnaast is het essentieel dat de organisatie beschikt over een duidelijk gedefinieerd governancemodel voor groepsbeheer, waarbij de rollen en verantwoordelijkheden van groepseigenaren en beheerders zijn vastgelegd. Deze governancestructuur vormt de basis voor een effectieve implementatie van de controle en zorgt ervoor dat alle betrokken partijen begrijpen waarom deze beperking wordt doorgevoerd en wat de gevolgen zijn voor hun dagelijkse werkprocessen.
Monitoring
Gebruik PowerShell-script owners-cannot-manage-membership-requests.ps1 (functie Invoke-Monitoring) – Controleren.
Het monitoren van deze beveiligingscontrole is essentieel om te waarborgen dat groepseigenaren geen lidmaatschapsverzoeken kunnen beheren zonder toezicht. De monitoringprocedure omvat het regelmatig controleren van de groepsinstellingen binnen Entra ID om te verifiëren dat de instelling voor het beheren van lidmaatschapsverzoeken door eigenaren is uitgeschakeld. Dit kan worden gerealiseerd door gebruik te maken van het bijbehorende PowerShell-script dat automatisch de configuratiestatus controleert en rapporteert over de naleving van deze controle. Het script maakt gebruik van de Microsoft Graph API om de actuele instellingen op te halen en te vergelijken met de gewenste configuratie. Wanneer de monitoring uitwijst dat de instelling niet correct is geconfigureerd, genereert het script een waarschuwing die de beheerders informeert over de afwijking. Het is aanbevolen om deze monitoringprocedure minimaal maandelijks uit te voeren, of vaker wanneer er wijzigingen zijn doorgevoerd in de groepsinstellingen of wanneer er nieuwe groepen zijn aangemaakt. Daarnaast moeten beheerders alert zijn op meldingen van gebruikers die aangeven dat zij onverwacht lidmaatschapsverzoeken kunnen goedkeuren of afwijzen, wat kan duiden op een onjuiste configuratie. Door proactieve monitoring kunnen organisaties snel afwijkingen detecteren en corrigerende maatregelen nemen voordat er beveiligingsincidenten ontstaan.
Implementatie
Gebruik PowerShell-script owners-cannot-manage-membership-requests.ps1 (functie Invoke-Implementation) – Implementeren.
De implementatie van deze beveiligingscontrole begint met het openen van de Entra ID-beheerportal en navigeren naar de sectie Groepen. Binnen deze sectie moet worden gekozen voor de optie Algemeen, waar de groepsinstellingen kunnen worden geconfigureerd. De specifieke instelling die moet worden aangepast betreft de mogelijkheid voor groepseigenaren om lidmaatschapsverzoeken te beheren. Deze instelling moet worden ingesteld op 'Nee' om te voorkomen dat groepseigenaren zelfstandig beslissingen kunnen nemen over lidmaatschapsverzoeken zonder toezicht van beheerders. Het gebruik van het bijbehorende PowerShell-script biedt een geautomatiseerde manier om deze configuratie door te voeren, wat vooral handig is voor organisaties met meerdere tenants of wanneer de instelling op grote schaal moet worden geïmplementeerd. Het script maakt verbinding met Microsoft Graph en past de benodigde wijzigingen programmatisch toe, waardoor menselijke fouten worden voorkomen en de implementatie reproduceerbaar wordt. Voorafgaand aan de implementatie is het belangrijk om alle betrokken stakeholders te informeren over de wijziging, met name groepseigenaren die gewend zijn om lidmaatschapsverzoeken te beheren. Deze communicatie moet uitleggen waarom de wijziging wordt doorgevoerd, wat de gevolgen zijn voor hun dagelijkse werkzaamheden en hoe zij in de toekomst lidmaatschapsverzoeken kunnen laten behandelen. Na de implementatie moet worden gecontroleerd of de instelling correct is toegepast en of alle groepen de nieuwe configuratie hebben overgenomen.
Compliance en Auditing
Deze beveiligingscontrole draagt bij aan de naleving van de Baseline Informatiebeveiliging Overheid (BIO), specifiek controle 09.03 die betrekking heeft op toegangsbeheer. Deze controle vereist dat organisaties passende maatregelen treffen om te waarborgen dat alleen geautoriseerde personen toegang hebben tot informatie en informatiesystemen. Door groepseigenaren te beperken in hun mogelijkheid om lidmaatschapsverzoeken te beheren zonder toezicht, wordt een extra controlelaag toegevoegd aan het toegangsbeheerproces. Dit zorgt ervoor dat alle toegangsverzoeken worden beoordeeld door beheerders die beschikken over de juiste autorisaties en kennis van de organisatorische beveiligingsvereisten. Voor auditdoeleinden is het belangrijk om te documenteren wanneer deze controle is geïmplementeerd, wie verantwoordelijk is voor het beheer ervan en hoe regelmatig de naleving wordt geverifieerd. Auditors zullen tijdens hun beoordeling controleren of de instelling daadwerkelijk is uitgeschakeld en of er procedures zijn om afwijkingen te detecteren en te corrigeren. Organisaties moeten kunnen aantonen dat zij proactief monitoren op naleving en dat zij corrigerende maatregelen nemen wanneer blijkt dat de controle niet correct is geconfigureerd. Deze documentatie vormt een belangrijk onderdeel van het bewijs dat de organisatie voldoet aan de gestelde beveiligingsvereisten en dat zij een volwassen beveiligingsbeheerproces heeft geïmplementeerd.
Remediatie
Gebruik PowerShell-script owners-cannot-manage-membership-requests.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer monitoring uitwijst dat de beveiligingscontrole niet correct is geconfigureerd, moet onmiddellijk worden overgegaan tot remediatie. Het remediatieproces begint met het identificeren van de oorzaak van de afwijking. Dit kan variëren van een onbedoelde wijziging door een beheerder tot een technisch probleem met de configuratie. Het bijbehorende PowerShell-script biedt een geautomatiseerde manier om de controle te herstellen naar de gewenste staat, waarbij de instelling voor het beheren van lidmaatschapsverzoeken door eigenaren wordt uitgeschakeld. Na het uitvoeren van de remediatie moet worden geverifieerd dat de wijziging correct is doorgevoerd en dat groepseigenaren inderdaad niet langer in staat zijn om lidmaatschapsverzoeken te beheren. Het is belangrijk om te onderzoeken waarom de afwijking is ontstaan en om maatregelen te treffen om herhaling te voorkomen. Dit kan bijvoorbeeld betekenen dat er aanvullende toegangscontroles nodig zijn voor beheerders die groepsinstellingen kunnen wijzigen, of dat er een goedkeuringsproces moet worden geïmplementeerd voor wijzigingen aan kritieke beveiligingsinstellingen. Daarnaast moeten alle betrokken partijen worden geïnformeerd over de remediatie en moet worden gedocumenteerd wat er is gebeurd en welke maatregelen zijn genomen om herhaling te voorkomen.
Compliance & Frameworks
- BIO: 09.03 - Toegangsbeheer
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Owners Cannot Manage Membership Requests
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 1.36
Controleert group membership request settings.
.NOTES
Filename: owners-cannot-manage-membership-requests.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 1.36
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "Owners Cannot Manage Membership Requests"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer in Entra ID portal:" -ForegroundColor Gray
Write-Host " - Azure AD > Groups > General" -ForegroundColor Gray
Write-Host " - Owners can manage group membership requests = No" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: Group membership requests" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer in Entra ID portal:" -ForegroundColor Gray
Write-Host " - Azure AD > Groups > General" -ForegroundColor Gray
Write-Host " - Owners can manage group membership requests = No" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: Group membership requests" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
Low: Groepseigenaren kunnen lidmaatschapsverzoeken goedkeuren zonder toezicht, wat een kleine governancekloof vormt. Het risico is laag en betreft voornamelijk een organisatorische voorkeur.
Management Samenvatting
Eigenaren kunnen lidmaatschap niet beheren: Schakel de mogelijkheid voor groepseigenaren uit om lidmaatschapsverzoeken goed te keuren (dwing een goedkeuringsworkflow voor beheerders af). Activatie: Azure AD → Groepen → Groepsinstellingen. Gratis. Optionele governancecontrole. Implementatie: 30 minuten. Gecentraliseerde goedkeuringsworkflow.
- Implementatietijd: 0.5 uur
- FTE required: 0.01 FTE