💼 Management Samenvatting
Het beperken van toegang tot beheerportalen tot alleen beheerders vormt een essentiële beveiligingsmaatregel om informatielek en verkenning door aanvallers te voorkomen, waarbij niet-beheergebruikers worden geblokkeerd van toegang tot gevoelige beheerinterfaces zoals Azure Portal-beheersecties en het Microsoft 365 Beheercentrum.
Aanbeveling
OVERWEEG ADMIN CENTER RESTRICTION
Risico zonder
Low
Risk Score
3/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Azure
✓ M365
✓ M365
Beheerportalen onthullen uitgebreide gevoelige configuratie-informatie die van cruciaal belang kan zijn voor aanvallers die zich voorbereiden op gerichte aanvallen, waaronder complete gebruikerslijsten met organisatorische hiërarchieën, gedetailleerde groepslidmaatschappen die de structuur van teams en afdelingen onthullen, alle beveiligingsinstellingen en configuraties die inzicht geven in de beveiligingspostuur van de organisatie, en abonnementsdetails die financiële en technische informatie blootleggen. Zelfs wanneer niet-beheergebruikers alleen leestoegang hebben tot beheerportalen zonder de mogelijkheid om instellingen te wijzigen, vormt deze toegang een waardevolle verkenningsopportuniteit voor aanvallers die de organisatiestructuur willen inventariseren, hoogwaardige doelwitten kunnen identificeren zoals executives of beveiligingsteams, en beveiligingsmisconfiguraties kunnen ontdekken die kunnen worden uitgebuit in latere aanvallen. Deze informatielek kan aanvallers helpen om hun aanvallen te verfijnen en te richten op de meest kwetsbare aspecten van de organisatie, waardoor het risico van succesvolle compromittering aanzienlijk toeneemt. Door beheerportaaltoegang strikt te beperken tot alleen geverifieerde beheerders die daadwerkelijk deze privileges nodig hebben voor hun werkzaamheden, elimineren organisaties deze informatiebron voor potentiële aanvallers en versterken zij hun algehele beveiligingspositie aanzienlijk.
PowerShell Modules Vereist
Primary API: Microsoft Graph API
Connection:
Required Modules: Microsoft.Graph.Identity.SignIns
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.Identity.SignIns
Implementatie
Deze controle implementeert uitgebreide toegangsbeperkingen voor niet-beheergebruikers om te voorkomen dat zij toegang krijgen tot beheerportalen, waarbij gebruikers zonder beheerdersrollen een toegangsweigering ontvangen wanneer zij proberen beheerportalen te openen via welke methode dan ook. De beperkingen worden afgedwongen via een combinatie van Azure AD-instellingen en Conditional Access-beleidsregels die geavanceerde toegangscontrole bieden op basis van gebruikersrollen, apparaateigenschappen, locatie en andere risicofactoren. De configuratie blokkeert toegang tot meerdere kritieke beheerinterfaces, waaronder Azure Portal-beheersecties die toegang geven tot abonnementsconfiguraties en resourcebeheer, het Microsoft 365 Beheercentrum dat toegang biedt tot alle Microsoft 365-beheerinstellingen, het Exchange-beheercentrum voor e-mailconfiguratie, Microsoft Defender-beheerportalen voor beveiligingsinstellingen, en andere beheerinterfaces die gevoelige configuratie-informatie kunnen onthullen. Deze uitgebreide beperking zorgt ervoor dat alleen geverifieerde beheerders met de juiste rollen en autorisaties toegang hebben tot deze kritieke beheerinterfaces, waardoor het risico van informatielek en verkenning door ongeautoriseerde gebruikers of externe aanvallers aanzienlijk wordt verminderd.
Vereisten
Voor het succesvol implementeren van toegangsbeperkingen voor beheerportalen zijn verschillende technische en organisatorische vereisten essentieel die zorgvuldig moeten worden overwogen en voorbereid voordat het proces wordt gestart. De belangrijkste technische vereiste betreft het beschikken over een volledige en actuele inventarisatie van alle beheerdersrollen binnen de organisatie, waarbij moet worden gedocumenteerd welke gebruikers welke beheerdersrollen hebben en waarom deze rollen nodig zijn voor hun werkzaamheden. Deze inventarisatie moet alle Azure AD-directoryrollen omvatten, zoals Globale beheerder, Gebruikersbeheerder, Exchange-beheerder, SharePoint-beheerder, en andere bevoorrechte rollen, evenals Azure RBAC-rollen zoals Eigenaar en Inzender op abonnementen en resourcegroepen. Zonder een complete en nauwkeurige inventarisatie van beheerdersrollen bestaat het reële risico dat legitieme beheerders per ongeluk worden geblokkeerd van toegang tot beheerportalen, wat kan leiden tot operationele verstoringen en het onvermogen om kritieke beheertaken uit te voeren wanneer dit nodig is. Het opstellen van een dergelijke inventarisatie vereist vaak een grondige audit van de gehele Azure-omgeving en Microsoft 365-tenant, waarbij gebruik wordt gemaakt van verschillende Microsoft Graph API-query's en Azure Resource Manager-opdrachten om alle roltoewijzingen te identificeren en te documenteren.
Een tweede kritieke vereiste betreft het uitvoeren van uitgebreide tests met niet-beheergebruikers voordat de toegangsbeperkingen volledig worden geïmplementeerd, waarbij moet worden geverifieerd dat niet-beheergebruikers daadwerkelijk worden geblokkeerd van toegang tot beheerportalen terwijl hun normale werkzaamheden niet worden beïnvloed. Deze tests moeten worden uitgevoerd met een representatieve groep niet-beheergebruikers die verschillende rollen en verantwoordelijkheden hebben binnen de organisatie, waarbij wordt getest of zij toegang hebben tot Azure Portal-beheersecties, het Microsoft 365 Beheercentrum, Exchange-beheercentrum, en andere beheerinterfaces. Tijdens deze tests moet ook worden geverifieerd dat niet-beheergebruikers nog steeds toegang hebben tot hun normale werkzaamheden, zoals toegang tot hun eigen gebruikersprofiel, toegang tot SharePoint-sites waar zij rechten voor hebben, en toegang tot applicaties die zij nodig hebben voor hun dagelijkse werkzaamheden. Deze tests helpen om eventuele configuratiefouten te identificeren voordat de beperkingen volledig worden geïmplementeerd, waardoor het risico van onbedoelde blokkades van legitieme gebruikers wordt geminimaliseerd en de gebruikerservaring wordt beschermd.
Het hebben van geconfigureerde Conditional Access-beleidsregels vormt een derde essentiële vereiste die cruciaal is voor de effectieve implementatie van toegangsbeperkingen voor beheerportalen. Conditional Access-beleidsregels bieden geavanceerde en flexibele toegangscontrole op basis van verschillende factoren zoals gebruikersrollen, apparaateigenschappen, netwerklocatie, en risico-evaluaties, waardoor organisaties zeer specifieke en gerichte beperkingen kunnen implementeren die precies aansluiten bij hun beveiligingsvereisten. Voor het beperken van beheerportaaltoegang moeten Conditional Access-beleidsregels worden geconfigureerd die specifiek gericht zijn op cloudapplicaties die beheerportalen representeren, zoals Microsoft Azure Management, Microsoft 365 Admin Portal, Exchange Admin Center, en andere relevante beheerinterfaces. Deze beleidsregels moeten worden geconfigureerd om toegang te blokkeren voor gebruikers die geen beheerdersrollen hebben, terwijl toegang wordt toegestaan voor gebruikers die wel beheerdersrollen hebben, waarbij eventuele aanvullende voorwaarden zoals apparaatcompliance of netwerklocatie kunnen worden toegevoegd voor extra beveiligingslagen. Het configureren van deze Conditional Access-beleidsregels vereist Azure AD Premium P1 of P2-licenties, wat betekent dat organisaties zonder deze licenties beperkt zijn in hun mogelijkheden om geavanceerde toegangsbeperkingen te implementeren en mogelijk alternatieve benaderingen moeten overwegen.
Een vierde belangrijke vereiste betreft het hebben van een duidelijk gedefinieerd en gecommuniceerd communicatieplan voor het informeren van gebruikers over de toegangsbeperkingen en de onderliggende redenen waarom deze beperkingen worden geïmplementeerd. Gebruikers moeten tijdig en duidelijk worden geïnformeerd over het feit dat zij geen toegang meer hebben tot beheerportalen, wat dit betekent voor hun werkzaamheden, en welke alternatieve methoden beschikbaar zijn als zij toegang nodig hebben tot specifieke informatie of functionaliteit die voorheen via beheerportalen beschikbaar was. Deze communicatie moet professioneel en empathisch zijn, waarbij wordt uitgelegd dat de beperkingen worden geïmplementeerd als een beveiligingsmaatregel om de organisatie te beschermen tegen potentiële beveiligingsrisico's, en niet als een gebrek aan vertrouwen in individuele gebruikers. Duidelijke communicatie helpt om frustratie en verwarring te voorkomen wanneer gebruikers ontdekken dat zij geen toegang meer hebben tot bepaalde interfaces, en zorgt ervoor dat gebruikers begrijpen dat de beperkingen deel uitmaken van een bredere beveiligingsstrategie die ten goede komt aan de hele organisatie.
Ten slotte moet een duidelijk gedefinieerd proces worden opgesteld voor het afhandelen van uitzonderingen en het verlenen van tijdelijke toegang aan niet-beheergebruikers die legitieme redenen hebben om toegang te krijgen tot beheerportalen voor specifieke taken of projecten. Dit proces moet specificeren onder welke omstandigheden uitzonderingen kunnen worden gemaakt, wie bevoegd is om uitzonderingen goed te keuren, hoe uitzonderingen worden gedocumenteerd en bewaakt, en binnen welke termijn uitzonderingen automatisch verlopen en opnieuw moeten worden beoordeeld. Uitzonderingen moeten worden beheerd als tijdelijke en uitzonderlijke maatregelen, niet als permanente oplossingen, waarbij regelmatige evaluatie wordt uitgevoerd om te bepalen of de uitzondering nog steeds gerechtvaardigd is of kan worden ingetrokken. Idealiter zouden uitzonderingen moeten leiden tot het toewijzen van tijdelijke beheerdersrollen via Privileged Identity Management, waardoor toegang tijdelijk kan worden verleend met automatische intrekking na een bepaalde periode, in plaats van het volledig omzeilen van de toegangsbeperkingen. Dit proces zorgt ervoor dat uitzonderingen worden beheerd op een gecontroleerde en geauditeerde manier, waarbij de beveiligingswaarde van de toegangsbeperkingen wordt behouden terwijl legitieme zakelijke behoeften worden ondersteund.
Implementatie
Gebruik PowerShell-script restrict-admin-center-access.ps1 (functie Invoke-Implementation) – Implementeren.
De implementatie van toegangsbeperkingen voor beheerportalen begint met het evalueren van beschikbare opties binnen Azure AD-instellingen, waarbij organisaties moeten onderzoeken of er native instellingen beschikbaar zijn die direct kunnen worden gebruikt om toegang tot beheerportalen te beperken. Sommige Azure AD-omgevingen bieden specifieke instellingen voor het beperken van toegang tot beheercentra, hoewel deze functionaliteit niet altijd beschikbaar is in alle tenantconfiguraties en mogelijk afhankelijk is van licentievereisten of configuratie-opties. Wanneer deze instellingen beschikbaar zijn, moeten zij worden geconfigureerd om niet-beheergebruikers te blokkeren van toegang tot beheerportalen, waarbij wordt gecontroleerd of de configuratie correct werkt en of er geen onbedoelde blokkades optreden voor legitieme beheerders. Deze native instellingen bieden vaak de meest directe en eenvoudigste manier om toegangsbeperkingen te implementeren, hoewel zij mogelijk minder flexibel zijn dan Conditional Access-beleidsregels en mogelijk niet alle beheerportalen of scenario's dekken.
Wanneer native Azure AD-instellingen niet beschikbaar zijn of onvoldoende flexibiliteit bieden, vormen Conditional Access-beleidsregels de primaire en aanbevolen methode voor het implementeren van toegangsbeperkingen voor beheerportalen. Deze beleidsregels moeten worden geconfigureerd om specifiek gericht te zijn op cloudapplicaties die beheerportalen representeren, waaronder Microsoft Azure Management voor Azure Portal-beheersecties, Microsoft 365 Admin Portal voor het Microsoft 365 Beheercentrum, Exchange Admin Center voor e-mailbeheer, en andere relevante beheerinterfaces zoals Microsoft Defender-portalen en SharePoint-beheercentrum. De Conditional Access-beleidsregel moet worden geconfigureerd om toegang te blokkeren voor gebruikers die geen beheerdersrollen hebben, waarbij wordt gebruikgemaakt van de rol-gebaseerde toegangscontrolefunctionaliteit binnen Conditional Access om te bepalen welke gebruikers als beheerders moeten worden beschouwd. De configuratie moet zorgvuldig worden getest om te verifiëren dat gebruikers met beheerdersrollen nog steeds toegang hebben tot beheerportalen, terwijl gebruikers zonder beheerdersrollen daadwerkelijk worden geblokkeerd wanneer zij proberen toegang te krijgen tot deze interfaces. Het configureren van deze Conditional Access-beleidsregels vereist Azure AD Premium P1 of P2-licenties en moet worden uitgevoerd door gebruikers met de juiste beheerdersrollen, zoals Conditional Access-beheerder of Globale beheerder.
Na het configureren van de toegangsbeperkingen via Azure AD-instellingen of Conditional Access-beleidsregels, moeten uitgebreide tests worden uitgevoerd om te verifiëren dat de beperkingen correct werken en dat er geen onbedoelde blokkades of problemen optreden. Deze tests moeten worden uitgevoerd met een representatieve groep niet-beheergebruikers die verschillende rollen en verantwoordelijkheden hebben binnen de organisatie, waarbij wordt getest of zij daadwerkelijk worden geblokkeerd wanneer zij proberen toegang te krijgen tot Azure Portal-beheersecties, het Microsoft 365 Beheercentrum, Exchange-beheercentrum, en andere relevante beheerinterfaces. Tijdens deze tests moet ook worden geverifieerd dat niet-beheergebruikers nog steeds toegang hebben tot hun normale werkzaamheden en niet per ongeluk worden geblokkeerd van toegang tot applicaties, services, of resources die zij legitiem nodig hebben voor hun dagelijkse werkzaamheden, zoals toegang tot hun eigen gebruikersprofiel via het Microsoft 365-portal, toegang tot SharePoint-sites waar zij rechten voor hebben, toegang tot e-mail via Outlook, en toegang tot andere cloudapplicaties die deel uitmaken van hun normale werkproces. Deze tests helpen om eventuele configuratiefouten of onbedoelde gevolgen te identificeren voordat de beperkingen volledig worden geïmplementeerd voor alle gebruikers binnen de organisatie.
Daarnaast moeten tests worden uitgevoerd met gebruikers die wel beheerdersrollen hebben om te verifiëren dat zij nog steeds volledige toegang hebben tot beheerportalen en dat hun werkzaamheden niet worden beïnvloed door de nieuwe toegangsbeperkingen. Deze tests moeten verschillende beheerdersrollen omvatten, waaronder Globale beheerders, Gebruikersbeheerders, Exchange-beheerders, SharePoint-beheerders, en andere relevante bevoorrechte rollen, waarbij wordt getest of elke rol nog steeds toegang heeft tot de beheerinterfaces die relevant zijn voor hun verantwoordelijkheden. Tijdens deze tests moet ook worden gecontroleerd of beheerders nog steeds toegang hebben wanneer zij zich aanmelden vanaf verschillende apparaten, locaties, of netwerken, aangezien Conditional Access-beleidsregels mogelijk aanvullende voorwaarden bevatten die de toegang kunnen beïnvloeden. Als er problemen worden geïdentificeerd tijdens deze tests, moeten de configuraties worden aangepast om ervoor te zorgen dat legitieme beheerders geen toegang verliezen, terwijl niet-beheergebruikers nog steeds effectief worden geblokkeerd.
Tijdige en duidelijke communicatie met alle gebruikers is een essentieel onderdeel van de implementatie, waarbij gebruikers tijdig moeten worden geïnformeerd over de toegangsbeperkingen voordat deze volledig worden geïmplementeerd. Deze communicatie moet duidelijk uitleggen dat niet-beheergebruikers geen toegang meer zullen hebben tot beheerportalen, wat dit betekent voor hun werkzaamheden, en welke alternatieve methoden beschikbaar zijn als zij toegang nodig hebben tot specifieke informatie of functionaliteit die voorheen via beheerportalen beschikbaar was. De communicatie moet professioneel en empathisch zijn, waarbij wordt uitgelegd dat de beperkingen worden geïmplementeerd als een beveiligingsmaatregel om de organisatie te beschermen tegen potentiële beveiligingsrisico's zoals informatielek en verkenning door aanvallers, en niet als een gebrek aan vertrouwen in individuele gebruikers. Duidelijke communicatie helpt om frustratie en verwarring te voorkomen wanneer gebruikers ontdekken dat zij geen toegang meer hebben tot bepaalde interfaces, zorgt ervoor dat gebruikers begrijpen dat de beperkingen deel uitmaken van een bredere beveiligingsstrategie, en biedt gebruikers een duidelijk pad naar het verkrijgen van toegang indien zij legitieme redenen hebben. Deze communicatie kan worden gerealiseerd via e-mailberichten, intranet-aankondigingen, teamvergaderingen, of andere communicatiekanalen die geschikt zijn voor de organisatie, waarbij wordt gezorgd dat alle gebruikers op de hoogte zijn voordat de beperkingen worden geactiveerd.
Compliance en Auditing
Het beperken van toegang tot beheerportalen tot alleen beheerders vormt een essentiële beveiligingsmaatregel die direct aansluit bij verschillende belangrijke compliance- en auditvereisten die van toepassing zijn op Nederlandse overheidsorganisaties en andere organisaties die werken met gevoelige informatie. Deze maatregel draagt bij aan het voldoen aan specifieke beveiligingscontroles die zijn gedefinieerd in erkende beveiligingsstandaarden zoals de Baseline Informatiebeveiliging Overheid (BIO) en de internationale ISO 27001-norm, waarbij de focus ligt op het voorkomen van onbevoegde toegang tot kritieke beheersystemen en het minimaliseren van het risico op informatielek en verkenning door potentiële aanvallers. Door beheerportaaltoegang strikt te beperken tot alleen geverifieerde beheerders, demonstreren organisaties hun inzet voor het implementeren van effectieve toegangscontrolemechanismen die passen binnen een bredere beveiligingsstrategie die gericht is op het beschermen van organisatiegegevens en systemen tegen potentiële bedreigingen.
Binnen het kader van de Baseline Informatiebeveiliging Overheid (BIO) sluit deze maatregel direct aan bij controle 09.01, die betrekking heeft op toegangscontrole en authenticatie. Deze controle vereist dat organisaties effectieve mechanismen implementeren om te waarborgen dat alleen geautoriseerde gebruikers toegang hebben tot systemen, applicaties en gegevens, waarbij onbevoegde toegang wordt voorkomen en gecontroleerd. Het beperken van beheerportaaltoegang tot alleen beheerders vormt een concrete implementatie van deze controle, waarbij wordt voorkomen dat niet-beheergebruikers toegang krijgen tot gevoelige beheerinterfaces die uitgebreide configuratie-informatie kunnen onthullen over de organisatiestructuur, beveiligingsinstellingen, gebruikerslijsten, en andere kritieke informatie die van waarde kan zijn voor potentiële aanvallers. Door deze toegangsbeperkingen te implementeren, voldoen organisaties aan de vereisten van BIO 09.01 en demonstreren zij hun inzet voor het implementeren van effectieve toegangscontrolemechanismen die passen binnen de Nederlandse overheidscontext.
Daarnaast sluit deze maatregel aan bij de internationale ISO 27001-norm, specifiek bij controle A.5.15 die betrekking heeft op toegangscontrole en authenticatiebeleid. Deze controle vereist dat organisaties een toegangscontrolebeleid ontwikkelen en implementeren dat definieert wie toegang heeft tot welke systemen en gegevens, onder welke voorwaarden deze toegang wordt verleend, en hoe toegang wordt beheerd en gecontroleerd. Het beperken van beheerportaaltoegang tot alleen beheerders vormt een concrete implementatie van dit beleid, waarbij wordt gedemonstreerd dat organisaties proactief maatregelen nemen om onbevoegde toegang te voorkomen en te waarborgen dat alleen geautoriseerde personen toegang hebben tot kritieke beheersystemen. Door deze maatregel te implementeren en te documenteren, kunnen organisaties aantonen dat zij voldoen aan de vereisten van ISO 27001 A.5.15 en dat zij beschikken over effectieve toegangscontrolemechanismen die passen binnen hun algehele informatiebeveiligingsmanagementsysteem.
Voor auditdoeleinden is het essentieel dat organisaties uitgebreide documentatie bijhouden over de geïmplementeerde toegangsbeperkingen, inclusief details over welke Conditional Access-beleidsregels zijn geconfigureerd, welke gebruikersgroepen zijn uitgesloten of opgenomen in de beperkingen, wanneer de beperkingen zijn geïmplementeerd, en welke tests zijn uitgevoerd om te verifiëren dat de beperkingen correct werken. Deze documentatie moet regelmatig worden bijgewerkt om wijzigingen in de configuratie te reflecteren en moet beschikbaar zijn voor interne en externe auditors die de effectiviteit van de toegangscontrolemechanismen willen evalueren. Daarnaast moeten organisaties regelmatig audits uitvoeren om te verifiëren dat de toegangsbeperkingen nog steeds correct zijn geconfigureerd en dat er geen onbevoegde toegang plaatsvindt tot beheerportalen, waarbij eventuele afwijkingen worden geïdentificeerd en gecorrigeerd. Deze audits kunnen worden uitgevoerd door interne beveiligingsteams, externe auditors, of door geautomatiseerde monitoringtools die regelmatig de configuratie evalueren en rapporteren over eventuele afwijkingen of problemen.
Naast het voldoen aan specifieke compliance-vereisten, draagt het beperken van beheerportaaltoegang ook bij aan het algehele beveiligingspostuur van de organisatie en helpt het om te voldoen aan bredere beveiligingsprincipes zoals het principe van minimale privileges, waarbij gebruikers alleen de minimale toegang krijgen die zij nodig hebben om hun werkzaamheden uit te voeren. Door niet-beheergebruikers te blokkeren van toegang tot beheerportalen, zelfs wanneer zij alleen leestoegang zouden hebben, elimineren organisaties een potentiële informatiebron voor aanvallers en versterken zij hun algehele beveiligingspositie. Deze aanpak past binnen een defensieve beveiligingsstrategie die gericht is op het voorkomen van informatielek en verkenning, waarbij wordt erkend dat zelfs schijnbaar onschuldige toegang tot configuratie-informatie kan worden gebruikt door aanvallers om hun aanvallen te verfijnen en te richten op de meest kwetsbare aspecten van de organisatie. Door deze maatregel te implementeren en te onderhouden, demonstreren organisaties hun inzet voor het implementeren van effectieve beveiligingscontroles die passen binnen een moderne, risicogestuurde beveiligingsbenadering.
Monitoring
Gebruik PowerShell-script restrict-admin-center-access.ps1 (functie Invoke-Monitoring) – Controleren.
Effectieve monitoring van toegangsbeperkingen voor beheerportalen vormt een essentieel onderdeel van het waarborgen dat de geïmplementeerde beveiligingsmaatregelen correct blijven functioneren en dat er geen onbevoegde toegang plaatsvindt tot kritieke beheerinterfaces. Monitoring moet worden uitgevoerd op regelmatige basis, idealiter dagelijks of wekelijks, waarbij wordt gecontroleerd of de Conditional Access-beleidsregels nog steeds actief zijn en correct zijn geconfigureerd, of er geen wijzigingen zijn aangebracht die de effectiviteit van de beperkingen kunnen verminderen, en of er geen onbevoegde toegangspogingen zijn gedetecteerd die mogelijk wijzen op beveiligingsincidenten of configuratiefouten. Deze monitoring kan worden uitgevoerd door gebruik te maken van geautomatiseerde monitoringtools die regelmatig de configuratie evalueren en rapporteren over eventuele afwijkingen, door handmatige controles door beveiligingsteams die de configuratie periodiek reviewen, of door een combinatie van beide benaderingen die zorgt voor zowel continue geautomatiseerde monitoring als periodieke menselijke beoordeling van de configuratie en eventuele afwijkingen.
Een belangrijk aspect van monitoring betreft het controleren van de Conditional Access-beleidsregels die zijn geconfigureerd om toegang tot beheerportalen te beperken, waarbij moet worden geverifieerd dat deze beleidsregels nog steeds actief zijn en correct zijn geconfigureerd om niet-beheergebruikers te blokkeren van toegang tot beheerportalen. Deze controle moet worden uitgevoerd door de Conditional Access-beleidsregels te reviewen in de Azure Portal, waarbij wordt gecontroleerd of de beleidsregels nog steeds zijn ingeschakeld, of de juiste cloudapplicaties zijn geselecteerd die beheerportalen representeren, of de juiste gebruikersgroepen zijn opgenomen of uitgesloten, en of er geen onbedoelde wijzigingen zijn aangebracht die de effectiviteit van de beperkingen kunnen verminderen. Daarnaast moet worden gecontroleerd of er nieuwe Conditional Access-beleidsregels zijn toegevoegd die mogelijk conflicteren met de bestaande beperkingen, of of er wijzigingen zijn aangebracht aan bestaande beleidsregels die mogelijk onbedoeld toegang toestaan voor gebruikers die geblokkeerd zouden moeten worden. Deze controles kunnen worden uitgevoerd door gebruik te maken van Microsoft Graph API-query's die de Conditional Access-beleidsregels ophalen en analyseren, door handmatige reviews in de Azure Portal, of door geautomatiseerde monitoringtools die regelmatig de configuratie evalueren en rapporteren over eventuele wijzigingen of afwijkingen.
Naast het controleren van de Conditional Access-beleidsregels, moet ook worden gemonitord of er daadwerkelijke toegangspogingen plaatsvinden tot beheerportalen door niet-beheergebruikers, waarbij moet worden gecontroleerd of deze toegangspogingen correct worden geblokkeerd en of er geen onbevoegde toegang plaatsvindt. Deze monitoring kan worden uitgevoerd door gebruik te maken van Azure AD-sign-inlogboeken die alle aanmeldpogingen registreren, waarbij wordt gefilterd op toegangspogingen tot beheerportalen door gebruikers die geen beheerdersrollen hebben. Deze logboeken moeten regelmatig worden gecontroleerd om te identificeren of er toegangspogingen zijn gedetecteerd die mogelijk wijzen op beveiligingsincidenten, configuratiefouten, of andere problemen die aandacht vereisen. Daarnaast moeten deze logboeken worden gebruikt om te verifiëren dat toegangspogingen door niet-beheergebruikers daadwerkelijk worden geblokkeerd, waarbij eventuele gevallen van onbevoegde toegang moeten worden onderzocht en gecorrigeerd. Deze monitoring kan worden geautomatiseerd door gebruik te maken van Azure Sentinel of andere security information and event management (SIEM) tools die de sign-inlogboeken analyseren en alerts genereren wanneer verdachte activiteiten worden gedetecteerd, of door handmatige reviews van de logboeken door beveiligingsteams die regelmatig de toegangspogingen evalueren en rapporteren over eventuele afwijkingen of problemen.
Een derde belangrijk aspect van monitoring betreft het controleren van wijzigingen in beheerdersrollen en gebruikersgroepen die mogelijk van invloed zijn op de toegangsbeperkingen, waarbij moet worden geverifieerd dat nieuwe beheerdersrollen correct zijn geconfigureerd en dat gebruikers die beheerdersrollen krijgen ook daadwerkelijk toegang hebben tot beheerportalen wanneer dit nodig is. Deze controle moet worden uitgevoerd door regelmatig te reviewen welke gebruikers welke beheerdersrollen hebben, of er nieuwe beheerdersrollen zijn toegevoegd die mogelijk moeten worden opgenomen in de Conditional Access-beleidsregels, en of er wijzigingen zijn aangebracht aan bestaande roltoewijzingen die mogelijk van invloed zijn op de toegangsbeperkingen. Daarnaast moet worden gecontroleerd of gebruikers die beheerdersrollen hebben gekregen ook daadwerkelijk toegang hebben tot beheerportalen, waarbij eventuele problemen moeten worden geïdentificeerd en gecorrigeerd. Deze controles kunnen worden uitgevoerd door gebruik te maken van Microsoft Graph API-query's die de roltoewijzingen ophalen en analyseren, door handmatige reviews in de Azure Portal, of door geautomatiseerde monitoringtools die regelmatig de roltoewijzingen evalueren en rapporteren over eventuele wijzigingen of afwijkingen.
Ten slotte moet monitoring ook worden uitgevoerd om te verifiëren dat de toegangsbeperkingen nog steeds effectief zijn en dat er geen nieuwe beveiligingsrisico's zijn ontstaan die aanvullende maatregelen vereisen. Deze monitoring moet worden uitgevoerd door regelmatig te testen of niet-beheergebruikers nog steeds worden geblokkeerd wanneer zij proberen toegang te krijgen tot beheerportalen, door te controleren of er nieuwe beheerportalen of interfaces zijn toegevoegd die mogelijk moeten worden opgenomen in de toegangsbeperkingen, en door te evalueren of de huidige configuratie nog steeds voldoet aan de beveiligingsvereisten van de organisatie. Daarnaast moeten regelmatige security assessments worden uitgevoerd om te identificeren of er nieuwe bedreigingen of kwetsbaarheden zijn ontstaan die mogelijk van invloed zijn op de effectiviteit van de toegangsbeperkingen, waarbij eventuele nieuwe risico's moeten worden geëvalueerd en indien nodig aanvullende maatregelen moeten worden geïmplementeerd. Deze assessments kunnen worden uitgevoerd door interne beveiligingsteams, externe security consultants, of door geautomatiseerde security scanning tools die regelmatig de configuratie evalueren en rapporteren over eventuele kwetsbaarheden of beveiligingsrisico's die aandacht vereisen.
Remediatie
Gebruik PowerShell-script restrict-admin-center-access.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer monitoring of audits identificeren dat toegangsbeperkingen voor beheerportalen niet correct zijn geconfigureerd of dat er onbevoegde toegang plaatsvindt, moeten onmiddellijke remediatiemaatregelen worden genomen om de beveiligingsrisico's te minimaliseren en de integriteit van de toegangscontrolemechanismen te herstellen. Remediatie moet worden uitgevoerd volgens een gestructureerd proces dat begint met het identificeren van de exacte oorzaak van het probleem, gevolgd door het implementeren van specifieke correctiemaatregelen die het probleem oplossen, en eindigt met verificatie dat de remediatie succesvol is en dat de toegangsbeperkingen weer correct functioneren. Dit proces moet worden gedocumenteerd voor auditdoeleinden en moet worden uitgevoerd door bevoegde beheerders die de juiste rollen en autorisaties hebben om wijzigingen aan te brengen aan Conditional Access-beleidsregels en andere beveiligingsconfiguraties. Daarnaast moeten eventuele beveiligingsincidenten die zijn geïdentificeerd tijdens het remediatieproces worden onderzocht en gecorrigeerd, waarbij eventuele onbevoegde toegang moet worden geïdentificeerd, geanalyseerd, en indien nodig moet worden gemeld aan de juiste autoriteiten of beveiligingsteams.
Een veelvoorkomend probleem dat remediatie vereist betreft situaties waarin Conditional Access-beleidsregels niet correct zijn geconfigureerd of zijn uitgeschakeld, waardoor niet-beheergebruikers mogelijk toegang hebben tot beheerportalen terwijl dit niet zou moeten kunnen. In dergelijke gevallen moet de remediatie beginnen met het controleren van de Conditional Access-beleidsregels in de Azure Portal, waarbij wordt geïdentificeerd welke beleidsregels problematisch zijn en wat de exacte oorzaak is van het probleem. Als een beleidsregel is uitgeschakeld, moet deze onmiddellijk worden ingeschakeld, waarbij wordt gecontroleerd of de configuratie correct is en of de beleidsregel de juiste cloudapplicaties en gebruikersgroepen omvat. Als de configuratie van een beleidsregel incorrect is, moet deze worden gecorrigeerd door de juiste instellingen te configureren, waarbij wordt gecontroleerd of de beleidsregel correct is geconfigureerd om niet-beheergebruikers te blokkeren van toegang tot beheerportalen. Na het corrigeren van de configuratie, moeten tests worden uitgevoerd om te verifiëren dat de remediatie succesvol is en dat niet-beheergebruikers daadwerkelijk worden geblokkeerd wanneer zij proberen toegang te krijgen tot beheerportalen.
Een tweede veelvoorkomend probleem betreft situaties waarin nieuwe beheerportalen of interfaces zijn toegevoegd die niet zijn opgenomen in de Conditional Access-beleidsregels, waardoor niet-beheergebruikers mogelijk toegang hebben tot deze nieuwe interfaces terwijl dit niet zou moeten kunnen. In dergelijke gevallen moet de remediatie beginnen met het identificeren van welke nieuwe beheerportalen of interfaces zijn toegevoegd en of deze moeten worden opgenomen in de toegangsbeperkingen. Als een nieuwe beheerportal moet worden opgenomen in de beperkingen, moet de Conditional Access-beleidsregel worden bijgewerkt om deze nieuwe cloudapplicatie op te nemen, waarbij wordt gecontroleerd of de configuratie correct is en of de beleidsregel nog steeds effectief is. Na het bijwerken van de configuratie, moeten tests worden uitgevoerd om te verifiëren dat niet-beheergebruikers daadwerkelijk worden geblokkeerd wanneer zij proberen toegang te krijgen tot de nieuwe beheerportal, waarbij eventuele problemen moeten worden geïdentificeerd en gecorrigeerd. Daarnaast moet worden gecontroleerd of er andere nieuwe beheerportalen of interfaces zijn die mogelijk ook moeten worden opgenomen in de toegangsbeperkingen, waarbij een proactieve benadering wordt gevolgd om te voorkomen dat vergelijkbare problemen in de toekomst optreden.
Een derde veelvoorkomend probleem betreft situaties waarin gebruikers onterecht beheerdersrollen hebben gekregen of waarin beheerdersrollen niet correct zijn geconfigureerd, waardoor gebruikers mogelijk toegang hebben tot beheerportalen terwijl dit niet zou moeten kunnen. In dergelijke gevallen moet de remediatie beginnen met het identificeren van welke gebruikers onterecht beheerdersrollen hebben gekregen en waarom deze rollen zijn toegewezen. Als een gebruiker onterecht een beheerdersrol heeft gekregen, moet deze rol onmiddellijk worden ingetrokken, waarbij wordt gecontroleerd of de gebruiker nog steeds toegang heeft tot beheerportalen en of er andere problemen zijn die aandacht vereisen. Als een beheerdersrol niet correct is geconfigureerd, moet de configuratie worden gecorrigeerd door de juiste instellingen te configureren, waarbij wordt gecontroleerd of de rol correct is geconfigureerd en of gebruikers met deze rol de juiste toegang hebben tot beheerportalen wanneer dit nodig is. Na het corrigeren van de roltoewijzingen, moeten tests worden uitgevoerd om te verifiëren dat gebruikers zonder beheerdersrollen daadwerkelijk worden geblokkeerd wanneer zij proberen toegang te krijgen tot beheerportalen, terwijl gebruikers met beheerdersrollen nog steeds toegang hebben wanneer dit nodig is.
Ten slotte moet remediatie ook worden uitgevoerd wanneer monitoring of audits identificeren dat er daadwerkelijke onbevoegde toegang heeft plaatsgevonden tot beheerportalen, waarbij onmiddellijke maatregelen moeten worden genomen om de toegang te blokkeren, de impact te beoordelen, en eventuele beveiligingsincidenten te onderzoeken. In dergelijke gevallen moet de remediatie beginnen met het onmiddellijk blokkeren van de onbevoegde toegang door de Conditional Access-beleidsregels te controleren en indien nodig te corrigeren, door gebruikersaccounts te deactiveren of te blokkeren indien dit nodig is, en door eventuele andere beveiligingsmaatregelen te implementeren die nodig zijn om verdere onbevoegde toegang te voorkomen. Daarnaast moet een grondige beveiligingsanalyse worden uitgevoerd om te identificeren wat de exacte oorzaak was van de onbevoegde toegang, welke informatie mogelijk is gelekt of gecompromitteerd, en welke aanvullende maatregelen nodig zijn om de beveiligingsrisico's te minimaliseren. Deze analyse moet worden gedocumenteerd en moet worden gebruikt om toekomstige beveiligingsmaatregelen te verbeteren en te voorkomen dat vergelijkbare incidenten in de toekomst optreden. Indien nodig moeten beveiligingsincidenten worden gemeld aan de juiste autoriteiten of beveiligingsteams, waarbij wordt voldaan aan alle relevante compliance- en meldingsvereisten die van toepassing zijn op de organisatie.
Compliance & Frameworks
- BIO: 09.01 - Toegangscontrole en authenticatie
- ISO 27001:2022: A.5.15 - Toegangscontrole en authenticatie beleid
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Restrict Admin Center Access
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 1.45
Controleert dat admin center toegang is beperkt.
.NOTES
Filename: restrict-admin-center-access.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 1.45
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "Restrict Admin Center Access"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer in Entra ID portal:" -ForegroundColor Gray
Write-Host " - Azure AD > User settings" -ForegroundColor Gray
Write-Host " - Restrict access to Azure AD admin portal = Yes" -ForegroundColor Gray
Write-Host " - Alleen admins hebben toegang tot portal" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: Admin center access restricted" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer in Entra ID portal:" -ForegroundColor Gray
Write-Host " - Azure AD > User settings" -ForegroundColor Gray
Write-Host " - Restrict access to Azure AD admin portal = Yes" -ForegroundColor Gray
Write-Host " - Alleen admins hebben toegang tot portal" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: Admin center access restricted" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
Low: Non-admins kunnen admin centers openen (read-only) - information disclosure. Attackers reconnaissance via admin portal enumeration. Compliance: BIO 9.01. Het risico is laag - information leakage.
Management Samenvatting
Restrict Admin Center Access: Block non-admin users van M365/Azure admin portals (prevents reconnaissance). CA policy: Non-admins → Admin portals → Block. Activatie: CA → Block non-admin admin portal access. Gratis. Aanbevolen BIO 9.01. Implementatie: 1-2 uur. Prevents attacker reconnaissance.
- Implementatietijd: 2 uur
- FTE required: 0.02 FTE