💼 Management Samenvatting
Self-service wachtwoordreset moet minimaal twee verificatiemethoden vereisen voor sterkere identiteitsverificatie.
Aanbeveling
IMPLEMENTEER MINIMAAL TWEE VERIFICATIEMETHODEN VEREIST
Risico zonder
Medium
Risk Score
6/10
Implementatie
1.5u (tech: 0.5u)
Van toepassing op:
✓ Azure
Een enkele verificatiemethode voor self-service wachtwoordreset is te zwak. Een reset die alleen op e-mail is gebaseerd kan worden omzeild wanneer een e-mailaccount is gecompromitteerd, waardoor aanvallers ongeautoriseerde toegang kunnen verkrijgen tot organisatieaccounts.
PowerShell Modules Vereist
Primary API: Microsoft Graph
Connection:
Required Modules: Microsoft.Graph
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph
Implementatie
Voor self-service wachtwoordreset moeten minimaal twee verificatiemethoden worden vereist. Gebruikers moeten twee verschillende methoden registreren, zoals een mobiele telefoon, e-mailadres, zakelijke telefoon of beveiligingsvragen. Deze meervoudige verificatie verhoogt de beveiliging aanzienlijk en voorkomt dat een enkele gecompromitteerde methode voldoende is om een wachtwoord te resetten.
Vereisten
Voor het implementeren van self-service wachtwoordreset met minimaal twee verificatiemethoden zijn specifieke licentievereisten en technische voorwaarden van toepassing. Deze vereisten zorgen ervoor dat organisaties beschikken over de benodigde functionaliteit en rechten om een robuuste wachtwoordresetprocedure in te richten die voldoet aan moderne beveiligingsstandaarden en compliance-eisen. Het begrijpen van deze vereisten is cruciaal voor een succesvolle implementatie en voorkomt problemen tijdens de configuratie en het beheer van de wachtwoordreset-functionaliteit.
De primaire licentievereiste voor self-service wachtwoordreset met meervoudige verificatie is Microsoft Entra ID P1 (voorheen Azure AD Premium P1). Deze licentie biedt toegang tot geavanceerde identiteits- en toegangsbeheerfuncties, waaronder self-service wachtwoordreset met meerdere verificatiemethoden. Organisaties die gebruikmaken van de gratis versie van Microsoft Entra ID hebben beperkte mogelijkheden voor wachtwoordreset en kunnen niet de vereiste configuratie voor minimaal twee verificatiemethoden instellen. De gratis versie beperkt organisaties tot een enkele verificatiemethode, wat onvoldoende beveiliging biedt voor gevoelige omgevingen zoals overheidsorganisaties.
Naast de licentievereisten zijn er technische voorwaarden die moeten worden vervuld. De Microsoft Entra ID-tenant moet correct zijn geconfigureerd en operationeel zijn. Gebruikers moeten over geldige accounts beschikken en moeten de mogelijkheid hebben om verificatiemethoden te registreren. De beheerder die de configuratie uitvoert, moet beschikken over de juiste beheerrechten, specifiek de rol van globale beheerder of beheerder voor gebruikersbeheer, om wijzigingen aan te brengen in de self-service wachtwoordreset-instellingen. Deze rolbeperkingen zijn belangrijk voor de beveiliging en zorgen ervoor dat alleen geautoriseerd personeel wijzigingen kan aanbrengen aan kritieke identiteitsbeheerconfiguraties.
Voor een succesvolle implementatie is het ook belangrijk dat de organisatie beschikt over een duidelijk beleid voor wachtwoordbeheer en identiteitsverificatie. Dit beleid moet aangeven welke verificatiemethoden acceptabel zijn voor de organisatie, hoe gebruikers worden begeleid bij het registreren van hun verificatiemethoden, en welke procedures worden gevolgd wanneer gebruikers problemen ondervinden bij het resetten van hun wachtwoord. Deze beleidsmatige vereisten zijn essentieel voor een soepele implementatie en acceptatie door eindgebruikers. Zonder duidelijk beleid bestaat het risico dat gebruikers verward raken over welke methoden ze moeten gebruiken, wat kan leiden tot verhoogde ondersteuningsvragen en mogelijk tot gebruikers die omwegen zoeken om de beveiligingsvereisten te omzeilen.
Organisaties moeten er ook rekening mee houden dat bepaalde verificatiemethoden mogelijk aanvullende configuratie vereisen. Zo kan het gebruik van SMS-verificatie afhankelijk zijn van de beschikbaarheid van telefoonnummers in de gebruikersprofielen, en kan e-mailverificatie afhankelijk zijn van de juiste configuratie van e-mailservers en DNS-records. Het is daarom raadzaam om vooraf te inventariseren welke verificatiemethoden beschikbaar zijn en welke aanvullende configuratie mogelijk nodig is voordat de implementatie wordt gestart. Sommige organisaties kunnen bijvoorbeeld beperkingen hebben op het gebruik van mobiele telefoons voor verificatie, waardoor ze moeten vertrouwen op alternatieve methoden zoals e-mail of beveiligingsvragen.
Daarnaast moeten organisaties zich bewust zijn van de gebruikerservaring die gepaard gaat met meervoudige verificatie bij wachtwoordreset. Gebruikers die gewend zijn aan een enkele verificatiemethode kunnen aanvankelijk weerstand ervaren tegen de nieuwe vereisten. Het is daarom belangrijk om gebruikersvoorlichting en training te plannen als onderdeel van de implementatie. Gebruikers moeten begrijpen waarom deze extra stap nodig is en hoe ze hun verificatiemethoden kunnen registreren en gebruiken. Een goede gebruikerservaring kan het verschil maken tussen een succesvolle implementatie en een implementatie die wordt ondermijnd door gebruikerswerkwijzen.
Tot slot moeten organisaties rekening houden met de operationele aspecten van de implementatie. Dit omvat het plannen van een overgangsperiode waarin gebruikers hun verificatiemethoden kunnen registreren, het opzetten van monitoring om te volgen hoeveel gebruikers voldoen aan de vereisten, en het voorbereiden van ondersteuningsprocedures voor gebruikers die problemen ondervinden. Deze operationele voorbereidingen zijn essentieel om ervoor te zorgen dat de implementatie soepel verloopt en dat de organisatie snel kan reageren op eventuele problemen die zich voordoen tijdens de overgangsperiode.
Monitoring
Gebruik PowerShell-script sspr-methods-required-2.ps1 (functie Invoke-Monitoring) – Controleren.
Het monitoren van de configuratie voor self-service wachtwoordreset met minimaal twee verificatiemethoden is essentieel om te waarborgen dat de beveiligingsinstellingen correct zijn geconfigureerd en blijven voldoen aan de organisatorische en compliance-eisen. Continue monitoring stelt beheerders in staat om tijdig te detecteren wanneer configuraties onbedoeld worden gewijzigd of wanneer nieuwe gebruikers niet voldoen aan de vereisten voor verificatiemethode-registratie.
De primaire controle die moet worden uitgevoerd is de verificatie dat het aantal vereiste verificatiemethoden voor wachtwoordreset is ingesteld op minimaal twee. Deze instelling bepaalt hoeveel verschillende verificatiemethoden een gebruiker moet gebruiken om zijn of haar wachtwoord te kunnen resetten. Wanneer deze waarde lager is ingesteld dan twee, loopt de organisatie een verhoogd beveiligingsrisico omdat een enkele gecompromitteerde verificatiemethode voldoende kan zijn voor een aanvaller om toegang te verkrijgen.
Naast het controleren van de configuratie-instelling zelf, is het belangrijk om regelmatig te monitoren hoeveel gebruikers daadwerkelijk over voldoende geregistreerde verificatiemethoden beschikken. Gebruikers die slechts één verificatiemethode hebben geregistreerd, kunnen hun wachtwoord niet resetten wanneer de configuratie correct is ingesteld op minimaal twee methoden. Dit kan leiden tot verhoogde ondersteuningsvragen en gebruikersontevredenheid. Door regelmatig te rapporteren over gebruikers met onvoldoende verificatiemethoden, kunnen beheerders proactief gebruikers begeleiden bij het registreren van aanvullende methoden.
Monitoring moet ook aandacht besteden aan de gebruikspatronen van self-service wachtwoordreset. Ongebruikelijke patronen, zoals een plotselinge toename van resetpogingen of meerdere mislukte resetpogingen voor hetzelfde account, kunnen wijzen op mogelijke beveiligingsincidenten of aanvallen. Door deze patronen te detecteren en te analyseren, kunnen beveiligingsteams tijdig reageren op potentiële bedreigingen en aanvullende beveiligingsmaatregelen implementeren wanneer dat nodig is.
Voor effectieve monitoring is het raadzaam om geautomatiseerde controles in te stellen die regelmatig, bijvoorbeeld wekelijks of maandelijks, de configuratie verifiëren en rapporten genereren over de nalevingsstatus. Deze rapporten moeten worden gedeeld met relevante stakeholders, zoals de informatiebeveiligingsfunctionaris, compliance officers en IT-beheerders, om transparantie te waarborgen en tijdige actie mogelijk te maken wanneer afwijkingen worden geconstateerd.
Daarnaast moeten beheerders beschikken over duidelijke procedures voor het reageren op geconstateerde afwijkingen. Wanneer monitoring aangeeft dat de configuratie niet meer voldoet aan de vereisten, moeten er directe stappen worden ondernomen om de configuratie te herstellen. Dit omvat het documenteren van de afwijking, het analyseren van de oorzaak, het herstellen van de correcte configuratie, en het implementeren van maatregelen om te voorkomen dat dezelfde afwijking opnieuw optreedt. Deze procedures moeten duidelijk zijn vastgelegd en moeten regelmatig worden getest om ervoor te zorgen dat het responseteam weet hoe het moet reageren op verschillende soorten afwijkingen.
Een belangrijk aspect van effectieve monitoring is het gebruik van geautomatiseerde tools en scripts die regelmatig de configuratie controleren en waarschuwingen genereren wanneer afwijkingen worden geconstateerd. Deze tools kunnen worden geconfigureerd om dagelijks, wekelijks of maandelijks te draaien, afhankelijk van de behoeften van de organisatie en het risiconiveau. Geautomatiseerde monitoring vermindert de kans dat menselijke fouten leiden tot gemiste controles en zorgt ervoor dat afwijkingen sneller worden gedetecteerd dan bij handmatige controles. Daarnaast kunnen deze tools gedetailleerde rapporten genereren die kunnen worden gebruikt voor compliance-doeleinden en interne audits.
Bij het monitoren van gebruikersnaleving is het belangrijk om niet alleen te kijken naar het aantal gebruikers dat voldoet aan de vereisten, maar ook naar trends over tijd. Een gestage afname in het percentage gebruikers dat voldoet aan de vereisten kan wijzen op problemen met de registratieprocedures of gebruikerswerkwijzen die moeten worden aangepakt. Door trends te monitoren, kunnen beheerders proactief problemen identificeren voordat ze kritiek worden en kunnen ze tijdig actie ondernemen om de naleving te verbeteren.
Tot slot moet monitoring ook aandacht besteden aan de effectiviteit van de beveiligingsmaatregelen zelf. Hoewel het belangrijk is om te controleren of de configuratie correct is ingesteld en of gebruikers voldoen aan de vereisten, is het even belangrijk om te evalueren of deze maatregelen daadwerkelijk bijdragen aan de beveiliging van de organisatie. Dit kan worden gedaan door te analyseren of er incidenten zijn gerelateerd aan wachtwoordreset en of de meervoudige verificatie heeft geholpen om aanvallen te voorkomen. Door regelmatig de effectiviteit te evalueren, kunnen organisaties ervoor zorgen dat hun beveiligingsmaatregelen blijven voldoen aan hun beoogde doelen en kunnen ze waar nodig aanpassingen maken.
Implementatie
Gebruik PowerShell-script sspr-methods-required-2.ps1 (functie Invoke-Implementation) – Implementeren.
De implementatie van self-service wachtwoordreset met minimaal twee verificatiemethoden vereist een gestructureerde aanpak waarbij zowel technische configuratie als organisatorische voorbereidingen worden afgehandeld. Voordat de configuratie wordt gewijzigd, is het belangrijk om de huidige staat van de self-service wachtwoordreset-instellingen te documenteren en te begrijpen welke impact de wijziging zal hebben op bestaande gebruikers en processen.
De technische implementatie begint met het openen van de Microsoft Entra ID-beheerportal. Beheerders navigeren naar de sectie voor identiteitsbeheer, waar specifiek de optie voor wachtwoordreset kan worden gevonden. Binnen deze sectie bevindt zich de configuratie voor authenticatiemethoden, waar het aantal vereiste methoden voor wachtwoordreset kan worden ingesteld. Deze instelling moet worden gewijzigd naar minimaal twee verificatiemethoden om te voldoen aan de beveiligingsvereisten.
Tijdens de configuratie moet aandacht worden besteed aan welke verificatiemethoden beschikbaar zijn voor gebruikers. Microsoft Entra ID ondersteunt verschillende methoden, waaronder mobiele telefoon via SMS of telefoongesprek, e-mailadres, zakelijke telefoon, en beveiligingsvragen. Organisaties moeten bepalen welke van deze methoden acceptabel zijn volgens hun beveiligingsbeleid en deze methoden vervolgens beschikbaar stellen aan gebruikers. Het is belangrijk om te realiseren dat gebruikers minimaal twee verschillende methoden moeten registreren voordat ze hun wachtwoord kunnen resetten.
Na het instellen van de configuratie moet de wijziging worden opgeslagen en gecontroleerd. Beheerders moeten verifiëren dat de instelling correct is toegepast door de configuratiepagina opnieuw te bekijken en te bevestigen dat het aantal vereiste verificatiemethoden daadwerkelijk is ingesteld op twee of hoger. Het is ook raadzaam om een testaccount te gebruiken om te verifiëren dat de nieuwe configuratie correct functioneert en dat gebruikers daadwerkelijk twee methoden moeten gebruiken om hun wachtwoord te resetten.
Naast de technische configuratie vereist een succesvolle implementatie ook organisatorische voorbereidingen. Gebruikers moeten worden geïnformeerd over de nieuwe vereisten en moeten worden begeleid bij het registreren van hun verificatiemethoden. Dit kan worden gedaan via e-mailcommunicatie, intranetberichten, of tijdens gebruikersbijeenkomsten. Het is belangrijk om gebruikers uit te leggen waarom deze extra verificatiestap nodig is en hoe dit hun beveiliging verbetert, zodat ze de wijziging begrijpen en accepteren.
Organisaties moeten ook een overgangsperiode plannen waarin gebruikers de mogelijkheid krijgen om hun verificatiemethoden te registreren voordat de nieuwe vereisten volledig van kracht worden. Tijdens deze periode kunnen gebruikers die nog niet over voldoende methoden beschikken, nog steeds hun wachtwoord resetten, maar worden ze aangemoedigd om aanvullende methoden te registreren. Na de overgangsperiode moeten alle gebruikers over minimaal twee geregistreerde verificatiemethoden beschikken om hun wachtwoord te kunnen resetten.
Na de implementatie is het belangrijk om de configuratie regelmatig te monitoren en te controleren of gebruikers daadwerkelijk over voldoende verificatiemethoden beschikken. Beheerders moeten proactief gebruikers identificeren die nog niet voldoen aan de vereisten en deze gebruikers begeleiden bij het voltooien van hun registratie. Door deze continue aandacht te besteden aan de configuratie en gebruikersondersteuning, kan de organisatie ervoor zorgen dat de self-service wachtwoordreset zowel veilig als gebruiksvriendelijk blijft. Het is aan te raden om wekelijks of maandelijks rapporten te genereren die aangeven hoeveel gebruikers voldoen aan de vereisten en welke gebruikers nog aanvullende verificatiemethoden moeten registreren.
Een belangrijke overweging tijdens de implementatie is de keuze van verificatiemethoden. Niet alle methoden zijn even veilig of gebruiksvriendelijk. Organisaties moeten zorgvuldig overwegen welke methoden het beste passen bij hun beveiligingsvereisten en gebruikerspopulatie. Zo biedt SMS-verificatie een goede balans tussen beveiliging en gebruiksvriendelijkheid, maar kan het kwetsbaar zijn voor SIM-swapping aanvallen. E-mailverificatie is gebruiksvriendelijk maar kan minder veilig zijn als e-mailaccounts niet goed beschermd zijn. Beveiligingsvragen kunnen minder veilig zijn als de antwoorden gemakkelijk te raden zijn, maar kunnen nuttig zijn als backup-methode.
Tijdens de implementatie moeten organisaties ook rekening houden met het beheer en onderhoud van de verificatiemethoden. Gebruikers kunnen hun telefoonnummers wijzigen, e-mailadres updaten, of andere wijzigingen maken aan hun contactgegevens. Het is belangrijk dat gebruikers deze wijzigingen kunnen doorvoeren zonder problemen te ondervinden bij het resetten van hun wachtwoord. Organisaties moeten daarom duidelijke procedures hebben voor het beheren van verificatiemethoden en moeten gebruikers informeren over hoe ze hun methoden kunnen bijwerken wanneer hun contactgegevens veranderen.
Tot slot moeten organisaties tijdens de implementatie rekening houden met de impact op bestaande processen en systemen. Wanneer gebruikers hun wachtwoord resetten, kunnen ze toegang nodig hebben tot verschillende systemen en applicaties. Het is belangrijk om ervoor te zorgen dat de nieuwe wachtwoordresetprocedure compatibel is met alle systemen die door de organisatie worden gebruikt en dat gebruikers na het resetten van hun wachtwoord nog steeds toegang hebben tot alle benodigde resources. Dit kan vereisen dat bepaalde systemen worden geconfigureerd om met de nieuwe verificatiemethode te werken, of dat aanvullende stappen worden genomen om ervoor te zorgen dat gebruikers na een wachtwoordreset hun toegang behouden.
Een belangrijk onderdeel van de implementatie is het testen van de configuratie voordat deze volledig wordt uitgerold. Beheerders moeten een testgroep van gebruikers selecteren die de nieuwe configuratie kunnen testen en feedback kunnen geven over de gebruikerservaring. Deze testfase helpt om eventuele problemen te identificeren voordat alle gebruikers worden beïnvloed en geeft de organisatie de mogelijkheid om de implementatie aan te passen op basis van praktijkervaringen. Tijdens de testfase moeten beheerders ook controleren of alle verificatiemethoden correct functioneren en of gebruikers daadwerkelijk in staat zijn om hun wachtwoord te resetten met de vereiste twee methoden.
Voor organisaties met een groot aantal gebruikers kan het raadzaam zijn om de implementatie gefaseerd uit te voeren. Dit betekent dat de nieuwe configuratie eerst wordt toegepast op een beperkte groep gebruikers, bijvoorbeeld een specifieke afdeling of locatie, voordat deze wordt uitgerold naar de rest van de organisatie. Een gefaseerde aanpak vermindert het risico op grootschalige problemen en geeft de organisatie de mogelijkheid om te leren van de eerste implementatie en deze aan te passen voor latere fases. Tijdens elke fase moeten beheerders de voortgang monitoren en ervoor zorgen dat gebruikers adequate ondersteuning krijgen bij het registreren van hun verificatiemethoden.
Naast de technische en organisatorische aspecten van de implementatie, moeten organisaties ook aandacht besteden aan de communicatie met gebruikers. Duidelijke en tijdige communicatie over de nieuwe vereisten, waarom ze nodig zijn, en hoe gebruikers kunnen voldoen aan deze vereisten, is essentieel voor een succesvolle implementatie. Communicatie moet worden aangepast aan verschillende doelgroepen binnen de organisatie, waarbij technische gebruikers mogelijk meer detail nodig hebben dan niet-technische gebruikers. Het gebruik van verschillende communicatiekanalen, zoals e-mail, intranet, en persoonlijke bijeenkomsten, kan helpen om ervoor te zorgen dat alle gebruikers adequaat worden geïnformeerd.
Compliance en Auditing
De implementatie van self-service wachtwoordreset met minimaal twee verificatiemethoden draagt bij aan de naleving van verschillende beveiligingsstandaarden en compliance-frameworks die relevant zijn voor Nederlandse overheidsorganisaties. Deze configuratie is specifiek gericht op het voldoen aan eisen voor wachtwoordbeheer en identiteitsverificatie zoals vastgelegd in nationale en internationale standaarden.
Binnen het Baseline Informatiebeveiliging Overheid (BIO) framework is controle 09.04 van toepassing op wachtwoordbeheer. Deze controle vereist dat organisaties passende maatregelen treffen voor het beheer van wachtwoorden, inclusief procedures voor wachtwoordreset. Door minimaal twee verificatiemethoden te vereisen voor self-service wachtwoordreset, versterken organisaties de beveiliging van het wachtwoordresetproces en voldoen ze aan de intentie van deze controle. De meervoudige verificatie zorgt ervoor dat een enkele gecompromitteerde methode niet voldoende is om een wachtwoord te resetten, wat de algehele beveiligingspostuur van de organisatie verbetert.
De ISO 27001 standaard, specifiek controle A.9.4.3, richt zich op het beheer van wachtwoorden en vereist dat organisaties passende procedures en controles implementeren voor wachtwoordbeheer. De eis voor minimaal twee verificatiemethoden bij wachtwoordreset is in lijn met het principe van meervoudige authenticatie dat wordt aanbevolen in de ISO 27001 standaard. Deze aanpak versterkt de beveiliging door te voorkomen dat een enkele zwakke schakel in de verificatieketen voldoende is om toegang te verkrijgen tot accounts.
Voor Nederlandse overheidsorganisaties is het ook belangrijk om te voldoen aan de Algemene Verordening Gegevensbescherming (AVG), die vereist dat organisaties passende technische en organisatorische maatregelen treffen om persoonsgegevens te beschermen. Een robuust wachtwoordresetproces met meervoudige verificatie draagt bij aan deze verplichting door het risico op ongeautoriseerde toegang tot accounts met persoonsgegevens te verminderen. Wanneer accounts beter beschermd zijn tegen ongeautoriseerde toegang, worden persoonsgegevens beter beschermd tegen datalekken en andere beveiligingsincidenten.
Auditing en compliance-verificatie vereisen dat organisaties kunnen aantonen dat de configuratie correct is geïmplementeerd en wordt gehandhaafd. Dit betekent dat beheerders regelmatig moeten controleren of de instelling voor het aantal vereiste verificatiemethoden nog steeds is ingesteld op minimaal twee, en dat deze controles moeten worden gedocumenteerd. Auditlogs moeten worden bijgehouden die aangeven wanneer configuratiewijzigingen zijn doorgevoerd en wie deze wijzigingen heeft geautoriseerd, zodat tijdens audits kan worden aangetoond dat de organisatie proactief de beveiligingsconfiguratie beheert.
Tijdens externe audits of compliance-controles moeten organisaties in staat zijn om te demonstreren dat niet alleen de configuratie correct is ingesteld, maar ook dat gebruikers daadwerkelijk over voldoende verificatiemethoden beschikken. Dit vereist regelmatige rapportage over de nalevingsstatus van gebruikers en proactieve actie wanneer gebruikers niet voldoen aan de vereisten. Door deze continue aandacht voor zowel configuratie als gebruikersnaleving, kunnen organisaties aantonen dat ze serieus omgaan met beveiligingsvereisten en compliance-verplichtingen. Auditrapporten moeten duidelijk aangeven wat de huidige configuratie is, hoeveel gebruikers voldoen aan de vereisten, welke acties zijn ondernomen om naleving te verbeteren, en wat de trends zijn over tijd.
Voor Nederlandse overheidsorganisaties is het ook relevant om te voldoen aan de NIST Cybersecurity Framework, specifiek de functie voor identiteitsbeheer en toegangscontrole. De eis voor minimaal twee verificatiemethoden bij wachtwoordreset is in lijn met de NIST-aanbevelingen voor meervoudige authenticatie en versterkt de algehele beveiligingspostuur van de organisatie. Organisaties die werken met gevoelige informatie of kritieke systemen moeten extra aandacht besteden aan de implementatie van robuuste verificatiemethoden om te voldoen aan zowel nationale als internationale beveiligingsstandaarden.
Bij het voorbereiden op audits en compliance-controles is het belangrijk om niet alleen te focussen op de technische configuratie, maar ook op de processen en procedures die de configuratie ondersteunen. Dit omvat documentatie van het beleid voor wachtwoordreset, procedures voor het registreren van verificatiemethoden, processen voor het monitoren van naleving, en procedures voor het reageren op afwijkingen. Deze documentatie moet up-to-date worden gehouden en moet regelmatig worden gereviewd om ervoor te zorgen dat deze nog steeds accuraat is en voldoet aan de huidige beveiligingsvereisten en compliance-standaarden.
Organisaties moeten ook rekening houden met de specifieke compliance-vereisten die van toepassing zijn op hun sector of type organisatie. Overheidsorganisaties in Nederland moeten bijvoorbeeld voldoen aan de BIO-normen, terwijl organisaties die werken met gezondheidsgegevens mogelijk moeten voldoen aan aanvullende eisen. Het is belangrijk om deze specifieke vereisten te identificeren en ervoor te zorgen dat de implementatie van meervoudige verificatie bij wachtwoordreset bijdraagt aan het voldoen aan deze vereisten. Regelmatige overleg met compliance officers en informatiebeveiligingsfunctionarissen kan helpen om ervoor te zorgen dat de implementatie voldoet aan alle relevante standaarden en vereisten.
Remediatie
Gebruik PowerShell-script sspr-methods-required-2.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer monitoring of audits aangeven dat de configuratie voor self-service wachtwoordreset niet meer voldoet aan de vereisten, moet er directe remediatie worden uitgevoerd om de beveiligingsconfiguratie te herstellen. Remediatie is het proces waarbij afwijkingen worden geïdentificeerd, geanalyseerd en gecorrigeerd om ervoor te zorgen dat de organisatie weer voldoet aan de beveiligingsvereisten en compliance-standaarden.
De eerste stap in het remediatieproces is het identificeren van de specifieke afwijking. Dit kan gebeuren tijdens routinecontroles, geautomatiseerde monitoring, of tijdens externe audits. Wanneer wordt vastgesteld dat het aantal vereiste verificatiemethoden lager is ingesteld dan twee, moet deze afwijking worden gedocumenteerd met details over wanneer de afwijking is geconstateerd, wat de huidige configuratie is, en wat de verwachte configuratie zou moeten zijn.
Na identificatie van de afwijking moet de oorzaak worden geanalyseerd. Mogelijke oorzaken kunnen zijn: onbedoelde wijzigingen door beheerders, configuratiefouten tijdens migraties of upgrades, of opzettelijke wijzigingen die niet correct zijn goedgekeurd. Het begrijpen van de oorzaak is belangrijk om te voorkomen dat dezelfde afwijking opnieuw optreedt en om te bepalen welke aanvullende maatregelen nodig zijn om de configuratie te beschermen tegen toekomstige wijzigingen.
De daadwerkelijke remediatie bestaat uit het herstellen van de correcte configuratie. Beheerders moeten de Microsoft Entra ID-beheerportal openen en navigeren naar de wachtwoordreset-instellingen. Hier moet het aantal vereiste verificatiemethoden worden ingesteld op minimaal twee, en de wijziging moet worden opgeslagen. Na het opslaan moet de configuratie worden geverifieerd om te bevestigen dat de remediatie succesvol is uitgevoerd en dat de instelling correct is toegepast.
Naast het herstellen van de configuratie zelf, moet er ook aandacht worden besteed aan gebruikers die mogelijk zijn beïnvloed door de periode waarin de configuratie niet correct was. Als gebruikers tijdens de periode van afwijking hun wachtwoord hebben gereset met slechts één verificatiemethode, kan dit een beveiligingsrisico hebben gecreëerd. Beheerders moeten overwegen om deze accounts te controleren op verdachte activiteiten en mogelijk gebruikers te vragen om hun wachtwoord opnieuw in te stellen met de correcte meervoudige verificatie.
Om te voorkomen dat dezelfde afwijking opnieuw optreedt, moeten preventieve maatregelen worden geïmplementeerd. Dit kan bestaan uit het instellen van geautomatiseerde monitoring die direct waarschuwt wanneer de configuratie wordt gewijzigd, het beperken van beheerrechten zodat alleen geautoriseerde beheerders wijzigingen kunnen aanbrengen, en het implementeren van goedkeuringsprocessen voor configuratiewijzigingen. Door deze preventieve maatregelen te combineren met regelmatige monitoring en snelle remediatie, kunnen organisaties ervoor zorgen dat de beveiligingsconfiguratie consistent wordt gehandhaafd.
Het remediatieproces moet volledig worden gedocumenteerd voor audit- en compliance-doeleinden. Deze documentatie moet bevatten: wanneer de afwijking is geconstateerd, wat de oorzaak was, welke stappen zijn ondernomen om de configuratie te herstellen, welke preventieve maatregelen zijn geïmplementeerd, en wie verantwoordelijk was voor de remediatie. Deze documentatie stelt organisaties in staat om tijdens audits aan te tonen dat ze proactief omgaan met beveiligingsafwijkingen en dat ze beschikken over effectieve processen voor het herstellen van compliance. De documentatie moet worden opgeslagen in een centraal systeem waar deze gemakkelijk kan worden geraadpleegd tijdens audits en compliance-controles.
Naast het documenteren van het remediatieproces zelf, moeten organisaties ook evalueren of de remediatie effectief is geweest. Dit betekent dat beheerders na de remediatie moeten controleren of de configuratie daadwerkelijk is hersteld en of deze stabiel blijft. Als dezelfde afwijking opnieuw optreedt, kan dit wijzen op een dieperliggend probleem, zoals onvoldoende beheerrechten of gebrekkige processen voor configuratiewijzigingen. In dergelijke gevallen moeten organisaties hun processen en procedures herzien om ervoor te zorgen dat afwijkingen niet opnieuw kunnen optreden.
Voor complexe afwijkingen of afwijkingen die zijn veroorzaakt door externe factoren, zoals systeemupgrades of migraties, kan het nodig zijn om aanvullende maatregelen te implementeren. Dit kan bestaan uit het aanpassen van migratieprocedures om ervoor te zorgen dat beveiligingsconfiguraties behouden blijven, het implementeren van extra controles tijdens upgrades, of het instellen van geautomatiseerde verificaties die worden uitgevoerd na belangrijke systeemwijzigingen. Door deze aanvullende maatregelen te implementeren, kunnen organisaties ervoor zorgen dat hun beveiligingsconfiguraties robuust zijn en bestand tegen verschillende soorten wijzigingen en gebeurtenissen.
Het is ook belangrijk om te leren van remediatieprocessen en deze lessen toe te passen op toekomstige implementaties en configuraties. Organisaties moeten regelmatig evalueren welke soorten afwijkingen het meest voorkomen, wat de meest voorkomende oorzaken zijn, en welke preventieve maatregelen het meest effectief zijn. Deze kennis kan worden gebruikt om processen en procedures te verbeteren, om training en voorlichting aan te passen, en om geautomatiseerde controles te verfijnen. Door continu te leren en te verbeteren, kunnen organisaties hun beveiligingspostuur versterken en het risico op toekomstige afwijkingen verminderen.
Compliance & Frameworks
- BIO: 09.04 - wachtwoordbeheer
- ISO 27001:2022: A.9.4.3 - beveiliging van wachtwoordreset
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
SSPR Methods Required 2
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 1.53
Controleert dat SSPR minimaal 2 methods vereist.
.NOTES
Filename: sspr-methods-required-2.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 1.53
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "SSPR Methods Required 2"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer in Entra ID portal:" -ForegroundColor Gray
Write-Host " - Azure AD > Password reset > Authentication methods" -ForegroundColor Gray
Write-Host " - Number of methods required to reset ≥ 2" -ForegroundColor Gray
Write-Host " - Verhoogt security van password reset" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: SSPR 2 methods required" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer in Entra ID portal:" -ForegroundColor Gray
Write-Host " - Azure AD > Password reset > Authentication methods" -ForegroundColor Gray
Write-Host " - Number of methods required to reset ≥ 2" -ForegroundColor Gray
Write-Host " - Verhoogt security van password reset" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: SSPR 2 methods required" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
Medium: Een enkele verificatiemethode voor self-service wachtwoordreset resulteert in zwakke verificatie. Een aanvaller met toegang tot een e-mailaccount kan een wachtwoord resetten zonder een tweede factor, wat leidt tot ongeautoriseerde toegang tot organisatieaccounts. Deze configuratie is vereist voor naleving van BIO 09.04 en NIST 800-63B. Het risico is gemiddeld en betreft de beveiliging van self-service wachtwoordreset.
Management Samenvatting
Self-service wachtwoordreset met minimaal twee verificatiemethoden vereist minimaal twee verificatiemethoden voor wachtwoordreset, zoals e-mail gecombineerd met mobiele app, of mobiele telefoon gecombineerd met beveiligingsvragen. Deze configuratie voorkomt misbruik van reset met één factor. Activatie vindt plaats via Microsoft Entra ID, navigeer naar Wachtwoordreset en stel het aantal methoden vereist voor reset in op twee. Er zijn geen extra kosten verbonden aan deze configuratie bij een Entra ID P1 licentie. Deze maatregel is verplicht voor naleving van BIO 09.04. De implementatietijd bedraagt ongeveer vijftien minuten. Deze configuratie versterkt de verificatie voor self-service wachtwoordreset aanzienlijk.
- Implementatietijd: 1.5 uur
- FTE required: 0.01 FTE