💼 Management Samenvatting
De User Access Administrator rol vormt een van de meest kritieke beveiligingsrisico's binnen Azure-omgevingen vanwege de uitgebreide machtigingen die deze rol verleent. Deze controle verifieert of organisaties de toewijzingen van de User Access Administrator rol hebben geminimaliseerd en effectief monitoren, omdat deze rol kan worden gebruikt voor privilege escalation door het toewijzen van RBAC-rollen, inclusief het zichzelf toekennen van de Owner rol. Door deze rol te beperken en te monitoren, kunnen organisaties een fundamentele beveiligingslaag implementeren die voorkomt dat gebruikers onbevoegd toegang krijgen tot kritieke resources en systemen.
Aanbeveling
MINIMALISEER USER ACCESS ADMINISTRATOR
Risico zonder
High
Risk Score
8/10
Implementatie
4u (tech: 2u)
Van toepassing op:
✓ Azure
De User Access Administrator rol vertegenwoordigt een uniek en significant beveiligingsrisico omdat gebruikers met deze rol de mogelijkheid hebben om RBAC-rollen toe te wijzen aan zichzelf en anderen, inclusief zeer machtige rollen zoals Owner, Global Administrator, of andere privileged rollen. Dit creëert een directe pad voor privilege escalation waarbij een gebruiker met User Access Administrator rechten zichzelf kan promoveren tot een nog machtigere rol zonder dat dit wordt gedetecteerd of goedgekeurd door de juiste autoriteiten. Voor Nederlandse overheidsorganisaties is dit met name kritiek omdat dit kan leiden tot onbevoegde toegang tot gevoelige gegevens, schending van compliance-vereisten, en potentiële datalekken die kunnen resulteren in significante boetes en reputatieschade. Bovendien kan het misbruik van deze rol leiden tot het omzeilen van alle andere beveiligingscontroles die zijn geïmplementeerd, waardoor de gehele beveiligingsarchitectuur wordt ondermijnd. Het risico wordt verder versterkt door het feit dat deze rol vaak wordt toegewezen aan gebruikers die niet volledig begrijpen welke machtigingen zij bezitten, wat kan leiden tot onbedoeld misbruik of het onbewust creëren van beveiligingslekken. Daarnaast vormt de User Access Administrator rol een bijzonder gevaar in scenario's waarbij organisaties werken met externe partners of contractors, omdat deze rol kan worden gebruikt om ongeautoriseerde toegang te verlenen aan externe partijen zonder dat dit wordt opgemerkt door interne beveiligingsteams. Het is daarom essentieel dat organisaties een strikt beleid voeren voor het beheer van deze rol en dat alle toewijzingen worden gemonitord en beoordeeld op regelmatige basis.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.Accounts, Az.Resources
Connection:
Connect-AzAccountRequired Modules: Az.Accounts, Az.Resources
Implementatie
Deze controle omvat het minimaliseren van User Access Administrator roltoewijzingen tot het absolute minimum, het implementeren van uitgebreide monitoring en alerting voor alle toewijzingen van deze rol, en het gebruik van Privileged Identity Management (PIM) voor just-in-time verhoging in plaats van permanente toewijzingen. Organisaties moeten regelmatig auditen welke gebruikers of service principals de User Access Administrator rol hebben toegewezen, onnodige toewijzingen verwijderen, en ervoor zorgen dat alle toewijzingen worden gerechtvaardigd en goedgekeurd door de juiste autoriteiten. Daarnaast moeten organisaties waarschuwingen configureren die automatisch worden geactiveerd wanneer nieuwe toewijzingen worden gemaakt, zodat beveiligingsteams onmiddellijk kunnen reageren op potentiële beveiligingsincidenten of onbevoegde wijzigingen.
Vereisten
Voor het implementeren van deze beveiligingscontrole voor de User Access Administrator rol zijn specifieke technische en organisatorische vereisten noodzakelijk. De primaire technische vereiste is een actief Azure-abonnement met voldoende rechten om roltoewijzingen te beheren en te monitoren. Organisaties moeten beschikken over een Azure Active Directory (Entra ID) tenant waarop de beveiligingsmaatregelen kunnen worden toegepast. Deze tenant moet correct zijn geconfigureerd met alle benodigde beveiligingsinstellingen en moet voldoen aan de basisvereisten voor beveiligingsmonitoring. Daarnaast is toegang tot de Azure Portal of Azure PowerShell vereist voor het uitvoeren van audits en het beheren van roltoewijzingen. De Azure Portal biedt een gebruiksvriendelijke interface voor het beheren van roltoewijzingen, terwijl Azure PowerShell meer geavanceerde automatisering mogelijk maakt voor grootschalige omgevingen. Voor geavanceerde monitoring en automatisering is het aanbevolen om Azure Monitor en Azure Log Analytics te configureren, zodat alle wijzigingen aan roltoewijzingen kunnen worden vastgelegd en geanalyseerd. Deze tools maken het mogelijk om real-time waarschuwingen te ontvangen wanneer nieuwe roltoewijzingen worden gemaakt en om historische trends te analyseren in het gebruik van privileged rollen. Organisatorisch gezien moeten beveiligingsteams beschikken over de juiste autorisaties om wijzigingen door te voeren en moeten er duidelijke procedures zijn voor het goedkeuren van nieuwe roltoewijzingen. Deze procedures moeten worden gedocumenteerd en moeten worden gecommuniceerd naar alle relevante stakeholders binnen de organisatie. Voor organisaties die Privileged Identity Management willen implementeren, is een Azure AD Premium P2 licentie vereist voor elke gebruiker die gebruik maakt van PIM-functionaliteiten. Deze licentie is essentieel voor just-in-time toegang en voor het implementeren van tijdsgebonden roltoewijzingen die automatisch verlopen. De kosten van deze licenties moeten worden meegenomen in de budgetplanning, en organisaties moeten overwegen of alle gebruikers die in aanmerking komen voor privileged rollen daadwerkelijk een Premium P2 licentie nodig hebben. Bovendien moeten organisaties beschikken over gedocumenteerde beveiligingsbeleidsregels die de voorwaarden en procedures voor het toewijzen van de User Access Administrator rol vastleggen, inclusief goedkeuringsprocessen en beoordelingscycli. Deze beleidsregels moeten regelmatig worden bijgewerkt om te reflecteren op veranderingen in de organisatie en nieuwe beveiligingsrisico's. Daarnaast moeten organisaties beschikken over getrainde personeel dat de technische vaardigheden heeft om de beveiligingsmaatregelen correct te implementeren en te onderhouden. Dit omvat kennis van Azure RBAC, Privileged Identity Management, en beveiligingsmonitoring tools. Organisaties moeten ook overwegen om externe expertise in te schakelen als interne kennis ontbreekt, omdat een verkeerde implementatie van beveiligingsmaatregelen kan leiden tot valse gevoel van veiligheid of zelfs tot nieuwe beveiligingslekken. Naast deze basisvereisten moeten organisaties ook rekening houden met netwerkvereisten voor het beheren van Azure-resources. Beveiligingsadministrators moeten beschikken over beveiligde netwerkverbindingen, bij voorkeur via een Virtual Private Network (VPN) of een dedicated netwerkverbinding, om ervoor te zorgen dat alle communicatie met Azure-services wordt versleuteld en beveiligd. Organisaties moeten ook overwegen om Conditional Access-beleid te implementeren dat specifieke netwerklocaties of apparaten vereist voor het beheren van privileged rollen, wat de beveiliging verder versterkt. Bovendien moeten organisaties beschikken over een robuust backup- en herstelproces voor alle configuraties en beleidsregels die betrekking hebben op roltoewijzingen, zodat in het geval van een incident of foutieve configuratie snel kan worden teruggekeerd naar een bekende goede staat.
Monitoring
Gebruik PowerShell-script user-access-admin-restricted.ps1 (functie Invoke-Monitoring) – Controleren.
Effectieve monitoring van de User Access Administrator roltoewijzingen vormt de kern van een robuuste beveiligingsstrategie. Organisaties moeten een systematische aanpak implementeren waarbij alle huidige toewijzingen van de User Access Administrator rol regelmatig worden geïnventariseerd en geëvalueerd. Het monitoringproces begint met het verkrijgen van een volledig overzicht van alle gebruikers, service principals en beheerde identiteiten die momenteel deze rol hebben toegewezen gekregen. Dit kan worden bereikt door gebruik te maken van Azure PowerShell-cmdlets zoals Get-AzRoleAssignment met de specifieke roldefinitienaam 'User Access Administrator', of via de Azure Portal door te navigeren naar de Access Control (IAM) sectie van elk abonnement en management group. Het is belangrijk om te begrijpen dat roltoewijzingen kunnen worden gemaakt op verschillende niveaus binnen de Azure-hiërarchie, en dat organisaties alle niveaus moeten controleren om een volledig beeld te krijgen. Dit omvat management groups, abonnementen, resource groups, en individuele resources. Het is cruciaal dat organisaties een baseline vaststellen van het aantal toegestane toewijzingen, waarbij de algemene richtlijn is dat dit aantal minimaal moet zijn en idealiter minder dan vijf toewijzingen bedraagt voor de gehele organisatie. Deze beperking is gebaseerd op het principe van minimale rechten en het minimaliseren van het aanvalsoppervlak. Voor elke toewijzing moet worden gedocumenteerd wie de rol heeft, waarom deze is toegewezen, wanneer de toewijzing is gemaakt, en wie deze heeft goedgekeurd. Deze documentatie moet worden opgeslagen in een centraal beheerd systeem dat toegankelijk is voor beveiligingsteams en auditors. Daarnaast moeten organisaties waarschuwingen configureren in Azure Monitor die automatisch worden geactiveerd wanneer nieuwe toewijzingen worden gemaakt, zodat beveiligingsteams onmiddellijk op de hoogte worden gesteld van potentiële beveiligingsincidenten. Deze waarschuwingen moeten worden geconfigureerd om e-mailnotificaties te versturen naar beveiligingsadministrators en moeten worden geïntegreerd met Security Information and Event Management (SIEM) systemen voor centrale logging en analyse. De waarschuwingen moeten ook worden geconfigureerd met verschillende prioriteitsniveaus, waarbij kritieke toewijzingen zoals toewijzingen aan externe gebruikers of service principals een hogere prioriteit krijgen. Het monitoringproces moet ook regelmatige reviews omvatten, bij voorkeur maandelijks of kwartaal, waarbij elke toewijzing wordt geëvalueerd op basis van de huidige behoefte en de rechtvaardiging voor het behoud van de rol. Tijdens deze reviews moeten organisaties controleren of de gebruiker nog steeds werkzaam is binnen de organisatie, of de rol nog steeds noodzakelijk is voor hun functie, en of er alternatieve oplossingen zijn die minder privileges vereisen. Deze reviews moeten worden uitgevoerd door een onafhankelijke partij binnen de organisatie, zoals een beveiligingsteam of een compliance officer, om ervoor te zorgen dat er geen belangenverstrengeling is. Voor organisaties die Privileged Identity Management hebben geïmplementeerd, moet het monitoringproces ook de activeringsgeschiedenis omvatten, waarbij wordt gecontroleerd wanneer gebruikers hun rol hebben geactiveerd, hoe lang de activering heeft geduurd, en of er ongebruikelijke patronen zijn die kunnen wijzen op misbruik. Organisaties moeten ook controleren of gebruikers hun rollen activeren buiten normale werkuren of op ongebruikelijke locaties, wat kan wijzen op gecompromitteerde accounts. Daarnaast moeten organisaties regelmatig controleren of er pogingen zijn geweest om de User Access Administrator rol toe te wijzen aan accounts die niet zijn goedgekeurd, of aan accounts die zijn gemarkeerd als verdacht. Alle monitoringactiviteiten moeten worden vastgelegd in audit logs die minimaal zeven jaar worden bewaard, conform de Nederlandse wet- en regelgeving voor overheidsorganisaties. Deze logs moeten worden beveiligd tegen wijziging of verwijdering en moeten regelmatig worden gecontroleerd op tekenen van ongeautoriseerde toegang.
Implementatie
Gebruik PowerShell-script user-access-admin-restricted.ps1 (functie Invoke-Implementation) – Implementeren.
De implementatie van beveiligingsmaatregelen voor de User Access Administrator rol vereist een gestructureerde aanpak die begint met een grondige audit van alle bestaande toewijzingen. Het implementatieproces start met het uitvoeren van een volledige inventarisatie van alle huidige roltoewijzingen door gebruik te maken van Azure PowerShell-cmdlets. Beveiligingsadministrators moeten de Get-AzRoleAssignment cmdlet uitvoeren met de parameter -RoleDefinitionName 'User Access Administrator' voor elk Azure-abonnement en elke management group binnen de organisatie. Deze audit moet worden uitgevoerd op alle niveaus van de Azure-hiërarchie, omdat roltoewijzingen kunnen worden gemaakt op het niveau van management groups, abonnementen, resource groups, of individuele resources. Het is belangrijk om te begrijpen dat roltoewijzingen op hogere niveaus in de hiërarchie automatisch worden overgenomen door lagere niveaus, wat betekent dat organisaties moeten controleren op zowel expliciete als geërfde toewijzingen. Tijdens de auditfase moeten organisaties voor elke toewijzing documenteren wie de rol heeft, wanneer deze is toegewezen, door wie deze is goedgekeurd, en wat de zakelijke rechtvaardiging is voor het behoud van de rol. Deze documentatie moet worden opgeslagen in een centraal beheerd systeem en moet regelmatig worden geüpdatet om te reflecteren op veranderingen in de organisatie. Na het voltooien van de audit moeten organisaties een beoordelingsproces doorlopen waarbij elke toewijzing wordt geëvalueerd op basis van de huidige behoefte en de principes van minimale rechten. Onnodige toewijzingen moeten onmiddellijk worden verwijderd, waarbij organisaties ervoor moeten zorgen dat de verwijdering wordt gedocumenteerd en goedgekeurd door de juiste autoriteiten. Het is belangrijk om te communiceren met gebruikers wier toegang wordt gewijzigd, om ervoor te zorgen dat zij begrijpen waarom de wijzigingen worden doorgevoerd en hoe zij in de toekomst toegang kunnen krijgen wanneer dit nodig is. Voor toewijzingen die legitiem zijn maar niet permanent nodig zijn, moeten organisaties overstappen op Privileged Identity Management (PIM) voor just-in-time verhoging. PIM maakt het mogelijk om gebruikers in aanmerking te laten komen voor de rol zonder deze permanent toe te wijzen, waardoor gebruikers de rol alleen kunnen activeren wanneer dit daadwerkelijk nodig is voor een specifieke taak. Wanneer een gebruiker de rol activeert via PIM, wordt deze automatisch na een vooraf gedefinieerde periode gedeactiveerd, wat het risico op misbruik aanzienlijk vermindert. Organisaties moeten PIM configureren met passende goedkeuringsvereisten, waarbij belangrijke rolactiveringen moeten worden goedgekeurd door een bevoegde autoriteit voordat de gebruiker toegang krijgt. Deze goedkeuringsvereisten moeten worden geconfigureerd op basis van het risiconiveau van de rol en de gevoeligheid van de resources waartoe toegang wordt verkregen. Daarnaast moeten organisaties uitgebreide waarschuwingen configureren die automatisch worden geactiveerd wanneer nieuwe toewijzingen van de User Access Administrator rol worden gemaakt. Deze waarschuwingen moeten worden geconfigureerd in Azure Monitor en moeten e-mailnotificaties versturen naar beveiligingsadministrators, evenals log entries creëren in Azure Log Analytics voor verdere analyse. De waarschuwingen moeten ook worden geïntegreerd met Security Information and Event Management (SIEM) systemen voor centrale monitoring en incidentafhandeling. Het implementatieproces moet ook het opstellen van duidelijke procedures omvatten voor het aanvragen, goedkeuren en toewijzen van de User Access Administrator rol in de toekomst, waarbij wordt vastgelegd wie bevoegd is om toewijzingen goed te keuren, welke documentatie vereist is, en hoe lang toewijzingen geldig blijven voordat ze opnieuw moeten worden beoordeeld. Deze procedures moeten worden gecommuniceerd naar alle relevante stakeholders en moeten regelmatig worden geüpdatet om te reflecteren op veranderingen in de organisatie of nieuwe beveiligingsrisico's. Organisaties moeten ook overwegen om automatisering te implementeren voor het beheren van roltoewijzingen, waarbij gebruik wordt gemaakt van Azure Automation of andere orchestratie tools om ervoor te zorgen dat alle toewijzingen worden gedocumenteerd en goedgekeurd voordat ze worden doorgevoerd.
Compliance en Auditing
Het beperken en monitoren van de User Access Administrator rol is een kritieke vereiste voor naleving van meerdere beveiligingsstandaarden en compliance-frameworks die relevant zijn voor Nederlandse overheidsorganisaties. De Center for Internet Security (CIS) Azure Foundations Benchmark controle 1.25 specificeert expliciet dat organisaties de toewijzingen van de User Access Administrator rol moeten beperken tot het absolute minimum. Deze controle is geclassificeerd als Level 2, wat betekent dat deze wordt aanbevolen voor omgevingen met verhoogde beveiligingsvereisten. De CIS-richtlijn benadrukt dat de User Access Administrator rol een uniek beveiligingsrisico vormt omdat gebruikers met deze rol de mogelijkheid hebben om zichzelf of anderen machtigere rollen toe te wijzen, wat kan leiden tot ongeautoriseerde privilege escalation. Naleving van CIS-controles is belangrijk voor organisaties die werken met gevoelige gegevens of die moeten voldoen aan strikte beveiligingsvereisten, en het niet naleven van deze controles kan leiden tot beveiligingsincidenten en compliance-problemen. Voor Nederlandse overheidsorganisaties is naleving van de Baseline Informatiebeveiliging Overheid (BIO) eveneens van cruciaal belang. BIO controle 09.02 richt zich specifiek op privileged toegangsbeheer en vereist dat organisaties een strikt beheer voeren over accounts met verhoogde rechten. Deze controle maakt deel uit van het BIO-domein voor toegangsbeheer en benadrukt het belang van het minimaliseren van het aantal accounts met uitgebreide privileges, het implementeren van regelmatige reviews van toegangsrechten, en het gebruik van technische controles om ongeautoriseerde toegang te voorkomen. De BIO-richtlijnen zijn bindend voor alle Nederlandse overheidsorganisaties en vormen de basis voor informatiebeveiliging binnen de publieke sector. Organisaties die niet voldoen aan BIO-vereisten kunnen worden geconfronteerd met audits, boetes, of andere sancties, en kunnen hun reputatie schaden door het niet naleven van beveiligingsstandaarden. Daarnaast moeten organisaties die werken met internationale standaarden ook voldoen aan ISO 27001 controle A.9.2.3, die betrekking heeft op het beheer van privileged toegangsrechten. Deze controle vereist dat organisaties de toewijzing en het gebruik van privileged toegangsrechten controleren en beperken, waarbij wordt geëist dat alle toewijzingen worden geautoriseerd, gedocumenteerd en regelmatig worden beoordeeld. ISO 27001 A.9.2.3 benadrukt ook het belang van het scheiden van taken, waarbij organisaties moeten voorkomen dat individuele gebruikers te veel privileges hebben geconcentreerd in één account. Naleving van ISO 27001 is belangrijk voor organisaties die certificering willen behalen of die moeten voldoen aan internationale beveiligingsstandaarden, en het kan helpen bij het aantonen van due diligence in het beheer van beveiligingsrisico's. Voor Nederlandse overheidsorganisaties die werken met persoonsgegevens is ook naleving van de Algemene Verordening Gegevensbescherming (AVG) relevant, waarbij artikel 32 vereist dat organisaties passende technische en organisatorische maatregelen treffen om persoonsgegevens te beveiligen. Het beperken van privileged toegang vormt een essentieel onderdeel van deze maatregelen, omdat ongeautoriseerde toegang tot systemen die persoonsgegevens verwerken kan leiden tot datalekken en significante boetes. Organisaties die niet voldoen aan AVG-vereisten kunnen worden geconfronteerd met boetes tot twintig miljoen euro of vier procent van de wereldwijde jaaromzet, wat kan leiden tot significante financiële schade en reputatieschade. Organisaties moeten daarom uitgebreide audit logs bijhouden van alle wijzigingen aan roltoewijzingen, waarbij deze logs minimaal zeven jaar worden bewaard conform de Nederlandse Archiefwet. Deze audit logs moeten alle relevante informatie bevatten, inclusief wie de wijziging heeft aangebracht, wanneer deze heeft plaatsgevonden, wat de wijziging was, en wie deze heeft goedgekeurd. De logs moeten ook worden beveiligd tegen wijziging of verwijdering en moeten regelmatig worden gecontroleerd op tekenen van ongeautoriseerde toegang. Regelmatige compliance-audits moeten worden uitgevoerd om te verifiëren dat alle beveiligingsmaatregelen correct zijn geïmplementeerd en dat organisaties voldoen aan alle relevante standaarden en regelgeving. Deze audits moeten worden uitgevoerd door onafhankelijke partijen en moeten worden gedocumenteerd voor toekomstige referentie.
Remediatie
Gebruik PowerShell-script user-access-admin-restricted.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer organisaties tijdens een audit of monitoringactiviteit ontdekken dat er te veel toewijzingen van de User Access Administrator rol zijn, of dat er ongerechtvaardigde toewijzingen bestaan, moeten zij onmiddellijk een remediatieproces doorlopen om de beveiligingsrisico's te mitigeren. Het remediatieproces begint met een grondige analyse van alle bestaande toewijzingen, waarbij voor elke toewijzing wordt beoordeeld of deze legitiem is en noodzakelijk voor de dagelijkse operaties. Deze analyse moet worden uitgevoerd door een bevoegd beveiligingsteam of een compliance officer, en moet worden gedocumenteerd voor toekomstige referentie. Organisaties moeten een prioriteringsmatrix ontwikkelen waarbij toewijzingen worden geclassificeerd op basis van hun kritikaliteit en de zakelijke rechtvaardiging. Deze matrix moet worden gebruikt om te bepalen welke toewijzingen onmiddellijk moeten worden verwijderd en welke toewijzingen kunnen worden behouden of geconverteerd naar Privileged Identity Management. Toewijzingen die als onnodig of ongerechtvaardigd worden geclassificeerd, moeten onmiddellijk worden verwijderd, waarbij organisaties ervoor moeten zorgen dat de verwijdering wordt gedocumenteerd en goedgekeurd door de juiste autoriteiten. Het is belangrijk om te communiceren met gebruikers wier toegang wordt verwijderd, om ervoor te zorgen dat zij begrijpen waarom de wijzigingen worden doorgevoerd en hoe zij in de toekomst toegang kunnen krijgen wanneer dit nodig is. Voor toewijzingen die legitiem zijn maar niet permanent nodig zijn, moeten organisaties overstappen op Privileged Identity Management (PIM) voor just-in-time verhoging. Dit proces vereist dat organisaties eerst PIM configureren binnen hun Azure Active Directory tenant, wat Azure AD Premium P2 licenties vereist voor alle gebruikers die gebruik zullen maken van PIM-functionaliteiten. De configuratie van PIM moet worden uitgevoerd door een bevoegde beheerder en moet worden getest voordat deze in productie wordt genomen. Zodra PIM is geconfigureerd, moeten organisaties de permanente roltoewijzingen verwijderen en deze vervangen door PIM-eligible toewijzingen, waarbij gebruikers de rol kunnen activeren wanneer dit nodig is voor een specifieke taak. Tijdens het remediatieproces moeten organisaties ook uitgebreide waarschuwingen configureren die automatisch worden geactiveerd wanneer nieuwe toewijzingen worden gemaakt, zodat beveiligingsteams onmiddellijk kunnen reageren op potentiële beveiligingsincidenten. Deze waarschuwingen moeten worden geconfigureerd in Azure Monitor en moeten e-mailnotificaties versturen naar beveiligingsadministrators, evenals log entries creëren in Azure Log Analytics voor verdere analyse. De waarschuwingen moeten ook worden geïntegreerd met Security Information and Event Management (SIEM) systemen voor centrale monitoring en incidentafhandeling. Organisaties moeten ook procedures opstellen voor het aanvragen, goedkeuren en toewijzen van de User Access Administrator rol in de toekomst, waarbij wordt vastgelegd wie bevoegd is om toewijzingen goed te keuren, welke documentatie vereist is, en hoe lang toewijzingen geldig blijven voordat ze opnieuw moeten worden beoordeeld. Deze procedures moeten worden gecommuniceerd naar alle relevante stakeholders en moeten regelmatig worden geüpdatet om te reflecteren op veranderingen in de organisatie. Het is belangrijk dat organisaties tijdens het remediatieproces communiceren met alle betrokken stakeholders, inclusief gebruikers wier toegang wordt gewijzigd, om ervoor te zorgen dat zij begrijpen waarom de wijzigingen worden doorgevoerd en hoe zij in de toekomst toegang kunnen krijgen wanneer dit nodig is. Deze communicatie moet worden gedocumenteerd en moet worden opgenomen in de audit logs voor toekomstige referentie. Na het voltooien van het remediatieproces moeten organisaties regelmatige reviews plannen om te verifiëren dat de beveiligingsmaatregelen effectief blijven en dat er geen nieuwe ongerechtvaardigde toewijzingen zijn gemaakt. Deze reviews moeten worden uitgevoerd door een onafhankelijke partij en moeten worden gedocumenteerd voor compliance-doeleinden.
Compliance & Frameworks
- CIS M365: Control 1.25 (L2) - Restrict UAA rol
- BIO: 09.02 - Privileged Toegangsbeheer
- ISO 27001:2022: A.9.2.3 - Privileged toegangsrechten
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
User Access Admin Restricted
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 1.56
Controleert dat User Access Administrator role beperkt is.
.NOTES
Filename: user-access-admin-restricted.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 1.56
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Resources
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "User Access Admin Restricted"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
function Test-Compliance {
$uaaAssignments = Get-AzRoleAssignment -RoleDefinitionName "User Access Administrator" -ErrorAction SilentlyContinue
$result = @{ TotalUAAAssignments = $uaaAssignments.Count }
return $result
}
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "User Access Administrator Assignments: $($r.TotalUAAAssignments)" -ForegroundColor $(if ($r.TotalUAAAssignments -le 2) { 'Green' } else { 'Yellow' })
if ($r.TotalUAAAssignments -gt 2) {
Write-Host "`n⚠️ Minimaliseer User Access Administrator assignments" -ForegroundColor Yellow
Write-Host "Deze role heeft zeer hoge privileges" -ForegroundColor Gray
}
}
else {
$r = Test-Compliance
Write-Host "`nUser Access Administrator: $($r.TotalUAAAssignments) assignments"
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "User Access Administrator Assignments: $($r.TotalUAAAssignments)" -ForegroundColor $(if ($r.TotalUAAAssignments -le 2) { 'Green' } else { 'Yellow' })
if ($r.TotalUAAAssignments -gt 2) {
Write-Host "`n⚠️ Minimaliseer User Access Administrator assignments" -ForegroundColor Yellow
Write-Host "Deze role heeft zeer hoge privileges" -ForegroundColor Gray
}
}
else {
$r = Test-Compliance
Write-Host "`nUser Access Administrator: $($r.TotalUAAAssignments) assignments"
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
High: Overmatige toewijzingen van de User Access Administrator rol creëren een direct risico op privilege escalation. Gebruikers met deze rol kunnen RBAC-rollen toewijzen aan zichzelf en anderen, wat kan leiden tot het creëren van backdoors en ongeautoriseerde toegang tot kritieke systemen. Naleving van CIS 1.25 en BIO 9.02 wordt geschonden, wat kan resulteren in compliance-problemen en potentiële boetes. Het risico is hoog vanwege de mogelijkheid tot privilege escalation en het omzeilen van andere beveiligingscontroles.
Management Samenvatting
User Access Administrator Beperkt: Minimaliseer roltoewijzingen tot maximaal twee tot drie accounts, gebruik Privileged Identity Management voor just-in-time verhoging in plaats van permanente toewijzingen, voer kwartaalreviews uit om de voortdurende behoefte te verifiëren. Activatie: Audit roltoewijzingen, verwijder overbodige toewijzingen, implementeer Privileged Identity Management. Gratis implementatie (Privileged Identity Management vereist Azure AD Premium P2 licenties). Verplicht voor CIS 1.25, BIO 9.02. Implementatietijd: twee tot vier uur voor audit en Privileged Identity Management configuratie. Vermindert het risico op privilege escalation aanzienlijk.
- Implementatietijd: 4 uur
- FTE required: 0.03 FTE