💼 Management Samenvatting
Als gebruikerstoestemming voor applicaties is toegestaan, beperk dit dan uitsluitend tot geverifieerde uitgevers om kwaadaardige app-registraties te voorkomen.
Aanbeveling
IMPLEMENTEER BEPERKING TOT GEVERIFIEERDE UITGEVERS
Risico zonder
Medium
Risk Score
6/10
Implementatie
1.5u (tech: 0.5u)
Van toepassing op:
✓ Azure
Niet-geverifieerde uitgevers kunnen kwaadaardige applicaties vertegenwoordigen die een aanzienlijk beveiligingsrisico vormen voor organisaties. Geverifieerde uitgevers hebben een gevalideerde identiteit bij Microsoft, wat betekent dat hun bedrijfsgegevens zijn geverifieerd en dat zij voldoen aan strikte verificatiecriteria. Deze verificatie biedt een extra beveiligingslaag door te garanderen dat alleen legitieme organisaties applicaties kunnen publiceren die gebruikers kunnen toestaan om toegang te krijgen tot organisatiegegevens.
PowerShell Modules Vereist
Primary API: Microsoft Graph
Connection:
Required Modules: Microsoft.Graph
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph
Implementatie
Deze controle implementeert beveiligingsbest practices via Azure Policy, ARM-templates of Microsoft Intune om cloudresources en eindpunten te beschermen volgens actuele nalevingskaders. Door gebruikerstoestemming te beperken tot geverifieerde uitgevers, vermindert een organisatie het risico dat gebruikers per ongeluk toegang verlenen aan kwaadaardige of onbetrouwbare applicaties die kunnen worden gebruikt voor phishing, gegevensexfiltratie of andere cyberaanvallen.
Vereisten
De implementatie van beperkte gebruikerstoestemming vereist een grondige voorbereiding en een duidelijk begrip van de technische en organisatorische vereisten. Allereerst is een actieve Entra ID-tenant onmisbaar voor deze controle. Entra ID, dat voorheen bekend stond als Azure Active Directory, vormt de fundamentele basis voor identiteits- en toegangsbeheer binnen alle Microsoft-cloudomgevingen. Deze tenant moet beschikken over de juiste licentieconfiguratie om gebruikersconsent-instellingen daadwerkelijk te kunnen beheren en configureren. Zonder de benodigde licenties kunnen beheerders mogelijk niet over de volledige functionaliteit beschikken die nodig is om deze beveiligingscontrole effectief te implementeren. Organisaties moeten bovendien ervoor zorgen dat zij beschikken over de benodigde beheerdersrechten om wijzigingen aan te brengen in de consent- en permissions-instellingen binnen de Entra ID-omgeving. Deze rechten zijn typisch beschikbaar voor rollen zoals Global Administrator, Security Administrator of Application Administrator. Het is van cruciaal belang dat de persoon die de implementatie uitvoert over voldoende rechten beschikt, omdat anders de configuratie mogelijk niet kan worden voltooid of later onbedoeld kan worden teruggedraaid door andere beheerders met hogere rechten. Een ander essentieel vereiste is dat de organisatie beschikt over een duidelijk en actueel inzicht in de huidige staat van gebruikerstoestemmingen en de applicaties die momenteel toegang hebben tot organisatiegegevens via gebruikersconsent. Dit inzicht is fundamenteel om een effectieve en veilige overgang naar een beperkt consent-model te kunnen maken zonder onbedoeld legitieme applicaties te blokkeren die mogelijk al in gebruik zijn en waarvan de organisatie afhankelijk is voor dagelijkse operaties. Het ontbreken van dit inzicht kan leiden tot operationele verstoringen wanneer kritieke applicaties plotseling niet meer toegankelijk zijn voor gebruikers. Voorafgaand aan de implementatie moeten organisaties daarom een uitgebreide inventarisatie uitvoeren van alle applicaties die momenteel gebruikersconsent gebruiken. Deze inventarisatie moet niet alleen de applicatienamen bevatten, maar ook informatie over welke gebruikers deze applicaties gebruiken, welke machtigingen zij hebben verkregen, en of de uitgever van de applicatie geverifieerd is bij Microsoft. Deze informatie vormt de basis voor het maken van weloverwogen beslissingen over welke applicaties behouden moeten blijven via beheerdersconsent en welke mogelijk moeten worden verwijderd of vervangen door alternatieve oplossingen. Daarnaast is het belangrijk dat organisaties beschikken over een duidelijk gedefinieerd proces voor het beheren van applicatietoestemmingen na de implementatie. Dit proces moet beschrijven hoe nieuwe applicaties kunnen worden goedgekeurd, wie verantwoordelijk is voor het beoordelen van toestemmingsverzoeken, en hoe gebruikers kunnen worden geïnformeerd over wijzigingen in het toestemmingsbeleid. Zonder een dergelijk proces kan de implementatie leiden tot verwarring en frustratie bij gebruikers, wat op zijn beurt kan resulteren in beveiligingsrisico's wanneer gebruikers proberen omwegen te vinden om applicaties te gebruiken die niet zijn goedgekeurd.
Monitoring
Gebruik PowerShell-script user-consent-verified-publishers.ps1 (functie Invoke-Monitoring) – Controleren.
Het monitoren van gebruikerstoestemming-instellingen vormt een kritieke beveiligingstaak die regelmatig en systematisch moet worden uitgevoerd om te verzekeren dat de organisatie blijft voldoen aan de beveiligingsstandaarden en compliance-vereisten. Deze monitoring is niet een eenmalige activiteit, maar een continu proces dat deel uitmaakt van de dagelijkse beveiligingsoperaties. De monitoring moet primair verifiëren dat gebruikerstoestemming ofwel volledig is uitgeschakeld, waarbij alleen beheerdersconsent is toegestaan, of dat gebruikerstoestemming uitsluitend is toegestaan voor applicaties van geverifieerde uitgevers. Elke andere configuratie vormt een potentieel beveiligingsrisico dat onmiddellijk moet worden aangepakt. Deze verificatie moet worden uitgevoerd via de Entra ID-beheerconsole, specifiek binnen het gedeelte Enterprise apps, waar de instellingen voor Consent en permissions kunnen worden gecontroleerd. Beheerders moeten vertrouwd zijn met de navigatie naar deze instellingen en moeten begrijpen hoe zij de huidige configuratie kunnen interpreteren. Het is belangrijk om te realiseren dat deze instellingen op verschillende niveaus kunnen worden geconfigureerd, waaronder op tenantniveau en op applicatieniveau, wat betekent dat monitoring beide niveaus moet omvatten om een volledig beeld te krijgen van de beveiligingsstatus. Organisaties moeten een gestructureerd en gedocumenteerd monitoringproces implementeren dat periodiek controleert of de instellingen niet onbedoeld zijn gewijzigd. Dergelijke wijzigingen kunnen optreden door verschillende oorzaken, zoals acties van andere beheerders die mogelijk niet op de hoogte zijn van het beveiligingsbeleid, automatische updates van Microsoft die instellingen kunnen resetten, of zelfs kwaadaardige activiteiten waarbij een aanvaller probeert de beveiligingsinstellingen te wijzigen om toegang te verkrijgen. Het monitoringproces moet daarom niet alleen de huidige staat controleren, maar ook wijzigingen detecteren en rapporteren. Het is aanbevolen om deze controle minimaal maandelijks uit te voeren, of vaker indien er wijzigingen zijn aangebracht in de beheerdersrollen, wanneer er incidenten zijn geweest die verband houden met applicatietoegang, of wanneer er andere beveiligingsgebeurtenissen hebben plaatsgevonden die mogelijk verband houden met applicatietoestemmingen. Organisaties met een hoger beveiligingsprofiel of die werken met zeer gevoelige gegevens kunnen overwegen om deze controle wekelijks of zelfs dagelijks uit te voeren, afhankelijk van hun risicotolerantie en compliance-vereisten. Daarnaast moeten organisaties een uitgebreid auditlogboek bijhouden van alle wijzigingen aan consent-instellingen. Dit logboek moet niet alleen de technische details bevatten, zoals wie de wijziging heeft aangebracht en wanneer deze is uitgevoerd, maar ook de contextuele informatie zoals wat de reden was voor de wijziging, welke goedkeuringen zijn verkregen voordat de wijziging werd doorgevoerd, en wat de impact is geweest van de wijziging op de beveiligingsstatus van de organisatie. Dit auditlogboek is essentieel voor compliance-doeleinden, omdat auditoren zullen vragen naar bewijs dat de instellingen daadwerkelijk worden gemonitord en beheerd, en voor het identificeren van potentiële beveiligingsincidenten waarbij instellingen mogelijk zijn gewijzigd door onbevoegde personen. Geautomatiseerde monitoring tools kunnen een waardevolle aanvulling zijn op handmatige controles. Deze tools kunnen continu de instellingen monitoren en direct waarschuwingen genereren wanneer er wijzigingen worden gedetecteerd, wat veel sneller is dan maandelijkse handmatige controles. Organisaties kunnen gebruik maken van Microsoft Graph API of PowerShell scripts om dergelijke geautomatiseerde monitoring te implementeren. Deze geautomatiseerde monitoring moet echter worden aangevuld met periodieke handmatige verificaties om te verzekeren dat de geautomatiseerde systemen correct functioneren en dat er geen subtiele wijzigingen worden gemist die mogelijk niet worden gedetecteerd door de geautomatiseerde controles.
Implementatie
Gebruik PowerShell-script user-consent-verified-publishers.ps1 (functie Invoke-Implementation) – Implementeren.
De implementatie van beperkte gebruikerstoestemming vereist een weloverwogen aanpak die rekening houdt met de specifieke beveiligingsvereisten en operationele behoeften van de organisatie. Er zijn twee primaire implementatiemethoden beschikbaar, elk met hun eigen voor- en nadelen. De eerste en meest veilige methode is het volledig uitschakelen van alle gebruikerstoestemming, waarbij alleen beheerdersconsent is toegestaan. Deze aanpak biedt het hoogste beveiligingsniveau omdat gebruikers geen enkele applicatie kunnen toestaan zonder expliciete goedkeuring van een beheerder met de juiste rechten. Dit voorkomt volledig het risico dat gebruikers per ongeluk toegang verlenen aan kwaadaardige applicaties die kunnen worden gebruikt voor phishing, data-exfiltratie of andere vormen van cybercriminaliteit. Deze volledige blokkering van gebruikerstoestemming vereist echter wel dat beheerders actief betrokken zijn bij het goedkeuren van nieuwe applicaties die gebruikers nodig hebben voor hun dagelijkse werkzaamheden. Dit kan leiden tot operationele vertragingen wanneer gebruikers moeten wachten op beheerdersgoedkeuring voordat zij een nieuwe applicatie kunnen gebruiken. Organisaties die voor deze aanpak kiezen, moeten daarom een duidelijk en responsief proces hebben voor het beoordelen en goedkeuren van applicatietoestemmingsverzoeken, zodat gebruikers niet onnodig worden gehinderd in hun productiviteit terwijl de beveiliging wordt gewaarborgd. Als alternatief kunnen organisaties ervoor kiezen om gebruikerstoestemming toe te staan, maar uitsluitend voor applicaties van geverifieerde uitgevers. Deze aanpak biedt een balans tussen beveiliging en gebruikersgemak, omdat gebruikers nog steeds zelfstandig applicaties kunnen toestaan van vertrouwde uitgevers zoals Microsoft, Salesforce, Adobe en andere grote technologiebedrijven die hun identiteit hebben geverifieerd bij Microsoft. Deze verificatie betekent dat Microsoft heeft gecontroleerd dat de uitgever daadwerkelijk is wie zij claimen te zijn, dat hun bedrijfsgegevens zijn geverifieerd, en dat zij voldoen aan strikte verificatiecriteria. Deze optie is bijzonder geschikt voor organisaties die gebruikers meer autonomie willen geven bij het selecteren van productiviteitsapplicaties, maar tegelijkertijd het risico willen beperken door alleen geverifieerde uitgevers toe te staan. De configuratie van deze instellingen wordt uitgevoerd binnen de Entra ID-beheerconsole, die toegankelijk is via de Azure Portal. Beheerders navigeren naar de Enterprise apps sectie, waar zij de optie Consent en permissions kunnen selecteren. Binnen dit gedeelte kunnen zij de gewenste instelling configureren voor gebruikerstoestemming op tenantniveau. Het is belangrijk om te realiseren dat deze instellingen van invloed zijn op alle gebruikers binnen de tenant, wat betekent dat de implementatie zorgvuldig moet worden gepland om onbedoelde verstoringen te voorkomen. Voorafgaand aan de daadwerkelijke configuratie is het essentieel om een uitgebreide inventarisatie te maken van alle applicaties die momenteel gebruikersconsent gebruiken. Deze inventarisatie moet niet alleen identificeren welke applicaties worden gebruikt, maar ook welke gebruikers deze applicaties gebruiken, welke machtigingen zij hebben verkregen, en of de uitgever van de applicatie geverifieerd is bij Microsoft. Deze informatie is cruciaal om te kunnen beoordelen welke applicaties mogelijk worden beïnvloed door de wijziging en welke acties nodig zijn om ervoor te zorgen dat legitieme applicaties blijven functioneren na de implementatie. Organisaties moeten ook proactief communiceren met gebruikers over de wijzigingen in het toestemmingsbeleid. Deze communicatie moet duidelijk uitleggen waarom bepaalde applicaties mogelijk niet meer direct kunnen worden toegestaan door gebruikers, wat het nieuwe proces is om nieuwe applicaties te verkrijgen, en wie gebruikers moeten contacteren wanneer zij een nieuwe applicatie nodig hebben. Zonder duidelijke communicatie kunnen gebruikers gefrustreerd raken en mogelijk proberen omwegen te vinden om applicaties te gebruiken, wat kan leiden tot beveiligingsrisico's. De communicatie moet daarom niet alleen technisch zijn, maar ook de zakelijke redenen uitleggen achter de wijziging, zodat gebruikers begrijpen dat deze maatregel is genomen om hen en de organisatie te beschermen tegen cyberdreigingen.
Compliance en Auditing
De implementatie van beperkte gebruikerstoestemming vormt een essentiële vereiste voor verschillende beveiligings- en compliance-frameworks die worden gebruikt door Nederlandse overheidsorganisaties en bedrijven. Deze controle is niet alleen een best practice, maar een verplichte maatregel binnen meerdere erkende beveiligingsstandaarden. De CIS Microsoft 365 Foundations Benchmark controle 1.11 specificeert expliciet dat organisaties gebruikerstoestemming moeten beperken tot geverifieerde uitgevers of volledig moeten uitschakelen. Deze controle is geclassificeerd als Level 1, wat betekent dat het een fundamentele beveiligingsmaatregel is die door alle organisaties moet worden geïmplementeerd, ongeacht hun grootte, complexiteit of sector. Level 1 controles worden beschouwd als de basis van cybersecurity en zijn ontworpen om de meest kritieke beveiligingsrisico's te adresseren met minimale impact op gebruikers en systemen. Binnen het BIO-kader, dat specifiek is ontwikkeld voor de Nederlandse overheid en wordt gebruikt door alle overheidsorganisaties in Nederland, valt deze controle onder artikel 09.01, dat zich richt op toegangscontrole en authenticatie. Het BIO-kader, voluit de Baseline Informatiebeveiliging Overheid, is het centrale beveiligingskader voor de Nederlandse publieke sector en definieert de minimale beveiligingsmaatregelen die alle overheidsorganisaties moeten implementeren. Het BIO-kader vereist dat organisaties passende maatregelen treffen om ongeautoriseerde toegang tot informatie te voorkomen, en het beperken van gebruikerstoestemming tot geverifieerde uitgevers is een concrete en praktische implementatie van deze vereiste. Door deze controle te implementeren, voldoen organisaties aan de fundamentele principes van het BIO-kader met betrekking tot het beheren van toegangsrechten en het voorkomen van onbevoegde toegang tot gevoelige informatie. Naast het BIO-kader en de CIS Benchmark, zijn er ook andere compliance-frameworks die aandacht besteden aan applicatietoestemmingen en toegangscontrole. De Algemene Verordening Gegevensbescherming (AVG) vereist bijvoorbeeld dat organisaties passende technische en organisatorische maatregelen treffen om persoonsgegevens te beschermen, en het beperken van applicatietoegang tot geverifieerde uitgevers kan worden beschouwd als een dergelijke maatregel. Organisaties die werken met gevoelige of bijzondere persoonsgegevens hebben een extra verantwoordelijkheid om te verzekeren dat alleen vertrouwde applicaties toegang hebben tot deze gegevens. Voor auditdoeleinden moeten organisaties kunnen aantonen dat de instellingen correct zijn geconfigureerd en dat er regelmatige en systematische controles worden uitgevoerd om te verifiëren dat de instellingen niet zijn gewijzigd zonder autorisatie. Dit betekent dat organisaties uitgebreide documentatie moeten bijhouden van de configuratie, inclusief screenshots of exportbestanden van de instellingen op verschillende momenten, en dat zij een gedocumenteerd en herhaalbaar proces moeten hebben voor het periodiek verifiëren van deze instellingen. Deze documentatie moet niet alleen de technische configuratie bevatten, maar ook informatie over wie verantwoordelijk is voor het monitoren van deze instellingen, hoe vaak controles worden uitgevoerd, en wat het proces is wanneer afwijkingen worden gedetecteerd. Auditoren zullen tijdens compliance-audits vragen naar concreet bewijs dat de instellingen daadwerkelijk zijn geïmplementeerd en dat er een actief proces is voor het monitoren en handhaven van deze instellingen. Zij zullen niet alleen willen zien dat de instellingen correct zijn geconfigureerd op het moment van de audit, maar ook dat er een historisch overzicht is van controles en dat er actie is ondernomen wanneer afwijkingen zijn gedetecteerd. Organisaties moeten daarom niet alleen de technische configuratie implementeren, maar ook de governance-processen rondom deze controle documenteren en kunnen aantonen. Dit omvat het definiëren van rollen en verantwoordelijkheden, het vastleggen van procedures voor monitoring en remediatie, en het bijhouden van een audit trail van alle relevante activiteiten. Het is belangrijk om te realiseren dat compliance niet een eenmalige activiteit is, maar een continu proces. Organisaties moeten regelmatig hun compliance-status evalueren en bijwerken, en zij moeten kunnen aantonen dat zij proactief werken aan het handhaven van beveiligingsstandaarden. Dit betekent dat organisaties niet alleen moeten kunnen laten zien dat zij de controle hebben geïmplementeerd, maar ook dat zij een cultuur van continue verbetering hebben waarbij beveiligingsmaatregelen regelmatig worden geëvalueerd en bijgewerkt op basis van nieuwe dreigingen, veranderende omstandigheden en lessen geleerd uit incidenten.
Remediatie
Gebruik PowerShell-script user-consent-verified-publishers.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer monitoring aangeeft dat de gebruikerstoestemming-instellingen niet correct zijn geconfigureerd, moet onmiddellijk en doortastend actie worden ondernomen om de beveiligingsrisico's te beperken en de organisatie terug te brengen naar een veilige configuratie. Remediatie is een kritiek proces dat niet alleen de technische configuratie herstelt, maar ook de onderliggende oorzaken van de afwijking adresseert om te voorkomen dat het probleem opnieuw optreedt. Het remediatieproces begint met het grondig identificeren van de huidige staat van de instellingen en het bepalen van de gewenste configuratie op basis van het beveiligingsbeleid van de organisatie en de compliance-vereisten waaraan moet worden voldaan. Als gebruikerstoestemming momenteel is toegestaan voor alle uitgevers, wat betekent dat gebruikers elke applicatie kunnen toestaan ongeacht of de uitgever is geverifieerd, moet dit onmiddellijk worden gewijzigd naar een van de twee veilige opties: volledig uitschakelen of beperken tot geverifieerde uitgevers. De keuze tussen deze opties moet worden gebaseerd op een weloverwogen evaluatie van de beveiligingsvereisten van de organisatie, de operationele behoeften, en de risicotolerantie. Organisaties met zeer gevoelige gegevens of die werken in hoog-risico omgevingen zullen waarschijnlijk kiezen voor volledige uitschakeling, terwijl organisaties die meer flexibiliteit nodig hebben voor productiviteitsapplicaties kunnen kiezen voor de optie met geverifieerde uitgevers. Voorafgaand aan het daadwerkelijk wijzigen van de instellingen is het van cruciaal belang om een uitgebreide en actuele inventarisatie te maken van alle applicaties die momenteel gebruikersconsent gebruiken. Deze inventarisatie moet niet alleen een lijst bevatten van applicatienamen, maar ook gedetailleerde informatie over welke gebruikers deze applicaties gebruiken, welke specifieke machtigingen zij hebben verkregen, wanneer deze toestemmingen zijn verleend, en of de uitgever van de applicatie geverifieerd is bij Microsoft. Deze informatie is essentieel om te kunnen beoordelen welke applicaties mogelijk worden beïnvloed door de wijziging en welke acties nodig zijn om ervoor te zorgen dat legitieme applicaties blijven functioneren zonder de beveiliging te compromitteren. Applicaties van niet-geverifieerde uitgevers die momenteel door gebruikers zijn toegestaan, zullen mogelijk niet meer functioneren na de wijziging, tenzij een beheerder expliciet consent verleent voor deze applicaties. Organisaties moeten daarom een gestructureerd en gedocumenteerd proces hebben voor het beoordelen van deze applicaties en het bepalen welke applicaties legitiem zijn en moeten worden behouden via beheerdersconsent, en welke mogelijk verdacht zijn en moeten worden verwijderd of vervangen door alternatieve oplossingen. Deze beoordeling moet niet alleen kijken naar de technische aspecten van de applicatie, maar ook naar de zakelijke noodzaak, de beveiligingsimplicaties, en de compliance-aspecten. Tijdens het beoordelingsproces moeten organisaties bijzondere aandacht besteden aan applicaties die mogelijk verdacht zijn of die ongebruikelijke machtigingen hebben aangevraagd. Dergelijke applicaties kunnen indicatoren zijn van potentiële beveiligingsincidenten of kunnen zelf kwaadaardig zijn. Organisaties moeten een proces hebben voor het onderzoeken van verdachte applicaties, waarbij zij kunnen bepalen of de applicatie legitiem is of dat deze moet worden geblokkeerd en mogelijk moet worden gerapporteerd aan beveiligingsteams voor verder onderzoek. Na het implementeren van de remediatie moeten organisaties uitgebreid verifiëren dat de wijzigingen correct zijn toegepast en dat de instellingen daadwerkelijk zijn gewijzigd zoals bedoeld. Deze verificatie moet worden uitgevoerd via meerdere methoden om te verzekeren dat de configuratie correct is. Dit omvat handmatige verificatie via de Entra ID-beheerconsole, waar beheerders visueel kunnen bevestigen dat de instellingen correct zijn geconfigureerd, en geautomatiseerde verificatie via monitoring scripts die programmatisch kunnen verifiëren dat de configuratie overeenkomt met het beveiligingsbeleid. Daarnaast moeten organisaties de wijziging uitgebreid documenteren in hun auditlogboek. Deze documentatie moet niet alleen de technische details bevatten, zoals wie de wijziging heeft uitgevoerd en wanneer deze is uitgevoerd, maar ook de contextuele informatie zoals wat de reden was voor de remediatie, welke goedkeuringen zijn verkregen voordat de wijziging werd doorgevoerd, welke applicaties zijn beoordeeld en wat de uitkomst was van deze beoordeling, en wat de impact is geweest van de wijziging op de beveiligingsstatus en operationele activiteiten van de organisatie. Deze documentatie is essentieel voor compliance-doeleinden, omdat auditoren zullen vragen naar bewijs van remediatie-activiteiten, en voor het kunnen verklaren van wijzigingen tijdens audits en beveiligingsonderzoeken. Het is ook belangrijk om te realiseren dat remediatie niet eindigt bij het wijzigen van de configuratie. Organisaties moeten ook de onderliggende oorzaken van de afwijking onderzoeken en adresseren. Was de afwijking het resultaat van een onbedoelde actie van een beheerder, een automatische update, of mogelijk een kwaadaardige activiteit? Door deze oorzaken te begrijpen en te adresseren, kunnen organisaties preventieve maatregelen implementeren om te voorkomen dat het probleem opnieuw optreedt. Dit kan bijvoorbeeld betekenen dat organisaties hun beheerdersrollen moeten herzien, hun change management processen moeten verbeteren, of aanvullende monitoring moeten implementeren om sneller afwijkingen te detecteren.
Compliance & Frameworks
- CIS M365: Control 1.11 (L1) - beperkingen voor gebruikerstoestemming
- BIO: 09.01 - Toegangscontrole en authenticatie
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
User Consent Verified Publishers
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 1.58
Controleert dat user consent alleen voor verified publishers is toegestaan.
.NOTES
Filename: user-consent-verified-publishers.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 1.58
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "User Consent Verified Publishers"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer in Entra ID portal:" -ForegroundColor Gray
Write-Host " - Enterprise applications > Consent and permissions" -ForegroundColor Gray
Write-Host " - User consent = Allow for verified publishers" -ForegroundColor Gray
Write-Host " - Selected permissions configured" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: Verified publishers consent" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer in Entra ID portal:" -ForegroundColor Gray
Write-Host " - Enterprise applications > Consent and permissions" -ForegroundColor Gray
Write-Host " - User consent = Allow for verified publishers" -ForegroundColor Gray
Write-Host " - Selected permissions configured" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: Verified publishers consent" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
Medium: Niet-geverifieerde uitgevers kunnen toestemmingsverzoeken indienen, wat leidt tot een hoger risico op kwaadaardige applicaties. Geverifieerde uitgevers hebben een door Microsoft gevalideerde identiteit, wat betekent dat hun bedrijfsgegevens zijn geverifieerd en dat zij voldoen aan strikte verificatiecriteria. Deze controle is vereist voor compliance met CIS 1.11. Het risico is gemiddeld en betreft voornamelijk de verificatie van applicatie-uitgevers.
Management Samenvatting
Gebruikerstoestemming voor geverifieerde uitgevers: Sta gebruikerstoestemming uitsluitend toe voor applicaties van geverifieerde uitgevers (alternatief: blokkeer alles - zie user-consent-not-allow.json). Geverifieerd betekent dat de identiteit door Microsoft is gevalideerd. Activatie: Azure AD → Gebruikerstoestemming → Toestaan voor geverifieerde uitgevers alleen. Gratis. Verplicht voor CIS 1.11. Implementatietijd: 30 minuten. Vermindert het risico op kwaadaardige applicaties.
- Implementatietijd: 1.5 uur
- FTE required: 0.01 FTE