💼 Management Samenvatting
Het beperken van applicatieregistraties voorkomt dat gebruikers ongecontroleerd OAuth-applicaties kunnen aanmaken die toegang krijgen tot organisatiedata.
Aanbeveling
IMPLEMENTEER BEPERKING VAN APPLICATIEREGISTRATIES
Risico zonder
Medium
Risk Score
6/10
Implementatie
2.5u (tech: 0.5u)
Van toepassing op:
✓ Azure
✓ Azure AD
✓ Azure AD
Gebruikers die applicaties kunnen registreren vormen een significant beveiligingsrisico voor organisaties. Wanneer reguliere gebruikers de mogelijkheid hebben om zelf applicaties te registreren in Azure Active Directory, kunnen zij OAuth-applicaties aanmaken met buitensporige API-machtigingen die ver buiten hun werkelijke behoeften gaan. Dit introduceert shadow IT binnen de organisatie, waarbij onbeheerde applicaties toegang krijgen tot bedrijfsdata zonder dat het IT- of beveiligingsteam hiervan op de hoogte is. Daarnaast bestaat het risico dat applicaties verkeerd worden geconfigureerd met zwakke beveiligingsinstellingen, waardoor kwetsbaarheden ontstaan die door aanvallers kunnen worden misbruikt. Een ander kritiek risico is het lekken van credentials via applicatiegeheimen die in broncode worden opgeslagen, wat kan leiden tot ongeautoriseerde toegang tot bedrijfsdata. Applicatieregistraties moeten daarom centraal worden beheerd door het IT- en beveiligingsteam om een grondige beveiligingsbeoordeling van machtigingen, credentialbeheer en naleving te waarborgen.
PowerShell Modules Vereist
Primary API: Microsoft Graph API
Connection:
Required Modules: Microsoft.Graph.Identity.DirectoryManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.Identity.DirectoryManagement
Implementatie
Deze beveiligingsmaatregel blokkeert applicatieregistraties voor reguliere gebruikers. De configuratie vindt plaats in Azure AD via de gebruikersinstellingen, waarbij de optie voor applicatieregistraties wordt ingesteld op 'Nee'. Alleen beheerders met de rol Application Administrator kunnen applicaties registreren. Gebruikers die een applicatie nodig hebben, moeten een aanvraag indienen via een formeel goedkeuringsproces waarbij het IT- en beveiligingsteam een beoordeling uitvoert van de vereiste machtigingen, de zakelijke rechtvaardiging, de beveiligingsconfiguratie en het credentialbeheer. Dit proces zorgt ervoor dat alle applicaties die toegang krijgen tot organisatiedata voldoen aan de beveiligingsstandaarden en compliance-eisen.
Vereisten
Voordat u begint met de implementatie van deze beveiligingsmaatregel, moet u ervoor zorgen dat aan alle benodigde vereisten wordt voldaan. De implementatie vereist globale beheerdersrechten in Azure Active Directory, omdat deze configuratiewijziging gevolgen heeft voor de gehele organisatie. Zonder deze rechten is het niet mogelijk om de instellingen voor applicatieregistraties te wijzigen. Deze beheerdersrechten zijn essentieel omdat de wijziging een organisatiebrede impact heeft en niet kan worden teruggedraaid zonder dezelfde rechten. Het is daarom van cruciaal belang dat de persoon die deze wijziging doorvoert, beschikt over de juiste autorisatie en dat er een goedkeuringsproces is doorlopen voordat de wijziging wordt geïmplementeerd. De autorisatie moet worden verkregen via het formele change management proces van de organisatie, waarbij de wijziging wordt beoordeeld op impact, risico en noodzaak. Dit proces zorgt ervoor dat alle belanghebbenden op de hoogte zijn van de wijziging en dat er voldoende tijd is voor voorbereiding en communicatie. Daarnaast is het essentieel dat er een gedocumenteerd proces bestaat voor het aanvragen van applicatieregistraties. Dit proces moet duidelijk beschrijven hoe gebruikers een aanvraag kunnen indienen, welke informatie zij moeten verstrekken, en hoe het goedkeuringsproces verloopt. Het proces moet ook de criteria bevatten waaraan een aanvraag moet voldoen om te worden goedgekeurd, zoals de zakelijke rechtvaardiging, de vereiste machtigingen, en de beveiligingsconfiguratie. Dit aanvraagproces vormt de ruggengraat van de nieuwe governance structuur en moet daarom zorgvuldig worden ontworpen. Het proces moet gebruiksvriendelijk zijn voor eindgebruikers, maar tegelijkertijd voldoende informatie verzamelen om een weloverwogen beslissing te kunnen nemen. Het moet ook duidelijk maken welke beveiligingsstandaarden worden gehanteerd en welke documentatie vereist is. Het aanvraagproces moet gebruikers begeleiden door middel van duidelijke instructies en voorbeelden, zodat zij precies weten welke informatie wordt verwacht en hoe zij deze kunnen verstrekken. Het proces moet ook transparant zijn over de verwachte doorlooptijden en de criteria die worden gebruikt voor de beoordeling. Een ander kritiek vereiste is dat de rol van applicatiebeheerder is toegewezen aan de juiste IT-teamleden die verantwoordelijk zijn voor het beheren van applicatieregistraties. Deze rol geeft hen de benodigde rechten om applicaties te registreren namens de organisatie, terwijl reguliere gebruikers deze mogelijkheid wordt ontnomen. Het is belangrijk dat deze rol wordt toegewezen aan personen die beschikken over de juiste kennis en expertise op het gebied van applicatiebeveiliging, OAuth-configuratie en nalevingsvereisten. Deze personen moeten ook beschikken over voldoende tijd en capaciteit om aanvragen tijdig te behandelen, zodat de productiviteit van de organisatie niet wordt belemmerd. De personen die deze rol ontvangen, moeten regelmatig worden getraind op de nieuwste beveiligingsstandaarden en beste praktijken, zodat zij in staat zijn om weloverwogen beslissingen te nemen over applicatieregistraties. Tot slot is communicatie naar gebruikers een belangrijk vereiste. Gebruikers moeten op de hoogte worden gebracht van deze wijziging, zodat zij begrijpen waarom zij zelf geen applicaties meer kunnen registreren en hoe zij een aanvraag kunnen indienen wanneer zij een applicatie nodig hebben. Deze communicatie voorkomt verwarring en zorgt ervoor dat gebruikers weten hoe zij hun behoeften kunnen uiten binnen het nieuwe proces. De communicatie moet proactief zijn en plaatsvinden voordat de wijziging wordt doorgevoerd, zodat gebruikers de tijd hebben om zich voor te bereiden en eventuele vragen te stellen. Het is ook belangrijk om na de implementatie vervolgcommunicatie te verzenden om te controleren of gebruikers het nieuwe proces begrijpen en om eventuele problemen of vragen te beantwoorden. De communicatie moet worden aangepast aan de verschillende doelgroepen binnen de organisatie, waarbij technische gebruikers meer gedetailleerde informatie ontvangen dan niet-technische gebruikers.
Implementatie
Gebruik PowerShell-script users-cannot-register-apps.ps1 (functie Invoke-Implementation) – Implementeren.
De implementatie van deze beveiligingsmaatregel begint met het configureren van de instellingen in Azure Active Directory. Navigeer naar Azure AD en open de gebruikersinstellingen. Zoek naar de optie voor applicatieregistraties en stel deze in op 'Nee', zodat gebruikers geen applicaties meer kunnen registreren. Deze configuratiewijziging kan worden uitgevoerd via de Azure Portal of programmatisch met behulp van het bijgeleverde PowerShell-script. Wanneer u kiest voor de Azure Portal, navigeert u naar Azure Active Directory, selecteert u Gebruikersinstellingen, en zoekt u naar de sectie App-registraties. Hier kunt u de instelling 'Gebruikers kunnen toepassingen registreren' uitschakelen. Het is belangrijk om deze wijziging te documenteren en eventueel een screenshot te maken voor auditdoeleinden. Deze documentatie vormt bewijs dat de maatregel correct is geïmplementeerd en kan worden gebruikt tijdens compliance audits en beveiligingsbeoordelingen. Wanneer u kiest voor de programmatische aanpak met PowerShell, kunt u het bijgeleverde script gebruiken dat automatisch de juiste configuratie toepast. Deze aanpak heeft het voordeel dat deze reproduceerbaar is en kan worden geautomatiseerd als onderdeel van een grotere implementatie. Het script kan ook worden gebruikt voor het herstellen van de configuratie wanneer deze onverwacht wordt gewijzigd, wat bijdraagt aan de robuustheid van de implementatie. Na het aanpassen van deze instelling is het belangrijk om een gestructureerd aanvraagproces voor applicatieregistraties op te zetten. Dit workflowproces moet gebruikers in staat stellen om een formele aanvraag in te dienen wanneer zij een applicatie nodig hebben. Het proces moet duidelijk maken welke informatie moet worden verstrekt, zoals de naam van de applicatie, het doel, de vereiste machtigingen, en de zakelijke rechtvaardiging. Dit proces kan worden geïmplementeerd met behulp van een ticketsysteem, een workflowtool zoals Microsoft Power Automate, of een eenvoudig formulier dat wordt verwerkt door het IT-team. Het is belangrijk dat het proces gebruiksvriendelijk is en niet te veel administratieve last oplegt voor eindgebruikers, terwijl het tegelijkertijd voldoende informatie verzamelt voor een weloverwogen beslissing. Het proces moet ook duidelijke service level overeenkomsten bevatten, zodat gebruikers weten wanneer zij een reactie kunnen verwachten op hun aanvraag. Deze service level overeenkomsten moeten realistisch zijn en rekening houden met de complexiteit van de beoordeling en de beschikbare capaciteit van het IT-team. Vervolgens moet de rol van applicatiebeheerder worden toegewezen aan de juiste IT-teamleden die verantwoordelijk zijn voor het beheren van applicatieregistraties. Deze rol kan worden toegewezen via de Azure Portal onder Rolbeheer of via PowerShell. Zorg ervoor dat alleen vertrouwde teamleden deze rol ontvangen, aangezien zij de mogelijkheid hebben om applicaties te registreren die toegang krijgen tot organisatiedata. Het is aan te raden om minimaal twee personen deze rol toe te wijzen om te voorkomen dat er een enkel punt van falen ontstaat. Deze personen moeten ook regelmatig worden getraind op de nieuwste beveiligingsstandaarden en beste praktijken voor applicatieregistraties. De training moet zowel technische aspecten als governance aspecten omvatten, zodat de personen in staat zijn om weloverwogen beslissingen te nemen over applicatieregistraties. Het is ook essentieel om de goedkeuringscriteria voor applicaties te documenteren. Deze criteria moeten duidelijk beschrijven wanneer een aanvraag wordt goedgekeurd of afgewezen, welke beveiligingsstandaarden moeten worden nageleefd, en welke machtigingen acceptabel zijn. Deze criteria moeten worden gebaseerd op de beveiligingsstandaarden van de organisatie, nalevingsvereisten, en beste praktijken. Het is belangrijk dat deze criteria transparant zijn en beschikbaar zijn voor alle belanghebbenden, zodat er geen verrassingen zijn tijdens het goedkeuringsproces. De criteria moeten ook regelmatig worden herzien en bijgewerkt om rekening te houden met nieuwe bedreigingen en veranderende beveiligingsstandaarden. Tot slot moet de wijziging worden gecommuniceerd naar alle gebruikers in de organisatie. Deze communicatie moet uitleggen waarom deze maatregel wordt geïmplementeerd, wat de voordelen zijn voor de beveiliging van de organisatie, en hoe gebruikers een aanvraag kunnen indienen wanneer zij een applicatie nodig hebben. Door gebruikers goed te informeren, wordt weerstand tegen de wijziging geminimaliseerd en wordt het nieuwe proces beter geaccepteerd. De communicatie moet meerdere kanalen gebruiken, zoals e-mail, intranet, en teamvergaderingen, om ervoor te zorgen dat alle gebruikers de informatie ontvangen. Het is ook belangrijk om een helpdesk of contactpersoon beschikbaar te stellen voor vragen en ondersteuning. Deze ondersteuning moet proactief zijn en gebruikers helpen om hun behoeften te uiten binnen het nieuwe proces, in plaats van alleen reactief te zijn op vragen en problemen.
Compliance en Auditing
De implementatie van deze beveiligingsmaatregel draagt bij aan de naleving van verschillende belangrijke beveiligingsstandaarden en frameworks die relevant zijn voor Nederlandse overheidsorganisaties. De CIS Azure Benchmark versie 3.0.0 bevat in control 1.12 een expliciete aanbeveling om ervoor te zorgen dat gebruikers geen applicaties kunnen registreren. Deze control is geclassificeerd als Level 1, wat betekent dat deze als basisbeveiligingsmaatregel wordt beschouwd en door alle organisaties moet worden geïmplementeerd. Level 1 controls zijn essentieel voor de basisbeveiliging en vormen de fundering van een robuuste beveiligingspostuur. Het niet implementeren van deze control kan leiden tot significante beveiligingsrisico's en kan worden gezien als een tekortkoming tijdens audits en beoordelingen. De CIS Azure Benchmark wordt wereldwijd erkend als een autoritatieve bron voor beste praktijken op het gebied van cloudbeveiliging en wordt vaak gebruikt als referentie tijdens beveiligingsbeoordelingen en nalevingsaudits. Organisaties die deze benchmark volgen, demonstreren hun inzet voor het implementeren van bewezen beveiligingsmaatregelen en kunnen dit gebruiken als bewijs van due diligence tijdens compliance audits. De Baseline Informatiebeveiliging Overheid (BIO) behandelt dit onderwerp in Thema 09.01, dat zich richt op toegangscontrole en authenticatie, inclusief applicatiebeheer. Het BIO-framework is specifiek ontwikkeld voor Nederlandse overheidsorganisaties en biedt concrete richtlijnen voor het beveiligen van informatievoorziening. Thema 09.01 benadrukt het belang van gecentraliseerd beheer van applicatieregistraties en stelt eisen aan de governance en controle over applicaties die toegang hebben tot overheidsdata. Het BIO-framework is verplicht voor alle Nederlandse overheidsorganisaties en vormt de basis voor informatiebeveiliging binnen de publieke sector. Het niet naleven van BIO-richtlijnen kan leiden tot negatieve bevindingen tijdens audits en kan gevolgen hebben voor de financiering en het vertrouwen van burgers. Overheidsorganisaties die niet voldoen aan BIO-richtlijnen kunnen worden geconfronteerd met vragen van toezichthouders en kunnen worden verplicht om aanvullende maatregelen te nemen om aan de eisen te voldoen. De ISO 27001:2022 standaard adresseert dit in controle A.5.15, die betrekking heeft op toegangscontrole en authenticatie voor applicatieregistraties. Deze internationale standaard wordt wereldwijd erkend en biedt een gestructureerde aanpak voor informatiebeveiligingsmanagement. Controle A.5.15 vereist dat organisaties een formele procedure hebben voor het beheren van applicatieregistraties en dat alleen geautoriseerde personen applicaties kunnen registreren. ISO 27001 certificering is vaak een vereiste voor organisaties die werken met gevoelige data of die willen aantonen dat zij beschikken over een volwassen informatiebeveiligingsmanagementsysteem. Organisaties die ISO 27001 gecertificeerd zijn, moeten kunnen aantonen dat zij deze controle hebben geïmplementeerd en dat deze effectief is. De NIS2-richtlijn, die is geïmplementeerd in de Nederlandse wetgeving, bevat in Artikel 21 specifieke eisen voor toegangsbeheer. Deze richtlijn is van toepassing op essentiële en belangrijke entiteiten en stelt strenge eisen aan de beveiliging van netwerk- en informatiesystemen. Artikel 21 vereist dat organisaties passende maatregelen nemen om ongeautoriseerde toegang te voorkomen en dat toegangsrechten worden beheerd volgens het principe van minimale bevoegdheden. Het niet naleven van NIS2-eisen kan leiden tot boetes en andere sancties. Organisaties die onder de NIS2-richtlijn vallen, moeten kunnen aantonen dat zij passende maatregelen hebben genomen om ongeautoriseerde toegang te voorkomen, en het beperken van applicatieregistraties is een belangrijke maatregel in dit kader. Door deze beveiligingsmaatregel te implementeren, voldoen organisaties aan de eisen van deze frameworks en demonstreren zij hun inzet voor het beschermen van organisatiedata tegen ongeautoriseerde toegang via onbeheerde applicaties. Het is belangrijk om regelmatig te controleren of de implementatie nog steeds voldoet aan de eisen van deze frameworks, aangezien deze regelmatig worden bijgewerkt met nieuwe eisen en beste praktijken. Deze controle moet worden uitgevoerd als onderdeel van het reguliere compliance management proces en moet worden gedocumenteerd voor auditdoeleinden.
Monitoring
Gebruik PowerShell-script users-cannot-register-apps.ps1 (functie Invoke-Monitoring) – Controleren.
Regelmatige monitoring van deze beveiligingsmaatregel is essentieel om ervoor te zorgen dat de configuratie ongewijzigd blijft en dat er geen onbeheerde applicatieregistraties plaatsvinden. Het bijgeleverde PowerShell-script kan worden gebruikt om periodiek te controleren of de instelling voor applicatieregistraties nog steeds is ingesteld op 'Nee'. Dit script kan worden geautomatiseerd en uitgevoerd als onderdeel van een regelmatige nalevingscontrole, bijvoorbeeld wekelijks of maandelijks. Het is aan te raden om de resultaten van deze controles te loggen en te rapporteren aan het beveiligingsteam en de compliance officer. Deze rapportage moet worden opgenomen in het reguliere compliance rapportageproces en moet worden gebruikt om trends te identificeren en eventuele problemen vroegtijdig te signaleren. Wanneer de configuratie onverwacht is gewijzigd, moet onmiddellijk een waarschuwing worden gegenereerd en moet het incident worden onderzocht om te bepalen wie de wijziging heeft doorgevoerd en waarom. Dit onderzoek moet worden uitgevoerd volgens het incident response proces van de organisatie en moet worden gedocumenteerd voor auditdoeleinden. Daarnaast is het belangrijk om de auditlogboeken in Azure Active Directory te monitoren op pogingen van gebruikers om applicaties te registreren. Deze pogingen zouden moeten worden geblokkeerd, maar het monitoren ervan kan helpen bij het identificeren van gebruikers die mogelijk niet op de hoogte zijn van de nieuwe regels of die proberen de beveiligingsmaatregel te omzeilen. Het is belangrijk om deze pogingen te analyseren en te categoriseren, zodat onderscheid kan worden gemaakt tussen onwetendheid en opzettelijke pogingen tot omzeiling. Gebruikers die herhaaldelijk proberen applicaties te registreren ondanks de beperking, moeten worden geïnformeerd over het nieuwe proces en eventueel worden doorverwezen naar training of ondersteuning. Deze training moet gebruikers helpen om te begrijpen waarom de beperking is geïmplementeerd en hoe zij hun behoeften kunnen uiten binnen het nieuwe proces. Het is ook aan te raden om regelmatig te controleren welke applicaties zijn geregistreerd en door wie, om ervoor te zorgen dat alle registraties via het formele goedkeuringsproces zijn verlopen. Deze controle moet worden uitgevoerd door het beveiligingsteam of de compliance officer en moet worden gedocumenteerd voor auditdoeleinden. Wanneer applicaties worden gevonden die niet via het formele proces zijn geregistreerd, moeten deze worden geëvalueerd op hun beveiligingsrisico's en moeten passende maatregelen worden genomen. Deze evaluatie moet worden uitgevoerd volgens een gestandaardiseerd proces dat rekening houdt met de machtigingen van de applicatie, de gevoeligheid van de gegevens waartoe de applicatie toegang heeft, en de beveiligingsconfiguratie van de applicatie. Monitoring moet ook aandacht besteden aan de rol van applicatiebeheerder en controleren of alleen geautoriseerde personen deze rol hebben. Eventuele wijzigingen in roltoewijzingen moeten worden gecontroleerd en goedgekeurd volgens het beveiligingsbeleid van de organisatie. Het is belangrijk om een proces te hebben voor het goedkeuren van roltoewijzingen, waarbij meerdere personen betrokken zijn om te voorkomen dat er onbevoegde wijzigingen worden doorgevoerd. Regelmatige beoordelingen van roltoewijzingen moeten worden uitgevoerd om ervoor te zorgen dat personen die de rol niet meer nodig hebben, deze ook niet meer hebben. Deze beoordelingen moeten worden uitgevoerd ten minste eenmaal per kwartaal en moeten worden gedocumenteerd voor auditdoeleinden. Daarnaast is het belangrijk om te monitoren op ongebruikte of inactieve applicatieregistraties, aangezien deze een beveiligingsrisico kunnen vormen als zij niet langer worden onderhouden of gecontroleerd. Deze applicaties moeten worden geïdentificeerd en geëvalueerd, en indien nodig moeten zij worden verwijderd of gedeactiveerd. De identificatie van ongebruikte applicaties kan worden geautomatiseerd door middel van scripts die controleren op applicaties die gedurende een bepaalde periode geen activiteit hebben vertoond.
Remediatie
Gebruik PowerShell-script users-cannot-register-apps.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer monitoring aangeeft dat de beveiligingsmaatregel niet correct is geconfigureerd, moet onmiddellijk worden overgegaan tot remediatie. Het bijgeleverde PowerShell-script kan worden gebruikt om de instelling automatisch te herstellen naar de juiste configuratie. Het is belangrijk om eerst te onderzoeken waarom de configuratie is gewijzigd voordat deze wordt hersteld, zodat de onderliggende oorzaak kan worden aangepakt. Dit onderzoek moet worden uitgevoerd volgens het incident response proces van de organisatie en moet worden gedocumenteerd voor auditdoeleinden. Als de wijziging het gevolg is van een onbevoegde actie, moet dit worden behandeld als een beveiligingsincident en moeten passende maatregelen worden genomen, zoals het wijzigen van wachtwoorden, het controleren van auditlogboeken, en het informeren van het beveiligingsteam. Deze maatregelen moeten worden genomen volgens het beveiligingsbeleid van de organisatie en moeten worden gedocumenteerd voor auditdoeleinden. Als de wijziging het gevolg is van een technisch probleem of een fout, moet de oorzaak worden geïdentificeerd en opgelost om te voorkomen dat het probleem zich opnieuw voordoet. Deze oplossing moet worden getest voordat deze wordt geïmplementeerd en moet worden gedocumenteerd voor toekomstige referentie. Als er onbeheerde applicatieregistraties worden gevonden die zijn gemaakt voordat deze maatregel werd geïmplementeerd, moeten deze worden geëvalueerd op hun beveiligingsrisico's. Deze evaluatie moet worden uitgevoerd door het beveiligingsteam en moet rekening houden met factoren zoals de machtigingen die de applicatie heeft, de gevoeligheid van de gegevens waartoe de applicatie toegang heeft, en de beveiligingsconfiguratie van de applicatie. Applicaties met buitensporige machtigingen of zwakke beveiligingsconfiguraties moeten worden herzien en indien nodig worden verwijderd of opnieuw geconfigureerd. Wanneer een applicatie wordt verwijderd, moet worden gecontroleerd of er geen afhankelijkheden zijn die kunnen worden beïnvloed door de verwijdering. Deze controle moet worden uitgevoerd door het IT-team en moet worden gedocumenteerd voor auditdoeleinden. Wanneer een applicatie wordt herconfigureerd, moet worden gecontroleerd of de nieuwe configuratie voldoet aan de beveiligingsstandaarden van de organisatie en of deze is goedgekeurd via het formele proces. Deze controle moet worden uitgevoerd door het beveiligingsteam en moet worden gedocumenteerd voor auditdoeleinden. Als gebruikers nog steeds in staat zijn om applicaties te registreren ondanks de configuratie, moet worden onderzocht of er mogelijk een technisch probleem is of dat er een omweg is gevonden. In dergelijke gevallen moet de configuratie worden geverifieerd en indien nodig worden hersteld. Het is belangrijk om te controleren of er mogelijk een andere configuratie-instelling is die de beperking omzeilt, of dat er een fout is in de Azure AD-configuratie. Als er een omweg is gevonden, moet deze worden gedocumenteerd en moeten passende maatregelen worden genomen om te voorkomen dat deze in de toekomst wordt gebruikt. Deze maatregelen moeten worden geïmplementeerd volgens het change management proces van de organisatie en moeten worden getest voordat zij worden geïmplementeerd. Het is ook belangrijk om gebruikers te informeren over eventuele wijzigingen en hen eraan te herinneren dat applicatieregistraties alleen via het formele goedkeuringsproces kunnen plaatsvinden. Deze communicatie moet duidelijk maken wat de gevolgen zijn van het niet volgen van het proces en moet gebruikers helpen om te begrijpen hoe zij hun behoeften kunnen uiten binnen het nieuwe proces. Wanneer gebruikers herhaaldelijk proberen de beperking te omzeilen, moeten passende disciplinaire maatregelen worden overwogen, afhankelijk van het beveiligingsbeleid van de organisatie. Deze maatregelen moeten worden genomen volgens het HR-beleid van de organisatie en moeten worden gedocumenteerd voor auditdoeleinden.
Compliance & Frameworks
- CIS M365: Control 1.12 (L1) - Zorg ervoor dat gebruikers geen applicaties kunnen registreren
- BIO: 09.01 - BIO: Toegangscontrole en authenticatie en applicatiebeheer
- ISO 27001:2022: A.5.15 - Toegangscontrole en authenticatie voor applicatieregistraties
- NIS2: Artikel - Toegangsbeheer
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Users Cannot Register Apps
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 1.62
Controleert dat gebruikers geen apps kunnen registreren.
.NOTES
Filename: users-cannot-register-apps.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 1.62
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "Users Cannot Register Apps"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer in Entra ID portal:" -ForegroundColor Gray
Write-Host " - Azure AD > User settings" -ForegroundColor Gray
Write-Host " - Users can register applications = No" -ForegroundColor Gray
Write-Host " - Alleen admins kunnen apps registreren" -ForegroundColor Gray
Write-Host " - Voorkomt shadow IT applicaties" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: App registration restricted" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer in Entra ID portal:" -ForegroundColor Gray
Write-Host " - Azure AD > User settings" -ForegroundColor Gray
Write-Host " - Users can register applications = No" -ForegroundColor Gray
Write-Host " - Alleen admins kunnen apps registreren" -ForegroundColor Gray
Write-Host " - Voorkomt shadow IT applicaties" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: App registration restricted" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
Medium: Gebruikers kunnen shadow IT-applicaties creëren met buitensporige machtigingen en zwak credentialbeheer zonder beveiligingsbeoordeling. Dit leidt tot risico's zoals data-exfiltratie via onbeheerde applicaties, misbruik van OAuth-machtigingen, en gelekt applicatiecredentials in broncoderepositories. Naleving: CIS 1.12, BIO 9.01. Het risico is gemiddeld - shadow IT-applicaties vormen een significant beveiligingsrisico.
Management Samenvatting
Gebruikers kunnen geen applicaties registreren: Blokkeer gebruikersregistraties van applicaties (alleen Application Administrators na beveiligingsbeoordeling). Voorkomt shadow IT OAuth-applicaties. Activering: Azure AD → Gebruikersinstellingen → Gebruikers kunnen applicaties registreren: Nee. Gratis. Verplicht CIS 1.12, BIO 9.01. Implementatie: 30 minuten + ontwerp aanvraagproces voor applicaties (2 uur). Gecentraliseerd applicatiebeheer.
- Implementatietijd: 2.5 uur
- FTE required: 0.01 FTE