Algemeen
Deze check detecteert role assignable groups waarbij de eigenaren niet de rollen hebben die aan de groep zijn toegewezen. Dit creëert een privilege escalatie kwetsbaarheid omdat groepseigenaren zichzelf kunnen toevoegen als lid van de groep om verhoogde rechten te verkrijgen.
Role assignable groups zijn een speciaal type Azure AD groep dat gebruikt kan worden om Azure AD rollen toe te wijzen. In plaats van een rol direct aan een gebruiker toe te wijzen, kunt u een rol toewijzen aan een groep en gebruikers lid maken van die groep. Dit vereenvoudigt het beheer van rollidmaatschappen.
Rationale
Role assignable groups bieden een krachtige manier om Azure AD rollen te beheren, maar kunnen een ernstig beveiligingsrisico vormen als de eigenaren van deze groepen niet dezelfde rechten hebben als de groep zelf. Het probleem ontstaat wanneer een gebruiker eigenaar is van een role assignable group, maar niet de rol(len) heeft die aan die groep zijn toegewezen.
Een kwaadwillende of gecompromitteerde eigenaar kan zichzelf simpelweg toevoegen als lid van de groep om direct verhoogde privileges te verkrijgen. Dit is een klassieke privilege escalatie aanval. De eigenaar hoeft alleen de groepslidmaatschappen te wijzigen - iets wat groepseigenaren standaard kunnen doen - en krijgt daarmee toegang tot krachtige rollen zoals Global Administrator, Privileged Role Administrator, of andere kritieke beheerdersrollen.
Deze check filtert TIER0-gebruikers uit die al hoge privileges hebben. Eigenaren met een van de volgende rollen (actief of eligible via PIM) worden niet gerapporteerd, omdat zij al vergelijkbare of hogere privileges hebben:
- Global Administrator
- Privileged Role Administrator
De focus ligt op het identificeren van reguliere gebruikers die onbedoeld een privilege escalatie pad hebben gekregen door groepseigenaarschap. Dit kan ontstaan door legitieme bedrijfsbehoeften (bijvoorbeeld een HR-manager die eigenaar is van een groep voor gebruikersbeheer), maar vormt een significant risico dat moet worden aangepakt.
Handmatige instructie
Voer deze stappen uit om de privilege escalatie risico's te verhelpen:
- Controleer de gedetecteerde groepen: Bekijk de lijst met role assignable groups en hun eigenaren in de check output. Voor elke groep zie je welke rollen zijn toegewezen en welke eigenaren deze rollen niet hebben.
-
Bepaal of het eigenaarschap legitiem is: Vraag u af of deze persoon een legitieme bedrijfsreden heeft om eigenaar te zijn van deze groep. Overweeg:
- Heeft deze persoon een geldige reden om groepslidmaatschappen te beheren?
- Is er een alternatieve manier om dit te bereiken zonder eigenaarschap?
- Moet deze persoon daadwerkelijk de rol hebben die aan de groep is toegewezen?
-
Kies een remediatie strategie:
- Optie 1 - Verwijder eigenaarschap: Als het eigenaarschap niet nodig is, verwijder de gebruiker als eigenaar van de groep via Azure AD Groups [groepsnaam] Owners.
- Optie 2 - Wijs de rol direct toe: Als de persoon de rol legitiem nodig heeft om hun taken uit te voeren, wijs dan de benodigde rol(len) direct toe aan de gebruiker. Dit maakt het eigenaarschap niet langer een privilege escalatie risico.
- Optie 3 - PIM configuratie: Als de persoon de rol alleen tijdelijk nodig heeft, configureer dan Privileged Identity Management (PIM) om de rol eligible te maken in plaats van een permanent eigenaarschap van een role assignable group.
- Optie 4 - Wijzig groepstype: Als de groep niet hoeft te worden gebruikt voor roltoewijzing, schakel dan de "Azure AD roles can be assigned to the group" optie uit (dit kan alleen bij het aanmaken van de groep).
- Documenteer de beslissing: Maak een notitie van waarom u deze configuratie heeft gekozen, zodat toekomstige audits of reviews de context begrijpen.
Impact
De impact van het verhelpen van deze kwetsbaarheid hangt af van de gekozen remediatie:
- Verwijderen van eigenaarschap: De gebruiker kan geen groepsleden meer toevoegen of verwijderen. Zorg ervoor dat er alternatieve groepseigenaren zijn die deze taken kunnen uitvoeren.
- Direct toewijzen van rollen: De gebruiker krijgt permanent de verhoogde rechten. Dit moet alleen gebeuren als de persoon deze rechten legitiem nodig heeft voor hun functie.
- PIM configuratie: De gebruiker moet de rol activeren wanneer nodig, wat zorgt voor just-in-time access en betere audittrails.
Opmerkingen
0 opmerkingen
U moet u aanmelden om een opmerking te plaatsen.