Omschrijving
- Type: CUSTOMER
- Severity: CRITICAL
- Bescherming tegen: HACKING > STOLEN CREDS
Deze Customer Check controleert op beheeraccounts zonder geregistreerde methode voor MFA.
Waarom deze check?
Accounts met beheerrechten hebben bijzondere toegang tot informatie van de organisatie. De mate van toegang verschilt per rol, maar elk soort toegang is waardevol voor aanvallers. Daarom is multi-factor authenticatie juist voor deze accounts belangrijk. In CHK-1328 - MFA enabled for all admin users controleert Attic of MFA via een beleidsregel automatisch wordt afgedwongen in algemene zin.
Maar deze check bekijkt per admin user of ten minste 1 MFA methode geregistreerd is. De reden daarvan is dat Microsoft bezig is om MFA verplicht te stellen voor bepaalde beheerfuncties. Ook het emergency access of break-glass account zal daaraan moeten geloven.
CHK-1137 brengt daarom in kaart welke admin accounts nog een MFA methode moeten registreren zodat geen problemen ontstaan als dit laten verplicht wordt gesteld.
Welke mogelijke uitkomsten heeft de check?
Deze check heeft twee mogelijke uitkomsten. In Attic komt dit als volgt tot uiting:
- Okay: alle beheeraccounts, minus eventuele expliciete uitzonderingen, hebben tenminste 1 MFA methode ingesteld
- Warning: er zijn 1 of meerdere beheeraccounts die nog geen MFA methode hebben ingesteld.
Hoe moet dit worden opgevolgd?
Indien de output Warning is, adviseren wij om voor de beheeraccounts in kwestie een MFA methode te gaan registreren. Bij voorkeur zou dit een "phishing-resistant" methode zijn, zoals passkeys of FIDO2 security keys (zoals Yubikeys)
Specifiek voor het Emergency account wordt een fysieke security sleutel aanbevolen die wordt opgeslagen in een kluis. Inclusief de nodige organisatorische maatregelen zodat deze sleutel in geval van nood door bevoegde medewerkers kan worden gebruikt.
In Attic zal een manual Fix worden aangeboden met de instructies om per account MFA in te stellen. Deze instructies komen erop neer dat, met het account in kwestie via deze pagina een MFA methode kan worden ingesteld: https://mysignins.microsoft.com/security-info
Opmerkingen
0 opmerkingen
U moet u aanmelden om een opmerking te plaatsen.