Microsoft 365 beschermen tegen on-premises aanvallen

Veel klanten verbinden hun particuliere bedrijfsnetwerken met Microsoft 365 ten behoeve van hun gebruikers, apparaten en toepassingen. Bedreigingsactoren kunnen deze particuliere netwerken op veel goed gedocumenteerde manieren in gevaar komen. Microsoft 365 fungeert als een soort zenuwstelsel voor organisaties die hebben geïnvesteerd in het moderniseren van hun omgeving naar de cloud. Het is essentieel om Microsoft 365 te beschermen tegen on-premises infrastructuurinbreuk.

In dit artikel leest u hoe u uw systemen configureert om uw Microsoft 365-cloudomgeving te beschermen tegen on-premises inbreuk:

• Configuratie-instellingen voor Microsoft Entra-tenant.
• Hoe u Microsoft Entra-tenants veilig kunt verbinden met on-premises systemen.
• De compromissen die nodig zijn om uw systemen te bedienen op manieren die uw cloudsystemen beschermen tegen on-premises inbreuk.

Microsoft raadt u ten zeerste aan de richtlijnen in dit artikel te implementeren.

Bedreigingsbronnen in on-premises omgevingen

Uw Microsoft 365-cloudomgeving profiteert van een uitgebreide bewakings- en beveiligingsinfrastructuur. Microsoft 365 maakt gebruik van machine learning en menselijke intelligentie om wereldwijd verkeer te controleren. Het kan snel aanvallen detecteren en stelt u in staat om bijna in realtime opnieuw te configureren.

Hybride implementaties kunnen on-premises infrastructuur verbinden met Microsoft 365. In dergelijke implementaties delegeren veel organisaties vertrouwen aan on-premises onderdelen voor kritieke beslissingen over verificatie en statusbeheer van directory-objecten. Als bedreigingsactoren inbreuk maken op de on-premises omgeving, worden deze vertrouwensrelaties kansen om ook uw Microsoft 365-omgeving in gevaar te brengen.

De twee primaire bedreigingsvectoren zijn federatieve vertrouwensrelaties en accountsynchronisatie. Beide vectoren kunnen een aanvaller beheerderstoegang verlenen tot uw cloud.

• Federatieve vertrouwensrelaties, zoals SAML-verificatie (Security Assertions Markup Language), worden gebruikt voor verificatie bij Microsoft 365 via uw on-premises identiteitsinfrastructuur. Als een SAML-tokenondertekeningscertificaat is aangetast, staat federatie iedereen die dat certificaat heeft toe om een gebruiker in uw cloud te imiteren. Als u deze vector wilt beperken, raden we u aan federatieve vertrouwensrelaties uit te schakelen voor verificatie bij Microsoft 365, indien mogelijk. U wordt ook aangeraden andere toepassingen te migreren die gebruikmaken van een on-premises federatie-infrastructuur om Microsoft Entra te gebruiken voor verificatie.
• Gebruik accountsynchronisatie om bevoegde gebruikers te wijzigen, inclusief hun referenties of groepen met beheerdersbevoegdheden in Microsoft 365. Om deze vector te beperken, raden we u aan ervoor te zorgen dat gesynchroniseerde objecten geen bevoegdheden hebben buiten een gebruiker in Microsoft 365. U kunt bevoegdheden rechtstreeks of via opname in vertrouwde rollen of groepen beheren. Zorg ervoor dat deze objecten geen directe of geneste toewijzing hebben in vertrouwde cloudrollen of -groepen.

Microsoft 365 beschermen tegen on-premises inbreuk

Als u on-premises bedreigingen wilt aanpakken, raden we u aan de vier principes te volgen die in het volgende diagram worden geïllustreerd.

1. Isoleer uw Microsoft 365-beheerdersaccounts volledig. Ze moeten aan de volgende voorwaarden voldoen:

   • Cloud-native accounts.
   • Geverifieerd met behulp van phishingbestendige inloggegevens.
   • Beveiligd door voorwaardelijke toegang van Microsoft Entra.
   • Alleen toegankelijk via door de cloud beheerde bevoegde toegangswerkstations.

   Deze beheerdersaccounts zijn accounts voor beperkt gebruik. Er mogen geen on-premises accounts beheerdersbevoegdheden hebben in Microsoft 365.

   Voor meer informatie, zie Over beheerdersrollen en Rollen voor Microsoft 365 in Microsoft Entra ID.

2. Beheer apparaten vanuit Microsoft 365. Gebruik Microsoft Entra join en mdm (Mobile Device Management) in de cloud om afhankelijkheden van uw on-premises infrastructuur voor apparaatbeheer te elimineren. Deze afhankelijkheden kunnen apparaat- en beveiligingscontroles in gevaar brengen.

3. Zorg ervoor dat er geen on-premises account verhoogde bevoegdheden heeft voor Microsoft 365. Sommige accounts hebben toegang tot on-premises toepassingen waarvoor NTLM-, Lightweight Directory Access Protocol (LDAP) of Kerberos-verificatie is vereist. Deze accounts moeten zich in de on-premises identiteitsinfrastructuur van de organisatie bevinden. Zorg ervoor dat u deze accounts, samen met serviceaccounts, niet opneemt in bevoorrechte cloudrollen of -groepen. Zorg ervoor dat wijzigingen in deze accounts geen invloed kunnen hebben op de integriteit van uw cloudomgeving. Bevoorrechte on-premises software mag geen invloed hebben op Microsoft 365-accounts of -rollen.

4. Gebruik Microsoft Entra-cloudverificatie om afhankelijkheden van uw on-premises referenties te elimineren. Gebruik altijd phishingbestendige verificatiemethoden, zoals Windows Hello voor Bedrijven, Platformreferenties voor macOS-, Wachtwoordsleutels (FIDO2), Microsoft Authenticator-wachtwoordsleutels of verificatie op basis van certificaten.

Specifieke beveiligingsaanbevelingen

De volgende secties bevatten richtlijnen voor het implementeren van de principes in dit artikel.

Bevoorrechte identiteiten isoleren

In Microsoft Entra ID zijn gebruikers met bevoorrechte rollen, zoals beheerders, de hoofdmap van vertrouwen om de rest van de omgeving te bouwen en te beheren. Implementeer de volgende procedures om de gevolgen van een inbreuk te minimaliseren.

• Gebruik cloudaccounts voor Microsoft Entra ID en Microsoft 365 bevoorrechte rollen.
• Implementeer apparaten met uitgebreide toegang voor bevoegde toegang om Microsoft 365 en Microsoft Entra-id te beheren. Zie Apparaatrollen en -profielen.
• Implementeer Microsoft Entra Privileged Identity Management (PIM) voor Just-In-Time-toegang tot alle menselijke accounts met bevoorrechte rollen. Phishing-bestendige verificatie vereisen om rollen te activeren.
• Geef beheerdersrollen op waarmee de minste bevoegdheden zijn toegestaan die nodig zijn om vereiste taken uit te voeren. Zie rollen met minimale bevoegdheden per taak in Microsoft Entra-id.
• Als u een uitgebreide roltoewijzingservaring wilt inschakelen die delegatie en meerdere rollen tegelijk omvat, kunt u microsoft Entra-beveiligingsgroepen of Microsoft 365 Groepen gebruiken. Gezamenlijk noemen we deze cloudgroepen.
• Schakel op rollen gebaseerd toegangsbeheer in. Zie Microsoft Entra-rollen toewijzen. Gebruik beheereenheden in Microsoft Entra ID om het bereik van rollen te beperken tot een deel van de organisatie.
• Implementeer accounts voor toegang tot noodgevallen in plaats van wachtwoordkluizen on-premises om inloggegevens op te slaan. Zie Accounts voor toegang tot noodgevallen beheren in Microsoft Entra ID.

Voor meer informatie, zie Het beveiligen van bevoorrechte toegang en Veilige toegangsmethoden voor beheerders in Microsoft Entra ID.

Cloudverificatie gebruiken

Referenties zijn een primaire aanvalsvector. Implementeer de volgende procedures om referenties veiliger te maken:

• Verificatie zonder wachtwoord implementeren. Verminder het gebruik van wachtwoorden zoveel mogelijk door referenties zonder wachtwoord te implementeren. U kunt deze referenties systeemeigen beheren en valideren in de cloud. Zie Aan de slag met phishingbestendige verificatieimplementatie zonder wachtwoord in Microsoft Entra IDvoor meer informatie. Kies een van de volgende verificatiemethoden:

  • Windows Hello voor Bedrijven-
  • Platformreferentie voor macOS
  • Microsoft Authenticator-app
  • Wachtwoordtoetsen FIDO2)
  • verificatie op basis van Microsoft Entra-certificaten

• Multi-factor Authentication implementeren. Zie Een implementatie van Microsoft Entra-meervoudige verificatie plannen voor meer informatie. Richt meerdere sterke referenties in met behulp van Meervoudige Verificatie van Microsoft Entra. Op die manier is voor toegang tot cloudresources een door Microsoft Entra ID beheerde referentie vereist naast een on-premises wachtwoord. Zie Tolerantie bouwen met referentiebeheer en een flexibele strategie voor toegangsbeheer maken met behulp van Microsoft Entra ID voor meer informatie.

• SSO moderniseren vanaf apparaten. Gebruik de moderne mogelijkheden voor eenmalige aanmelding (SSO) van Windows 11, macOS-, Linux en mobiele apparaten.

• Overwegingen. Hybride accountwachtwoordbeheer vereist hybride onderdelen, zoals agents voor wachtwoordbeveiliging en agents voor write-back van wachtwoorden. Als aanvallers inbreuk maken op uw on-premises infrastructuur, kunnen ze de computers beheren waarop deze agents zich bevinden. Dit beveiligingsprobleem maakt geen inbreuk op uw cloudinfrastructuur. Als u cloudaccounts gebruikt voor bevoorrechte rollen, worden deze hybride onderdelen niet beschermd tegen on-premises inbreuk.

  Met het standaardbeleid voor het verlopen van wachtwoorden in Microsoft Entra wordt het accountwachtwoord van gesynchroniseerde on-premises accounts ingesteld op Nooit verlopen. U kunt deze instelling beperken met on-premises Active Directory-wachtwoordinstellingen. Als uw exemplaar van Active Directory is aangetast en synchronisatie is uitgeschakeld, stelt u de optie CloudPasswordPolicyForPasswordSyncedUsersEnabled in om wachtwoordwijzigingen af te dwingen of om over te stappen naar phishingbestendige wachtwoordverificatie.

Gebruikerstoegang inrichten vanuit de cloud

Inrichting verwijst naar het maken van gebruikersaccounts en groepen in toepassingen of id-providers.

We raden de volgende inrichtingsmethoden aan:

• Inrichten van HR-apps in de cloud naar Microsoft Entra-id. Met deze inrichting kan een on-premises inbreuk worden geïsoleerd. Deze isolatie verstoort uw joiner-mover-verlofcyclus niet van uw HR-apps in de cloud naar Microsoft Entra ID.

• Cloudtoepassingen. Implementeer waar mogelijk app-voorziening in Microsoft Entra ID in plaats van on-premises voorzieningsoplossingen. Met deze methode worden sommige van uw SaaS-apps (software-as-a-service) beschermd tegen kwaadwillende aanvallerprofielen in on-premises inbreuken.

• Externe identiteiten. Gebruik Microsoft Entra External ID B2B-samenwerking om de afhankelijkheid van lokale accounts voor externe samenwerking met partners, klanten en leveranciers te verminderen. Evalueer zorgvuldig elke directe federatie met andere id-providers. U wordt aangeraden B2B-gastaccounts op de volgende manieren te beperken:

  • Beperk gasttoegang tot het bladeren door groepen en andere eigenschappen in de directory. Gebruik de instellingen voor externe samenwerking om de mogelijkheid van gasten te beperken om groepen te lezen waarvan ze geen lid zijn.
  • Blokkeer toegang tot de Azure Portal. U kunt zeldzame noodzakelijke uitzonderingen maken. Maak een beleid voor voorwaardelijke toegang met alle gasten en externe gebruikers. Implementeer vervolgens een beleid om de toegang te blokkeren.

• Niet-verbonden forests. Gebruik Microsoft Entra-cloudinrichting om verbinding te maken met niet-verbonden forests. Deze aanpak neemt de noodzaak weg om forestoverkoepelende connectiviteit of vertrouwensrelaties tot stand te brengen, waarmee het effect van een on-premises inbreuk kan worden uitgebreid. Zie Wat is Microsoft Entra Connect Cloud Syncvoor meer informatie.

• Overwegingen. Wanneer het wordt gebruikt voor het inrichten van hybride accounts, is het Microsoft Entra ID-from-cloud-HR-systeem afhankelijk van on-premises synchronisatie om de gegevensstroom van Active Directory naar Microsoft Entra ID te voltooien. Als de synchronisatie wordt onderbroken, zijn nieuwe werknemersrecords niet beschikbaar in Microsoft Entra-id.

Cloudgroepen gebruiken voor samenwerking en toegang

Met cloudgroepen kunt u uw samenwerking en toegang loskoppelen van uw on-premises infrastructuur.

• Samenwerking. Gebruik Microsoft 365-groepen en Microsoft Teams voor moderne samenwerking. Lokale distributielijsten afbouwen en distributielijsten upgraden naar Microsoft 365 Groepen in Outlook.
• Toegang. Gebruik Microsoft Entra-beveiligingsgroepen of Microsoft 365 Groepen om toegang tot toepassingen in Microsoft Entra-id te autoriseren. Als u de toegang tot on-premises toepassingen wilt beheren, kunt u overwegen inrichtingsgroepen voor Active Directory met behulp van Microsoft Entra Cloud Sync.
• Licentieverlening. Gebruik groepslicenties voor het inrichten van Microsoft-services met behulp van cloudgroepen. Met deze methode wordt het beheer van een groepslidmaatschap losgekoppeld van de on-premises infrastructuur.

Overweeg eigenaren van groepen die worden gebruikt voor toegang als bevoorrechte identiteiten om te voorkomen dat het lidmaatschap wordt overgenomen bij een inbreuk op locatie. Overnames van bevoegdheden omvatten directe manipulatie van het lokale groepslidmaatschap of lokale kenmerkmanipulatie die invloed kan hebben op het dynamische groepslidmaatschap van Microsoft 365.

Apparaten beheren vanuit de cloud

Apparaten veilig beheren met Microsoft Entra-mogelijkheden.

Implementeer aan Microsoft Entra gekoppelde Windows 11-werkstations met mobile device management-beleid. Schakel Windows Autopilot in voor een volledig geautomatiseerde implementatie-ervaring. Zie Uw Microsoft Entra-implementatie plannen.

• Gebruik Windows 11-werkstations met de meest recente updates die zijn geïmplementeerd.

  • Machines waarop Windows 10 en eerder wordt uitgevoerd, worden afgeschaft.
  • Implementeer geen computers met een serverbesturingssysteem als werkstation.

• Gebruik Microsoft Intune als autoriteit voor alle werkbelastingen voor apparaatbeheer, waaronder Windows, macOS, iOS, Android en Linux.

  • De iOS Enterprise SSO-extensie implementeren.
  • de macOS Enterprise SSO-extensie uitrollen of Platform SSO Secure Enclave Key.

• Implementeer apparaten met bevoegde toegang. Zie Apparaatrollen en -profielen voor meer informatie.

Workloads, toepassingen en resources

Deze sectie bevat aanbevelingen om te beschermen tegen on-premises aanvallen op workloads, toepassingen en resources.

• On-premises systemen voor eenmalige aanmelding (SSO). Verwijder alle on-premises infrastructuur voor federatief en webtoegangsbeheer. Configureer toepassingen voor het gebruik van Microsoft Entra-id. Als u AD FS voor federatie gebruikt, raadpleegt u Inzicht in de fasen van het migreren van toepassingsverificatie van AD FS naar Microsoft Entra ID.
• SaaS- en LOB-toepassingen (Line-Of-Business) die moderne verificatieprotocollen ondersteunen. Gebruik Single Sign-On in Microsoft Entra ID. Configureer apps voor het gebruik van Microsoft Entra ID voor verificatie om het risico in een on-premises inbreuk te verminderen.
• Verouderde toepassingen. U kunt verificatie, autorisatie en externe toegang inschakelen voor verouderde toepassingen die geen ondersteuning bieden voor moderne verificatie met behulp van Microsoft Entra Private Access. Als eerste stap kunt u moderne toegang tot de interne netwerken inschakelen met snelle toegang tot Microsoft Entra Private Access. Deze stap biedt een snelle en eenvoudige manier om uw EENMALIGE VPN-configuratie te vervangen met behulp van de veilige mogelijkheden van voorwaardelijke toegang. Configureer vervolgens per app toegang tot elke tcp- of UDP-toepassing.
• Voorwaardelijke toegang. Definieer beleid voor voorwaardelijke toegang voor SaaS-, LOB- en verouderde toepassingen om beveiligingscontroles af te dwingen, zoals phishingbestendige MFA en apparaatcompatibiliteit. Lees Een microsoft Entra-implementatie voor voorwaardelijke toegang plannenvoor meer informatie.
• Toegangslevenscyclus. Beheer de levenscyclus van toegang tot toepassingen en resources met Microsoft Entra ID Governance om toegang met minimale bevoegdheden te implementeren. Geef gebruikers alleen toegang tot informatie en resources als ze echt nodig hebben om hun taken uit te voeren. Integreer SaaS-, LOB- en oudere toepassingen met Microsoft Entra ID Governance. Met Microsoft Entra ID Entitlement Management worden werkstromen voor toegangsaanvragen, toegangstoewijzingen, beoordelingen en vervaldatum geautomatiseerd.
• Toepassings- en workloadservers. U kunt toepassingen of resources migreren waarvoor servers zijn vereist naar Azure IaaS (Infrastructure-as-a-Service). Gebruik Microsoft Entra Domain Services om vertrouwensrelaties en afhankelijkheid van on-premises exemplaren van Active Directory los te koppelen. Als u deze ontkoppeling wilt bereiken, moet u ervoor zorgen dat virtuele netwerken die worden gebruikt voor Microsoft Entra Domain Services geen verbinding hebben met bedrijfsnetwerken. Gebruik referentielagen. Toepassingsservers worden doorgaans beschouwd als assets van laag-1. Zie Model voor bedrijfstoegang voor meer informatie.

Beleid voor voorwaardelijke toegang

Gebruik voorwaardelijke toegang van Microsoft Entra om signalen te interpreteren en te gebruiken om verificatiebeslissingen te nemen. Zie het Implementatieplan voor voorwaardelijke toegang voor meer informatie.

• Gebruik voorwaardelijke toegang om waar mogelijk verouderde verificatieprotocollen te blokkeren. Schakel daarnaast verouderde verificatieprotocollen op het toepassingsniveau uit met behulp van een toepassingsspecifieke configuratie. Zie Verouderde verificatie blokkeren en verouderde verificatieprotocollen. Zoek specifieke details voor Exchange Online- en SharePoint Online-.
• Implementeer de aanbevolen configuraties voor identiteits- en apparaattoegang. Zie Algemeen Zero Trust-beleid voor identiteits- en apparaattoegang.
• Als u een versie van Microsoft Entra-id gebruikt die geen voorwaardelijke toegang bevat, gebruikt u de standaardinstellingen voor beveiliging in Microsoft Entra-id. Zie de prijshandleiding voor Microsoft Entra voor meer informatie over licentieverlening voor Microsoft Entra-functies.

Monitor

Nadat u uw omgeving hebt geconfigureerd om uw Microsoft 365 te beschermen tegen on-premises inbreuk, moet u de omgeving proactief bewaken. Voor meer informatie, zie Wat is Microsoft Entra-bewaking.

Bewaak de volgende belangrijke scenario's, naast scenario's die specifiek zijn voor uw organisatie.

• Verdachte activiteit. Bewaak alle Microsoft Entra-risico-gebeurtenissen voor verdachte activiteiten. Zie Procedure: Risico onderzoeken. Microsoft Entra ID Protection is systeemeigen geïntegreerd met Microsoft Defender for Identity. Definieer netwerk benoemde locaties om ruisdetecties te voorkomen op locatiegebaseerde signalen. Zie De locatievoorwaarde gebruiken in beleid voor voorwaardelijke toegang.

• UEBA-waarschuwingen (User and Entity Behavior Analytics). Gebruik UEBA om inzicht te krijgen in anomaliedetectie. Microsoft Defender for Cloud Apps biedt UEBA in de cloud. Zie Riskante gebruikers onderzoeken. U kunt on-premises UEBA integreren vanuit Microsoft Defender for Identity. Microsoft Defender voor Cloud Apps leest signalen van Microsoft Entra ID Protection. Zie Analyse van entiteitsgedrag inschakelen om geavanceerde bedreigingen te detecteren.

• Accountactiviteiten voor noodtoegang. Bewaak alle toegang die gebruikmaakt van accounts voor noodtoegang. Zie Accounts voor toegang tot noodgevallen beheren in Microsoft Entra ID. Maak waarschuwingen voor onderzoeken. Deze bewaking moet de volgende acties bevatten:

  • Aanmeldingen
  • Referentiebeheer
  • Alle updates voor groepslidmaatschappen
  • Toepassingstoewijzingen

• Activiteit met bevoorrechte rollen. Configureer en controleer beveiligingswaarschuwingen gegenereerd door Microsoft Entra Privileged Identity Management (PIM). Bewaak de directe toewijzing van bevoorrechte rollen buiten PIM door waarschuwingen te genereren wanneer een gebruiker rechtstreeks wordt toegewezen.

• Microsoft Entra tenantbrede configuraties. Elke wijziging in configuraties voor de hele tenant moet waarschuwingen genereren in het systeem. Neem de volgende wijzigingen op (maar beperk niet tot):

  • Bijgewerkte aangepaste domeinen
  • Microsoft Entra B2B-wijzigingen in acceptatielijsten en bloklijsten
  • Microsoft Entra B2B-wijzigingen in toegestane id-providers, zoals SAML-id-providers, via directe federatie of sociale aanmeldingen
  • Wijzigingen in beleid voor voorwaardelijke toegang of risico

• Toepassings- en service-principalobjecten

  • Nieuwe toepassingen of service-principals waarvoor mogelijk beleid voor voorwaardelijke toegang vereist is
  • Er zijn referenties toegevoegd aan service-principals
  • Activiteit met betrekking tot toepassingstoestemming

• Aangepaste rollen

  • Updates van de aangepaste roldefinities
  • Nieuw gemaakte aangepaste rollen

Raadpleeg Microsoft Entra Security Operations Guidevoor uitgebreide richtlijnen over dit onderwerp.

Logboekbeheer

Definieer een strategie voor logboekopslag en -retentie, -ontwerp en implementatie voor een consistente set hulpprogramma's. Denk bijvoorbeeld aan SIEM-systemen (Security Information and Event Management), zoals Microsoft Sentinel, algemene query's en playbooks voor onderzoek en forensisch onderzoek.

• Microsoft Entra-logboeken. Neem gegenereerde logboeken en signalen op door consistent de aanbevolen procedures te volgen voor instellingen zoals diagnostische gegevens, logboekretentie en SIEM-gegevensopname.

• Microsoft Entra ID biedt Azure Monitor-integratie voor meerdere identiteitslogboeken. Zie Activiteitenlogboeken van Microsoft Entra in Azure Monitor en Riskante gebruikers onderzoeken met Copilotvoor meer informatie.

• Beveiligingslogboeken voor hybride infrastructuurbesturingssysteem. Archiveer en bewaak alle besturingssysteemlogboeken van de hybride identiteitsinfrastructuur zorgvuldig als een niveau-0-systeem vanwege de implicaties voor het aanvalsoppervlak. Neem de volgende elementen op:

  • Connectors voor privénetwerken voor Microsoft Entra Private Access en Microsoft Entra Application Proxy.
  • Agents voor wachtwoordherstel.
  • Gatewaycomputers voor wachtwoordbeveiliging.
  • Netwerkbeleidsservers (NPS's) met de RADIUS-extensie voor Microsoft Entra-meervoudige verificatie.
  • Microsoft Entra Connect.
  • U moet Microsoft Entra Connect Health implementeren om identiteitssynchronisatie te bewaken.

Raadpleeg playbooks voor reacties op incidenten en Riskante gebruikers onderzoeken met Copilot- voor uitgebreide richtlijnen over dit onderwerp

Volgende stappen

• Tolerantie inbouwen in identiteits- en toegangsbeheer met behulp van Microsoft Entra-id
• Externe toegang tot resources beveiligen
• Al uw apps integreren met Microsoft Entra ID