Werk jij straks niet meer veilig? Check het nu!

Veilig werken, op elk apparaat vanaf elke locatie en bij jouw data kunnen kan heel erg handig en efficiënt zijn. Eigenlijk precies zoals je nu al gewend bent. Dit wil je in de toekomst ook blijven doen met hetzelfde gemak en uiteraard zo veilig mogelijk, toch?

Maar let even op, er gaat namelijk iets veranderen op het gebied van de inrichting van security waar jij mogelijk al gebruik van maakt! Microsoft gaat namelijk eind februari (ja bijna dus) de Conditional Access baseline policies uitzetten.

Wat doen deze baseline policies eigenlijk?
De baseline policies zijn vooraf gedefinieerde regels die jouw organisatie veiliger maken en helpen te beschermen tegen veel voorkomende aanvallen zoals onder andere password spray en phishing. In totaal zijn er 4 policies;

  • Baseline policy: Require MFA for admins (Preview)
  • Baseline policy: End user protection (Preview)
  • Baseline policy: Block legacy authentication (Preview)
  • Baseline policy: Require MFA for Service Management (Preview)

Security Defaults
Als onderdeel van een standaardmodel voor authenticatie worden deze policies straks uitgezet. Microsoft creëert via deze aanpak meer bewustwording bij het ontwerpen van jullie beveiligingsbeleid.

Als vervanging hiervoor heeft Microsoft de Security Defaults beschikbaar gemaakt, wat een eenvoudiger alternatief is en helpt jouw organisatie om met één druk op de knop nog beter beveiligd te zijn tegen allerlei cyber aanvallen. Ook het uitsluiten van verouderde protocollen zoals SMTP, IMAP, POP (zgn. “legacy authentication”) wordt hiermee afgedwongen.

Bonus tip: legacy authenticatie wordt in zijn geheel niet meer toegestaan als connectie naar Outlook Online vanaf oktober 2020: https://developer.microsoft.com/en-us/office/blogs/end-of-support-for-basic-authentication-access-to-exchange-online-apis-for-office-365-customers/. Ook dat is al bijna!

 

Welke actie moet ik ondernemen?

Dit ligt aan hoe de beveiligingsconfiguratie binnen jouw organisatie is ingericht. Zijn er naast de baseline policies geen andere policies ingericht, hoeft je nu geen actie te ondernemen en kun je de Security Defaults inschakelen.

Zijn er wel andere zelf aangemaakte policies (wat bij de meeste omgevingen zo is!), dan kun je de Security Defaults niet gelijk inschakelen en zul je de Conditional Access zelf policies moeten aanpassen.
Maak in dat geval dus minimaal een MFA policy aan voor je gebruikers en je beheerders.

Bonus tip 2: Het blokkeren van legacy authenticatie (met een relatief simpele policy) kan flinke impact hebben in je omgeving. Met name 3rd party applicaties zijn nog niet altijd zo ver. Door de policy wel alvast aan te maken maar deze op ‘report-only’ te zetten kun je informatie verzamelen welke gebruikers / serviceaccounts nog gebruik maken van een verouderd protocol, en op basis daarvan een plan maken.

 

Hoe kun je Security Defaults inschakelen?

Standaard instellingen voor beveiliging in jullie Directory inschakelen:

  1. Meld je aan op de Azure Portal als een beheerder.
  2. Blader naar Azure Active Directory > Eigenschappen.
  3. Selecteer Manage Security Defaults.
  4. Stel de Schakel optie standaard instellingen inschakelen in op Ja.
  5. Selecteer Opslaan.

Stefan is Cloud consultant bij Cloud Life en richt zicht op Sharepoint Online, Teams en Security.