Bevoorrechte toegang beschermen met PIM (Privileged Identity Management)

Bevoorrechte toegang beschermen met PIM (Privileged Identity Management)

15/04/2024

Dit technische en educatieve artikel is bedoeld om beveiligingsanalisten, IT-beheerders en systeemingenieurs te begeleiden bij het implementeren en beheren van Privileged Identity Management (PIM) in Microsoft Entra ID (voorheen Azure Active Directory). PIM is een service waarmee u de toegang tot belangrijke bronnen in uw organisatie kunt beheren, controleren en monitoren, waarbij Just-In-Time (JIT) en Just-Enough Access (JEA) toegang wordt geboden tot bevoorrechte functies, waardoor het risico op misbruik van bevoegdheden wordt geminimaliseerd [1].

Introductie

Accounts met beheerdersrechten zijn een belangrijk doelwit voor cyberaanvallen, omdat het compromitteren ervan kan leiden tot volledige controle over de systemen en gegevens van een organisatie. Het traditionele beveiligingsmodel, waarbij geprivilegieerde accounts permanent worden toegewezen, vergroot het aanvalsoppervlak en het risico op zijwaartse beweging door aanvallers. PIM pakt deze uitdaging aan door het concept van "just-in-time" (JIT) en "just-enough-access" (JEA) toegang te introduceren, waardoor wordt gegarandeerd dat gebruikers alleen verhoogde rechten hebben wanneer dat nodig is en gedurende de strikt vereiste tijd [2].

Deze praktische gids behandelt de PIM-configuratie in Microsoft Entra ID, van het activeren van de service tot het toewijzen van geschiktheid voor rollen, het configureren van activeringsbeleid en het proces van het activeren van een bevoorrechte rol. Er worden stapsgewijze instructies, praktische voorbeelden en validatiemethoden gegeven, zodat de lezer geprivilegieerde toegangsbeveiliging in zijn Microsoft-omgeving kan implementeren en versterken, waardoor de risico's worden verminderd en compliance wordt gewaarborgd.

Waarom is Privileged Identity Management cruciaal?

  • Vermindering van aanvalsoppervlak: Minimaliseert de tijd dat geprivilegieerde accounts actief blijven, waardoor de kansen voor aanvallers worden verkleind.
  • JIT/JEA-toegang: verleent tijdelijke toegang met de minste rechten, in overeenstemming met de Zero Trust-principes.
  • Zichtbaarheid en auditing: Biedt gedetailleerde logboeken van alle activeringen van bevoorrechte functies, waardoor auditing en naleving worden vergemakkelijkt.
  • Goedkeuringsstroom: Hiermee kunt u goedkeuring vereisen voor de activering van kritieke functies, waardoor een extra beveiligingslaag wordt toegevoegd.
  • Toegangsbeoordelingen: Faciliteert periodieke toegangsbeoordelingen om ervoor te zorgen dat verleende rechten nog steeds passend zijn.

Vereisten

Om Privileged Identity Management (PIM) te implementeren, hebt u de volgende items nodig:

  1. Licenties: een Microsoft Enroll ID Premium P2-licentie (voorheen Azure AD Premium P2). PIM is een uniek kenmerk van deze licentie [3].
  2. Beheerderstoegang: een account met de rol van 'Global Administrator' of 'Privileged Roles Administrator' in Microsoft. Voer de ID in om PIM te configureren.
  3. Gebruikers en groepen: gebruikers en/of beveiligingsgroepen op Microsoft Entra ID waarvoor bevoorrechte toegang vereist is.

Stap voor stap: PIM configureren en gebruiken

We zullen PIM configureren voor een cruciale administratieve rol, zoals 'Global Administrator', en het activeringsproces demonstreren.

1. PIM activeren op Microsoft Entra ID

Als PIM nog niet actief is in uw tenant, moet u dit activeren.

  1. Ga naar de portal van het Microsoft Entra-beheercentrum: https://entra.microsoft.com.
  2. Selecteer in het linkernavigatievenster Identity Governance > Privileged Identity Management.
  3. Als dit de eerste keer is, ziet u een optie PIM inschakelen. Klik erop.

2. Geschiktheid voor een rol toewijzen

Laten we eerst een gebruiker in aanmerking laten komen voor de rol 'Global Administrator'.

  1. Selecteer in het linkernavigatievenster van PIM Microsoft Entra Rollen > Rollen.
  2. Zoek in de lijst met rollen naar 'Global Administrator' en klik erop.

  3. Klik op de roldetailspagina 'Algemene beheerder' op Rollen toevoegen.

  4. Klik in het gedeelte Toewijzingen toevoegen op Leden selecteren.

  5. Zoek en selecteer de gebruiker(s) of groep(en) die u in aanmerking wilt laten komen voor deze rol. Klik op Selecteren.
  6. Selecteer onder Toewijzingstype de optie In aanmerking komen.
  7. Onder Permanente toewijzing kunt u een begin- en einddatum instellen om in aanmerking te komen, of deze permanent maken. Voor zeer geprivilegieerde functies moet een permanente toewijzing worden vermeden, maar met dit doel voor ogenVoor demonstratiedoeleinden kunnen we het laten zoals het is.
  8. Klik op Toewijzen.

3. Rolinstellingen configureren

Roldefinities bepalen hoe gebruikers hun rechten kunnen activeren.

  1. Selecteer in het linkernavigatievenster van PIM Microsoft Entra Functions > Instellingen.

  2. Zoek in de lijst met rollen naar 'Global Administrator' en klik op Bewerken.

  3. In het gedeelte Activering:

    • Maximale activeringsduur: Definieer de maximale tijd dat een gebruiker de functie actief kan hebben (bijvoorbeeld: 4 uur). Een korte periode wordt aanbevolen.
    • Meervoudige authenticatie vereisen bij activering: vink deze optie aan. Sterk aanbevolen voor alle geprivilegieerde rollen.
    • Vereist motivering bij activering: Selecteer deze optie. Gebruikers moeten een reden voor activering opgeven.
    • Goedkeuring vereisen om te activeren: Vink deze optie aan om een ​​goedkeuringsstroom toe te voegen. Klik op Goedkeurders selecteren en voeg een of meer gebruikers/groepen toe die activeringsverzoeken kunnen goedkeuren.
  4. In de sectie Opdracht:
    • Permanente in aanmerking komende toewijzingen toestaan: Overweeg voor 'Global Admin' deze optie uit te schakelen om te forceren dat alle toewijzingen tijdelijk zijn.
  5. In de sectie Melding:
    • Configureer wie op de hoogte moet worden gesteld van de activering van de functie.
  6. Klik op Bijwerken om de instellingen op te slaan.

4. Een geprivilegieerde functie inschakelen (gebruikerservaring)

Laten we nu demonstreren hoe een in aanmerking komende gebruiker de rol 'Global Administrator' activeert.

  1. In aanmerking komende gebruiker heeft toegang tot de portal van het Microsoft Entra-beheercentrum: https://entra.microsoft.com.
  2. Navigeer naar Identity Governance > Privileged Identity Management.
  3. Selecteer in het linkernavigatievenster Mijn rollen > Microsoft-aanmeldingsrollen.
  4. Op het tabblad In aanmerking komende rollen ziet de gebruiker de rol 'Algemene beheerder'.

  5. Klik op Inschakelen naast de rol 'Algemene beheerder'.

  6. In het activeringsvenster:

    • Duur: De gebruiker kan de activeringsduur specificeren (beperkt door de maximale duur gedefinieerd in de functiedefinities).
    • Reden: De gebruiker moet een rechtvaardiging voor activering opgeven (bijvoorbeeld Onderhoud uitvoeren op server X).
    • (Indien geconfigureerd) Beveiligingscontrole: de gebruiker wordt mogelijk gevraagd een MFA-controle uit te voeren.

  7. Klik op Activeren.

  8. Indien goedkeuring vereist is, wordt het verzoek naar de goedkeurders gestuurd. De gebruiker ziet de status 'In afwachting van goedkeuring'.

5. Een activeringsverzoek goedkeuren (Approver Experience)

Een aangewezen goedkeurder ontvangt een melding (via e-mail of in het PIM-portaal) over het activeringsverzoek.

  1. De goedkeurder gaat naar de portal van het Microsoft Entra-beheercentrum: https://entra.microsoft.com.
  2. Navigeer naar Identity Governance > Privileged Identity Management.
  3. Selecteer Aanvragen goedkeuren in het linkernavigatievenster.
  4. De goedkeurder ziet het openstaande verzoek. Klik erop om details te zien.

  5. De goedkeurder kan het verzoek Goedkeuren of Weigeren, met een rechtvaardiging.

  6. Na goedkeuring heeft de aanvragende gebruiker voor de aangegeven periode de actieve rol.

Validatie en testen

Het valideren van uw PIM-implementatie is van cruciaal belang om ervoor te zorgen dat geprivilegieerde toegangscontroles werken zoals verwacht.

1. Activeringsstatus controleren

  1. Na activering (en goedkeuring, indien van toepassing) kan de gebruiker terugkeren naar de pagina Mijn rollen > Microsoft-inlogrollen in PIM.
  2. Op het tabblad Actieve rollen moet de rol 'Global Administrator' verschijnen met de status 'Actief' en de resterende tijd.

2. Toegang met verhoogde bevoegdheden testen

  1. Als de functie is geactiveerd, moet de gebruiker proberen toegang te krijgen tot bronnen of acties uitvoeren waarvoor de rol 'Global Administrator' vereist is (bijvoorbeeld een nieuwe gebruiker aanmaken in Microsoft Entra ID).
  2. De actie moet succesvol zijn.

3. PIM-auditlogboeken controleren

  1. Selecteer in het linkernavigatievenster van PIM Audit > Microsoft Entra Rolaudit.
  2. Filter de logboeken om rolactivaties, goedkeuringen en andere PIM-gerelateerde activiteiten te bekijken. Dit levert een volledig overzicht op van wie welke functie heeft geactiveerd, wanneer, voor hoe lang en met welke rechtvaardiging.

4. Vervaldatum van activering testen

Nadat de activeringstijd is verstreken, moet de gebruiker verliezenautomatisch verhoogde rechten. Probeer de bevoorrechte actie opnieuw uit te voeren; ze moet falen.

Beveiligingstips en best practices

  • Privilegeprincipe: wijs alleen de rollen toe die een gebruiker nodig heeft om zijn of haar taken uit te voeren. Vermijd het toewijzen van 'Global Administrator' als een minder bevoorrechte rol zou volstaan.
  • Toewijzing van geschiktheid vs. actieve toewijzing: gebruik waar mogelijk 'In aanmerking komende' in plaats van permanente 'Actieve' toewijzingen voor geprivilegieerde rollen.
  • MFA Verplicht: Altijd MFA vereisen om bevoorrechte functies te activeren. Dit voegt een cruciale beveiligingslaag toe.
  • Vereiste rechtvaardiging: vereist dat gebruikers voor elke activering een rechtvaardiging opgeven. Dit helpt bij het controleren en begrijpen van het doel van toegang.
  • Goedkeuringsstromen: configureer voor kritieke functies goedkeuringsstromen om ervoor te zorgen dat activeringen door iemand anders worden beoordeeld en geautoriseerd.
  • Toegangsbeoordelingen: Plan regelmatige toegangsbeoordelingen in PIM om ervoor te zorgen dat u nog steeds in aanmerking komt voor geprivilegieerde rollen en verwijder onnodige toewijzingen.
  • Meldingen: configureer meldingen voor beheerders wanneer bevoorrechte rollen worden geactiveerd of er verdachte activiteit plaatsvindt.
  • Integratie met voorwaardelijke toegang: gebruik voorwaardelijke toegang om extra beleid af te dwingen bij het activeren van PIM-functies (bijvoorbeeld door te vereisen dat activering plaatsvindt vanaf een ondersteund apparaat of een vertrouwde netwerklocatie).

Algemene probleemoplossing

  • Gebruiker kan de functie niet activeren: Controleer of de gebruiker een Microsoft Entra ID Premium P2-licentie heeft. Controleer of hij op de lijst staat van degenen die in aanmerking komen voor de rol. Controleer de rolinstellingen (bijvoorbeeld of MFA vereist is en de gebruiker dit niet heeft geconfigureerd).
  • Functie-activering mislukt: Controleer PIM-auditlogboeken op foutmeldingen. Dit kan te wijten zijn aan een MFA-fout, een gebrek aan rechtvaardiging of een afwijzing door een goedkeurder.
  • Goedkeurders ontvangen geen meldingen: controleer de meldingsinstellingen in de rolinstellingen. Zorg ervoor dat de e-mailadressen van de goedkeurders correct zijn en dat er geen regels voor het postvak IN zijn die meldingen blokkeren.
  • Functie wordt niet automatisch gedeactiveerd: Controleer de maximale activeringsduur in de functie-instellingen. Als het probleem zich blijft voordoen, kan dit te wijten zijn aan een vertraging in de servicesynchronisatie.
  • Toestemmingsconflicten: Als een gebruiker dezelfde toestemming heeft via een PIM-rol en een reguliere rol, prevaleert de reguliere rol. Het is een goede gewoonte om permanente bevoorrechte roltoewijzingen te verwijderen voor gebruikers die ook in aanmerking komen via PIM.

Conclusie

Microsoft Entra Privileged Identity Management (PIM) is een onmisbaar hulpmiddel voor elke organisatie die haar geprivilegieerde toegang wil beschermen en haar beveiligingshouding wil versterken. Door de principes van Just-In-Time en Just-Enough Access toe te passen, helpt PIM het aanvalsoppervlak aanzienlijk te verkleinen, biedt het een gedetailleerd audittraject en legt het strikte controles op administratieve functies op. Een zorgvuldige implementatie van PIM, gecombineerd met best practices op het gebied van beveiliging en gebruikerstraining, stelt IT- en beveiligingsteams in staat om rechten effectief te beheren, waardoor de risico's die gepaard gaan met gecompromitteerde geprivilegieerde accounts worden beperkt en een veiligere en conforme omgeving wordt gegarandeerd.

Referenties:

[1] Microsoft Leer. Wat is Microsoft Entra Privileged Identity Management?. Beschikbaar op: https://learn.microsoft.com/pt-br/entra/id-governança/privileged-identity-management/pim-configure [2] Microsoft Leer. Nul vertrouwensprincipes. Beschikbaar op: https://learn.microsoft.com/pt-br/security/zero-trust/guidance-principles [3] Microsoft Leer. Licentievereisten voor Microsoft Entra Privileged Identity Management. Beschikbaar op: https://learn.microsoft.com/pt-br/entra/id-governança/privileged-identity-management/pim-configure#license-requirements