Terug naar het overzicht

01 juli 2023

Bescherming Bedrijfsdata met Microsoft Intune

Het uitvoeren van identiteits- en toegangsbeheerprocessen is een effectieve methode om gevoelige bedrijfsdata te beschermen. Het stelt organisaties in staat om gebruikerstoegang te reguleren en gevallen van identiteitsdiefstal, datalekken en ongeautoriseerde toegang tot vertrouwelijke bedrijfsinformatie te voorkomen. In dit artikel beschrijven we hoe organisaties hun blootstelling aanzienlijk kunnen verminderen door toegangsrechten te controleren met Microsoft Intune.

Het probleem met lokale beheerdersrechten

Toegangsbeheer is een fundamenteel aspect van moderne IT-beveiligingsoperaties voor bedrijfsapparaten. Hoewel het geven van niet-bevoorrechte gebruikersaccounts aan gebruikers al lang gevestigd is, is het steeds belangrijker om gevoelige bedrijfsdata te beschermen. De groeiende afhankelijkheid van technologie en de toenemende dreiging van cyberaanvallen zijn slechts twee factoren hierin.

Gebruikers lokale beheerdersrechten geven is een veel voorkomende praktijk in veel organisaties, maar het kan aanzienlijke beveiligingsrisico’s met zich meebrengen. Lokale beheerdersrechten geven gebruikers uitgebreide controle over hun apparaten. Dit kan het vermogen omvatten om systeeminstellingen te wijzigen en software te installeren of te verwijderen in de systeemcontext of voor alle gebruikers.

Dit niveau van toegang kan het voor gebruikers gemakkelijk maken om per ongeluk of opzettelijk malware of andere beveiligingsbedreigingen in bedrijfsapparaten te introduceren door op kwaadaardige links te klikken of opzettelijk met systeeminstellingen te knoeien om ongeautoriseerde toegang toe te staan.

Vaak krijgen gebruikers lokale beheerdersrechten om de belasting van IT-ondersteuningsteams te verminderen. Er wordt gedacht dat door gebruikers in staat te stellen hun eigen software te installeren, het aantal helpdesktickets zal afnemen. In werkelijkheid kunnen gebruikers met beheerdersrechten vaker systeemfouten of softwareconflicten ervaren, wat leidt tot verhoogde ondersteuningsverzoeken en tijdrovende probleemoplossing.

Gebruikers lokale beheerdersrechten geven kan het ook moeilijk maken voor IT-beheerders om beveiligingsbeleid te beheren en af te dwingen, aangezien gebruikers met verhoogde rechten beveiligingsmaatregelen kunnen omzeilen. Als gebruikers per ongeluk beveiligingsfuncties uitschakelen of wijzigen, kan dit ook de rest van het bedrijfsnetwerk openstellen voor aanvallen.

De ITSecOps-uitdaging

Om alle bovengenoemde redenen is het al lang bekend dat het geen goed idee is om standaardgebruikers bevoorrechte toegang te geven tot hun werkcomputers. Het voorkomen dat gebruikers lokale beheerdersrechten hebben, is echter een veelvoorkomende uitdaging voor IT-beheerders, omdat het moeilijk kan zijn om de juiste balans te vinden tussen beveiliging en bruikbaarheid.

Bijvoorbeeld, sommige applicaties vereisen lokale beheerdersrechten om correct te functioneren, waardoor het moeilijk kan zijn om toegang te beperken zonder de bedrijfsvoering te verstoren. Dit kan vooral waar zijn voor verouderde software die mogelijk essentieel is voor de organisatie.

IT-beheerders moeten ook rekening houden met de mogelijke impact op productiviteit en gebruikerservaring. Als gebruikers regelmatig beheerdersrechten nodig hebben om hun werk te voltooien, kan het beperken van deze toegang leiden tot vertragingen, wat een negatief effect kan hebben op de bedrijfsvoering.

Hoe organisaties lokale beheerdersrechten kunnen beperken

Om deze beveiligings- en beheerrisico’s te beperken, wordt aanbevolen dat organisaties lokale beheerdersrechten beperken tot een geselecteerde groep vertrouwde IT-professionals.

Als alternatief kunnen IT-teams strategieën gebruiken zoals toegang met de minste privileges en op rollen gebaseerde toegangscontrole, die gebruikers toegang verlenen op basis van hun functieverantwoordelijkheden en de toegang beperken tot alleen de minimale bronnen die nodig zijn om hun werk te voltooien. Deze aanpak geeft gebruikers de noodzakelijke toegang om hun werk te doen, terwijl het risico van het introduceren van beveiligingsbedreigingen in bedrijfsapparaten wordt geminimaliseerd.

Gebruikersaccountbeheer (UAC)

Een manier om Endpoint Privilege Management te implementeren is via User Account Control (UAC). Deze beveiligingsfunctie is ontworpen om ongeautoriseerde wijzigingen op een computer te voorkomen.

Wanneer UAC is ingeschakeld, vraagt het de gebruiker om autorisatie voordat bepaalde soorten wijzigingen worden toegestaan. Deze functie is een belangrijk onderdeel van de algemene beveiligingsvisie van Microsoft en is cruciaal voor organisaties die een beter beheerd desktopomgeving willen implementeren.

Met UAC ingeschakeld, worden apps en taken altijd uitgevoerd in de context van een standaardgebruikersaccount, zelfs als de gebruiker beheerdersrechten heeft op hun computer. Dit betekent dat elke poging om wijzigingen aan te brengen in de systeeminstellingen of bestanden een UAC-prompt zal activeren.

In zakelijke omgevingen wordt UAC gecombineerd met de aanpak van het beperken van bevoorrechte toegang voor standaardgebruikers. Op deze manier ontvangen ze een prompt voor beheerdersreferenties wanneer ze proberen een verhoogd proces te starten of een applicatie in de verhoogde context te installeren – iets wat ze normaal gesproken niet hebben UAC is standaard ingeschakeld voor Windows 10 en Windows 11 computers die zijn verbonden met Active Directory of Azure Active Directory.

Windows Lokale Beheerderswachtwoord Oplossing

Windows Lokale Beheerderswachtwoord Oplossing (Windows LAPS) is een functie op Azure Active Directory-verbonden en domein-verbonden apparaten die automatisch het wachtwoord van het lokale beheerdersaccount beheert. Het is een cloud-native iteratie van de traditionele on-premises Lokale Beheerderswachtwoord Oplossing (LAPS) functie.

Op dit moment is Windows LAPS nu native geïntegreerd in Windows 11, Windows 10 en Windows Server, maar ondersteuning voor Azure Active Directory bevindt zich in privé-preview.

Credential Guard

Credential Guard is een beveiligingsfunctie in Windows 10 en later die virtualisatiegebaseerde beveiliging gebruikt om gevoelige informatie zoals domeinreferenties te beschermen. Het helpt voorkomen dat aanvallers deze referenties stelen en gebruiken om ongeautoriseerde toegang tot uw netwerk te krijgen.

Credential Guard werkt door referenties te isoleren in een gevirtualiseerde omgeving, die alleen vertrouwde systeemprocessen kunnen openen.

Het is heel eenvoudig om Credential Guard in te schakelen voor Windows 10 en latere apparaten. Hier zijn de stappen:

  1. In het Intune admin center, selecteer Apparaten.
  2. Selecteer Configuratieprofielen.
  3. Selecteer Profiel aanmaken > Windows 10 en later > Instellingencatalogus > Aanmaken.
  4. Configuratie-instellingen: selecteer Device Guard als categorie.
  5. Configureer vereiste instellingen.
    Hoewel het eenvoudig is om in te schakelen, is het belangrijk om te verifiëren dat uw configuratie het gewenste effect heeft gehad. Hier is een zeer eenvoudige manier om te verifiëren dat Credential Guard draait op een doelmachine.
  6. Typ in Start msinfo32.exe, en selecteer dan Systeeminformatie.
  7. Selecteer Systeemsamenvatting.
  8. Bevestig dat Credential Guard wordt vermeld bij Virtualisatiegebaseerde beveiligingsdiensten.

Microsoft Intune Suite: Een verenigd platform voor het beheren van endpoints

De Microsoft Intune Suite is onlangs aangekondigd als een geavanceerd endpointbeheer en beveiligingspakket. Het is bedoeld om bestaande endpointbeheer- en beveiligingstools van derden te verenigen, consolideren en vervangen om de Intune Suite te vestigen als het enige platform voor het beheren van endpoints. Het omvat:

  1. Microsoft Intune Remote Help
  2. Microsoft Intune Endpoint Privilege Management
  3. Microsoft Tunnel voor Mobile Application Management
  4. en meer…

Prijzen

Tot voor kort waren nieuwe functies die beschikbaar werden gesteld voor algemene beschikbaarheid voor Intune automatisch beschikbaar voor alle organisaties die de Microsoft Intune licentie toegewezen hebben aan hun gebruikers. Met deze release heeft Microsoft de zaken een beetje opgeschud, door aan te kondigen dat de release van de Intune Suite beschikbaar zal zijn als een add-on voor de huidige licentie.

Overwegingen voor implementatie

Voordat u deze beveiligingsmaatregelen implementeert, is het belangrijk om een grondige beoordeling te maken van uw huidige beveiligingsinfrastructuur en eventuele lacunes in de beveiliging te identificeren. Het implementeren van deze maatregelen moet worden beschouwd als een aanvulling op een alomvattend beveiligingsbeleid.

Samenvatting

Lokale beheerdersrechten beperken is een effectieve manier om het risico op beveiligingsinbreuken te verminderen. Door te kiezen voor Microsoft Intune en de daaraan gerelateerde technologieën zoals User Account Control, Credential Guard en Windows Local Admin Password Solution, kunnen organisaties hun beveiligingsmaatregelen verbeteren en de veiligheid en integriteit van hun bedrijfsinformatie waarborgen.

Let echter op dat beveiliging een voortdurend proces is. Beveiligingsteams moeten regelmatig hun beveiligingsmaatregelen evalueren en aanpassen om ervoor te zorgen dat ze blijven voldoen aan de veranderende beveiligingsbehoeften en bedreigingen.

Heeft deze informatie u geïnspireerd om Microsoft Intune te implementeren in uw organisatie? Voor een soepele overgang en deskundige ondersteuning, aarzel niet om contact op te nemen met ons team bij Alta-ICT. Wij staan klaar om u te helpen bij elke stap op uw reis naar verbeterde databeveiliging en efficiëntie.

Meer weten?

Neem contact op

Gerelateerde
blogs

Naar alle blogs

Tech Updates: Microsoft 365, Azure, Cybersecurity & AI – Wekelijks in je Mailbox.