CHK-1056: Security Group Creation Allowed

Omschrijving

  • Type: CUSTOMER
  • Severity:  NOTICE
  • Bescherming tegen: Abuse of Functionality (Hacking)
  • CIS: –
  • FIX Beschikbaar: JA

Deze Customer Check controleert of normale gebruikers in staat zijn om security groepen aan te maken.

Waarom deze check?

Een security groep in de Microsoft cloud is een groep van gebruikers, aangemaakt binnen Azure AD. Aan een groep kunnen gebruikers en andere groepen worden toegevoegd. Groepen kunnen op verschillende manieren worden gebruikt, bijvoorbeeld om bepaalde rollen in een organisatie te voorzien van bepaalde rechten, of toegang te geven tot bepaalde informatiebronnen. 

De eigenaar van een security groep is in staat om voor de hele groep Apps te “consenten” (Zie ook CHK-1128). Wanneer een reguliere gebruiker in staat is om een nieuwe security groep aan te maken, levert dat in combinatie met die App Consent situatie het risico op dat kwaadaardige applicaties toegang krijgen tot uw tenant. 

Daarom adviseren wij om het aanmaken van security groepen voor te behouden aan beheerders.

Welke mogelijke uitkomsten heeft de check?

Deze check heeft twee mogelijke uitkomsten. In Attic komt dit als volgt tot uiting:

  • Okay: Reguliere gebruikers kunnen niet nieuwe security groepen aanmaken
  • Notice: Een reguliere gebruiker kan security groepen aanmaken

Hoe moet dit worden opgevolgd?

Indien de output Notice is, adviseren wij om de mogelijkheid voor reguliere gebruikers om security groepen aan te maken, uit te schakelen.

Voor deze check is een Fix beschikbaar, deze zullen wij via Attic aanbieden.

Schrijf je in voor Attic Alerts

Ontvang direct 5 tips om veilig online te ondernemen