Omschrijving
- Type: CUSTOMER
- Severity: CRITICAL
- Bescherming tegen: SOCIAL ENGINEERING
- CIS: M365 1.1.2 – (L2) Ensure multifactor authentication is enabled for all users in all roles
- FIX Beschikbaar: JA
Deze Customer Check controleert via Secure Score of alle gebruikers tweestapsverificatie ingeschakeld hebben staan.
Waarom deze check?
Met Tweestapsverificatie (ofwel Multi-Factor Authentication/MFA) wordt een individu gedwongen om meerdere manieren van authenticatie te gebruiken voordat toegang wordt verleend. Dit geeft meer zekerheid over de vraag of de persoon werkelijk is wie hij/zij zegt te zijn. Het maakt het voor een aanvaller die toegang heeft gekregen tot een wachtwoord (via bijv phishing, malware of gelekte data), heel ingewikkeld, zo niet onmogelijk, om in te loggen. Deze vorm van authenticatie zou op zijn minst voor gebruikers met beheerrechten ingeschakeld zijn omdat deze personen toegang hebben tot gevoelige data en systemen en daardoor een groot doelwit zijn voor aanvallers. Maar deze check gaat nog een stap verder en controleert of de authenticatie ook voor andere gebruikers aan staat, wat aan te raden valt aangezien medewerkers zonder beheerrechten nog steeds toegang kunnen hebben tot heel gevoelige data.
CIS Benchmarks
Deze maatregel is in lijn met het volgende item uit de Center for Internet Security (CIS) Microsoft 365 Foundations Benchmark:
- CIS M365 1.1.2 – (L2) Ensure multifactor authentication is enabled for all users in all roles
Welke mogelijke uitkomsten heeft de check?
Deze check heeft meerdere mogelijke uitkomsten. Dat komt vooral omdat Microsoft op verschillende manieren mogelijk maakt om Tweestapsverificatie af te dwingen:
- Security Defaults
- Conditional Access Policy
- Per gebruiker
De check controleert al die opties. In Attic komt dit als volgt tot uiting:
- Okay: Voor alle gebruikers is Tweestapsverificatie ingeschakeld
- Critical: Tweestapsverificatie wordt niet (volledig) voor alle gebruikers afgedwongen
Hoe moet dit worden opgevolgd?
Indien de output Critical is, adviseren wij om voor alle gebruikers Tweestapsverificatie in te schakelen.
Voor deze check zijn twee Fixes beschikbaar, die toepasbaar zijn afhankelijk van de Azure AD licentie in uw Microsoft Tenant. Wanneer u beschikt over een Azure AD Premium P1 of P2 licentie, kan Tweestapsverificatie voor alle gebruikers worden afgedwongen middels een Conditional Access Policy. De juiste fix zullen wij via Attic aanbieden.