Omschrijving
- Type: CUSTOMER
- Severity: NOTICE
- Bescherming tegen: ERROR
- CIS: M365 1.1.4 – (L1) Ensure self-service password reset is enabled
Deze Customer Check controleert via Secure Score of self-service password resets zijn ingeschakeld. Medewerkers die het wachtwoord van hun account zijn vergeten, kunnen door deze functie zelf een nieuwe wachtwoord aanmaken. En hoeven daardoor geen interactie aan te gaan met de helpdesk.
Waarom deze check?
Wanneer een wachtwoord reset via een helpdesk moeten worden uitgevoerd, ontstaan meerdere risico’s. Ten eerste heeft een helpdeskmedewerker verhoogde rechten nodig om het wachtwoord van iemand anders in te stellen. Die rechten maakt de helpdeskmedewerker ook weer een interessanter doelwit voor aanvallers. Ten tweede zal de helpdeskmedewerker een tijdelijk wachtwoord moeten instellen en delen met de medewerker, waarbij de kans ontstaat dat voorspelbare wachtwoorden ontstaan of op onveilige manier gedeeld. Tenslotte kan een aanvaller proberen zich voor te doen als een medewerker en zo een helpdeskmedewerker misleiden om een wachtwoord te resetten.
Al deze risico’s zijn weg te nemen wanneer een medewerker zonder tussenkomst zelf een nieuw wachtwoord kan instellen.
CIS Benchmarks
Deze maatregel is in lijn met het volgende item uit de Center for Internet Security (CIS) Microsoft 365 Foundations Benchmark:
- CIS M365 1.1.4 – (L1) Ensure self-service password reset is enabled
Welke mogelijke uitkomsten heeft de check?
Deze check heeft twee mogelijke uitkomsten. In Attic komt dit als volgt tot uiting:
- Okay: De SelfServicePasswordReset setting is geactiveerd
- Notice: De SelfServicePasswordReset setting niet actief
Hoe moet dit worden opgevolgd?
Indien de output Notice is, adviseren we de SelfServicePasswordReset in te schakelen.
Ga naar AzureAD>Wachtwoord opnieuw instellen
Selecteer op de eigenschappen pagina Alles of Geselecteerd, om de gebruikers te kiezen waarop u uw beleid wilt toepassen.
Selecteer op de verificatiemethoden pagina de methodes voor gebruikers om hun wachtwoorden opnieuw in te stellen.
Selecteer op de registratie pagina de optie Ja onder ‘Vereisen dat gebruikers zich registreren bij het aanmelden’ en stel een aantal dagen in voordat gebruikers worden gevraagd hun verificatiegegevens opnieuw te bevestigen.