Omschrijving
- Type: CUSTOMER
- Severity: WARNING
- Bescherming tegen: Misconfiguration (Human Error)
- CIS: –
Deze Monitoring Check controleert of er binnen SharePoint nieuwe sites zijn aangemaakt met public toegang, waardoor iedereen in de organisatie er toegang toe heeft.
Waarom deze check?
Wanneer een aanvaller een account in uw organisatie heeft bemachtigt, bijvoorbeeld omdat de logingegevens daarvan gelekt zijn, zal hij op zoek gaan naar waardevolle informatie. Microsoft SharePoint is tegenwoordig zeker een bron om te raadplegen, en Public SharePoint sites leveren dan een schat aan informatie op. Informatie die de aanvaller mogelijk in staat stelt om gevoelige data te stelen, of om zichzelf hogere rechten te geven (bijvoorbeeld bestanden met gedeelde inlognamen en wachtwoorden erin) en een ransomware aanval uit te voeren. Daarom is het verstandig om het aantal public sites altijd tot een minimum te beperken.
Een SharePoint site kan ingesteld worden met public of private toegang. Een public site is toegankelijk voor alle user accounts binnen de tenant, oftewel alle medewerkers. Er zijn natuurlijk sites denkbaar waarvoor dit wenselijk is, bijvoorbeeld een site met nieuwsbrieven voor de hele organisatie, of met informatie die dient als inwerkprogramma. Maar vaak is informatie alleen bestemd voor specifieke rollen in de organisatie, en mogelijk externe gasten. In die situatie is het beter om de site Private te maken, want dat maakt het mogelijk om precies in te stellen wie welk recht heeft tot de site.
Typisch gezien worden SharePoint sites te makkelijk “public” gemaakt. Dat gebeurt bijvoorbeeld als een nieuw Team wordt aangemaakt in Microsoft Teams dat openbaar is. Teams gebruikt SharePoint immers voor bestandsopslag dus de toegangsinstelling werkt door in de gekoppelde SharePoint Site. Dat lijkt onschuldig en wel handig op dat moment, maar gaandeweg kan het team uitgroeien tot een schat aan informatie. Beter is doorgaans om ook een Team “private” te maken, en daar specifieke mensen op uit te nodigen of hen te instrueren om zelf toegang te vragen (wat heel eenvoudig is gemaakt).
Welke mogelijke uitkomsten heeft de check?
Deze check heeft twee mogelijke uitkomsten. In Attic komt dit als volgt tot uiting:
- Okay: Er is geen nieuwe Public SharePoint site aangetroffen
- Warning: Er is tenminste 1 nieuwe Public SharePoint site aangetroffen
De check houdt bij welke Public sites al eerder zijn aangetroffen en maakt daarmee niet telkens opnieuw melding over dezelfde site.
Hoe moet dit worden opgevolgd?
Indien de output Warning is, adviseren wij om de public SharePoint sites na te lopen en vast te stellen of het voor de betreffende sites nodig is om ze Public te houden. En zo niet: de eigenaar van de betreffende site te vragen deze Private te maken dan wel dit via het SharePoint admin panel te doen.