richardk/iso27diy-corp
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
iso27diy-corp/Clients/Humankind/Risico interview Peter Steijns Humankind.md

7.2 KiB
Raw Blame History

Interview Peter Steijns

functioneel beheerder microsoft 365

Teams, SharePoint en Outlook, Active Directory/Azure/EntraID, Microsoft Purview

Kernpunt is dat dingen die nu bij Wim van Esch liggen eigenlijk naar Peter zouden moeten, maar die heeft er weinig zicht op en dat maakt onzeker.

User provisioning

Was script vanuit Mercash HR naar active directory, voor het aanmaken, op non-actief zetten, en uiteindelijk verwijderen van user accounts.

Dit gaat over naar Ilionx.

Er zijn indicaties dat dit nog niet helemaal goed gaat: gebruikers in Teams, SharePoint en Outlook op naam van mensen die al uit dienst zijn, dubbele achternamen, etc., meldingen van collega's over mensen die nog in het adresboek staan, maar al uit dienst zijn.

Risico's:

  • onterechte toegang

  • geen toegang terwijl dat wel zou moeten

  • vervuiling

  • licenties

Uitzoeken:

  • voor welke assets wordt de toegang geregeld via dit mechanisme? (Microsoft producten en ws. alles dat achter SSO zit, dat loopt via AD)

  • is er een toegangsmatrix met rollen en rechten? Wie beheert die?

  • komen de fouten door het script of door de broninformatie (Mercash)

  • is er periodiek review op de resultaten van het script?

Er zijn 'eilandjes met beheerdersgroepen', bijv. Ouderportaal, KidsConnect, die maken zelf accounts aan en regelen het beheer op die applicaties.

Daar is geen overkoepelend beleid op, of bewaking

Ilionx werkt volgens 'wij vragen, zij draaien'. Als bijv. iemand van HR vraagt om een koppeling tussen systemen dan is niet duidelijk of er een risico-scan gedaan wordt of dat het klopt met de architectuur.

Er was een Architecture Board.

maar dat was John Keulen en Sander Pommee (?)

Architectuur principes zijn opgesteld maar worden niet nageleefd.

Purview

Kun je policies in bouwen, die gaan over toegang tot data, en die data moet je eerst classificeren.

Onder Purview vallen een aantal dingen: data loss prevention, sensitivity labels, data life cycle management, access reviews.

Gevolg: totaal geen zicht op wat er aan data leeft in de Microsoft tenant, wie er toegang hebben, hoe oud die data is, hoe gevoelig die data is en dat is alleen nog binnen de Microsoft tenant

Wat zou je willen doen met Purview?

Samen met Ilionx

  • inzicht krijgen in welke data waar leeft

  • sensitivity labels aanmaken

  • data classificeren

  • gebruikers bewust maken over welke data ze waar zetten

Guest Users op de tenant

Eerder met Ilionix al eens naar de security op onze tenant gekeken, daaruit is in maart een adviesrapport gekomen met zes verbeterpunten, die niet zijn opgepakt

Iedereen kan guest users toevoegen aan een Teams groep of SharePoint site. Een guest user kan zelfs weer andere guests users toevoegen. Guest users hoeven zich niet te authenticeren.

Iedereen kan met een link toegang krijgen.

We hebben er geen policies op en geen auditing.

Er zit ook geen expiration op Guest Users, zodat ze zich na verloop van tijd opnieuw moeten autenticeren.

Ook in Entra moeten worden gekeken naar guest users. Want die guest users die in Teams en in SharePoint worden aangemaakt komen ook in Entra, het primaire autenticatie-systeem. Daar hebben wij weinig rapportage en beheer op. Ligt bij Wim.

MFA

Wachtwoorden zijn een kwetsbaarheid. We moeten naar passwordless security.

Een vereiste daarvoor is dat je MFA goed ingeregeld hebt.

Ten eerste heeft niet iedereen het. Hoeveel is onbekend. Men is begonnen dat in fases uit te rollen, maar dat is niet doorgezet. Moet een audit op komen. Ik kan dat niet naar boven halen want daar heb ik geen auditrechten op.

En ten tweede zijn de security policies binnen MFA ook niet goed: ik heb zelf nog nooit een autentificatie verzoek gekregen.

Je zou dat bijv ook bij werken vanaf een andere locatie moeten hebben.

Groepsaccounts

Eigenlijk zijn het locatieaccounts.

Bijv. KDV-Alles-Kids@humankind.nl. Vnml zodat ouders naar de locatie kunnen mailen. Maar er zijn dus misschien honderd mensen die allemaal op dat account kunnen inloggen.

Maar dat is dus ook een Active Directory account. Onduidelijk waar je dan toegang toe kunt krijgen. KidsVision bijvoorbeeld? Geen idee.

Je kunt daar geen MFA via je telefoon voor inregelen.

Want het zou ook zomaar kunnen dat die ook in Kidsvision kunnen.

Koppeling tussen local AD en EntraID

Zorgen over synchronisatie tussen de local active directory en EntraID. Policies komen niet overeen. Dat is mogelijk een oorzaak dat wachtwoord-expiratie niet wordt afgedwongen. Mogelijk nog andere policies.

De Local AD is de primaire user database, maar het merendeel van de medewerkers (pm'ers) krijgt toegang via EntraID.

Devices van PM'ers

gebruiken eigen telefoons. Geen vereisten aan, geen management op. Maar wel inloggen op de applicaties van Humankind.

Zij verbinden met EntraID authenticatie, niet met de Local AD, en dat is nog wel onze primaire user database.

Idealiter één dirctory, EntraID, maar daarvoor moet je alle applicaties in de cloud hebben. Ons belangrijkste systeem, KidsVision, draait nog on-premise en heeft dus de local AD nodig.

Self-service password reset

Is nodig zolang MFA nog niet is uitgerold, want dan kun je MS' standaard oplossing gebruiken. Als gebruikers hun wachtwoord kwijt zijn, moeten ze naar een door Ilionx opgezette website. Die controleert dan iets tegen een database, maar geen idee hoe dat werkt.

Teams, files, storage and sharing options.

In Teams staat standaard aan dat je kan synchroniseren met Dropbox, Citrix, etc. Die data gaat dus overal naar toe.

Beveiliging admin accounts

Er zijn een tig aantal admin accounts. Illionics heeft er heel wat met allerlei bevoegdheden.

Wij hebben admin accounts, ik hoef daar nooit op te authenticeren.

Intune Device management

Met Intune kun je een scheiding maken tussen beveiligde/ gemanagede en onbeveiligde mobiele devices.

Dan kun je met Intune zeggen: wanneer je bij onze assets komt. Ja.

Intune wordt wel gebruikt op laptops maar niet op mobiele devices.

Windows Hello

De biometrische aanmelding van Windows met gezichtsherkenning of vingerafdruk.

Ook daarvoor is MFA nodig.

De local AD staat bij Ilionx op de Azure tenant. EntraID staat in de Microsoft cloud.

White cloud, grey cloud, black cloud.

Ik kreeg bijvoorbeeld vandaag van Mandy de vraag: Waarom gebruiken wij WeTransfer?

Ja, dat moet ik eigenlijk gewoon zeggen omdat het kan. We hebben daar geen beleid op.

Aanschaf nieuwe applicaties

IT wordt er 'op enig moment' bij betrokken maar daar is geen officieel beleid over.

We hebben de projecten waar PMO niet bij betrokken is.

Als PMO erbij betrokken is, dan hebben zij wel wat dingen inmiddels, van project intake, wat formulieren, wat sjablonen, waardoor er wel wat dingen standaard in de gang worden gezet.

Afdelingsmanagers kunnen dat omzeilen door rechtstreeks bij IT 'klusverzoekjes' te doen, wij hebben er allemaal weinig procedures en dingen voor die dat echt bewaken.

Zorgen over maatwerk ITSM op Axerion.

Historie Beaufort

Beafort is vervangen door Mercash. Historie is bewaard op de S-schijf. Dat staat nu in Teams/Sharepoint, maar dat staat dus hartstikke open.