Lever de beste moderne werkplek
/2.3.%20Eigen%20beelden/InSpark_Stock_DEF_DSC_2926.jpg?width=1000&height=600&name=InSpark_Stock_DEF_DSC_2926.jpg)
Op veel werkplekken is elke gebruiker lokaal beheerder. Dat is ooit zo gegroeid, want dat was makkelijker. Anders belt iedereen de helpdesk zodra er een printer-driver of een stuk software bij moet.
Dat gemak heeft een prijs waar bijna niemand bewust voor kiest. Elke laptop met standaard beheerdersrechten is een deur die de hele dag openstaat. Eén verkeerde klik, en een aanvaller heeft meteen alle rechten in handen.
In het webinar over de Intune Suite in de praktijk lieten Arne Abbink en René Willems van InSpark zien dat het anders kan. Zonder je mensen vast te zetten, en met de eerste stap al in je bestaande licentie.
Kijk je liever dan dat je leest? Bekijk het webinar hieronder:
Wat los was, zit straks in je licentie
De Intune Suite bestaat al een paar jaar. Het vult de gaten die overbleven bij de overstap naar Intune, en tot nu toe kocht je die functies los bij.
Dat verandert. Microsoft maakt ze vanaf 1 juli onderdeel van Microsoft 365 E3 en E5.
De uitrol gaat gefaseerd. Wie nu al een deel van de suite afneemt, is als eerste aan de beurt.
Wat je krijgt hangt af van je licentie. Bij E3 komen er drie functies bij.
- Advanced Analytics, voor meer zicht op hoe de werkplekken draaien die je in Intune beheert.
- Remote Help, waarmee de servicedesk veilig meekijkt en elke actie in Intune wordt gelogd.
- Tunnel for MAM, een mini-VPN voor mobiele apparaten die je niet volledig beheert.
Bij E5 komen daar Endpoint Privilege Management, Cloud PKI en Enterprise App Management bovenop. Zit je op E3, dan zijn de E5-onderdelen los bij te plussen. Vaak loont het om te kijken of een stap naar E5 meer voor de hand ligt.
Het oude antwoord op een echt spanningsveld
Waarom heeft bijna elke werkplek standaard beheerdersrechten? Omdat het een echt probleem oploste.
Security wil het beveiligingsniveau zo hoog mogelijk. De gebruiker wil zijn werk doen zonder elke keer te wachten op toestemming. Standaard admin-rechten leken de makkelijkste manier om die twee bij elkaar te brengen.
"Binnen de Microsoft-stack zit altijd een spanningsveld tussen wat security wil en wat de gebruiker productief wil doen."
Arne Abbink | Senior consultant bij InSpark
Endpoint Privilege Management draait dat om. Standaard heeft een gebruiker alleen userrechten, geen beheerdersrechten. Voor taken die wél verhoogde rechten nodig hebben, zoals een driver-update of het installeren van software, regel je dat per keer.
De aanpak is anders. Rechten komen per taak, precies op het moment dat iemand ze nodig heeft. De rest van de dag werkt diezelfde gebruiker zonder verhoogde rechten.
Rechten die komen en weer gaan
De grootste angst bij het weghalen van beheerdersrechten is de helpdesk. Als niemand meer iets mag installeren, staat de telefoon dan niet roodgloeiend?
Het werkt andersom. EPM regelt verhoogde rechten via elevation rules. Dat kan op drie manieren.
- Voor software die IT vooraf goedkeurt, krijgt de gebruiker automatisch verhoogde rechten bij de installatie.
- Wil iemand iets anders, dan dient hij een aanvraag in en krijgen de beheerders een melding in Intune.
- Of de gebruiker klikt met de rechtermuisknop op een installatie, en zodra IT die toestaat loopt hij door.
In alle drie de gevallen gelden de verhoogde rechten alleen voor die ene taak. Zodra de installatie klaar is, verdwijnen ze weer. De gebruiker is op geen enkel moment standaard administrator.
Dat haalt druk weg bij de helpdesk in plaats van erbij. Een groot deel van de aanvragen loopt automatisch of met één goedkeuring, zonder telefoontje. En alles wat wordt aangevraagd en toegestaan legt Intune vast in een audit trail, zodat je achteraf precies ziet wie wat heeft gedaan.
Van papieren Zero Trust naar least privilege
Hoe Nederlandse organisaties er met dit soort maatregelen voor staan, brachten we samen met onze moedermaatschappij KPN in kaart. Dat onderzoek werd het rapport 'Cyber Weerbaar Nederland'.
Eén patroon springt eruit. Zero Trust staat in vrijwel elke strategie, maar op de werkvloer blijft het vaak bij goede bedoelingen.
In het beleid staat least privilege keurig beschreven. Op de apparaten zelf houdt iedereen gewoon zijn beheerdersrechten.
Least privilege betekent dat je dagelijks zo weinig mogelijk rechten hebt, en ze alleen verhoogt op het moment dat het nodig is. Dat is precies wat EPM doet. Je vraagt rechten aan voor één installatie, krijgt ze just-in-time, en daarna zijn ze weer weg.
Uit het rapport blijkt ook dat insider risk toeneemt. Dat gaat lang niet altijd over kwade opzet.
Vaak weet de gebruiker het zelf niet eens. Een aanvaller komt binnen met gestolen inloggegevens. Hoe minder rechten aan zo'n account hangen, hoe minder ruimte die aanvaller krijgt.
Minder rechten, minder schade als het misgaat
Stel dat het toch misgaat. Een gebruiker krijgt een mailtje met een bestand dat op een pdf lijkt.
Het komt van een bekende, dus hij opent het. Het blijkt een .exe met malware erin.
Heeft die gebruiker standaard beheerdersrechten, dan heeft de malware die ook, en verspreidt het zich daarmee verder over het netwerk. Heeft de gebruiker alleen userrechten, dan stokt het veel sneller.
"Je hebt minder schade doordat je geen beheerdersrechten meer hebt. En dat verkleint de blast radius, zoals we dat zo mooi noemen."
Arne Abbink | Senior consultant bij InSpark
De blast radius bepaal je dus niet tijdens een aanval. Je bepaalt hem op de dag dat je besluit wie er standaard rechten heeft.
Begin klein, in een testomgeving
De basis op orde brengen is geen project met een einddatum. Het is een reeks keuzes. En je kunt vandaag al beginnen.
Je hebt er geen nieuwe aankoop voor nodig. Kijk eens wie er bij jou standaard lokaal beheerder is, en of dat voor elke rol nog te verantwoorden is. Zet daarna een paar elevation rules op in een testomgeving en kijk hoe het loopt.
Wil je sparren over waar je het beste begint, of het samen uitproberen in een proof of concept? Kom langs bij een van onze workshops in de Digital Experience in Rotterdam, kijk op InSpark.nl, of neem contact op met je contactpersoon bij InSpark of KPN.
/2.3.%20Eigen%20beelden/InSpark_Stock_DEF__DSC5068.jpg?width=350&height=500&name=InSpark_Stock_DEF__DSC5068.jpg)
/2.3.%20Eigen%20beelden/InSpark_Stock_DEF_DSC_3081.jpg?width=350&height=500&name=InSpark_Stock_DEF_DSC_3081.jpg)
/2.2%20Imported%20images/Imported_Blog_Media/Security-workshop-featured-image-2.jpg?width=350&height=500&name=Security-workshop-featured-image-2.jpg)
/2.2%20Imported%20images/Imported_Blog_Media/Security-Assessment-featured-image-3.jpg?width=350&height=500&name=Security-Assessment-featured-image-3.jpg)