Beroepsproduct
HBO Bachelor Informatica
Casus: Beveiliging beheerproces verbeteren
Naam:
Studentennummer:
Datum: 30-6-2023
Opleidingsinstituut: NCOI Opleidingen
Opleiding: HBO Bachelor Informatica
Afstudeerbegeleider:
,Voorwoord
Beroepsproduct Pagina 1 van 35
,Samenvatting
Het doel is om de IT-beveiliging van “Bedrijfsnaam” en haar klanten te verhogen, dit is
belangrijk omdat organisaties steeds vaker slachtoffer worden van cybercrime en omdat door
klanten verwacht wordt dat het IT-beveiligingsbeleid volgens de laatste best practices is
ingericht. Momenteel voert “Bedrijfsnaam” door middel van één gedeeld beheeraccount
beheer uit op de systemen van de klant. Dit is een probleem omdat er met één account
beheertoegang tot alle klantomgevingen van “Bedrijfsnaam” mogelijk is. Met één wachtwoord,
geen vorm van meervoudige verificatie en basiskennis van de huidige inrichting is het dus
mogelijk om alle IT-systemen van alle klanten volledig over te nemen.
Er is voor gekozen om een deel van de beveiligingsprincipes en best practices te gebruiken
in de vorm van een soort hybride oplossing waarin de middenweg gekozen is tussen
beveiliging en gebruiksgemak. In dit geval wordt er gekozen voor de principes en best
practices die de grootste verbetering met zich meebrengen op het gebied van IT-beveiliging
zonder een al te grote impact te hebben op de werkwijze en kosten. Bij deze oplossing wordt
de IT-omgeving volgens de IT-beveiligingsprincipes Separation of Privilege, Psychological
acceptability, Least Privilege, Isolation, Layering, Least astonishment ingericht. Daarnaast
worden ook meerdere oplossingen en best practices van Microsoft gebruikt. De voordelen
hiervan zijn dat de verschillende IT-systemen van elkaar gescheiden zijn en dat er
verschillende beheeraccounts nodig zijn om bij alle systemen te kunnen, dit maakt het voor
een potentiële aanvaller lastiger om van systeem naar systeem te ‘springen’.
Het ontwerp zal onderverdeeld worden in een aantal IT-systemen, dit zijn de verschillende
systemen waarover beheer wordt uitgevoerd en waarop wordt ingelogd door de ICT’ers van
“Bedrijfsnaam”. Het ontwerp heeft invloed op de interne beheeraccounts in de IT-omgeving
van “Bedrijfsnaam” zelf en op de beheeraccounts bij klanten. De verschillende IT-systemen
die in dit ontwerp aangepast worden zijn:
• Serverbeheer (Microsoft Windows Server);
• Werkplekbeheer (Microsoft Windows);
• Cloudbeheer (Microsoft 365 / Microsoft Azure).
De toegang tot de beheeraccounts zal beter beveiligd worden door multi-factor authenticatie,
monitoring en logging, conditionele toegang en terugkerende toegangscontroles toe te
passen. Daarnaast worden break-glass account gebruikt om in geval van nood toegang tot
het IT-systeem mogelijk te maken.
Om ervoor te zorgen dat het opgestelde ontwerp in de praktijk goed werkt en ook goed blijft
werken is het van belang dat het beheer hierover zorgvuldig en consistent uitgevoerd wordt.
Daarnaast is het ook belangrijk dat er beleidsregels en procedures opgesteld worden en dat
er indien mogelijk technische maatregelen worden genomen zodat deze beleidsregels of
procedures nageleefd worden. Er zijn een aantal risico’s die het implementeren van dit
ontwerp met zich meebrengt, deze risico’s zijn:
• De toegang tot een IT-systeem kan verloren gaan;
• Een nieuw account kan onvoldoende bevoegdheden binnen een IT-systeem hebben
om de werkzaamheden of functie uit te voeren;
• De werkwijzen of procedures kunnen onduidelijk zijn of medewerkers kunnen de
wijzigingen verkeerd begrijpen of incorrect gebruiken.
Qua licentiekosten brengt dit ontwerp geen veranderingen met zich mee, buiten de kosten die
er al zijn komen er dus geen extra kusten bij tijdens en na het implementeren van dit ontwerp
op de tijds- en loonkosten voor het implementeren van het ontwerp na.
Door dit ontwerp toe te passen zal de algehele IT-beveiliging van de dagelijkse
beheerwerkzaamheden verhoogd worden. Al met al verbetert dit ontwerp de IT-beveiliging
van “Bedrijfsnaam” en haar klanten aanzienlijk en wordt het een potentiële aanvaller een stuk
lastiger gemaakt om zich te verplaatsen in de IT-omgeving.
Beroepsproduct Pagina 2 van 35
, Inhoudsopgave
Inleiding 4
Over de Organisatie 4
Aanleiding 4
Scope van het Beroepsproduct 4
1. Het Vraagstuk 5
1.1. Huidige Situatie 5
1.1. Ontstaan van het Vraagstuk 6
1.2. Gewenste Situatie 6
1.3. Onderzoeksvragen 6
2. Ontwerpalternatieven 7
2.1. Gekozen Ontwerpalternatief 7
3. Detaillering van het Ontwerp 8
3.1. Algemeen 8
3.1.1. Ontwerpdiagram 9
3.1.2. Uitleg over de opbouw 10
3.2. Accounts binnen “Bedrijfsnaam” 10
3.2.1. Gebruikersaccounts 11
3.2.2. Windows AD 12
3.2.3. Microsoft 365 / Azure 14
3.2.4. Microsoft 365 / Azure beheer bij klanten 16
3.3. Beheeraccounts bij klanten 17
3.3.1. Microsoft 365 / Azure 18
3.3.2. Windows AD 21
3.3.3. Windows AD en Azure AD test account 24
3.4. Toekomstig Beheer 25
3.4.1. Persoonlijke accounts 25
3.4.2. Gedeelde accounts 26
3.4.3. Break-glass accounts 26
4. Implementatieplan 27
4.1.1. Fase 1: Opsplitsen persoonlijke accounts 27
4.1.2. Fase 2: Opsplitsen gedeelde accounts 27
4.1.3. Fase 3: Opstellen procedures 28
4.1.4. Fase 4: Uitfaseren oude gedeelde accounts 28
4.2. Tijdsindicatie 28
4.3. Kostenschatting 29
4.4. Besluitvormingsprocessen 29
4.5. Slagingskans 29
4.6. Risicoanalyse 30
5. Conclusie 30
Literatuurlijst 31
Bijlage 32
Bijlage 1: Plan van Aanpak 32
Bijlage 2: Verantwoordingsrapport 32
Bijlage 3: Voor- en nadelen ontwerp 32
Bijlage 4: Programma van Eisen 33
Bijlage 5: Ontwerpdiagram 35
Beroepsproduct Pagina 3 van 35
HBO Bachelor Informatica
Casus: Beveiliging beheerproces verbeteren
Naam:
Studentennummer:
Datum: 30-6-2023
Opleidingsinstituut: NCOI Opleidingen
Opleiding: HBO Bachelor Informatica
Afstudeerbegeleider:
,Voorwoord
Beroepsproduct Pagina 1 van 35
,Samenvatting
Het doel is om de IT-beveiliging van “Bedrijfsnaam” en haar klanten te verhogen, dit is
belangrijk omdat organisaties steeds vaker slachtoffer worden van cybercrime en omdat door
klanten verwacht wordt dat het IT-beveiligingsbeleid volgens de laatste best practices is
ingericht. Momenteel voert “Bedrijfsnaam” door middel van één gedeeld beheeraccount
beheer uit op de systemen van de klant. Dit is een probleem omdat er met één account
beheertoegang tot alle klantomgevingen van “Bedrijfsnaam” mogelijk is. Met één wachtwoord,
geen vorm van meervoudige verificatie en basiskennis van de huidige inrichting is het dus
mogelijk om alle IT-systemen van alle klanten volledig over te nemen.
Er is voor gekozen om een deel van de beveiligingsprincipes en best practices te gebruiken
in de vorm van een soort hybride oplossing waarin de middenweg gekozen is tussen
beveiliging en gebruiksgemak. In dit geval wordt er gekozen voor de principes en best
practices die de grootste verbetering met zich meebrengen op het gebied van IT-beveiliging
zonder een al te grote impact te hebben op de werkwijze en kosten. Bij deze oplossing wordt
de IT-omgeving volgens de IT-beveiligingsprincipes Separation of Privilege, Psychological
acceptability, Least Privilege, Isolation, Layering, Least astonishment ingericht. Daarnaast
worden ook meerdere oplossingen en best practices van Microsoft gebruikt. De voordelen
hiervan zijn dat de verschillende IT-systemen van elkaar gescheiden zijn en dat er
verschillende beheeraccounts nodig zijn om bij alle systemen te kunnen, dit maakt het voor
een potentiële aanvaller lastiger om van systeem naar systeem te ‘springen’.
Het ontwerp zal onderverdeeld worden in een aantal IT-systemen, dit zijn de verschillende
systemen waarover beheer wordt uitgevoerd en waarop wordt ingelogd door de ICT’ers van
“Bedrijfsnaam”. Het ontwerp heeft invloed op de interne beheeraccounts in de IT-omgeving
van “Bedrijfsnaam” zelf en op de beheeraccounts bij klanten. De verschillende IT-systemen
die in dit ontwerp aangepast worden zijn:
• Serverbeheer (Microsoft Windows Server);
• Werkplekbeheer (Microsoft Windows);
• Cloudbeheer (Microsoft 365 / Microsoft Azure).
De toegang tot de beheeraccounts zal beter beveiligd worden door multi-factor authenticatie,
monitoring en logging, conditionele toegang en terugkerende toegangscontroles toe te
passen. Daarnaast worden break-glass account gebruikt om in geval van nood toegang tot
het IT-systeem mogelijk te maken.
Om ervoor te zorgen dat het opgestelde ontwerp in de praktijk goed werkt en ook goed blijft
werken is het van belang dat het beheer hierover zorgvuldig en consistent uitgevoerd wordt.
Daarnaast is het ook belangrijk dat er beleidsregels en procedures opgesteld worden en dat
er indien mogelijk technische maatregelen worden genomen zodat deze beleidsregels of
procedures nageleefd worden. Er zijn een aantal risico’s die het implementeren van dit
ontwerp met zich meebrengt, deze risico’s zijn:
• De toegang tot een IT-systeem kan verloren gaan;
• Een nieuw account kan onvoldoende bevoegdheden binnen een IT-systeem hebben
om de werkzaamheden of functie uit te voeren;
• De werkwijzen of procedures kunnen onduidelijk zijn of medewerkers kunnen de
wijzigingen verkeerd begrijpen of incorrect gebruiken.
Qua licentiekosten brengt dit ontwerp geen veranderingen met zich mee, buiten de kosten die
er al zijn komen er dus geen extra kusten bij tijdens en na het implementeren van dit ontwerp
op de tijds- en loonkosten voor het implementeren van het ontwerp na.
Door dit ontwerp toe te passen zal de algehele IT-beveiliging van de dagelijkse
beheerwerkzaamheden verhoogd worden. Al met al verbetert dit ontwerp de IT-beveiliging
van “Bedrijfsnaam” en haar klanten aanzienlijk en wordt het een potentiële aanvaller een stuk
lastiger gemaakt om zich te verplaatsen in de IT-omgeving.
Beroepsproduct Pagina 2 van 35
, Inhoudsopgave
Inleiding 4
Over de Organisatie 4
Aanleiding 4
Scope van het Beroepsproduct 4
1. Het Vraagstuk 5
1.1. Huidige Situatie 5
1.1. Ontstaan van het Vraagstuk 6
1.2. Gewenste Situatie 6
1.3. Onderzoeksvragen 6
2. Ontwerpalternatieven 7
2.1. Gekozen Ontwerpalternatief 7
3. Detaillering van het Ontwerp 8
3.1. Algemeen 8
3.1.1. Ontwerpdiagram 9
3.1.2. Uitleg over de opbouw 10
3.2. Accounts binnen “Bedrijfsnaam” 10
3.2.1. Gebruikersaccounts 11
3.2.2. Windows AD 12
3.2.3. Microsoft 365 / Azure 14
3.2.4. Microsoft 365 / Azure beheer bij klanten 16
3.3. Beheeraccounts bij klanten 17
3.3.1. Microsoft 365 / Azure 18
3.3.2. Windows AD 21
3.3.3. Windows AD en Azure AD test account 24
3.4. Toekomstig Beheer 25
3.4.1. Persoonlijke accounts 25
3.4.2. Gedeelde accounts 26
3.4.3. Break-glass accounts 26
4. Implementatieplan 27
4.1.1. Fase 1: Opsplitsen persoonlijke accounts 27
4.1.2. Fase 2: Opsplitsen gedeelde accounts 27
4.1.3. Fase 3: Opstellen procedures 28
4.1.4. Fase 4: Uitfaseren oude gedeelde accounts 28
4.2. Tijdsindicatie 28
4.3. Kostenschatting 29
4.4. Besluitvormingsprocessen 29
4.5. Slagingskans 29
4.6. Risicoanalyse 30
5. Conclusie 30
Literatuurlijst 31
Bijlage 32
Bijlage 1: Plan van Aanpak 32
Bijlage 2: Verantwoordingsrapport 32
Bijlage 3: Voor- en nadelen ontwerp 32
Bijlage 4: Programma van Eisen 33
Bijlage 5: Ontwerpdiagram 35
Beroepsproduct Pagina 3 van 35
