Beheerder zonder MFA [CHK-1137]
Deze controle zoekt naar beheeraccounts die geen geregistreerde methode voor multi-factor authenticatie (MFA) hebben.
Rationale
Beheeraccounts hebben speciale toegang tot organisatie-informatie, wat waardevol is voor aanvallers. Daarom is MFA voor deze accounts essentieel. Deze controle brengt in kaart welke beheeraccounts nog een MFA-methode moeten registreren om problemen te voorkomen als dit later verplicht wordt gesteld.
Fix
Een geautomatiseerde oplossing is beschikbaar via Attic.
Handmatige stappen:
- Ga naar: https://mysignins.microsoft.com/security-info (log in met het betreffende account)
- Klik op Voeg aanmeldingsmethode toe
- Kies als methode bij voorkeur voor een phishing-resistant methode: Authenticator App, Veiligheidssleutel of Passkey
- Volg de configuratiestappen
- Voeg na afloop indien gewenst een tweede methode als back-up toe
Impact
Deze controle heeft twee mogelijke uitkomsten:
- Okay: alle beheeraccounts, minus eventuele expliciete uitzonderingen, hebben tenminste 1 MFA methode ingesteld
- Warning: er zijn 1 of meerdere beheeraccounts die nog geen MFA methode hebben ingesteld.
Als de output Warning is, adviseren wij om voor de beheeraccounts in kwestie een MFA methode te gaan registreren.