[THEMA] Systeem
Het thema Systeem richt zich op de beveiliging van apparaten van medewerkers (computers en laptops) die worden beheerd via Microsoft 365 en Intune. Deze apparaten bevatten zakelijke data en vormen een toegangspunt voor aanvallers tot de organisatie.
Wat doet Attic?
Attic verifieert dat apparaatbeheerbeleid is geconfigureerd om endpoints te beschermen tegen misbruik en onbevoegde toegang.
De checks in dit thema omvatten:
- BitLocker-herstelsleutels zijn niet leesbaar door gewone gebruikers
- Global admin wordt niet automatisch toegevoegd aan nieuwe apparaten
- Gebruikers worden niet automatisch toegevoegd aan de lokale beheerdersgroep op apparaten
- LAPS (Local Administrator Password Solution) is ingeschakeld
- Dynamische groepen worden beoordeeld op potentiele beveiligingsrisico's
- Resource Access Group (RAG) eigenaren hebben geen overmatige rechten
Waarom is dit belangrijk?
Apparaten van medewerkers zijn vaak het eerste doelwit bij een aanval. Als een apparaat wordt gecompromitteerd, kan de aanvaller toegang krijgen tot alle opgeslagen data en het apparaat gebruiken als springplank naar cloudresources. Goede apparaatbeveiligingsinstellingen zorgen ervoor dat lokale beheerdersrechten worden beheerd, encryptiesleutels worden beschermd en apparaatbeheer de beveiligingsbest practices volgt.
Checks in dit thema
| ID | Check |
|---|---|
| CHK-1149 | Bitlockersleutels niet leesbaar |
| CHK-1166 | Globale beheerders niet lokale beheerders |
| CHK-1165 | Beperk lokale beheerders |
| CHK-1169 | LAPS en Entra ID |
| CHK-1177 | Dynamische Groepen |
| CHK-1180 | Privilege Escalatie via Role Assignable Groups |