• 21 april 2020

Microsoft: in 7 stappen naar een geslaagde MFA-implementatie

Multifactorauthenticatie (MFA) is één van de krachtigste middelen voor het verbeteren van de security. Het succes is echter sterk afhankelijk van het implementatietraject. Microsoft schetst in 7 stappen de road to success.

1. Overtuig medewerkers van het nut en de noodzaak

MFA verandert onvermijdelijk de manier waarop medewerkers hun dagelijkse werkzaamheden uitvoeren. Draagvlak is dan ook belangrijk voor een succesvolle uitrol. Benader de transitie naar MFA dan ook als een marketingcampagne. Overtuig medewerkers van het nut en zorg voor voldoende training. Dit voorkomt dat zij MFA gaan zien als een verplichte maatregel zonder toegevoegde waarde.

2. Start met de admin-accounts

Admin-accounts hebben de meest verregaande rechten op het netwerk. Een hack van die accounts kan dan ook de meeste schade aanrichten. Het is dan ook verstandig op zijn minst deze accounts met MFA te beschermen en hier de implementatie te starten. Dit is ook een goed moment om van alle accounts te bekijken welke rechten ze hebben en of die wel noodzakelijk zijn.

Inventariseer ook welke medewerkers veel gevoelige informatie verwerken. Vaak zijn dat C-level managers als CEO’s en CFO’s. Ook voor hen heeft MFA prioriteit. Gebruik de ervaringen uit deze pilotgroepen in de bredere uitrol.

3. Plan voor een bredere implementatie

Inventariseer de systemen en applicaties waar gebruikers op inloggen en waarbij MFA-beveiliging mogelijk is. Die kunnen naast in de cloud ook on-premises staan.

Zoek ook uit bij welke systemen een MFA-implementatie meer werk vereist. Het gaat daarbij bijvoorbeeld om systemen die SAML-authenticatie gebruiken. Zeker kwetsbare toepassingen die geen enkele andere authenticatie kennen dan wachtwoorden verdienen speciale aandacht. Denk aan oudere line-of-business-applicaties, maar bijvoorbeeld ook e-mailsystemen als MAPI, POP, SMTP, EWS, SMTP of IMAP4. Update, of beter: upgrade deze waar mogelijk. Gaat dat niet, overweeg dan het gebruik van deze oplossingen enkel toe te staan vanuit het bedrijfsnetwerk.

4. Doe testruns met applicaties

Maak testaccounts zonder adminrechten aan in met MFA beveiligde applicaties en test de gebruikerservaring, zelfs wanneer de verwachte impact minimaal is. Ga ook na of het registreren bij de MFA-oplossing zelf vlekkeloos verloopt.

Het is mogelijk een MFA-registratie te combineren met een self-service wachtwoordreset (SSPR) in een ‘onestopshop’. Het is wel belangrijk om gebruikers snel te laten registreren zodat aanvallers hen niet voor zijn en  zogenaamd MFA-bescherming claimen op een gekaapt account. Zeker als het gaat om applicaties die ze vaak gebruiken. Voor nieuwe medewerkers moet MFA-registratie onderdeel zijn van het onboardingproces.

5. Maak MFA zo gebruiksvriendelijk mogelijk

MFA vereist altijd een extra handeling, maar er zijn diverse mogelijkheden die de gebruikerservaring zo soepel mogelijk maken. Denk aan het gebruik van biometrische opties of FIDO2-compliant tokens. Ook smartphone-gebaseerde oplossingen zoals de Microsoft Authenticator-app zijn goede oplossingen. Medewerkers krijgen daarbij bij iedere inlogpoging een code gepusht naar een speciale app op hun smartphone. Zijn medewerkers regelmatig op plekken zonder internetverbinding, dan zijn de lokaal gegenereerde OATH-verificatiecodes een goede keuze.

6. Zorg voor een supportplan

Besteed ook aandacht aan de afwikkeling van mislukte inlogpogingen en geblokkeerde accounts. Zelfs getrainde, legitieme gebruikers kunnen problemen ervaren met inloggen. U moet het hen gemakkelijk maken om hulp in te schakelen.

Zorg ook voor duidelijke procedures bij zoekgeraakte MFA-devices. Medewerkers moeten een verloren apparaat eenvoudig en zonder schaamte kunnen melden, zodat het device zo snel mogelijk geblokkeerd en het account gemonitord kan worden. Tip: MFA-devices met biometrische mogelijkheden zoals een vingerafdrukscanner zijn duurder in aanschaf, maar in verkeerde handen onbruikbaar. Het is verstandig reserveapparaten voor handen te hebben zodat een medewerker in het geval van diefstal of verlies toch gewoon zijn of haar werk kan doen.

Tip: overweeg ook om MFA-devices met biometrische mogelijkheden zoals een vingerafdrukscanner aan te schaffen. Die zijn duurder, maar in verkeerde handen onbruikbaar.

7. Meten is weten

Tijdens het implementatieproces is het verstandig de impact op de productiviteit en veiligheid te monitoren. Op die manier kunt u policy’s tijdig bijstellen of bijvoorbeeld investeren in betere hardware, mocht dat de bottleneck blijken. 

Meetgegevens als mislukte inlogpogingen, geblokkeerde phishingaanvallen en privilege-escalaties zijn belangrijke indicatoren. Controleer ook helpdesktickets, loggegevens en auditopties om te zien of gebruikers er langer over doen om in de systemen te komen. Wellicht stellen ze belangrijke taken uit omdat ze MFA als obstakel ervaren, of zijn de prestaties van MFA-devices ondermaats.

MFA is geen knop die u even snel indrukt; het past binnen een werkwijze waarbij u de beveiliging continu beoordeelt en verbetert. Maar als u het op de juiste manier benadert, is het ook de meest effectieve stap die u kunt nemen om de beveiliging te verbeteren.

  • Algemeen
  • Security Management Solutions

Cookievoorkeuren

Onze website maakt gebruik van cookies. Hieronder leggen we kort uit welke cookies dit zijn. U kunt ervoor kiezen om het plaatsen van analytische en/of marketing cookies niet toe te staan. U kunt uw voorkeuren op elk gewenst moment wijzigen door in de footer van onze website op “Cookievoorkeuren” te klikken. U kunt daar uw toestemming(en) intrekken of alsnog verlenen. Wij plaatsen een cookie om uw cookievoorkeuren vast te leggen. Meer informatie over de cookies en de doeleinden waarvoor specifieke cookies worden geplaatst, wie deze cookies plaatst (de provider) en de plaatsingsduur van de verschillende cookies kunt u lezen in onze Cookieverklaring.

  • Altijd aan

    Onze websites kunnen niet goed functioneren zonder bepaalde cookies. Deze cookies zijn nodig voor de goede werking van de website, om te voldoen aan de wet (zoals het kunnen aantonen welke cookievoorkeuren u heeft ingesteld) of noodzakelijk voor de beveiliging van onze systemen. U kunt deze cookies niet uitschakelen.

  • Deze cookies, ook bekend als statistische cookies, stellen ons in staat om de functionaliteit van onze website verder te ontwikkelen en te verbeteren door het gebruik van de website te analyseren. Deze cookies sturen informatie terug naar onze gegevensanalysetools Google Analytics van Google LLC of Hotjar van Hotjar Ltd.

  • Met behulp van marketing cookies (tracking cookies) kunnen we informatie over uw internetgedrag verzamelen. Hierdoor kunnen we onze online marketingcampagnes en webcontent op uw interesses afstemmen.