Vanaf eind volgende maand tot eind oktober kunnen Microsoft-partners zelf admin-accounts aanmaken binnen Active Directory bij hun respectievelijke klanten, in een zet die volgens Microsoft de beveiliging zal verbeteren.
Vanaf 25 juli tot en met 31 oktober kunnen partners van Microsoft zelf admin-accounts aanmaken binnen de Active Directory-omgeving van hun klanten. Dat doet Microsoft verrassend genoeg om de veiligheid op te krikken. Het plan klinkt angstwekkend, al valt het allemaal nog wel mee wanneer we wat dieper inzoomen.
Microsoft heeft vastgesteld dat partners een geliefkoosd doelwit zijn voor hackers. Kaseya en SolarWinds maakten overduidelijk hoe groot de schade kan zijn wanneer een aanvaller bij een partner binnenraakt. Logisch, aangezien een succesvol hack meteen toegang geeft tot de omgevingen van klanten.
Van DAP naar GDAP
Microsoft wil dat probleem verkleinen door de zogenaamde Delegated Admin Privileges (DAP) aan te pakken. Dat zijn de accounts waarmee de Microsoft-partners de Active Directory-omgevingen van hun klanten beheren. In de verkeerde handen kan zo’n DAP heel wat schade aanrichten. Bovendien zijn volledige admin-rechten niet altijd nodig.
Microsoft wil partners overtuigen het principe van least privileged-toegang te omarmen. Dat wil zeggen dat niemand meer privileges nodig heeft in zijn of haar account dan strikt noodzakelijk, zodat een aanvaller die extra privileges ook niet kan misbruiken. Daartoe introduceerde Microsoft begin deze maand de Granular Delegated Admin Privileges (GDAP). GDAP geeft partners granulaire admin-toegang tot specifieke onderdelen van Active Directory. In dat opzicht staan ze dus een trapje onder DAP inzake de privileges.
Veiliger maar toch ook tijdelijk
Om partners te overtuigen GDAP te omarmen, krijgen organisaties met DAP nu dus enkele maanden een vrijgeleide om GDAP’s te maken met het DAP-account, zonder inmenging van de klant. Dat zal er op termijn hopelijk voor zorgen dat partners hun DAP-accounts opgeven en de veiligere GDAP-accounts gebruiken. Langs de andere kant geeft het hackers met toegang tot een partner met DAP-accounts nu de optie om zelf extra accounts te maken voor later misbruik, maar dat risico acht Microsoft insignificant.
Partners zonder DAP moeten wel toestemming krijgen van de klant op GDAP-accounts te maken. Na 31 oktober moet iedereen opnieuw toestemming krijgen van de klant. Dat suggereert voor een stuk dat Microsoft beseft dat het een beetje vreemd is om de partners zomaar extra accounts te laten aanmaken. Werk je met een partner die Delegated Admin Privileges heeft? Maak dan misschien voor het einde van de maand even afspraken over GDAP.