I dagens digitale landskap er sikkerhet en prioritet for enhver organisasjon. Administratorkontoer, med sine utvidede tilganger, er spesielt kritiske, da de gir tilgang til sensitive systemer og data. Hvis slike kontoer ikke administreres riktig, kan de utgjøre en stor risiko for organisasjonen. Derfor er det essensielt å sikre at administratorkontoer som ikke lenger er i bruk, blir deaktivert raskt og effektivt.
I denne bloggposten vil vi se på en løsning som bruker en runbook i Azure for å deaktivere administratorkontoer knyttet til inaktive brukerkontoer. Dette sikrer at ingen kan bruke administratorkontoer tilknyttet personer som ikke lenger er en del av organisasjonen, enten de er faste ansatte eller eksterne konsulenter.
Hvorfor er det viktig å deaktivere administratorkontoer?
1. Minimerer sikkerhetsrisiko
Admin-kontoer har ofte tilgang til kritiske ressurser og sensitive data. Hvis en slik konto blir glemt og ikke deaktivert når en ansatt eller konsulent forlater organisasjonen, kan den bli en inngangsport for uautorisert tilgang. Dette kan være svært risikabelt, spesielt hvis legitimasjonen til kontoen blir kompromittert.
2. Opprettholder kontroll
Deaktivering av ubrukte administratorkontoer sikrer at bare aktive og autoriserte personer har tilgang til kritiske systemer. Dette reduserer sannsynligheten for utilsiktede eller skadelige endringer i organisasjonens tjenester. En manuell prosess for deaktivering av kontoer kan være tidkrevende og utsatt for menneskelige feil, så en automatisert runbook sikrer konsekvent utførelse og eliminerer risikoen for at en konto overses.
3. Overholdelse av sikkerhetsstandarder
Mange sikkerhetsstandarder og rammeverk, som ISO 27001 og NIST, krever at organisasjoner sikrer at brukerkontoer deaktiveres når ansatte eller konsulenter slutter. Automatisering av denne prosessen sikrer overholdelse av slike krav.
Hvordan fungerer runbooken?
Runbooken er utviklet i Azure Automation og bruker en systemtilordnet administrert identitet for å koble seg til Microsoft Graph API. Runbooken er designet for å identifisere administratorkontoer tilknyttet inaktive primærkontoer (feks ola.nordmann@domene.no), basert på deres telefonnumre og deretter deaktivere dem. Slik fungerer prosessen:
1. Identifisere inaktive brukerkontoer
Runbooken henter en liste over alle primærkontoer i Microsoft Entra ID som har statusen «deaktivert». Disse brukerne kan være tidligere ansatte eller eksterne konsulenter som ikke lenger har tilgang til organisasjonen.
2. Koble brukerkontoer til admin-kontoer
For hver primærkonto som er deaktivert sammenlignes brukerens mobilnummer med mobil- eller forretningsnummer i en liste over administratorkontoer. Dette brukes for å finne administratorkontoer som tilhører den inaktive brukeren.
3. Deaktivere administratorkontoen
Dersom det finnes en tilhørende administratorkonto som fortsatt er aktiv, blir denne deaktivert. Dette inkluderer å blokkere kontoen fra videre bruk.
4. Rapportering
Runbooken genererer en rapport som viser hvilke kontoer som er deaktivert, og hvorfor. Dette gir organisasjonen oversikt og sporbarhet.
Teknisk implementering
Her er et eksempel på hvordan runbooken kan implementeres med PowerShell i Azure Automation:
Utvidelse av runbooken
Denne runbooken er utformet for å deaktivere administratorkontoer som er knyttet til inaktive brukerkontoer, men den kan enkelt utvides til å inkludere flere handlinger. For eksempel kan man legge til funksjonalitet for å fjerne lisenser fra deaktiverte kontoer for å frigjøre ressurser eller til og med slette administratorkontoer hvis det er i tråd med organisasjonens retningslinjer.
I tillegg kan denne løsningen suppleres med Access Reviews i Entra ID for å gjennomgå og administrere inaktive administratorkontoer. Access Reviews kan brukes til å sikre at bare relevante kontoer har tilgang, og man kan konfigurere automatiske handlinger, som å fjerne tilgang for kontoer som ikke lenger er nødvendige. Dette gir et helhetlig rammeverk for å håndtere inaktive kontoer, både gjennom automatisering og manuell kontroll.
Avslutning
Å sikre administratorkontoer er en kritisk del av enhver organisasjons sikkerhetsstrategi. Ved å implementere en runbook som automatisk deaktiverer administratorkontoer tilknyttet inaktive brukere, kan organisasjoner redusere risiko, forbedre sikkerhet og sikre samsvar med standarder. Dette er et eksempel på hvordan teknologi og automatisering kan brukes til å beskytte organisasjonens verdier i en stadig mer kompleks digital verden.
Har du spørsmål om hvordan dette kan implementeres i din organisasjon? Ta gjerne kontakt! 🚀