↑ Terug naar Cases
Case Study — Security Hardening

Van out-of-the-box naar enterprise-grade beveiliging

Hoe we een standaard Microsoft 365 Business Premium tenant transformeerden naar een volledig geharde cloud omgeving — in slechts 5 werkdagen.

82%
Secure Score
100%
MFA Dekking
5 dagen
Doorlooptijd
0
Incidenten
🛡Entra ID P1
🔒Conditional Access
📧Defender for O365
💻Microsoft Intune
📊Purview DLP
🔐BitLocker
82%
Secure Score
100%
MFA Dekking
0
Legacy Auth
6
CA Policies
01 — Uitgangssituatie

Een standaard tenant, nul beveiliging

FinAdviseurs BV (25 gebruikers, financiële diensten) had net een upgrade gedaan van Microsoft 365 Business Basic naar Business Premium. De extra security features waren echter niet geconfigureerd — alles stond op de standaard Microsoft instellingen.

❌ Initiële Staat
  • Geen MFA — alleen wachtwoorden
  • Legacy authenticatie open (IMAP, POP3)
  • Geen Conditional Access policies
  • Defender for Office 365 niet geconfigureerd
  • Geen device compliance — BYOD onbeheerd
  • SharePoint delen op "Anyone with a link"
  • Geen DLP of sensitivity labels
  • Audit logging uitgeschakeld
✅ Na Hardening
  • MFA voor alle 25 gebruikers + Authenticator app
  • Legacy auth volledig geblokkeerd via CA
  • 6 Conditional Access policies actief
  • Anti-phishing, Safe Links & Safe Attachments
  • Intune compliance + BitLocker enforced
  • Sharing beperkt tot "Existing guests" only
  • DLP actief op BSN, IBAN, creditcardnummers
  • Unified audit log + realtime alerts
02 — Entra ID & Conditional Access

Identiteit als eerste verdedigingslijn

De fundatie van elke M365 hardening: wie heeft toegang, hoe authenticeren ze, en vanaf welke apparaten?

Break-glass account aangemaakt Cloud-only Global Admin, extreem sterk wachtwoord in fysieke kluis, uitgesloten van alle CA policies
Actief
MFA afgedwongen via Conditional Access Alle gebruikers, alle cloud apps — Microsoft Authenticator als primaire methode
Actief
Legacy authenticatie geblokkeerd IMAP, POP3, SMTP Auth, ActiveSync legacy — allemaal geblokkeerd via CA policy
Actief
Risicovolle sign-ins blokkeren High-risk sign-ins automatisch geblokkeerd, medium-risk vereist MFA re-authentication
Actief
Admin-locatie restrictie Global Admin en Exchange Admin rollen alleen toegankelijk vanaf benoemde locaties
Actief
Wachtwoordbeleid NIST-conform Geen verlooptermijn, wel banned password list + complexity via MFA compensatie
Actief
🛡 Conditional Access — Policy Overzicht
CA-01: Require MFA — All Users● Enabled
CA-02: Block Legacy Authentication● Enabled
CA-03: Require Compliant Device — O365● Enabled
CA-04: Block High-Risk Sign-ins● Enabled
CA-05: Admin Location Restriction● Enabled
CA-06: Require App Protection (BYOD)● Enabled
Security Defaults● Disabled (vervangen door CA)
03 — Defender for Office 365

Email als aanvalsvector elimineren

90% van cyberaanvallen begint bij email. We implementeerden drie beschermingslagen bovenop Exchange Online Protection.

Anti-Phishing — Strikt profiel Impersonation protection voor directie, phishing drempel op niveau 3 (agressief)
Actief
Safe Links — URL scanning Real-time URL scanning in email, Teams en Office apps — click-through geblokkeerd
Actief
Safe Attachments — Dynamic Delivery Bijlagen worden in sandbox gescand, verdachte bestanden naar security@finadviseurs.be
Actief
Preset Security Policy: Standard Microsoft's aanbevolen baseline actief, Strict voor C-level gebruikers
Actief
04 — Email Authenticatie

SPF, DKIM & DMARC — domein bescherming

Voorkomen dat aanvallers emails kunnen versturen die lijken te komen van @finadviseurs.be.

TXT finadviseurs.be  →  "v=spf1 include:spf.protection.outlook.com -all"
CNAME selector1._domainkey.finadviseurs.be  →  selector1-finadviseurs-be._domainkey.*.onmicrosoft.com
CNAME selector2._domainkey.finadviseurs.be  →  selector2-finadviseurs-be._domainkey.*.onmicrosoft.com
TXT _dmarc.finadviseurs.be  →  "v=DMARC1; p=reject; rua=mailto:dmarc@finadviseurs.be; pct=100"
💡
DMARC werd in 3 fases uitgerold: p=none (2 weken monitoring) → p=quarantine (2 weken) → p=reject (definitief). Geen enkele legitieme mail werd geblokkeerd doordat we eerst alle rapport-data analyseerden.
05 — Intune Device Management

Elk apparaat onder controle

Van onbeheerde BYOD-laptops naar volledige device compliance met automatische policies.

💻 Windows Compliance Policy
BitLocker encryptie● Vereist
Secure Boot● Vereist
Windows Firewall● Vereist
Antivirus (Defender)● Vereist
Minimum OS versieWindows 11
Non-compliance actieBlock na 3 dagen
📱 App Protection — BYOD (iOS/Android)
Data encryptie● Aan
Copy/paste naar onbeheerde apps● Geblokkeerd
Backup naar iCloud/Google● Geblokkeerd
Jailbroken/rooted devices● Geblokkeerd
PIN vereist● 6 cijfers + biometrie
Offline grace period720 minuten
🔄 Windows Update for Business
Feature updates deferral30 dagen
Quality updates deferral7 dagen
Driver updates● Automatisch
06 — Data Protection & DLP

Gevoelige data beschermd

Sensitivity labels en DLP policies voorkomen dat vertrouwelijke klantdata per ongeluk wordt gedeeld.

DLP: BSN, IBAN & creditcard detectie Automatische detectie in Exchange, SharePoint, OneDrive en Teams — policy tip + admin alert
Actief
Sensitivity Labels geïmplementeerd 📗 Openbaar → 📙 Intern → 📕 Vertrouwelijk (encryptie) → 🔴 Strikt Vertrouwelijk (beperkte toegang)
Actief
SharePoint & OneDrive sharing beperkt Externe links vervallen na 30 dagen, default link type: "People in your organization"
Actief
Idle session sign-out Automatische sign-out na 1 uur inactiviteit op onbeheerde apparaten
Actief
07 — Monitoring & Alerting

Zichtbaarheid in de hele tenant

Je kunt niet beschermen wat je niet kunt zien. Unified audit logging en proactieve alerts zorgen voor continue monitoring.

🔔 Alert Policies — Actief
Break-glass account sign-in● Alert
Malware campaign detected● Alert
User restricted from sending email● Alert
Elevation of admin privilege● Alert
Phish delivered due to override● Alert
External forwarding rule created● Alert
Unified Audit Log● Ingeschakeld
🛡
Na activering van de audit log detecteerde het systeem binnen 48 uur 23 geblokkeerde legacy auth pogingen en 4 brute-force aanvallen vanuit Oost-Europa — allemaal automatisch geblokkeerd door de CA policies.
08 — Implementatie Timeline

Van start tot finish in 5 werkdagen

Een strak schema met minimale impact op de dagelijkse werkzaamheden van het team.

Dag 1 — Maandag

Assessment & Fundatie

Tenant audit, Secure Score baseline (28%), break-glass account, Security Defaults → CA migratie, SSPR configuratie.

Dag 2 — Dinsdag

Identiteit & Toegang

6 Conditional Access policies uitgerold, MFA enrollment voor alle 25 users, legacy auth blokkade, admin rol review.

Dag 3 — Woensdag

Email & Communicatie

Defender for Office 365 configuratie, SPF/DKIM/DMARC setup, Safe Links + Safe Attachments, preset security policies.

Dag 4 — Donderdag

Devices & Data

Intune enrollment (22 Windows, 18 mobiel), compliance policies, BitLocker, DLP policies, Sensitivity Labels uitrol.

Dag 5 — Vrijdag

Testing & Documentatie

Phishing simulatie, audit log verificatie, alert policy testing, gebruikersdocumentatie, team training sessie (1 uur).

📊 Resultaten na 30 dagen

28% → 82%
Secure Score
+54 punten verbetering
147
Geblokkeerde Aanvallen
Phishing + brute-force in eerste maand
0
Security Incidenten
Nul inbreuken na implementatie
Technologieën

Gebruikte M365 Componenten

Entra ID P1 Conditional Access Defender for Office 365 Defender for Business Microsoft Intune Azure Information Protection Exchange Online Protection Purview DLP Sensitivity Labels SharePoint Online Windows Autopilot Microsoft Authenticator

"We wisten niet eens dat we zo kwetsbaar waren. Tom heeft niet alleen alles dichtgetimmerd, maar het team ook opgeleid zodat ze begrijpen waarom bepaalde maatregelen nodig zijn. Onmisbaar voor elke organisatie die met gevoelige klantdata werkt."

— Mark Janssen, Managing Partner bij FinAdviseurs BV

Ook uw M365 omgeving laten hardenen?

Van tenant audit tot volledige security hardening — ik configureer uw Microsoft 365 omgeving naar enterprise-grade beveiliging. Inclusief Conditional Access, Defender, Intune en DLP.

Vraag een security audit aan