SharePoint & OneDrive Hardening in CIS Benchmark v6 Externe sharing, sync restricties en Zero Trust collaboration

Posted by: Jordy Herber Posted on

“Waarom samenwerkingsplatformen de nieuwe aanvalsvector zijn — en hoe CIS v6 daarop reageert.”

Inleiding

Waar Exchange Online jarenlang gold als het primaire doelwit voor cybercriminelen, is de realiteit inmiddels verschoven: aanvallen richten zich net zo vaak — of zelfs vaker — op collaborationplatformen zoals SharePoint en OneDrive. Vooral door de enorme groei van Microsoft Teams is de hoeveelheid gedeelde data binnen SharePoint en OneDrive exponentieel gestegen.

Tegelijkertijd neemt externe samenwerking toe. Gasten delen documenten, projecten worden cross-tenant uitgevoerd en bestanden circuleren steeds vaker buiten de traditionele grenzen van de organisatie.
En precies dát maakt SharePoint Online en OneDrive een van de belangrijkste onderdelen in de CIS Microsoft 365 Benchmark v6.0.0.

In deze blog bekijken we de grote verschillen tussen v5 en v6, leggen we uit waarom deze zijn doorgevoerd en laten we zien hoe de controls zich verhouden tot Purview, Defender en Microsoft Teams.

🧭 Hoog-over overzicht: SharePoint & OneDrive in v6

CIS v6 bevat niet heel veel nieuwe controls in vergelijking met v5, maar de impactvolle aanscherpingen richten zich op:

  • Externe sharing governance
  • Domeinrestricties voor samenwerking
  • Device sync restricties
  • Tenant-level sharing settings
  • Site-level sharing alignment
  • Consistentie tussen SPO/OD/Teams
Gebiedv5v6Impact
External sharingBasisrestrictiesVeel strenger én beter gedefinieerdHoog
Domain allow/blockAanwezigStrenger geformuleerdHoog
Unmanaged device syncAanwezigStrenger, meer CA-integratieHoog
Anonymous linksVermedenNog kritischerHoog
Default sharing linksBasisStrenger, zero-trust defaultHoog
Sensitivity integratieMinder explicietSterker gekoppeldMedium
Tenant vs site governanceBeheersing nodigHarder vereisteMedium

🧩 1. Tenant-level externe sharing is strenger en explicieter in v6

De basiscontrol blijft:

Ensure external sharing is managed at the tenant level
(v5 – 4.1.1, v6 – 4.1.1)

Maar in v6 is de interpretatie hiervan veel strikter.

De belangrijkste aanscherpingen:

1.1. Tenant sharing settings moeten standaard restrictief zijn

Waar v5 het had over “secure collaboration”, stelt v6:

  • Extern delen moet default streng staan.
  • En kan daarna granulair worden toegestaan via site-level configuratie.

1.2. Geen “Anyone with the link”-opties meer

v6 beschrijft nadrukkelijk dat anonymous links een security liability vormen.
Anonymous sharing moet:

  • volledig uitgeschakeld worden, of
  • beperkt worden tot specifieke scenario’s met auditing en DLP.

Dit verschil met v5 is grote stap richting Zero Trust.

🌐 2. Domain allow/block lists worden zero-trust verplicht

De benchmark bevat in beide versies:

Ensure external sharing domain restrictions are configured
(v5 – 4.1.2, v6 – 4.1.2)

Maar in v6 is dit expliciet geworden:

v6 vereist:

  • Een allow list boven een deny list
  • Geen open sharing naar onbekende domeinen
  • Cross-tenant B2B governance in lijn met Entra policies

Waarom deze aanscherping?
Omdat CIS ziet dat veel breaches plaatsvinden via documenten die gedeeld zijn met:

  • niet-vertrouwde externe bedrijven,
  • disposable domeinen,
  • of malafide projectpartners.

Teams maakt deze risico’s groter, omdat elk Team onder water een SharePoint-site genereert.

💻 3. Device sync restricties voor OneDrive zijn strenger geworden

Externe toegang tot bestanden via unmanaged devices is een van de grootste risico’s voor datalekken. Daarom bevat zowel v5 als v6:

Ensure only managed devices can sync SharePoint and OneDrive content
(v5 – 4.1.3, v6 – 4.1.3)

Maar v6 maakt dit realistischer én strenger:

3.1. Integratie met Conditional Access moet verplicht ingeschakeld zijn

CIS v6 verwijst impliciet naar:

  • Require app protection policies
  • Require compliant device
  • Require approved client app

3.2. Sync moet geblokkeerd worden op:

  • BYOD zonder compliance
  • Onbekende OS-versies
  • Browserversies zonder modern auth

3.3. OneDrive KFM (known folder move) wordt nu indirect belangrijker

Want deze functie voorkomt lokale opslag van bedrijfskritieke data op onbeheerste laptops.

🚫 4. Default link settings — v6 kiest voor Zero Trust defaults

Zowel v5 als v6 bevatten:

Ensure default sharing links are the most secure option
(v5 – 4.1.4, v6 – 4.1.4)

Maar v6 gaat verder door te benoemen dat:

De default link moet zijn:

  • Specific people

Niet:

  • People in your organization
  • Anyone with the link

Waarom?

Omdat:

  • “People in your organization” risico’s creëert bij interne misconfiguraties
  • “Anyone with the link” extreem gevoelig is voor link forwarding
  • Attackers vaak gebruikmaken van “open” link-permissions bij phishingkits

v6 maakt hiermee duidelijk dat data ownership krachtiger beschermd moet worden.

📁 5. Site-level sharing moet aligned zijn met tenant policies

Zowel in v5 als v6:

Ensure site-level sharing settings align with tenant-level restrictions
(v5 – 4.1.5, v6 – 4.1.5)

Maar v6 benadrukt de auditbaarheid:

  • Site owners mogen niet buiten de tenantpolicy treden
  • Governance moet worden afgedwongen via Purview en Entra
  • Elke uitzondering moet worden gelogd

Impact:

Veel organisaties vertrouwen nog op site owners in Teams of projectgroepen, maar deze krijgen met v6 minder autonomie en meer toezicht.

🛡️ 6. Blocking Access from Unmanaged Devices — De grootste escalatie in v6

De benchmark bevat:

Ensure access to SharePoint Online is restricted to managed devices
(v5 – 4.1.6, v6 – 4.1.6)

In v6 geldt echter:

  • Dit moet afgedwongen worden via Conditional Access
  • Browsing moet read-only worden op unmanaged devices
  • Downloaden moet geblokkeerd worden
  • Sync moet volledig uit staan

Dit volgt rechtstreeks uit Microsoft’s Zero Trust App Access Gauntlet.

🔐 7. Teams-integratie: SharePoint controls zijn Teams controls

Hoewel CIS dit impliciet laat, is het belangrijk om te weten dat:

Elk Team = een SharePoint-site

Dus elke wijziging in SharePoint governance:

  • werkt door in Teams
  • beïnvloedt wie bestanden kan openen
  • bepaalt welke data door externen gezien kan worden
  • regelt welke devices bestanden mogen downloaden
  • heeft impact op Teams DLP

In v6 is dit veel nadrukkelijker zichtbaar doordat DLP-controls in Purview strenger zijn geworden.

🧩 8. Samenvatting: Verschillen tussen v5 en v6 voor SharePoint & OneDrive

Domeinv5v6Relevantie
External sharingRestrictiefZero Trust defaultZeer hoog
Domain allow/blockBasisStrenger, verplicht allow listHoog
Anonymous linksOngewenstHarder verbodenHoog
Sync op unmanaged devicesAanbevolenStrikt afgedwongen via CAZeer hoog
Tenant vs site alignmentOmschrevenStrikter en auditbaarHoog
Purview integratieBasisExplicieterMedium
Teams impactIndirectSterker zichtbaarMedium

🔎 9. Hoe deze controls mappen op Defender, Purview, Intune en Sentinel

Hoewel SharePoint en OneDrive “collaboration tools” zijn, raken hun beveiligingsinstellingen alle lagen van Microsoft Security.

Defender for Cloud Apps (MCAS)

  • Detecteert risky file sharing
  • Shadow IT analysis van externe domeinen
  • Session control enforcement (e.g. block download)

Microsoft Purview

  • DLP op SPO/OD
  • Sensitivity labels enforcement
  • Data access governance reports

Intune

  • Device compliance requirements
  • App protection policies
  • Managed vs unmanaged device controls

Sentinel XDR

  • SPO/OD audit logging
  • External sharing anomaly detection
  • File access monitoring
  • UEBA for insider threat
  • Cross-tenant access anomaly detection

SharePoint en OneDrive zijn dus een detectielaag, niet alleen een samenwerkingslaag.

🧠 Conclusie — In v6 is SharePoint & OneDrive geen “bijzaak” meer, maar een primair securitydomein

CIS v6 erkent dat moderne samenwerking geen statisch concept meer is. Data reist:

  • tussen tenants,
  • tussen devices,
  • tussen interne en externe medewerkers,
  • tussen applicaties zoals Teams, SharePoint en OneDrive,
  • en tussen workloads zoals Purview en Defender.

Daarom wordt in v6:

  • Externe sharing zero-trust by default
  • Unmanaged device access sterk beperkt
  • Anonymous links vrijwel verboden
  • Domain allow/block verplicht
  • Site-level governance strakker
  • Sync naar devices een primary control

SharePoint en OneDrive zijn daarmee niet langer “fileservers in de cloud”, maar data security engines.

Leave a Reply

Your email address will not be published. Required fields are marked *