💼 Management Samenvatting
Azure AD Smart Lockout met een drempelwaarde van tien mislukte aanmeldpogingen beschermt organisaties tegen brute force-aanvallen en wachtwoordspraying door gebruikersaccounts tijdelijk te blokkeren na een overmatig aantal mislukte pogingen. Deze beveiligingsmaatregel vormt een essentieel onderdeel van de identiteitsbeveiliging voor Nederlandse overheidsorganisaties en voorkomt dat aanvallers onbeperkt kunnen proberen wachtwoorden te raden.
Aanbeveling
IMPLEMENTEER DREMPELWAARDE VAN TIEN MISLUKTE AANMELDPOGINGEN
Risico zonder
Medium
Risk Score
5/10
Implementatie
1.5u (tech: 0.5u)
Van toepassing op:
✓ Azure
✓ Azure AD
✓ Azure AD
Brute force-aanvallen vormen een constante bedreiging voor digitale systemen. Aanvallers proberen systematisch wachtwoorden te raden door middel van verschillende technieken. Wachtwoordspraying is een aanvalstechniek waarbij aanvallers veelvoorkomende wachtwoorden proberen tegen een groot aantal accounts, in de hoop dat ten minste één account een zwak wachtwoord heeft. Credential stuffing maakt gebruik van gelekt wachtwoordmateriaal dat via datalekken is verkregen, waarbij aanvallers deze combinaties proberen op verschillende platforms. Traditionele brute force-aanvallen richten zich op één specifiek account en proberen systematisch duizenden wachtwoordcombinaties. Zonder account lockout-mechanisme kunnen aanvallers onbeperkt pogingen ondernemen, wat de kans op succesvolle compromittering aanzienlijk vergroot. Smart Lockout met een drempelwaarde van tien pogingen biedt een evenwichtige oplossing tussen beveiliging en bruikbaarheid. Aan de ene kant worden brute force-aanvallen effectief geblokkeerd na tien mislukte pogingen, terwijl aan de andere kant legitieme gebruikers die per ongeluk een typefout maken niet te snel worden geblokkeerd. Deze balans is cruciaal voor de acceptatie van beveiligingsmaatregelen binnen organisaties.
PowerShell Modules Vereist
Primary API: Microsoft Graph API
Connection:
Required Modules: Microsoft.Graph.Identity.SignIns
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.Identity.SignIns
Implementatie
Deze beveiligingscontrole configureert de Smart Lockout-functionaliteit van Azure AD met een drempelwaarde van tien mislukte aanmeldpogingen. De lockout-duur is standaard ingesteld op zestig seconden, zoals beschreven in de gerelateerde controle voor lockout-duur. Wanneer een account binnen een kort tijdsbestek tien mislukte aanmeldpogingen registreert, wordt het account automatisch tijdelijk geblokkeerd voor een periode van zestig seconden. De intelligentie van Smart Lockout onderscheidt zich door geavanceerde detectiecapaciteiten die het verschil kunnen maken tussen legitieme gebruikersfouten en kwaadaardige aanvallen. Het systeem analyseert patronen in aanmeldpogingen en past de lockout-duur progressief aan bij herhaalde lockouts, waardoor aanvallers worden afgeschrikt zonder legitieme gebruikers onnodig te hinderen. Bovendien wordt de lockout per locatie bijgehouden, wat betekent dat een legitieme gebruiker die vanuit het kantoor werkt niet wordt beïnvloed door een aanval die vanaf een andere IP-locatie plaatsvindt. Deze geografische contextuele analyse verhoogt de effectiviteit van de beveiliging aanzienlijk.
Vereisten
Voor de implementatie van Smart Lockout met een drempelwaarde van tien mislukte aanmeldpogingen zijn verschillende vereisten van toepassing. Ten eerste is het noodzakelijk dat de persoon die de configuratie uitvoert beschikt over globale beheerderrechten binnen de Azure AD-tenant. Deze rechten zijn essentieel omdat Smart Lockout-configuratie deel uitmaakt van de beveiligingsinstellingen op tenantniveau die alleen door bevoegde beheerders kunnen worden gewijzigd. De globale beheerder heeft de benodigde autorisatie om wijzigingen aan te brengen in de authenticatiemethoden en wachtwoordbeschermingsinstellingen van de organisatie. Het is belangrijk om te benadrukken dat deze rechten met zorg moeten worden beheerd en alleen moeten worden verleend aan vertrouwde personen die verantwoordelijk zijn voor de beveiligingsconfiguratie van de organisatie.
Smart Lockout is standaard ingeschakeld in Azure AD, wat betekent dat organisaties geen aanvullende licenties of functies hoeven aan te schaffen om gebruik te maken van deze beveiligingsfunctionaliteit. Deze standaardconfiguratie maakt Smart Lockout toegankelijk voor alle Azure AD-tenanten, ongeacht het licentieplan. Echter, hoewel de functionaliteit standaard beschikbaar is, moet de lockout-drempelwaarde expliciet worden geconfigureerd om te voldoen aan de beveiligingsvereisten van de organisatie. De standaardinstellingen kunnen afwijken van de aanbevolen waarde van tien pogingen, daarom is het belangrijk om deze instelling te verifiëren en indien nodig aan te passen.
Naast de technische configuratie van de lockout-drempelwaarde is het van cruciaal belang dat organisaties een communicatiestrategie ontwikkelen om gebruikers te informeren over account lockouts. Gebruikers moeten begrijpen waarom hun account mogelijk tijdelijk wordt geblokkeerd en wat zij moeten doen wanneer dit gebeurt. Deze communicatie moet uitleggen dat account lockouts een beveiligingsmaatregel zijn die is ontworpen om hun account te beschermen tegen ongeautoriseerde toegang. Gebruikers moeten worden geïnstrueerd over het juiste gedrag wanneer zij per ongeluk meerdere keren een verkeerd wachtwoord invoeren, en zij moeten weten dat zij na de lockout-periode opnieuw kunnen proberen in te loggen. Effectieve gebruikerscommunicatie vermindert de frustratie en helpt bij het opbouwen van begrip voor beveiligingsmaatregelen, wat de algehele acceptatie van de beveiligingscontroles binnen de organisatie verbetert.
Implementatie
Gebruik PowerShell-script lockout-threshold-10.ps1 (functie Invoke-Implementation) – Implementeren.
De implementatie van Smart Lockout met een drempelwaarde van tien mislukte aanmeldpogingen begint met het navigeren naar de juiste configuratiesectie binnen de Azure AD-beheerportal. Beheerders moeten naar de Azure AD-omgeving gaan en vervolgens de sectie Beveiliging selecteren. Binnen deze sectie bevindt zich de optie voor authenticatiemethoden, waar de configuratie voor wachtwoordbescherming kan worden aangepast. Deze navigatiepad is logisch georganiseerd om beheerders te helpen de juiste instellingen te vinden zonder onnodige complexiteit.
Binnen de wachtwoordbeschermingsinstellingen moet de Smart Lockout-configuratie worden aangepast zodat de lockout-drempelwaarde is ingesteld op tien mislukte pogingen. Deze waarde vertegenwoordigt het aantal opeenvolgende mislukte aanmeldpogingen dat moet plaatsvinden voordat een account automatisch wordt geblokkeerd. De keuze voor tien pogingen is gebaseerd op een zorgvuldige afweging tussen beveiligingseffectiviteit en gebruikerservaring. Een lagere waarde zou legitieme gebruikers te vaak blokkeren wanneer zij per ongeluk een typefout maken, terwijl een hogere waarde aanvallers te veel mogelijkheden zou geven om wachtwoorden te raden.
De lockout-duur is standaard ingesteld op zestig seconden, zoals beschreven in de gerelateerde controle voor lockout-duur. Deze periode is voldoende om automatische brute force-aanvallen te verstoren zonder legitieme gebruikers onnodig lang te hinderen. Na zestig seconden kan de gebruiker opnieuw proberen in te loggen, wat voldoende tijd geeft om na te denken over het juiste wachtwoord zonder de productiviteit significant te beïnvloeden. Voor organisaties met hybride omgevingen, waarbij zowel cloud- als on-premises Active Directory wordt gebruikt, is het noodzakelijk om de Azure AD-wachtwoordbeschermingsagent te implementeren. Deze agent zorgt ervoor dat lockout-gebeurtenissen worden gesynchroniseerd tussen de cloud- en on-premises omgevingen, waardoor een consistente beveiligingservaring wordt gegarandeerd ongeacht waar de authenticatie plaatsvindt.
Na de implementatie van de lockout-configuratie is het essentieel om een monitoringstrategie te ontwikkelen die inzicht geeft in lockout-gebeurtenissen. Beheerders moeten regelmatig de aanmeldlogboeken controleren en filteren op de foutreden 'Account locked' om te identificeren welke accounts worden geblokkeerd en of er patronen zijn die wijzen op kwaadaardige activiteit. Deze monitoring helpt bij het identificeren van potentiële brute force-aanvallen en stelt beheerders in staat om proactief te reageren op beveiligingsbedreigingen. Bovendien moeten beheerders waarschuwingen configureren voor overmatige lockouts voor een enkele gebruiker, omdat dit kan wijzen op een gerichte aanval waarbij een aanvaller specifiek probeert toegang te krijgen tot een bepaald account. Dergelijke waarschuwingen maken het mogelijk om snel te reageren op potentiële beveiligingsincidenten en aanvullende beveiligingsmaatregelen te implementeren wanneer dat nodig is.
Compliance en Auditing
De implementatie van Smart Lockout met een drempelwaarde van tien mislukte aanmeldpogingen draagt bij aan de naleving van verschillende belangrijke beveiligingsstandaarden en regelgevingskaders die relevant zijn voor Nederlandse overheidsorganisaties. De CIS Azure Benchmark versie 3.0.0 bevat in controle 1.7 een specifieke vereiste voor het instellen van een lockout-drempelwaarde. Deze controle stelt dat organisaties moeten zorgen dat de lockout-drempelwaarde is ingesteld op tien of minder mislukte pogingen, wat precies overeenkomt met de aanbeveling in deze beveiligingscontrole. De CIS Benchmark wordt wereldwijd erkend als een best practice-raamwerk voor cloudbeveiliging en wordt vaak gebruikt als basis voor beveiligingsaudits en compliance-verificaties.
Voor Nederlandse overheidsorganisaties is de Baseline Informatiebeveiliging Overheid, beter bekend als BIO, van bijzonder belang. BIO-controle 09.04 richt zich specifiek op authenticatiebeveiliging en vereist dat organisaties passende maatregelen implementeren om brute force-aanvallen te voorkomen. Smart Lockout met een drempelwaarde van tien pogingen voldoet aan deze vereiste door effectieve bescherming te bieden tegen systematische wachtwoordraadpogingen. De BIO-normen zijn bindend voor Nederlandse overheidsorganisaties en vormen een essentieel onderdeel van de compliance-verificatieprocessen die regelmatig worden uitgevoerd door interne en externe auditors.
De internationale standaard ISO 27001:2022 bevat in controle A.5.17 specifieke vereisten voor authenticatiebeveiliging, waaronder de implementatie van account lockout-mechanismen. Deze controle vereist dat organisaties passende maatregelen implementeren om ongeautoriseerde toegang te voorkomen, en account lockout vormt een belangrijk onderdeel van deze maatregelen. Organisaties die ISO 27001-certificering nastreven of behouden, moeten kunnen aantonen dat zij effectieve account lockout-mechanismen hebben geïmplementeerd die voldoen aan de vereisten van deze controle. Smart Lockout met een drempelwaarde van tien pogingen biedt een concrete implementatie die voldoet aan deze ISO-vereisten.
De NIS2-richtlijn, die is geïmplementeerd in de Nederlandse wetgeving, bevat in artikel 21 specifieke vereisten voor de preventie van brute force-aanvallen. Deze richtlijn is van toepassing op essentiële en belangrijke entiteiten binnen verschillende sectoren, waaronder de publieke sector. Artikel 21 vereist dat organisaties passende technische en organisatorische maatregelen implementeren om cyberbeveiligingsrisico's te beheersen, waaronder de bescherming tegen brute force-aanvallen. Smart Lockout vormt een essentiële technische maatregel die bijdraagt aan de naleving van deze NIS2-vereisten en helpt organisaties te voldoen aan hun wettelijke verplichtingen op het gebied van cyberbeveiliging.
Het NIST Special Publication 800-63B bevat gedetailleerde richtlijnen voor digitale identiteitsrichtlijnen, inclusief specifieke aanbevelingen voor account lockout-mechanismen. Deze publicatie wordt wereldwijd erkend als een autoritatieve bron voor authenticatiebeveiliging en wordt vaak gebruikt als referentie voor het ontwikkelen van beveiligingsbeleid en -procedures. De NIST-richtlijnen benadrukken het belang van het implementeren van effectieve account lockout-mechanismen die een balans vinden tussen beveiligingseffectiviteit en gebruikerservaring. Smart Lockout met een drempelwaarde van tien pogingen is consistent met deze NIST-aanbevelingen en biedt organisaties een concrete manier om deze richtlijnen te implementeren in hun Azure AD-omgeving.
Monitoring
Gebruik PowerShell-script lockout-threshold-10.ps1 (functie Invoke-Monitoring) – Controleren.
Effectieve monitoring van Smart Lockout-gebeurtenissen vormt een essentieel onderdeel van de beveiligingsstrategie voor identiteitsbeheer. Organisaties moeten een proactieve monitoringbenadering implementeren die inzicht biedt in lockout-patronen, potentiële aanvallen identificeert en tijdige respons mogelijk maakt. De monitoringstrategie moet verschillende aspecten omvatten, waaronder het volgen van lockout-frequenties, het identificeren van verdachte patronen, het analyseren van geografische distributie van lockout-gebeurtenissen en het monitoren van trends over tijd. Deze uitgebreide monitoringbenadering stelt beveiligingsteams in staat om snel te reageren op potentiële bedreigingen en de effectiviteit van de Smart Lockout-configuratie te evalueren.
Azure AD Sign-In Logs bieden een uitgebreide bron van informatie over lockout-gebeurtenissen. Beheerders kunnen deze logboeken gebruiken om gedetailleerde inzichten te verkrijgen in wanneer en waarom accounts worden geblokkeerd. De logboeken bevatten essentiële informatie zoals de tijdstempel van de lockout-gebeurtenis, het IP-adres vanwaar de mislukte pogingen zijn ondernomen, de gebruikersnaam van het geblokkeerde account en de specifieke foutcode die aangeeft dat een account is geblokkeerd. Door regelmatig deze logboeken te analyseren, kunnen beheerders patronen identificeren die wijzen op brute force-aanvallen, zoals meerdere mislukte pogingen vanaf hetzelfde IP-adres of gerichte aanvallen op specifieke gebruikersaccounts. Deze analyse vormt de basis voor proactieve beveiligingsmaatregelen en incidentrespons.
Het configureren van waarschuwingen voor overmatige lockouts is cruciaal voor tijdige detectie van potentiële beveiligingsincidenten. Beheerders moeten waarschuwingen instellen die worden geactiveerd wanneer een account meerdere keren binnen een korte periode wordt geblokkeerd, wat kan wijzen op een gerichte aanval. Daarnaast moeten waarschuwingen worden geconfigureerd voor situaties waarin meerdere accounts vanaf hetzelfde IP-adres worden geblokkeerd, wat kan duiden op een grootschalige brute force-aanval of wachtwoordspraying-campagne. Deze waarschuwingen moeten worden geïntegreerd met het Beveiligingsoperatiecentrum (SOC) of het incidentresponsproces van de organisatie, zodat beveiligingsteams onmiddellijk kunnen reageren op potentiële bedreigingen. De waarschuwingsdrempels moeten worden afgestemd op de normale activiteitspatronen van de organisatie om valse positieven te minimaliseren terwijl echte bedreigingen worden gedetecteerd.
Geografische analyse van lockout-gebeurtenissen biedt waardevolle inzichten in de oorsprong van potentiële aanvallen. Door de IP-adressen van mislukte aanmeldpogingen te analyseren en te correleren met geografische locaties, kunnen beheerders identificeren of lockouts afkomstig zijn van ongebruikelijke locaties of landen waar de organisatie normaal gesproken geen activiteit heeft. Deze geografische contextuele informatie helpt bij het onderscheiden tussen legitieme gebruikers die mogelijk reizen en kwaadaardige actoren die proberen toegang te krijgen vanaf verdachte locaties. Azure AD biedt geografische informatie in de sign-in logs, waardoor beheerders deze analyse kunnen uitvoeren zonder aanvullende tools. Organisaties moeten regelmatig geografische lockout-rapporten genereren en analyseren om trends te identificeren en potentiële bedreigingen vroegtijdig te detecteren.
Trendanalyse over langere perioden is essentieel voor het begrijpen van de effectiviteit van de Smart Lockout-configuratie en het identificeren van veranderende bedreigingspatronen. Beheerders moeten maandelijkse of wekelijkse rapporten genereren die de totale hoeveelheid lockout-gebeurtenissen, de verdeling over verschillende gebruikersaccounts en de trends in lockout-frequenties weergeven. Deze trendanalyse helpt bij het identificeren van seizoensgebonden patronen, zoals verhoogde lockout-activiteit tijdens bepaalde perioden van het jaar, of langetermijntrends die kunnen wijzen op veranderende aanvalstechnieken. Door deze trends te monitoren, kunnen organisaties hun beveiligingsstrategie aanpassen en aanvullende maatregelen implementeren wanneer dat nodig is. De trendanalyse moet ook worden gebruikt om de balans tussen beveiligingseffectiviteit en gebruikerservaring te evalueren, waarbij wordt gekeken naar het aantal legitieme gebruikers dat wordt beïnvloed door lockouts versus het aantal succesvol afgewezen aanvallen.
Integratie met Security Information and Event Management (SIEM) systemen, ook wel Beveiligingsinformatie- en Gebeurtenisbeheersystemen genoemd, verhoogt de effectiviteit van lockout-monitoring aanzienlijk. Door Azure AD Sign-In Logs te exporteren naar een SIEM-platform kunnen organisaties geavanceerde correlatie- en analysefuncties gebruiken om lockout-gebeurtenissen te correleren met andere beveiligingsgebeurtenissen in de omgeving. Deze correlatie maakt het mogelijk om complexe aanvalspatronen te identificeren die mogelijk niet zichtbaar zijn wanneer lockout-gebeurtenissen in isolatie worden bekeken. Bijvoorbeeld, een SIEM kan lockout-gebeurtenissen correleren met verdachte netwerkactiviteit, malware-detecties of andere beveiligingsincidenten, waardoor een completer beeld van de beveiligingssituatie ontstaat. Deze geïntegreerde monitoringbenadering stelt beveiligingsteams in staat om sneller en effectiever te reageren op beveiligingsbedreigingen en de algehele beveiligingspostuur van de organisatie te verbeteren.
Remediatie
Gebruik PowerShell-script lockout-threshold-10.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer tijdens een compliance-audit of beveiligingscontrole wordt vastgesteld dat de Smart Lockout-drempelwaarde niet correct is geconfigureerd, moet onmiddellijk actie worden ondernomen om de beveiligingsconfiguratie te herstellen. Remediatie van een onjuiste lockout-drempelwaarde is een kritieke beveiligingsmaatregel die moet worden uitgevoerd volgens een gestructureerd proces dat ervoor zorgt dat de configuratie correct wordt aangepast zonder de operationele continuïteit te verstoren. Het remediatieproces begint met het identificeren van de huidige configuratiestatus door middel van een gedetailleerde controle van de Azure AD-wachtwoordbeschermingsinstellingen. Beheerders moeten de exacte waarde van de lockout-drempelwaarde verifiëren en documenteren voordat wijzigingen worden aangebracht, zodat er een audit trail bestaat van de oorspronkelijke configuratie en de reden voor de wijziging.
Het herstellen van de lockout-drempelwaarde naar de aanbevolen waarde van tien mislukte pogingen vereist toegang tot de Azure AD-beheerportal met globale beheerderrechten. Beheerders moeten navigeren naar de Azure Active Directory-omgeving en vervolgens de sectie Beveiliging selecteren, gevolgd door de optie Authenticatiemethoden. Binnen deze sectie bevindt zich de configuratie voor wachtwoordbescherming, waar de Smart Lockout-instellingen kunnen worden aangepast. Het is belangrijk om te benadrukken dat wijzigingen aan deze instellingen onmiddellijk effect hebben op alle gebruikersaccounts in de tenant, daarom moet de remediatie worden uitgevoerd tijdens een gepland onderhoudsvenster of op een moment waarop de impact op gebruikersactiviteit minimaal is. Voor organisaties met hybride omgevingen moet ook de Azure AD-wachtwoordbeschermingsagent worden gecontroleerd en indien nodig worden bijgewerkt om ervoor te zorgen dat de lockout-configuratie consistent is tussen cloud- en on-premises omgevingen.
Na het aanpassen van de lockout-drempelwaarde naar tien mislukte pogingen moet de configuratie worden geverifieerd om te bevestigen dat de wijziging succesvol is doorgevoerd. Deze verificatie moet worden uitgevoerd door de configuratie-instellingen opnieuw te controleren in de Azure AD-beheerportal en te verifiëren dat de waarde correct is ingesteld. Daarnaast moeten beheerders een testscenario uitvoeren waarbij een testaccount meerdere keren een verkeerd wachtwoord invoert om te bevestigen dat het lockout-mechanisme correct functioneert bij de nieuwe drempelwaarde. Deze verificatiestap is essentieel om ervoor te zorgen dat de remediatie succesvol is en dat de beveiligingscontrole effectief werkt zoals bedoeld. De verificatieresultaten moeten worden gedocumenteerd als onderdeel van de audit trail en kunnen worden gebruikt als bewijs van compliance tijdens toekomstige audits.
Communicatie met gebruikers is een belangrijk aspect van het remediatieproces, vooral wanneer de lockout-drempelwaarde wordt verlaagd van een hogere waarde naar tien pogingen. Gebruikers moeten worden geïnformeerd over de wijziging in de beveiligingsconfiguratie en moeten begrijpen dat dit betekent dat hun account sneller kan worden geblokkeerd na meerdere mislukte aanmeldpogingen. Deze communicatie moet uitleggen dat deze wijziging is doorgevoerd om hun account beter te beschermen tegen brute force-aanvallen en dat het belangrijk is om voorzichtig te zijn bij het invoeren van wachtwoorden om onnodige lockouts te voorkomen. Gebruikers moeten ook worden herinnerd aan best practices voor wachtwoordbeheer, zoals het gebruik van wachtwoordmanagers om typefouten te voorkomen en het onmiddellijk melden van verdachte activiteit aan de IT-afdeling. Effectieve gebruikerscommunicatie vermindert de kans op verwarring en frustratie wanneer accounts worden geblokkeerd en helpt bij het opbouwen van begrip voor beveiligingsmaatregelen.
Na de remediatie moet een monitoringperiode worden ingesteld om te controleren of de nieuwe configuratie correct functioneert en om eventuele onbedoelde gevolgen te identificeren. Beheerders moeten de lockout-gebeurtenissen gedurende de eerste weken na de remediatie nauwlettend monitoren om te bepalen of er een toename is in het aantal lockouts en of deze toename te wijten is aan legitieme gebruikersfouten of aan kwaadaardige activiteit. Als er een significante toename wordt waargenomen in lockouts voor legitieme gebruikers, moet de configuratie mogelijk worden herzien, hoewel dit zeldzaam zou moeten zijn bij een drempelwaarde van tien pogingen. De monitoringperiode moet ook worden gebruikt om te verifiëren dat de remediatie de beoogde beveiligingsdoelen heeft bereikt door te controleren of brute force-aanvallen effectief worden geblokkeerd. Deze continue monitoring vormt een essentieel onderdeel van het remediatieproces en zorgt ervoor dat de beveiligingscontrole optimaal functioneert binnen de specifieke context van de organisatie.
Documentatie van het remediatieproces is cruciaal voor compliance-doeleinden en voor toekomstige referentie. Alle stappen die zijn ondernomen tijdens de remediatie moeten worden vastgelegd, inclusief de oorspronkelijke configuratie, de reden voor de remediatie, de uitgevoerde wijzigingen, de verificatieresultaten en de monitoringresultaten. Deze documentatie moet worden opgeslagen in een beveiligde locatie en moet beschikbaar zijn voor auditors en beveiligingsteams. De documentatie moet ook screenshots bevatten van de configuratie-instellingen voor en na de remediatie, zodat er visueel bewijs bestaat van de wijziging. Deze uitgebreide documentatie helpt bij het aantonen van compliance met beveiligingsstandaarden en kan worden gebruikt als referentie voor toekomstige configuratiewijzigingen of bij het oplossen van problemen met de lockout-configuratie. Bovendien kan deze documentatie worden gebruikt om best practices te ontwikkelen voor toekomstige remediatie-activiteiten en om het remediatieproces te standaardiseren binnen de organisatie.
Compliance & Frameworks
- CIS M365: Control 1.7 (L1) - Zorg ervoor dat de lockout-drempelwaarde is ingesteld op 10 of minder
- BIO: 09.04 - BIO: Brute force bescherming
- ISO 27001:2022: A.5.17 - Authentication - Account lockout
- NIS2: Artikel - Brute force attack prevention
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Lockout Threshold 10
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 1.26
Controleert account lockout threshold van 10 pogingen.
.NOTES
Filename: lockout-threshold-10.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 1.26
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "Lockout Threshold 10"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer in Entra ID portal:" -ForegroundColor Gray
Write-Host " - Azure AD > Security > Authentication methods" -ForegroundColor Gray
Write-Host " - Password protection > Lockout threshold ≤ 10" -ForegroundColor Gray
Write-Host " - Smart lockout settings" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: Lockout threshold ≤10" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer in Entra ID portal:" -ForegroundColor Gray
Write-Host " - Azure AD > Security > Authentication methods" -ForegroundColor Gray
Write-Host " - Password protection > Lockout threshold ≤ 10" -ForegroundColor Gray
Write-Host " - Smart lockout settings" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: Lockout threshold ≤10" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
Medium: Zonder account lockout-mechanisme kunnen aanvallers onbeperkt wachtwoordpogingen ondernemen, wat brute force-aanvallen volledig onbeperkt maakt. Wachtwoordspraying-aanvallen kunnen succesvol zijn tegen accounts met zwakke wachtwoorden wanneer er geen beperkingen zijn op het aantal mislukte pogingen. Een lockout-drempelwaarde van tien pogingen blokkeert geautomatiseerde wachtwoordraadpogingen effectief door accounts tijdelijk te blokkeren na een overmatig aantal mislukte pogingen. Deze maatregel draagt bij aan de naleving van verschillende beveiligingsstandaarden, waaronder CIS-controle 1.7 en BIO-controle 9.04. Het risiconiveau wordt beoordeeld als medium, waarbij de focus ligt op de bescherming tegen brute force-aanvallen die een constante bedreiging vormen voor digitale identiteiten.
Management Samenvatting
Smart Lockout met een drempelwaarde van tien mislukte aanmeldpogingen activeert automatisch een tijdelijke accountblokkering van zestig seconden wanneer deze drempel wordt bereikt. Deze functionaliteit blokkeert effectief brute force-aanvallen door aanvallers te beperken in hun mogelijkheden om systematisch wachtwoorden te raden. Smart Lockout is een standaardfunctionaliteit van Azure AD en vereist geen aanvullende licenties. De verificatie van de configuratie kan worden uitgevoerd door te navigeren naar Azure AD, vervolgens naar Wachtwoordbescherming, waar de lockout-drempelwaarde moet zijn ingesteld op tien. Deze functionaliteit is kosteloos beschikbaar voor alle Azure AD-tenanten. De implementatie is verplicht volgens CIS-controle 1.7 en BIO-controle 9.04. De verificatie van de configuratie neemt ongeveer vijftien minuten in beslag en de standaardinstellingen zijn doorgaans correct geconfigureerd.
- Implementatietijd: 1.5 uur
- FTE required: 0.01 FTE