💼 Management Samenvatting
Azure Entra wachtwoordbescherming moet worden uitgerold naar on-premises Active Directory om een consistent en uniform wachtwoordbeleid te waarborgen tussen cloud en on-premises omgevingen, waardoor organisaties een alomvattende beveiligingsstrategie kunnen implementeren die zwakke wachtwoorden voorkomt ongeacht waar gebruikers hun wachtwoord wijzigen.
Aanbeveling
IMPLEMENTEER VOOR HYBRIDE OMVANG (CLOUD-ONLY: OVERSLAAN)
Risico zonder
Medium
Risk Score
6/10
Implementatie
6u (tech: 4u)
Van toepassing op:
✓ Azure
✓ Hybrid
✓ Hybrid
On-premises Active Directory zonder wachtwoordbescherming maakt zwakke wachtwoorden mogelijk, zelfs wanneer deze worden gesynchroniseerd naar de cloud. Zonder wachtwoordbescherming op de bron blijven gebruikers zwakke wachtwoorden kunnen instellen die een beveiligingsrisico vormen voor de gehele hybride identiteitsomgeving.
PowerShell Modules Vereist
Primary API: On-Prem AD
Connection:
Required Modules:
Connection:
N/ARequired Modules:
Implementatie
Implementeer Azure Entra wachtwoordbescherming op on-premises Active Directory domain controllers. Dit systeem handhaaft dezelfde verboden wachtwoordenlijst als in de cloud, waardoor organisaties een uniform wachtwoordbeleid kunnen afdwingen ongeacht waar gebruikers hun wachtwoord wijzigen.
Vereisten
Voor de implementatie van Azure Entra wachtwoordbescherming op on-premises Active Directory moeten organisaties voldoen aan een uitgebreide reeks technische en licentievereisten. Deze vereisten vormen de fundering waarop het wachtwoordbeschermingssysteem wordt gebouwd en zijn essentieel om te garanderen dat het systeem correct functioneert en volledig geïntegreerd is met de bestaande infrastructuur. Het niet voldoen aan deze vereisten kan leiden tot implementatiefalen, beveiligingslekken of operationele problemen die de effectiviteit van de wachtwoordbescherming ondermijnen.
De eerste en meest fundamentele vereiste betreft de identiteitsarchitectuur van de organisatie. Organisaties moeten beschikken over een volledig geconfigureerde hybride identiteitsconfiguratie waarbij on-premises Active Directory naadloos wordt gesynchroniseerd met Azure Entra ID, voorheen bekend als Azure Active Directory. Deze synchronisatie wordt doorgaans gerealiseerd via Azure AD Connect of Azure AD Connect Cloud Sync, afhankelijk van de specifieke behoeften en infrastructuur van de organisatie. De synchronisatie is niet alleen een technische vereiste, maar vormt de kritieke verbinding die het mogelijk maakt dat de wachtwoordbeschermingsagents op de domain controllers kunnen communiceren met de Azure Entra ID-tenant. Zonder deze verbinding kunnen de agents de meest recente verboden wachtwoordenlijst niet ophalen en kunnen wachtwoordwijzigingen niet worden gevalideerd tegen deze lijst. De synchronisatie moet actief zijn en correct functioneren voordat wachtwoordbescherming kan worden geactiveerd, omdat het systeem afhankelijk is van deze verbinding voor authenticatie en autorisatie.
De tweede vereiste betreft licentieverplichtingen, een aspect dat vaak wordt onderschat maar cruciaal is voor de werking van het systeem. Organisaties moeten beschikken over Azure Entra ID Premium P1-licenties voor alle gebruikers die onder het wachtwoordbeschermingsbeleid vallen. Deze licentievereiste geldt niet alleen voor gebruikers die uitsluitend in de cloud werken, maar ook voor alle gebruikers in de on-premises omgeving wanneer wachtwoordbescherming wordt geactiveerd. De Premium P1-licentie is essentieel omdat wachtwoordbescherming een premium functie is die niet beschikbaar is in de gratis versie van Azure Entra ID. Organisaties die proberen wachtwoordbescherming te activeren zonder de juiste licenties zullen tegen technische beperkingen aanlopen die de functionaliteit verhinderen. Het is daarom van groot belang dat organisaties voorafgaand aan de implementatie een grondige licentie-audit uitvoeren om te verifiëren dat voldoende licenties zijn toegewezen aan alle betrokken gebruikers. Dit omvat niet alleen actieve gebruikers, maar ook service accounts en andere accounts die wachtwoorden kunnen wijzigen binnen de organisatie.
De derde vereiste betreft de on-premises Active Directory-infrastructuur zelf. Organisaties moeten beschikken over minimaal één functionerende domain controller waarop de Password Protection DC-agent kan worden geïnstalleerd. Voor productieomgevingen wordt echter sterk aanbevolen om de agent op alle domain controllers te installeren om te garanderen dat wachtwoordbescherming altijd actief is, ongeacht welke domain controller een specifieke wachtwoordwijziging afhandelt. Deze aanpak voorkomt beveiligingslekken die kunnen ontstaan wanneer gebruikers hun wachtwoord wijzigen via een domain controller waarop de agent niet is geïnstalleerd. De domain controllers moeten minimaal Windows Server 2012 R2 of hoger draaien, omdat oudere versies niet de benodigde ondersteuning bieden voor de moderne beveiligingsfuncties die door de wachtwoordbeschermingsagent worden gebruikt. Bovendien moeten de domain controllers in staat zijn om uitgaande HTTPS-verbindingen te maken naar Microsoft Azure services op poort 443, wat essentieel is voor de communicatie met Azure Entra ID.
Aanvullend zijn er belangrijke netwerkvereisten die moeten worden overwogen. Alle domain controllers waarop de Password Protection DC-agent draait, moeten uitgaande internetverbindingen kunnen maken naar specifieke Azure Entra ID-service-eindpunten. Deze verbindingen zijn noodzakelijk voor het ophalen van de verboden wachtwoordenlijst, het valideren van wachtwoordwijzigingen, en het ontvangen van beleidsupdates. Indien uitgaande verbindingen worden geblokkeerd door firewalls of andere netwerkbeveiligingsapparaten, moeten organisaties specifieke firewallregels configureren die deze communicatie toestaan. Alternatief kunnen organisaties gebruik maken van een proxy-server die als tussenpersoon fungeert. De Password Protection Proxy-agent kan optioneel worden geïnstalleerd om te fungeren als gecentraliseerde tussenpersoon tussen de DC-agents en Azure Entra ID. Deze proxy-configuratie is vooral nuttig in omgevingen met beperkte internetconnectiviteit, strikte netwerksegmentatie, of waar organisaties een gecentraliseerde beveiligingsarchitectuur willen implementeren. De proxy-agent kan worden geïnstalleerd op elke Windows Server-machine binnen het netwerk die verbinding kan maken met zowel de domain controllers als de Azure Entra ID-service-eindpunten.
Tot slot zijn er specifieke rechtenvereisten voor de installatie en configuratie van het systeem. De persoon die de agents installeert, moet beschikken over lokale administratorrechten op de domain controllers waarop de installatie plaatsvindt. Deze rechten zijn noodzakelijk omdat de installatie wijzigingen aanbrengt in de systeemconfiguratie, services installeert, en registerinstellingen aanpast. Voor de configuratie van het wachtwoordbeschermingsbeleid in Azure Entra ID zijn globale administratorrechten of rechten als beveiligingsbeheerder vereist. Deze rechten zijn nodig omdat het beleid op tenantniveau wordt geconfigureerd en invloed heeft op alle gebruikers binnen de organisatie. Het is belangrijk dat organisaties deze vereisten grondig controleren voordat zij beginnen met de implementatie om vertragingen of problemen tijdens het installatieproces te voorkomen. Bovendien moeten organisaties overwegen om een rollback-plan te ontwikkelen voor het geval de implementatie problemen oplevert, zodat zij snel kunnen terugkeren naar de oorspronkelijke configuratie indien nodig.
Monitoring
Gebruik PowerShell-script password-protection-onprem.ps1 (functie Invoke-Monitoring) – Controleren.
Monitoring van Azure Entra wachtwoordbescherming op on-premises Active Directory vormt een kritieke component van een effectieve beveiligingsstrategie. Zonder adequate monitoring kunnen organisaties niet garanderen dat het systeem correct functioneert, kunnen zij geen inzicht krijgen in wachtwoordbeveiligingsactiviteiten, en lopen zij het risico dat beveiligingsincidenten onopgemerkt blijven. Effectieve monitoring stelt beveiligingsteams in staat om trends te identificeren, potentiële problemen vroegtijdig op te sporen voordat zij escaleren tot beveiligingsincidenten, en compliance-verplichtingen te vervullen door gedetailleerde rapportage te bieden over de effectiviteit van het wachtwoordbeschermingsbeleid.
De eerste en meest fundamentele stap in monitoring betreft de continue verificatie van agentinstallaties. Organisaties moeten regelmatig, bij voorkeur dagelijks, controleren of de Password Protection DC-agents correct zijn geïnstalleerd en actief zijn op alle domain controllers binnen de omgeving. Dit kan worden gerealiseerd via het Windows Event Log, waar de agents uitgebreide gebeurtenissen registreren in het specifieke logboek "Microsoft-AzureADPasswordProtection-DCAgent". Beheerders moeten specifiek letten op gebeurtenissen die aangeven dat de agent succesvol is gestart, dat de agent verbinding heeft gemaakt met Azure Entra ID, en dat de agent de meest recente verboden wachtwoordenlijst heeft gedownload. Eventuele foutmeldingen, waarschuwingen of kritieke gebeurtenissen moeten onmiddellijk worden onderzocht om te garanderen dat wachtwoordbescherming actief blijft en dat het beveiligingsniveau niet wordt ondermijnd. Het is belangrijk om te begrijpen dat een enkele domain controller zonder actieve agent een beveiligingslek kan vormen, omdat gebruikers die hun wachtwoord wijzigen via die specifieke domain controller mogelijk zwakke wachtwoorden kunnen instellen die niet worden gecontroleerd.
De tweede belangrijke monitoringactiviteit betreft het gedetailleerd volgen en analyseren van wachtwoordwijzigingspogingen. Organisaties moeten regelmatig, minstens wekelijks, de gebeurtenissen in het Event Log analyseren om uitgebreid inzicht te krijgen in de wachtwoordbeveiligingsactiviteiten binnen hun omgeving. Deze analyse moet informatie bevatten over hoeveel wachtwoorden zijn geweigerd omdat zij op de verboden lijst staan, hoeveel wachtwoorden succesvol zijn geaccepteerd na validatie, en hoeveel totale controles zijn uitgevoerd door het systeem. Deze statistieken helpen organisaties om te begrijpen hoe effectief het wachtwoordbeschermingsbeleid is in de praktijk, waar gebruikers mogelijk ondersteuning of training nodig hebben bij het kiezen van sterke wachtwoorden, en of er trends zijn die wijzen op systematische problemen. Bijvoorbeeld, als een groot aantal gebruikers herhaaldelijk probeert wachtwoorden te gebruiken die op de verboden lijst staan, kan dit wijzen op een gebrek aan bewustwording of training die moet worden aangepakt. Daarnaast kunnen deze statistieken worden gebruikt om het beleid te verfijnen en te optimaliseren op basis van de werkelijke gebruikspatronen binnen de organisatie.
De derde kritieke monitoringaspect betreft de continue verificatie van de verbinding tussen de DC-agents en Azure Entra ID. Organisaties moeten regelmatig verifiëren dat de DC-agents succesvol communiceren met Azure Entra ID om de meest recente verboden wachtwoordenlijst op te halen en om beleidsupdates te ontvangen. Problemen met deze verbinding kunnen ertoe leiden dat agents verouderde wachtwoordenlijsten gebruiken, waardoor het beveiligingsniveau aanzienlijk afneemt en nieuwe bedreigingen mogelijk niet worden gedetecteerd. Monitoring van zowel de Azure Entra ID-portal als het on-premises Event Log helpt organisaties om connectiviteitsproblemen vroegtijdig te identificeren voordat zij leiden tot beveiligingsincidenten. Het is belangrijk om te begrijpen dat deze verbinding niet alleen nodig is voor het ophalen van de verboden lijst, maar ook voor het ontvangen van updates wanneer Microsoft nieuwe wachtwoorden toevoegt aan de globale verboden lijst of wanneer organisaties wijzigingen aanbrengen in hun aangepaste verboden lijst. Zonder een actieve verbinding kunnen agents deze updates missen, waardoor het beveiligingsniveau achteruitgaat.
Aanvullend moeten organisaties uitgebreide monitoring implementeren voor de Password Protection Proxy-agent indien deze is geïnstalleerd in hun omgeving. De proxy-agent fungeert als kritieke tussenpersoon tussen de DC-agents en Azure Entra ID, en monitoring van deze agent is essentieel om te garanderen dat de proxy correct functioneert, geen bottlenecks creëert in de wachtwoordvalidatieprocessen, en geen single point of failure vormt. Monitoring van de proxy-agent moet informatie bevatten over de verbindingsstatus, de prestaties van de proxy, het aantal verwerkte validatieverzoeken, en eventuele fouten of waarschuwingen. Organisaties moeten ook controleren of de proxy-agent de meest recente versie draait en of er updates beschikbaar zijn die de beveiliging of prestaties kunnen verbeteren. In omgevingen met meerdere proxy-agents voor redundantie moet monitoring ook verifiëren dat alle proxy-agents actief zijn en correct functioneren, zodat de beschikbaarheid van de wachtwoordbeschermingsdienst wordt gegarandeerd.
Tot slot moeten organisaties een gestructureerd rapportageproces implementeren waarbij regelmatig, bij voorkeur maandelijks, uitgebreide rapporten worden gegenereerd over wachtwoordbeschermingsactiviteiten. Deze rapporten zijn essentieel voor managementrapportage, compliance-audits, en strategische besluitvorming over beveiligingsbeleid. De rapporten moeten gedetailleerde informatie bevatten over het aantal geweigerde wachtwoorden, trends in wachtwoordbeveiliging over tijd, de status van alle agentinstallaties, connectiviteitsstatistieken, en eventuele incidenten of problemen die zijn opgetreden. Automatische alerting moet worden geconfigureerd om beheerders onmiddellijk te waarschuwen wanneer agents niet actief zijn, wanneer er verbindingsproblemen zijn met Azure Entra ID, wanneer er ongebruikelijke patronen worden gedetecteerd in wachtwoordwijzigingspogingen, of wanneer andere kritieke gebeurtenissen plaatsvinden die aandacht vereisen. Deze alerting moet worden geïntegreerd met bestaande monitoring- en incident response-systemen om te garanderen dat problemen snel worden opgemerkt en aangepakt. Bovendien moeten organisaties overwegen om deze monitoringgegevens te integreren met Security Information and Event Management (SIEM) systemen voor uitgebreide security analytics en correlatie met andere beveiligingsgebeurtenissen binnen de organisatie.
Implementatie
Gebruik PowerShell-script password-protection-onprem.ps1 (functie Invoke-Implementation) – Implementeren.
De implementatie van Azure Entra wachtwoordbescherming op on-premises Active Directory vereist een zorgvuldig geplande en gestructureerde aanpak om te garanderen dat alle componenten correct worden geconfigureerd en het systeem naadloos integreert met de bestaande infrastructuur zonder operationele verstoringen te veroorzaken. De implementatie bestaat uit verschillende opeenvolgende fasen die systematisch moeten worden doorlopen, waarbij elke fase moet worden voltooid en gevalideerd voordat naar de volgende fase wordt overgegaan. Het overslaan van stappen of het haasten door het proces kan leiden tot configuratiefouten, beveiligingslekken, of operationele problemen die moeilijk te herstellen zijn nadat het systeem in productie is genomen.
De eerste fase betreft de grondige voorbereiding en planning van de implementatie. Organisaties moeten eerst de Password Protection DC-agent downloaden van het officiële Microsoft Download Center, waarbij zij ervoor moeten zorgen dat zij de meest recente versie downloaden die alle beveiligingsupdates en verbeteringen bevat. De agent is beschikbaar als een installatiebestand dat moet worden uitgevoerd op elke domain controller waarop wachtwoordbescherming moet worden geactiveerd. Voorafgaand aan de installatie moeten organisaties een uitgebreide verificatie uitvoeren om te garanderen dat alle vereisten zijn voldaan. Dit omvat de verificatie van de beschikbaarheid van Azure Entra ID Premium P1-licenties voor alle betrokken gebruikers, de aanwezigheid en correcte configuratie van een hybride identiteitsconfiguratie via Azure AD Connect of Azure AD Connect Cloud Sync, de beschikbaarheid van voldoende netwerkconnectiviteit tussen domain controllers en Azure Entra ID-service-eindpunten, en de aanwezigheid van de benodigde administratorrechten voor zowel de installatie als de configuratie. Bovendien moeten organisaties een implementatieplan ontwikkelen dat details bevat over welke domain controllers worden geconfigureerd, in welke volgorde de installatie plaatsvindt, en hoe de implementatie wordt gevalideerd na voltooiing.
De tweede fase betreft de installatie van de Password Protection Proxy-agent, indien deze nodig is voor de specifieke omgeving. In omgevingen waar domain controllers geen directe internetverbinding hebben naar Azure Entra ID-service-eindpunten, of waar organisaties gebruik willen maken van een gecentraliseerde proxy-configuratie voor betere beveiliging en controle, kan de Password Protection Proxy-agent worden geïnstalleerd. Deze proxy-agent fungeert als een kritieke tussenpersoon tussen de DC-agents en Azure Entra ID, wat vooral nuttig is in omgevingen met beperkte internetconnectiviteit, strikte netwerksegmentatie, of waar organisaties een gecentraliseerde beveiligingsarchitectuur willen implementeren. De proxy-agent kan worden geïnstalleerd op elke Windows Server-machine binnen het netwerk die verbinding kan maken met zowel de domain controllers als Azure Entra ID. Het is belangrijk om te begrijpen dat de proxy-agent optioneel is, maar dat de installatie ervan moet worden overwogen in omgevingen waar directe internetconnectiviteit vanuit domain controllers niet wenselijk of mogelijk is vanuit een beveiligingsperspectief. Voor productieomgevingen wordt aanbevolen om meerdere proxy-agents te installeren voor redundantie en hoge beschikbaarheid.
De derde fase betreft de daadwerkelijke installatie van de Password Protection DC-agent op alle domain controllers. Organisaties moeten de DC-agent installeren op alle domain controllers waarop wachtwoordbescherming moet worden geactiveerd, waarbij zij ervoor moeten zorgen dat geen enkele domain controller wordt overgeslagen om beveiligingslekken te voorkomen. Tijdens de installatie moeten beheerders zich aanmelden met lokale administratorrechten op de domain controller en het installatiebestand uitvoeren. De installatiewizard vraagt om bevestiging van verschillende configuratie-opties en configureert automatisch de benodigde Windows-services, registreert de agent in de Active Directory-infrastructuur, en stelt de benodigde registerinstellingen in. Na de installatie registreert de agent zich automatisch bij Azure Entra ID en downloadt de meest recente verboden wachtwoordenlijst. Het is belangrijk om tijdens en na de installatie het Windows Event Log te monitoren om te verifiëren dat de installatie succesvol is voltooid en dat de agent correct is gestart. Eventuele foutmeldingen moeten onmiddellijk worden onderzocht en opgelost voordat wordt overgegaan naar de volgende fase van de implementatie.
De vierde fase betreft de configuratie van het wachtwoordbeschermingsbeleid in de Azure Entra ID-portal. Organisaties moeten het wachtwoordbeschermingsbeleid configureren om te bepalen welke wachtwoorden moeten worden verboden en hoe het beleid moet worden toegepast. Dit beleid omvat de Microsoft-verboden wachtwoordenlijst, die automatisch wordt toegepast en regelmatig wordt bijgewerkt door Microsoft op basis van wereldwijde beveiligingsinzichten en bedreigingsinformatie. Daarnaast kunnen organisaties een aangepaste verboden wachtwoordenlijst configureren met specifieke wachtwoorden die relevant zijn voor hun organisatie, zoals bedrijfsnamen, productnamen, locatienamen, of andere termen die specifiek zijn voor de organisatie en die niet als wachtwoord mogen worden gebruikt. Organisaties kunnen ook configureren of het beleid in auditmodus of in handhavingsmodus moet draaien. In auditmodus worden wachtwoorden gecontroleerd tegen de verboden lijst, maar worden zij niet geweigerd, waardoor organisaties kunnen zien welke wachtwoorden zouden worden geweigerd zonder gebruikers te blokkeren. In handhavingsmodus worden wachtwoorden die op de verboden lijst staan daadwerkelijk geweigerd wanneer gebruikers proberen hun wachtwoord te wijzigen, waardoor het beveiligingsniveau wordt verhoogd maar gebruikers mogelijk worden beïnvloed.
De vijfde fase betreft de activering van handhavingsmodus na een periode van testen en validatie in auditmodus. Nadat organisaties hebben geverifieerd dat het systeem correct functioneert in auditmodus, dat alle agents actief zijn en communiceren met Azure Entra ID, en dat het beleid correct is geconfigureerd, kunnen zij overstappen naar handhavingsmodus. In deze modus worden wachtwoorden die op de verboden lijst staan daadwerkelijk geweigerd wanneer gebruikers proberen hun wachtwoord te wijzigen, waardoor het beveiligingsniveau aanzienlijk wordt verhoogd. Het wordt sterk aanbevolen om eerst een periode van minimaal twee tot vier weken in auditmodus te draaien om te garanderen dat het beleid correct is geconfigureerd, om gebruikers de tijd te geven om te begrijpen wat er van hen wordt verwacht, en om eventuele problemen of onverwachte effecten te identificeren voordat handhavingsmodus wordt geactiveerd. Tijdens deze auditperiode moeten organisaties regelmatig de gebeurtenissen in het Event Log analyseren om trends te identificeren en om te bepalen of het beleid moet worden aangepast voordat handhavingsmodus wordt geactiveerd.
Tot slot moeten organisaties een uitgebreide validatie van de implementatie uitvoeren om te garanderen dat alle componenten correct functioneren en dat het systeem klaar is voor productiegebruik. Deze validatie moet verifiëren dat alle agents correct zijn geïnstalleerd en actief zijn op alle domain controllers, dat de verbinding met Azure Entra ID succesvol is en stabiel blijft, dat wachtwoordwijzigingspogingen correct worden gecontroleerd en eventueel geweigerd volgens het geconfigureerde beleid, en dat alle monitoring- en rapportagefuncties correct werken. Deze validatie kan worden gerealiseerd via het Windows Event Log, waar organisaties kunnen zien welke agents actief zijn en gedetailleerde informatie kunnen vinden over wachtwoordvalidatie-activiteiten, en via de Azure Entra ID-portal, waar organisaties kunnen zien hoeveel wachtwoorden zijn gecontroleerd en geweigerd, en waar zij de status van alle agents kunnen monitoren. Bovendien moeten organisaties overwegen om testwachtwoordwijzigingen uit te voeren om te verifiëren dat het systeem correct functioneert in de praktijk voordat het volledig in productie wordt genomen.
Compliance en Auditing
Azure Entra wachtwoordbescherming op on-premises Active Directory vormt een kritieke component in het helpen van organisaties om te voldoen aan verschillende compliance-verplichtingen en beveiligingsstandaarden die relevant zijn voor Nederlandse overheidsorganisaties. Het implementeren van wachtwoordbescherming is niet alleen een technische maatregel, maar een essentieel onderdeel van een alomvattende beveiligingsstrategie die vereist is voor het voldoen aan deze standaarden en voor het demonstreren van due diligence in het beveiligen van identiteits- en toegangsbeheer. Zonder adequate wachtwoordbescherming lopen organisaties het risico om niet te voldoen aan compliance-vereisten, wat kan leiden tot boetes, reputatieschade, of het verlies van certificeringen die essentieel zijn voor het functioneren van overheidsorganisaties.
De eerste en meest directe compliancevereiste betreft de Baseline Informatiebeveiliging Overheid (BIO), de Nederlandse beveiligingsstandaard die specifiek is ontwikkeld voor overheidsorganisaties. BIO norm 09.04 vereist expliciet dat organisaties passende maatregelen nemen om wachtwoorden te beschermen en te zorgen dat gebruikers sterke wachtwoorden gebruiken die voldoen aan de beveiligingsvereisten. Azure Entra wachtwoordbescherming op on-premises Active Directory helpt organisaties voldoen aan deze vereiste door automatisch zwakke wachtwoorden te voorkomen en gebruikers te dwingen om sterke wachtwoorden te kiezen die niet op de verboden lijst staan. Dit is vooral belangrijk voor hybride omgevingen waar gebruikers hun wachtwoord kunnen wijzigen in zowel de cloud als on-premises omgevingen, omdat het systeem consistentie garandeert ongeacht waar de wachtwoordwijziging plaatsvindt. De BIO-normen vereisen ook dat organisaties kunnen aantonen dat zij passende maatregelen hebben genomen, en de uitgebreide logging die door wachtwoordbescherming wordt geboden, biedt het benodigde bewijs voor compliance-audits.
De tweede belangrijke compliancevereiste betreft ISO 27001, de internationale standaard voor informatiebeveiligingsmanagement. ISO 27001 controle A.9.4.3 vereist expliciet dat organisaties een wachtwoordbeheersysteem implementeren dat ervoor zorgt dat gebruikers kwalitatief goede wachtwoorden gebruiken die voldoen aan het beveiligingsbeleid van de organisatie. Azure Entra wachtwoordbescherming op on-premises Active Directory helpt organisaties voldoen aan deze vereiste door automatisch te controleren of wachtwoorden voldoen aan de geconfigureerde beveiligingsvereisten en door wachtwoorden te weigeren die op de verboden lijst staan, ongeacht of dit de Microsoft-verboden lijst is of een aangepaste lijst die door de organisatie is geconfigureerd. Dit systeem biedt organisaties de mogelijkheid om te voldoen aan de ISO 27001-vereisten voor wachtwoordbeheer zonder complexe aangepaste systemen te hoeven ontwikkelen en onderhouden, wat zowel de kosten als de operationele complexiteit aanzienlijk vermindert. Bovendien helpt het systeem organisaties om te voldoen aan de continue verbeteringsvereisten van ISO 27001 door regelmatige updates van de verboden wachtwoordenlijst en door gedetailleerde rapportage over de effectiviteit van het beleid.
De derde kritieke complianceaspect betreft audit- en rapportageverplichtingen die inherent zijn aan vrijwel alle beveiligingsstandaarden en compliance-frameworks. Organisaties moeten kunnen aantonen dat zij passende maatregelen hebben genomen om wachtwoorden te beschermen en dat het wachtwoordbeheerbeleid daadwerkelijk wordt gehandhaafd in de praktijk, niet alleen op papier. Azure Entra wachtwoordbescherming op on-premises Active Directory biedt uitgebreide logging via het Windows Event Log, waardoor organisaties gedetailleerd kunnen aantonen dat wachtwoorden worden gecontroleerd en geweigerd wanneer zij niet voldoen aan het beleid. Deze loggegevens kunnen worden gebruikt voor interne audits, externe compliance-controles, en voor het voldoen aan wettelijke verplichtingen zoals die worden gesteld door de Algemene Verordening Gegevensbescherming (AVG). De logging omvat informatie over wanneer wachtwoordwijzigingen zijn geprobeerd, welke wachtwoorden zijn geweigerd en waarom, en welke agents verantwoordelijk waren voor de validatie, wat een volledig audit trail biedt voor compliance-doeleinden.
Aanvullend moeten organisaties een gestructureerd proces implementeren waarbij zij regelmatig controleren of het wachtwoordbeschermingsbeleid correct is geconfigureerd en actief is. Dit proces moet een reeks activiteiten omvatten die worden uitgevoerd op regelmatige basis, zoals het controleren van de agentinstallaties op alle domain controllers om te verifiëren dat geen enkele agent ontbreekt of niet actief is, het verifiëren van de verbinding met Azure Entra ID om te garanderen dat agents de meest recente verboden wachtwoordenlijst hebben gedownload, en het analyseren van de loggegevens om trends te identificeren en potentiële problemen vroegtijdig op te sporen voordat zij escaleren tot beveiligingsincidenten. Dit proces moet worden gedocumenteerd en moet deel uitmaken van de reguliere beveiligingsactiviteiten van de organisatie, zodat compliance-auditors kunnen zien dat de organisatie proactief het systeem beheert en monitort.
Tot slot moeten organisaties ervoor zorgen dat het wachtwoordbeschermingsbeleid regelmatig wordt geëvalueerd en bijgewerkt om te garanderen dat het effectief blijft en voldoet aan de veranderende beveiligingsvereisten. Dit omvat het toevoegen van nieuwe wachtwoorden aan de aangepaste verboden lijst wanneer dit nodig is, bijvoorbeeld wanneer nieuwe bedrijfsnamen, productnamen, of andere termen relevant worden voor de organisatie, het evalueren van de effectiviteit van het beleid op basis van de verzamelde statistieken over geweigerde en geaccepteerde wachtwoorden, en het aanpassen van het beleid wanneer de beveiligingsvereisten veranderen of wanneer nieuwe bedreigingen worden geïdentificeerd. Deze continue evaluatie en bijwerking is essentieel voor het behouden van compliance, omdat beveiligingsstandaarden regelmatig worden bijgewerkt en nieuwe bedreigingen continu opduiken die moeten worden aangepakt. Organisaties moeten deze evaluaties documenteren en de resultaten gebruiken om hun beveiligingsstrategie te verbeteren en om te demonstreren aan auditors dat zij proactief omgaan met beveiligingsrisico's.
Remediatie
Gebruik PowerShell-script password-protection-onprem.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer Azure Entra wachtwoordbescherming op on-premises Active Directory niet correct is geconfigureerd of niet actief is, moeten organisaties onmiddellijk en direct actie ondernemen om de beveiligingspostuur te herstellen en te voorkomen dat zwakke wachtwoorden worden toegestaan die de beveiliging van de gehele organisatie kunnen compromitteren. Remediatie van wachtwoordbeschermingsproblemen vereist een systematische en gestructureerde aanpak om te garanderen dat alle componenten correct worden geconfigureerd en het systeem naadloos functioneert zonder verdere beveiligingslekken. Het is belangrijk om te begrijpen dat elke periode waarin wachtwoordbescherming niet actief is, een beveiligingsrisico vormt, omdat gebruikers tijdens deze periode mogelijk zwakke wachtwoorden kunnen instellen die niet worden gecontroleerd tegen de verboden lijst.
De eerste en meest kritieke remediatiestap betreft de onmiddellijke verificatie en herstel van agentinstallaties. Wanneer agents niet correct zijn geïnstalleerd of niet actief zijn, moeten organisaties de installatie onmiddellijk herzien en ervoor zorgen dat de Password Protection DC-agents op alle domain controllers binnen de omgeving zijn geïnstalleerd en actief zijn. Dit kan worden gerealiseerd door de agent opnieuw te installeren op domain controllers waar de agent ontbreekt of niet correct functioneert, door te verifiëren dat de agent-services correct zijn gestart en draaien, en door het Windows Event Log te controleren op foutmeldingen die kunnen wijzen op problemen met de agent. Het is belangrijk om te begrijpen dat een enkele domain controller zonder actieve agent een beveiligingslek vormt, omdat gebruikers die hun wachtwoord wijzigen via die specifieke domain controller mogelijk zwakke wachtwoorden kunnen instellen. Daarom moeten organisaties ervoor zorgen dat alle domain controllers zijn geconfigureerd voordat de remediatie als voltooid wordt beschouwd.
De tweede belangrijke remediatiestap betreft de verificatie en herstel van de verbinding tussen de agents en Azure Entra ID. Wanneer agents niet kunnen communiceren met Azure Entra ID om de verboden wachtwoordenlijst op te halen, moeten organisaties onmiddellijk de netwerkconnectiviteit controleren en ervoor zorgen dat domain controllers uitgaande HTTPS-verbindingen kunnen maken naar de specifieke Azure Entra ID-service-eindpunten die nodig zijn voor wachtwoordbescherming. Dit kan worden gerealiseerd door firewallregels te configureren die deze communicatie expliciet toestaan, door proxy-instellingen te verifiëren en indien nodig bij te werken, of door de Password Protection Proxy-agent te installeren indien directe internetconnectiviteit vanuit domain controllers niet mogelijk of niet wenselijk is vanuit een beveiligingsperspectief. Het is belangrijk om te begrijpen dat zonder een actieve verbinding met Azure Entra ID, agents verouderde wachtwoordenlijsten kunnen gebruiken, waardoor nieuwe bedreigingen mogelijk niet worden gedetecteerd en het beveiligingsniveau aanzienlijk afneemt.
De derde kritieke remediatiestap betreft de verificatie en correctie van de configuratie van het wachtwoordbeschermingsbeleid in Azure Entra ID. Wanneer het beleid niet correct is geconfigureerd, moeten organisaties het beleid onmiddellijk herzien en ervoor zorgen dat het beleid actief is en correct is geconfigureerd met de juiste verboden wachtwoordenlijst, inclusief zowel de Microsoft-verboden lijst als eventuele aangepaste lijsten die relevant zijn voor de organisatie. Dit kan worden gerealiseerd door het beleid grondig te controleren in de Azure Entra ID-portal, door te verifiëren dat het beleid in de juiste modus draait (auditmodus of handhavingsmodus afhankelijk van de organisatievereisten), en door te controleren of alle benodigde configuratie-opties correct zijn ingesteld. Het is belangrijk om te begrijpen dat een verkeerd geconfigureerd beleid kan leiden tot situaties waarin zwakke wachtwoorden worden toegestaan of waarin legitieme wachtwoorden onterecht worden geweigerd, wat beide problematisch zijn voor de beveiliging en gebruikerservaring.
De vierde belangrijke remediatiestap betreft de verificatie en correctie van licentie-toewijzingen. Wanneer organisaties niet beschikken over de vereiste Azure Entra ID Premium P1-licenties voor alle gebruikers die onder het wachtwoordbeschermingsbeleid vallen, moeten zij onmiddellijk ervoor zorgen dat voldoende licenties zijn toegewezen. Dit kan worden gerealiseerd door de licentie-toewijzingen grondig te controleren in de Azure Entra ID-portal, door licenties toe te wijzen aan gebruikers die nog geen licentie hebben, en door te verifiëren dat alle service accounts en andere accounts die wachtwoorden kunnen wijzigen ook over de benodigde licenties beschikken. Het is belangrijk om te begrijpen dat zonder de juiste licenties kan het systeem niet correct functioneren, wat kan leiden tot situaties waarin wachtwoordbescherming niet wordt toegepast of waarin functionaliteit wordt beperkt.
Tot slot moeten organisaties na voltooiing van alle remediatiestappen een uitgebreide validatie van de implementatie uitvoeren om te garanderen dat alle componenten correct functioneren en dat het systeem volledig operationeel is. Deze validatie moet een reeks activiteiten omvatten, zoals het controleren van alle agentinstallaties op alle domain controllers om te verifiëren dat zij actief zijn en correct functioneren, het verifiëren van de verbinding met Azure Entra ID om te garanderen dat agents de meest recente verboden wachtwoordenlijst hebben gedownload, het testen van wachtwoordwijzigingspogingen om te garanderen dat het beleid correct wordt gehandhaafd en dat wachtwoorden die op de verboden lijst staan daadwerkelijk worden geweigerd, en het analyseren van de loggegevens om trends te identificeren en potentiële problemen vroegtijdig op te sporen voordat zij escaleren tot beveiligingsincidenten. Deze validatie moet worden gedocumenteerd en moet deel uitmaken van het remediatieproces, zodat organisaties kunnen aantonen dat het systeem correct is hersteld en dat de beveiligingspostuur is verbeterd.
Compliance & Frameworks
- BIO: 09.04 - wachtwoordbeheer
- ISO 27001:2022: A.9.4.3 - wachtwoordbeleid
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Password Protection On-Prem
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 1.37
Controleert password protection voor on-premises AD.
.NOTES
Filename: password-protection-onprem.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 1.37
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "Password Protection On-Prem"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer in Entra ID portal:" -ForegroundColor Gray
Write-Host " - Azure AD > Security > Authentication methods" -ForegroundColor Gray
Write-Host " - Password protection" -ForegroundColor Gray
Write-Host " - Enable password protection on Windows Server AD = Yes" -ForegroundColor Gray
Write-Host " - Mode: Enforced (niet Audit)" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: Password protection on-prem" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer in Entra ID portal:" -ForegroundColor Gray
Write-Host " - Azure AD > Security > Authentication methods" -ForegroundColor Gray
Write-Host " - Password protection" -ForegroundColor Gray
Write-Host " - Enable password protection on Windows Server AD = Yes" -ForegroundColor Gray
Write-Host " - Mode: Enforced (niet Audit)" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: Password protection on-prem" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
Medium: Zwakke wachtwoorden in on-premises Active Directory blijven mogelijk zonder Azure Entra wachtwoordbescherming handhaving. Compliance: NIST 800-63B. Het risico is gemiddeld voor hybride omgevingen, niet van toepassing voor cloud-only omgevingen. Vereist hybride configuratie.
Management Samenvatting
Wachtwoordbescherming On-Premises: Breid Azure Entra wachtwoordbescherming (verboden wachtwoorden, aangepaste lijst) uit naar on-premises Active Directory via agents. Vereist: Azure Entra ID Premium P1 + Hybride configuratie. Activatie: Implementeer Password Protection DC-agents → Configureer beleid. Implementatie: 4-6 uur. Essentieel voor hybride omgevingen. Cloud-only: volledig overslaan.
- Implementatietijd: 6 uur
- FTE required: 0.1 FTE