L1 BIO 09.02.03 ISO A.9.2.3 CIS 2.3.1.1

Ingebouwde Administrator Account Disabled

📅 2025-10-30
⏱️ 14 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Het ingebouwde Administrator-account (SID-500) bestaat sinds de eerste Windows-versies en is daardoor een geliefd doelwit voor aanvallers die met minimale inspanning maximale rechten willen. Omdat de naam overal hetzelfde is, hoeven criminelen enkel nog het wachtwoord te raden, waarna zij volledige controle over endpoints, lokale services en offline beheertools krijgen. In Nederlandse overheidsomgevingen, waar werkplekken vaak zowel gevoelige persoonsgegevens als stelselverbindingen beheren, kan misbruik direct leiden tot escalatie richting domeincontrollers en identiteitsplatformen. Door het account standaard uit te schakelen en uitsluitend persoonsgebonden beheerdersaccounts te gebruiken, blijft de ketencontrole intact, kunnen acties worden herleid tot individuen en voldoen organisaties aantoonbaar aan de eisen van de Nederlandse Baseline voor Veilige Cloud.

Aanbeveling
Schakel het ingebouwde Administrator-account tenantbreed uit en werk uitsluitend met persoonsgebonden beheerdersaccounts die via Intune of lokale beveiligingsinstellingen worden beheerd.
Risico zonder
High
Risk Score
8/10
Implementatie
3u (tech: 1u)
Van toepassing op:
Windows

De nationale dreigingsrapportages tonen jaarlijks dat brute-force en credential stuffing de meest voorkomende aanvalsvectoren zijn op werkplekken bij gemeenten, uitvoeringsorganisaties en ministeries. Het ingebouwde Administrator-account kent geen lock-out bij foutieve wachtwoorden, zodat geautomatiseerde tools per minuut honderdduizenden pogingen kunnen uitvoeren zonder zichtbare sporen. Daarnaast ontbreekt individuele logging op dit account, waardoor forensische reconstructie en AVG-verantwoordingsplicht vrijwel onmogelijk worden zodra het account is misbruikt. Door de accountnaam actief te blokkeren, alternatieve beheerdersprofielen te certificeren en het besluit vast te leggen binnen het informatiebeveiligingsbeleid, wordt voldaan aan BIO-paragraaf 9.2.3 en wordt het risico op ongeautoriseerde escalatie aantoonbaar verminderd.

PowerShell Modules Vereist
Primary API: Intune/GPO
Connection: Local beveiligingsbeleid
Required Modules:

Implementatie

De maatregel bestaat uit drie gekoppelde stappen: het creëren van minimaal twee persoonsgebonden beheerdersaccounts met sterke meervoudige authenticatie, het vastleggen van een gecontroleerde break-glass procedure en het afdwingen van het beleid dat het ingebouwde Administrator-account uitschakelt. Deze configuratie wordt primair uitgerold via Microsoft Intune Endpoint Security policies of, voor niet-beheerde systemen, via lokale beveiligingsinstellingen die tijdens imaging worden toegepast. Organisaties documenteren daarnaast hoe zij het account tijdelijk kunnen activeren voor calamiteiten, inclusief verplichtingen rondom logging, tijdsbegrenzing en verificatie achteraf, zodat de maatregel beheersbaar blijft zonder de beschikbaarheid van kritieke processen in gevaar te brengen.

Vereisten

Voordat een organisatie het ingebouwde Administrator-account uitschakelt, is een gedegen voorbereiding noodzakelijk waarin zowel technische als organisatorische randvoorwaarden samenkomen. Start met een volledige inventarisatie van alle Windows-eindpunten binnen het tenantlandschap, inclusief werkstations, testomgevingen, offline beheersystemen en veldapparatuur zoals inspectielaptops. Deze inventaris moet duidelijk maken welke apparaten al door Intune of ConfigMgr worden beheerd en welke nog afhankelijk zijn van handmatige procedures. Zonder dit overzicht bestaat het risico dat een segment buiten scope blijft en dus kwetsbaar blijft voor aanvallen via het standaardaccount. Parallel hieraan moeten minimaal twee beheerdersaccounts op naam van functionarissen bestaan, elk voorzien van rolgebaseerde rechten, sterke wachtwoorden en meervoudige authenticatie. Deze accounts worden toegevoegd aan de lokale groep Administrators via Intune of tijdens het inrichten van het basisimage. Zorg dat het HR-proces een directe koppeling heeft met het intrekken van deze rechten bij functiewijziging, zodat vertrek van personeel niet leidt tot slapende accounts met verhoogde machtigingen. Toets daarnaast of elke beheerder begrijpt dat persoonlijke accounts altijd de voorkeur hebben boven generieke accounts en neem deze afspraak op in het informatiebeveiligingsbeleid. Daarnaast vraagt de maatregel om een gecontroleerd noodscenario waarin duidelijk beschreven staat hoe een break-glass account wordt beheerd. Dit account mag nooit dagelijks worden gebruikt, heeft een uniek wachtwoord dat offline wordt bewaard en kent strikte procedures voor het uitlenen. Leg vast wie het wachtwoord in bewaring heeft, hoe vaak de kluiscontrole plaatsvindt en hoe snel het wachtwoord moet worden geroteerd nadat het is gebruikt. Het noodscenario beschrijft eveneens hoe een systeem in Veilige modus kan worden gestart om het ingebouwde account tijdelijk te activeren wanneer reguliere accounts zijn geblokkeerd. Documentatie en governance zijn even belangrijk als technische instellingen. Voor elke beheeromgeving hoort een actueel wijzigingsproces te bestaan waarin het uitschakelen van het account wordt geregistreerd, inclusief een verwijzing naar BIO-controlenummers. Informeer de Chief Information Security Officer, de functionaris gegevensbescherming en de lijnmanagers zodat zij weten dat audittrails na het uitschakelen uitsluitend via persoonsgebonden accounts lopen. Bepaal ook wie verantwoordelijk is voor het beoordelen van logboeken op tekenen van mislukte brute-force aanvallen en koppel deze taak aan bestaande SOC-procedures. Tot slot moet het technische team rekening houden met uitzonderingen, zoals laboratoriumsystemen, standalone servers of verouderde applicaties die nog afhankelijk zijn van het ingebouwde account. Voor zulke situaties wordt een tijdelijke vrijstelling opgesteld met een duidelijke einddatum, inclusief mitigerende maatregelen zoals netwerkisolatie of aanvullende logging. Door vooraf deze uitzonderingen te identificeren, voorkomt de organisatie dat beleidsregels massaal worden overschreven door beheerders die anders geen toegang meer hebben. Al deze vereisten worden geborgd binnen het onboardingproces van nieuwe apparaten en worden opgenomen in trainingen voor servicedesks en externe leveranciers, zodat niemand wordt verrast door de afwezigheid van het standaardaccount.

Implementatie

De implementatie begint met het definiëren van een Intune-beleid binnen Endpoint Security → Account protection. Kies het profiel dat het ingebouwde Administrator-account uitschakelt en controleert dat persoonsgebonden accounts automatisch worden toegevoegd aan de lokale groep Administrators. Koppel het beleid aan dynamische Azure AD-groepen voor verschillende apparaattypen zodat test-, productie- en hoog-risicoapparaten gefaseerd worden aangepakt. Tijdens een pilot van tien procent van de vloot wordt gecontroleerd of kritieke beheerprocessen, legacy-applicaties en autopilotscripts blijven functioneren. Documenteer bevindingen direct in het wijzigingsdossier, inclusief screenshots en referenties naar de relevante beleidsinstelling.

Voor systemen die (nog) niet door Intune worden beheerd, wordt dezelfde instelling via lokale beveiligingsbeleid toegepast. Dit kan tijdens het golden image in de taakvolgorde van ConfigMgr of via een PowerShell Desired State Configuration die het registerpad HKLM\SAM\Domains\Account\Users\000001F4 valideert. Leg vast welk team eigenaar is van deze scripts, welke parameters beschikbaar zijn en hoe wijzigingen worden getest. Zorg er bovendien voor dat hardwareleveranciers die devices pre-provisionen het beleid ontvangen, zodat er geen apparaten uitgeleverd worden met een actief Administrator-account. Wanneer een leverancier hiervan wil afwijken, moet hij expliciet een vrijstelling aanvragen bij de informatiebeveiligingsorganisatie.

Na het uitrollen van de beleidsinstellingen wordt gecontroleerd of geautomatiseerde scripts de status kunnen lezen en rapporteren. Maak snapshots van voor en na, leg vast welke services het account eventueel nog gebruikt en verwijder die afhankelijkheden. Voeg aanvullende hardening toe, zoals het instellen van een willekeurige wachtwoordzin via LAPS zelfs wanneer het account is uitgeschakeld, zodat een tijdelijke activatie nooit plaatsvindt met een oud wachtwoord. Verifieer dat BitLocker-herstel, externe beheerhulpmiddelen en offline onderhoudspaden niet onverwachts afhankelijk zijn van het ingebouwde account.

Het changeproces beschrijft tenslotte hoe de instelling wordt onderhouden. Elke nieuwe Windows-release, elk werkplekproject en elke leverancier die beheerrechten nodig heeft, moet aantonen dat deze maatregel behouden blijft. Werk de beheerhandleidingen, runbooks en opleidingsmaterialen bij met screenshots van de Intune-policy, inclusief beschrijving van foutcodes en verwachte eventlogs. Koppel de policy-ID aan het releasebeleid zodat automatische controles kunnen verifiëren dat het profiel daadwerkelijk is toegepast na een herinstallatie of herinschrijving.

Rond de implementatie af met een ketentest waarin een beheerder zichzelf bewust uitsluit van lokale rechten en de break-glass procedure activeert. Deze tabletop-oefening valideert niet alleen de techniek maar ook de communicatielijnen tussen servicedesk, SOC en lijnmanagement. Documenteer de lessons learned, pas de draaiboeken aan en publiceer de resultaten in het interne kennisportaal. Wanneer de organisatie samenwerkt met externe leveranciers, leg contractueel vast dat zij hetzelfde beleid toepassen op hun beheerde systemen en lever bewijs in de vorm van Intune-exporten of GPO-back-ups. Zo blijft de verantwoordelijkheid helder, ook wanneer onderdelen van de keten buiten de eigen tenant draaien.

Automatiseer tenslotte de kwaliteitstoets door het Intune-profiel te integreren met een Configuration Manager baseline, een Azure DevOps pipeline of een GitOps-achtige workflow. Elke wijziging aan het beleid wordt eerst gevalideerd in een aparte testtenant met synthetische apparaten, waarna een gecontroleerde promotie naar productie plaatsvindt. Definieer duidelijke rollback-criteria en maak gebruik van feature flags zodat het beleid desnoods onmiddellijk kan worden uitgeschakeld wanneer een toepassing onverwacht problemen ondervindt. Door beleid als code te behandelen, blijft de inrichting herhaalbaar, controleerbaar en volledig traceerbaar.

Voor endpoints in hoge beveiligingszones, zoals OT-werkstations of systemen met verbindingen naar rijksbrede stelsels, wordt een aanvullende validatie uitgevoerd. Hierbij wordt gecontroleerd of lokale onderhoudspartners of leveranciers over alternatieve beheerkanalen beschikken en of er offline instructies beschikbaar zijn wanneer netwerktoegang ontbreekt. Deze validatie wordt minimaal jaarlijks herhaald en gedocumenteerd in het risicoregister, zodat auditors kunnen zien dat de maatregel niet alleen in kantooromgevingen maar ook in kritieke ketens effectief is.

Monitoring

Gebruik PowerShell-script admin-account-status-disabled.ps1 (functie Invoke-Monitoring) – Het monitoringsscript draait volledig zonder gebruikersinteractie, verzamelt gegevens via de Microsoft Graph Intune API, Win32_Account-objecten en lokale eventlogs, en verrijkt de uitkomst met device compliance-informatie alvorens de resultaten naar het SIEM te sturen. Het script voert validaties uit op de SID-500 status, controleert of het opgeborgen wachtwoord via LAPS recent is ververst en vergelijkt policyversies zodat afwijkingen direct zichtbaar worden. Iedere uitvoering levert een JSON-rapport op met hostnaam, tijdstempel, verantwoordelijke beheerder en eventuele foutcodes; deze rapporten worden dagelijks geaggregeerd zodat trends over weken of maanden zichtbaar worden. Wanneer een endpoint meer dan twee keer achter elkaar een afwijkende status meldt, markeert het script het apparaat automatisch als prioriteit hoog en genereert het een serviceticket met remediatie-instructies. De uitvoertijd blijft onder de vijftien seconden zodat het script veilig op grote aantallen endpoints kan worden ingepland zonder de werkplekprestaties negatief te beïnvloeden..

Het script admin-account-status-disabled.ps1 controleert met minimale uitvoertijd of het ingebouwde account is uitgeschakeld, welk wachtwoordbeleid van kracht is en of er recente wijzigingen aan de SAM-database zijn aangebracht. Plan het script elke nacht vanuit Intune, ConfigMgr of een automation account, maar laat het ook on-demand draaien wanneer SOC of servicedesk vermoedt dat een systeem opnieuw is geconfugureerd. Alle uitvoer wordt gelogd naar Microsoft Sentinel of een SIEM naar keuze, inclusief apparaatnaam, timestamp en de aangetroffen statuswaarden. Omdat het script zowel online als offline endpoints ondersteunt, wordt de status tijdens de eerstvolgende check-in alsnog doorgestuurd zodat geen enkel apparaat buiten beeld raakt. Voeg optioneel een export toe naar een beveiligde data lake tabel zodat auditors historische statuswijzigingen tot zeven jaar terug kunnen reconstrueren.

Naast deze technische controle moet monitoring gericht zijn op signalen van brute-force pogingen tegen de gebruikersnaam Administrator of Admin. Activeer auditing van mislukte aanmeldingen, correlatie op Event ID 4625 en meldingsdrempels per apparaat, zodat herhaalde pogingen binnen vijf minuten zichtbaar worden. Combineer deze gebeurtenissen met Defender for Endpoint-signalen, zoals waarschuwingen voor SAM-manipulatie of lokale privilege escalation. Door data te verrijken met assetcriticaliteit (bijvoorbeeld endpoints binnen vitale ketens) kan de SOC de opvolging prioriteren. Gebruik daarnaast threat intelligence feeds om IP-adressen of aanvalsprofielen te markeren die elders in de sector zijn gezien en stuur deze indicatoren naar de monitoringregels zodat vergelijkbare aanvallen sneller worden geblokkeerd.

De monitoringketen omvat eveneens handmatige reviews. Security-analisten voeren wekelijks een steekproef uit op systemen die recent van beleid wisselden, opnieuw zijn opgebouwd of buiten kantooruren wijzigingen ondergingen. Hierbij wordt gecontroleerd of het ingebouwde account niet is gereactiveerd tijdens troubleshooting. Indien er afwijkingen worden aangetroffen, documenteert de SOC de oorzaak, neemt contact op met het verantwoordelijke beheerteam en legt de herstelactie vast in het ticketingssysteem. De steekproefresultaten worden gedeeld in een maandelijkse community of practice waarin lessons learned worden besproken met andere rijksorganisaties, zodat signalen over misbruikpatronen snel worden gedeeld.

Rapportages vormen het sluitstuk. Stel maandelijkse dashboards op waarin zichtbaar is hoeveel apparaten het account hebben uitgeschakeld, hoeveel uitzonderingen nog openstaan en hoe vaak het noodaccount is gebruikt. Deel deze inzichten met de CISO, de FG en de auditfunctie, zodat het onderwerp structureel op de agenda blijft. Wanneer een vrijstelling langer loopt dan toegestaan, genereert het dashboard automatisch een herinnering zodat de eigenaar de risicoafweging opnieuw moet onderbouwen en aanvullende maatregelen treft. Door de dashboards te koppelen aan het portfoliomanagementsysteem ontstaat een directe relatie met roadmapbeslissingen en budgetprioriteiten.

Koppel de meetgegevens aan service level agreements, bijvoorbeeld door een norm op te nemen dat minstens 99,5 procent van de apparaten het account uitgeschakeld moet hebben. Wanneer de drempel wordt overschreden, start automatisch een problem management-proces waarin root causes worden geanalyseerd en verbetermaatregelen worden gepland. Deze aanpak maakt het mogelijk om trends te herkennen, zoals een specifieke leverancier die herhaaldelijk apparaten aanlevert zonder het juiste beleid, zodat gerichte gesprekken kunnen worden gevoerd. Voeg escalatiepaden toe waarin staat op welk niveau escalatie plaatsvindt bij herhaalde overtredingen, zodat bestuurders bereid zijn aanvullende maatregelen of contractuele boetes af te dwingen.

Voer ten slotte periodiek een ketentest uit waarbij bewust een fout scenario wordt gesimuleerd, bijvoorbeeld door het account tijdelijk te activeren op een gecontroleerd systeem. Het SOC moet deze afwijking binnen de afgesproken detectietijd signaleren, een incident aanmaken en de juiste escalaties volgen. Door deze oefeningen te documenteren, toont de organisatie aan dat de monitoringarchitectuur niet alleen theoretisch is ontworpen maar ook aantoonbaar werkt in de praktijk. Neem dergelijke testen op in het jaarplan van de crisisorganisatie en betrek externe leveranciers zodat ook zij oefenen met het melden van afwijkingen en het leveren van bewijsstukken.

Compliance en Auditing

Het uitschakelen van het ingebouwde Administrator-account ondersteunt rechtstreeks de BIO-paragrafen 09.02.03 en 09.02.04 over het beheer van geprivilegieerde accounts. De maatregel zorgt ervoor dat elke beheeractie traceerbaar is naar een natuurlijke persoon, waardoor publieke organisaties kunnen aantonen dat zij de verantwoordelijkheid en verantwoording over machtigingen borgen. Tijdens interne audits moet worden aangetoond dat break-glass accounts slechts onder toezicht gebruikt worden, dat wachtwoorden periodiek worden vernieuwd en dat er geen dagelijkse processen afhankelijk zijn van het standaardaccount. Leg bovendien vast welke drie verdedigingslinies toezicht houden op de controle (operationeel, risicomanagement, internal audit) en hoe bevindingen worden teruggekoppeld naar het CIO-beraad.

De CIS Windows Benchmark 2.3.1.1 schrijft expliciet voor dat het ingebouwde Administrator-account uitgeschakeld moet zijn. Door deze eis op te nemen in Intune of GPO kan het auditteam een export van het toegepaste beleid gebruiken als bewijsstuk. Voeg hieraan de output toe van het monitoring-script en een steekproef van eventlogs waarin zichtbaar is dat mislukte loginpogingen geen toegang hebben verschaft. Zo ontstaat een volledig auditspoor dat adviesbureaus of de Algemene Rekenkamer kunnen gebruiken tijdens controles. Gebruik tevens de CIS Control Maturity Model-scores om te laten zien dat de organisatie vooruitgang boekt en dat de maatregel onderdeel is van een breder privilege access management-programma.

Binnen ISO/IEC 27001 sluit de maatregel aan op controle A.9.2.3 (Management of privileged access rights) en A.12.4 (Logging en monitoring). Het gebruik van persoonsgebonden accounts wordt vastgelegd in het Identity & Access Management-proces, terwijl logging borgt dat elke poging tot accountreactivatie direct zichtbaar is. Koppel deze documentatie aan het Statement of Applicability zodat auditors eenvoudig kunnen verifiëren dat de controle is ingericht, getest en onderhouden. Neem tevens een verwijzing op naar het risico-register en de resultaten van de jaarlijkse ISMS-managementreview, zodat zichtbaar is dat bestuurders de effectiviteit van de maatregel expliciet beoordelen.

Omdat Nederlandse overheidsorganisaties onder de AVG vallen, is het uitschakelen van generieke accounts ook een privacymaatregel. Bij gegevensinbreuken moet kunnen worden vastgesteld wie toegang had, welke handelingen zijn verricht en welke maatregelen zijn getroffen. Door het standaardaccount te blokkeren, kan de organisatie bij een incidentrapportage aantonen dat privilege misuse is geminimaliseerd. Neem deze toelichting op in het register van verwerkingsactiviteiten en in de DPIA voor werkplekdiensten, zodat privacytoezichthouders een consistent verhaal zien. Combineer dit met een bewijs van loggingretentie en procedures rond rechten van betrokkenen, zodat de FG kan laten zien dat technische maatregelen en privacy governance hand in hand gaan.

Hoewel de technische maatregel relatief eenvoudig lijkt, draait compliance uiteindelijk om aantoonbaarheid. Verzamel daarom gedurende het jaar bewijsstukken zoals beleidsdocumenten, screenshots van Intune-profielen, exportbestanden van lokale security instellingen en rapportages van het SOC. Bewaar deze in een auditdossier met versienummers en verantwoordelijke eigenaren, zodat externe auditors snel kunnen nagaan hoe de organisatie de controle uitvoert en welke verbeteringen gepland staan. Voeg een checklist toe waarin staat welke documenten per kwartaal worden bijgewerkt en wijs één compliance officer aan die verantwoordelijk is voor de volledigheid van het dossier.

Voor organisaties die onder de Wet politiegegevens, de Wet justitiële en strafvorderlijke gegevens of de Wet digitale overheid vallen, vormt deze maatregel tevens een invulling van de plicht om geprivilegieerde toegang strikt te beheren. Leg in beleidsdocumenten vast hoe het uitschakelen van het account samenhangt met loggingverplichtingen, loggingretentie en de rapportageketen richting toezichthouders. Voeg waar nodig verwijzingen toe naar sectorale afspraken zoals ENSIA of DigiD-beveiligingsassessments. Benoem ook welke toezichthouders (bijvoorbeeld de Autoriteit Persoonsgegevens, Agentschap Telecom of Justid) inzage krijgen in de rapportages en welke termijnen voor oplevering gelden.

Wanneer onderdelen van de werkplek door externe partijen worden beheerd, moet in contracten, verwerkersovereenkomsten en DAP's staan dat zij aantoonbaar hetzelfde beleid volgen. Vraag periodiek om onafhankelijke assurance, bijvoorbeeld in de vorm van een ISAE 3402-rapport of een third-party auditstatement waarin specifiek staat dat het ingebouwde Administrator-account is uitgeschakeld. Hiermee blijft de complianceketen sluitend, ook wanneer werkzaamheden buiten de eigen organisatie plaatsvinden. Leg in leveranciersbeoordelingen vast hoe uitzonderingen worden afgehandeld en welke sancties volgen wanneer afspraken worden overtreden, zodat externe partners net zoveel druk voelen als interne teams.

Remediatie

Gebruik PowerShell-script admin-account-status-disabled.ps1 (functie Invoke-Remediation) – De remediatiefunctie draait in een gecontroleerde modus en bevestigt eerst of het apparaat in het juiste segment staat, of er een openstaand incidentnummer bestaat en of het apparaat bereikbaar is via een beveiligd kanaal zoals WinRM over HTTPS. Pas daarna voert het script de herstelstappen uit: het zet de lokale beleidsinstelling op Disabled, genereert een willekeurig wachtwoord van dertig tekens, roept LAPS aan om het wachtwoord veilig op te slaan en valideert dat er geen geplande taken of services overblijven die het account opnieuw activeren. Iedere stap wordt voorzien van een statuscode, een tijdstempel en een verwijzing naar de verantwoordelijke beheerder, zodat forensisch bewijs direct beschikbaar is. Wanneer het script een fout detecteert, bijvoorbeeld omdat de SAM-database in gebruik is, wordt automatisch een rollback uitgevoerd en ontvangt de servicedesk een waarschuwing met concrete vervolgacties..

Wanneer monitoring aantoont dat het ingebouwde Administrator-account toch actief is, wordt direct een remediatieproces gestart. Het script admin-account-status-disabled.ps1 kan in herstelmodus worden uitgevoerd om het account uit te schakelen, een willekeurig wachtwoord te forceren en de lokale groep Administrators opnieuw te configureren. Voordat het script draait, maakt het automatisch een backup van de relevante SAM- en registerinstellingen zodat wijzigingen desnoods kunnen worden teruggedraaid. Het incident wordt gekoppeld aan een change- of problemrecord, zodat duidelijk is welke maatregelen worden genomen en welke goedkeuringen zijn gegeven door de change advisory board.

Na de technische ingreep controleert een beheerder of er afhankelijkheden bestaan die het account opnieuw activeren, zoals oude onderhoudstools of hardgecodeerde scripts. Deze afhankelijkheden worden zo snel mogelijk verwijderd of vervangen door oplossingen die werken met moderne authenticatiemechanismen. Documenteer de oorzaak van de afwijking, de getroffen maatregelen en de verantwoordelijke eigenaar in het centrale ticketingssysteem. Voeg een evaluatie toe waarin staat welke controles zijn aangescherpt om herhaling te voorkomen en plan eventueel aanvullende code reviews of procesaanpassingen.

Indien het account bewust is geactiveerd tijdens een calamiteit, volgt er een forensische review. De SOC verzamelt eventlogs, vergelijkt tijdstempels met change-requests en controleert of het break-glass proces correct is gevolgd. Wanneer blijkt dat de procedure is nageleefd, wordt het incident afgesloten met lessons learned; bij afwijkingen volgt een aanvullende melding richting CISO en FG, inclusief eventueel AVG-rapportage. Het reviewteam controleert tevens of herstelacties binnen de maximaal toegestane tijd zijn uitgevoerd en of communicatie naar stakeholders volgens het crisiscommunicatieplan is verlopen.

Tot slot wordt elke remediatie geëvalueerd in de maandelijkse risicoboard. Hier wordt vastgesteld of aanvullende maatregelen, training of technische verbeteringen nodig zijn. Door elke afwijking te analyseren en structureel verbeterpunten te implementeren, groeit de volwassenheid van het beheerproces en vermindert de kans dat het ingebouwde Administrator-account ooit opnieuw een zwakke plek vormt in de Nederlandse Baseline voor Veilige Cloud. Documenteer beslissingen uit de risicoboard en koppel acties aan verantwoordelijken zodat opvolging meetbaar is.

Stel duidelijke tijdslijnen vast voor herstel. Een kritieke afwijking op endpoints met vertrouwelijke gegevens moet binnen vier uur worden opgelost, terwijl minder kritieke systemen maximaal één werkdag krijgen. Het service management-team bewaakt deze termijnen en rapporteert ze maandelijks. Wanneer een deadline niet wordt gehaald, escaleert de servicedesk naar de verantwoordelijke afdelingsmanager, zodat herstel prioriteit krijgt boven reguliere wijzigingen. Neem deze hersteldoelen op in servicecontracten en test jaarlijks of de organisatie de gestelde responstijden daadwerkelijk haalt.

Structurele analyse vormt het sluitstuk van het remediatieproces. Gebruik trendrapportages om te zien of bepaalde teams, leveranciers of apparaattypes vaker problemen veroorzaken en koppel gerichte trainingen of aanpassingen in deployment-sjablonen terug naar deze stakeholders. Door remediatiegegevens te delen binnen het kennisnetwerk van Nederlandse overheidsorganisaties ontstaat bovendien een lerend vermogen waarmee andere instellingen herhaling van fouten kunnen voorkomen. Leg afspraken vast over hoe vaak dit kennisdelen plaatsvindt en hoe gevoelige informatie wordt geanonimiseerd zodat informatiebeveiliging niet in het gedrang komt.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Intune Account Policy: Admin Account Status Disabled .DESCRIPTION CIS - Built-in Administrator account moet disabled zijn. .NOTES Filename: admin-account-status-disabled.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Account: Administrator|Expected: Disabled #> #Requires -Version 5.1 #Requires -RunAsAdministrator [CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert) $ErrorActionPreference = 'Stop'; $AdminSID = "S-1-5-21-*-500" function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) } function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "admin-account-status-disabled.ps1"; PolicyName = "Administrator Account"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = "Disabled"; Details = @() }; try { $admin = Get-LocalUser | Where-Object { $_.SID -like $AdminSID }; if ($admin) { $r.CurrentValue = if ($admin.Enabled) { "Enabled" }else { "Disabled" }; if (-not $admin.Enabled) { $r.IsCompliant = $true; $r.Details += "Administrator account disabled" }else { $r.Details += "Administrator account enabled - RISK" } }else { $r.Details += "Administrator account niet gevonden" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r } function Invoke-Remediation { try { $admin = Get-LocalUser | Where-Object { $_.SID -like $AdminSID }; if ($admin -and $admin.Enabled) { Disable-LocalUser -SID $admin.SID; Write-Host "Administrator account disabled" -ForegroundColor Green }else { Write-Host "Administrator account already disabled" -ForegroundColor Green } }catch { Write-Error $_ } } function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r } function Invoke-Revert { $admin = Get-LocalUser | Where-Object { $_.SID -like $AdminSID }; if ($admin) { Enable-LocalUser -SID $admin.SID; Write-Host "Administrator account enabled" } } try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }

Risico zonder implementatie

Risico zonder implementatie
High: Wanneer het standaardaccount actief blijft, beschikken aanvallers over een bekende gebruikersnaam zonder lock-out, waardoor brute-force aanvallen onbeperkt kunnen doorgaan en forensische herleidbaarheid ontbreekt. Dit ondermijnt BIO 09.02, CIS 2.3.1.1 en ISO 27001 A.9.2.3 en vergroot de kans op datalekken en bestuurlijke aansprakelijkheid.

Management Samenvatting

Het uitschakelen van SID-500 voorkomt dat een publiek bekende gebruikersnaam zonder lock-out wordt misbruikt, herstelt individuele accountability en sluit aan op de Nederlandse Baseline voor Veilige Cloud. Rol het beleid uit via Intune Endpoint Security, borg een gecontroleerde break-glass procedure, monitor met het meegeleverde script en documenteer bewijs voor audits en compliance.