💼 Management Samenvatting
De maximum wachtwoordleeftijd zorgt ervoor dat wachtwoorden periodiek worden vernieuwd, waarbij een balans wordt gezocht tussen beveiliging door regelmatige rotatie en gebruiksvriendelijkheid door niet te frequent te roteren.
Aanbeveling
IMPLEMENT
Risico zonder
Medium
Risk Score
5/10
Implementatie
3u (tech: 1u)
Van toepassing op:
✓ Windows 10
✓ Windows 11
✓ Windows Server
✓ Windows 11
✓ Windows Server
Het bepalen van de juiste balans voor wachtwoordrotatie vormt een fundamentele uitdaging in moderne beveiligingsbeheer. Traditionele beveiligingsrichtlijnen vereisten frequente wachtwoordwijzigingen om de 30 tot 90 dagen, maar recente beveiligingsonderzoek toont aan dat te frequente rotatie contraproductieve gevolgen heeft voor de daadwerkelijke beveiligingspostuur van organisaties. Wanneer gebruikers gedwongen worden om te vaak hun wachtwoord te wijzigen, ontstaan er voorspelbare patronen zoals Password1 naar Password2 of Password123 met minimale variatie. Dit fenomeen staat bekend als wachtwoordvermoeidheid, waarbij gebruikers zwakke wachtwoorden creëren omdat ze moeite hebben om telkens nieuwe sterke combinaties te bedenken. Bovendien leidt dit tot wachtwoordhergebruik over verschillende accounts, het opschrijven van wachtwoorden op post-it notities en een verhoogde belasting op helpdesks die overspoeld raken met resetverzoeken. Echter, het volledig elimineren van wachtwoordrotatie brengt ook aanzienlijke risico's met zich mee. Gecompromitteerde wachtwoorden blijven onbeperkt geldig zolang ze niet worden gewijzigd, er is geen geforceerde rotatie na potentiële datalekken, en verouderde credentials blijven actief op oude accounts die mogelijk niet meer regelmatig gebruikt worden. De moderne best practice, zoals vastgelegd in NIST 800-63B en de richtlijnen van Microsoft, stelt een paradigmaverschuiving voor: in plaats van vaste intervallen moet wachtwoordrotatie plaatsvinden bij gecompromitteerde accounts of jaarlijks voor compliance doeleinden. Het maximum van 365 dagen biedt voldoende flexibiliteit voor organisaties om te voldoen aan beleidsvereisten zonder gebruikers te overbelasten. Er wordt geen minimum leeftijd aanbevolen tenzij wachtwoordhergebruik geschiedenis wordt afgedwongen, en de focus verschuift naar sterke wachtwoorden gecombineerd met meervoudige authenticatie in plaats van frequente rotatie. Dit representeert een fundamentele verschuiving in het beveiligingsdenken: waar het oude paradigma elke 60 tot 90 dagen roteerde en daarmee zwakke wachtwoorden in de hand werkte, richt het nieuwe paradigma zich op sterke wachtwoorden, meervoudige authenticatie en rotatie alleen wanneer nodig door compromittering of voor jaarlijkse compliance.
PowerShell Modules Vereist
Primary API: Intune / groepsbeleid
Connection:
Required Modules:
Connection:
Lokaal beveiligingsbeleidRequired Modules:
Implementatie
Deze control configureert het maximumPasswordAge beleid via lokaal beveiligingsbeleid of Intune. De aanbevolen waarde bedraagt 365 dagen conform moderne best practices die zijn gebaseerd op uitgebreid onderzoek naar wachtwoordbeheer en gebruikersgedrag. Het technische implementatieproces omvat het instellen van het 'maximum password age' beleid dat moet liggen tussen 1 en 365 dagen, waarbij nul dagen wordt vermeden omdat dit betekent dat wachtwoorden nooit verlopen en daarmee een aanzienlijk beveiligingsrisico vormen. De registry equivalent wordt beheerd via maximumPasswordAge in de security database die toegankelijk is via het secedit hulpprogramma. De gebruikersimpact is significant en goed gepland: gebruikers ontvangen wachtwoordverloopdatum notificaties vanaf 14 dagen vóór de expiratiedatum, wat voldoende tijd biedt voor planning en proactieve actie. Wanneer de wachtwoordleeftijd is verstreken, moeten gebruikers hun wachtwoord wijzigen voordat ze kunnen inloggen, waarbij uitstel niet mogelijk is. Het nieuwe wachtwoord moet uniek zijn en wordt geverifieerd via het password history beleid, wat een aparte control vormt die samen met deze control moet worden geïmplementeerd om volledige beveiligingsdekking te garanderen.
Vereisten
Voor het succesvol implementeren van het maximum wachtwoordleeftijd beleid moeten organisaties voldoen aan een reeks technische en organisatorische vereisten die essentieel zijn voor de effectieve werking van deze beveiligingscontrol. Deze vereisten omvatten zowel infrastructuurelementen als beleidscomponenten die samen zorgen voor een robuuste en gebruiksvriendelijke implementatie van wachtwoordrotatie binnen de organisatie. De technische vereisten vormen de basis waarop het beleid kan worden geïmplementeerd, terwijl de organisatorische vereisten ervoor zorgen dat gebruikers adequaat worden ondersteund en geïnformeerd over de nieuwe wachtwoordvereisten. Zonder een complete set van deze vereisten kan de implementatie leiden tot verhoogde belasting op helpdesks, gebruikerfrustratie en mogelijke beveiligingsrisico's wanneer gebruikers werkwijzen ontwikkelen om de vereisten te omzeilen. Organisaties moeten daarom zorgvuldig evalueren of alle vereisten aanwezig zijn voordat zij overgaan tot implementatie van het maximum wachtwoordleeftijd beleid.
De primaire technische vereiste betreft het gebruik van moderne besturingssystemen die ondersteuning bieden voor geavanceerde wachtwoordbeleidsregels. Windows 10, Windows 11 of Windows Server 2016 en later zijn essentieel omdat deze versies volledige ondersteuning bieden voor de beveiligingsbeleidsregels die nodig zijn voor de configuratie van maximum wachtwoordleeftijd. Oudere versies van Windows kunnen beperkte ondersteuning bieden of zelfs volledig incompatibel zijn met moderne wachtwoordbeleidsvereisten. Voor organisaties die werken met hybride omgevingen is het mogelijk om te kiezen tussen een Intune abonnement voor cloud-gebaseerde management of groepsbeleid voor on-premises omgevingen. Beide methoden bieden vergelijkbare functionaliteit, maar de keuze hangt af van de infrastructuur en het managementmodel van de organisatie. Ongeacht de gekozen methode zijn administrator rechten vereist voor de initiële configuratie van het beleid en voor eventuele wijzigingen die later nodig zijn.
Een kritieke vereiste die vaak over het hoofd wordt gezien is de configuratie van het password history beleid, dat moet worden ingesteld op minimaal 24 onthouden wachtwoorden. Dit beleid voorkomt dat gebruikers terugkeren naar eerder gebruikte wachtwoorden en zorgt ervoor dat elke rotatie daadwerkelijk resulteert in een nieuw, uniek wachtwoord. Zonder deze control kunnen gebruikers systematisch door hun oude wachtwoorden roteren, waardoor het doel van wachtwoordrotatie volledig wordt ondermijnd. Het password history beleid werkt direct samen met het maximum wachtwoordleeftijd beleid om een complete wachtwoordbeveiligingsstrategie te vormen. Organisaties moeten deze twee controls altijd samen implementeren om maximale beveiligingswaarde te behalen.
Naast de technische vereisten zijn er belangrijke organisatorische componenten die essentieel zijn voor een succesvolle implementatie. Een uitgebreid gebruikerscommunicatieplan moet worden ontwikkeld om gebruikers tijdig te informeren over de nieuwe jaarlijkse wachtwoordwijzigingsvereiste. Dit plan moet gebruikers voldoende voorbereidingstijd bieden, heldere instructies bevatten over het proces van wachtwoordwijziging, en informatie verschaffen over de ondersteuningsmogelijkheden die beschikbaar zijn wanneer gebruikers problemen ondervinden. Zonder adequate communicatie kunnen gebruikers verrast worden door de nieuwe vereisten en kan dit leiden tot verhoogde helpdeskbelasting en gebruikerfrustratie. Het communicatieplan moet minimaal vier weken voorafgaand aan de implementatie beginnen en moet gebruikmaken van meerdere kanalen zoals e-mail, intranet en team meetings om ervoor te zorgen dat alle gebruikers bereikt worden.
Om de operationele belasting op helpdesks te minimaliseren en gebruikers meer autonomie te geven, moet self-service wachtwoordreset (SSPR) worden geconfigureerd voor Azure AD. Deze functionaliteit stelt gebruikers in staat om hun eigen wachtwoorden te resetten zonder tussenkomst van helpdeskpersoneel, wat significant de helpdeskbelasting vermindert wanneer wachtwoorden verlopen of wanneer gebruikers hun wachtwoorden vergeten. SSPR moet worden geconfigureerd met veilige verificatiemethoden zoals mobiele telefoon verificatie, alternatieve e-mailadressen of beveiligingsvragen die alleen door de gebruiker zelf kunnen worden beantwoord. Deze aanpak verhoogt niet alleen de gebruikerservaring, maar vermindert ook de operationele kosten van wachtwoordbeheer aanzienlijk.
Een essentieel onderdeel van moderne wachtwoordbeveiliging is de implementatie van meervoudige authenticatie (MFA) als companion control. Wachtwoorden alleen zijn onvoldoende voor moderne beveiligingsvereisten, zelfs met regelmatige rotatie. MFA voegt een extra beveiligingslaag toe door gebruikers te verifiëren via meerdere factoren, zoals iets dat ze weten (wachtwoord), iets dat ze bezitten (authenticator app of fysieke token), of iets dat ze zijn (biometrische verificatie). Deze multi-factor aanpak vermindert het risico van gecompromitteerde wachtwoorden aanzienlijk, omdat aanvallers niet alleen het wachtwoord nodig hebben, maar ook toegang tot de tweede verificatiefactor. Organisaties moeten MFA verplichten voor alle gebruikersaccounts, met name voor accounts met verhoogde rechten of toegang tot gevoelige informatie. De combinatie van sterke wachtwoorden, maximum wachtwoordleeftijd en MFA vormt een robuuste verdediging tegen veelvoorkomende aanvallen zoals phishing, credential stuffing en brute force aanvallen.
Implementatie
De implementatie van het maximum wachtwoordleeftijd beleid kan worden uitgevoerd via twee verschillende methoden: cloud-gebaseerde management via Microsoft Intune of traditioneel groepsbeleid voor on-premises omgevingen. Beide methoden bieden vergelijkbare functionaliteit en resultaten, maar de keuze hangt af van de infrastructuur en het managementmodel van de organisatie. Cloud-gebaseerde implementatie biedt het voordeel van gecentraliseerd beheer, automatische compliance rapportage en vereenvoudigd beheer voor organisaties die werken met moderne Microsoft 365 omgevingen. On-premises groepsbeleid biedt meer controle over de implementatie en is geschikt voor organisaties die werken met hybride omgevingen of volledig on-premises infrastructuur. Ongeacht de gekozen methode moet de implementatie worden voorafgegaan door grondige planning en communicatie met gebruikers om ervoor te zorgen dat de nieuwe vereisten soepel worden geaccepteerd en geïmplementeerd.
Voor cloud-gebaseerde implementatie via Microsoft Intune begint het proces in het Microsoft Intune admin center, waar beheerders naar het Devices gedeelte navigeren en vervolgens naar Configuration profiles. Hier kunnen nieuwe configuratieprofielen worden aangemaakt die specifiek zijn afgestemd op Windows 10 en latere versies van het besturingssysteem. Binnen het profiel moet de Settings catalog worden geselecteerd, wat toegang geeft tot een uitgebreide verzameling beveiligingsinstellingen die beschikbaar zijn via lokaal beveiligingsbeleid. In de Settings catalog moet worden genavigeerd naar Local beleidsregels Security Options, gevolgd door Accounts waar de specifieke instelling voor maximum password age kan worden gevonden en geconfigureerd. De aanbevolen waarde bedraagt 365 dagen conform moderne best practices die zijn gebaseerd op uitgebreid onderzoek naar wachtwoordbeheer en gebruikersgedrag. Deze waarde biedt voldoende flexibiliteit voor organisaties om te voldoen aan beleidsvereisten zonder gebruikers te overbelasten met te frequente wachtwoordwijzigingen. Na configuratie van de waarde moet het profiel worden toegewezen aan alle relevante devices binnen de organisatie, waarbij gebruik kan worden gemaakt van dynamische groepen of specifieke toewijzingen op basis van organisatorische vereisten.
Gebruik PowerShell-script password-maximum-age.ps1 (functie Invoke-Remediation) – PowerShell script voor lokale configuratie via secedit.
Voor on-premises implementatie via groepsbeleid begint het proces in de groepsbeleid Management Console, waar beheerders een nieuwe Groepsbeleidsobject (GPO) kunnen maken of een bestaand GPO kunnen bewerken. Binnen de GPO-editor moet worden genavigeerd naar Computer Configuration, gevolgd door Windows Settings en vervolgens beveiligingsinstellingen waar de accountbeleidsregels zich bevinden. In het gedeelte Account beleidsregels moet worden geselecteerd voor wachtwoordbeleid, waar de specifieke instelling voor maximum password age kan worden gevonden en geconfigureerd. De aanbevolen waarde bedraagt ook hier 365 dagen, wat consistent is met de cloud-gebaseerde implementatie en moderne best practices. Na configuratie van de waarde moet het GPO worden gekoppeld aan de relevante organisatorische eenheden (OU's) binnen de Active Directory structuur. Voor de toepassing van de wijzigingen moeten alle betrokken computers worden geconfigureerd om een groepsbeleidsupdate uit te voeren, wat kan worden gedaan via het commando gpupdate /force uitgevoerd op elke computer of via gecentraliseerde beheerhulpmiddelen die bulkupdates mogelijk maken.
Na implementatie van het beleid via een van beide methoden is het essentieel om de effectiviteit van de implementatie te verifiëren. Dit kan worden gedaan door middel van compliance rapportage tools die beschikbaar zijn in zowel Intune als groepsbeleid omgevingen, of via PowerShell scripts die de daadwerkelijke configuratie op devices controleren. Beheerders moeten ervoor zorgen dat het beleid daadwerkelijk is toegepast op alle betrokken devices en dat er geen conflicten zijn met andere beveiligingsbeleidsregels die mogelijk van invloed zijn op wachtwoordbeheer. Bovendien moeten gebruikers adequaat worden geïnformeerd over de nieuwe vereisten en de ondersteuningsmogelijkheden die beschikbaar zijn wanneer zij problemen ondervinden met wachtwoordwijzigingen. Zelfservice wachtwoordreset functionaliteiten moeten worden geactiveerd en getest om ervoor te zorgen dat gebruikers zelfstandig hun wachtwoorden kunnen wijzigen zonder tussenkomst van de helpdesk.
Monitoring
Effectieve monitoring van het maximum wachtwoordleeftijd beleid is essentieel om ervoor te zorgen dat de beveiligingscontrol daadwerkelijk werkt zoals bedoeld en om potentiële problemen tijdig te identificeren voordat ze zich ontwikkelen tot grotere beveiligingsrisico's. Monitoring omvat meerdere aspecten: beleidscompliance op devices, wachtwoordverloopdatum notificaties voor gebruikers, en helpdesk tickets die mogelijk verband houden met wachtwoordproblemen. Zonder adequate monitoring kunnen organisaties niet effectief bepalen of het beleid succesvol is geïmplementeerd, of gebruikers adequaat worden ondersteund, of er sprake is van afwijkingen die mogelijk wijzen op beveiligingsproblemen of gebruikersfrustratie. Organisaties moeten daarom een uitgebreid monitoringprogramma ontwikkelen dat regelmatige controle omvat van alle relevante aspecten van wachtwoordbeheer en waarmee tijdig kan worden ingegrepen wanneer problemen worden geïdentificeerd.
Gebruik PowerShell-script password-maximum-age.ps1 (functie Invoke-Monitoring) – Verifieer maximumPasswordAge <= 365 via secedit.
Het eerste en belangrijkste aspect van monitoring betreft beleidscompliance op devices binnen de organisatie. Beheerders moeten regelmatig controleren of het maximum wachtwoordleeftijd beleid daadwerkelijk is toegepast op alle betrokken devices en of de geconfigureerde waarde overeenkomt met de aanbevolen 365 dagen. Dit kan worden gedaan via compliance rapportage tools die beschikbaar zijn in zowel Intune als groepsbeleid omgevingen, of via PowerShell scripts die de daadwerkelijke configuratie op devices controleren via het secedit hulpprogramma. Devices die niet voldoen aan het beleid moeten worden geïdentificeerd en hersteld, waarbij de oorzaak van de afwijking wordt onderzocht om toekomstige problemen te voorkomen. Compliance rapportage moet minimaal maandelijks worden uitgevoerd, met meer frequente controles tijdens de initiële implementatiefase of wanneer significante wijzigingen worden aangebracht in de infrastructuur of het managementmodel van de organisatie.
Een tweede kritiek aspect van monitoring betreft wachtwoordverloopdatum notificaties voor gebruikers. Het Windows besturingssysteem stuurt automatisch notificaties naar gebruikers wanneer hun wachtwoord binnen 14 dagen zal verlopen, en deze notificaties moeten adequaat functioneren om gebruikers tijdig te informeren over de noodzaak om hun wachtwoord te wijzigen. Beheerders moeten controleren of deze notificaties daadwerkelijk worden weergegeven aan gebruikers en of gebruikers adequaat worden geïnformeerd over het proces van wachtwoordwijziging. Problemen met notificaties kunnen leiden tot verrassingen wanneer wachtwoorden daadwerkelijk verlopen, wat resulteert in verhoogde helpdeskbelasting en gebruikerfrustratie. Organisaties moeten daarom regelmatig controleren of notificaties correct functioneren en gebruikers adequate feedback krijgen wanneer zij hun wachtwoorden moeten wijzigen.
Het derde aspect van monitoring betreft helpdesk tickets die mogelijk verband houden met wachtwoordproblemen. Organisaties moeten regelmatig analyseren hoeveel helpdesk tickets worden gecreëerd als gevolg van wachtwoordverloopdatum problemen, gebruikers die hun wachtwoorden zijn vergeten, of problemen met wachtwoordwijzigingen. Een significante toename in dergelijke tickets kan wijzen op problemen met de implementatie, inadequaat gebruikerscommunicatie, of gebruikersfrustratie die kan leiden tot het ontwikkelen van werkwijzen om de vereisten te omzeilen. Beheerders moeten deze tickets categoriseren en analyseren om patronen te identificeren die kunnen wijzen op structurele problemen met het wachtwoordbeleid of de implementatie ervan. Op basis van deze analyse kunnen organisaties hun communicatiestrategieën aanpassen, aanvullende gebruikersondersteuning bieden, of indien nodig wijzigingen aanbrengen in het beleid zelf om beter aan te sluiten bij de behoeften en mogelijkheden van de organisatie.
Naast deze drie primaire aspecten van monitoring moeten organisaties ook aandacht besteden aan bredere metriek die kunnen wijzen op de effectiviteit van het wachtwoordbeleid. Deze metriek omvat het percentage gebruikers dat hun wachtwoord tijdig wijzigt vóór expiratie, het aantal accounts dat wordt geblokkeerd als gevolg van verouderde wachtwoorden, en trends in wachtwoordgerelateerde beveiligingsincidenten. Deze metriek kunnen helpen om de algehele effectiviteit van het beleid te bepalen en om gebieden te identificeren waar verbeteringen mogelijk zijn. Organisaties moeten deze metriek regelmatig reviewen en gebruiken om hun wachtwoordbeheerstrategie te verbeteren en om ervoor te zorgen dat de beveiligingswaarde van het beleid wordt gemaximaliseerd zonder overmatige belasting voor gebruikers of helpdesks.
Compliance en Auditing
Het maximum wachtwoordleeftijd beleid speelt een cruciale rol in het voldoen aan verschillende nationale en internationale beveiligingsstandaarden en compliance frameworks die relevant zijn voor Nederlandse overheidsorganisaties. Deze frameworks bieden richtlijnen en vereisten voor wachtwoordbeheer die organisaties moeten implementeren om een adequaat beveiligingsniveau te handhaven en om te voldoen aan regelgevende verplichtingen. Organisaties die werken met gevoelige informatie of die onderworpen zijn aan specifieke compliance vereisten moeten zorgvuldig evalueren welke frameworks van toepassing zijn op hun situatie en moeten ervoor zorgen dat hun wachtwoordbeleid volledig voldoet aan alle relevante vereisten.
De CIS Windows Benchmark versie 1.1.2 specificeert dat de maximum password age moet worden ingesteld op een waarde die niet hoger is dan 365 dagen. Deze benchmark wordt algemeen erkend als een best practice standaard voor Windows beveiligingsconfiguratie en wordt gebruikt door organisaties wereldwijd om hun beveiligingspostuur te verbeteren. De CIS Benchmark biedt gedetailleerde configuratie-instructies en rationale voor elke aanbeveling, wat organisaties helpt om te begrijpen waarom specifieke instellingen belangrijk zijn en hoe ze moeten worden geïmplementeerd. Organisaties die voldoen aan de CIS Benchmark kunnen aantonen dat zij moderne beveiligingsbest practices volgen en dat zij hun systemen hebben geconfigureerd volgens industrie-erkende standaarden.
Voor Nederlandse overheidsorganisaties is de Baseline Informatiebeveiliging Overheid (BIO) van bijzonder belang. Binnen de BIO wordt wachtwoordbeheer behandeld onder norm 09.04.03, die specifieke vereisten stelt voor het beheer van gebruikersauthenticatie en wachtwoorden. Deze norm vereist dat organisaties passende maatregelen treffen om de beveiliging van gebruikersaccounts te waarborgen, inclusief het implementeren van wachtwoordbeleidsregels die regelmatige rotatie vereisen. Het maximum wachtwoordleeftijd beleid met een waarde van 365 dagen voldoet aan deze vereisten door ervoor te zorgen dat wachtwoorden regelmatig worden gewijzigd zonder gebruikers overmatig te belasten. Organisaties moeten kunnen aantonen dat zij voldoen aan de BIO normen tijdens audits en compliance controles, wat betekent dat zij gedocumenteerde bewijzen moeten hebben van hun wachtwoordbeleidsconfiguratie en implementatie.
De internationale ISO 27001 standaard behandelt wachtwoordbeheer onder controle A.9.4.3, die vereist dat organisaties passende authenticatiemechanismen implementeren en beheren. Deze controle maakt deel uit van de bredere informatiebeveiligingsmanagementsysteem (ISMS) vereisten en stelt dat organisaties moeten zorgen voor adequate beveiliging van gebruikersauthenticatie. Het maximum wachtwoordleeftijd beleid draagt bij aan het voldoen aan deze controle door ervoor te zorgen dat wachtwoorden regelmatig worden gewijzigd en dat gecompromitteerde credentials niet onbeperkt geldig blijven. Organisaties die gecertificeerd zijn volgens ISO 27001 of die werken aan certificering moeten kunnen aantonen dat hun wachtwoordbeleid voldoet aan deze controle en dat zij regelmatig controleren of het beleid effectief wordt geïmplementeerd en gehandhaafd.
De NIST 800-63B richtlijn voor moderne wachtwoordbegeleiding vertegenwoordigt een paradigmaverschuiving in het denken over wachtwoordbeveiliging. In tegenstelling tot oudere richtlijnen die frequente wachtwoordwijzigingen aanbevolen, stelt NIST 800-63B dat wachtwoorden alleen moeten worden gewijzigd wanneer er aanwijzingen zijn van compromittering of voor jaarlijkse compliance doeleinden. Het maximum wachtwoordleeftijd beleid met een waarde van 365 dagen sluit aan bij deze moderne benadering door jaarlijkse rotatie te vereisen zonder gebruikers te overbelasten met te frequente wijzigingen. Deze richtlijn benadrukt ook het belang van sterke wachtwoorden en meervoudige authenticatie in plaats van alleen frequente rotatie, wat betekent dat organisaties het maximum wachtwoordleeftijd beleid moeten combineren met andere beveiligingsmaatregelen om een complete beveiligingsoplossing te bieden. Organisaties die deze moderne best practices volgen kunnen aantonen dat zij op de hoogte zijn van de nieuwste beveiligingsonderzoeken en dat zij hun beveiligingsstrategieën regelmatig bijwerken op basis van nieuwe inzichten.
Tijdens compliance audits en beveiligingsbeoordelingen moeten organisaties kunnen aantonen dat zij hun wachtwoordbeleid correct hebben geconfigureerd en geïmplementeerd. Dit vereist gedocumenteerde bewijzen van de configuratie, zoals exports van groepsbeleid configuraties, compliance rapporten uit Intune, of outputs van PowerShell scripts die de daadwerkelijke configuratie op devices verifiëren. Organisaties moeten ook kunnen aantonen dat zij regelmatig controleren of het beleid wordt gehandhaafd en dat zij actie ondernemen wanneer afwijkingen worden geïdentificeerd. Deze audit trail is essentieel voor het voldoen aan compliance vereisten en voor het aantonen van due diligence in wachtwoordbeheer. Organisaties moeten daarom een uitgebreid documentatie- en rapportageproces ontwikkelen dat alle relevante aspecten van wachtwoordbeleidsimplementatie en -handhaving vastlegt.
Remediatie
Wanneer monitoring of compliance controles afwijkingen identificeren in het maximum wachtwoordleeftijd beleid, moeten organisaties snel actie ondernemen om deze afwijkingen te herstellen en om ervoor te zorgen dat alle devices voldoen aan de geconfigureerde beveiligingsvereisten. Remediatie is een kritiek proces dat ervoor zorgt dat beveiligingscontroles daadwerkelijk effectief zijn en dat organisaties kunnen voldoen aan compliance vereisten. Zonder adequate remediatie kunnen afwijkingen in wachtwoordbeleidsconfiguratie leiden tot verhoogde beveiligingsrisico's, compliance problemen, en mogelijke beveiligingsincidenten die hadden kunnen worden voorkomen door tijdige correctie.
Het remediatieproces begint met de identificatie van devices die niet voldoen aan het geconfigureerde maximum wachtwoordleeftijd beleid. Dit kan worden gedaan via compliance rapportage tools in Intune of groepsbeleid omgevingen, of via PowerShell scripts die de daadwerkelijke configuratie op devices controleren. Wanneer een device wordt geïdentificeerd dat niet voldoet aan het beleid, moeten beheerders de oorzaak van de afwijking onderzoeken. Mogelijke oorzaken omvatten conflicterende beveiligingsbeleidsregels, handmatige wijzigingen aan lokale beveiligingsinstellingen, of problemen met de toepassing van groepsbeleid of Intune configuratieprofielen. Het begrijpen van de oorzaak is essentieel voor het effectief herstellen van de configuratie en voor het voorkomen van toekomstige afwijkingen.
Gebruik PowerShell-script password-maximum-age.ps1 (functie Invoke-Remediation) – PowerShell script voor automatische remediatie van maximumPasswordAge configuratie.
Voor devices die worden beheerd via Microsoft Intune kan remediatie worden uitgevoerd door het configuratieprofiel opnieuw toe te wijzen aan het device, of door gebruik te maken van automatische remediatie scripts die beschikbaar zijn binnen Intune. Het meegeleverde PowerShell script kan worden gebruikt om de maximumPasswordAge waarde direct te configureren via het secedit hulpprogramma, wat een betrouwbare methode biedt voor het herstellen van de configuratie ongeacht de oorzaak van de afwijking. Het script verifieert eerst de huidige configuratie, past vervolgens de waarde aan naar 365 dagen indien nodig, en verifieert ten slotte dat de wijziging succesvol is toegepast. Deze geautomatiseerde aanpak vermindert de tijd en inspanning die nodig zijn voor remediatie en zorgt voor consistentie in de configuratie over alle devices heen.
Voor devices die worden beheerd via groepsbeleid kan remediatie worden uitgevoerd door ervoor te zorgen dat het groepsbeleidsobject correct is gekoppeld aan de relevante organisatie-eenheden en door het uitvoeren van gpupdate /force op de betrokken computers. Als het groepsbeleidsobject correct is geconfigureerd maar niet wordt toegepast, kunnen beheerders de groepsbeleidsresultaten (GPRESULT) controleren om te identificeren waarom het beleid niet wordt toegepast. Mogelijke problemen omvatten conflicterende groepsbeleidsobjecten, filterinstellingen die bepaalde computers uitsluiten, of problemen met de replicatie van Active Directory. Na het oplossen van deze problemen moet het groepsbeleid opnieuw worden toegepast en moet worden geverifieerd dat de configuratie correct is.
Na het uitvoeren van remediatie moeten beheerders altijd verifiëren dat de configuratie correct is hersteld door de maximumPasswordAge waarde opnieuw te controleren via het secedit hulpprogramma of via compliance rapportage tools. Deze verificatie is essentieel om ervoor te zorgen dat de remediatie succesvol was en dat het device nu voldoet aan de beveiligingsvereisten. Bovendien moeten beheerders documenteren welke afwijkingen zijn geïdentificeerd, welke remediatieacties zijn ondernomen, en wat de resultaten waren. Deze documentatie helpt bij het identificeren van patronen in afwijkingen en bij het ontwikkelen van preventieve maatregelen die toekomstige problemen kunnen voorkomen. Organisaties moeten ook regelmatig reviewen welke devices herhaaldelijk afwijkingen vertonen, omdat dit kan wijzen op structurele problemen die aanvullende aandacht vereisen.
Compliance & Frameworks
- CIS M365: Control 1.1.2 (L1) - Maximum wachtwoordleeftijd <= 365 dagen
- BIO: 09.04.03 - wachtwoordbeheersysteem
- ISO 27001:2022: A.9.4.3 - wachtwoordbeheer
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Intune Account Policy: Password Maximum Age
.DESCRIPTION
CIS - Maximum password age moet maximaal 365 dagen zijn.
.NOTES
Filename: password-maximum-age.ps1|Author: Nederlandse Baseline voor Veilige Cloud|SecurityPolicy: MaximumPasswordAge|Expected: <= 365 dagen
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $PolicyName = "MaximumPasswordAge"; $ExpectedMax = 365
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance {
$r = [PSCustomObject]@{ScriptName = "password-maximum-age.ps1"; PolicyName = $PolicyName; IsCompliant = $false; CurrentValue = $null; ExpectedValue = "<= $ExpectedMax dagen"; Details = @() }; function Invoke-Revert { Write-Host "Revert via Group Policy" }
try { $secedit = secedit /export /cfg "$env:TEMP\secedit.txt" 2>&1; $content = Get-Content "$env:TEMP\secedit.txt"; $line = $content | Where-Object { $_ -match "^$PolicyName\s*=\s*(.+)" }; if ($line -match "=\s*(\d+)") { $r.CurrentValue = $matches[1]; if ([int]$r.CurrentValue -le $ExpectedMax -and [int]$r.CurrentValue -gt 0) { $r.IsCompliant = $true; $r.Details += "Max password age: $($r.CurrentValue) dagen" }else { $r.Details += "Max password age niet secure: $($r.CurrentValue)" } }else { $r.Details += "Niet geconfigureerd" } }catch { $r.Details += "Error: $($_.Exception.Message)" }finally { Remove-Item "$env:TEMP\secedit.txt" -ErrorAction SilentlyContinue }; return $r
}
function Invoke-Remediation {
$tempFile = "$env:TEMP\secedit_config.inf"; function Invoke-Revert { Write-Host "Revert via Group Policy" }
try { $config = "[Unicode]`r`nUnicode=yes`r`n[Version]`r`nsignature=`"`$CHICAGO`$`"`r`nRevision=1`r`n[System Access]`r`n$PolicyName = $ExpectedMax`r`n"; Set-Content -Path $tempFile -Value $config -Encoding Unicode; secedit /configure /db "$env:TEMP\secedit.sdb" /cfg $tempFile /areas SECURITYPOLICY | Out-Null; Write-Host "Maximum password age ingesteld op $ExpectedMax dagen" -ForegroundColor Green }finally { Remove-Item $tempFile -ErrorAction SilentlyContinue; Remove-Item "$env:TEMP\secedit.sdb" -ErrorAction SilentlyContinue }
}
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { Write-Host "Revert via Group Policy" }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
Medium: Medium risico: Wachtwoorden die nooit verlopen betekenen dat gecompromitteerde credentials onbeperkt geldig blijven. Echter, te frequente rotatie (minder dan 365 dagen) leidt tot zwakke wachtwoorden. De balans ligt bij 365 dagen met sterke wachtwoordvereisten en meervoudige authenticatie.
Management Samenvatting
Stel maximum wachtwoordleeftijd in op 365 dagen (jaarlijkse rotatie). Moderne best practice: Focus op sterke wachtwoorden en meervoudige authenticatie in plaats van frequente rotatie. Voldoet aan CIS 1.1.2, BIO 09.04.03. Implementatie: 1-3 uur.
- Implementatietijd: 3 uur
- FTE required: 0.02 FTE