L1 BIO 09.04.03 ISO A.5.17 CIS 1.1.1

Minimum Wachtwoordleeftijd Geconfigureerd

📅 2025-10-30
⏱️ 5 minuten lezen
🟢 Should-Have

💼 Management Samenvatting

De minimum wachtwoordleeftijd voorkomt dat gebruikers snelle wachtwoordcycli gebruiken om wachtwoordgeschiedenisvereisten te omzeilen.

Aanbeveling
IMPLEMENT
Risico zonder
Low
Risk Score
4/10
Implementatie
1.5u (tech: 0.5u)
Van toepassing op:
Windows 10
Windows 11
Windows Server

Zonder een minimum wachtwoordleeftijd kunnen gebruikers binnen enkele minuten meerdere malen hun wachtwoord wijzigen om terug te keren naar een oud (mogelijk gecompromitteerd) wachtwoord. Dit vormt een significant beveiligingsrisico. Stel dat de wachtwoordgeschiedenis is ingesteld op 24 (de vorige 24 wachtwoorden kunnen niet opnieuw worden gebruikt). Een gebruiker wil terugkeren naar een oud wachtwoord. Zonder minimum leeftijd kan deze gebruiker binnen 5 minuten 24 keer het wachtwoord wijzigen en vervolgens het oude wachtwoord weer instellen. Met een minimum leeftijd van 1 dag moet de gebruiker 24 dagen wachten om via cycli terug te komen, wat praktisch onmogelijk is. De minimum wachtwoordleeftijd moet worden gecombineerd met wachtwoordgeschiedenisafdwinging (een aparte controle). CIS beveelt aan: minimaal 1 dag. Let op: een minimum leeftijd kan gebruikers frustreren bij een typefout (gewijzigd naar verkeerd wachtwoord, kan niet onmiddellijk worden hersteld). Balans: 1 dag is redelijk.

PowerShell Modules Vereist
Primary API: Intune / Group Policy
Connection: Local beveiligingsbeleid
Required Modules:

Implementatie

Het minimum wachtwoordleeftijdbeleid is ingesteld op 1 dag. Gebruikers moeten minimaal 1 dag wachten tussen wachtwoordwijzigingen. Dit voorkomt snelle cycli om de geschiedenis te omzeilen.

Vereisten

Voor de implementatie van de minimum wachtwoordleeftijd zijn verschillende technische en organisatorische vereisten van belang die zorgvuldig moeten worden overwogen voordat de implementatie wordt gestart. Vanuit technisch perspectief moet de omgeving beschikken over Windows 10, Windows 11 of Windows Server 2016 of nieuwer. Deze versies ondersteunen de geavanceerde wachtwoordbeleidsinstellingen die nodig zijn voor een effectieve implementatie van de minimum wachtwoordleeftijd. Oudere versies van Windows hebben mogelijk beperkte ondersteuning voor deze beveiligingsinstellingen, wat kan leiden tot inconsistenties in de beveiligingspostuur van de organisatie. Daarom is het essentieel om eerst een inventarisatie uit te voeren van alle apparaten binnen de organisatie om te bepalen welke apparaten voldoen aan de minimale versievereisten. Daarnaast is het essentieel dat een wachtwoordgeschiedenisbeleid is geconfigureerd voordat de minimum wachtwoordleeftijd wordt geïmplementeerd. Het wordt sterk aanbevolen om dit in te stellen op 24 wachtwoorden, wat betekent dat gebruikers niet kunnen terugkeren naar een van de laatste 24 gebruikte wachtwoorden. Deze combinatie van wachtwoordgeschiedenis en minimum leeftijd vormt een krachtige beveiligingsmaatregel tegen het hergebruik van oude, mogelijk gecompromitteerde wachtwoorden. Zonder wachtwoordgeschiedenisbeleid heeft de minimum wachtwoordleeftijd beperkte effectiviteit, omdat gebruikers dan nog steeds direct kunnen terugkeren naar een oud wachtwoord zodra de wachttijd is verstreken. Organisatorisch gezien is duidelijke communicatie naar gebruikers cruciaal voor het succes van deze beveiligingsmaatregel. Gebruikers moeten begrijpen waarom onmiddellijke wachtwoordwijzigingen worden geblokkeerd en wat de beveiligingsredenen zijn achter deze beperking. Dit voorkomt frustratie en verhoogt de acceptatie van het beleid. De communicatie moet duidelijk uitleggen dat deze maatregel is ontworpen om de organisatie te beschermen tegen beveiligingsrisico's en dat het niet bedoeld is om gebruikers te hinderen, maar om hun accounts en de organisatiegegevens te beschermen. Bovendien moeten helpdeskprocedures worden ontwikkeld om scenario's te behandelen waarbij gebruikers een typefout hebben gemaakt in hun nieuwe wachtwoord. Deze procedures moeten duidelijk maken hoe gebruikers kunnen worden geholpen zonder de beveiligingsdoelstellingen te ondermijnen. In uitzonderlijke gevallen kunnen tijdelijke uitzonderingen voor beheerders worden overwogen, maar dit moet altijd worden gedocumenteerd en goedgekeurd volgens de beveiligingsrichtlijnen van de organisatie. Alternatief kunnen gebruikers worden begeleid bij het correct instellen van een nieuw wachtwoord na de wachttijd, waarbij de helpdesk kan uitleggen hoe ze een sterk en onthoudbaar wachtwoord kunnen kiezen dat voldoet aan alle beveiligingsvereisten. Het is ook belangrijk om training te verzorgen voor helpdeskmedewerkers zodat zij gebruikers effectief kunnen ondersteunen bij wachtwoordgerelateerde vragen en problemen, terwijl ze tegelijkertijd de beveiligingsdoelstellingen van de organisatie respecteren.

Implementatie

Gebruik PowerShell-script password-minimum-age.ps1 (functie Invoke-Remediation) – Configureer de minimum wachtwoordleeftijd via secedit.

De implementatie van de minimum wachtwoordleeftijd kan op verschillende manieren worden uitgevoerd, afhankelijk van de beschikbare beheertools binnen de organisatie en de bestaande infrastructuur. Elke implementatiemethode heeft zijn eigen voor- en nadelen, en de keuze moet worden gebaseerd op de specifieke behoeften en mogelijkheden van de organisatie. Voor organisaties die Microsoft Intune gebruiken als primair beheerplatform, begint het implementatieproces in de Intune-beheerconsole. Het eerste wat moet worden gedaan is het navigeren naar Configuration profiles, waar alle configuratieprofielen worden beheerd. Binnen deze interface selecteert u de Settings catalog, een uitgebreide catalogus met alle beschikbare configuratie-instellingen voor Windows-apparaten. Binnen deze catalogus zoekt u naar de instelling Local Policies Security Options, specifiek onder de sectie Accounts. Hier vindt u de optie om de minimum wachtwoordleeftijd te configureren. Het is belangrijk om deze instelling in te stellen op 1 dag, wat overeenkomt met de CIS-aanbevelingen en de beste praktijken voor beveiliging. Deze instelling moet worden toegewezen aan alle apparaten binnen de organisatie om consistentie te waarborgen en om ervoor te zorgen dat alle gebruikers dezelfde beveiligingsniveaus hebben, ongeacht welk apparaat ze gebruiken. Voor organisaties die nog werken met traditionele Group Policy Objects is er een alternatieve route beschikbaar die even effectief is. In de Group Policy Management Console navigeert u naar Computer Configuration, vervolgens naar Policies, dan naar Windows Settings, en ten slotte naar Security Settings. Binnen deze sectie vindt u Account Policies, waar u naar Password Policy navigeert. Hier stelt u de minimum wachtwoordleeftijd in op 1 dag, wat overeenkomt met de waarde 1 in het systeem. Deze instelling moet worden gekoppeld aan de juiste organisatorische eenheden binnen Active Directory om ervoor te zorgen dat alle relevante gebruikers en computers worden beïnvloed. Beide methoden resulteren in dezelfde beveiligingsconfiguratie op het niveau van het besturingssysteem, maar de keuze hangt af van de infrastructuur en beheerstrategie van de organisatie. Organisaties die een hybride omgeving hebben, kunnen beide methoden gebruiken voor verschillende groepen apparaten, afhankelijk van hoe ze worden beheerd. Het is belangrijk om na implementatie te verifiëren dat de instelling correct is toegepast op alle doelapparaten. Voor Intune-apparaten kan dit worden gecontroleerd via de monitoringfuncties van Intune, waar compliance-rapporten worden gegenereerd die aangeven welke apparaten voldoen aan het beleid en welke niet. Voor apparaten die worden beheerd via Group Policy kunnen Resultant Set of Policy rapporten worden gebruikt om te verifiëren dat het beleid correct is toegepast. Deze verificatiestap is cruciaal omdat het ervoor zorgt dat de beveiligingsmaatregel daadwerkelijk effect heeft en dat er geen apparaten zijn die buiten de scope van het beleid vallen.

Monitoring

Gebruik PowerShell-script password-minimum-age.ps1 (functie Invoke-Monitoring) – Controleren.

Effectieve monitoring van de minimum wachtwoordleeftijd is essentieel om te waarborgen dat het beleid correct wordt toegepast en om potentiële problemen vroegtijdig te identificeren voordat ze kunnen uitgroeien tot beveiligingsincidenten. Monitoring moet worden gezien als een continu proces dat regelmatig wordt uitgevoerd, niet als een eenmalige activiteit na implementatie. De primaire verificatiemethode is het gebruik van de secedit tool via de opdrachtregel, een ingebouwde Windows-tool die toegang biedt tot de beveiligingsconfiguratie van het systeem. Door het uitvoeren van secedit /export kan de huidige beveiligingsconfiguratie worden geëxporteerd naar een tekstbestand dat vervolgens kan worden geanalyseerd. In deze export moet de waarde van de minimum wachtwoordleeftijd minimaal 1 zijn om te voldoen aan de CIS-aanbevelingen en de beveiligingsdoelstellingen van de organisatie. Deze verificatie kan handmatig worden uitgevoerd op individuele apparaten, maar voor grootschalige omgevingen is het raadzaam om geautomatiseerde scripts te gebruiken die deze controle uitvoeren op alle apparaten en de resultaten rapporteren. Naast technische verificatie is het monitoren van helpdesktickets over wachtwoordwijzigingsbeperkingen een belangrijke indicator voor de effectiviteit en gebruikersacceptatie van het beleid. Een toename van tickets kan wijzen op onduidelijke communicatie naar gebruikers of op organisatorische problemen die moeten worden aangepakt. Het is belangrijk om deze tickets te analyseren om te bepalen of ze het gevolg zijn van legitieme problemen, zoals typefouten waarbij gebruikers per ongeluk een verkeerd wachtwoord hebben ingesteld en nu moeten wachten voordat ze het kunnen corrigeren, of van pogingen om het beveiligingsbeleid te omzeilen door gebruikers die proberen terug te keren naar oude wachtwoorden. Deze analyse kan waardevolle inzichten opleveren over hoe het beleid wordt ervaren door gebruikers en waar verbeteringen kunnen worden aangebracht in de communicatie of in de implementatie zelf. Ten slotte moet de naleving worden gemonitord door te verifiëren dat het beleid daadwerkelijk is toegepast op alle apparaten binnen de organisatie. Dit kan worden geautomatiseerd via compliance-rapportage in Intune, waar dashboards beschikbaar zijn die real-time inzicht geven in de nalevingsstatus van alle apparaten. Voor omgevingen die gebruik maken van Group Policy kunnen compliance-rapporten worden gegenereerd die aangeven welke apparaten het beleid hebben ontvangen en toegepast. Deze rapporten moeten regelmatig worden gecontroleerd, bij voorkeur wekelijks of maandelijks, afhankelijk van de grootte en complexiteit van de organisatie, om ervoor te zorgen dat geen apparaten buiten de scope van het beleid vallen. Wanneer niet-conforme apparaten worden geïdentificeerd, moeten deze onmiddellijk worden aangepakt via het remediatieproces om de beveiligingspostuur van de organisatie te handhaven.

Compliance en Auditing

De implementatie van de minimum wachtwoordleeftijd draagt direct bij aan naleving van verschillende belangrijke beveiligingsstandaarden en frameworks die relevant zijn voor Nederlandse overheidsorganisaties en andere organisaties die werken met gevoelige informatie. Deze naleving is niet alleen belangrijk voor het waarborgen van de beveiliging, maar ook voor het kunnen aantonen aan auditors en toezichthouders dat de organisatie passende maatregelen heeft genomen om haar informatie te beschermen. De CIS Windows Benchmark, een internationaal erkende standaard voor beveiligingsconfiguratie, bevat specifiek controle 1.1.1 die vereist dat de minimum wachtwoordleeftijd minimaal 1 dag is ingesteld. Deze controle is geclassificeerd als Level 1, wat betekent dat het een fundamentele beveiligingsmaatregel is die door alle organisaties zou moeten worden geïmplementeerd, ongeacht hun grootte of complexiteit. Level 1 controles worden beschouwd als essentiële beveiligingsmaatregelen die minimale impact hebben op functionaliteit maar significante beveiligingsvoordelen bieden. Voor Nederlandse overheidsorganisaties is de BIO, oftewel Baseline Informatiebeveiliging Overheid, van bijzonder belang omdat dit het verplichte beveiligingsframework is voor alle Nederlandse overheidsorganisaties. BIO controle 09.04.03 richt zich specifiek op wachtwoordbeheer en vereist dat organisaties passende maatregelen treffen om de integriteit en vertrouwelijkheid van authenticatie-informatie te waarborgen. De minimum wachtwoordleeftijd is een essentiële component van deze controle, omdat het voorkomt dat gebruikers oude wachtwoorden opnieuw gebruiken die mogelijk zijn gecompromitteerd tijdens eerdere beveiligingsincidenten of datalekken. Zonder deze maatregel kunnen gebruikers, zelfs met een wachtwoordgeschiedenisbeleid, relatief eenvoudig terugkeren naar oude wachtwoorden door snel meerdere keren het wachtwoord te wijzigen, wat de effectiviteit van het wachtwoordgeschiedenisbeleid teniet doet. Daarnaast sluit deze maatregel aan bij ISO 27001:2022, de internationale standaard voor informatiebeveiligingsmanagement, specifiek controle A.5.17 over het beheer van authenticatie-informatie. Deze controle vereist dat organisaties passende maatregelen treffen voor het beheer van authenticatie-informatie gedurende de volledige levenscyclus, van het moment dat een wachtwoord wordt aangemaakt tot het moment dat het wordt gewijzigd of ingetrokken. De minimum wachtwoordleeftijd draagt bij aan deze doelstelling door te voorkomen dat gebruikers te snel wachtwoorden kunnen wijzigen en daarbij beveiligingscontroles kunnen omzeilen die zijn ontworpen om de beveiliging van authenticatie-informatie te waarborgen. Voor auditdoeleinden is het belangrijk om uitgebreide documentatie bij te houden die aantoont dat het beleid is geïmplementeerd, geconfigureerd op minimaal 1 dag in overeenstemming met de aanbevelingen, en actief wordt gemonitord en gehandhaafd. Deze documentatie moet onder meer bevatten: configuratie-instellingen, implementatiedata, monitoringrapporten, en eventuele uitzonderingen of afwijkingen van het standaardbeleid. Deze documentatie is essentieel voor het kunnen aantonen van naleving tijdens audits en kan ook waardevol zijn voor interne beveiligingsreviews en risicoassessments.

Remediatie

Gebruik PowerShell-script password-minimum-age.ps1 (functie Invoke-Remediation) – Herstellen.

Wanneer apparaten niet voldoen aan het minimum wachtwoordleeftijdbeleid, is tijdige remediatie essentieel om de beveiligingspostuur van de organisatie te handhaven en om ervoor te zorgen dat alle apparaten voldoen aan de beveiligingsstandaarden. Het remediatieproces moet worden gezien als een gestructureerde aanpak die begint met identificatie en eindigt met verificatie, waarbij elke stap zorgvuldig wordt uitgevoerd om ervoor te zorgen dat het probleem volledig wordt opgelost. Het remediatieproces begint met de identificatie van niet-conforme apparaten via monitoringtools of compliance-rapporten die regelmatig worden gegenereerd door de beheersystemen. Deze identificatie moet zo snel mogelijk plaatsvinden nadat niet-conformiteit wordt gedetecteerd, omdat elke dag dat een apparaat niet-conform is, een potentieel beveiligingsrisico vormt voor de organisatie. Voor apparaten die worden beheerd via Microsoft Intune kan het automatische remediatiescript worden gebruikt om de instelling direct te corrigeren zonder handmatige interventie. Dit script configureert de minimum wachtwoordleeftijd via de secedit tool, een ingebouwde Windows-tool die toegang biedt tot de beveiligingsconfiguratie, waardoor de instelling wordt toegepast op het lokale beveiligingsbeleid van het apparaat. Het gebruik van geautomatiseerde remediatie heeft verschillende voordelen, waaronder snelheid, consistentie en het vermogen om grote aantallen apparaten tegelijkertijd te remediëren. Voor apparaten die worden beheerd via Group Policy Objects moet de GPO-configuratie eerst worden gecontroleerd om te verifiëren dat het beleid correct is geconfigureerd en toegewezen aan de juiste organisatorische eenheden. Indien nodig moet de configuratie worden bijgewerkt, waarna een Group Policy update moet worden geforceerd op de betreffende apparaten om ervoor te zorgen dat de nieuwe configuratie wordt toegepast. Dit kan worden gedaan via de opdrachtregel met behulp van de gpupdate tool, of door gebruikers te vragen om hun apparaten opnieuw op te starten, wat automatisch een Group Policy update triggert. In gevallen waarin de remediatie niet automatisch kan worden uitgevoerd, bijvoorbeeld vanwege netwerkproblemen die voorkomen dat het apparaat communiceert met de beheerservers, of vanwege de status van het apparaat zoals wanneer het offline is of in een onderhoudsmodus, moeten handmatige stappen worden ondernomen. Dit omvat het lokaal inloggen op het apparaat met beheerdersrechten, het openen van het lokale beveiligingsbeleid via de Local Security Policy editor, en het handmatig configureren van de minimum wachtwoordleeftijd op de juiste waarde. Deze handmatige remediatie moet altijd worden gedocumenteerd voor auditdoeleinden. Na remediatie moet altijd worden geverifieerd dat de instelling correct is toegepast, bij voorkeur via een nieuwe compliance-check die wordt uitgevoerd binnen 24 uur na de remediatie. Deze verificatie is belangrijk om ervoor te zorgen dat de remediatie succesvol was en dat het apparaat nu voldoet aan het beleid. Het is ook belangrijk om de hoofdoorzaak te identificeren waarom het apparaat niet-conform was, zodat preventieve maatregelen kunnen worden genomen om herhaling te voorkomen. Deze analyse kan verschillende oorzaken aan het licht brengen, zoals netwerkproblemen die voorkomen dat Group Policy updates worden ontvangen, configuratiefouten in de beheersystemen, of problemen met de synchronisatie tussen verschillende beheerplatforms. Op basis van deze analyse kunnen preventieve maatregelen worden genomen, zoals het verbeteren van netwerkconnectiviteit voor apparaten die regelmatig offline zijn, het bijwerken van Group Policy refresh-intervallen om ervoor te zorgen dat beleidsupdates vaker worden toegepast, of het aanpassen van Intune-synchronisatie-instellingen om ervoor te zorgen dat configuratiewijzigingen sneller worden gesynchroniseerd naar alle apparaten.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Intune Account Policy: Password Minimum Age .DESCRIPTION CIS - Minimum password age moet minimaal 1 dag zijn. .NOTES Filename: password-minimum-age.ps1|Author: Nederlandse Baseline voor Veilige Cloud|SecurityPolicy: MinimumPasswordAge|Expected: >= 1 dag #> #Requires -Version 5.1 #Requires -RunAsAdministrator [CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert) $ErrorActionPreference = 'Stop'; $PolicyName = "MinimumPasswordAge"; $ExpectedMin = 1 function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) } function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "password-minimum-age.ps1"; PolicyName = $PolicyName; IsCompliant = $false; CurrentValue = $null; ExpectedValue = ">= $ExpectedMin dag"; Details = @() }; function Invoke-Revert { Write-Host "Revert via Group Policy" } try { $secedit = secedit /export /cfg "$env:TEMP\secedit.txt" 2>&1; $content = Get-Content "$env:TEMP\secedit.txt"; $line = $content | Where-Object { $_ -match "^$PolicyName\s*=\s*(.+)" }; if ($line -match "=\s*(\d+)") { $r.CurrentValue = $matches[1]; if ([int]$r.CurrentValue -ge $ExpectedMin) { $r.IsCompliant = $true; $r.Details += "Min password age: $($r.CurrentValue) dag(en)" }else { $r.Details += "Min password age te laag: $($r.CurrentValue)" } }else { $r.Details += "Niet geconfigureerd" } }catch { $r.Details += "Error: $($_.Exception.Message)" }finally { Remove-Item "$env:TEMP\secedit.txt" -ErrorAction SilentlyContinue }; return $r } function Invoke-Remediation { $tempFile = "$env:TEMP\secedit_config.inf"; function Invoke-Revert { Write-Host "Revert via Group Policy" } try { $config = "[Unicode]`r`nUnicode=yes`r`n[Version]`r`nsignature=`"`$CHICAGO`$`"`r`nRevision=1`r`n[System Access]`r`n$PolicyName = $ExpectedMin`r`n"; Set-Content -Path $tempFile -Value $config -Encoding Unicode; secedit /configure /db "$env:TEMP\secedit.sdb" /cfg $tempFile /areas SECURITYPOLICY | Out-Null; Write-Host "Minimum password age ingesteld op $ExpectedMin dag" -ForegroundColor Green }finally { Remove-Item $tempFile -ErrorAction SilentlyContinue; Remove-Item "$env:TEMP\secedit.sdb" -ErrorAction SilentlyContinue } } function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r } function Invoke-Revert { Write-Host "Revert via Group Policy" } try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }

Risico zonder implementatie

Risico zonder implementatie
Low: Laag beveiligingsrisico - gebruikers kunnen wachtwoordgeschiedenis omzeilen via snelle cycli. Gecombineerd met wachtwoordgeschiedenisbeleid is minimum leeftijd essentieel voor het voorkomen van hergebruik van oude wachtwoorden.

Management Samenvatting

Stel de minimum wachtwoordleeftijd in op 1 dag. Dit voorkomt snelle wachtwoordcycli om de geschiedenis te omzeilen. Moet worden gecombineerd met wachtwoordgeschiedenisbeleid (24 wachtwoorden). CIS 1.1.1. Implementatie: 30 minuten tot 1 uur.