L1 BIO 09.04.03 ISO A.5.17 CIS Intune-Password-Length

Wachtwoord Minimum Lengte 14 Karakters

📅 2025-10-30
⏱️ 6 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Een minimum wachtwoordlengte van 14 karakters biedt sterke bescherming tegen brute force aanvallen door de wachtwoordruimte exponentieel te vergroten, waardoor het kraken van wachtwoorden praktisch onmogelijk wordt met huidige computerkracht.

Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
7/10
Implementatie
4u (tech: 1u)
Van toepassing op:
Windows 10
Windows 11
Intune
Local Accounts

Wachtwoordlengte is de belangrijkste factor voor wachtwoordsterkte en belangrijker dan complexiteit. Een 8-karakter wachtwoord kan in uren tot dagen worden gekraakt met moderne GPU-gebaseerde kraakgereedschappen zoals Hashcat. Een 14-karakter wachtwoord met complexiteit vereist jaren tot eeuwen om te kraken. De wiskundige berekening toont aan dat met vier karaktersoorten (hoofdletters, kleine letters, cijfers en speciale karakters, wat neerkomt op 95 mogelijke karakters) de wachtwoordruimte 95 tot de macht van de lengte bedraagt. Voor 8 karakters betekent dit 6,6 quadriljoen combinaties die in uren kunnen worden gekraakt. Voor 14 karakters resulteert dit in 4,8 maal 10 tot de macht 27 combinaties, wat praktisch onkraakbaar is. NIST 800-63B en moderne beveiligingsrichtlijnen benadrukken lengte boven complexiteit: een lang eenvoudig wachtwoord zoals 'IkHouVanKoffieInDeMorgen' is veiliger dan een kort complex wachtwoord zoals 'P@ssw0rd'. Veertien karakters is de algemeen geaccepteerde industriestandaard voor sterke wachtwoorden en wordt vereist door CIS, NIST en vele compliance frameworks.

PowerShell Modules Vereist
Primary API: Microsoft Graph API
Connection: Connect-MgGraph
Required Modules: Microsoft.Graph.DeviceManagement

Implementatie

Deze controle configureert het Windows beveiligingsbeleid voor minimum wachtwoordlengte via Intune apparaatconfiguratie en stelt deze in op minimaal 14 karakters. Het beleid wordt geconfigureerd via het secedit-gereedschap met de parameter minimumPasswordLength ingesteld op 14. Dit geldt voor lokale Windows-accounts, inclusief lokale beheerdersaccounts en lokale gebruikersaccounts. Voor Azure AD-accounts moet het Azure AD-wachtwoordbeleid afzonderlijk worden geconfigureerd via Azure AD-tenantinstellingen. Het beleid wordt automatisch afgedwongen bij het aanmaken van wachtwoorden en bij wachtwoordwijzigingen, waardoor gebruikers geen wachtwoorden korter dan 14 karakters kunnen instellen. Combineer deze controle altijd met wachtwoordcomplexiteitsvereisten voor optimale beveiliging.

Vereisten

Voor het succesvol implementeren van een minimum wachtwoordlengte van 14 karakters zijn verschillende technische en organisatorische voorwaarden essentieel. Allereerst is een actief Microsoft Intune-abonnement vereist, omdat dit de centrale beheeromgeving vormt voor het distribueren en afdwingen van wachtwoordbeleid op Windows-apparaten. Zonder een geldig Intune-abonnement kunnen de benodigde configuratieprofielen niet worden gemaakt en toegewezen aan apparaten binnen de organisatie.

Daarnaast moeten alle Windows 10- en Windows 11-apparaten die onder het wachtwoordbeleid vallen, geregistreerd zijn in Microsoft Intune. Dit betekent dat de apparaten correct zijn ingeschreven in het Mobile Device Management-systeem en dat de Intune-client actief communiceert met de Microsoft-cloudservices. Apparaten die niet zijn geregistreerd of waarvan de registratie is verlopen, ontvangen het nieuwe wachtwoordbeleid niet automatisch, wat beveiligingsrisico's met zich meebrengt.

Een uitgebreid communicatieplan voor gebruikers vormt een kritieke voorwaarde voor succesvolle implementatie. Gebruikers moeten tijdig en duidelijk worden geïnformeerd over de nieuwe wachtwoordvereisten, waarom deze worden ingevoerd en wat de gevolgen zijn voor hun dagelijkse werkzaamheden. Het communicatieplan moet verschillende kanalen omvatten, zoals e-mailberichten, intranetmededelingen, teamvergaderingen en mogelijk zelfs fysieke posters op kantoorlocaties. De boodschap moet benadrukken dat langere wachtwoorden essentieel zijn voor beveiliging, maar dat de organisatie gebruikers ondersteunt bij de overgang.

Een overgangsperiode van 30 tot 60 dagen voor gebruikers om bestaande zwakke wachtwoorden bij te werken is essentieel om gebruikers niet onverwacht te blokkeren. Tijdens deze periode kunnen gebruikers hun wachtwoorden op een gecontroleerde manier wijzigen zonder directe druk, wat de gebruikerservaring verbetert en de werkbelasting voor de helpdesk beheersbaar houdt. De overgangsperiode moet duidelijk worden gecommuniceerd, inclusief de exacte datum waarop de nieuwe vereisten verplicht worden.

Het aanbevelen van een bedrijfsbrede wachtwoordbeheerder is sterk aanbevolen, omdat langere wachtwoorden moeilijker te onthouden zijn. Een bedrijfsbrede wachtwoordbeheerder stelt gebruikers in staat om complexe, unieke wachtwoorden te genereren en veilig op te slaan zonder dat ze deze uit het hoofd hoeven te leren. Dit verhoogt niet alleen de beveiliging, maar verbetert ook de gebruikerservaring aanzienlijk. De organisatie moet een geschikte wachtwoordbeheerder selecteren, deze implementeren en gebruikers trainen in het gebruik ervan.

De helpdesk moet worden voorbereid op een tijdelijke toename van het aantal wachtwoordgerelateerde ondersteuningsverzoeken. Tijdens de implementatieperiode zullen gebruikers vragen hebben over het instellen van nieuwe wachtwoorden, het gebruik van wachtwoordbeheerders en mogelijk problemen ondervinden bij het aanmelden. De helpdesk moet voldoende capaciteit hebben om deze vragen tijdig te beantwoorden en gebruikers te ondersteunen bij het overstappen naar langere wachtwoorden. Dit kan betekenen dat tijdelijk extra personeel wordt ingezet of dat bestaande medewerkers worden getraind in wachtwoordgerelateerde ondersteuning.

Uitgebreide documentatie van wachtwoord beste praktijken voor gebruikers is noodzakelijk om gebruikers te helpen bij het maken van sterke, maar onthoudbare wachtwoorden. Deze documentatie moet praktische voorbeelden bevatten van goede wachtwoordstrategieën, zoals het gebruik van wachtzinnen, het vermijden van persoonlijke informatie en het belang van unieke wachtwoorden voor verschillende accounts. De documentatie moet beschikbaar zijn in verschillende formaten, zoals PDF's, webpagina's en mogelijk zelfs korte video's.

Ten slotte moet een uitzonderingsproces worden ontwikkeld voor serviceaccounts en andere technische accounts waar het gebruik van langere wachtwoorden mogelijk problematisch is. Dit proces moet duidelijk definiëren welke accounts in aanmerking komen voor uitzonderingen, wie deze uitzonderingen kan goedkeuren en welke alternatieve beveiligingsmaatregelen moeten worden genomen voor accounts die zijn uitgezonderd van de standaard wachtwoordvereisten. Serviceaccounts moeten idealiter worden overgezet naar certificaatgebaseerde authenticatie of andere moderne authenticatiemethoden in plaats van wachtwoorden.

Implementatie

De implementatie van minimum wachtwoordlengte wordt uitgevoerd via Microsoft Intune, wat een gecentraliseerde en schaalbare aanpak mogelijk maakt voor alle Windows-apparaten binnen de organisatie. Het proces begint met het configureren van een nieuw configuratieprofiel in het Microsoft Intune-beheercentrum, waarbij de juiste instellingen worden geselecteerd en toegewezen aan de doelgroep van apparaten.

Gebruik PowerShell-script password-minimum-length.ps1 (functie Invoke-Remediation) – PowerShell script voor lokale configuratie van minimum wachtwoordlengte via secedit.

De technische implementatie begint in het Microsoft Intune-beheercentrum, waar beheerders navigeren naar de sectie Apparaten en vervolgens naar Configuratieprofielen. Hier wordt een nieuw profiel aangemaakt door te klikken op de knop 'Profiel maken', waarbij het platform wordt ingesteld op Windows 10 en later en het profieltype wordt gekozen als Instellingencatalogus. De instellingencatalogus biedt toegang tot een uitgebreide verzameling Windows-beveiligingsinstellingen die kunnen worden geconfigureerd zonder handmatige registry-wijzigingen of Group Policy-objecten.

Het nieuwe profiel krijgt een duidelijke en beschrijvende naam zoals 'Windows - Wachtwoordbeleid - Minimum Lengte', wat helpt bij het beheer en de documentatie van het beleid. Vervolgens worden de benodigde instellingen toegevoegd door te zoeken naar 'minimum wachtwoordlengte' in de instellingencatalogus. De juiste categorie is Lokale Beleidsregels Beveiligingsopties, gevolgd door de subcategorie Wachtwoordbeleid. De specifieke instelling voor minimum wachtwoordlengte wordt ingesteld op 14 karakters, wat de gewenste beveiligingsstandaard implementeert.

Voor optimale beveiliging moeten verschillende gerelateerde instellingen worden geconfigureerd in hetzelfde beleid. De instelling dat wachtwoorden moeten voldoen aan complexiteitsvereisten moet worden ingeschakeld, wat betekent dat wachtwoorden hoofdletters, kleine letters, cijfers en speciale karakters moeten bevatten. Daarnaast moet de wachtwoordgeschiedenis worden afgedwongen op 24 wachtwoorden, wat voorkomt dat gebruikers oude wachtwoorden opnieuw gebruiken. De maximale wachtwoordleeftijd kan worden ingesteld op 90 dagen, of onbeperkt indien meervoudige authenticatie wordt gebruikt, wat een moderne aanpak is die wordt aanbevolen door beveiligingsexperts. De minimale wachtwoordleeftijd moet worden ingesteld op 1 dag om te voorkomen dat gebruikers snel meerdere wachtwoorden doorlopen om terug te keren naar een oude favoriet.

Het configuratieprofiel wordt toegewezen aan alle Windows-apparaten binnen de organisatie, waarbij eventuele uitzonderingen expliciet worden gedefinieerd voor specifieke apparaten of gebruikersgroepen die mogelijk andere vereisten hebben. Een overgangsperiode van 30 dagen moet worden gecommuniceerd voordat het beleid wordt afgedwongen, wat gebruikers de tijd geeft om hun wachtwoorden bij te werken zonder directe blokkering van hun accounts.

De gebruikersadoptiestrategie vormt een cruciaal onderdeel van de implementatie en begint met een vooraankondiging vier weken voor de daadwerkelijke afdwinging. Een e-mailcampagne informeert gebruikers over het nieuwe beleid, de redenen achter de wijziging en de stappen die zij moeten ondernemen. De communicatie moet praktische voorbeelden bevatten van sterke maar onthoudbare wachtwoorden van 14 of meer karakters. Wachtzinnen zoals 'KoffieOm8UurOpKantoor!' met 25 karakters zijn uitstekende voorbeelden die gebruikers kunnen begrijpen en aanpassen. Zinsgebaseerde wachtwoorden zoals 'IkWerkBij[Bedrijf]Sinds2020' met 28 karakters combineren persoonlijke relevantie met voldoende lengte. Zelfs aangepaste teksten zoals '3KleinKleuterKinderen' met 21 karakters kunnen effectief zijn wanneer ze correct worden geconstrueerd.

Het implementeren van een bedrijfsbrede wachtwoordbeheerder wordt sterk aanbevolen, omdat dit gebruikers helpt bij het beheren van langere en complexere wachtwoorden zonder dat ze deze uit het hoofd hoeven te leren. De wachtwoordbeheerder kan automatisch sterke wachtwoorden genereren, deze veilig opslaan en automatisch invullen wanneer nodig, wat de gebruikerservaring aanzienlijk verbetert terwijl de beveiliging wordt verhoogd.

Trainingssessies over wachtwoordbeveiliging en beste praktijken helpen gebruikers begrijpen waarom langere wachtwoorden belangrijk zijn en hoe ze deze effectief kunnen gebruiken. Deze sessies moeten praktische oefeningen bevatten en ruimte bieden voor vragen en discussie. Een veelgestelde vragenlijst voor de helpdesk helpt medewerkers gebruikersvragen snel en consistent te beantwoorden, wat de efficiëntie verhoogt en gebruikerservaring verbetert.

Een gefaseerde implementatieaanpak wordt aanbevolen, waarbij eerst een testgroep het nieuwe beleid ontvangt om eventuele problemen te identificeren en op te lossen voordat het wordt uitgerold naar alle gebruikers. Na een succesvolle testperiode volgt een pilot met een grotere groep gebruikers, gevolgd door de volledige implementatie voor alle gebruikers in de organisatie. Deze aanpak minimaliseert risico's en zorgt voor een soepele overgang.

Monitoring

Gebruik PowerShell-script password-minimum-length.ps1 (functie Invoke-Monitoring) – PowerShell script voor validatie van minimum wachtwoordlengte configuratie.

Continue monitoring van de wachtwoordlengteconfiguratie is essentieel om te verzekeren dat het beleid correct wordt afgedwongen en dat eventuele problemen tijdig worden geïdentificeerd en opgelost. Het monitoringproces omvat verschillende aspecten, van technische validatie tot gebruikerservaring en beveiligingsincidenten.

Intune-apparaatcompliance-rapporten bieden inzicht in de naleving van het wachtwoordbeleid op alle beheerde apparaten. Deze rapporten tonen welke apparaten het beleid correct hebben ontvangen en geïmplementeerd, en welke apparaten mogelijk problemen ondervinden. Regelmatige controle van deze rapporten, idealiter wekelijks of maandelijks, helpt beheerders trends identificeren en snel reageren op nalevingsproblemen. Apparaten die consistent niet-compliant zijn, vereisen nader onderzoek om te bepalen of er technische problemen zijn of dat gebruikers het beleid omzeilen.

Het monitoren van wachtwoordwijzigingsfouten via Windows-gebeurtenislogboeken is cruciaal voor het identificeren van gebruikers die problemen ondervinden bij het instellen van nieuwe wachtwoorden. Gebeurtenis-ID 4723 in het beveiligingslogboek registreert wanneer een wachtwoordwijziging mislukt omdat het wachtwoord te kort is. Door deze gebeurtenissen te analyseren, kunnen beheerders patronen identificeren, zoals gebruikers die herhaaldelijk proberen korte wachtwoorden in te stellen, wat kan wijzen op een gebrek aan begrip of training. Deze informatie kan worden gebruikt om gerichte communicatie of aanvullende training te ontwikkelen voor specifieke gebruikersgroepen.

Het volgen van helpdesktickets gerelateerd aan wachtwoordbeleidondersteuning biedt waardevolle inzichten in de gebruikerservaring en mogelijke problemen met de implementatie. Een toename van tickets kan wijzen op onduidelijke communicatie, technische problemen of gebruikers die moeite hebben met het aanpassen aan de nieuwe vereisten. Door deze tickets te categoriseren en te analyseren, kunnen beheerders trends identificeren en hun ondersteuningsprocessen verbeteren. Regelmatige besprekingen met de helpdesk over veelvoorkomende vragen en problemen helpen bij het verfijnen van documentatie en trainingmateriaal.

Het analyseren van wachtwoordspray-aanvalpogingen, gekoppeld aan accountvergrendelingsgebeurtenissen, helpt bij het beoordelen van de effectiviteit van het langere wachtwoordbeleid bij het voorkomen van brute force-aanvallen. Wachtwoordspray-aanvallen proberen veelvoorkomende wachtwoorden op meerdere accounts, en langere wachtwoorden maken deze aanvallen aanzienlijk moeilijker. Door deze aanvallen te monitoren en te analyseren, kunnen beveiligingsteams de impact van het nieuwe beleid meten en aanvullende beveiligingsmaatregelen implementeren indien nodig.

Kwartaalreviews met gebruikersfeedback over de bruikbaarheid van het wachtwoordbeleid zijn waardevol voor het continu verbeteren van de implementatie. Deze reviews kunnen worden uitgevoerd via enquêtes, focusgroepen of individuele gesprekken met vertegenwoordigers van verschillende afdelingen. Feedback kan betrekking hebben op de lengte van wachtwoorden, het gebruik van wachtwoordbeheerders, de effectiviteit van training en eventuele problemen die gebruikers ondervinden. Deze informatie kan worden gebruikt om het beleid, de communicatie en de ondersteuning te verfijnen.

Validatie van beleidsimplementatie op willekeurige steekproefapparaten via secedit-export biedt technische verificatie dat het beleid daadwerkelijk correct is geïmplementeerd op de apparaten. Secedit is een Windows-gereedschap dat lokale beveiligingsbeleidsinstellingen kan exporteren, inclusief de minimum wachtwoordlengte. Door regelmatig, bijvoorbeeld maandelijks, een steekproef van apparaten te controleren, kunnen beheerders verifiëren dat het beleid niet alleen is toegewezen, maar ook daadwerkelijk actief is op de apparaten. Dit helpt bij het identificeren van technische problemen die mogelijk niet zichtbaar zijn in compliance-rapporten.

Compliance en Auditing

Deze controle is essentieel voor wachtwoordbeveiliging en naleving van verschillende beveiligingsstandaarden en regelgeving. De implementatie van een minimum wachtwoordlengte van 14 karakters draagt direct bij aan het voldoen aan meerdere compliance-vereisten die relevant zijn voor Nederlandse overheidsorganisaties en bedrijven die werken met gevoelige informatie.

De CIS Benchmark voor Intune en Windows specificeert expliciet dat de minimum wachtwoordlengte moet worden ingesteld op ten minste 14 karakters voor optimale beveiliging. Deze benchmark wordt algemeen erkend als een van de meest uitgebreide en praktische beveiligingsrichtlijnen voor Windows-omgevingen en wordt gebruikt door organisaties wereldwijd als basis voor hun beveiligingsconfiguraties.

BIO Thema 09.04.03, onderdeel van de Baseline Informatiebeveiliging Overheid, behandelt het gebruik van geheime authenticatie-informatie en benadrukt het belang van wachtwoordsterkte met minimale lengtevereisten. Voor Nederlandse overheidsorganisaties is naleving van de BIO-richtlijnen verplicht, en deze controle draagt direct bij aan het voldoen aan deze vereisten. De BIO-richtlijnen zijn specifiek ontwikkeld voor de Nederlandse publieke sector en vormen de basis voor informatiebeveiliging binnen overheidsorganisaties.

ISO 27001:2022 controle A.5.17 behandelt authenticatie-informatie en vereist dat organisaties passende maatregelen nemen om de kwaliteit en sterkte van wachtwoorden te waarborgen. Een minimum lengte van 14 karakters is een concrete implementatie van deze vereiste en helpt organisaties aantonen dat zij passende beveiligingsmaatregelen hebben geïmplementeerd voor authenticatie-informatie. ISO 27001-certificering is belangrijk voor organisaties die werken met internationale partners of die moeten voldoen aan contractuele beveiligingsvereisten.

NIST 800-63B, onderdeel van de Digital Identity Guidelines, beveelt aan dat wachtwoorden minimaal 8 karakters lang zijn, maar benadrukt dat 14 of meer karakters sterk worden aanbevolen voor legacy systemen en omgevingen waar aanvullende beveiligingsmaatregelen mogelijk beperkt zijn. Deze richtlijnen worden algemeen erkend als best practices voor digitale identiteitsbeveiliging en worden gebruikt door organisaties wereldwijd als basis voor hun wachtwoordbeleid.

NIS2 Artikel 21 vereist sterke authenticatiemechanismen voor essentiële en belangrijke entiteiten binnen de Europese Unie. Voor Nederlandse organisaties die onder de NIS2-richtlijn vallen, is het implementeren van sterke wachtwoordvereisten, inclusief minimale lengte, een concrete manier om te voldoen aan deze vereiste. NIS2 is van toepassing op organisaties in kritieke sectoren zoals energie, transport, gezondheidszorg en digitale dienstverlening.

PCI-DSS Vereiste 8.3.6 specificeert dat wachtwoorden minimaal 12 karakters lang moeten zijn voor organisaties die creditcardgegevens verwerken. Hoewel deze vereiste lager is dan de 14 karakters die in deze controle worden aanbevolen, voldoet de implementatie van 14 karakters ruimschoots aan deze vereiste en biedt extra beveiliging. Organisaties die PCI-DSS-naleving moeten aantonen, kunnen deze controle gebruiken als onderdeel van hun compliance-documentatie.

Veertien karakters is de algemeen geaccepteerde industriestandaard voor sterke wachtwoorden in bedrijfsomgevingen en wordt aanbevolen door beveiligingsexperts wereldwijd. Deze lengte biedt een goede balans tussen beveiliging en bruikbaarheid, waarbij gebruikers nog steeds in staat zijn om wachtwoorden te onthouden of effectief te beheren met wachtwoordbeheerders, terwijl de beveiliging aanzienlijk wordt verbeterd ten opzichte van kortere wachtwoorden.

Remediatie

Gebruik PowerShell-script password-minimum-length.ps1 (functie Invoke-Remediation) – PowerShell script voor het herstellen van de minimum wachtwoordlengte configuratie.

Wanneer apparaten niet voldoen aan de minimum wachtwoordlengtevereisten, moeten beheerders een gestructureerde remediatieaanpak volgen om de configuratie te herstellen en te verifiëren dat het beleid correct wordt toegepast. Het remediatieproces begint met het identificeren van de oorzaak van de niet-naleving, wat kan variëren van technische configuratieproblemen tot gebruikers die het beleid omzeilen.

Voor apparaten waar het Intune-configuratieprofiel niet correct is geïmplementeerd, moet het apparaat opnieuw worden gesynchroniseerd met Intune om het beleid opnieuw te ontvangen. Dit kan worden gedaan door de gebruiker te vragen het apparaat opnieuw op te starten of door de Intune-client handmatig te forceren om te synchroniseren via de bedrijfsportal of door gebruik te maken van PowerShell-opdrachten. Als het probleem aanhoudt, kan het nodig zijn om het apparaat opnieuw te registreren in Intune of om de Intune-client opnieuw te installeren.

In gevallen waar gebruikers proberen wachtwoorden in te stellen die korter zijn dan 14 karakters, moet de helpdesk gebruikers ondersteunen bij het maken van geschikte wachtwoorden. Dit omvat het uitleggen van de vereisten, het aanbieden van praktische voorbeelden en het helpen bij het instellen van een wachtwoordbeheerder indien nodig. Gebruikers die herhaaldelijk problemen ondervinden, kunnen baat hebben bij aanvullende training of persoonlijke ondersteuning.

Voor serviceaccounts of technische accounts waar langere wachtwoorden problematisch zijn, moet het uitzonderingsproces worden gevolgd. Deze accounts moeten worden geïdentificeerd, gedocumenteerd en voorzien van alternatieve beveiligingsmaatregelen, zoals certificaatgebaseerde authenticatie of andere moderne authenticatiemethoden. Het is belangrijk dat uitzonderingen niet worden gebruikt als een manier om het beleid te omzeilen, maar alleen voor legitieme technische vereisten.

Na remediatie moet de configuratie worden geverifieerd om te verzekeren dat het probleem is opgelost. Dit kan worden gedaan door de Intune-compliance-rapporten te controleren, door de lokale beveiligingsbeleidsinstellingen te exporteren met secedit, of door te testen of een nieuw wachtwoord van minder dan 14 karakters daadwerkelijk wordt geweigerd. Continue monitoring helpt bij het identificeren van terugkerende problemen en het verfijnen van het remediatieproces.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Intune Account Policy: Password Minimum Length .DESCRIPTION CIS - Minimum password length moet minimaal 14 karakters zijn. .NOTES Filename: password-minimum-length.ps1|Author: Nederlandse Baseline voor Veilige Cloud|SecurityPolicy: MinimumPasswordLength|Expected: >= 14 karakters #> #Requires -Version 5.1 #Requires -RunAsAdministrator [CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert) $ErrorActionPreference = 'Stop'; $PolicyName = "MinimumPasswordLength"; $ExpectedMin = 14 function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) } function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "password-minimum-length.ps1"; PolicyName = $PolicyName; IsCompliant = $false; CurrentValue = $null; ExpectedValue = ">= $ExpectedMin karakters"; Details = @() }; function Invoke-Revert { Write-Host "Revert via Group Policy" } try { $secedit = secedit /export /cfg "$env:TEMP\secedit.txt" 2>&1; $content = Get-Content "$env:TEMP\secedit.txt"; $line = $content | Where-Object { $_ -match "^$PolicyName\s*=\s*(.+)" }; if ($line -match "=\s*(\d+)") { $r.CurrentValue = $matches[1]; if ([int]$r.CurrentValue -ge $ExpectedMin) { $r.IsCompliant = $true; $r.Details += "Min password length: $($r.CurrentValue) karakters" }else { $r.Details += "Min password length te kort: $($r.CurrentValue)" } }else { $r.Details += "Niet geconfigureerd" } }catch { $r.Details += "Error: $($_.Exception.Message)" }finally { Remove-Item "$env:TEMP\secedit.txt" -ErrorAction SilentlyContinue }; return $r } function Invoke-Remediation { $tempFile = "$env:TEMP\secedit_config.inf"; function Invoke-Revert { Write-Host "Revert via Group Policy" } try { $config = "[Unicode]`r`nUnicode=yes`r`n[Version]`r`nsignature=`"`$CHICAGO`$`"`r`nRevision=1`r`n[System Access]`r`n$PolicyName = $ExpectedMin`r`n"; Set-Content -Path $tempFile -Value $config -Encoding Unicode; secedit /configure /db "$env:TEMP\secedit.sdb" /cfg $tempFile /areas SECURITYPOLICY | Out-Null; Write-Host "Minimum password length ingesteld op $ExpectedMin karakters" -ForegroundColor Green }finally { Remove-Item $tempFile -ErrorAction SilentlyContinue; Remove-Item "$env:TEMP\secedit.sdb" -ErrorAction SilentlyContinue } } function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r } function Invoke-Revert { Write-Host "Revert via Group Policy" } try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }

Risico zonder implementatie

Risico zonder implementatie
High: Hoog risico op accountcompromittering via brute force-aanvallen: korte wachtwoorden van 8 karakters kunnen met moderne GPU-kraakgereedschappen zoals Hashcat en John the Ripper binnen uren tot dagen worden gekraakt. Een 14-karakter wachtwoord met complexiteit vereist eeuwen om te kraken, waardoor brute force-aanvallen praktisch onmogelijk worden. Zonder adequate minimumlengte zijn accounts kwetsbaar voor offline wachtwoordkraken bij diefstal van inloggegevens zoals de SAM-database of NTDS.dit, online brute force-aanvallen en wachtwoordspray-aanvallen.

Management Samenvatting

Stel minimum wachtwoordlengte in op 14 karakters via Intune-beleid. Dit is de belangrijkste wachtwoordbeveiligingscontrole waarbij lengte belangrijker is dan complexiteit. Voorkomt brute force-aanvallen. Combineer met complexiteitsvereisten. Implementeer een wachtwoordbeheerder voor gebruikersgemak. Voldoet aan BIO 09.04, ISO 27001 A.5.17, NIST 800-63B en CIS Benchmark. Implementatie: 1 uur technisch plus 3 uur gebruikerscommunicatie en verandermanagement.