💼 Management Samenvatting
Controlled Folder Access (CFA) is een geavanceerde ransomwarebeschermingsfunctie van Windows Defender die ongeautoriseerde applicaties blokkeert bij het wijzigen van bestanden in beschermde mappen, waardoor ransomwareversleuteling wordt voorkomen voordat schade kan worden aangericht.
Aanbeveling
IMPLEMENT
Risico zonder
Critical
Risk Score
10/10
Implementatie
12u (tech: 8u)
Van toepassing op:
✓ Windows 10
✓ Windows 11
✓ Windows server 2016+
✓ Windows 11
✓ Windows server 2016+
Ransomware blijft de nummer één cybersecuritybedreiging voor organisaties wereldwijd. Moderne ransomwarefamilies zoals Ryuk, Conti, LockBit, BlackCat en REvil hebben miljarden euro's schade aangericht en duizenden organisaties getroffen. De aanvalsketen verloopt typisch als volgt: initiële toegang via phishing of RDP-compromittering, diefstal van inloggegevens en laterale beweging door het netwerk, implementatie van ransomware, versleuteling van alle toegankelijke bestanden, losgeldverzoek (€50.000 tot €10.000.000 of meer), en bedrijfsuitval (gemiddeld 21 dagen). Zonder Controlled Folder Access kan ransomware onbeperkt bestanden versleutelen in mappen zoals Documenten, Bureaublad, Afbeeldingen, Video's, Downloads en netwerkshares. Met CFA ingeschakeld blokkeert Windows Defender alle ongeautoriseerde bestandswijzigingen in beschermde mappen. Alleen vertrouwde applicaties die op een toegestane lijst staan mogen wijzigingen aanbrengen. Ransomware krijgt een toegangsweigering bij een versleutelingspoging, de gebruiker ontvangt een melding over de geblokkeerde actie, en het beveiligingsteam krijgt een waarschuwing voor onderzoek. Controlled Folder Access is zo effectief omdat ransomware niet kan wachten op goedkeuring voor de toegestane lijst - het moet direct versleutelen anders sluit het aanvalsvenster. CFA stopt meer dan tachtig procent van ransomwarefamilies in de versleutelingsfase, wat kritieke schade voorkomt.
PowerShell Modules Vereist
Primary API: Microsoft Graph / Intune
Connection:
Required Modules: Microsoft.Graph.DeviceManagement, Defender
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement, Defender
Implementatie
Deze controle activeert Controlled Folder Access via een Intune-aanvalsoppervlakreductiebeleid. De technische werking is als volgt: CFA monitort bestandssysteemtoegang tot beschermde mappen (standaard: Documenten, Afbeeldingen, Video's, Bureaublad, Muziek, Favorieten). Bij elke schrijf-, wijzigings- of verwijderingsoperatie controleert CFA of de applicatie vertrouwd is. Dit wordt bepaald door verificatie van de codesignatuur door Microsoft, opname op de toegestane lijst door de beheerder, of een reputatiecontrole. Als de applicatie vertrouwd is, wordt de operatie toegestaan. Zo niet, dan wordt de operatie geblokkeerd en ontvangt de gebruiker een melding, terwijl de gebeurtenis wordt vastgelegd in het beveiligingslogboek. Beschermde mappen omvatten standaard gebruikersdatamappen plus optioneel aangepaste paden zoals netwerkshares of specifieke directories. Vertrouwde applicaties worden automatisch herkend voor Windows-componenten, Microsoft Office en Adobe Reader, en kunnen handmatig worden toegevoegd voor aangepaste bedrijfsapplicaties en ontwikkeltools. Er zijn drie modi beschikbaar: ingeschakeld (blokkeermodus voor productie), auditmodus (alleen loggen voor testen), en uitgeschakeld (niet aanbevolen). De beste praktijk is om te starten met auditmodus gedurende twee tot vier weken, de auditlogboeken te beoordelen, legitieme apps toe te voegen aan de toegestane lijst, en vervolgens over te schakelen naar blokkeermodus. Configuratie gebeurt via Intune-aanvalsoppervlakreductiebeleid waarbij de OMA-URI ./Vendor/MSFT/Policy/Config/Defender/EnableControlledFolderAccess wordt ingesteld op 1 (ingeschakeld).
Vereisten
Voor de implementatie van Controlled Folder Access zijn verschillende technische en organisatorische vereisten van toepassing. Deze vereisten zorgen ervoor dat de functionaliteit correct werkt en dat organisaties optimaal kunnen profiteren van de ransomwarebescherming die CFA biedt. Het is essentieel om alle vereisten te verifiëren voordat met de implementatie wordt begonnen, omdat ontbrekende componenten kunnen leiden tot gedeeltelijke functionaliteit of volledige uitval van de bescherming.
De primaire technische vereisten betreffen het besturingssysteem en de beveiligingssoftware. Controlled Folder Access vereist Windows 10 versie 1709 (Fall Creators Update) of hoger, Windows 11, of Windows Server 2016 of nieuwer met de meest recente updates geïnstalleerd. Deze versievereisten zijn noodzakelijk omdat CFA pas in deze versies werd geïntroduceerd als onderdeel van Windows Defender. Oudere versies van Windows ondersteunen deze functionaliteit niet, wat betekent dat organisaties met legacy-systemen eerst moeten upgraden voordat CFA kan worden geïmplementeerd.
Windows Defender Antivirus moet ingeschakeld en bijgewerkt zijn, omdat Controlled Folder Access volledig afhankelijk is van de Windows Defender-infrastructuur. CFA is geen zelfstandige functionaliteit maar integreert diep in de Windows Defender-architectuur. Realtimebescherming moet actief zijn, omdat CFA de actieve Defender-engine gebruikt om bestandstoegang te monitoren en te blokkeren. Zonder actieve realtimebescherming kan CFA niet functioneren, zelfs niet als de functie technisch is ingeschakeld. Cloudgebaseerde bescherming moet eveneens zijn ingeschakeld, omdat CFA gebruikmaakt van reputatiecontroles die door Microsoft's cloudservices worden geleverd. Deze reputatiecontroles helpen bij het bepalen of een applicatie vertrouwd is zonder dat deze expliciet op de toegestane lijst staat.
Voor de implementatie via Microsoft Intune is een geldige Intune-licentie vereist voor de implementatie van beleid. Organisaties moeten beschikken over de juiste licentieverlening, zoals Microsoft 365 E3 of E5, of een specifieke Intune-licentie. Daarnaast zijn Endpoint Administrator-rechten in Intune noodzakelijk om aanvalsoppervlakreductiebeleid te kunnen maken, configureren en toewijzen aan apparaten of groepen. Zonder deze rechten kunnen beheerders geen CFA-beleid implementeren.
Organisatorische vereisten zijn even belangrijk als technische vereisten. Een testfase van twee tot vier weken in auditmodus is essentieel voor de identificatie van legitieme applicaties die toegang tot beschermde mappen nodig hebben. Tijdens deze fase worden alle toegangspogingen gelogd zonder dat ze worden geblokkeerd, wat organisaties de mogelijkheid geeft om te identificeren welke applicaties normaal gesproken toegang nodig hebben tot gebruikersdatamappen. Zonder deze testfase bestaat het risico dat kritieke bedrijfsapplicaties worden geblokkeerd wanneer CFA wordt overgeschakeld naar blokkeermodus, wat kan leiden tot productiviteitsverlies en gebruikersontevredenheid.
Een volledige inventarisatie van bedrijfskritieke applicaties die bestandstoegang nodig hebben, is een cruciale voorbereidende stap. Deze inventarisatie helpt bij het identificeren van applicaties die mogelijk moeten worden toegevoegd aan de toegestane lijst voordat CFA in productie wordt genomen. Organisaties moeten documenteren welke applicaties toegang hebben tot mappen zoals Documenten, Afbeeldingen en andere beschermde locaties. Dit omvat niet alleen standaardproductiviteitssoftware, maar ook aangepaste bedrijfsapplicaties, ontwikkeltools, back-upsoftware en documentbeheersystemen.
Gebruikerscommunicatie is een kritieke organisatorische vereiste die vaak wordt onderschat. CFA-meldingen kunnen verwarring veroorzaken bij gebruikers die niet op de hoogte zijn van de nieuwe beveiligingsmaatregel. Wanneer een applicatie wordt geblokkeerd, ontvangen gebruikers een melding van Windows Defender die uitlegt dat toegang is geweigerd. Zonder duidelijke communicatie kunnen gebruikers deze meldingen interpreteren als een technisch probleem of fout, wat kan leiden tot onnodige helpdesktickets en gebruikersontevredenheid. Organisaties moeten gebruikers vooraf informeren over wat Controlled Folder Access is, waarom het wordt geïmplementeerd, wat ze kunnen verwachten qua meldingen, en wat ze moeten doen als een legitieme applicatie wordt geblokkeerd.
Implementatie
De implementatie van Controlled Folder Access vereist een gefaseerde aanpak om te voorkomen dat legitieme bedrijfsprocessen worden verstoord. Een directe implementatie in blokkeermodus zonder voorbereiding leidt vrijwel gegarandeerd tot problemen, omdat veel applicaties toegang nodig hebben tot gebruikersdatamappen. De aanbevolen implementatiemethode bestaat uit vier fasen die organisaties geleidelijk doorlopen, waarbij elke fase zorgvuldig wordt gemonitord voordat wordt overgegaan naar de volgende fase.
Fase één omvat de activering van Controlled Folder Access in auditmodus gedurende de eerste twee weken. Tijdens deze fase wordt CFA geactiveerd via Intune, maar worden toegangspogingen alleen gelogd zonder daadwerkelijk te blokkeren. Dit geeft organisaties de mogelijkheid om te observeren welke applicaties toegang proberen te krijgen tot beschermde mappen zonder dat dit de bedrijfsvoering verstoort. Beheerders moeten de Windows Event Logs monitoren voor geblokkeerde operaties, specifiek Event ID 1123, dat wordt gegenereerd wanneer een applicatie toegang zou hebben gekregen als CFA in blokkeermodus zou staan. Tijdens deze fase identificeren organisaties legitieme applicaties die toegang nodig hebben en documenteren ze valse positieven die moeten worden aangepakt voordat wordt overgegaan naar blokkeermodus.
Fase twee richt zich op het opbouwen van de toegestane lijst gedurende week drie en vier. Op basis van de gegevens verzameld tijdens de auditfase worden legitieme applicaties toegevoegd aan de toegestane lijst via de PowerShell-cmdlet Add-MpPreference met de parameter ControlledFolderAccessAllowedApplications. Deze fase omvat uitgebreide tests met een pilotgroep, meestal bestaande uit het IT-team of een selecte groep gebruikers die representatief zijn voor de organisatie. Tijdens deze tests verifiëren beheerders dat bedrijfsapplicaties normaal functioneren en dat gebruikers hun werkzaamheden kunnen uitvoeren zonder onnodige blokkades. Eventuele resterende valse positieven worden geïdentificeerd en aangepakt voordat wordt overgegaan naar de volgende fase.
Fase drie implementeert blokkeermodus voor een pilotgroep van tien tot twintig procent van de gebruikers gedurende week vijf en zes. Deze beperkte implementatie stelt organisaties in staat om de impact van CFA in productieomgeving te evalueren zonder het volledige gebruikersbestand te beïnvloeden. Tijdens deze fase monitoren beheerders helpdesktickets om te identificeren of gebruikers problemen ondervinden met legitieme applicaties die mogelijk over het hoofd zijn gezien tijdens eerdere fasen. De toegestane lijst wordt verfijnd op basis van feedback en waarnemingen, en organisaties communiceren actief met gebruikers over wat ze kunnen verwachten qua meldingen en hoe ze moeten reageren als een applicatie wordt geblokkeerd.
Fase vier omvat de volledige implementatie naar alle apparaten vanaf week zeven. Na succesvolle afronding van de pilotfase wordt blokkeermodus geïmplementeerd voor alle apparaten in de organisatie. Tijdens deze fase monitoren beveiligingsteams continu de waarschuwingen die worden gegenereerd door CFA, omdat plotselinge pieken in blokkeringen kunnen wijzen op een ransomwareaanval. De toegestane lijst wordt onderhouden door nieuwe applicaties toe te voegen wanneer dat nodig is, en beveiligingsgebeurtenissen worden wekelijks beoordeeld om trends te identificeren en de effectiviteit van de implementatie te evalueren.
De primaire implementatiemethode voor Controlled Folder Access is via Microsoft Intune, wat centrale beheer en consistentie over alle apparaten mogelijk maakt. De implementatie begint in het Microsoft Intune-beheercentrum, waar beheerders navigeren naar Endpoint security, vervolgens naar Aanvalsoppervlakreductie, en daar een nieuw beleid aanmaken. Het platform wordt ingesteld op Windows 10 en later, en het profieltype is Aanvalsoppervlakreductieregels. In de configuratie wordt Controlled Folder Access ingesteld op ingeschakeld voor productieomgevingen, of op auditmodus voor testomgevingen. Optioneel kunnen beheerders aanvullende mappen toevoegen die moeten worden beschermd, zoals aangepaste paden of netwerkshares die kritieke bedrijfsdata bevatten. Eveneens optioneel is het configureren van een lijst met applicaties die toegang moeten hebben tot beschermde mappen, wat de centrale toegestane lijst vormt. Het beleid wordt vervolgens toegewezen aan doelapparaten of groepen, en beheerders monitoren de deploymentstatus en compliance via het Intune-dashboard.
Gebruik PowerShell-script controlled-folder-access-enabled.ps1 (functie Invoke-Monitoring) – PowerShell script voor lokale verificatie van Controlled Folder Access status.
Voor testomgevingen of on-premises implementaties kan Controlled Folder Access ook lokaal worden geconfigureerd via PowerShell. Dit is vooral nuttig voor organisaties die nog niet volledig zijn overgestapt naar cloudbeheer of voor specifieke testscenario's. Om CFA in te schakelen gebruikt men de cmdlet Set-MpPreference met de parameter EnableControlledFolderAccess ingesteld op Enabled voor blokkeermodus, of AuditMode voor auditmodus. De status kan worden gecontroleerd met Get-MpPreference waarbij EnableControlledFolderAccess wordt geselecteerd. Aanvullende beschermde mappen kunnen worden toegevoegd met Add-MpPreference en de parameter ControlledFolderAccessProtectedFolders, waarbij het volledige pad wordt opgegeven zoals C:\CustomData. Applicaties kunnen worden toegevoegd aan de toegestane lijst met Add-MpPreference en de parameter ControlledFolderAccessAllowedApplications, waarbij het volledige pad naar het uitvoerbare bestand wordt opgegeven. Auditgebeurtenissen kunnen worden bekeken met Get-WinEvent en een filterhashtable die specificeert dat het logboek Microsoft-Windows-Windows Defender/Operational is en Event ID 1123.
Kritieke richtlijnen voor toegestane lijsting zijn essentieel voor de beveiligingseffectiviteit van Controlled Folder Access. Organisaties moeten uitsluitend vertrouwde, ondertekende applicaties toevoegen aan de toegestane lijst, waarbij de codesignatuur wordt geverifieerd voordat een applicatie wordt goedgekeurd. Bepaalde applicaties mogen nooit worden toegevoegd aan de toegestane lijst, omdat deze vaak worden gebruikt als ransomwarevectoren. Dit omvat PowerShell.exe, cmd.exe en wscript.exe, die kwaadwillenden kunnen gebruiken om scripts uit te voeren die bestanden versleutelen. Veelvoorkomende kandidaten voor toegestane lijsting zijn back-upsoftware, documentbeheersystemen en aangepaste bedrijfsapplicaties die legitiem toegang nodig hebben tot gebruikersdatamappen. Bij het toevoegen van applicaties aan de toegestane lijst moeten beheerders altijd volledige paden gebruiken, zoals C:\Program Files\App\app.exe, en nooit wildcards zoals *.exe, omdat wildcards de beveiliging ondermijnen door te veel toegang toe te staan. De toegestane lijst moet kwartaals worden beoordeeld om ongebruikte applicaties te verwijderen en te verzekeren dat alleen actieve, legitieme applicaties toegang hebben.
Monitoring
Gebruik PowerShell-script controlled-folder-access-enabled.ps1 (functie Invoke-Monitoring) – Controleert Controlled Folder Access configuratie via Get-MpPreference.
Continue monitoring van Controlled Folder Access is essentieel om te verzekeren dat de beveiligingscontrole effectief functioneert en om tijdig te reageren op potentiële ransomwareaanvallen. Monitoring moet op meerdere niveaus plaatsvinden, van technische configuratieverificatie tot analyse van beveiligingsgebeurtenissen en gebruikersfeedback. Een goed ingericht monitoringprogramma stelt organisaties in staat om trends te identificeren, valse positieven te minimaliseren, en echte bedreigingen snel te detecteren en te reageren.
Intune-apparaatcompliance biedt inzicht in de deploymentstatus van het CFA-beleid over alle apparaten in de organisatie. Beheerders kunnen via het Intune-dashboard zien welke apparaten het beleid hebben ontvangen, welke apparaten compliant zijn, en welke apparaten mogelijk configuratieproblemen hebben. Deze informatie is cruciaal voor het verzekeren dat alle apparaten de beveiligingscontrole hebben geïmplementeerd en dat er geen gaten in de dekking zijn. Regelmatige controle van de compliancestatus helpt bij het identificeren van apparaten die mogelijk handmatige interventie vereisen of waar het beleid niet correct is toegepast.
Windows Event Logs vormen de primaire bron van gedetailleerde informatie over de werking van Controlled Folder Access. Het logboek Microsoft-Windows-Windows Defender/Operational bevat alle gebeurtenissen gerelateerd aan CFA-operaties. Event ID 1123 is de meest kritieke gebeurtenis, omdat deze wordt gegenereerd wanneer CFA een applicatie heeft geblokkeerd bij een poging tot toegang tot een beschermde map. Deze gebeurtenissen vereisen onmiddellijke aandacht, omdat ze kunnen wijzen op een ransomwareaanval of een legitieme applicatie die moet worden toegevoegd aan de toegestane lijst. Event ID 1124 wordt gegenereerd wanneer CFA een applicatie heeft toegestaan, wat vooral nuttig is in auditmodus om te begrijpen welke applicaties normaal gesproken toegang nodig hebben. Event ID 5007 wordt gegenereerd wanneer de configuratie van Windows Defender is gewijzigd, wat kan wijzen op kwaadwillende pogingen om CFA uit te schakelen of te wijzigen. Monitoring van deze gebeurtenis helpt bij het detecteren van tampering en verzekert dat de beveiligingscontrole niet wordt omzeild.
Microsoft 365 Defender biedt gecentraliseerde aggregatie van CFA-waarschuwingen over alle apparaten in de organisatie. Deze gecentraliseerde weergave stelt beveiligingsteams in staat om patronen te identificeren die mogelijk niet zichtbaar zijn wanneer individuele apparaten worden bekeken. Bijvoorbeeld, als meerdere apparaten binnen korte tijd blokkeringen ervaren van dezelfde applicatie, kan dit wijzen op een gecoördineerde aanval of een nieuwe versie van een applicatie die moet worden toegevoegd aan de toegestane lijst. De gecentraliseerde dashboards in Microsoft 365 Defender helpen bij het prioriteren van incidenten en het identificeren van trends die aandacht vereisen.
Wekelijks overzicht van geblokkeerde applicatiepatronen is essentieel voor het detecteren van ransomwarepogingen en het verfijnen van de toegestane lijst. Beveiligingsteams moeten wekelijks de gebeurtenissen analyseren om te identificeren welke applicaties het vaakst worden geblokkeerd, of er nieuwe applicaties zijn die toegang proberen te krijgen, en of er patronen zijn die kunnen wijzen op kwaadwillende activiteit. Plotselinge pieken in blokkeringen, vooral van onbekende of ongebruikelijke applicaties, kunnen wijzen op een actieve ransomwareaanval. Deze analyse helpt ook bij het identificeren van legitieme applicaties die mogelijk over het hoofd zijn gezien tijdens de initiële toegestane lijstopbouw en die moeten worden toegevoegd om valse positieven te verminderen.
Helpdesktickets vormen een belangrijke bron van feedback over de impact van Controlled Folder Access op gebruikers en bedrijfsprocessen. Monitoring van helpdesktickets helpt bij het identificeren van valse positieven die gebruikers beïnvloeden en die moeten worden aangepakt door applicaties toe te voegen aan de toegestane lijst. Patronen in tickets kunnen ook wijzen op gebruikers die mogelijk niet goed zijn geïnformeerd over CFA of die problemen ondervinden met specifieke applicaties. Deze informatie is waardevol voor het verfijnen van de toegestane lijst en het verbeteren van gebruikerscommunicatie.
Beveiligingsdashboards moeten CFA-blokkeerpercentages trenden weergeven om plotselinge veranderingen te identificeren die kunnen wijzen op een aanval. Een plotselinge piek in het blokkeerpercentage, vooral buiten normale bedrijfsuren of op meerdere apparaten tegelijk, kan wijzen op een gecoördineerde ransomwareaanval. Deze dashboards moeten real-time of near-real-time updates bieden zodat beveiligingsteams snel kunnen reageren op potentiële bedreigingen. Trendanalyse over langere perioden helpt ook bij het identificeren van geleidelijke veranderingen in applicatiegedrag die mogelijk aandacht vereisen.
PowerShell-monitoringquery's bieden beheerders de mogelijkheid om programmatisch de status en configuratie van Controlled Folder Access te verifiëren. Een basisstatuscontrole kan worden uitgevoerd met Get-MpPreference waarbij EnableControlledFolderAccess wordt geselecteerd om te verifiëren dat CFA is ingeschakeld. De lijst van beschermde mappen kan worden opgehaald met Get-MpPreference waarbij ControlledFolderAccessProtectedFolders wordt geselecteerd, wat helpt bij het verifiëren dat alle benodigde mappen zijn geconfigureerd. Toegestane applicaties kunnen worden bekeken met Get-MpPreference waarbij ControlledFolderAccessAllowedApplications wordt geselecteerd, wat nuttig is voor het auditen van de toegestane lijst. Voor analyse van recente blokkeringen kan Get-WinEvent worden gebruikt met een filterhashtable die het logboek Microsoft-Windows-Windows Defender/Operational specificeert, Event ID 1123, en een starttijd van de laatste zeven dagen. Deze query's kunnen worden geautomatiseerd in monitoring scripts die regelmatig worden uitgevoerd om de gezondheid en effectiviteit van de CFA-implementatie te verifiëren.
Remediatie
Gebruik PowerShell-script controlled-folder-access-enabled.ps1 (functie Invoke-Remediation) – Herstellen.
Remediatie van problemen met Controlled Folder Access is een kritiek onderdeel van het beheerproces, omdat niet-compliant apparaten gaten in de beveiliging kunnen creëren en valse positieven de productiviteit kunnen beïnvloeden. Effectieve remediatie vereist een gestructureerde aanpak die begint met het identificeren van de oorzaak van het probleem voordat corrigerende maatregelen worden genomen. Organisaties moeten duidelijke procedures hebben voor verschillende scenario's, van configuratieproblemen tot beveiligingsincidenten.
Voor apparaten waar Controlled Folder Access niet compliant is, moet een systematische troubleshootingaanpak worden gevolgd. De eerste stap is het verifiëren van de Intune-beleidstoewijzingsscope om te bevestigen dat het apparaat daadwerkelijk is opgenomen in de doelgroep die het CFA-beleid heeft ontvangen. Soms kunnen apparaten per ongeluk worden uitgesloten van beleidstoewijzingen, of kunnen ze zijn verplaatst naar een groep die niet is geconfigureerd voor CFA. Beheerders moeten de groepslidmaatschap van het apparaat verifiëren en controleren of het beleid correct is toegewezen aan die groep.
Beleidsconflicten kunnen voorkomen wanneer meerdere aanvalsoppervlakreductiebeleidsregels zijn geconfigureerd die mogelijk tegenstrijdige instellingen hebben. Intune evalueert beleidsregels in een specifieke volgorde, en conflicterende instellingen kunnen ertoe leiden dat CFA niet correct wordt toegepast. Beheerders moeten alle ASR-beleidsregels controleren die van toepassing zijn op het apparaat en verifiëren dat er geen conflicterende configuraties zijn. In sommige gevallen kan het nodig zijn om beleidsregels te consolideren of de prioriteit van beleidstoewijzingen aan te passen.
De status van Windows Defender moet worden geverifieerd met Get-MpComputerStatus om te verzekeren dat de antivirussoftware correct functioneert en up-to-date is. CFA vereist een actieve en functionerende Windows Defender-installatie, en problemen met Defender kunnen voorkomen dat CFA correct werkt. Beheerders moeten controleren of realtimebescherming is ingeschakeld, of de virusdefinities up-to-date zijn, en of er geen fouten zijn in de Defender-configuratie. Als Defender niet correct functioneert, moet dit eerst worden opgelost voordat CFA kan werken.
Een geforceerde Intune-beleidssynchronisatie kan helpen wanneer beleidsregels niet correct zijn toegepast. Gebruikers kunnen dit handmatig doen via Instellingen, Accounts, Toegang tot werk of school, Info, en vervolgens Synchroniseren. Voor beheerders kan dit ook worden geforceerd via Intune of via PowerShell-cmdlets. Soms kunnen beleidsregels vertraging oplopen in de synchronisatie, en een geforceerde sync kan helpen om de configuratie bij te werken.
Group Policy-conflicten kunnen voorkomen wanneer on-premises Group Policy Objecten Intune-beleidsregels overschrijven. Dit is vooral relevant voor hybride omgevingen waar zowel on-premises Active Directory als Azure AD worden gebruikt. Beheerders moeten controleren of er GPO's zijn geconfigureerd die Windows Defender-instellingen beheren en die mogelijk conflicteren met Intune-beleidsregels. In dergelijke gevallen moet de GPO worden aangepast of moet de prioriteit van beleidstoepassing worden herzien. Als fallback kan lokale PowerShell-remediatie worden gebruikt met Set-MpPreference om CFA direct op het apparaat in te schakelen, hoewel dit niet de voorkeur heeft omdat het centrale beheer omzeilt.
Voor valse positieven waarbij een legitieme applicatie wordt geblokkeerd, moet een zorgvuldige evaluatie worden uitgevoerd voordat de applicatie wordt toegevoegd aan de toegestane lijst. De eerste stap is het verifiëren van de legitimiteit van de applicatie door de codesignatuur te controleren, de uitgever te verifiëren, en de reputatie van de applicatie te onderzoeken via Microsoft's reputatieservices. Beheerders moeten verifiëren dat de applicatie daadwerkelijk bestandstoegang nodig heeft en dat niet alle applicaties toegang nodig hebben tot mappen zoals Documenten. Sommige applicaties kunnen worden geconfigureerd om naar alternatieve locaties te schrijven die niet zijn beschermd door CFA, wat een betere oplossing kan zijn dan het toevoegen aan de toegestane lijst.
Als toegestane lijsting noodzakelijk is, moet de applicatie worden toegevoegd via het Intune-beleid voor centrale beheer, of lokaal via PowerShell als centrale beheer niet beschikbaar is. Bij het toevoegen van een applicatie aan de toegestane lijst moet de beslissing worden gedocumenteerd, inclusief de reden waarom de applicatie is goedgekeurd, wie de goedkeuring heeft gegeven, en wanneer een beveiligingsbeoordeling moet plaatsvinden. Deze documentatie is essentieel voor audits en helpt bij het verzekeren dat toegestane lijstbeslissingen weloverwogen zijn en kunnen worden gerechtvaardigd. Na het toevoegen aan de toegestane lijst moet het gedrag van de applicatie worden gemonitord om te verifiëren dat het werkt zoals verwacht en dat er geen onverwachte beveiligingsimplicaties zijn.
Beveiligingsincidentrespons is kritiek wanneer Controlled Folder Access ransomware blokkeert, wat wordt aangegeven door Event ID 1123 met een verdacht proces. In dergelijke scenario's moet onmiddellijk worden gehandeld om verdere schade te voorkomen. Het eerste en meest kritieke actie is het isoleren van het apparaat door het te ontkoppelen van het netwerk, hetzij fysiek door het netwerkkabel te verwijderen, hetzij logisch door de netwerkadapter uit te schakelen. Dit voorkomt dat de ransomware zich verspreidt naar andere apparaten op het netwerk via laterale beweging.
Een volledige antivirusscan moet worden uitgevoerd met Start-MpScan en de parameter ScanType ingesteld op FullScan om te identificeren of er andere malware aanwezig is op het systeem. Tijdens deze scan moeten forensische gegevens worden verzameld, inclusief de procesnaam, het volledige pad naar het uitvoerbare bestand, de gebruikerscontext waarin het proces werd uitgevoerd, en het exacte tijdstip van de gebeurtenis. Deze informatie is essentieel voor het begrijpen van de aanval en het voorkomen van toekomstige incidenten.
Laterale beweging moet worden gecontroleerd door andere apparaten in hetzelfde subnet te scannen op tekenen van compromittering. Ransomware-aanvallen beginnen vaak op één apparaat en verspreiden zich vervolgens naar andere apparaten op het netwerk. Snelle detectie en isolatie van andere gecompromitteerde apparaten kan de omvang van de aanval aanzienlijk beperken. Het incident moet onmiddellijk worden geëscaleerd naar het beveiligingsteam of Security Operations Center voor verdere analyse en respons.
Het identificeren van het initiële toegangsvector is cruciaal voor het voorkomen van toekomstige aanvallen. Dit kan zijn via een phishing-e-mail, een gecompromitteerde RDP-verbinding, of een beveiligingslek in software. Het begrijpen van hoe de aanvallers toegang hebben gekregen helpt bij het versterken van beveiligingscontroles op die specifieke vector. De integriteit van back-ups moet worden beoordeeld om te verifiëren dat ransomware de back-ups niet heeft beschadigd of versleuteld. Als back-ups intact zijn, kan herstel sneller plaatsvinden zonder dat losgeld moet worden betaald.
Het incident moet volledig worden gedocumenteerd met een tijdlijn van gebeurtenissen, indicatoren van compromittering (IOCs), en alle responsacties die zijn ondernomen. Deze documentatie is essentieel voor post-incident reviews en helpt bij het verbeteren van beveiligingscontroles. Lessons learned moeten worden geïdentificeerd, met name hoe de ransomware de uitvoeringsfase heeft bereikt ondanks bestaande beveiligingscontroles. Deze informatie helpt bij het verbeteren van de beveiligingspostuur en het voorkomen van vergelijkbare incidenten in de toekomst.
Compliance en Auditing
Controlled Folder Access draagt significant bij aan compliance met meerdere beveiligings- en privacyframeworks die relevant zijn voor Nederlandse overheidsorganisaties en bedrijven. De implementatie van CFA helpt organisaties te voldoen aan verplichtingen op het gebied van cybersecurity, gegevensbescherming en risicobeheer. Elk framework heeft specifieke vereisten die door CFA worden ondersteund, waardoor de controle een waardevolle investering is voor organisaties die moeten voldoen aan meerdere compliance-standaarden.
De CIS Microsoft Windows Benchmark bevat specifieke aanbevelingen voor aanvalsoppervlakreductie, waaronder de implementatie van Controlled Folder Access. Deze benchmark wordt wereldwijd erkend als een best practice voor Windows-beveiligingsconfiguratie en wordt vaak gebruikt als basis voor security hardening. Organisaties die de CIS Benchmark volgen, moeten CFA implementeren om te voldoen aan de aanbevelingen voor aanvalsoppervlakreductie. Dit is vooral relevant voor Nederlandse organisaties die werken met gevoelige gegevens en die moeten aantonen dat zij passende beveiligingsmaatregelen hebben genomen.
BIO 12.02.01 vereist specifiek bescherming tegen malware, inclusief preventieve maatregelen tegen ransomware. De Baseline Informatiebeveiliging Overheid (BIO) is het beveiligingskader voor Nederlandse overheidsorganisaties en bevat verplichte controles die moeten worden geïmplementeerd. Controlled Folder Access voldoet direct aan deze vereiste door ransomware te voorkomen voordat het bestanden kan versleutelen. Overheidsorganisaties die moeten voldoen aan BIO-vereisten moeten CFA implementeren als onderdeel van hun malwarebeschermingsstrategie. De implementatie moet worden gedocumenteerd en regelmatig worden geaudit om te verifiëren dat de controle effectief functioneert.
ISO 27001:2022 bevat meerdere controles die relevant zijn voor Controlled Folder Access. Controle A.8.7 vereist bescherming tegen malware, wat CFA direct ondersteunt door ransomware en andere malware te voorkomen die bestanden probeert te wijzigen of te versleutelen. Controle A.8.31 vereist scheiding van ontwikkelings-, test- en productieomgevingen, wat kan worden ondersteund door CFA door te voorkomen dat ontwikkeltools of testapplicaties ongeautoriseerd toegang krijgen tot productiedata in beschermde mappen. Organisaties die ISO 27001-certificering nastreven of behouden, moeten kunnen aantonen dat zij passende controles hebben geïmplementeerd voor malwarebescherming, en CFA is een concrete technische controle die aan deze vereiste voldoet.
NIS2 Artikel 21 vereist dat organisaties passende cybersecurity risicobeheersmaatregelen implementeren, inclusief maatregelen voor ransomwarepreventie. De NIS2-richtlijn is van toepassing op essentiële en belangrijke entiteiten in de Europese Unie, waaronder veel Nederlandse organisaties in sectoren zoals energie, transport, gezondheidszorg en digitale infrastructuur. Controlled Folder Access is een concrete technische maatregel die organisaties kunnen implementeren om te voldoen aan de NIS2-vereisten voor ransomwarepreventie. Organisaties moeten kunnen aantonen dat zij effectieve maatregelen hebben genomen, en CFA biedt meetbare bescherming tegen ransomware-aanvallen.
Het NIST Cybersecurity Framework bevat de controle PR.IP-3 voor Configuration Change Control, die vereist dat ongeautoriseerde wijzigingen worden geblokkeerd. Controlled Folder Access ondersteunt deze controle door te voorkomen dat ongeautoriseerde applicaties wijzigingen kunnen aanbrengen in beschermde mappen. Dit helpt organisaties te voldoen aan de NIST-vereisten voor change control en verzekert dat alleen goedgekeurde applicaties bestanden kunnen wijzigen. Het NIST Framework wordt vaak gebruikt als basis voor cybersecurityprogramma's, en CFA is een concrete implementatie van de change control-principes die het framework promoot.
PCI-DSS Requirement 5.1 vereist de implementatie van anti-malware, inclusief anti-ransomware. Organisaties die creditcardgegevens verwerken moeten voldoen aan de Payment Card Industry Data Security Standard, en CFA kan worden gebruikt als onderdeel van de anti-malwareoplossing die wordt vereist. Door ransomware te voorkomen voordat het bestanden kan versleutelen, helpt CFA organisaties te voldoen aan de PCI-DSS-vereisten voor malwarebescherming. Dit is vooral relevant voor Nederlandse organisaties in de retail- of e-commercesector die creditcardtransacties verwerken.
GDPR Artikel 32 vereist dat organisaties passende technische maatregelen implementeren om persoonsgegevens te beschermen tegen vernietiging. Controlled Folder Access ondersteunt deze vereiste door te voorkomen dat ransomware of andere malware persoonsgegevens kan vernietigen of versleutelen in beschermde mappen. Wanneer organisaties persoonsgegevens opslaan in mappen zoals Documenten of andere gebruikersdatamappen, helpt CFA deze gegevens te beschermen tegen ransomware-aanvallen die kunnen leiden tot gegevensverlies of onbeschikbaarheid. Dit is een concrete technische maatregel die organisaties kunnen implementeren om te voldoen aan de GDPR-vereisten voor gegevensbeveiliging.
Voor auditdoeleinden moeten organisaties kunnen aantonen dat Controlled Folder Access correct is geïmplementeerd en effectief functioneert. Dit vereist documentatie van de configuratie, regelmatige verificatie van de status, en bewijs van incidentrespons wanneer CFA ransomware heeft geblokkeerd. Auditors zullen waarschijnlijk vragen om screenshots van de Intune-beleidsconfiguratie, compliance-rapporten die aantonen dat apparaten CFA hebben ingeschakeld, PowerShell-output die de configuratie verifieert, en analyse van gebeurtenislogboeken die de effectiviteit van de controle aantonen. Organisaties moeten deze documentatie bijhouden en regelmatig beoordelen om te verzekeren dat zij kunnen voldoen aan auditvereisten voor de verschillende frameworks waaraan zij moeten voldoen.
Compliance & Frameworks
- CIS M365: Control Windows Defender - Controlled Folder Access (L2) - Schakel Controlled Folder Access in voor ransomwarebescherming
- BIO: 12.02.01 - Bescherming tegen malware - Preventieve anti-ransomwaremaatregelen
- ISO 27001:2022: A.8.7, A.8.31 - Bescherming tegen malware en wijzigingsbeheer
- NIS2: Artikel - Cybersecurity risicobeheer - Ransomwarepreventiecapaciteiten
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Intune Attack Surface Reduction: Controlled Folder Access
.DESCRIPTION
CIS - Controlled Folder Access (ransomware protection) moet enabled.
.NOTES
Filename: controlled-folder-access-enabled.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Feature: Controlled Folder Access|Expected: Enabled
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $ExpectedValue = 'Enabled'
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance {
$r = [PSCustomObject]@{ScriptName = "controlled-folder-access-enabled.ps1"; PolicyName = "Controlled Folder Access"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; function Invoke-Revert { Write-Host "Revert via Intune" }
try { $pref = Get-MpPreference -ErrorAction SilentlyContinue; if ($pref) { $r.CurrentValue = $pref.EnableControlledFolderAccess; if ($pref.EnableControlledFolderAccess -eq 1) { $r.IsCompliant = $true; $r.Details += "Controlled Folder Access enabled" }elseif ($pref.EnableControlledFolderAccess -eq 2) { $r.Details += "Audit mode (niet blocked)" }else { $r.Details += "Disabled" } }else { $r.Details += "Windows Defender niet beschikbaar" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r
}
function Invoke-Remediation { Write-Host "Controlled Folder Access configureren via Intune:" -ForegroundColor Yellow; Write-Host "Endpoint Security > Attack Surface Reduction" -ForegroundColor Gray; Write-Host "OMA-URI: ./Vendor/MSFT/Policy/Config/Defender/EnableControlledFolderAccess" -ForegroundColor Gray; Write-Host "Value: 1 (Enabled)" -ForegroundColor Gray }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { Write-Host "Revert via Intune" }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
Critical: KRITIEK RISICO: Zonder Controlled Folder Access kan ransomware onbeperkt bestanden versleutelen in gebruikersdatamappen. Gemiddelde ransomwarekosten in Nederland bedragen €500.000 tot €5.000.000 of meer, inclusief losgeld, bedrijfsuitval, herstel en reputatieschade. Recent voorbeeld: Maastricht University betaalde €250.000 losgeld en had maanden nodig voor herstel. Bedrijfsimpact omvat gemiddeld 21 of meer dagen bedrijfsuitval, permanent gegevensverlies indien back-ups ook zijn versleuteld, verlies van klantvertrouwen, en complianceschendingen met NIS2-boetes tot €10 miljoen of 2% van de omzet. Controlled Folder Access stopt meer dan tachtig procent van ransomwareaanvallen in de versleutelingsfase, voordat schade optreedt.
Management Samenvatting
Schakel Controlled Folder Access in via Intune-aanvalsoppervlakreductiebeleid. Blokkeert ransomware bij het versleutelen van bestanden in beschermde mappen zoals Documenten, Afbeeldingen en andere gebruikersdatamappen. Start met auditmodus gedurende twee tot vier weken, voeg legitieme applicaties toe aan de toegestane lijst, en schakel vervolgens over naar blokkeermodus. Voldoet aan BIO 12.02.01, ISO 27001 A.8.7, NIS2 artikel 21. Implementatie vereist acht tot twaalf uur inclusief testen. Kritieke anti-ransomwarecontrole met hoogste prioriteit.
- Implementatietijd: 12 uur
- FTE required: 0.15 FTE