Account Logon En Logoff Audit: Account Lockout Registreren Inclusief Mislukte Pogingen

Account lockout gebeurtenissen vormen een kritieke indicator voor potentiële beveiligingsincidenten zoals brute force aanvallen, gestolen inloggegevens of gecompromitteerde accounts. Door zowel geslaagde als mislukte lockout gebeurtenissen te registreren, krijgen beveiligingsteams volledige zichtbaarheid in authenticatiepatronen en kunnen zij aanvallen vroegtijdig detecteren en reageren. Deze instelling is onderdeel van de Windows beveiligingsbaseline en beschermt tegen bekende aanvalsvectoren door het afdwingen van uitgebreide audit logging configuraties die voldoen aan nalevingsvereisten zoals BIO, ISO 27001 en CIS benchmarks.

Implementatie

Deze beveiligingsregel configureert het Windows auditbeleid voor account logon en logoff gebeurtenissen, specifiek gericht op het registreren van account lockout gebeurtenissen inclusief mislukte pogingen. De configuratie wordt geïmplementeerd via Microsoft Intune apparaatconfiguratiebeleid of nalevingsbeleid om Windows endpoints te beveiligen volgens beveiligingsbeste praktijken. De audit logging omvat zowel succesvolle als mislukte account lockout gebeurtenissen, waardoor beveiligingsanalisten een compleet beeld krijgen van authenticatieactiviteiten en potentiële bedreigingen kunnen identificeren.

Vereisten

Voor de implementatie van account lockout audit logging via Microsoft Intune zijn verschillende technische en organisatorische vereisten van toepassing die zorgvuldig moeten worden geëvalueerd voordat met de implementatie wordt begonnen. Deze vereisten vormen de fundering voor een succesvolle en effectieve beveiligingsmaatregel die bijdraagt aan de algehele beveiligingspositie van de organisatie. Het niet voldoen aan deze vereisten kan leiden tot onvolledige implementaties, configuratiefouten, of het onvermogen om effectief gebruik te maken van de gegenereerde audit logs voor beveiligingsmonitoring en incidentafhandeling. Een grondige voorbereiding en verificatie van alle vereisten voorkomt problemen tijdens de implementatie en zorgt ervoor dat de beveiligingsmaatregel direct na implementatie volledig functioneel is.

Ten eerste is een actief Microsoft Intune licentie vereist voor alle Windows endpoints die beveiligd moeten worden. De organisatie moet beschikken over een geldige Microsoft 365 E3 of E5 licentie, of een specifieke Microsoft Intune licentie, om toegang te krijgen tot de apparaatconfiguratiebeleidsregels functionaliteit. Deze licenties bieden toegang tot de volledige suite van Microsoft Intune beheerfuncties, inclusief endpoint security configuratie, compliance policies, en geavanceerde monitoring mogelijkheden. Zonder de juiste licentie kan de organisatie geen gebruik maken van de apparaatconfiguratieprofielen die nodig zijn om account lockout audit logging te configureren. Het is belangrijk om te verifiëren dat alle doelapparaten onder een geldige licentie vallen voordat de implementatie begint, omdat apparaten zonder licentie niet kunnen worden beheerd via Microsoft Intune. Voor grote organisaties kan dit betekenen dat een licentie-inventarisatie moet worden uitgevoerd om te verifiëren dat alle endpoints correct zijn gelicentieerd.

Daarnaast is het essentieel dat alle doelapparaten correct zijn geregistreerd in Microsoft Intune en deel uitmaken van een beveiligingsgroep of apparaatconfiguratieprofiel. Apparaatregistratie is het proces waarbij een Windows endpoint wordt toegevoegd aan het Microsoft Intune beheersysteem, waardoor het apparaat kan worden beheerd, gemonitord en geconfigureerd vanuit de cloud. Tijdens het registratieproces wordt een vertrouwensrelatie gevestigd tussen het apparaat en Microsoft Intune, waardoor beleidsregels kunnen worden toegepast en configuraties kunnen worden afgedwongen. Apparaten die niet correct zijn geregistreerd kunnen geen beleidsregels ontvangen, waardoor de account lockout audit logging configuratie niet kan worden toegepast. Het is daarom cruciaal om een volledige inventarisatie te maken van alle Windows endpoints in de organisatie en te verifiëren dat ze allemaal correct zijn geregistreerd voordat de implementatie begint. Deze inventarisatie moet ook controleren of apparaten deel uitmaken van de juiste beveiligingsgroepen of apparaatconfiguratieprofielen die nodig zijn voor de toewijzing van het audit logging beleid.

Vanuit technisch perspectief vereist deze configuratie dat Windows endpoints minimaal Windows 10 versie 1809 of hoger draaien, of Windows 11. Deze versievereisten zijn belangrijk omdat oudere versies van Windows mogelijk niet alle benodigde audit policy functionaliteiten ondersteunen die vereist zijn voor account lockout logging. Windows 10 versie 1809 introduceerde belangrijke verbeteringen in de audit logging infrastructuur, inclusief betere ondersteuning voor gedetailleerde audit subcategorieën en verbeterde integratie met cloud-based management systemen zoals Microsoft Intune. Voor oudere versies van Windows kunnen aanvullende configuratiemethoden nodig zijn, zoals Group Policy Objects via on-premises Active Directory, maar deze methoden bieden minder flexibiliteit en centralisatie dan Microsoft Intune. Het is aanbevolen om alle endpoints te upgraden naar ondersteunde versies voordat de implementatie begint, omdat dit de consistentie en betrouwbaarheid van de audit logging configuratie verbetert. Voor organisaties met grote aantallen oudere Windows versies kan dit een significante upgrade-inspanning vereisen die moet worden gepland en uitgevoerd voordat de audit logging configuratie kan worden geïmplementeerd.

De apparaten moeten verbonden zijn met het Microsoft Intune service en regelmatig synchroniseren om beleidsupdates te ontvangen. Deze synchronisatie is essentieel omdat Microsoft Intune een cloud-based beheersysteem is dat configuraties en beleidsregels pusht naar apparaten via een periodieke synchronisatiecyclus. Tijdens deze synchronisatie controleert het apparaat met Microsoft Intune of er nieuwe of bijgewerkte beleidsregels zijn die moeten worden toegepast. Als een apparaat niet regelmatig synchroniseert, kan het nieuwe of bijgewerkte configuraties missen, waardoor de account lockout audit logging mogelijk niet correct wordt geconfigureerd of bijgewerkt. Het is belangrijk dat apparaten een stabiele internetverbinding hebben en dat firewallregels zijn geconfigureerd om communicatie met Microsoft Intune service endpoints toe te staan. Daarnaast is het belangrijk dat de Intune Management Extension correct is geïnstalleerd en actief is op alle doelapparaten, omdat deze extensie verantwoordelijk is voor het toepassen van bepaalde configuratietypes, inclusief audit policy instellingen. De Intune Management Extension moet regelmatig worden gecontroleerd om te verifiëren dat deze correct functioneert en up-to-date is.

Vanuit beveiligingsperspectief moet de organisatie beschikken over voldoende rechten binnen Microsoft Intune om apparaatconfiguratiebeleidsregels te maken, wijzigen en toewijzen. Deze rechten zijn essentieel omdat zonder de juiste bevoegdheden de configuratie niet kan worden geïmplementeerd of beheerd. De beheerder moet minimaal de rol van Intune Service Administrator of Device Configuration Administrator hebben. De Intune Service Administrator rol biedt volledige toegang tot alle Microsoft Intune functies, inclusief het maken en beheren van apparaatconfiguratieprofielen, terwijl de Device Configuration Administrator rol specifiek gericht is op het beheren van apparaatconfiguraties en compliance policies. Voor grootschalige implementaties is het aanbevolen om gebruik te maken van op rollen gebaseerde toegangscontrole om specifieke beheerders toe te wijzen aan specifieke beveiligingsgroepen of apparaatcategorieën. Deze aanpak verbetert de beveiliging door het principe van minimale privileges toe te passen, waarbij beheerders alleen de rechten krijgen die ze nodig hebben voor hun specifieke taken, en het verbetert ook de operationele efficiëntie door beheerders toe te wijzen aan de apparaten waar ze expertise in hebben. Op rollen gebaseerde toegangscontrole helpt ook bij het voldoen aan compliance vereisten door duidelijke scheiding van taken en verantwoordelijkheden te bieden.

Organisatorisch gezien moet de organisatie een duidelijk beleid hebben vastgesteld voor audit logging en gegevensretentie. Dit beleid vormt de basis voor alle audit logging activiteiten en moet specificeren hoe lang audit logs worden bewaard, wie toegang heeft tot deze logs, en welke procedures worden gevolgd bij het detecteren van verdachte activiteiten. De retentieperiode voor audit logs moet worden bepaald op basis van compliance vereisten, zoals BIO, ISO 27001, of AVG, die vaak specifieke minimale retentieperiodes voorschrijven. Daarnaast moet het beleid duidelijk maken wie toegang heeft tot audit logs, omdat deze logs gevoelige informatie kunnen bevatten over gebruikersactiviteiten en beveiligingsincidenten. Toegangscontrole tot audit logs moet worden gebaseerd op het principe van minimale privileges, waarbij alleen geautoriseerde personen toegang krijgen tot logs die relevant zijn voor hun functie. Het beleid moet ook procedures bevatten voor het detecteren en reageren op verdachte activiteiten die worden geïdentificeerd in audit logs, inclusief escalatieprocedures en incident response workflows. Deze procedures moeten regelmatig worden getest en bijgewerkt op basis van lessen geleerd uit eerdere incidenten.

De organisatie moet ook beschikken over een beveiligingsinformatie- en gebeurtenisbeheersysteem of log aggregatie platform om de gegenereerde audit logs centraal te verzamelen, analyseren en bewaren. Zonder een dergelijk systeem verliezen de audit logs hun waarde voor beveiligingsmonitoring en incident response, omdat individuele logs op duizenden endpoints niet effectief kunnen worden geanalyseerd zonder centrale aggregatie en analyse. Een beveiligingsinformatie- en gebeurtenisbeheersysteem verzamelt logs van alle endpoints, normaliseert ze in een gestandaardiseerd formaat, en biedt geavanceerde analyse- en correlatiemogelijkheden om verdachte patronen te identificeren. Deze systemen kunnen ook automatische waarschuwingen genereren wanneer specifieke gebeurtenissen of patronen worden gedetecteerd, waardoor beveiligingsteams proactief kunnen reageren op potentiële bedreigingen. Voor kleinere organisaties kan een eenvoudiger log aggregatie platform voldoende zijn, zolang het maar in staat is om logs centraal te verzamelen en basisanalyse mogelijk te maken. Het is belangrijk dat het gekozen systeem schaalbaar is en kan groeien met de organisatie, omdat het aantal endpoints en de hoeveelheid gegenereerde logs in de loop van de tijd zullen toenemen.

Ten slotte is het belangrijk dat de organisatie beschikt over voldoende technische expertise om de configuratie correct te implementeren en te onderhouden. Dit omvat kennis van Microsoft Intune, Windows audit policies, en beveiligingsmonitoring best practices. Beheerders moeten begrijpen hoe Microsoft Intune werkt, hoe apparaatconfiguratieprofielen worden gemaakt en toegewezen, en hoe ze kunnen controleren of configuraties correct zijn toegepast. Daarnaast moeten ze kennis hebben van Windows audit policies, inclusief de verschillende audit subcategorieën en hoe deze worden geconfigureerd. Kennis van beveiligingsmonitoring best practices is essentieel om effectief gebruik te maken van de gegenereerde audit logs voor threat detection en incident response. Voor complexe omgevingen met duizenden endpoints is het aanbevolen om een gefaseerde implementatie te volgen, beginnend met een pilot groep van kritieke apparaten, gevolgd door een geleidelijke uitrol naar alle endpoints in de organisatie. Deze aanpak minimaliseert risico's en stelt organisaties in staat om lessen te leren uit de pilot fase voordat ze de volledige implementatie uitvoeren. Het is ook belangrijk dat beheerders regelmatig training volgen om up-to-date te blijven met de nieuwste ontwikkelingen in Microsoft Intune en Windows security features.

Implementatie

De implementatie van account lockout audit logging via Microsoft Intune vereist een gestructureerde aanpak die begint met het voorbereiden van de omgeving en het configureren van de juiste beleidsregels. Het implementatieproces bestaat uit verschillende fasen die zorgvuldig moeten worden uitgevoerd om ervoor te zorgen dat alle endpoints correct worden geconfigureerd en dat de audit logging naar behoren functioneert. Een goed geplande en uitgevoerde implementatie is essentieel voor het succes van deze beveiligingsmaatregel en draagt direct bij aan de algehele beveiligingspositie van de organisatie.

Het implementatieproces begint met een grondige voorbereiding waarbij alle vereisten worden gecontroleerd en de omgeving wordt voorbereid voor de configuratie. Dit omvat het verifiëren van licenties, het controleren van apparaatregistraties, en het identificeren van alle endpoints die moeten worden geconfigureerd. Tijdens deze voorbereidingsfase is het belangrijk om een duidelijk overzicht te hebben van de huidige staat van de omgeving, inclusief welke apparaten al zijn geconfigureerd en welke nog configuratie nodig hebben. Deze informatie is essentieel voor het plannen van de implementatie en het identificeren van potentiële uitdagingen voordat ze problemen veroorzaken.

De eerste stap in het daadwerkelijke implementatieproces is het aanmelden bij de Microsoft Intune admin center met een account dat de benodigde beheerrechten heeft. Deze rechten zijn essentieel omdat zonder de juiste rollen de configuratie-opties mogelijk niet beschikbaar zijn of wijzigingen niet kunnen worden opgeslagen. Het is belangrijk om te verifiëren dat het gebruikte account over de juiste rechten beschikt voordat met de configuratie wordt begonnen, om te voorkomen dat tijd wordt verspild aan configuraties die niet kunnen worden opgeslagen.

Na het aanmelden moet u navigeren naar de Endpoint security sectie en selecteren Account protection om toegang te krijgen tot de audit policy configuratie opties. Deze navigatie is belangrijk omdat de audit policy instellingen zich in een specifieke sectie bevinden die niet altijd direct zichtbaar is in het hoofdmenu. Eenmaal in de juiste sectie kunt u een nieuw apparaatconfiguratieprofiel aanmaken specifiek voor Windows 10 en later versies. Het is belangrijk om een duidelijke en beschrijvende naam te kiezen voor het profiel, zoals 'Windows Audit Policy - Account Lockout Logging', zodat andere beheerders direct begrijpen wat het doel van het profiel is. Deze naamgeving is vooral belangrijk in grote organisaties waar meerdere beheerders werken aan verschillende configuratieprofielen.

Binnen het configuratieprofiel moet u navigeren naar de Audit Policy instellingen en specifiek de 'Account Logon' audit subcategorie configureren. Deze subcategorie controleert gebeurtenissen waarbij een account wordt gebruikt om zich aan te melden op een computer, wat een breed scala aan authenticatiegebeurtenissen omvat. Het is belangrijk om te begrijpen dat de Account Logon subcategorie verschilt van de Logon subcategorie, waarbij Account Logon zich richt op account-gebaseerde authenticatie en Logon zich richt op interactieve aanmeldingen. Voor account lockout gebeurtenissen is de Account Logon subcategorie de juiste keuze.

Voor account lockout gebeurtenissen moet u zowel 'Success' als 'Failure' audit logging inschakelen. Het inschakelen van Success logging registreert wanneer een account succesvol wordt geblokkeerd na te veel mislukte aanmeldpogingen. Deze gebeurtenissen zijn belangrijk omdat ze aangeven dat het account lockout mechanisme correct functioneert en dat accounts daadwerkelijk worden geblokkeerd wanneer er te veel mislukte pogingen plaatsvinden. Failure logging registreert alle mislukte pogingen die leiden tot de lockout, wat essentiële informatie biedt over de aard en het patroon van de mislukte authenticatiepogingen.

Deze combinatie van Success en Failure logging biedt volledige zichtbaarheid in het authenticatieproces en helpt bij het identificeren van brute force aanvallen en andere verdachte activiteiten. Door zowel geslaagde als mislukte gebeurtenissen te registreren, kunnen beveiligingsanalisten een compleet beeld krijgen van wat er gebeurt tijdens authenticatiepogingen, wat essentieel is voor effectieve beveiligingsmonitoring en incident response. Zonder deze volledige zichtbaarheid kunnen belangrijke beveiligingsincidenten onopgemerkt blijven, wat de organisatie blootstelt aan aanzienlijke risico's.

Na het configureren van de audit policy instellingen moet u het profiel toewijzen aan de juiste beveiligingsgroepen of apparaatgroepen. Deze toewijzing is cruciaal omdat zonder toewijzing het profiel niet actief zal zijn op enige endpoints, ongeacht hoe goed de configuratie is. Het is aanbevolen om gebruik te maken van dynamische beveiligingsgroepen die automatisch apparaten toevoegen op basis van criteria zoals besturingssysteem versie, apparaattype of organisatorische eenheid. Deze dynamische groepen maken het beheer eenvoudiger omdat nieuwe apparaten automatisch worden toegevoegd wanneer ze aan de criteria voldoen, zonder handmatige interventie.

Voor bestaande apparaten kan het enkele minuten tot enkele uren duren voordat het beleid wordt toegepast, afhankelijk van de synchronisatiefrequentie tussen het apparaat en Microsoft Intune. Deze vertraging is normaal en wordt veroorzaakt door het feit dat apparaten niet continu synchroniseren met Microsoft Intune, maar dit periodiek doen om netwerk- en systeembronnen te besparen. Het is belangrijk om rekening te houden met deze vertraging bij het plannen van de implementatie en het valideren van de configuratie. Voor kritieke apparaten kan het handmatig forceren van een synchronisatie helpen om de configuratie sneller toe te passen.

Na de toewijzing van het profiel is het essentieel om de implementatie te valideren door te controleren of de audit logging daadwerkelijk actief is op de doelapparaten. Deze validatie is belangrijk omdat het bevestigt dat de configuratie correct is toegepast en dat de audit logging daadwerkelijk functioneert zoals bedoeld. Zonder validatie kunnen organisaties aannemen dat de configuratie actief is terwijl dit in werkelijkheid niet het geval is, wat beveiligingsrisico's introduceert.

Validatie kan worden gedaan door het PowerShell script te gebruiken dat beschikbaar is in de code repository. Het script controleert de huidige audit policy configuratie op een apparaat en rapporteert of account lockout logging correct is geconfigureerd. Het script biedt gedetailleerde informatie over de huidige configuratie, inclusief welke audit subcategorieën zijn ingeschakeld en of ze zijn geconfigureerd voor Success, Failure, of beide. Deze informatie is essentieel voor het verifiëren dat de configuratie overeenkomt met de verwachte instellingen.

Daarnaast kunt u handmatig controleren door de Windows Event Viewer te openen op een testapparaat en te zoeken naar Event ID 4625 (failed logon) en Event ID 4740 (account lockout) in het Security log. Als deze gebeurtenissen worden geregistreerd, is de implementatie succesvol. Het is belangrijk om te testen met daadwerkelijke authenticatiepogingen, inclusief zowel geslaagde als mislukte pogingen, om te verifiëren dat beide typen gebeurtenissen correct worden geregistreerd. Zonder deze tests kan het zijn dat de configuratie alleen gedeeltelijk werkt, wat de effectiviteit van de beveiligingsmaatregel vermindert.

Voor grootschalige implementaties is het aanbevolen om een gefaseerde aanpak te volgen. Begin met een pilot groep van 10-20 kritieke endpoints, zoals servers of werkstations van beveiligingsteam leden. Deze pilot groep moet representatief zijn voor de volledige omgeving, inclusief verschillende besturingssysteem versies en apparaattypes, om ervoor te zorgen dat eventuele problemen vroegtijdig worden geïdentificeerd. Monitor deze apparaten gedurende minimaal één week om te verzekeren dat de audit logging correct functioneert en geen negatieve impact heeft op de prestaties van de apparaten.

Na succesvolle validatie van de pilot groep, kan de implementatie worden uitgebreid naar alle endpoints in de organisatie. Tijdens de uitrol is het belangrijk om regelmatig te controleren of apparaten het beleid correct ontvangen en toepassen, en om eventuele problemen snel op te lossen. Het is aanbevolen om een centrale tracking lijst bij te houden van alle apparaten en hun configuratiestatus, zodat duidelijk is welke apparaten nog configuratie nodig hebben en welke al correct zijn geconfigureerd. Deze tracking maakt het mogelijk om de voortgang van de implementatie te monitoren en eventuele problemen snel te identificeren en op te lossen.

Gebruik PowerShell-script account-logon-logoff-audit-account-lockout-is-set-to-include-failure.ps1 (functie Invoke-Monitoring) – Gebruik dit PowerShell script om de implementatie te valideren en te controleren of account lockout audit logging correct is geconfigureerd op uw Windows endpoints..

Monitoring en Validatie

Effectieve monitoring van account lockout audit logging is essentieel om te verzekeren dat de beveiligingsmaatregel naar behoren functioneert en om potentiële beveiligingsincidenten tijdig te detecteren. Monitoring omvat zowel technische validatie van de configuratie als continue analyse van de gegenereerde audit logs om verdachte activiteiten te identificeren. Zonder effectieve monitoring verliest de audit logging configuratie veel van zijn waarde, omdat gebeurtenissen niet worden gedetecteerd of geanalyseerd, wat betekent dat beveiligingsincidenten onopgemerkt kunnen blijven totdat ze significante schade hebben veroorzaakt.

Monitoring is een continue activiteit die niet stopt na de initiële implementatie, maar die regelmatig moet worden uitgevoerd gedurende de gehele levensduur van de beveiligingsmaatregel. Dit is belangrijk omdat configuraties kunnen veranderen, nieuwe bedreigingen kunnen opduiken, en de omgeving continu evolueert. Door regelmatige monitoring kunnen organisaties ervoor zorgen dat de beveiligingsmaatregel effectief blijft en kunnen zij snel reageren op veranderingen in de bedreigingsomgeving of configuratieproblemen die de effectiviteit van de maatregel kunnen verminderen.

De eerste component van monitoring is het regelmatig controleren of de audit policy configuratie correct is toegepast op alle endpoints. Deze validatie is essentieel omdat configuraties kunnen worden gewijzigd door verschillende factoren, zoals conflicterende Group Policy Objecten, handmatige wijzigingen door beheerders, of problemen met de synchronisatie tussen apparaten en Microsoft Intune. Zonder regelmatige validatie kunnen organisaties aannemen dat de configuratie actief is terwijl dit in werkelijkheid niet het geval is, wat beveiligingsrisico's introduceert.

Deze validatie kan worden gedaan door het PowerShell monitoring script periodiek uit te voeren op een representatieve steekproef van apparaten in de organisatie. Het script controleert of de Account Logon audit subcategorie is geconfigureerd om zowel Success als Failure gebeurtenissen te registreren, wat essentieel is voor volledige zichtbaarheid in authenticatiegebeurtenissen. Daarnaast valideert het script of de configuratie overeenkomt met de verwachte instellingen zoals gedefinieerd in het Microsoft Intune beleid, wat helpt bij het identificeren van configuratiedrift of onbedoelde wijzigingen.

Het is aanbevolen om deze validatie minimaal maandelijks uit te voeren, of vaker bij significante wijzigingen in de omgeving of na het toevoegen van nieuwe endpoints. Voor kritieke omgevingen of organisaties met hoge beveiligingsvereisten kan wekelijkse of zelfs dagelijkse validatie worden overwogen. De frequentie van validatie moet worden afgestemd op de risicoprofiel van de organisatie en de snelheid waarmee de omgeving verandert. Organisaties met frequente wijzigingen in de omgeving of hoge beveiligingsvereisten moeten vaker valideren dan organisaties met stabiele omgevingen en lagere beveiligingsvereisten.

De tweede component van monitoring betreft de analyse van de gegenereerde audit logs. Account lockout gebeurtenissen worden geregistreerd in het Windows Security Event Log met specifieke Event IDs die belangrijke informatie bevatten over de aard van de gebeurtenis. Deze Event IDs zijn gestandaardiseerd door Microsoft en bieden gestructureerde informatie die kan worden gebruikt voor analyse en correlatie met andere beveiligingsgebeurtenissen. Het begrijpen van deze Event IDs en de informatie die ze bevatten is essentieel voor effectieve beveiligingsmonitoring.

Event ID 4625 registreert mislukte aanmeldpogingen, inclusief informatie over de gebruikersnaam, bron IP-adres, en de reden van de mislukking. Deze informatie is waardevol voor het identificeren van patronen in mislukte authenticatiepogingen, zoals herhaalde pogingen vanaf hetzelfde IP-adres of pogingen om toegang te krijgen tot meerdere accounts. Door deze gebeurtenissen te analyseren kunnen beveiligingsanalisten brute force aanvallen identificeren en vroegtijdig reageren voordat accounts daadwerkelijk worden gecompromitteerd.

Event ID 4740 registreert daadwerkelijke account lockout gebeurtenissen, waarbij een account wordt geblokkeerd na te veel mislukte pogingen. Deze gebeurtenissen zijn belangrijk omdat ze aangeven dat het account lockout mechanisme correct functioneert en dat accounts daadwerkelijk worden beschermd tegen brute force aanvallen. Door deze gebeurtenissen te analyseren kunnen beveiligingsanalisten identificeren welke accounts het meest worden aangevallen en kunnen zij aanvullende beveiligingsmaatregelen implementeren voor deze accounts.

Deze gebeurtenissen moeten worden verzameld in een centraal SIEM systeem voor analyse en correlatie met andere beveiligingsgebeurtenissen. Zonder centrale verzameling kunnen individuele gebeurtenissen op duizenden endpoints niet effectief worden geanalyseerd, wat betekent dat belangrijke beveiligingsincidenten onopgemerkt kunnen blijven. Een SIEM systeem maakt het mogelijk om gebeurtenissen van alle endpoints centraal te verzamelen, te correleren met andere beveiligingsgebeurtenissen, en automatische waarschuwingen te genereren bij verdachte activiteiten.

Voor effectieve beveiligingsmonitoring is het belangrijk om waarschuwingsregels te configureren die automatisch meldingen genereren bij verdachte patronen. Deze waarschuwingsregels moeten worden gebaseerd op bekende aanvalspatronen en bedreigingsinformatie, en moeten regelmatig worden bijgewerkt op basis van nieuwe bedreigingsinformatie. Het is belangrijk om een balans te vinden tussen het detecteren van echte bedreigingen en het vermijden van te veel valse positieven, wat kan leiden tot waarschuwingsmoeheid en verminderde effectiviteit van de monitoring.

Bijvoorbeeld, een waarschuwing moet worden gegenereerd wanneer meerdere account lockout gebeurtenissen optreden binnen een korte tijdsperiode voor hetzelfde account, wat kan wijzen op een brute force aanval. Deze waarschuwingen moeten worden geëscaleerd naar het beveiligingsoperatiecentrum (SOC) of het incident response team voor verdere analyse en actie. Evenzo moeten waarschuwingen worden geconfigureerd voor lockout gebeurtenissen die optreden buiten normale kantooruren of vanaf onbekende IP-adressen of geografische locaties, wat kan wijzen op ongeautoriseerde toegangspogingen.

Naast automatische waarschuwingen is het belangrijk om regelmatig dashboards en rapporten te genereren die inzicht geven in account lockout trends over tijd. Deze rapporten helpen bij het identificeren van systemische problemen, zoals te strikte lockout policies die leiden tot onnodige gebruikersfrustratie, of juist te soepele policies die onvoldoende bescherming bieden tegen aanvallen. Door trends te analyseren kunnen organisaties hun beveiligingsbeleid optimaliseren en de balans vinden tussen beveiliging en gebruiksvriendelijkheid.

Rapportage moet minimaal maandelijks plaatsvinden en moet trends analyseren zoals het aantal lockout gebeurtenissen per gebruiker, de meest getroffen accounts, en de tijden waarop lockouts het meest voorkomen. Deze informatie is waardevol voor het identificeren van problemen in de beveiligingsconfiguratie en voor het optimaliseren van de beveiligingsmaatregelen. Rapportage moet ook worden gebruikt om management te informeren over de effectiviteit van de beveiligingsmaatregel en om te demonstreren dat de organisatie voldoet aan compliance vereisten.

Ten slotte is het belangrijk om de monitoring processen zelf regelmatig te evalueren en te verbeteren. Dit omvat het testen van waarschuwingsregels om te verzekeren dat ze correct functioneren en geen valse positieven genereren, het bijwerken van monitoring queries op basis van nieuwe bedreigingsinformatie, en het trainen van beveiligingsanalisten in het interpreteren van account lockout gebeurtenissen en het onderscheiden tussen legitieme gebruikersfouten en echte beveiligingsincidenten. Door continu te verbeteren kunnen organisaties hun beveiligingspositie versterken en sneller reageren op potentiële bedreigingen. Deze continue verbetering is essentieel omdat de bedreigingsomgeving constant evolueert en nieuwe aanvalsmethoden worden ontwikkeld, wat betekent dat monitoring processen regelmatig moeten worden bijgewerkt om effectief te blijven.

Gebruik PowerShell-script account-logon-logoff-audit-account-lockout-is-set-to-include-failure.ps1 (functie Invoke-Monitoring) – Gebruik dit PowerShell script om de account lockout audit logging configuratie te controleren en te valideren op Windows endpoints..

Remediatie

Wanneer monitoring aangeeft dat account lockout audit logging niet correct is geconfigureerd op een of meer endpoints, moet onmiddellijk actie worden ondernomen om de beveiligingsconfiguratie te herstellen. Remediatie omvat zowel het automatisch corrigeren van configuratiefouten via Microsoft Intune als handmatige interventie wanneer automatische remediatie niet mogelijk is. Snelle en effectieve remediatie is essentieel omdat elke periode waarin de audit logging niet actief is, een beveiligingsrisico vormt waarbij potentiële bedreigingen onopgemerkt kunnen blijven.

Het remediatieproces moet worden gezien als een kritieke beveiligingsactiviteit die prioriteit heeft boven andere operationele taken. Wanneer configuratiefouten worden gedetecteerd, moeten deze onmiddellijk worden aangepakt om te voorkomen dat de beveiligingsposture van de organisatie wordt aangetast. Het is belangrijk om een duidelijk remediatieproces te hebben dat snel kan worden uitgevoerd wanneer problemen worden gedetecteerd, en om beheerders te trainen in het uitvoeren van remediatie-acties om ervoor te zorgen dat problemen snel kunnen worden opgelost.

De eerste stap in het remediatieproces is het identificeren van de oorzaak van de configuratiefout. Deze identificatie is essentieel omdat verschillende oorzaken verschillende remediatie-acties vereisen, en het toepassen van de verkeerde remediatie kan het probleem verergeren of nieuwe problemen introduceren. Het is belangrijk om grondig te onderzoeken wat de oorzaak is van de configuratiefout voordat met remediatie wordt begonnen, om ervoor te zorgen dat de juiste acties worden ondernomen.

Veelvoorkomende oorzaken zijn onder meer conflicterende Group Policy Objecten (GPOs) die de Intune configuratie overschrijven, apparaten die niet correct zijn geregistreerd in Microsoft Intune, of synchronisatieproblemen tussen het apparaat en de Intune service. Elk van deze oorzaken vereist een andere aanpak voor remediatie, wat betekent dat het identificeren van de specifieke oorzaak cruciaal is voor effectieve remediatie. Het PowerShell remediatie script kan worden gebruikt om de huidige configuratie te analyseren en te identificeren waarom de audit logging niet correct is toegepast.

Het script controleert zowel de lokale audit policy configuratie als de Intune policy status op het apparaat, wat helpt bij het identificeren van waar het probleem zich bevindt. Als de lokale configuratie correct is maar de Intune policy status aangeeft dat het beleid niet is toegepast, wijst dit op een synchronisatieprobleem. Als de lokale configuratie incorrect is, wijst dit op een probleem met de configuratie zelf of met conflicterende configuraties. Deze informatie is essentieel voor het bepalen van de juiste remediatie-actie.

Voor apparaten waar de Intune policy niet correct is toegepast, kan automatische remediatie worden uitgevoerd door het PowerShell script uit te voeren met de remediatie functie. Het script past de audit policy configuratie direct aan op het lokale apparaat om te verzekeren dat account lockout gebeurtenissen worden geregistreerd, zelfs wanneer de Intune policy niet correct is gesynchroniseerd. Dit biedt onmiddellijke beveiliging terwijl de onderliggende synchronisatieproblemen worden opgelost, wat belangrijk is omdat het voorkomt dat er een periode is waarin de audit logging niet actief is.

Het is echter belangrijk om te benadrukken dat automatische remediatie een tijdelijke oplossing is en dat de hoofdoorzaak van het probleem moet worden geïdentificeerd en opgelost. Als de hoofdoorzaak niet wordt aangepakt, kan het probleem terugkeren, wat betekent dat de remediatie opnieuw moet worden uitgevoerd. Dit is niet alleen inefficiënt, maar het introduceert ook het risico dat het probleem niet wordt gedetecteerd wanneer het terugkeert, wat betekent dat de audit logging opnieuw inactief kan zijn zonder dat dit wordt opgemerkt.

Wanneer conflicterende GPOs de Intune configuratie overschrijven, moet de organisatie de Group Policy configuratie herzien en aanpassen. Dit is een complex proces dat zorgvuldige planning vereist, omdat wijzigingen in Group Policy configuraties kunnen invloed hebben op andere beveiligingsinstellingen en configuraties. Het is belangrijk om te begrijpen welke GPOs de Intune configuratie overschrijven en waarom, zodat de juiste aanpassingen kunnen worden gemaakt zonder andere configuraties te verstoren.

In hybride omgevingen waar zowel on-premises Active Directory als Microsoft Intune worden gebruikt, is het belangrijk om een duidelijke hiërarchie te definiëren voor welke configuratiemethode prioriteit heeft. Deze hiërarchie moet worden gedocumenteerd en gecommuniceerd naar alle beheerders om ervoor te zorgen dat iedereen begrijpt welke configuratiemethode prioriteit heeft en waarom. Het is aanbevolen om Intune configuraties prioriteit te geven voor cloud-eerst organisaties, of om specifieke GPOs te configureren die dezelfde instellingen afdwingen als de Intune policies om conflicten te voorkomen.

Voor apparaten die niet correct zijn geregistreerd in Microsoft Intune, moet het registratieproces opnieuw worden uitgevoerd. Dit kan betekenen dat het apparaat handmatig moet worden toegevoegd aan Microsoft Intune, of dat de bestaande registratie moet worden verwijderd en opnieuw moet worden geconfigureerd. Tijdens dit proces is het belangrijk om te verzekeren dat het apparaat voldoet aan alle registratievereisten, zoals het hebben van een geldige licentie en het kunnen communiceren met de Intune service endpoints. Zonder deze vereisten zal het registratieproces niet succesvol zijn, wat betekent dat het apparaat nog steeds niet correct zal worden beheerd.

Na het uitvoeren van remediatie moet de configuratie opnieuw worden gevalideerd om te verzekeren dat de audit logging correct functioneert. Deze validatie is essentieel omdat het bevestigt dat de remediatie succesvol is geweest en dat de audit logging nu actief is. Zonder validatie kunnen organisaties aannemen dat de remediatie succesvol is geweest terwijl dit in werkelijkheid niet het geval is, wat betekent dat de beveiligingsrisico's blijven bestaan.

Het monitoring script moet opnieuw worden uitgevoerd om te bevestigen dat de configuratie nu correct is. Dit script controleert of de audit policy configuratie overeenkomt met de verwachte instellingen en rapporteert of de configuratie correct is. Daarnaast moet worden gecontroleerd of de audit logs daadwerkelijk worden gegenereerd door het testen van een account lockout scenario op het gerepareerde apparaat. Als de remediatie succesvol is, moeten de Event IDs 4625 en 4740 zichtbaar zijn in het Windows Security Event Log, wat bevestigt dat de audit logging daadwerkelijk functioneert.

Als de remediatie niet succesvol is, moet het probleem verder worden onderzocht en mogelijk moet contact worden opgenomen met Microsoft support voor aanvullende hulp. Het is belangrijk om niet op te geven wanneer de eerste remediatie-poging niet succesvol is, maar om door te gaan met het onderzoeken van het probleem totdat het is opgelost. In sommige gevallen kunnen complexe problemen aanvullende expertise vereisen, wat betekent dat het raadplegen van externe experts of Microsoft support noodzakelijk kan zijn om het probleem op te lossen.

Gebruik PowerShell-script account-logon-logoff-audit-account-lockout-is-set-to-include-failure.ps1 (functie Invoke-Remediation) – Gebruik dit PowerShell script om automatisch de account lockout audit logging configuratie te herstellen op Windows endpoints waar de configuratie niet correct is toegepast..

Compliance en Auditing

Account lockout audit logging is een kritieke vereiste voor compliance met verschillende beveiligingsstandaarden en regelgeving die van toepassing zijn op Nederlandse overheidsorganisaties. Deze beveiligingsmaatregel draagt direct bij aan het voldoen aan de vereisten van de Baseline Informatiebeveiliging Overheid (BIO), ISO 27001:2022, en de CIS Security Benchmarks, die allemaal specifieke eisen stellen aan het loggen en monitoren van authenticatiegebeurtenissen. Compliance met deze standaarden is niet alleen een wettelijke of contractuele verplichting, maar vormt ook een fundamenteel onderdeel van een effectief beveiligingsprogramma dat bescherming biedt tegen moderne cyberbedreigingen.

Het belang van compliance kan niet worden overschat, omdat niet-naleving kan leiden tot aanzienlijke gevolgen, waaronder financiële boetes, reputatieschade, en verlies van vertrouwen van burgers en stakeholders. Voor Nederlandse overheidsorganisaties is compliance met de BIO Baseline Informatiebeveiliging Overheid zelfs een wettelijke verplichting, wat betekent dat niet-naleving kan leiden tot juridische gevolgen. Daarom is het essentieel dat organisaties niet alleen de technische configuratie correct implementeren, maar ook kunnen aantonen dat zij voldoen aan alle relevante compliance vereisten tijdens externe audits.

Voor de BIO Baseline Informatiebeveiliging Overheid is controle 16.01 van toepassing, die vereist dat organisaties gebeurtenissen loggen en audittrails onderhouden voor alle kritieke systemen en processen. Deze controle is een fundamenteel onderdeel van de BIO Baseline en vormt de basis voor effectieve beveiligingsmonitoring en incident detection. Account lockout gebeurtenissen worden expliciet genoemd als onderdeel van de authenticatie- en autorisatie logging vereisten, omdat zij essentiële informatie bevatten over potentiële beveiligingsincidenten zoals brute force aanvallen, gestolen credentials, of gecompromitteerde accounts.

Door zowel geslaagde als mislukte account lockout gebeurtenissen te registreren, kunnen organisaties aantonen dat zij voldoen aan de BIO vereisten voor beveiligingsmonitoring en incidentdetectie. Deze volledige logging is belangrijk omdat het beveiligingsanalisten in staat stelt om een compleet beeld te krijgen van authenticatieactiviteiten, wat essentieel is voor het detecteren en reageren op beveiligingsincidenten. Tijdens BIO audits moeten organisaties kunnen aantonen dat account lockout logging is geconfigureerd en actief is op alle relevante endpoints, en dat de gegenereerde logs worden verzameld, bewaard en geanalyseerd volgens de vastgestelde retentievereisten.

De BIO Baseline vereist ook dat organisaties kunnen aantonen dat zij een effectief beveiligingsmonitoring programma hebben geïmplementeerd, waarbij account lockout logging een concrete maatregel is die bijdraagt aan dit programma. Tijdens BIO audits zullen auditors controleren of de configuratie correct is geïmplementeerd, of logs worden bewaard volgens de vereisten, en of logs regelmatig worden geanalyseerd voor verdachte activiteiten. Organisaties die niet kunnen aantonen dat zij voldoen aan deze vereisten kunnen worden geconfronteerd met bevindingen die moeten worden opgelost voordat de audit als succesvol kan worden beschouwd.

Voor ISO 27001:2022 is controle A.12.4.1 van toepassing, die vereist dat organisaties logging en monitoring implementeren voor alle relevante gebeurtenissen, inclusief authenticatie- en autorisatiegebeurtenissen. Deze controle is onderdeel van de Information Security Management System (ISMS) vereisten en vormt een essentieel onderdeel van het risicomanagement framework. Account lockout audit logging vormt een essentieel onderdeel van deze controle, omdat het informatie biedt over mislukte authenticatiepogingen en potentiële ongeautoriseerde toegangspogingen, wat belangrijk is voor het identificeren en beheren van beveiligingsrisico's.

ISO 27001 certificering vereist dat organisaties kunnen aantonen dat zij een uitgebreid logging en monitoring programma hebben geïmplementeerd, en account lockout logging is een concrete maatregel die bijdraagt aan het voldoen aan deze vereisten. Tijdens ISO 27001 audits moeten organisaties kunnen demonstreren dat de logging configuratie correct is geïmplementeerd, dat logs worden bewaard volgens de vastgestelde retentieperiodes, en dat logs regelmatig worden geanalyseerd voor verdachte activiteiten. Deze demonstratie omvat niet alleen technische configuratie, maar ook organisatorische processen en procedures die ervoor zorgen dat logging effectief wordt gebruikt voor beveiligingsmonitoring en incident response.

De CIS Security Benchmarks specificeren in controle 18.9.19.2 dat account logon audit logging moet worden geconfigureerd om zowel Success als Failure gebeurtenissen te registreren. Deze controle is geclassificeerd als Level 1, wat betekent dat het een fundamentele beveiligingsmaatregel is die moet worden geïmplementeerd in alle omgevingen. Level 1 controles zijn ontworpen om minimale beveiligingsvereisten te bieden die geschikt zijn voor de meeste organisaties, wat betekent dat niet-naleving kan worden gezien als een fundamenteel beveiligingsprobleem.

Door te voldoen aan deze CIS controle, kunnen organisaties hun beveiligingspositie verbeteren en aantonen dat zij beste praktijken uit de industrie volgen voor Windows endpoint beveiliging. CIS compliance assessments controleren expliciet of account lockout logging correct is geconfigureerd, en niet-naleving kan leiden tot lagere beveiligingsscores en verhoogde risico's. Deze scores worden vaak gebruikt door management en stakeholders om de algehele beveiligingspositie van de organisatie te evalueren, wat betekent dat niet-naleving kan leiden tot vragen over de effectiviteit van het beveiligingsprogramma.

Naast het voldoen aan deze specifieke standaarden, draagt account lockout audit logging ook bij aan algemene compliance vereisten voor data protection en privacy. De Algemene Verordening Gegevensbescherming (AVG) vereist dat organisaties passende technische en organisatorische maatregelen implementeren om persoonsgegevens te beschermen tegen ongeautoriseerde toegang. Deze vereiste is vastgelegd in Artikel 32 van de AVG, die specifiek eist dat organisaties passende technische maatregelen implementeren om de beveiliging van persoonsgegevens te waarborgen.

Account lockout logging helpt bij het detecteren en voorkomen van ongeautoriseerde toegang tot systemen die persoonsgegevens bevatten, en vormt daarom een belangrijke technische maatregel voor AVG compliance. Door mislukte authenticatiepogingen te registreren en te monitoren, kunnen organisaties vroegtijdig detecteren wanneer er pogingen worden ondernomen om ongeautoriseerde toegang te krijgen tot systemen met persoonsgegevens, wat essentieel is voor het beschermen van de privacy van betrokkenen. Tijdens AVG audits kunnen organisaties aantonen dat zij logging hebben geïmplementeerd om ongeautoriseerde toegang te detecteren en te voorkomen, wat bijdraagt aan het aantonen dat zij voldoen aan de vereisten voor passende technische maatregelen.

Voor effectieve compliance en auditing is het essentieel dat organisaties uitgebreide documentatie onderhouden over de account lockout audit logging configuratie. Deze documentatie moet de configuratie-instellingen beschrijven, de scope van de implementatie (welke endpoints zijn geconfigureerd), de retentievereisten voor audit logs, en de procedures voor log analyse en incident response. Deze documentatie is niet alleen belangrijk voor interne referentie, maar vormt ook een essentieel onderdeel van audit evidence die moet worden gepresenteerd tijdens externe audits.

Daarnaast moeten organisaties regelmatig compliance assessments uitvoeren om te verzekeren dat de configuratie nog steeds voldoet aan alle relevante standaarden en dat eventuele wijzigingen in de omgeving of configuratie correct zijn gedocumenteerd. Deze assessments moeten worden uitgevoerd door onafhankelijke partijen of interne audit teams die de configuratie kunnen evalueren tegen de vereisten van de relevante standaarden. Tijdens externe audits moeten organisaties deze documentatie kunnen presenteren en kunnen aantonen dat de configuratie daadwerkelijk is geïmplementeerd en actief is op alle relevante endpoints. Zonder deze documentatie en assessments kunnen organisaties moeite hebben om te voldoen aan compliance vereisten, wat kan leiden tot bevindingen tijdens audits en mogelijke gevolgen voor de organisatie.

Compliance & Frameworks

• CIS M365: Control 18.9.19.2 (L1) - CIS Security Benchmark aanbevelingen
• BIO: 16.01 - BIO Baseline Informatiebeveiliging Overheid - 16.01 - Gebeurtenissen logging en audittrails
• ISO 27001:2022: A.12.4.1 - ISO 27001:2022 - Gebeurtenissen logging en audittrails

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

Risico zonder implementatie

Management Samenvatting

Schakel account lockout audit logging in via Microsoft Intune om zowel geslaagde als mislukte account lockout gebeurtenissen te registreren, wat essentieel is voor beveiligingsmonitoring, incidentdetectie en compliance met BIO, ISO 27001 en CIS standaarden.

• Implementatietijd: 2 uur
• FTE required: 0.01 FTE