💼 Management Samenvatting
Deze beveiligingsregel waarborgt de correcte configuratie van audit logging voor groepslidmaatschap gebeurtenissen tijdens account logon en logoff op Windows endpoints, inclusief zowel geslaagde als mislukte pogingen.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
7/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Windows
Groepslidmaatschap gebeurtenissen tijdens authenticatie vormen een kritieke indicator voor potentiële beveiligingsincidenten zoals privilege escalation, ongeautoriseerde toegang tot resources, of wijzigingen in gebruikersrechten. Door groepslidmaatschap gebeurtenissen te registreren tijdens account logon en logoff, krijgen beveiligingsteams volledige zichtbaarheid in welke groepen en rechten actief zijn tijdens authenticatiepogingen en kunnen zij wijzigingen in toegangsrechten vroegtijdig detecteren en reageren. Deze instelling is onderdeel van de Windows beveiligingsbaseline en beschermt tegen bekende aanvalsvectoren door het afdwingen van uitgebreide audit logging configuraties die voldoen aan compliance vereisten zoals BIO, ISO 27001 en CIS benchmarks.
PowerShell Modules Vereist
Primary API: Graph
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
Deze beveiligingsregel configureert de Windows audit policy voor account logon en logoff gebeurtenissen, specifiek gericht op het registreren van groepslidmaatschap gebeurtenissen inclusief geslaagde pogingen. De configuratie wordt geïmplementeerd via Microsoft Intune apparaatconfiguratiebeleid of compliance policies om Windows endpoints te beveiligen volgens beveiligingsbeste praktijken. De audit logging omvat groepslidmaatschap informatie die wordt geëvalueerd tijdens authenticatie, waardoor beveiligingsanalisten een compleet beeld krijgen van welke groepen en rechten actief zijn tijdens account logon en logoff gebeurtenissen en potentiële bedreigingen kunnen identificeren.
Vereisten
Voor de implementatie van groepslidmaatschap audit logging tijdens account logon en logoff via Microsoft Intune zijn verschillende technische en organisatorische vereisten van toepassing die zorgvuldig moeten worden geëvalueerd voordat met de implementatie wordt begonnen. Deze vereisten vormen de fundering voor een succesvolle en effectieve beveiligingsmaatregel die bijdraagt aan de algehele beveiligingspositie van de organisatie. Het niet voldoen aan deze vereisten kan leiden tot onvolledige implementaties, configuratiefouten, of het onvermogen om effectief gebruik te maken van de gegenereerde audit logs voor beveiligingsmonitoring en incident response. Een grondige voorbereiding en verificatie van alle vereisten voorkomt problemen tijdens de implementatie en zorgt ervoor dat de beveiligingsmaatregel direct na implementatie volledig functioneel is.
Ten eerste is een actief Microsoft Intune licentie vereist voor alle Windows endpoints die beveiligd moeten worden. De organisatie moet beschikken over een geldige Microsoft 365 E3 of E5 licentie, of een specifieke Microsoft Intune licentie, om toegang te krijgen tot de apparaatconfiguratiebeleidsregels functionaliteit. Deze licenties bieden toegang tot de volledige suite van Microsoft Intune beheerfuncties, inclusief endpoint security configuratie, compliance policies, en geavanceerde monitoring mogelijkheden. Zonder de juiste licentie kan de organisatie geen gebruik maken van de apparaatconfiguratieprofielen die nodig zijn om groepslidmaatschap audit logging te configureren. Het is belangrijk om te verifiëren dat alle doelapparaten onder een geldige licentie vallen voordat de implementatie begint, omdat apparaten zonder licentie niet kunnen worden beheerd via Microsoft Intune. Voor grote organisaties kan dit betekenen dat een licentie-inventarisatie moet worden uitgevoerd om te verifiëren dat alle endpoints correct zijn gelicentieerd.
Daarnaast is het essentieel dat alle doelapparaten correct zijn geregistreerd in Microsoft Intune en deel uitmaken van een beveiligingsgroep of apparaatconfiguratieprofiel. Apparaatregistratie is het proces waarbij een Windows endpoint wordt toegevoegd aan het Microsoft Intune beheersysteem, waardoor het apparaat kan worden beheerd, gemonitord en geconfigureerd vanuit de cloud. Tijdens het registratieproces wordt een vertrouwensrelatie gevestigd tussen het apparaat en Microsoft Intune, waardoor beleidsregels kunnen worden toegepast en configuraties kunnen worden afgedwongen. Apparaten die niet correct zijn geregistreerd kunnen geen beleidsregels ontvangen, waardoor de groepslidmaatschap audit logging configuratie niet kan worden toegepast. Het is daarom cruciaal om een volledige inventarisatie te maken van alle Windows endpoints in de organisatie en te verifiëren dat ze allemaal correct zijn geregistreerd voordat de implementatie begint. Deze inventarisatie moet ook controleren of apparaten deel uitmaken van de juiste beveiligingsgroepen of apparaatconfiguratieprofielen die nodig zijn voor de toewijzing van het audit logging beleid.
Vanuit technisch perspectief vereist deze configuratie dat Windows endpoints minimaal Windows 10 versie 1809 of hoger draaien, of Windows 11. Deze versievereisten zijn belangrijk omdat oudere versies van Windows mogelijk niet alle benodigde audit policy functionaliteiten ondersteunen die vereist zijn voor groepslidmaatschap logging tijdens account logon en logoff. Windows 10 versie 1809 introduceerde belangrijke verbeteringen in de audit logging infrastructuur, inclusief betere ondersteuning voor gedetailleerde audit subcategorieën en verbeterde integratie met cloud-based management systemen zoals Microsoft Intune. Voor oudere versies van Windows kunnen aanvullende configuratiemethoden nodig zijn, zoals Group Policy Objects via on-premises Active Directory, maar deze methoden bieden minder flexibiliteit en centralisatie dan Microsoft Intune. Het is aanbevolen om alle endpoints te upgraden naar ondersteunde versies voordat de implementatie begint, omdat dit de consistentie en betrouwbaarheid van de audit logging configuratie verbetert. Voor organisaties met grote aantallen oudere Windows versies kan dit een significante upgrade-inspanning vereisen die moet worden gepland en uitgevoerd voordat de audit logging configuratie kan worden geïmplementeerd.
De apparaten moeten verbonden zijn met het Microsoft Intune service en regelmatig synchroniseren om beleidsupdates te ontvangen. Deze synchronisatie is essentieel omdat Microsoft Intune een cloud-based beheersysteem is dat configuraties en beleidsregels pusht naar apparaten via een periodieke synchronisatiecyclus. Tijdens deze synchronisatie controleert het apparaat met Microsoft Intune of er nieuwe of bijgewerkte beleidsregels zijn die moeten worden toegepast. Als een apparaat niet regelmatig synchroniseert, kan het nieuwe of bijgewerkte configuraties missen, waardoor de groepslidmaatschap audit logging mogelijk niet correct wordt geconfigureerd of bijgewerkt. Het is belangrijk dat apparaten een stabiele internetverbinding hebben en dat firewallregels zijn geconfigureerd om communicatie met Microsoft Intune service endpoints toe te staan. Daarnaast is het belangrijk dat de Intune Management Extension correct is geïnstalleerd en actief is op alle doelapparaten, omdat deze extensie verantwoordelijk is voor het toepassen van bepaalde configuratietypes, inclusief audit policy instellingen. De Intune Management Extension moet regelmatig worden gecontroleerd om te verifiëren dat deze correct functioneert en up-to-date is.
Vanuit beveiligingsperspectief moet de organisatie beschikken over voldoende rechten binnen Microsoft Intune om apparaatconfiguratiebeleidsregels te maken, wijzigen en toewijzen. Deze rechten zijn essentieel omdat zonder de juiste bevoegdheden de configuratie niet kan worden geïmplementeerd of beheerd. De beheerder moet minimaal de rol van Intune Service Administrator of Device Configuration Administrator hebben. De Intune Service Administrator rol biedt volledige toegang tot alle Microsoft Intune functies, inclusief het maken en beheren van apparaatconfiguratieprofielen, terwijl de Device Configuration Administrator rol specifiek gericht is op het beheren van apparaatconfiguraties en compliance policies. Voor grootschalige implementaties is het aanbevolen om gebruik te maken van op rollen gebaseerde toegangscontrole om specifieke beheerders toe te wijzen aan specifieke beveiligingsgroepen of apparaatcategorieën. Deze aanpak verbetert de beveiliging door het principe van minimale privileges toe te passen, waarbij beheerders alleen de rechten krijgen die ze nodig hebben voor hun specifieke taken, en het verbetert ook de operationele efficiëntie door beheerders toe te wijzen aan de apparaten waar ze expertise in hebben. Op rollen gebaseerde toegangscontrole helpt ook bij het voldoen aan compliance vereisten door duidelijke scheiding van taken en verantwoordelijkheden te bieden.
Organisatorisch gezien moet de organisatie een duidelijk beleid hebben vastgesteld voor audit logging en gegevensretentie. Dit beleid vormt de basis voor alle audit logging activiteiten en moet specificeren hoe lang audit logs worden bewaard, wie toegang heeft tot deze logs, en welke procedures worden gevolgd bij het detecteren van verdachte activiteiten. De retentieperiode voor audit logs moet worden bepaald op basis van compliance vereisten, zoals BIO, ISO 27001, of AVG, die vaak specifieke minimale retentieperiodes voorschrijven. Daarnaast moet het beleid duidelijk maken wie toegang heeft tot audit logs, omdat deze logs gevoelige informatie kunnen bevatten over gebruikersactiviteiten, groepslidmaatschappen en beveiligingsincidenten. Toegangscontrole tot audit logs moet worden gebaseerd op het principe van minimale privileges, waarbij alleen geautoriseerde personen toegang krijgen tot logs die relevant zijn voor hun functie. Het beleid moet ook procedures bevatten voor het detecteren en reageren op verdachte activiteiten die worden geïdentificeerd in audit logs, inclusief escalatieprocedures en incident response workflows. Deze procedures moeten regelmatig worden getest en bijgewerkt op basis van lessen geleerd uit eerdere incidenten.
De organisatie moet ook beschikken over een beveiligingsinformatie- en gebeurtenisbeheersysteem of log aggregatie platform om de gegenereerde audit logs centraal te verzamelen, analyseren en bewaren. Zonder een dergelijk systeem verliezen de audit logs hun waarde voor beveiligingsmonitoring en incident response, omdat individuele logs op duizenden endpoints niet effectief kunnen worden geanalyseerd zonder centrale aggregatie en analyse. Een beveiligingsinformatie- en gebeurtenisbeheersysteem verzamelt logs van alle endpoints, normaliseert ze in een gestandaardiseerd formaat, en biedt geavanceerde analyse- en correlatiemogelijkheden om verdachte patronen te identificeren. Deze systemen kunnen ook automatische waarschuwingen genereren wanneer specifieke gebeurtenissen of patronen worden gedetecteerd, zoals onverwachte wijzigingen in groepslidmaatschappen tijdens authenticatie, waardoor beveiligingsteams proactief kunnen reageren op potentiële bedreigingen. Voor kleinere organisaties kan een eenvoudiger log aggregatie platform voldoende zijn, zolang het maar in staat is om logs centraal te verzamelen en basisanalyse mogelijk te maken. Het is belangrijk dat het gekozen systeem schaalbaar is en kan groeien met de organisatie, omdat het aantal endpoints en de hoeveelheid gegenereerde logs in de loop van de tijd zullen toenemen.
Ten slotte is het belangrijk dat de organisatie beschikt over voldoende technische expertise om de configuratie correct te implementeren en te onderhouden. Dit omvat kennis van Microsoft Intune, Windows audit policies, Active Directory groepslidmaatschappen, en beveiligingsmonitoring beste praktijken. Beheerders moeten begrijpen hoe Microsoft Intune werkt, hoe apparaatconfiguratieprofielen worden gemaakt en toegewezen, en hoe ze kunnen controleren of configuraties correct zijn toegepast. Daarnaast moeten ze kennis hebben van Windows audit policies, inclusief de verschillende audit subcategorieën en hoe deze worden geconfigureerd, en hoe groepslidmaatschap informatie wordt vastgelegd tijdens account logon en logoff gebeurtenissen. Kennis van beveiligingsmonitoring beste praktijken is essentieel om effectief gebruik te maken van de gegenereerde audit logs voor bedreigingsdetectie en incident response. Voor complexe omgevingen met duizenden endpoints is het aanbevolen om een gefaseerde implementatie te volgen, beginnend met een pilot groep van kritieke apparaten, gevolgd door een geleidelijke uitrol naar alle endpoints in de organisatie. Deze aanpak minimaliseert risico's en stelt organisaties in staat om lessen te leren uit de pilot fase voordat ze de volledige implementatie uitvoeren. Het is ook belangrijk dat beheerders regelmatig training volgen om up-to-date te blijven met de nieuwste ontwikkelingen in Microsoft Intune en Windows beveiligingsfuncties.
Implementatie
De implementatie van groepslidmaatschap audit logging tijdens account logon en logoff via Microsoft Intune vereist een gestructureerde aanpak die begint met het voorbereiden van de omgeving en het configureren van de juiste beleidsregels. Het implementatieproces bestaat uit verschillende fasen die zorgvuldig moeten worden uitgevoerd om ervoor te zorgen dat alle endpoints correct worden geconfigureerd en dat de audit logging naar behoren functioneert. Een goed geplande en uitgevoerde implementatie is essentieel voor het succes van deze beveiligingsmaatregel en draagt direct bij aan de algehele beveiligingspositie van de organisatie.
Het implementatieproces begint met een grondige voorbereiding waarbij alle vereisten worden gecontroleerd en de omgeving wordt voorbereid voor de configuratie. Dit omvat het verifiëren van licenties, het controleren van apparaatregistraties, en het identificeren van alle endpoints die moeten worden geconfigureerd. Tijdens deze voorbereidingsfase is het belangrijk om een duidelijk overzicht te hebben van de huidige staat van de omgeving, inclusief welke apparaten al zijn geconfigureerd en welke nog configuratie nodig hebben. Deze informatie is essentieel voor het plannen van de implementatie en het identificeren van potentiële uitdagingen voordat ze problemen veroorzaken.
De eerste stap in het daadwerkelijke implementatieproces is het aanmelden bij de Microsoft Intune admin center met een account dat de benodigde beheerrechten heeft. Deze rechten zijn essentieel omdat zonder de juiste rollen de configuratie-opties mogelijk niet beschikbaar zijn of wijzigingen niet kunnen worden opgeslagen. Het is belangrijk om te verifiëren dat het gebruikte account over de juiste rechten beschikt voordat met de configuratie wordt begonnen, om te voorkomen dat tijd wordt verspild aan configuraties die niet kunnen worden opgeslagen.
Na het aanmelden moet u navigeren naar de Endpoint security sectie en selecteren Account protection om toegang te krijgen tot de audit policy configuratie opties. Deze navigatie is belangrijk omdat de audit policy instellingen zich in een specifieke sectie bevinden die niet altijd direct zichtbaar is in het hoofdmenu. Eenmaal in de juiste sectie kunt u een nieuw apparaatconfiguratieprofiel aanmaken specifiek voor Windows 10 en later versies. Het is belangrijk om een duidelijke en beschrijvende naam te kiezen voor het profiel, zoals 'Windows Audit Policy - Group Membership Logging', zodat andere beheerders direct begrijpen wat het doel van het profiel is. Deze naamgeving is vooral belangrijk in grote organisaties waar meerdere beheerders werken aan verschillende configuratieprofielen.
Binnen het configuratieprofiel moet u navigeren naar de Audit Policy instellingen en specifiek de 'Account Logon' audit subcategorie configureren. Deze subcategorie controleert gebeurtenissen waarbij een account wordt gebruikt om zich aan te melden op een computer, wat een breed scala aan authenticatiegebeurtenissen omvat. Het is belangrijk om te begrijpen dat de Account Logon subcategorie verschilt van de Logon subcategorie, waarbij Account Logon zich richt op account-gebaseerde authenticatie en Logon zich richt op interactieve aanmeldingen. Voor groepslidmaatschap logging tijdens account logon en logoff is de Account Logon subcategorie de juiste keuze.
Voor groepslidmaatschap gebeurtenissen tijdens account logon en logoff moet u 'Success' audit logging inschakelen. Het inschakelen van Success logging registreert wanneer groepslidmaatschap informatie succesvol wordt geëvalueerd en vastgelegd tijdens account logon en logoff gebeurtenissen. Deze gebeurtenissen zijn belangrijk omdat ze aangeven welke groepen en rechten actief zijn tijdens authenticatiepogingen, wat essentiële informatie biedt voor beveiligingsanalisten om toegangsrechten te verifiëren en potentiële privilege escalation te detecteren. Door Success logging in te schakelen krijgen beveiligingsteams volledige zichtbaarheid in welke groepslidmaatschappen actief zijn tijdens account logon en logoff, wat essentieel is voor effectieve beveiligingsmonitoring en incident response.
Deze configuratie biedt volledige zichtbaarheid in het authenticatieproces en helpt bij het identificeren van onverwachte wijzigingen in groepslidmaatschappen, privilege escalation pogingen, en andere verdachte activiteiten. Door groepslidmaatschap gebeurtenissen te registreren tijdens account logon en logoff, kunnen beveiligingsanalisten een compleet beeld krijgen van welke groepen en rechten actief zijn tijdens authenticatiepogingen, wat essentieel is voor effectieve beveiligingsmonitoring en incident response. Zonder deze zichtbaarheid kunnen belangrijke beveiligingsincidenten zoals ongeautoriseerde toegang tot resources of privilege escalation onopgemerkt blijven, wat de organisatie blootstelt aan aanzienlijke risico's.
Na het configureren van de audit policy instellingen moet u het profiel toewijzen aan de juiste beveiligingsgroepen of apparaatgroepen. Deze toewijzing is cruciaal omdat zonder toewijzing het profiel niet actief zal zijn op enige endpoints, ongeacht hoe goed de configuratie is. Het is aanbevolen om gebruik te maken van dynamische beveiligingsgroepen die automatisch apparaten toevoegen op basis van criteria zoals besturingssysteem versie, apparaattype of organisatorische eenheid. Deze dynamische groepen maken het beheer eenvoudiger omdat nieuwe apparaten automatisch worden toegevoegd wanneer ze aan de criteria voldoen, zonder handmatige interventie.
Voor bestaande apparaten kan het enkele minuten tot enkele uren duren voordat het beleid wordt toegepast, afhankelijk van de synchronisatiefrequentie tussen het apparaat en Microsoft Intune. Deze vertraging is normaal en wordt veroorzaakt door het feit dat apparaten niet continu synchroniseren met Microsoft Intune, maar dit periodiek doen om netwerk- en systeembronnen te besparen. Het is belangrijk om rekening te houden met deze vertraging bij het plannen van de implementatie en het valideren van de configuratie. Voor kritieke apparaten kan het handmatig forceren van een synchronisatie helpen om de configuratie sneller toe te passen.
Na de toewijzing van het profiel is het essentieel om de implementatie te valideren door te controleren of de audit logging daadwerkelijk actief is op de doelapparaten. Deze validatie is belangrijk omdat het bevestigt dat de configuratie correct is toegepast en dat de audit logging daadwerkelijk functioneert zoals bedoeld. Zonder validatie kunnen organisaties aannemen dat de configuratie actief is terwijl dit in werkelijkheid niet het geval is, wat beveiligingsrisico's introduceert.
Validatie kan worden gedaan door het PowerShell script te gebruiken dat beschikbaar is in de code repository. Het script controleert de huidige audit policy configuratie op een apparaat en rapporteert of groepslidmaatschap logging correct is geconfigureerd. Het script biedt gedetailleerde informatie over de huidige configuratie, inclusief welke audit subcategorieën zijn ingeschakeld en of ze zijn geconfigureerd voor Success logging. Deze informatie is essentieel voor het verifiëren dat de configuratie overeenkomt met de verwachte instellingen.
Daarnaast kunt u handmatig controleren door de Windows Event Viewer te openen op een testapparaat en te zoeken naar Event IDs die groepslidmaatschap informatie bevatten tijdens account logon en logoff gebeurtenissen in het Security log. Als deze gebeurtenissen worden geregistreerd met groepslidmaatschap informatie, is de implementatie succesvol. Het is belangrijk om te testen met daadwerkelijke authenticatiepogingen om te verifiëren dat groepslidmaatschap gebeurtenissen correct worden geregistreerd. Zonder deze tests kan het zijn dat de configuratie alleen gedeeltelijk werkt, wat de effectiviteit van de beveiligingsmaatregel vermindert.
Voor grootschalige implementaties is het aanbevolen om een gefaseerde aanpak te volgen. Begin met een pilot groep van 10-20 kritieke endpoints, zoals servers of werkstations van beveiligingsteam leden. Deze pilot groep moet representatief zijn voor de volledige omgeving, inclusief verschillende besturingssysteem versies en apparaattypes, om ervoor te zorgen dat eventuele problemen vroegtijdig worden geïdentificeerd. Monitor deze apparaten gedurende minimaal één week om te verzekeren dat de audit logging correct functioneert en geen negatieve impact heeft op de prestaties van de apparaten.
Na succesvolle validatie van de pilot groep, kan de implementatie worden uitgebreid naar alle endpoints in de organisatie. Tijdens de uitrol is het belangrijk om regelmatig te controleren of apparaten het beleid correct ontvangen en toepassen, en om eventuele problemen snel op te lossen. Het is aanbevolen om een centrale tracking lijst bij te houden van alle apparaten en hun configuratiestatus, zodat duidelijk is welke apparaten nog configuratie nodig hebben en welke al correct zijn geconfigureerd. Deze tracking maakt het mogelijk om de voortgang van de implementatie te monitoren en eventuele problemen snel te identificeren en op te lossen.
Gebruik PowerShell-script account-logon-logoff-audit-group-membership-is-set-to-include-success.ps1 (functie Invoke-Monitoring) – Gebruik dit PowerShell script om de implementatie te valideren en te controleren of groepslidmaatschap audit logging tijdens account logon en logoff correct is geconfigureerd op uw Windows endpoints..
Monitoring en Validatie
Effectieve monitoring van groepslidmaatschap audit logging tijdens account logon en logoff is essentieel om te verzekeren dat de beveiligingsmaatregel naar behoren functioneert en om potentiële beveiligingsincidenten tijdig te detecteren. Monitoring omvat zowel technische validatie van de configuratie als continue analyse van de gegenereerde audit logs om verdachte activiteiten te identificeren, zoals onverwachte wijzigingen in groepslidmaatschappen of privilege escalation pogingen.
De eerste component van monitoring is het regelmatig controleren of de audit policy configuratie correct is toegepast op alle endpoints. Dit kan worden gedaan door het PowerShell monitoring script periodiek uit te voeren op een representatieve steekproef van apparaten in de organisatie. Het script controleert of de Account Logon audit subcategorie is geconfigureerd om Success gebeurtenissen te registreren, inclusief groepslidmaatschap informatie. Daarnaast valideert het script of de configuratie overeenkomt met de verwachte instellingen zoals gedefinieerd in het Microsoft Intune beleid. Het is aanbevolen om deze validatie minimaal maandelijks uit te voeren, of vaker bij significante wijzigingen in de omgeving of na het toevoegen van nieuwe endpoints.
De tweede component van monitoring betreft de analyse van de gegenereerde audit logs. Groepslidmaatschap gebeurtenissen tijdens account logon en logoff worden geregistreerd in het Windows Security Event Log met specifieke Event IDs die belangrijke informatie bevatten over de aard van de gebeurtenis en welke groepen actief zijn tijdens authenticatie. Deze gebeurtenissen bevatten gedetailleerde informatie over groepslidmaatschappen, inclusief welke beveiligingsgroepen en distributiegroepen actief zijn tijdens account logon en logoff, wat essentiële informatie biedt voor het verifiëren van toegangsrechten en het detecteren van onverwachte wijzigingen. Deze gebeurtenissen moeten worden verzameld in een centraal SIEM systeem voor analyse en correlatie met andere beveiligingsgebeurtenissen.
Voor effectieve beveiligingsmonitoring is het belangrijk om waarschuwingsregels te configureren die automatisch meldingen genereren bij verdachte patronen. Bijvoorbeeld, een waarschuwing moet worden gegenereerd wanneer onverwachte groepslidmaatschappen worden gedetecteerd tijdens account logon, wat kan wijzen op privilege escalation of ongeautoriseerde toegang. Evenzo moeten waarschuwingen worden geconfigureerd voor groepslidmaatschap wijzigingen die optreden buiten normale kantooruren of vanaf onbekende IP-adressen of geografische locaties. Deze waarschuwingen moeten worden geëscaleerd naar het beveiligingsoperatiecentrum (SOC) of het incident response team voor verdere analyse en actie.
Naast automatische waarschuwingen is het belangrijk om regelmatig dashboards en rapporten te genereren die inzicht geven in groepslidmaatschap trends tijdens account logon en logoff over tijd. Deze rapporten helpen bij het identificeren van systemische problemen, zoals onjuiste groepslidmaatschap configuraties die leiden tot onverwachte toegangsrechten, of patronen die kunnen wijzen op potentiële beveiligingsincidenten. Rapportage moet minimaal maandelijks plaatsvinden en moet trends analyseren zoals het aantal verschillende groepen dat actief is tijdens authenticatie per gebruiker, de meest gebruikte groepen, en de tijden waarop specifieke groepslidmaatschappen het meest voorkomen.
Ten slotte is het belangrijk om de monitoring processen zelf regelmatig te evalueren en te verbeteren. Dit omvat het testen van waarschuwingsregels om te verzekeren dat ze correct functioneren en geen vals-positieve meldingen genereren, het bijwerken van monitoring queries op basis van nieuwe bedreigingsinformatie, en het trainen van beveiligingsanalisten in het interpreteren van groepslidmaatschap gebeurtenissen tijdens account logon en logoff en het onderscheiden tussen legitieme authenticatie en echte beveiligingsincidenten. Door continu te verbeteren kunnen organisaties hun beveiligingspositie versterken en sneller reageren op potentiële bedreigingen.
Gebruik PowerShell-script account-logon-logoff-audit-group-membership-is-set-to-include-success.ps1 (functie Invoke-Monitoring) – Gebruik dit PowerShell script om de groepslidmaatschap audit logging configuratie tijdens account logon en logoff te controleren en te valideren op Windows endpoints..
Remediatie
Wanneer monitoring aangeeft dat groepslidmaatschap audit logging tijdens account logon en logoff niet correct is geconfigureerd op een of meer endpoints, moet onmiddellijk actie worden ondernomen om de beveiligingsconfiguratie te herstellen. Remediatie omvat zowel het automatisch corrigeren van configuratiefouten via Microsoft Intune als handmatige interventie wanneer automatische remediatie niet mogelijk is.
De eerste stap in het remediatieproces is het identificeren van de oorzaak van de configuratiefout. Veelvoorkomende oorzaken zijn onder meer conflicterende Group Policy Objecten (GPOs) die de Intune configuratie overschrijven, apparaten die niet correct zijn geregistreerd in Microsoft Intune, of synchronisatieproblemen tussen het apparaat en de Intune service. Het PowerShell remediatie script kan worden gebruikt om de huidige configuratie te analyseren en te identificeren waarom de audit logging niet correct is toegepast. Het script controleert zowel de lokale audit policy configuratie als de Intune policy status op het apparaat.
Voor apparaten waar de Intune policy niet correct is toegepast, kan automatische remediatie worden uitgevoerd door het PowerShell script uit te voeren met de remediatie functie. Het script past de audit policy configuratie direct aan op het lokale apparaat om te verzekeren dat groepslidmaatschap gebeurtenissen tijdens account logon en logoff worden geregistreerd, zelfs wanneer de Intune policy niet correct is gesynchroniseerd. Dit biedt onmiddellijke beveiliging terwijl de onderliggende synchronisatieproblemen worden opgelost. Het is echter belangrijk om te benadrukken dat automatische remediatie een tijdelijke oplossing is en dat de hoofdoorzaak van het probleem moet worden geïdentificeerd en opgelost.
Wanneer conflicterende GPOs de Intune configuratie overschrijven, moet de organisatie de Group Policy configuratie herzien en aanpassen. In hybride omgevingen waar zowel on-premises Active Directory als Microsoft Intune worden gebruikt, is het belangrijk om een duidelijke hiërarchie te definiëren voor welke configuratiemethode prioriteit heeft. Het is aanbevolen om Intune configuraties prioriteit te geven voor cloud-eerst organisaties, of om specifieke GPOs te configureren die dezelfde instellingen afdwingen als de Intune policies om conflicten te voorkomen.
Voor apparaten die niet correct zijn geregistreerd in Microsoft Intune, moet het registratieproces opnieuw worden uitgevoerd. Dit kan betekenen dat het apparaat handmatig moet worden toegevoegd aan Microsoft Intune, of dat de bestaande registratie moet worden verwijderd en opnieuw moet worden geconfigureerd. Tijdens dit proces is het belangrijk om te verzekeren dat het apparaat voldoet aan alle registratievereisten, zoals het hebben van een geldige licentie en het kunnen communiceren met de Intune service endpoints.
Na het uitvoeren van remediatie moet de configuratie opnieuw worden gevalideerd om te verzekeren dat de audit logging correct functioneert. Het monitoring script moet opnieuw worden uitgevoerd om te bevestigen dat de configuratie nu correct is. Daarnaast moet worden gecontroleerd of de audit logs daadwerkelijk worden gegenereerd door het testen van een account logon scenario op het gerepareerde apparaat en te verifiëren dat groepslidmaatschap informatie wordt vastgelegd. Als de remediatie succesvol is, moeten de relevante Event IDs zichtbaar zijn in het Windows Security Event Log met groepslidmaatschap informatie. Als de remediatie niet succesvol is, moet het probleem verder worden onderzocht en mogelijk moet contact worden opgenomen met Microsoft support voor aanvullende hulp.
Gebruik PowerShell-script account-logon-logoff-audit-group-membership-is-set-to-include-success.ps1 (functie Invoke-Remediation) – Gebruik dit PowerShell script om automatisch de groepslidmaatschap audit logging configuratie tijdens account logon en logoff te herstellen op Windows endpoints waar de configuratie niet correct is toegepast..
Compliance en Auditing
Groepslidmaatschap audit logging tijdens account logon en logoff is een kritieke vereiste voor compliance met verschillende beveiligingsstandaarden en regelgeving die van toepassing zijn op Nederlandse overheidsorganisaties. Deze beveiligingsmaatregel draagt direct bij aan het voldoen aan de vereisten van de Baseline Informatiebeveiliging Overheid (BIO), ISO 27001:2022, en de CIS Security Benchmarks, die allemaal specifieke eisen stellen aan het loggen en monitoren van authenticatiegebeurtenissen en toegangsrechten.
Voor de BIO Baseline Informatiebeveiliging Overheid is controle 16.01 van toepassing, die vereist dat organisaties gebeurtenissen loggen en audittrails onderhouden voor alle kritieke systemen en processen. Groepslidmaatschap gebeurtenissen tijdens account logon en logoff worden expliciet genoemd als onderdeel van de authenticatie- en autorisatie logging vereisten, omdat zij essentiële informatie bevatten over toegangsrechten en potentiële beveiligingsincidenten zoals privilege escalation. Door groepslidmaatschap gebeurtenissen te registreren tijdens account logon en logoff, kunnen organisaties aantonen dat zij voldoen aan de BIO vereisten voor beveiligingsmonitoring en incidentdetectie. Tijdens BIO audits moeten organisaties kunnen aantonen dat groepslidmaatschap logging is geconfigureerd en actief is op alle relevante endpoints, en dat de gegenereerde logs worden verzameld, bewaard en geanalyseerd volgens de vastgestelde retentievereisten.
Voor ISO 27001:2022 is controle A.12.4.1 van toepassing, die vereist dat organisaties logging en monitoring implementeren voor alle relevante gebeurtenissen, inclusief authenticatie- en autorisatiegebeurtenissen. Groepslidmaatschap audit logging tijdens account logon en logoff vormt een essentieel onderdeel van deze controle, omdat het informatie biedt over toegangsrechten en potentiële ongeautoriseerde toegangspogingen of privilege escalation. ISO 27001 certificering vereist dat organisaties kunnen aantonen dat zij een uitgebreid logging en monitoring programma hebben geïmplementeerd, en groepslidmaatschap logging is een concrete maatregel die bijdraagt aan het voldoen aan deze vereisten. Tijdens ISO 27001 audits moeten organisaties kunnen demonstreren dat de logging configuratie correct is geïmplementeerd, dat logs worden bewaard volgens de vastgestelde retentieperiodes, en dat logs regelmatig worden geanalyseerd voor verdachte activiteiten zoals onverwachte wijzigingen in groepslidmaatschappen.
De CIS Security Benchmarks specificeren in controle 18.9.19.2 dat account logon audit logging moet worden geconfigureerd om Success gebeurtenissen te registreren, inclusief groepslidmaatschap informatie. Deze controle is geclassificeerd als Level 1, wat betekent dat het een fundamentele beveiligingsmaatregel is die moet worden geïmplementeerd in alle omgevingen. Door te voldoen aan deze CIS controle, kunnen organisaties hun beveiligingspositie verbeteren en aantonen dat zij branchebeste praktijken volgen voor Windows endpoint beveiliging. CIS compliance assessments controleren expliciet of groepslidmaatschap logging correct is geconfigureerd, en niet-naleving kan leiden tot lagere beveiligingsscores en verhoogde risico's.
Naast het voldoen aan deze specifieke standaarden, draagt groepslidmaatschap audit logging tijdens account logon en logoff ook bij aan algemene compliance vereisten voor data protection en privacy. De Algemene Verordening Gegevensbescherming (AVG) vereist dat organisaties passende technische en organisatorische maatregelen implementeren om persoonsgegevens te beschermen tegen ongeautoriseerde toegang. Groepslidmaatschap logging helpt bij het detecteren en voorkomen van ongeautoriseerde toegang tot systemen die persoonsgegevens bevatten door het monitoren van toegangsrechten tijdens authenticatie, en vormt daarom een belangrijke technische maatregel voor AVG compliance. Tijdens AVG audits kunnen organisaties aantonen dat zij logging hebben geïmplementeerd om ongeautoriseerde toegang te detecteren en te voorkomen door het monitoren van groepslidmaatschappen en toegangsrechten.
Voor effectieve compliance en auditing is het essentieel dat organisaties uitgebreide documentatie onderhouden over de groepslidmaatschap audit logging configuratie tijdens account logon en logoff. Deze documentatie moet de configuratie-instellingen beschrijven, de scope van de implementatie (welke endpoints zijn geconfigureerd), de retentievereisten voor audit logs, en de procedures voor log analyse en incident response. Daarnaast moeten organisaties regelmatig compliance assessments uitvoeren om te verzekeren dat de configuratie nog steeds voldoet aan alle relevante standaarden en dat eventuele wijzigingen in de omgeving of configuratie correct zijn gedocumenteerd. Tijdens externe audits moeten organisaties deze documentatie kunnen presenteren en kunnen aantonen dat de configuratie daadwerkelijk is geïmplementeerd en actief is op alle relevante endpoints.
Compliance & Frameworks
- CIS M365: Control 18.9.19.2 (L1) - CIS Security Benchmark aanbevelingen
- BIO: 16.01 - BIO Baseline Informatiebeveiliging Overheid - 16.01 - Gebeurtenissen logging en audittrails
- ISO 27001:2022: A.12.4.1 - ISO 27001:2022 - Gebeurtenissen logging en audittrails
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Intune Audit Logging: Group Membership Success
.DESCRIPTION
CIS - Audit group membership moet Success loggen.
.NOTES
Filename: audit-group-membership.ps1|Author: Nederlandse Baseline voor Veilige Cloud|AuditPol: Group Membership|Expected: Success
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $Category = "Group Membership"; $ExpectedValue = "Success"
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance {
$r = [PSCustomObject]@{ScriptName = "audit-group-membership.ps1"; PolicyName = "Audit Group Membership"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; function Invoke-Revert { auditpol /set /subcategory:"$Category" /success:disable | Out-Null }
try { $audit = auditpol /get /subcategory:"$Category" /r | ConvertFrom-Csv; $setting = $audit.'Inclusion Setting'; $r.CurrentValue = $setting; if ($setting -match $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Audit: $setting" }else { $r.Details += "Audit: $setting" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r
}
function Invoke-Remediation { auditpol /set /subcategory:"$Category" /success:enable | Out-Null; Write-Host "Audit Group Membership: Success" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { auditpol /set /subcategory:"$Category" /success:disable | Out-Null }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
High: Zonder groepslidmaatschap audit logging tijdens account logon en logoff ontbreekt zichtbaarheid in toegangsrechten en groepslidmaatschappen tijdens authenticatie, waardoor privilege escalation pogingen, ongeautoriseerde toegang tot resources, en andere beveiligingsincidenten niet tijdig kunnen worden gedetecteerd en aangepakt.
Management Samenvatting
Schakel groepslidmaatschap audit logging tijdens account logon en logoff in via Microsoft Intune om groepslidmaatschap gebeurtenissen te registreren, wat essentieel is voor beveiligingsmonitoring, incidentdetectie en compliance met BIO, ISO 27001 en CIS standaarden.
- Implementatietijd: 2 uur
- FTE required: 0.01 FTE