💼 Management Samenvatting
Account Management Audit Logging vormt een fundamentele beveiligingsmaatregel die alle activiteiten registreert die betrekking hebben op het beheer van gebruikersaccounts, groepen en beveiligingsprincipals binnen Windows-omgevingen. Deze auditfunctionaliteit vormt de basis voor de detectie van ongeautoriseerde accountwijzigingen, interne bedreigingen en potentiële beveiligingsincidenten door een complete audittrail te creëren van alle accountgerelateerde operaties. Zonder adequate logging van accountbeheeractiviteiten kunnen organisaties niet traceren wie verantwoordelijk is voor wijzigingen aan accounts, kunnen ze niet detecteren wanneer aanvallers accounts compromitteren, en kunnen ze niet voldoen aan compliance-vereisten van frameworks zoals de AVG, NIS2, ISO 27001 en de BIO-baseline.
Aanbeveling
IMPLEMENTEER
Risico zonder
High
Risk Score
7/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Windows
Het beheer van gebruikersaccounts, groepen en beveiligingsprincipals vormt een kritieke beveiligingsfunctie die directe invloed heeft op de toegangscontrole en autorisatie binnen een organisatie. Zonder adequate audit logging van accountbeheeractiviteiten kunnen organisaties niet detecteren wanneer accounts worden aangemaakt, gewijzigd of verwijderd, wat kan leiden tot onopgemerkte beveiligingsincidenten met verstrekkende gevolgen. Aanvallers richten zich bijzonder vaak op accountbeheeractiviteiten om bevoorrechte accounts te compromitteren, achterdeuren te creëren of toegang te verkrijgen tot gevoelige systemen en data. Door alle accountbeheeroperaties te auditen, kunnen organisaties verdachte activiteiten tijdig detecteren, forensisch onderzoek uitvoeren na beveiligingsincidenten, en voldoen aan compliance-vereisten van frameworks zoals de AVG, NIS2, ISO 27001 en de BIO-baseline. Accountbeheer audit logging is essentieel voor het detecteren van insider threats waarbij medewerkers met legitieme toegang misbruik maken van hun rechten, voor het identificeren van externe aanvallen waarbij aanvallers accounts compromitteren om toegang te verkrijgen, en voor het waarborgen van verantwoordingsplicht waarbij alle accountwijzigingen kunnen worden getraceerd naar specifieke gebruikers of processen. Voor Nederlandse overheidsorganisaties en organisaties in gereguleerde sectoren is accountbeheer audit logging niet alleen een best practice, maar vaak een wettelijke verplichting die moet worden nageleefd om te voldoen aan regelgevingsvereisten en om boetes en andere handhavingsmaatregelen te voorkomen.
PowerShell Modules Vereist
Primary API: Graph
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
Deze maatregel implementeert Account Management Audit Logging via Microsoft Intune apparaatconfiguratiebeleid of nalevingsbeleid om alle accountbeheeractiviteiten op Windows-eindpunten te registreren. De implementatie omvat het configureren van Windows-beveiligingsauditbeleid specifiek voor accountbeheeroperaties, het inschakelen van logging voor gebeurtenissen bij het aanmaken, wijzigen en verwijderen van accounts, het configureren van logging voor wijzigingen in groepslidmaatschap, het instellen van logging voor wijzigingen aan beveiligingsprincipals, en het waarborgen dat alle auditgebeurtenissen worden opgeslagen in Windows-beveiligingsgebeurtenislogboeken voor analyse en monitoring. De maatregel registreert alle activiteiten waarbij gebruikersaccounts worden aangemaakt, gewijzigd of verwijderd, waarbij groepen worden beheerd of gewijzigd, waarbij wachtwoorden worden gereset of gewijzigd, waarbij accountvergrendelingen plaatsvinden, en waarbij beveiligingsprincipals worden gewijzigd. Deze auditlogboeken vormen de basis voor beveiligingsmonitoring, incidentrespons en nalevingsverificatie.
Vereisten
Voordat Account Management Audit Logging kan worden geïmplementeerd, moeten organisaties ervoor zorgen dat ze beschikken over de juiste infrastructuur, licenties en configuratie-mogelijkheden. Deze vereisten zijn essentieel voor een succesvolle implementatie en om te voldoen aan beveiligings- en compliance-standaarden.
De primaire technische vereiste is een Microsoft Intune-omgeving die is geconfigureerd voor apparaatbeheer. Microsoft Intune biedt de mogelijkheid om Windows-beveiligingsauditbeleid centraal te beheren via apparaatconfiguratiebeleid, wat essentieel is voor consistente implementatie op alle eindpunten binnen de organisatie. Deze centrale beheerbaarheid is bijzonder belangrijk voor grote organisaties met honderden of duizenden Windows-eindpunten, omdat handmatige configuratie op elk eindpunt niet schaalbaar is en kan leiden tot inconsistenties in de beveiligingsconfiguratie. Organisaties moeten beschikken over een Microsoft Intune-licentie die apparaatconfiguratiebeleid ondersteunt, wat standaard is opgenomen in Microsoft 365 E3, E5, of vergelijkbare licenties. Voor organisaties die nog geen Intune gebruiken, moet eerst de Intune-omgeving worden opgezet en geconfigureerd voordat audit logging kan worden geïmplementeerd. Deze setup omvat het configureren van Azure AD-connectiviteit, het instellen van apparaatinschrijving, en het configureren van basisbeveiligingsbeleid voordat specifieke audit logging-configuraties kunnen worden toegepast.
Windows-eindpunten moeten worden ingeschreven in Microsoft Intune via een van de ondersteunde inschrijvingsmethoden. Voor Windows 10- en Windows 11-apparaten kan dit via Azure AD Join, Hybrid Azure AD Join, of via Mobile Device Management (MDM) inschrijving. Het is belangrijk om te verifiëren dat alle eindpunten correct zijn ingeschreven en dat apparaatconfiguratiebeleid kan worden toegepast. Eindpunten die niet zijn ingeschreven in Intune kunnen niet centraal worden beheerd en vereisen handmatige configuratie via Groepsbeleid of lokale beveiligingsbeleid, wat niet schaalbaar is voor grote organisaties.
De Windows-eindpunten moeten beschikken over voldoende schijfruimte voor het opslaan van beveiligingsgebeurtenislogboeken. Accountbeheerauditgebeurtenissen worden opgeslagen in het Windows-beveiligingsgebeurtenislogboek, dat standaard een maximale grootte heeft van 20 MB voor Windows 10/11-clients. Voor organisaties met veel accountbeheeractiviteiten kan dit snel vol raken, wat kan leiden tot verlies van auditgebeurtenissen. Het wordt aanbevolen om de grootte van het beveiligingsgebeurtenislogboek te verhogen naar minimaal 100 MB voor eindpunten waar veel accountbeheeractiviteiten plaatsvinden, of om gebeurtenisdoorgifte te configureren naar een centrale logcollector zoals Azure Monitor of een SIEM-systeem.
Organisaties moeten beschikken over een proces en infrastructuur voor het verzamelen, analyseren en bewaren van auditlogboeken. Accountbeheerauditgebeurtenissen bevatten gevoelige informatie over gebruikersactiviteiten en moeten worden beveiligd tegen ongeautoriseerde toegang. Het wordt aanbevolen om gebeurtenisdoorgifte te configureren naar een centrale logcollector zoals Azure Monitor, Microsoft Sentinel, of een on-premises SIEM-systeem. Deze centrale logcollectie maakt het mogelijk om auditlogboeken te analyseren, te monitoren op verdachte activiteiten, en te bewaren voor nalevingsdoeleinden. Voor naleving met frameworks zoals AVG en ISO 27001 moeten auditlogboeken minimaal 1 jaar worden bewaard, hoewel sommige organisaties langere bewaartermijnen kunnen vereisen.
Ten slotte moeten organisaties beschikken over de juiste bevoegdheden en processen voor het beheren van auditloggingconfiguratie. Het configureren van Windows-beveiligingsauditbeleid vereist beheerdersrechten op de eindpunten of de mogelijkheid om apparaatconfiguratiebeleid te beheren in Microsoft Intune. Organisaties moeten ervoor zorgen dat alleen geautoriseerd personeel toegang heeft tot auditloggingconfiguratie om te voorkomen dat auditlogging wordt uitgeschakeld of gewijzigd door onbevoegden. Het wordt aanbevolen om een wijzigingsbeheerproces te implementeren waarbij alle wijzigingen aan auditloggingconfiguratie worden gedocumenteerd en goedgekeurd door beveiligingsmanagement.
Implementatie
Gebruik PowerShell-script audit-account-management.ps1 (functie Invoke-Monitoring) – Automatiseert de monitoring van Account Management Audit Logging configuratie en verifieert dat alle accountbeheeractiviteiten correct worden gelogd.
De implementatie van Account Management Audit Logging via Microsoft Intune begint met het creëren van een nieuw apparaatconfiguratiebeleid. Navigeer naar het Microsoft Intune-beheercentrum en selecteer Apparaten, Configuratieprofielen, en vervolgens Profiel maken. Selecteer Windows 10 en later als platform en kies Sjablonen, Beveiliging, en vervolgens Accountbeheer. Deze sjabloon bevat de specifieke auditbeleidsinstellingen die nodig zijn voor accountbeheerlogging.
Configureer de Account Management auditbeleidsinstellingen binnen het beleid. De belangrijkste instelling is Accountbeheer controleren, die moet worden ingesteld op Succes en mislukking. Deze instelling zorgt ervoor dat zowel succesvolle als mislukte accountbeheeroperaties worden gelogd, wat essentieel is voor het detecteren van zowel legitieme activiteiten als pogingen tot ongeautoriseerde accountwijzigingen. Succesgebeurtenissen helpen bij het traceren van legitieme accountwijzigingen en het verifiëren dat accountbeheerprocessen correct worden uitgevoerd, terwijl mislukkingsgebeurtenissen helpen bij het detecteren van pogingen tot ongeautoriseerde accountwijzigingen of mislukte accountbeheeroperaties die kunnen wijzen op beveiligingsincidenten.
Het Account Management auditbeleid registreert verschillende typen accountbeheeractiviteiten. Gebeurtenissen bij het aanmaken van accounts worden gelogd wanneer nieuwe gebruikersaccounts worden aangemaakt, inclusief informatie over wie het account heeft aangemaakt, wanneer het is aangemaakt, en welke rechten het account heeft gekregen. Gebeurtenissen bij het wijzigen van accounts worden gelogd wanneer bestaande accounts worden gewijzigd, zoals wijzigingen aan accounteigenschappen, groepslidmaatschappen, of beveiligingsinstellingen. Gebeurtenissen bij het verwijderen van accounts worden gelogd wanneer accounts worden verwijderd, inclusief informatie over wie het account heeft verwijderd en wanneer dit heeft plaatsgevonden. Groepsbeheergebeurtenissen worden gelogd wanneer groepen worden aangemaakt, gewijzigd of verwijderd, en wanneer gebruikers worden toegevoegd aan of verwijderd uit groepen. Gebeurtenissen bij het wijzigen van beveiligingsprincipals worden gelogd wanneer beveiligingsprincipals zoals serviceaccounts of computeraccounts worden gewijzigd.
Wijs het beleid toe aan de juiste groepen van apparaten of gebruikers. Het wordt aanbevolen om het beleid toe te wijzen aan alle Windows-eindpunten binnen de organisatie om ervoor te zorgen dat accountbeheeractiviteiten op alle apparaten worden gelogd. Voor organisaties met verschillende beveiligingsvereisten voor verschillende afdelingen of locaties kunnen specifieke beleidsregels worden geconfigureerd met verschillende instellingen, maar het wordt aanbevolen om minimaal logging voor succes en mislukking in te schakelen op alle eindpunten. Gebruik Azure AD-groepen om het beleid toe te wijzen aan de juiste apparaten, waarbij u ervoor zorgt dat alle relevante eindpunten zijn opgenomen in de toewijzingsgroepen.
Verifieer dat het beleid correct is geïmplementeerd door de beleidsstatus te controleren in het Intune-beheercentrum. Navigeer naar het beleid en bekijk de Apparaatstatus en Gebruikersstatus om te verifiëren dat het beleid succesvol is toegepast op de eindpunten. Als eindpunten een foutstatus tonen, moet u de foutdetails bekijken om te identificeren wat het probleem is. Veelvoorkomende problemen zijn eindpunten die niet correct zijn ingeschreven in Intune, eindpunten die niet voldoen aan de beleidsvereisten, of conflicterende beleidsregels die het Account Management auditbeleid overschrijven.
Test de auditloggingfunctionaliteit door accountbeheeractiviteiten uit te voeren op een testeindpunt en te verifiëren dat de gebeurtenissen correct worden gelogd in het Windows-beveiligingsgebeurtenislogboek. Maak een testaccount aan, wijzig de eigenschappen van een bestaand account, voeg een gebruiker toe aan een groep, en verwijder een testaccount. Controleer vervolgens het beveiligingsgebeurtenislogboek op het testeindpunt om te verifiëren dat alle activiteiten correct zijn gelogd met gebeurtenis-ID 4720 (account aangemaakt), 4725 (account uitgeschakeld), 4738 (account gewijzigd), 4728 (gebruiker toegevoegd aan beveiligingsgroep), 4729 (gebruiker verwijderd uit beveiligingsgroep), en 4726 (account verwijderd). Als gebeurtenissen niet worden gelogd, moet u de beleidsconfiguratie controleren en verifiëren dat het beleid correct is toegepast op het eindpunt.
Configureer gebeurtenisdoorgifte naar een centrale logcollector voor langetermijnopslag en analyse. Accountbeheerauditgebeurtenissen bevatten kritieke beveiligingsinformatie en moeten worden bewaard voor nalevingsdoeleinden en forensisch onderzoek. Configureer Azure Monitor of Microsoft Sentinel om Windows-beveiligingsgebeurtenislogboeken te verzamelen van alle eindpunten, of implementeer een on-premises SIEM-systeem voor logcollectie. Zorg ervoor dat de gebeurtenisdoorgifte is geconfigureerd om alle Account Management-gebeurtenissen te verzamelen, inclusief zowel succes- als mislukkingsgebeurtenissen. Configureer ook logretentiebeleid om ervoor te zorgen dat auditlogboeken worden bewaard voor de vereiste periode volgens nalevingsvereisten, wat minimaal 1 jaar is voor de meeste frameworks maar kan oplopen tot 7 jaar voor specifieke nalevingsvereisten.
Documenteer de implementatie en configureer monitoringwaarschuwingen voor kritieke accountbeheeractiviteiten. Documenteer welk beleid is geïmplementeerd, welke eindpunten zijn geconfigureerd, en hoe auditlogboeken worden verzameld en bewaard. Configureer waarschuwingen in uw SIEM-systeem of Azure Monitor voor verdachte accountbeheeractiviteiten zoals bulkaccountaanmaak, accountverwijdering buiten normale kantooruren, of wijzigingen aan bevoorrechte accounts. Deze waarschuwingen helpen bij het tijdig detecteren van beveiligingsincidenten en het reageren op potentiële bedreigingen.
Monitoring
Gebruik PowerShell-script audit-account-management.ps1 (functie Invoke-Monitoring) – Automatiseert de monitoring van Account Management Audit Logging configuratie en verifieert dat alle accountbeheeractiviteiten correct worden gelogd.
Effectieve monitoring van Account Management Audit Logging is essentieel om te waarborgen dat alle accountbeheeractiviteiten correct worden geregistreerd, dat verdachte activiteiten tijdig worden gedetecteerd, en dat compliance-vereisten worden nageleefd. Monitoring omvat het continu volgen van audit logging-configuratie, het verifiëren dat auditgebeurtenissen correct worden gelogd, het analyseren van accountbeheeractiviteiten op verdachte patronen, en het waarborgen dat auditlogboeken worden bewaard volgens compliance-vereisten. Zonder adequate monitoring kunnen organisaties niet detecteren wanneer audit logging is uitgeschakeld of niet correct functioneert, wat kan leiden tot onopgemerkte beveiligingsincidenten en compliance-problemen. Effectieve monitoring vereist daarom een combinatie van geautomatiseerde tools, regelmatige handmatige verificaties, en goed gedefinieerde processen voor het analyseren en reageren op verdachte activiteiten.
De basis van Account Management Audit Logging monitoring wordt gevormd door het regelmatig verifiëren dat het auditbeleid correct is geconfigureerd op alle eindpunten. Controleer maandelijks in het Microsoft Intune-beheercentrum of het Account Management auditbeleid nog steeds actief is en correct is toegepast op alle eindpunten. Verifieer dat eindpunten die zijn toegevoegd aan de organisatie ook het beleid hebben ontvangen en dat eindpunten die zijn verwijderd niet langer het beleid hebben. Als eindpunten een foutstatus tonen voor het beleid, moet u onmiddellijk onderzoeken wat het probleem is en dit oplossen om te voorkomen dat accountbeheeractiviteiten niet worden gelogd.
Verifieer regelmatig dat accountbeheeractiviteiten daadwerkelijk worden gelogd in het Windows-beveiligingsgebeurtenislogboek. Voer wekelijks een steekproef uit waarbij u accountbeheeractiviteiten uitvoert op een willekeurige selectie van eindpunten en verifieert dat de gebeurtenissen correct worden gelogd. Controleer of zowel succes- als mislukkingsgebeurtenissen worden gelogd, omdat beide belangrijk zijn voor beveiliging. Succesgebeurtenissen helpen bij het traceren van legitieme accountwijzigingen, terwijl mislukkingsgebeurtenissen helpen bij het detecteren van pogingen tot ongeautoriseerde accountwijzigingen. Als gebeurtenissen niet worden gelogd, moet u onmiddellijk onderzoeken wat het probleem is, omdat dit kan wijzen op een configuratiefout of een beveiligingsincident waarbij auditlogging is uitgeschakeld.
Configureer geautomatiseerde monitoringwaarschuwingen voor verdachte accountbeheeractiviteiten in uw SIEM-systeem of Azure Monitor. Een van de belangrijkste waarschuwingen is voor bulkaccountaanmaak, waarbij meerdere accounts binnen een korte periode worden aangemaakt. Dit kan wijzen op een geautomatiseerde aanval waarbij een aanvaller probeert meerdere backdooraccounts aan te maken. Configureer een waarschuwing die wordt geactiveerd wanneer meer dan 5 accounts worden aangemaakt binnen 1 uur door dezelfde gebruiker of vanaf hetzelfde IP-adres. Een tweede kritieke waarschuwing betreft accountverwijdering buiten normale kantooruren. Accountverwijdering is een kritieke operatie die normaal gesproken plaatsvindt tijdens normale werkuren als onderdeel van gestructureerde accountbeheerprocessen. Configureer een waarschuwing die wordt geactiveerd wanneer accounts worden verwijderd buiten normale kantooruren, wat kan wijzen op een beveiligingsincident of een interne bedreiging.
Monitor wijzigingen aan bevoorrechte accounts zoals domeinbeheerders, ondernemingsbeheerders, of andere accounts met verhoogde rechten. Wijzigingen aan deze accounts zijn bijzonder kritiek omdat ze directe invloed hebben op de beveiliging van de hele organisatie. Configureer waarschuwingen die onmiddellijk worden geactiveerd wanneer bevoorrechte accounts worden gewijzigd, wanneer gebruikers worden toegevoegd aan bevoorrechte groepen, of wanneer bevoorrechte accounts worden verwijderd. Deze waarschuwingen moeten worden geclassificeerd als hoge prioriteit en moeten onmiddellijk worden geëscaleerd naar het beveiligingsoperatiecentrum voor onderzoek. Documenteer alle wijzigingen aan bevoorrechte accounts en verifieer dat ze zijn goedgekeurd door de juiste autoriteiten binnen de organisatie.
Analyseer accountbeheeractiviteiten op patronen die kunnen wijzen op beveiligingsincidenten. Deze analyse vormt een kritiek onderdeel van de monitoringstrategie en vereist diepgaand inzicht in normale accountbeheerpatronen binnen de organisatie. Zoek naar accounts die worden aangemaakt en snel daarna worden gebruikt voor verdachte activiteiten, wat kan wijzen op een gecompromitteerd accountaanmaakproces waarbij aanvallers accounts creëren om toegang te verkrijgen tot gevoelige systemen. Dergelijke patronen zijn bijzonder zorgwekkend wanneer ze plaatsvinden buiten normale werkuren of wanneer ze worden uitgevoerd door gebruikers die normaal gesproken geen accountbeheertaken uitvoeren. Zoek ook naar patronen waarbij gebruikers worden toegevoegd aan meerdere groepen binnen een korte periode, wat kan wijzen op privilege-escalatieaanvallen waarbij aanvallers systematisch proberen verhoogde rechten te verkrijgen. Andere verdachte patronen omvatten bulkaccountaanmaak waarbij meerdere accounts binnen korte tijd worden aangemaakt, accountwijzigingen buiten normale kantooruren, en wijzigingen aan bevoorrechte accounts zonder duidelijke autorisatie. Deze analyses moeten wekelijks worden uitgevoerd door beveiligingsanalisten die zijn getraind in het identificeren van verdachte patronen in auditlogboeken en die bekend zijn met de specifieke context en bedrijfsprocessen van de organisatie. Het gebruik van geautomatiseerde tools voor patroonherkenning kan deze analyses ondersteunen, maar menselijke expertise blijft essentieel voor het interpreteren van resultaten en het onderscheiden van echte bedreigingen van valse positieven.
Verifieer regelmatig dat auditlogboeken worden bewaard volgens nalevingsvereisten. Controleer maandelijks of de grootte van het beveiligingsgebeurtenislogboek voldoende is om gebeurtenissen te bewaren voor de vereiste periode, en of gebeurtenisdoorgifte correct functioneert om gebeurtenissen te verzamelen in een centrale logcollector. Verifieer dat de centrale logcollector voldoende opslagcapaciteit heeft en dat retentiebeleid correct zijn geconfigureerd. Voor naleving met frameworks zoals AVG en ISO 27001 moeten auditlogboeken minimaal 1 jaar worden bewaard, hoewel sommige organisaties langere bewaartermijnen kunnen vereisen. Test regelmatig of auditlogboeken kunnen worden opgehaald uit de centrale logcollector voor forensisch onderzoek of nalevingsaudits.
Rapporteer maandelijks over accountbeheeractiviteiten aan beveiligingsmanagement. Het rapport moet een uitgebreid overzicht bevatten van het aantal accountaanmaak-, wijzigings- en verwijderingsgebeurtenissen, een gedetailleerde analyse van verdachte activiteiten die zijn gedetecteerd, een overzicht van waarschuwingen die zijn gegenereerd en hoe deze zijn afgehandeld, en een verificatie dat auditlogging correct functioneert op alle eindpunten. Het rapport moet ook trends en patronen identificeren die kunnen wijzen op systematische problemen of verbeterpunten in het accountbeheerproces. Daarnaast moet het rapport een overzicht bevatten van compliance-verificaties, inclusief bewijs dat auditlogboeken worden bewaard volgens de vereiste bewaartermijnen en dat alle vereiste accountbeheeractiviteiten correct worden gelogd. Dit rapport helpt beveiligingsmanagement om inzicht te krijgen in accountbeheeractiviteiten binnen de organisatie, om trends en patronen te identificeren die kunnen wijzen op beveiligingsrisico's, en om te identificeren waar aanvullende beveiligingsmaatregelen nodig zijn. Het rapport dient ook als bewijs voor compliance-audits en helpt bij het aantonen van due diligence bij beveiligingsincidenten.
Remediatie
Gebruik PowerShell-script audit-account-management.ps1 (functie Invoke-Remediation) – Automatiseert de implementatie van Account Management Audit Logging voor eindpunten waar dit nog niet is geconfigureerd.
Remediatie van Account Management Audit Logging vormt een kritieke beveiligingsactiviteit die gericht is op het implementeren van audit logging voor eindpunten waar deze functionaliteit nog niet is geconfigureerd, of op het corrigeren van configuratiefouten in bestaande implementaties. Het belang van deze remediatie-activiteiten kan niet worden overschat, omdat organisaties zonder adequate audit logging niet in staat zijn om te detecteren wanneer accounts worden aangemaakt, gewijzigd of verwijderd. Dit vormt een significant beveiligingsrisico dat kan leiden tot onopgemerkte beveiligingsincidenten, compliance-problemen en het onvermogen om forensisch onderzoek uit te voeren na een incident. De remediatieproces moet daarom systematisch worden aangepakt met duidelijke prioritering voor kritieke eindpunten en bevoorrechte accounts, waarbij elke stap wordt gedocumenteerd en geverifieerd om te waarborgen dat de beveiligingsconfiguratie volledig en correct is geïmplementeerd.
Voor eindpunten die niet zijn geconfigureerd met Account Management Audit Logging moet eerst een grondige inventarisatie worden uitgevoerd om te identificeren welke eindpunten deze essentiële beveiligingsconfiguratie missen. Deze inventarisatie vormt de basis voor een gestructureerd remediatieproces waarbij prioriteit wordt gegeven aan kritieke systemen en bevoorrechte accounts. Gebruik het Microsoft Intune-beheercentrum om systematisch te controleren welke eindpunten de Account Management audit policy niet hebben ontvangen of waar de policy niet succesvol is toegepast. Deze controle moet regelmatig worden uitgevoerd, bij voorkeur wekelijks, om nieuwe eindpunten tijdig te identificeren die mogelijk niet zijn geconfigureerd. Voor eindpunten die niet zijn ingeschreven in Microsoft Intune moet handmatige configuratie worden uitgevoerd via Groepsbeleid of lokale beveiligingsbeleid. Hoewel deze handmatige configuratie tijdrovend is en niet schaalbaar voor grote organisaties, is het noodzakelijk voor eindpunten die om technische of organisatorische redenen niet centraal kunnen worden beheerd. Voor deze eindpunten moet een alternatief beheerproces worden geïmplementeerd waarbij configuratiewijzigingen worden gedocumenterd en geverifieerd om te waarborgen dat alle eindpunten consistent zijn geconfigureerd, ongeacht of ze centraal of handmatig worden beheerd.
Voor eindpunten die wel zijn ingeschreven in Microsoft Intune maar waar het beleid niet correct is toegepast, moet eerst een diepgaand onderzoek worden uitgevoerd om de onderliggende oorzaak te identificeren. Dit onderzoek is essentieel omdat het niet correct toepassen van het auditbeleid kan wijzen op systematische problemen in de Intune-configuratie of op beveiligingsincidenten waarbij audit logging opzettelijk is uitgeschakeld. Veelvoorkomende problemen die kunnen voorkomen zijn eindpunten die niet voldoen aan de beleidsvereisten, zoals eindpunten met verouderde besturingssysteemversies of eindpunten die niet voldoen aan de minimale configuratievereisten voor Intune-beheer. Een tweede veelvoorkomend probleem betreft conflicterende beleidsregels die de Account Management audit policy overschrijven, wat kan gebeuren wanneer meerdere beleidsregels worden toegepast op hetzelfde eindpunt met tegenstrijdige instellingen. Een derde probleem betreft eindpunten die niet correct zijn gesynchroniseerd met Microsoft Intune, wat kan gebeuren bij netwerkproblemen, configuratiefouten in de Intune-connector, of problemen met de apparaatinschrijving. Los deze problemen systematisch op door eerst de eindpuntconfiguratie te controleren en te verifiëren dat alle vereisten zijn voldaan, vervolgens conflicterende beleidsregels te identificeren en op te lossen door de beleidsprioriteiten te herzien of door conflicterende instellingen te corrigeren, en ten slotte door de Intune-synchronisatie te forceren indien nodig door de apparaatinschrijving opnieuw te valideren of door handmatig een synchronisatie te triggeren vanuit het Intune-beheercentrum.
Voor eindpunten waar Account Management Audit Logging is uitgeschakeld of incorrect is geconfigureerd, moet de configuratie onmiddellijk worden gecorrigeerd om het beveiligingsrisico te mitigeren. Deze situatie is bijzonder zorgwekkend omdat het kan wijzen op een beveiligingsincident waarbij een aanvaller audit logging heeft uitgeschakeld om zijn activiteiten te verbergen, of op een configuratiefout die onopzettelijk is geïntroduceerd tijdens een wijziging aan de beveiligingsconfiguratie. Als het auditbeleid volledig is uitgeschakeld, moet dit onmiddellijk opnieuw worden ingeschakeld via het Intune-beleid of via handmatige configuratie, afhankelijk van hoe het eindpunt wordt beheerd. Na het opnieuw inschakelen moet worden onderzocht waarom het beleid is uitgeschakeld om te voorkomen dat dit opnieuw gebeurt en om te identificeren of er sprake is van een beveiligingsincident. Als het auditbeleid alleen succesgebeurtenissen logt maar geen mislukkingsgebeurtenissen, moet de configuratie worden bijgewerkt naar succes en mislukking om ervoor te zorgen dat zowel legitieme activiteiten als pogingen tot ongeautoriseerde accountwijzigingen worden gelogd. Mislukkingsgebeurtenissen zijn bijzonder belangrijk voor beveiliging omdat ze kunnen wijzen op pogingen tot ongeautoriseerde toegang of op mislukte accountbeheeroperaties die kunnen wijzen op beveiligingsincidenten. Verifieer na het corrigeren van de configuratie dat accountbeheeractiviteiten correct worden gelogd door testactiviteiten uit te voeren op het eindpunt, zoals het aanmaken van een testaccount, het wijzigen van accounteigenschappen, en het verwijderen van een testaccount. Controleer vervolgens het Windows-beveiligingsgebeurtenislogboek om te verifiëren dat alle activiteiten correct zijn gelogd met de juiste gebeurtenis-ID's en dat zowel succes- als mislukkingsgebeurtenissen worden vastgelegd.
Voor organisaties die nog geen centrale logcollectie hebben geconfigureerd, moet gebeurtenisdoorgifte worden geïmplementeerd om auditlogboeken te verzamelen voor langetermijnopslag, analyse en nalevingsdoeleinden. Deze implementatie is essentieel omdat lokale beveiligingsgebeurtenislogboeken op eindpunten beperkte opslagcapaciteit hebben en kunnen worden gewist of gemanipuleerd door aanvallers die toegang hebben gekregen tot een eindpunt. Centrale logcollectie waarborgt dat auditlogboeken veilig worden bewaard op een gecentraliseerde locatie die beschermd is tegen ongeautoriseerde toegang en manipulatie. Configureer Azure Monitor of Microsoft Sentinel om Windows-beveiligingsgebeurtenislogboeken te verzamelen van alle eindpunten binnen de organisatie, of implementeer een on-premises SIEM-systeem voor logcollectie als de organisatie voorkeur geeft aan on-premises oplossingen of als er specifieke compliance-vereisten zijn die on-premises opslag vereisen. Zorg ervoor dat de gebeurtenisdoorgifte is geconfigureerd om alle Account Management-gebeurtenissen te verzamelen, inclusief zowel succes- als mislukkingsgebeurtenissen, en dat de configuratie robuust is tegen netwerkproblemen of tijdelijke onbeschikbaarheid van eindpunten. Configureer ook logretentiebeleid om ervoor te zorgen dat auditlogboeken worden bewaard voor de vereiste periode volgens nalevingsvereisten, wat minimaal 1 jaar is voor de meeste frameworks maar kan oplopen tot 7 jaar voor specifieke nalevingsvereisten in gereguleerde sectoren. Deze retentiebeleid moeten regelmatig worden gecontroleerd en bijgewerkt om te waarborgen dat ze blijven voldoen aan veranderende compliance-vereisten en dat de opslagcapaciteit voldoende is om de vereiste bewaartermijnen te ondersteunen.
Voor eindpunten waar het Windows-beveiligingsgebeurtenislogboek vol raakt en gebeurtenissen verliest, moet onmiddellijk actie worden ondernomen om te voorkomen dat kritieke auditgebeurtenissen verloren gaan. Verloren auditgebeurtenissen kunnen niet worden hersteld en kunnen leiden tot compliance-problemen, het onvermogen om forensisch onderzoek uit te voeren na beveiligingsincidenten, en het verlies van bewijs voor accountability en verantwoordingsplicht. Verhoog de grootte van het Windows-beveiligingsgebeurtenislogboek naar minimaal 100 MB voor eindpunten waar veel accountbeheeractiviteiten plaatsvinden, zoals domeincontrollers, beveiligingsservers, of eindpunten die worden gebruikt door IT-beheerders voor accountbeheertaken. Voor eindpunten met zeer hoge activiteitsniveaus kan het nodig zijn om de logboekgrootte verder te verhogen naar 200 MB of meer, afhankelijk van het volume van accountbeheeractiviteiten en de gewenste bewaartermijn voor lokale logboeken. Als alternatief of als aanvulling op het vergroten van de logboekgrootte, configureer gebeurtenisdoorgifte om gebeurtenissen onmiddellijk te verzamelen voordat het logboek vol raakt. Deze aanpak is bijzonder effectief omdat het waarborgt dat gebeurtenissen worden bewaard zelfs als het lokale logboek vol raakt, en omdat het centrale logcollectie mogelijk maakt die essentieel is voor schaalbare monitoring en analyse. Het is belangrijk om dit proactief te doen voordat gebeurtenissen verloren gaan, omdat preventieve maatregelen veel effectiever zijn dan reactieve correcties nadat gegevens al zijn verloren. Implementeer monitoringwaarschuwingen die onmiddellijk worden geactiveerd wanneer het beveiligingsgebeurtenislogboek een bepaalde vullingsgraad bereikt, bijvoorbeeld 80 procent, zodat actie kan worden ondernomen voordat het logboek volledig vol raakt en gebeurtenissen begint te verliezen.
Documenteer alle remediatie-activiteiten uitgebreid en verifieer systematisch dat Account Management Audit Logging correct functioneert na elke remediatiestap. Deze documentatie is essentieel voor compliance-audits, voor het aantonen van due diligence bij beveiligingsincidenten, en voor het waarborgen dat toekomstige wijzigingen aan de configuratie kunnen worden getraceerd en begrepen. De documentatie moet omvatten welke eindpunten zijn gerepareerd, welke configuratiewijzigingen zijn doorgevoerd, wanneer deze wijzigingen zijn uitgevoerd, en wie verantwoordelijk was voor de remediatie. Test de audit logging-functionaliteit grondig na elke remediatiestap door accountbeheeractiviteiten uit te voeren op de gerepareerde eindpunten en te verifiëren dat de gebeurtenissen correct worden gelogd met de juiste details, zoals gebruikers-ID's, tijdstempels, en activiteitstypen. Configureer monitoringwaarschuwingen die onmiddellijk worden geactiveerd wanneer audit logging opnieuw wordt uitgeschakeld of wanneer er problemen zijn met de configuratie, zodat snelle actie kan worden ondernomen om het beveiligingsrisico te mitigeren. Voer regelmatig verificaties uit, bij voorkeur wekelijks, om ervoor te zorgen dat audit logging blijft functioneren op alle eindpunten en dat alle eindpunten correct zijn geconfigureerd volgens de organisatorische beveiligingsstandaarden. Deze verificaties moeten zowel geautomatiseerde controles omvatten, zoals scripts die de configuratie valideren, als handmatige verificaties waarbij daadwerkelijke accountbeheeractiviteiten worden uitgevoerd en gecontroleerd om te verifiëren dat de volledige audit logging-functionaliteit correct werkt.
Compliance en Auditing
Account Management Audit Logging is essentieel voor het voldoen aan verschillende compliance-frameworks en regelgevingsvereisten die van toepassing zijn op Nederlandse organisaties, met name in de publieke sector en gereguleerde industrieën. Deze maatregel helpt organisaties te voldoen aan vereisten voor logging van account management-activiteiten, detectie van ongeautoriseerde accountwijzigingen, en accountability voor accountbeheer zoals gespecificeerd in internationale standaarden en Nederlandse wetgeving.
De CIS Security Benchmark controle 18.9.19.2 vereist dat organisaties Account Management audit logging inschakelen om alle account management-activiteiten te registreren. Deze controle is geclassificeerd als Level 1, wat betekent dat deze wordt aanbevolen voor alle organisaties. De controle specificeert dat organisaties zowel Success als Failure events moeten loggen voor account creation, modification en deletion, en dat deze events moeten worden bewaard voor analyse en compliance-doeleinden. Voor Windows endpoints betekent dit dat organisaties de Account Management audit policy moeten inschakelen via Intune of Group Policy om te voldoen aan deze controle. Het niet implementeren van Account Management audit logging resulteert in een failed audit finding voor deze controle, wat kan leiden tot compliance-problemen bij klanten of partners die CIS compliance vereisen.
De BIO-baseline controle 16.01 richt zich op gebeurtenissen logging en audittrails en vereist dat organisaties alle relevante gebeurtenissen loggen, inclusief account management-activiteiten. Deze controle vereist dat organisaties kunnen aantonen dat account management-activiteiten worden gelogd, dat audit logs worden bewaard voor de vereiste periode, en dat audit logs kunnen worden gebruikt voor forensisch onderzoek en compliance-audits. Voor Nederlandse overheidsorganisaties is de BIO-baseline verplicht, en het niet voldoen aan deze vereisten kan leiden tot beveiligingsincidenten en compliance-problemen. Account Management Audit Logging stelt overheidsorganisaties in staat om te voldoen aan BIO-vereisten door alle account management-activiteiten te registreren en te bewaren voor auditdoeleinden.
ISO 27001 controle A.12.4.1 richt zich op logging en monitoring en vereist dat organisaties events loggen die relevant zijn voor informatiebeveiliging, inclusief account management-activiteiten. Deze controle vereist dat organisaties kunnen aantonen dat account management-activiteiten worden gelogd, dat audit logs worden bewaard voor de vereiste periode (minimaal 1 jaar), en dat audit logs kunnen worden gebruikt voor incident response en forensisch onderzoek. Account Management Audit Logging stelt organisaties in staat om te voldoen aan deze vereisten door alle account management-activiteiten te registreren en te bewaren. Organisaties moeten kunnen aantonen dat audit logs worden bewaard volgens het gedefinieerde retention policy en dat audit logs toegankelijk zijn voor security analysts en auditors.
De Algemene Verordening Gegevensbescherming (AVG) vereist in Artikel 32 dat organisaties passende technische en organisatorische maatregelen implementeren om persoonsgegevens te beveiligen, inclusief logging van toegang tot en wijzigingen aan persoonsgegevens. Voor organisaties die persoonsgegevens verwerken, betekent dit dat ze moeten kunnen aantonen dat account management-activiteiten worden gelogd, vooral wanneer accounts toegang hebben tot persoonsgegevens. Account Management Audit Logging helpt organisaties te voldoen aan AVG-vereisten door alle accountwijzigingen te registreren, wat essentieel is voor het traceren van toegang tot persoonsgegevens en het detecteren van ongeautoriseerde toegang. Het niet implementeren van Account Management audit logging kan resulteren in niet-naleving van AVG-vereisten, wat kan leiden tot boetes tot 4 procent van de wereldwijde jaaromzet of 20 miljoen euro.
De NIS2-richtlijn, die in Nederland is geïmplementeerd via de Wet beveiliging netwerk- en informatiesystemen, vereist in Artikel 21 dat essentiële en belangrijke entiteiten passende maatregelen implementeren voor logging en monitoring van beveiligingsgebeurtenissen. Deze vereiste is met name relevant voor organisaties in kritieke sectoren zoals energie, transport, gezondheidszorg, en financiële dienstverlening. Artikel 21 specificeert dat organisaties moeten kunnen aantonen dat account management-activiteiten worden gelogd en gemonitord, en dat verdachte activiteiten tijdig worden gedetecteerd. Account Management Audit Logging stelt organisaties in staat om te voldoen aan deze vereisten door alle account management-activiteiten te registreren en te monitoren. Het niet implementeren van Account Management audit logging kan resulteren in niet-naleving van NIS2-vereisten, wat kan leiden tot boetes en andere handhavingsmaatregelen.
Voor auditdoeleinden moeten organisaties kunnen aantonen dat Account Management Audit Logging correct is geïmplementeerd en wordt beheerd. Dit omvat het documenteren van de audit policy-configuratie, het bijhouden van welke endpoints zijn geconfigureerd, het loggen van alle account management-activiteiten, en het regelmatig reviewen van audit logs op verdachte activiteiten. Organisaties moeten ook kunnen aantonen dat audit logs worden bewaard voor de vereiste periode volgens compliance-vereisten en dat audit logs toegankelijk zijn voor auditors en security analysts. Deze documentatie is essentieel voor het succesvol doorstaan van compliance-audits en voor het aantonen van due diligence bij beveiligingsincidenten.
Compliance & Frameworks
- CIS M365: Control 18.9.19.2 (L1) - Account Management Audit Logging - CIS Security Benchmark controle 18.9.19.2
- BIO: 16.01 - BIO Baseline Informatiebeveiliging Overheid - 16.01 - Gebeurtenissen logging en audittrails voor account management-activiteiten
- ISO 27001:2022: A.12.4.1 - ISO 27001:2022 - A.12.4.1 Logging en monitoring van account management-activiteiten
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Intune Audit Logging: Account Management
.DESCRIPTION
CIS - Audit account management Success and Failure.
.NOTES
Filename: audit-acct-mgmt.ps1|Author: Nederlandse Baseline voor Veilige Cloud|AuditPol: Security Group Management|Expected: Success and Failure
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $Category = "Security Group Management"; $ExpectedValue = "Success and Failure"
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance {
$r = [PSCustomObject]@{ScriptName = "audit-acct-mgmt.ps1"; PolicyName = "Audit Account Management"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; function Invoke-Revert { auditpol /set /subcategory:"$Category" /success:disable /failure:disable | Out-Null }
try { $audit = auditpol /get /subcategory:"$Category" /r | ConvertFrom-Csv; $setting = $audit.'Inclusion Setting'; $r.CurrentValue = $setting; if ($setting -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Audit: $setting" }else { $r.Details += "Audit: $setting" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r
}
function Invoke-Remediation { auditpol /set /subcategory:"$Category" /success:enable /failure:enable | Out-Null; Write-Host "Audit Account Management: Success and Failure" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { auditpol /set /subcategory:"$Category" /success:disable /failure:disable | Out-Null }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
High: Wanneer Account Management Audit Logging niet wordt geïmplementeerd, kunnen organisaties niet detecteren wanneer accounts worden aangemaakt, gewijzigd of verwijderd, wat kan leiden tot onopgemerkte beveiligingsincidenten met verstrekkende gevolgen. Zonder adequate audit logging van accountbeheeractiviteiten kunnen organisaties niet traceren wie verantwoordelijk is voor accountwijzigingen, kunnen ze niet detecteren wanneer aanvallers accounts compromitteren om toegang te verkrijgen, en kunnen ze niet voldoen aan compliance-vereisten van frameworks zoals de AVG, NIS2, ISO 27001 en de BIO-baseline. Het ontbreken van accountbeheer audit logging maakt forensisch onderzoek na beveiligingsincidenten onmogelijk, omdat er geen audittrail is van accountwijzigingen die kunnen helpen bij het identificeren van de oorzaak en omvang van een incident. Voor organisaties in gereguleerde sectoren zoals financiële instellingen, gezondheidszorg of overheidsinstanties kan het ontbreken van accountbeheer audit logging leiden tot regelgevingssancties, mislukte audits en potentiële boetes die kunnen oplopen tot miljoenen euro's. Het risico is hoog omdat accountbeheeractiviteiten directe invloed hebben op toegangscontrole en autorisatie binnen een organisatie, en omdat aanvallers zich bijzonder vaak richten op accountbeheeractiviteiten om toegang te verkrijgen tot gevoelige systemen en data.
Management Samenvatting
Account Management Audit Logging registreert alle activiteiten die betrekking hebben op het beheer van gebruikersaccounts, groepen en beveiligingsprincipals binnen Windows-omgevingen. Deze auditfunctionaliteit vormt de basis voor de detectie van ongeautoriseerde accountwijzigingen, insider threats en potentiële beveiligingsincidenten door een complete audittrail te creëren van alle accountgerelateerde operaties. De maatregel is VERPLICHT voor alle Windows-eindpunten binnen de organisatie en helpt organisaties te voldoen aan compliance-vereisten van frameworks zoals de AVG, NIS2, ISO 27001 en de BIO-baseline. Implementatie-inspanning is 2 uur inclusief beleidsconfiguratie in Microsoft Intune, beleidstoewijzing aan eindpunten, en verificatie dat audit logging correct functioneert. Doorlopende inspanning van 2 uur per maand voor monitoring en analyse van auditlogboeken. De return on investment komt voort uit verbeterde beveiligingsdetectie, compliance-bereiking, en het vermogen om forensisch onderzoek uit te voeren na beveiligingsincidenten.
- Implementatietijd: 2 uur
- FTE required: 0.01 FTE