💼 Management Samenvatting
Deze beveiligingsregel waarborgt de correcte configuratie van beveiligingsinstellingen op Windows endpoints door het bijhouden van wijzigingen in authenticatiebeleid.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
7/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Windows
Deze instelling is onderdeel van de Windows beveiligingsbaseline en beschermt tegen bekende aanvalsvectoren door het afdwingen van veilige configuraties. Het monitoren van wijzigingen in authenticatiebeleid is essentieel voor het detecteren van ongeautoriseerde aanpassingen die de beveiligingspostuur van een organisatie kunnen verzwakken.
PowerShell Modules Vereist
Primary API: Graph
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
Deze regel configureert het auditen van wijzigingen in authenticatiebeleid via Microsoft Intune apparaatconfiguratiebeleid of nalevingsbeleid om Windows endpoints te beveiligen volgens beveiligingsbest practices. Door deze auditfunctie in te schakelen, worden alle wijzigingen aan authenticatie-instellingen geregistreerd in de Windows-beveiligingslogboeken, waardoor security teams kunnen detecteren wanneer en door wie beveiligingsinstellingen worden aangepast.
Vereisten
Voor de implementatie van audit logging voor authenticatiebeleidswijzigingen zijn verschillende technische en organisatorische vereisten van toepassing. Ten eerste is Microsoft Intune vereist als beheerplatform, waarbij toegang tot apparaatconfiguratiebeleidsregels essentieel is. Organisaties moeten beschikken over een geldige Microsoft 365 licentie die Intune omvat, zoals Microsoft 365 E3, E5, of een vergelijkbare licentie die endpoint management mogelijk maakt. Daarnaast is het noodzakelijk dat alle Windows endpoints zijn ingeschreven in Microsoft Intune, hetzij via Azure AD join, hybrid Azure AD join, of device enrollment. Voor hybride omgevingen is een werkende synchronisatie tussen on-premises Active Directory en Azure Active Directory vereist. Vanuit organisatorisch perspectief moeten security teams beschikken over de juiste Intune-beheerrechten, specifiek de rol van Intune-beheerder of globale beheerder met beperkte rechten via Privileged Identity Management. Het is belangrijk dat de organisatie een duidelijk beleid heeft vastgesteld over welke wijzigingen in authenticatiebeleid moeten worden geaudit en hoe lang deze auditlogs moeten worden bewaard. Voor Nederlandse overheidsorganisaties betekent dit vaak naleving van de BIO-normen, waarbij een bewaartermijn van minimaal één jaar wordt aanbevolen. Technisch gezien moeten Windows endpoints minimaal Windows 10 versie 1809 of hoger draaien, of Windows 11, om volledige ondersteuning te hebben voor geavanceerde audit logging functies. Voor oudere versies van Windows kunnen beperkingen gelden in de beschikbare auditmogelijkheden. Daarnaast is het raadzaam om te beschikken over een gecentraliseerd log management systeem, zoals Azure Monitor of een SIEM-oplossing, om de gegenereerde auditlogs effectief te kunnen analyseren en bewaren. Organisaties moeten ook rekening houden met de opslagvereisten voor auditlogs, aangezien het inschakelen van uitgebreide logging kan leiden tot aanzienlijke hoeveelheden logdata, vooral in grote omgevingen met duizenden endpoints.
Implementatie
De implementatie van audit logging voor authenticatiebeleidswijzigingen begint met het configureren van een apparaatconfiguratieprofiel in Microsoft Intune. Deze implementatie vereist een gestructureerde aanpak waarbij eerst de scope wordt bepaald: welke groepen endpoints moeten deze configuratie ontvangen. Het is aan te raden om te beginnen met een pilotgroep bestaande uit testapparaten of een beperkte set productieapparaten om te valideren dat de configuratie correct werkt en geen negatieve impact heeft op de gebruikerservaring. Binnen Microsoft Intune navigeert de beheerder naar Apparaatconfiguratie en selecteert Profielen maken. Het profieltype moet worden ingesteld op Windows 10 en later, en het profiel moet worden geconfigureerd als een beheerssjabloon of endpoint security configuratie, afhankelijk van de beschikbare opties in de Intune-omgeving. De specifieke instelling voor audit authentication policy change moet worden geconfigureerd om zowel succesvolle als mislukte wijzigingen te loggen. Dit biedt een compleet beeld van alle activiteiten rondom authenticatiebeleid, inclusief pogingen tot ongeautoriseerde wijzigingen. Tijdens de configuratie is het belangrijk om de juiste auditcategorie te selecteren, namelijk Account Management of Authentication Policy Change, afhankelijk van de exacte Windows-versie en beschikbare opties. Na het configureren van het profiel moet dit worden toegewezen aan de juiste groepen. Microsoft adviseert het gebruik van dynamische Azure AD-groepen op basis van apparaatkenmerken, waardoor nieuwe apparaten automatisch de configuratie ontvangen zodra ze worden ingeschreven. De implementatie moet worden gefaseerd uitgerold: eerst naar een testgroep, vervolgens naar een bredere pilotgroep, en uiteindelijk naar alle productieapparaten. Tussen elke fase moet voldoende tijd worden genomen om te monitoren of er problemen optreden. Na de toewijzing duurt het doorgaans enkele minuten tot enkele uren voordat de configuratie op de endpoints is toegepast, afhankelijk van het Intune-syncinterval en de netwerkconnectiviteit van de apparaten. Het is essentieel om na de implementatie te verifiëren dat de configuratie daadwerkelijk is toegepast door de apparaatstatus te controleren in Intune en door lokaal op een testapparaat te verifiëren dat de auditinstellingen correct zijn geconfigureerd via de lokale groepsbeleidsobjecten of via PowerShell-commando's. Organisaties moeten ook een proces opzetten voor het regelmatig controleren van de compliance status van apparaten om te zorgen dat alle endpoints de vereiste configuratie hebben ontvangen en actief houden.
Gebruik PowerShell-script audit-authentication-policy-change.ps1 (functie Invoke-Monitoring) – Monitoren.
Monitoring
Effectieve monitoring van audit logging voor authenticatiebeleidswijzigingen vereist een proactieve aanpak waarbij zowel de configuratiestatus als de gegenereerde loggegevens worden gecontroleerd. De primaire monitoringactiviteit richt zich op het verifiëren dat de auditconfiguratie daadwerkelijk actief is op alle endpoints. Dit kan worden gedaan via Microsoft Intune door de apparaatcompliance status te controleren, waarbij apparaten die niet compliant zijn moeten worden geïdentificeerd en aangepakt. Daarnaast moeten security teams regelmatig, bij voorkeur wekelijks, de Windows-beveiligingslogboeken controleren op gebeurtenissen die wijzen op wijzigingen in authenticatiebeleid. De relevante Windows Event ID's die moeten worden gemonitord zijn onder meer Event ID 4739 voor wijzigingen in domain policy en Event ID 4738 voor wijzigingen in account management policies. Het is belangrijk om een gecentraliseerd log management systeem te gebruiken, zoals Azure Sentinel of een andere SIEM-oplossing, om deze logs te verzamelen en te analyseren. Dit maakt het mogelijk om trends te identificeren, anomalieën te detecteren en snel te reageren op verdachte activiteiten. Security teams moeten alert zijn op patronen die kunnen wijzen op een aanval, zoals meerdere wijzigingen in korte tijd, wijzigingen buiten kantooruren, of wijzigingen door accounts die normaal gesproken geen rechten hebben om authenticatiebeleid aan te passen. Voor Nederlandse overheidsorganisaties is het ook belangrijk om te monitoren of de logging voldoet aan de vereisten van de BIO-normen, waarbij specifieke aandacht moet worden besteed aan de bewaartermijn en toegankelijkheid van de logs voor auditdoeleinden. Het monitoren moet niet alleen reactief zijn, maar ook proactief: regelmatige reviews van de auditconfiguratie zelf zijn nodig om te zorgen dat deze niet onbedoeld is uitgeschakeld of gewijzigd. Automatische alerting kan worden geconfigureerd voor kritieke gebeurtenissen, zoals wijzigingen aan multi-factor authenticatie-instellingen of wijzigingen aan wachtwoordbeleid. Deze alerts moeten worden geconfigureerd met de juiste prioriteit en moeten worden doorgestuurd naar het security operations center of de verantwoordelijke security officer. Het is ook belangrijk om te monitoren of de logopslag voldoende capaciteit heeft, aangezien uitgebreide audit logging kan leiden tot aanzienlijke hoeveelheden data. Organisaties moeten regelmatig, bijvoorbeeld maandelijks, een rapport genereren over de status van audit logging, inclusief het aantal geconfigureerde apparaten, het aantal gedetecteerde wijzigingen, en eventuele compliance-issues. Dit rapport kan worden gebruikt voor management reporting en voor het aantonen van naleving tijdens audits.
Gebruik PowerShell-script audit-authentication-policy-change.ps1 (functie Invoke-Monitoring) – Controleren.
Remediatie
Wanneer monitoring aangeeft dat audit logging voor authenticatiebeleidswijzigingen niet correct is geconfigureerd of niet actief is op bepaalde endpoints, moet een gestructureerd remediatieproces worden gevolgd. Het eerste wat moet worden gedaan is het identificeren van de oorzaak van het probleem. Mogelijke oorzaken zijn onder meer: de Intune-configuratie is niet correct toegewezen aan de betreffende apparaten, de apparaten zijn niet correct gesynchroniseerd met Intune, er zijn conflicterende lokale groepsbeleidsobjecten die de Intune-configuratie overschrijven, of de Windows-versie op het apparaat ondersteunt de vereiste auditfuncties niet volledig. Voor apparaten die niet compliant zijn volgens Intune moet eerst worden gecontroleerd of het apparaat daadwerkelijk is ingeschreven en of het apparaat recent heeft gesynchroniseerd met Intune. Als het apparaat niet heeft gesynchroniseerd, kan een handmatige sync worden geforceerd vanuit de Intune-console of lokaal op het apparaat via de Instellingen-app. Als de configuratie wel is toegewezen maar niet wordt toegepast, moet worden gecontroleerd of er conflicterende configuraties zijn, bijvoorbeeld vanuit on-premises groepsbeleidsobjecten. In hybride omgevingen kan het nodig zijn om de prioriteit van beleidstoepassing aan te passen of om conflicterende instellingen in on-premises groepsbeleidsobjecten te verwijderen of aan te passen. Voor apparaten waar de auditconfiguratie lokaal moet worden hersteld, kan gebruik worden gemaakt van PowerShell-scripts die de juiste registerwaarden instellen of de lokale groepsbeleidsobjecten aanpassen. Het is belangrijk dat deze lokale wijzigingen tijdelijk zijn en dat de uiteindelijke oplossing via Intune wordt geïmplementeerd om consistentie te waarborgen. Na het toepassen van remediatiemaatregelen moet worden geverifieerd dat de configuratie daadwerkelijk is hersteld door de apparaatstatus opnieuw te controleren in Intune en door lokaal te verifiëren dat de auditinstellingen correct zijn geconfigureerd. Als het probleem aanhoudt, moet een diepere analyse worden uitgevoerd, mogelijk met ondersteuning van Microsoft Support of een gespecialiseerde partner. Organisaties moeten ook een proces hebben voor het documenteren van remediatieacties, inclusief wat het probleem was, welke stappen zijn ondernomen om het op te lossen, en wat het resultaat was. Deze documentatie is waardevol voor het leren van incidenten en voor het verbeteren van toekomstige implementaties. In sommige gevallen kan het nodig zijn om gebruikers of lokale IT-beheerders te trainen over het belang van audit logging en om te zorgen dat zij de configuratie niet onbedoeld uitschakelen. Voor kritieke endpoints waar audit logging essentieel is, kan het ook nodig zijn om aanvullende beveiligingsmaatregelen te implementeren, zoals het beperken van lokale beheerrechten of het implementeren van just-in-time toegang voor beheertaken.
Gebruik PowerShell-script audit-authentication-policy-change.ps1 (functie Invoke-Remediation) – Herstellen.
Compliance en Auditing
Audit logging voor authenticatiebeleidswijzigingen speelt een cruciale rol in het aantonen van naleving van verschillende beveiligingsstandaarden en regelgeving die van toepassing zijn op Nederlandse overheidsorganisaties. De implementatie van deze auditfunctie draagt direct bij aan naleving van de BIO Baseline Informatiebeveiliging Overheid, specifiek controle 16.01 over gebeurtenissen logging en audittrails. Deze controle vereist dat organisaties alle relevante beveiligingsgebeurtenissen loggen en deze logs bewaren voor auditdoeleinden. Voor authenticatiebeleidswijzigingen betekent dit dat alle wijzigingen moeten worden geregistreerd met voldoende detail om te kunnen bepalen wie, wat, wanneer en waarom een wijziging heeft doorgevoerd. De logs moeten minimaal één jaar worden bewaard, hoewel sommige organisaties kiezen voor langere bewaartermijnen afhankelijk van hun specifieke risicoprofiel en compliancevereisten. Naast BIO-naleving draagt deze auditfunctie ook bij aan naleving van ISO 27001:2022, specifiek controle A.12.4.1 over logging en monitoring. Deze internationale standaard benadrukt het belang van uitgebreide logging voor het detecteren van beveiligingsincidenten en het ondersteunen van forensisch onderzoek. Voor organisaties die werken met persoonsgegevens is ook de Algemene Verordening Gegevensbescherming (AVG) van belang, waarbij audit logging kan helpen bij het aantonen dat passende technische en organisatorische maatregelen zijn genomen om persoonsgegevens te beschermen. Tijdens externe audits en certificeringsprocessen moeten organisaties kunnen aantonen dat audit logging correct is geconfigureerd en actief is op alle relevante endpoints. Dit vereist gedocumenteerd bewijs, zoals screenshots van de Intune-configuratie, rapporten over de compliance status van apparaten, en voorbeelden van gegenereerde auditlogs. Het is belangrijk dat deze documentatie up-to-date wordt gehouden en regelmatig wordt gereviewd. Organisaties moeten ook een proces hebben voor het reageren op auditvragen over logging, waarbij duidelijk moet worden uitgelegd hoe de logging werkt, welke gebeurtenissen worden gelogd, hoe lang de logs worden bewaard, en wie toegang heeft tot deze logs. Voor Nederlandse overheidsorganisaties kan het ook nodig zijn om specifieke rapportages te genereren voor toezichthouders of interne auditafdelingen. Deze rapportages moeten duidelijk maken dat de organisatie voldoet aan de vereisten voor logging en monitoring zoals vastgelegd in de BIO-normen. Het is ook belangrijk om regelmatig, bijvoorbeeld jaarlijks, een interne audit uit te voeren van de audit logging configuratie om te zorgen dat deze nog steeds voldoet aan de vereisten en effectief is in het detecteren van relevante gebeurtenissen. Tijdens deze audits moet ook worden gecontroleerd of de logs daadwerkelijk toegankelijk zijn voor security teams en of er voldoende capaciteit is voor logopslag. Organisaties moeten ook rekening houden met privacyaspecten bij het loggen van gebruikersactiviteiten, waarbij moet worden voldaan aan de AVG-vereisten voor het verwerken van persoonsgegevens in auditlogs.
Compliance & Frameworks
- CIS M365: Control 18.9.19.2 (L1) - CIS Security Benchmark aanbevelingen
- BIO: 16.01 - BIO Baseline Informatiebeveiliging Overheid - 16.01 - Gebeurtenissen logging en audittrails
- ISO 27001:2022: A.12.4.1 - ISO 27001:2022 - Gebeurtenissen logging en audittrails
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Intune Audit Logging: Authentication Policy Change
.DESCRIPTION
CIS - Audit authentication policy change.
.NOTES
Filename: audit-auth-policy2.ps1|Author: Nederlandse Baseline voor Veilige Cloud|AuditPol: Authentication Policy Change|Expected: Success
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $Category = "Authentication Policy Change"; $ExpectedValue = "Success"
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance {
$r = [PSCustomObject]@{ScriptName = "auth-policy2.ps1"; PolicyName = "Auth Policy Change"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; function Invoke-Revert { auditpol /set /subcategory:"$Category" /success:disable | Out-Null }
try { $audit = auditpol /get /subcategory:"$Category" /r | ConvertFrom-Csv; $setting = $audit.'Inclusion Setting'; $r.CurrentValue = $setting; if ($setting -match $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Audit: $setting" }else { $r.Details += "Audit: $setting" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r
}
function Invoke-Remediation { auditpol /set /subcategory:"$Category" /success:enable | Out-Null; Write-Host "Auth Policy Change: Success" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { auditpol /set /subcategory:"$Category" /success:disable | Out-Null }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
High: Geen tracking van authenticatiebeleidswijzigingen, waardoor ongeautoriseerde aanpassingen niet worden gedetecteerd.
Management Samenvatting
Schakel audit logging in voor authenticatiebeleidswijzigingen om wijzigingen te detecteren en te monitoren.
- Implementatietijd: 2 uur
- FTE required: 0.01 FTE