💼 Management Samenvatting
Deze beveiligingsregel waarborgt de correcte configuratie van auditlogging voor bestandsdelingstoegang op Windows endpoints. Door zowel geslaagde als mislukte toegangspogingen te registreren, creëren organisaties een volledig beeld van alle activiteiten op gedeelde bestandsbronnen.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
7/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Windows
Deze instelling vormt een essentieel onderdeel van de Windows-beveiligingsbaseline en beschermt organisaties tegen bekende aanvalsvectoren door het afdwingen van uitgebreide auditlogging. Zonder adequate logging van bestandsdelingstoegang kunnen beveiligingsteams geen inzicht krijgen in wie toegang heeft tot gevoelige informatie, wanneer deze toegang plaatsvindt, en of er verdachte activiteiten plaatsvinden. Dit is met name kritiek voor Nederlandse overheidsorganisaties die moeten voldoen aan strikte compliance-eisen zoals de BIO-normen en AVG-verplichtingen.
PowerShell Modules Vereist
Primary API: Graph
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
Deze beveiligingsregel configureert de auditlogging voor bestandsdelingstoegang via Microsoft Intune apparaatconfiguratiebeleid of nalevingsbeleid. De instelling zorgt ervoor dat zowel geslaagde als mislukte toegangspogingen tot gedeelde bestandsbronnen worden vastgelegd in het Windows-beveiligingsgebeurtenislogboek. Dit stelt beveiligingsteams in staat om volledige audittrails te creëren voor forensische analyses, compliance-verificatie en detectie van ongeautoriseerde toegangspogingen.
Vereisten
De implementatie van auditlogging voor bestandsdelingstoegang vereist een grondige voorbereiding waarbij zowel technische als organisatorische aspecten moeten worden overwogen. Deze voorbereiding is essentieel om ervoor te zorgen dat de configuratie succesvol wordt geïmplementeerd en dat organisaties optimaal kunnen profiteren van de beveiligingsvoordelen die auditlogging biedt. Het proces begint met het identificeren en verzamelen van alle benodigde technische componenten en licentievereisten. Organisaties moeten beschikken over een actieve Microsoft Intune-licentie met de juiste beheerrechten voor het configureren van apparaatconfiguratiebeleid. Dit betekent in de praktijk dat organisaties een geldige Microsoft 365 E3 of E5 licentie moeten hebben, of een specifieke Intune-licentie die toegang biedt tot alle benodigde beheerfuncties. De beheerders die verantwoordelijk zijn voor de implementatie moeten beschikken over de juiste rollen, zoals Intune-beheerder of globale beheerder, om ervoor te zorgen dat zij alle benodigde configuratie-opties kunnen gebruiken. Naast licentievereisten is het cruciaal dat organisaties beschikken over een volledig functionerende Microsoft Entra ID-omgeving waarbij alle Windows-endpoints correct zijn geregistreerd en beheerd via Microsoft Intune. De registratie van endpoints vormt een fundamentele vereiste omdat zonder correcte registratie geen beleidsregels kunnen worden toegepast en de configuratiestatus niet kan worden gemonitord. Organisaties moeten ervoor zorgen dat alle endpoints die onderdeel uitmaken van de implementatie correct zijn geregistreerd en dat er geen registratieproblemen zijn die de implementatie kunnen belemmeren. De endpoints zelf moeten voldoen aan specifieke versievereisten om volledige ondersteuning te bieden voor de geavanceerde auditlogging-functies. Windows 10 versie 1809 of hoger, of Windows 11, zijn de minimale vereisten voor een succesvolle implementatie. Oudere versies van Windows ondersteunen mogelijk niet alle vereiste auditlogging-functies, wat kan leiden tot gedeeltelijke logging of configuratiefouten die de effectiviteit van de beveiligingsmaatregel kunnen verminderen. Organisaties moeten daarom een inventarisatie uitvoeren van alle endpoints om te bepalen welke endpoints voldoen aan de versievereisten en welke mogelijk moeten worden bijgewerkt voordat de implementatie kan plaatsvinden. Een kritieke technische vereiste betreft de beschikbaarheid van voldoende lokale opslagruimte voor het beveiligingsgebeurtenislogboek op elk endpoint. Uitgebreide auditlogging kan leiden tot aanzienlijke logbestanden die regelmatig ruimte innemen op de lokale schijf. Organisaties moeten daarom minimaal 1 GB vrije ruimte reserveren voor het beveiligingsgebeurtenislogboek op elk endpoint, waarbij grotere organisaties met veel gedeelde bestandsbronnen en hoge activiteitsniveaus mogelijk aanzienlijk meer ruimte nodig hebben. Het is belangrijk om regelmatig de grootte van het beveiligingsgebeurtenislogboek te monitoren en indien nodig de maximale grootte aan te passen om te voorkomen dat logs worden overschreven voordat ze kunnen worden gearchiveerd. Dit vereist een proactieve aanpak waarbij organisaties regelmatig de logbestandsgrootte controleren en archiveringsprocessen implementeren om ervoor te zorgen dat belangrijke auditgegevens niet verloren gaan. Vanuit een organisatorisch perspectief is het essentieel dat er duidelijke procedures zijn vastgelegd voor het beheren en analyseren van auditlogs. Deze procedures vormen de basis voor effectieve beveiligingsmonitoring en moeten specifiek ingaan op hoe bestandsdelingstoegang-gebeurtenissen moeten worden geïnterpreteerd, welke indicatoren wijzen op verdachte activiteiten, en welke acties moeten worden ondernomen wanneer dergelijke indicatoren worden gedetecteerd. Beveiligingsteams moeten grondig getraind zijn in het interpreteren van bestandsdelingstoegang-gebeurtenissen en moeten beschikken over de juiste tools voor loganalyse, zoals Microsoft Sentinel of Azure Monitor. Deze tools maken het mogelijk om grote hoeveelheden auditlogs efficiënt te analyseren en automatisch waarschuwingen te genereren bij verdachte patronen die mogelijk wijzen op beveiligingsincidenten. Voor compliance-doeleinden moeten organisaties ook een duidelijk gedefinieerd retentiebeleid hebben voor auditlogs, waarbij de BIO-normen en AVG-vereisten in acht worden genomen. Dit betekent doorgaans een minimale retentieperiode van één jaar, met mogelijk langere bewaartermijnen voor specifieke categorieën van gevoelige informatie die onderworpen zijn aan aanvullende compliance-vereisten. Het retentiebeleid moet duidelijk vastleggen hoe logs worden gearchiveerd, waar ze worden opgeslagen, en hoe ze kunnen worden opgehaald voor forensische analyses of compliance-verificaties. Ten slotte moeten organisaties ervoor zorgen dat de juiste Microsoft Graph API-modules zijn geïnstalleerd voor geautomatiseerde monitoring en rapportage, met name de Microsoft.Graph.DeviceManagement module voor PowerShell-gebaseerde automatisering. Deze modules maken het mogelijk om geautomatiseerde scripts te ontwikkelen die regelmatig de configuratiestatus controleren en gedetailleerde rapportages genereren voor beveiligingsteams en compliance-officers, waardoor de operationele efficiëntie aanzienlijk wordt verbeterd.
Implementatie
De implementatie van auditlogging voor bestandsdelingstoegang vormt een kritieke stap in het versterken van de beveiligingspostuur van een organisatie. Dit proces begint met het zorgvuldig configureren van een nieuw apparaatconfiguratiebeleid in Microsoft Intune, waarbij elke stap moet worden uitgevoerd met aandacht voor detail om ervoor te zorgen dat de configuratie correct wordt toegepast zonder onbedoelde impact op de operationele omgeving. De implementatie vereist een gestructureerde aanpak waarbij organisaties systematisch door het configuratieproces navigeren, beginnend met toegang tot de Intune-beheerportal via het Microsoft Endpoint Manager admin center. Binnen deze portal moeten beheerders de optie voor apparaatconfiguratiebeleid selecteren onder het menu Beleid, waarna zij kunnen kiezen voor het maken van een nieuw beleid dat specifiek is geconfigureerd voor Windows 10 en later als platform. Deze platformselectie zorgt ervoor dat het beleid van toepassing is op alle moderne Windows-versies binnen de organisatie, waardoor een consistente beveiligingsconfiguratie wordt gegarandeerd. Binnen de beschikbare instellingen moet de categorie Audit worden geselecteerd, waarna de specifieke instelling voor bestandsdelingstoegang kan worden geconfigureerd. Deze instelling maakt deel uit van de Windows-beveiligingsbaseline en is essentieel voor het creëren van volledige audittrails voor alle activiteiten op gedeelde bestandsbronnen. De configuratie moet worden ingesteld op het registreren van zowel geslaagde als mislukte toegangspogingen, wat betekent dat beide opties expliciet moeten worden ingeschakeld. Deze duale logging-benadering zorgt ervoor dat beveiligingsteams een volledig en accuraat beeld krijgen van alle activiteiten, inclusief zowel legitieme toegang als potentiële aanvalspogingen. Het registreren van alleen geslaagde toegangspogingen zou een kritieke beveiligingsgap creëren, omdat mislukte toegangspogingen vaak de eerste en meest belangrijke indicatoren zijn van brute-force aanvallen, ongeautoriseerde toegangspogingen, of andere beveiligingsbedreigingen. Na het configureren van de instelling moet het beleid worden toegewezen aan de relevante groepen endpoints binnen de organisatie. Organisaties kunnen kiezen voor een gefaseerde implementatie waarbij eerst een zorgvuldig geselecteerde testgroep wordt geconfigureerd, gevolgd door een geleidelijke en gecontroleerde uitrol naar alle endpoints. Deze gefaseerde aanpak maakt het mogelijk om eventuele problemen te identificeren en op te lossen voordat de configuratie wordt toegepast op de volledige organisatie, waardoor het risico op operationele verstoringen wordt geminimaliseerd. De testgroep moet representatief zijn voor de volledige organisatie en moet endpoints bevatten met verschillende configuraties, gebruikspatronen, en omgevingen om ervoor te zorgen dat eventuele problemen vroegtijdig worden geïdentificeerd. Tijdens de implementatie is het cruciaal om de impact op de endpoints continu te monitoren, met name wat betreft de groei van het beveiligingsgebeurtenislogboek en eventuele prestatie-impact. Uitgebreide auditlogging kan leiden tot een aanzienlijke toename van de logbestandsgrootte, wat kan resulteren in hogere opslagvereisten en mogelijk een minimale maar meetbare impact op de systeemprestaties. Organisaties moeten deze impact proactief monitoren en indien nodig de maximale grootte van het beveiligingsgebeurtenislogboek aanpassen of archiveringsprocessen implementeren om ervoor te zorgen dat de operationele prestaties niet worden beïnvloed. Na de implementatie moeten beveiligingsteams onmiddellijk de eerste auditlogs controleren om te verifiëren dat de logging correct functioneert en dat de verwachte gebeurtenissen worden gegenereerd. Deze verificatie omvat het grondig controleren van zowel geslaagde als mislukte toegangspogingen en het verifiëren dat alle relevante informatie wordt vastgelegd, zoals gebruikersnamen, tijdstempels, IP-adressen, en bestandslocaties. Voor geautomatiseerde implementatie en verificatie kunnen organisaties gebruik maken van het bijbehorende PowerShell-script dat beschikbaar is via de scriptreferentie. Dit script biedt uitgebreide functionaliteit voor zowel monitoring als verificatie van de configuratie, waardoor organisaties efficiënt kunnen controleren of de instelling correct is toegepast op alle endpoints binnen de organisatie. Het script kan worden geïntegreerd in bestaande automatiseringstools en kan worden gebruikt voor regelmatige compliance-controles en gedetailleerde rapportage, waardoor de operationele efficiëntie aanzienlijk wordt verbeterd.
Gebruik PowerShell-script audit-file-share-access-is-set-to-success-and-failure.ps1 (functie Invoke-Monitoring) – Monitoren.
Monitoring
Effectieve monitoring van auditlogging voor bestandsdelingstoegang vormt de hoeksteen van een robuuste beveiligingsstrategie en vereist een gestructureerde en systematische aanpak waarbij zowel de technische configuratie als de gegenereerde gebeurtenissen regelmatig en grondig worden gecontroleerd. Deze monitoring vormt een kritiek onderdeel van de beveiligingsstrategie en moet volledig worden geïntegreerd in de dagelijkse operationele processen van beveiligingsteams om ervoor te zorgen dat potentiële beveiligingsbedreigingen tijdig worden geïdentificeerd en aangepakt. Beveiligingsteams moeten periodiek en systematisch verifiëren dat de auditlogging-instelling correct is toegepast op alle endpoints binnen de organisatie, waarbij geen enkel endpoint mag worden overgeslagen. Dit kan efficiënt worden gedaan door gebruik te maken van het bijbehorende PowerShell-script dat automatisch alle endpoints controleert en gedetailleerd rapporteert over de configuratiestatus, waardoor beveiligingsteams snel kunnen identificeren welke endpoints mogelijk niet-nalevend zijn. De frequentie van deze controles moet zorgvuldig worden bepaald op basis van de specifieke organisatorische behoeften en risicoprofiel, waarbij grotere organisaties met hoge beveiligingsvereisten mogelijk dagelijkse controles vereisen, terwijl kleinere organisaties met beperktere resources mogelijk wekelijkse of maandelijkse controles voldoende vinden. Het is belangrijk om deze frequentie regelmatig te evalueren en aan te passen op basis van veranderende omstandigheden en nieuwe beveiligingsbedreigingen. Naast configuratieverificatie is het essentieel om de daadwerkelijke auditlogs grondig te analyseren op verdachte activiteiten en afwijkende patronen die mogelijk wijzen op beveiligingsincidenten. Beveiligingsteams moeten specifiek letten op patronen zoals ongebruikelijk hoge aantallen mislukte toegangspogingen, toegang buiten normale kantooruren, toegangspogingen vanaf onbekende of verdachte locaties, of ongebruikelijke toegangspatronen die afwijken van de normale gebruikersactiviteit. Deze indicatoren kunnen wijzen op potentiële beveiligingsincidenten zoals brute-force aanvallen, accountcompromittering, ongeautoriseerde toegangspogingen, of andere geavanceerde bedreigingen die onmiddellijke aandacht vereisen. Het is cruciaal om baseline-normen vast te stellen voor normale toegangspatronen binnen de organisatie, zodat afwijkingen snel en accuraat kunnen worden geïdentificeerd. Deze baseline moet regelmatig worden bijgewerkt en verfijnd om rekening te houden met veranderingen in de organisatie, zoals nieuwe medewerkers, gewijzigde werkpatronen, nieuwe gedeelde bestandsbronnen, of organisatorische veranderingen die van invloed kunnen zijn op normale toegangspatronen. Voor grotere organisaties met complexe beveiligingsvereisten is het sterk aanbevolen om gebruik te maken van een beveiligingsinformatie- en gebeurtenisbeheersysteem (SIEM) zoals Microsoft Sentinel, die automatisch auditlogs kan verzamelen, analyseren en intelligente waarschuwingen kan genereren bij verdachte activiteiten. Deze systemen maken gebruik van geavanceerde machine learning-algoritmen en kunstmatige intelligentie om complexe patronen te identificeren die mogelijk wijzen op beveiligingsincidenten, waardoor beveiligingsteams kunnen focussen op de meest kritieke bedreigingen en hun beperkte resources optimaal kunnen inzetten. SIEM-systemen kunnen ook worden geconfigureerd om automatisch geproportioneerde reacties te triggeren op specifieke gebeurtenissen, zoals het tijdelijk blokkeren van IP-adressen die herhaaldelijk mislukte toegangspogingen uitvoeren, of het genereren van prioriteitswaarschuwingen voor beveiligingsteams. Organisaties moeten ook regelmatig en systematisch compliance-rapportages genereren die duidelijk aantonen dat de auditlogging correct functioneert en dat alle relevante toegangspogingen worden vastgelegd. Deze rapportages zijn essentieel voor interne audits en externe compliance-verificaties en moeten uitgebreid en duidelijk documenteren welke endpoints zijn geconfigureerd, welke gebeurtenissen worden vastgelegd, hoe vaak de configuratie wordt geverifieerd, en welke acties zijn ondernomen om eventuele problemen op te lossen. De rapportages moeten ook gedetailleerde statistieken bevatten over het aantal vastgelegde gebeurtenissen, eventuele configuratiefouten, trends in toegangspatronen, en alle acties die zijn ondernomen om problemen op te lossen of beveiligingsincidenten te voorkomen. Daarnaast moeten beveiligingsteams proactief de groei van het beveiligingsgebeurtenislogboek monitoren om te voorkomen dat de log vol raakt, wat kan leiden tot het verlies van belangrijke auditgegevens en kan resulteren in compliance-problemen. Organisaties moeten een proactief en gestructureerd logbeheerbeleid implementeren waarbij oude logs systematisch worden gearchiveerd of verwijderd volgens het vastgestelde retentiebeleid, terwijl voldoende ruimte wordt behouden voor nieuwe gebeurtenissen. Dit beleid moet duidelijk en gedetailleerd vastleggen wanneer logs worden gearchiveerd, waar ze worden opgeslagen, hoe lang ze worden bewaard, en hoe ze kunnen worden opgehaald voor forensische analyses of compliance-verificaties. Het is ook belangrijk om continu te monitoren of de archiveringsprocessen correct functioneren en of er voldoende opslagruimte beschikbaar is voor zowel lokale als gearchiveerde logs, om ervoor te zorgen dat geen belangrijke auditgegevens verloren gaan.
Gebruik PowerShell-script audit-file-share-access-is-set-to-success-and-failure.ps1 (functie Invoke-Monitoring) – Controleren.
Remediatie
Wanneer monitoring aangeeft dat de auditlogging voor bestandsdelingstoegang niet correct is geconfigureerd op bepaalde endpoints, moeten organisaties onmiddellijk en doortastend actie ondernemen om de configuratie te herstellen en de beveiligingspostuur te herstellen. Deze remediatie moet worden uitgevoerd volgens een gestructureerd en gedocumenteerd proces dat ervoor zorgt dat de configuratie snel, accuraat en veilig wordt hersteld zonder onbedoelde impact op de operationele omgeving of gebruikerservaring. Het bijbehorende PowerShell-script biedt krachtige geautomatiseerde remediatiefunctionaliteit die de configuratie automatisch en efficiënt kan corrigeren op niet-nalevende endpoints, waardoor de tijd tussen detectie en herstel aanzienlijk wordt verkort. Het script voert eerst een grondige controle uit van de huidige configuratie en past vervolgens de benodigde wijzigingen toe om ervoor te zorgen dat zowel geslaagde als mislukte toegangspogingen worden vastgelegd, waarbij alle wijzigingen worden gedocumenteerd voor auditdoeleinden. Deze geautomatiseerde aanpak is bijzonder effectief en efficiënt voor grote organisaties met honderden of duizenden endpoints, omdat handmatige remediatie niet alleen tijdrovend en foutgevoelig zou zijn, maar ook niet schaalbaar is voor moderne organisaties met gedistribueerde IT-omgevingen. Het script kan worden geconfigureerd om automatisch te worden uitgevoerd op regelmatige basis volgens een vooraf gedefinieerd schema, of kan worden getriggerd door monitoring-alerts wanneer niet-nalevende endpoints worden gedetecteerd, waardoor een proactieve en responsieve remediatie-aanpak wordt geïmplementeerd. In gevallen waarbij endpoints niet reageren op automatische remediatie of waarbij complexere problemen worden geïdentificeerd, moeten IT-beheerders handmatig ingrijpen door de lokale Groepsbeleideditor te gebruiken of door de configuratie rechtstreeks in het Windows-register aan te passen. Deze handmatige interventie vereist specifieke en uitgebreide technische kennis en moet uitsluitend worden uitgevoerd door getrainde en gecertificeerde IT-professionals die grondig bekend zijn met Windows-beveiligingsconfiguraties en de potentiële risico's van handmatige wijzigingen. Het is cruciaal om alle handmatige wijzigingen uitgebreid te documenteren in een centraal beheersysteem en te verifiëren dat de configuratie correct is toegepast door middel van post-remediatie verificatieprocessen. Voor endpoints die niet correct zijn geregistreerd in Microsoft Intune, moeten organisaties eerst de onderliggende registratieproblemen grondig oplossen voordat de auditlogging-configuratie kan worden toegepast, omdat zonder correcte registratie geen beleidsregels kunnen worden geïmplementeerd. Dit kan betekenen dat endpoints opnieuw moeten worden geregistreerd, dat er problemen moeten worden opgelost met de Microsoft Entra ID-verbinding, of dat netwerk- of firewallconfiguraties moeten worden aangepast om de communicatie met Intune mogelijk te maken. Registratieproblemen kunnen verschillende complexe oorzaken hebben, zoals netwerkconnectiviteitsproblemen, firewallconfiguraties die de communicatie met Intune blokkeren, problemen met de Microsoft Entra ID-verbinding, of configuratiefouten in de endpoint zelf. Deze problemen moeten systematisch worden geïdentificeerd, gediagnosticeerd en opgelost voordat de auditlogging-configuratie kan worden toegepast, waarbij elke stap wordt gedocumenteerd voor toekomstige referentie. Na remediatie moeten beveiligingsteams de configuratie onmiddellijk en grondig opnieuw verifiëren om te bevestigen dat de wijzigingen correct zijn toegepast en dat de auditlogging nu volledig en accuraat functioneert. Deze verificatie moet worden uitgevoerd binnen 24 uur na de remediatie om ervoor te zorgen dat de configuratie correct is en dat er geen verdere problemen zijn, waarbij eventuele resterende problemen onmiddellijk worden geïdentificeerd en aangepakt. Organisaties moeten ook een grondige root cause analyse uitvoeren om te onderzoeken waarom de configuratie in eerste instantie niet correct was toegepast, om te voorkomen dat hetzelfde probleem opnieuw optreedt en om systemische problemen te identificeren die mogelijk andere endpoints beïnvloeden. Dit kan wijzen op problemen met het Intune-beleid zelf, netwerkconnectiviteit, endpointconfiguratie, of andere onderliggende infrastructurele problemen die moeten worden aangepakt om toekomstige niet-naleving te voorkomen. Root cause analyses moeten worden uitgevoerd voor alle niet-nalevende endpoints om onderliggende problemen te identificeren en te voorkomen dat deze problemen zich herhalen, waarbij de bevindingen worden gedocumenteerd en gedeeld met relevante teams om systemische verbeteringen te implementeren. Voor endpoints waarvan het beveiligingsgebeurtenislogboek vol is geraakt, moeten organisaties eerst ruimte vrijmaken door oude logs zorgvuldig te archiveren of te verwijderen voordat de auditlogging opnieuw kan worden geactiveerd, waarbij ervoor moet worden gezorgd dat geen kritieke auditgegevens verloren gaan. Het is belangrijk om een gestructureerd en gedocumenteerd proces te volgen waarbij eerst wordt gecontroleerd of er kritieke gebeurtenissen in de oude logs staan die moeten worden bewaard voordat archivering plaatsvindt, waarbij alle archiveringsacties worden geregistreerd voor compliance-doeleinden. Organisaties moeten ook overwegen om geautomatiseerde archiveringsprocessen in te stellen die regelmatig en systematisch oude logs verplaatsen naar langetermijnopslag, zoals Azure Blob Storage of een ander gecertificeerd archiefsysteem dat voldoet aan de compliance-vereisten en beveiligingsstandaarden. Dit zorgt ervoor dat historische auditgegevens beschikbaar blijven voor forensische analyses en compliance-verificaties, terwijl de lokale opslagruimte op endpoints wordt vrijgehouden voor nieuwe gebeurtenissen, waardoor een duurzame en schaalbare oplossing wordt gecreëerd. Daarnaast moeten organisaties een duidelijk en gedocumenteerd escalatieproces hebben voor endpoints die herhaaldelijk niet-nalevend zijn, waarbij eerst automatische remediatie wordt geprobeerd, gevolgd door handmatige interventie, en uiteindelijk mogelijke uitsluiting van het netwerk indien de configuratie niet kan worden hersteld en de endpoint een beveiligingsrisico vormt.
Gebruik PowerShell-script audit-file-share-access-is-set-to-success-and-failure.ps1 (functie Invoke-Remediation) – Herstellen.
Compliance en Naleving
De implementatie van auditlogging voor bestandsdelingstoegang is essentieel en onmisbaar voor het voldoen aan verschillende kritieke compliance-vereisten die van toepassing zijn op Nederlandse overheidsorganisaties en die fundamenteel zijn voor het waarborgen van informatiebeveiliging en privacybescherming. Deze compliance-vereisten vormen een kritiek en verplicht onderdeel van de verantwoordelijkheid van organisaties om adequate beveiligingsmaatregelen te implementeren en te kunnen verantwoorden hoe zij omgaan met gevoelige informatie, waarbij non-compliance kan resulteren in aanzienlijke juridische, financiële en reputatierisico's. De BIO Baseline Informatiebeveiliging Overheid vereist specifiek en expliciet dat organisaties adequate logging en volledige audittrails implementeren voor alle kritieke systemen en gegevens, zoals vastgelegd in controle 16.01, die een fundamentele vereiste vormt voor alle Nederlandse overheidsorganisaties. Deze controle stelt duidelijk dat organisaties moeten beschikken over een volledige, accurate en betrouwbare registratie van alle gebeurtenissen die relevant zijn voor informatiebeveiliging, inclusief gedetailleerde informatie over toegang tot gevoelige gegevens, waarbij elke gebeurtenis moet worden vastgelegd met voldoende detail om forensische analyses mogelijk te maken. De controle vereist ook expliciet dat organisaties kunnen aantonen dat deze logging correct en consistent functioneert, dat logs regelmatig en systematisch worden geanalyseerd op verdachte activiteiten, en dat er adequate processen zijn voor het reageren op geïdentificeerde beveiligingsincidenten. Door zowel geslaagde als mislukte toegangspogingen tot gedeelde bestandsbronnen te registreren, voldoen organisaties volledig aan deze vereiste en creëren zij de benodigde en complete audittrails voor compliance-verificatie en forensische analyses. Deze audittrails zijn essentieel en onmisbaar voor het kunnen verantwoorden van beveiligingsbeslissingen, voor het identificeren van potentiële beveiligingsincidenten, en voor het kunnen voldoen aan externe auditvereisten die regelmatig worden uitgevoerd door onafhankelijke auditors. Daarnaast is de Algemene Verordening Gegevensbescherming (AVG) van toepassing op alle organisaties die persoonsgegevens verwerken, waarbij organisaties expliciet moeten kunnen aantonen wie toegang heeft gehad tot persoonsgegevens, wanneer deze toegang plaatsvond, en welke acties zijn ondernomen met deze gegevens. Deze accountability-vereiste is een fundamenteel en centraal principe van de AVG en vereist dat organisaties volledig kunnen verantwoorden hoe zij omgaan met persoonsgegevens, waarbij auditlogging een cruciaal en onmisbaar mechanisme vormt voor het kunnen voldoen aan deze verantwoordingsplicht. Auditlogging voor bestandsdelingstoegang vormt een cruciaal en essentieel onderdeel van deze accountability-vereiste, waardoor organisaties volledig kunnen verantwoorden hoe zij omgaan met persoonsgegevens en kunnen voldoen aan de transparantievereisten die de AVG stelt. Wanneer burgers gebruik maken van hun AVG-rechten, zoals het inzagerecht, het recht op rectificatie, of het recht op verwijdering, moeten organisaties snel en accuraat kunnen aantonen welke persoonsgegevens zijn verwerkt, wie toegang heeft gehad tot deze gegevens, en wanneer deze toegang plaatsvond, waarbij auditlogging de benodigde informatie verschaft om aan deze verzoeken te voldoen. Voor ISO 27001:2022 certificering is controle A.12.4.1 van toepassing, die expliciet vereist dat organisaties uitgebreide logging implementeren voor alle relevante gebeurtenissen, gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen, waarbij deze logging moet voldoen aan strikte kwaliteits- en volledigheidsvereisten. Deze controle maakt deel uit van de informatiebeveiligingsbeheersystemen (ISMS) die organisaties moeten implementeren en onderhouden om ISO 27001-certificering te verkrijgen en te behouden, waarbij regelmatige audits worden uitgevoerd om te verifiëren dat alle controles correct zijn geïmplementeerd. De controle vereist expliciet dat organisaties kunnen aantonen dat logging correct is geconfigureerd, dat logs regelmatig en systematisch worden geanalyseerd, en dat er adequate processen zijn voor het beheren en archiveren van logs volgens het vastgestelde retentiebeleid. De CIS Security Benchmark controle 18.9.19.2 specificeert bovendien en expliciet dat Windows-systemen moeten worden geconfigureerd om uitgebreide en complete auditlogging te bieden voor alle kritieke activiteiten, waarbij deze benchmark wereldwijd wordt erkend als een best practice voor Windows-beveiligingsconfiguraties. Deze benchmark wordt wereldwijd erkend als een best practice voor Windows-beveiligingsconfiguraties en wordt vaak gebruikt als basis voor beveiligingsaudits en compliance-verificaties, waarbij organisaties die voldoen aan de CIS Security Benchmark kunnen aantonen dat zij adequate en bewezen beveiligingsmaatregelen hebben geïmplementeerd. Organisaties die voldoen aan de CIS Security Benchmark kunnen aantonen dat zij adequate, bewezen en effectieve beveiligingsmaatregelen hebben geïmplementeerd die voldoen aan internationale best practices en industrie-standaarden. Organisaties moeten hun beleidsdocumentatie grondig bijwerken om deze auditlogging-vereisten volledig vast te leggen, inclusief gedetailleerde procedures voor logbeheer, retentiebeleid, analyseprocessen, en incident response procedures. Deze documentatie moet duidelijk, uitgebreid en actueel beschrijven hoe auditlogging wordt geconfigureerd, hoe logs worden beheerd, hoe logs worden geanalyseerd, en hoe organisaties reageren op beveiligingsincidenten die worden geïdentificeerd via auditlog-analyse. De documentatie moet ook expliciete procedures bevatten voor het reageren op beveiligingsincidenten die worden geïdentificeerd via auditlog-analyse, waarbij elke stap wordt gedocumenteerd voor compliance- en auditdoeleinden. Tijdens externe audits moeten organisaties volledig en accuraat kunnen aantonen dat de auditlogging correct is geconfigureerd, dat logs regelmatig en systematisch worden geanalyseerd op verdachte activiteiten, en dat er adequate processen zijn voor het beheren en archiveren van logs. Dit vereist uitgebreide gedocumenteerde procedures, regelmatige en gedetailleerde compliance-rapportages, en concreet bewijs van effectieve monitoring en analyse van auditlogs, waarbij alle activiteiten worden geregistreerd voor auditdoeleinden. Auditrapporten moeten duidelijk, uitgebreid en accuraat documenteren welke endpoints zijn geconfigureerd, welke gebeurtenissen worden vastgelegd, hoe vaak de configuratie wordt geverifieerd, welke acties zijn ondernomen om problemen op te lossen, en welke trends zijn geïdentificeerd in toegangspatronen. Organisaties moeten ook kunnen aantonen dat zij proactief en doortastend actie ondernemen wanneer verdachte activiteiten worden geïdentificeerd, dat zij regelmatig hun beveiligingsprocessen evalueren en verbeteren, en dat zij een cultuur van continue verbetering hebben geïmplementeerd voor informatiebeveiliging.
Compliance & Frameworks
- CIS M365: Control 18.9.19.2 (L1) - CIS Security Benchmark aanbevelingen
- BIO: 16.01 - BIO Baseline Informatiebeveiliging Overheid - 16.01 - Gebeurtenissen logging en audittrails
- ISO 27001:2022: A.12.4.1 - ISO 27001:2022 - Gebeurtenissen logging en audittrails
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Intune Audit Logging: File Share Access Success and Failure
.DESCRIPTION
CIS - Audit file share access moet Success AND Failure loggen.
.NOTES
Filename: audit-file-share.ps1|Author: Nederlandse Baseline voor Veilige Cloud|AuditPol: File Share|Expected: Success and Failure
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $Category = "File Share"; $ExpectedValue = "Success and Failure"
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance {
$r = [PSCustomObject]@{ScriptName = "audit-file-share.ps1"; PolicyName = "Audit File Share"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; function Invoke-Revert { auditpol /set /subcategory:"$Category" /success:disable /failure:disable | Out-Null }
try { $audit = auditpol /get /subcategory:"$Category" /r | ConvertFrom-Csv; $setting = $audit.'Inclusion Setting'; $r.CurrentValue = $setting; if ($setting -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Audit: $setting" }else { $r.Details += "Audit: $setting" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r
}
function Invoke-Remediation { auditpol /set /subcategory:"$Category" /success:enable /failure:enable | Out-Null; Write-Host "Audit File Share: Success and Failure" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { auditpol /set /subcategory:"$Category" /success:disable /failure:disable | Out-Null }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
High: Geen tracking van authenticatie en toegang tot gedeelde bestandsbronnen.
Management Samenvatting
Schakel auditlogging in voor bestandsdelingstoegang.
- Implementatietijd: 2 uur
- FTE required: 0.01 FTE