💼 Management Samenvatting
Deze beveiligingsregel waarborgt de correcte configuratie van beveiligingsinstellingen op Windows endpoints door het loggen van alle wijzigingen aan auditbeleidsregels.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
7/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Windows
Deze instelling is onderdeel van de Windows beveiligingsbaseline en beschermt tegen bekende aanvalsvectoren door het afdwingen van veilige configuraties. Het loggen van auditbeleidwijzigingen is essentieel voor het detecteren van onbevoegde aanpassingen aan beveiligingsinstellingen, wat een kritieke beveiligingsmaatregel vormt binnen een gelaagde verdedigingsstrategie. Zonder adequate logging van beleidswijzigingen kunnen organisaties niet aantonen dat hun beveiligingsconfiguraties ongewijzigd blijven of dat wijzigingen door geautoriseerd personeel zijn doorgevoerd. Dit vormt een fundamentele vereiste voor zowel beveiligingsdoeleinden als compliance en auditing, waardoor organisaties kunnen demonstreren dat zij beschikken over adequate controles voor het beheren van beveiligingsinstellingen.
PowerShell Modules Vereist
Primary API: Graph
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
Deze regel configureert auditbeleidwijzigingslogging via Microsoft Intune apparaatconfiguratiebeleid of compliance policies om Windows endpoints te beveiligen volgens beveiligingsbest practices. De implementatie zorgt ervoor dat alle wijzigingen aan auditbeleidsregels worden vastgelegd in het Windows Beveiligingsgebeurtenislogboek, waardoor beveiligingsteams en auditors kunnen traceren wie welke wijzigingen heeft doorgevoerd en wanneer deze hebben plaatsgevonden. Deze logging vormt een essentiële component van een bredere beveiligingsstrategie en biedt de transparantie en traceerbaarheid die vereist zijn voor effectieve beveiligingsgovernance.
Vereisten
Voor de succesvolle implementatie van auditbeleidwijzigingslogging zijn verschillende technische en organisatorische vereisten van toepassing. De primaire technische vereiste is de beschikbaarheid van Microsoft Intune als Mobile Device Management (MDM) oplossing voor het beheren van Windows endpoints. Organisaties moeten beschikken over een actieve Microsoft Intune licentie en de benodigde rechten om apparaatconfiguratiebeleidsregels te maken en uit te rollen. Daarnaast is het essentieel dat alle Windows endpoints zijn geregistreerd in Microsoft Intune en dat de Intune Management Extension correct is geïnstalleerd en geconfigureerd op de doelapparaten. Voor organisaties die gebruik maken van hybride Azure AD join of Azure AD join configuraties is het belangrijk dat de apparaten correct zijn gekoppeld aan de Azure Active Directory tenant en dat de benodigde synchronisatie tussen on-premises Active Directory en Azure AD correct functioneert. Vanuit een netwerkperspectief moeten endpoints beschikken over internetconnectiviteit of toegang tot de Microsoft Intune service endpoints om configuratiebeleidsregels te kunnen ontvangen en statusrapportages terug te kunnen sturen. Organisaties moeten ook beschikken over voldoende opslagcapaciteit op de Windows endpoints voor het bewaren van beveiligingsgebeurtenislogboeken, waarbij wordt aanbevolen om minimaal 1 GB beschikbaar te houden voor audit logging doeleinden. Vanuit een organisatorisch perspectief is het essentieel dat er duidelijke procedures zijn vastgesteld voor het beheren van auditbeleidsregels en dat er een proces is voor het goedkeuren van wijzigingen voordat deze worden doorgevoerd. Beveiligingsteams moeten beschikken over de benodigde kennis en vaardigheden om audit logs te analyseren en te interpreteren, en er moeten procedures zijn voor het reageren op onbevoegde wijzigingen aan auditbeleidsregels. Organisaties moeten ook beschikken over een log management oplossing of SIEM systeem voor het centraliseren en analyseren van audit logs van alle endpoints, waarbij wordt aanbevolen om logs minimaal één jaar te bewaren voor compliance doeleinden. Daarnaast is het belangrijk dat er duidelijke rollen en verantwoordelijkheden zijn gedefinieerd voor het beheren van auditbeleidsregels en het analyseren van audit logs, waarbij beveiligingsteams, IT-beheerders en compliance officers betrokken moeten zijn bij het proces. Deze organisatorische aspecten vormen een kritieke component van een effectieve implementatie, omdat technische configuratie alleen niet voldoende is zonder de juiste processen en procedures voor het beheren en analyseren van de gegenereerde logs.
Implementatie
De implementatie van auditbeleidwijzigingslogging via Microsoft Intune vereist een gestructureerde aanpak waarbij verschillende configuratiestappen worden doorlopen. Het proces begint met het maken van een nieuw apparaatconfiguratiebeleid in de Microsoft Intune admin center, waarbij organisaties moeten navigeren naar de sectie voor Windows 10 en later configuratieprofielen. Binnen het configuratieprofiel moet worden gekozen voor het profieltype 'Administratieve sjablonen' of 'Endpoint security', afhankelijk van de beschikbare opties in de organisatie. Vervolgens moet worden gezocht naar de specifieke instelling voor auditbeleidwijzigingslogging, die zich bevindt onder het pad 'Computer Configuration > Policies > Windows Settings > Security Settings > Advanced Audit Policy Configuration > Audit Policies > Policy Change > Audit Policy Change'. Deze instelling moet worden geconfigureerd om zowel geslaagde als mislukte pogingen tot wijziging van auditbeleidsregels te loggen, waardoor een volledig beeld ontstaat van alle activiteiten rondom beleidswijzigingen. Na het configureren van de instelling moet het beleid worden toegewezen aan de relevante groepen van Windows endpoints, waarbij wordt aanbevolen om te beginnen met een pilotgroep voordat de configuratie wordt uitgerold naar alle endpoints in de organisatie. Deze gefaseerde aanpak maakt het mogelijk om eventuele problemen vroegtijdig te identificeren en op te lossen voordat de configuratie wordt toegepast op alle endpoints. Tijdens de implementatie is het belangrijk om te verifiëren dat de Intune Management Extension correct functioneert op de doelapparaten en dat er geen conflicterende Group Policy Objecten (GPO's) zijn die de configuratie kunnen overschrijven. Organisaties moeten ook controleren of het Windows Beveiligingsgebeurtenislogboek voldoende capaciteit heeft om de audit logs op te slaan, waarbij wordt aanbevolen om de loggrootte in te stellen op minimaal 1 GB en de retentieperiode op 'Gebeurtenissen overschrijven indien nodig' of een specifieke retentieperiode afhankelijk van compliance vereisten. Na de implementatie moet worden geverifieerd dat de configuratie correct is toegepast door het controleren van de apparaatstatus in Microsoft Intune en het verifiëren van het Windows Beveiligingsgebeurtenislogboek op een steekproef van endpoints. Het is essentieel om een testwijziging aan een auditbeleidsregel door te voeren en te verifiëren dat deze correct wordt gelogd in het Beveiligingsgebeurtenislogboek met gebeurtenis-ID 4719, wat aangeeft dat een auditbeleidsregel is gewijzigd. Organisaties moeten ook procedures opstellen voor het regelmatig controleren van de configuratiestatus en het reageren op endpoints die niet compliant zijn met het beleid. Deze verificatie- en onderhoudsprocedures vormen een kritieke component van een succesvolle implementatie en zorgen ervoor dat de logging continu effectief blijft functioneren.
Gebruik PowerShell-script audit-policy-change.ps1 (functie Invoke-Monitoring) – Monitoren.
Monitoring
Effectieve monitoring van auditbeleidwijzigingslogging vereist een proactieve aanpak waarbij verschillende aspecten van de logging worden gecontroleerd en geanalyseerd. De primaire monitoringactiviteit bestaat uit het regelmatig controleren van de configuratiestatus van endpoints in Microsoft Intune om te verifiëren dat alle apparaten compliant zijn met het auditbeleidwijzigingslogging beleid. Organisaties moeten wekelijks of maandelijks een rapport genereren van alle endpoints die niet compliant zijn en actie ondernemen om deze endpoints te herstellen of te onderzoeken waarom de configuratie niet correct is toegepast. Daarnaast is het essentieel om het Windows Beveiligingsgebeurtenislogboek regelmatig te analyseren op gebeurtenis-ID 4719, wat aangeeft dat een auditbeleidsregel is gewijzigd. Beveiligingsteams moeten deze gebeurtenissen onderzoeken om te verifiëren dat alle wijzigingen door geautoriseerd personeel zijn doorgevoerd en dat er geen tekenen zijn van onbevoegde toegang of kwaadaardige activiteiten. Het is aanbevolen om een geautomatiseerd monitoringproces in te richten waarbij auditbeleidwijzigingsgebeurtenissen automatisch worden verzameld en geanalyseerd via een SIEM oplossing of log management platform. Deze geautomatiseerde monitoring moet waarschuwingen genereren wanneer er ongebruikelijke patronen worden gedetecteerd, zoals wijzigingen buiten kantooruren, wijzigingen door onbekende gebruikersaccounts, of meerdere wijzigingen binnen een korte tijdsperiode. Organisaties moeten ook regelmatig controleren of het Beveiligingsgebeurtenislogboek voldoende capaciteit heeft en of er geen log entries verloren gaan door volle logs. Het is belangrijk om te monitoren of de Intune Management Extension correct functioneert op alle endpoints en of er geen problemen zijn met de synchronisatie van configuratiebeleidsregels. Daarnaast moeten organisaties periodiek verifiëren dat de audit logs correct worden verzameld door het log management systeem en dat er geen gaps zijn in de log data. Beveiligingsteams moeten ook regelmatig trendanalyses uitvoeren om te identificeren of er patronen zijn in auditbeleidwijzigingen die kunnen wijzen op systematische problemen of beveiligingsrisico's. Het is aanbevolen om maandelijks een rapport op te stellen met een overzicht van alle auditbeleidwijzigingen, de gebruikers die wijzigingen hebben doorgevoerd, en eventuele afwijkingen of incidenten die zijn gedetecteerd tijdens de monitoringactiviteiten. Deze monitoringactiviteiten vormen een essentieel onderdeel van een effectieve beveiligingsstrategie en zorgen ervoor dat organisaties proactief kunnen reageren op potentiële beveiligingsrisico's en compliance-afwijkingen.
Gebruik PowerShell-script audit-policy-change.ps1 (functie Invoke-Monitoring) – Controleren.
Remediatie
Wanneer endpoints niet compliant zijn met het auditbeleidwijzigingslogging beleid, moeten organisaties een gestructureerd remediatieproces doorlopen om de configuratie te herstellen. Het remediatieproces begint met het identificeren van de oorzaak van de non-compliance, waarbij verschillende scenario's mogelijk zijn zoals endpoints die niet correct zijn geregistreerd in Microsoft Intune, problemen met de Intune Management Extension, of conflicterende Group Policy Objecten die de configuratie overschrijven. Voor endpoints die niet correct zijn geregistreerd in Microsoft Intune moet worden gecontroleerd of de apparaten correct zijn gekoppeld aan de Azure Active Directory tenant en of de benodigde synchronisatie tussen on-premises Active Directory en Azure AD correct functioneert. Als de Intune Management Extension niet correct functioneert, moet worden gecontroleerd of de extensie is geïnstalleerd en of er geen problemen zijn met de service of de benodigde rechten. In sommige gevallen kan het nodig zijn om de Intune Management Extension opnieuw te installeren of te herconfigureren op het betreffende endpoint. Wanneer er conflicterende GPO's zijn die de configuratie overschrijven, moeten organisaties de GPO-hiërarchie analyseren en ervoor zorgen dat de Intune configuratie de juiste prioriteit heeft of dat conflicterende GPO's worden aangepast of verwijderd. Na het identificeren en oplossen van de oorzaak moet de configuratie opnieuw worden toegepast, waarbij wordt aanbevolen om de endpoint te dwingen om de Intune configuratie opnieuw te synchroniseren door het uitvoeren van een synchronisatie-actie vanuit de Microsoft Intune admin center of door het gebruik van PowerShell commando's. Organisaties moeten ook controleren of het Windows Beveiligingsgebeurtenislogboek voldoende capaciteit heeft en of de log instellingen correct zijn geconfigureerd om auditbeleidwijzigingsgebeurtenissen op te slaan. Als de log vol is of niet correct is geconfigureerd, moet de loggrootte worden verhoogd en moet de retentieperiode worden aangepast volgens de compliance vereisten. Na het toepassen van de remediatie moet worden geverifieerd dat de configuratie correct is toegepast door het controleren van de apparaatstatus in Microsoft Intune en het verifiëren van het Windows Beveiligingsgebeurtenislogboek op het betreffende endpoint. Het is essentieel om een testwijziging aan een auditbeleidsregel door te voeren en te verifiëren dat deze correct wordt gelogd met gebeurtenis-ID 4719. Organisaties moeten ook procedures opstellen voor het documenteren van remediatieacties en het analyseren van trends in non-compliance om systematische problemen te identificeren en te voorkomen. Deze documentatie vormt een belangrijke component van het overall beveiligings- en compliancebeheer en helpt organisaties om proactief te reageren op herhalende problemen en om de effectiviteit van de beveiligingsmaatregelen te verbeteren.
Gebruik PowerShell-script audit-policy-change.ps1 (functie Invoke-Remediation) – Herstellen.
Compliance en Naleving
Het implementeren van auditbeleidwijzigingslogging is niet alleen een technische beveiligingsmaatregel, maar ook een fundamentele vereiste voor het voldoen aan verschillende compliance- en auditingstandaarden die van toepassing zijn op Nederlandse overheidsorganisaties. Deze regel vormt een kritieke component binnen een bredere compliance-strategie en biedt de auditbaarheid en transparantie die vereist zijn voor regelgevingsnaleving en effectieve governance. Door het loggen van alle wijzigingen aan auditbeleidsregels kunnen organisaties aantonen dat zij beschikken over adequate controles voor het monitoren en beheren van beveiligingsinstellingen, wat essentieel is voor zowel interne als externe audits. De implementatie van auditbeleidwijzigingslogging draagt direct bij aan het voldoen aan verschillende compliance-frameworks, waaronder de BIO Baseline Informatiebeveiliging Overheid, de Algemene Verordening Gegevensbescherming (AVG), en internationale standaarden zoals ISO 27001. Binnen het BIO-framework vormt deze regel een implementatie van controle 16.01, die voorschrijft dat organisaties moeten beschikken over logging en audittrails voor alle relevante gebeurtenissen. De regel logt systematisch alle wijzigingen aan auditbeleidsregels, waardoor organisaties kunnen aantonen dat zij voldoen aan de BIO-vereisten voor het monitoren van beveiligingsconfiguraties en het detecteren van onbevoegde wijzigingen. De audit logs bieden een volledige traceerbaarheid van alle activiteiten rondom auditbeleidwijzigingen, inclusief informatie over wie de wijziging heeft doorgevoerd, wanneer deze heeft plaatsgevonden, en welke specifieke instellingen zijn gewijzigd. Deze informatie is essentieel voor het voldoen aan de BIO-vereisten voor accountability en transparantie in beveiligingsbeheer. Voor AVG-compliance is audit logging essentieel omdat het bijdraagt aan de accountability-vereisten van Artikel 5 en het organisaties in staat stelt om te demonstreren dat passende technische en organisatorische maatregelen zijn genomen om persoonsgegevens te beschermen. Door het loggen van wijzigingen aan auditbeleidsregels kunnen organisaties aantonen dat zij beschikken over adequate controles voor het beheren van beveiligingsinstellingen die de verwerking van persoonsgegevens beschermen. De audit logs vormen een belangrijk onderdeel van de documentatie die organisaties moeten kunnen overleggen wanneer er vragen zijn over de beveiliging van persoonsgegevens of wanneer er een datalek wordt gemeld. Binnen ISO 27001 vormt auditbeleidwijzigingslogging een implementatie van controle A.12.4.1, die voorschrijft dat organisaties moeten beschikken over logging van beveiligingsgebeurtenissen en audittrails. De regel zorgt ervoor dat alle wijzigingen aan auditbeleidsregels worden vastgelegd met voldoende detail om forensisch onderzoek mogelijk te maken en compliance te kunnen aantonen tijdens externe audits. De logs moeten voldoen aan de ISO 27001 vereisten voor log integriteit, beschikbaarheid en vertrouwelijkheid, waarbij organisaties moeten kunnen aantonen dat de logs niet kunnen worden gewijzigd of verwijderd zonder detectie. Voor CIS Security Benchmark-compliance draagt deze regel bij aan het voldoen aan controle 18.9.19.2, die specifiek voorschrijft dat auditbeleidwijzigingen moeten worden gelogd op alle Windows endpoints. De regel implementeert deze controle door gebruik te maken van Microsoft Intune om de Windows auditbeleidwijzigingslogging centraal te configureren en uit te rollen naar alle endpoints binnen de organisatie. Vanuit een auditing-perspectief biedt auditbeleidwijzigingslogging essentiële informatie voor zowel interne als externe auditors. Tijdens interne audits kunnen beveiligingsteams de gegenereerde logs gebruiken om te verifiëren dat beveiligingsinstellingen correct zijn geconfigureerd en dat er geen onbevoegde wijzigingen hebben plaatsgevonden. Externe auditors kunnen de logs gebruiken om te beoordelen of organisaties beschikken over adequate controles voor het beheren van beveiligingsconfiguraties en of deze controles effectief worden toegepast. De logs bieden een volledig audit trail dat aantoont wie wijzigingen heeft doorgevoerd, wanneer deze hebben plaatsgevonden, en welke specifieke instellingen zijn gewijzigd. Deze informatie is essentieel voor forensisch onderzoek wanneer er vermoedens zijn van beveiligingsincidenten of onbevoegde toegang. Organisaties moeten ervoor zorgen dat de audit logs voldoende lang worden bewaard om te voldoen aan compliance-vereisten, waarbij meestal een retentieperiode van minimaal één jaar wordt aanbevolen, maar waarbij specifieke sectoren of regelgevingen langere retentieperiodes kunnen vereisen. Het is essentieel dat organisaties beschikken over duidelijke procedures voor het beheren, analyseren en archiveren van audit logs, en dat deze procedures regelmatig worden gecontroleerd en bijgewerkt om te blijven voldoen aan veranderende compliance-vereisten. Tijdens compliance-audits moeten organisaties kunnen aantonen dat de audit logging correct functioneert, dat de logs correct worden verzameld en bewaard, en dat er procedures zijn voor het analyseren van de logs en het reageren op afwijkingen. Het is aanbevolen om regelmatig zelfevaluaties uit te voeren waarbij wordt gecontroleerd of de implementatie nog steeds voldoet aan alle relevante compliance-vereisten en of er verbetermogelijkheden zijn. Organisaties moeten ook beschikken over documentatie die beschrijft hoe de audit logging bijdraagt aan compliance-doelstellingen en hoe de logs kunnen worden gebruikt tijdens audits om naleving aan te tonen.
Compliance & Frameworks
- CIS M365: Control 18.9.19.2 (L1) - CIS Security Benchmark aanbevelingen
- BIO: 16.01 - BIO Baseline Informatiebeveiliging Overheid - 16.01 - Gebeurtenissen logging en audittrails
- ISO 27001:2022: A.12.4.1 - ISO 27001:2022 - Gebeurtenissen logging en audittrails
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Intune Audit Logging: Policy Change
.DESCRIPTION
CIS - Audit policy change Success.
.NOTES
Filename: audit-pol-change.ps1|Author: Nederlandse Baseline voor Veilige Cloud|AuditPol: Audit Policy Change|Expected: Success
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $Category = "Audit Policy Change"; $ExpectedValue = "Success"
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance {
$r = [PSCustomObject]@{ScriptName = "pol-change.ps1"; PolicyName = "Policy Change"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; function Invoke-Revert { auditpol /set /subcategory:"$Category" /success:disable | Out-Null }
try { $audit = auditpol /get /subcategory:"$Category" /r | ConvertFrom-Csv; $setting = $audit.'Inclusion Setting'; $r.CurrentValue = $setting; if ($setting -match $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Audit: $setting" }else { $r.Details += "Audit: $setting" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r
}
function Invoke-Remediation { auditpol /set /subcategory:"$Category" /success:enable | Out-Null; Write-Host "Policy Change: Success" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { auditpol /set /subcategory:"$Category" /success:disable | Out-Null }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
High: Geen tracking van beleidswijzigingen mogelijk, waardoor onbevoegde wijzigingen niet worden gedetecteerd en compliance-vereisten niet kunnen worden aangetoond.
Management Samenvatting
Schakel auditbeleidwijzigingslogging in voor het monitoren en traceren van alle wijzigingen aan beveiligingsbeleid.
- Implementatietijd: 2 uur
- FTE required: 0.01 FTE