💼 Management Samenvatting
Deze beveiligingsregel waarborgt de correcte configuratie van auditlogging voor systeemuitbreidingen op Windows endpoints, waardoor organisaties inzicht krijgen in wijzigingen aan kritieke beveiligingscomponenten.
Aanbeveling
IMPLEMENTEER
Risico zonder
High
Risk Score
7/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Windows
Deze instelling is onderdeel van de Windows security baseline en beschermt tegen bekende aanvalsvectoren door het afdwingen van veilige configuraties. Zonder adequate auditlogging van systeemuitbreidingen kunnen kwaadwillenden wijzigingen aanbrengen aan beveiligingscomponenten zonder dat dit wordt gedetecteerd, wat een significant risico vormt voor de integriteit van het beveiligingssysteem.
PowerShell Modules Vereist
Primary API: Graph
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
Deze regel configureert de auditlogging voor security system extensions zodat succesvolle gebeurtenissen worden vastgelegd via Microsoft Intune apparaatconfiguratiebeleid of compliance policies. Dit beveiligt Windows endpoints volgens security best practices en zorgt voor volledige traceerbaarheid van wijzigingen aan beveiligingscomponenten.
Vereisten
Voor de implementatie van auditlogging voor security system extensions zijn verschillende technische en organisatorische vereisten van toepassing die essentieel zijn voor een succesvolle implementatie en om te voldoen aan beveiligings- en compliance-standaarden. Deze vereisten omvatten zowel infrastructuurcomponenten als organisatorische processen die samenwerken om een robuuste auditlogging-oplossing te creëren die voldoet aan de behoeften van moderne organisaties.
De primaire technische vereiste voor deze implementatie is Microsoft Intune als device management platform. Organisaties moeten beschikken over de juiste licentieovereenkomsten om Intune te kunnen gebruiken, waarbij de meest voorkomende opties Microsoft 365 E3, Microsoft 365 E5, of Enterprise Mobility + Security (EMS) zijn. Deze licenties bieden toegang tot de volledige Intune-functionaliteit die nodig is voor het configureren en beheren van device configuration policies. De Intune-omgeving moet correct zijn geconfigureerd met de benodigde connectiviteit naar Azure Active Directory, omdat Intune afhankelijk is van Azure AD voor identiteitsbeheer en device enrollment. Zonder een correct geconfigureerde Azure AD-connectiviteit kunnen devices niet worden ingeschreven in het Intune device management systeem, wat de implementatie van auditlogging policies onmogelijk maakt.
Windows endpoints moeten zijn ingeschreven in het Intune device management systeem voordat auditlogging policies kunnen worden toegepast. Het enrollment proces kan worden uitgevoerd via verschillende methoden, afhankelijk van de organisatorische behoeften en beveiligingsvereisten. Voor corporate-owned devices wordt vaak gebruikgemaakt van Automatic Enrollment via Azure AD Join of Hybrid Azure AD Join, waarbij devices automatisch worden geregistreerd wanneer gebruikers zich aanmelden met hun werkaccount. Voor BYOD-scenario's kan Bring Your Own Device (BYOD) enrollment worden gebruikt, waarbij gebruikers hun persoonlijke devices kunnen registreren met beperkte beheerrechten. Het is belangrijk om te verifiëren dat alle endpoints succesvol zijn ingeschreven voordat auditlogging policies worden geïmplementeerd, omdat niet-ingeschreven devices de policies niet zullen ontvangen.
Vanuit een bevoegdhedenperspectief is het essentieel dat de IT-beheerder beschikt over de juiste rollen binnen Intune en Azure AD om device configuratiebeleidsregels te kunnen maken, toewijzen en beheren. De minimale rolvereisten zijn Intune Administrator of Global Administrator, waarbij de Intune Administrator-rol specifiek is ontworpen voor Intune-beheertaken en de Global Administrator-rol volledige toegang biedt tot alle Azure AD- en Intune-functionaliteiten. Deze rollen zijn vereist omdat het maken en toewijzen van device configuration policies beheerrechten vereist die niet beschikbaar zijn voor standaard gebruikers of zelfs voor rolbeheerders met beperkte rechten. Het is belangrijk om het principe van least privilege toe te passen en alleen de minimaal benodigde rechten toe te kennen, waarbij Intune Administrator de voorkeur heeft boven Global Administrator wanneer mogelijk.
Vanuit technisch perspectief moeten de Windows endpoints minimaal Windows 10 versie 1809 of hoger draaien, of Windows 11, omdat oudere versies mogelijk niet alle auditlogging functionaliteiten ondersteunen die vereist zijn voor deze configuratie. Windows 10 versie 1809 introduceerde belangrijke verbeteringen in de auditlogging-infrastructuur, inclusief betere ondersteuning voor moderne device management via Intune. Oudere versies zoals Windows 10 versie 1709 of eerder kunnen beperkte ondersteuning hebben voor bepaalde audit policy instellingen, wat kan leiden tot inconsistent gedrag of het niet correct toepassen van policies. Voor organisaties met oudere Windows-versies wordt aanbevolen om eerst een upgrade uit te voeren naar een ondersteunde versie voordat auditlogging policies worden geïmplementeerd, om te voorkomen dat endpoints niet voldoen aan de vereisten.
De endpoints moeten verbonden zijn met het netwerk en regelmatig communiceren met de Intune-service om beleidsupdates te ontvangen. Intune gebruikt een polling-mechanisme waarbij endpoints periodiek contact opnemen met de Intune-service om te controleren op nieuwe of bijgewerkte policies. De standaard polling-interval is ongeveer 8 uur, maar endpoints kunnen ook handmatig worden gesynchroniseerd via de Settings app of via de Intune admin center. Voor endpoints die langere tijd offline zijn geweest, zoals laptops die wekenlang niet zijn verbonden met het netwerk, kan het enige tijd duren voordat policies worden toegepast wanneer het device weer online komt. Het is belangrijk om te overwegen hoe offline devices worden behandeld en of aanvullende maatregelen nodig zijn, zoals het configureren van Group Policy als fallback mechanisme voor endpoints die langere tijd offline kunnen zijn.
Organisatorisch gezien is het belangrijk dat er een duidelijk proces is voor het beheren van auditlogs, inclusief retentiebeleid en toegangscontroles voor het raadplegen van auditgegevens. Auditlogs bevatten gevoelige informatie over systemactiviteiten en moeten worden beschermd tegen onbevoegde toegang, terwijl ze tegelijkertijd toegankelijk moeten zijn voor geautoriseerde security analisten en compliance officers. Het retentiebeleid moet specificeren hoe lang auditlogs worden bewaard, waarbij veel compliance-frameworks zoals ISO 27001 en de BIO Baseline Informatiebeveiliging Overheid minimaal één jaar retentie vereisen, maar sommige sectoren zoals financiële dienstverlening of gezondheidszorg mogelijk langere retentieperioden vereisen. Toegangscontroles moeten specificeren wie toegang heeft tot auditlogs, welke rechten zij hebben (alleen lezen, exporteren, verwijderen), en hoe toegang wordt geaudit om te voorkomen dat auditlogs zelf worden gemanipuleerd.
De security officer of compliance officer moet betrokken zijn bij de implementatie om te waarborgen dat de logging voldoet aan relevante compliance-eisen zoals de BIO Baseline Informatiebeveiliging Overheid of ISO 27001. Deze stakeholders kunnen input leveren over welke events moeten worden gelogd, hoe lang logs moeten worden bewaard, en welke aanvullende maatregelen nodig zijn om te voldoen aan specifieke compliance-vereisten. Zij kunnen ook helpen bij het opzetten van processen voor het regelmatig reviewen van auditlogs en het identificeren van verdachte activiteiten. Zonder betrokkenheid van deze stakeholders kan het zijn dat de implementatie niet volledig voldoet aan compliance-vereisten, wat kan leiden tot failed audits of compliance-problemen.
Tot slot moet er een monitoring- en alertingstrategie zijn om te detecteren wanneer endpoints niet voldoen aan de geconfigureerde auditlogging instellingen, zodat tijdig corrigerende maatregelen kunnen worden genomen. Deze strategie moet omvatten hoe compliance status wordt gemonitord, hoe alerts worden geconfigureerd voor non-compliant endpoints, en wie verantwoordelijk is voor het reageren op deze alerts. Zonder adequate monitoring kunnen endpoints ongemerkt non-compliant worden, wat de effectiviteit van de auditlogging-implementatie ondermijnt en compliance-risico's creëert.
Implementatie
Gebruik PowerShell-script audit-security-system-extension-is-set-to-include-success.ps1 (functie Invoke-Remediation) – Automatiseert de implementatie van auditlogging configuratie voor security system extensions.
De implementatie van auditlogging voor security system extensions is een gestructureerd proces dat zorgvuldige planning en uitvoering vereist om te waarborgen dat alle endpoints correct worden geconfigureerd en dat de logging voldoet aan beveiligings- en compliance-vereisten. Het proces omvat verschillende fasen, van het aanmaken van het device configuration profile tot het verifiëren dat de instellingen correct zijn toegepast op alle endpoints. Door systematisch door deze fasen te werken kunnen organisaties een robuuste auditlogging-implementatie creëren die effectief bijdraagt aan de beveiligingspostuur en compliance-bereiking.
De implementatie begint met het inloggen op de Microsoft Intune admin center via de Azure portal. Navigeer naar Endpoint security en selecteer vervolgens Account protection om een nieuw device configuration profile aan te maken. Binnen het profiel moet de categorie Security settings worden geselecteerd, waarna de specifieke audit policy instellingen kunnen worden geconfigureerd. Het is belangrijk om een duidelijke en consistente naamgevingsconventie te gebruiken voor het profiel, bijvoorbeeld 'Windows Security Audit - System Extensions', zodat het gemakkelijk te identificeren is in de lijst met policies en duidelijk is wat het doel van het profiel is. Deze naamgevingsconventie helpt ook bij het beheren van meerdere audit policies en het voorkomen van verwarring tijdens het beheer.
Voor deze specifieke regel moet de audit policy 'Audit Security System Extension' worden ingesteld op 'Success', wat betekent dat alle succesvolle gebeurtenissen waarbij systeemuitbreidingen worden geladen of gewijzigd, worden vastgelegd in het Windows Security Event Log. Deze configuratie is essentieel omdat security system extensions kritieke beveiligingscomponenten zijn die kunnen worden misbruikt door kwaadwillenden om malware te laden of beveiligingscontroles te omzeilen. Door succesvolle gebeurtenissen te loggen kunnen security analisten detecteren wanneer nieuwe systeemuitbreidingen worden geladen, wat kan helpen bij het identificeren van verdachte activiteiten of potentiële beveiligingsincidenten. Het is belangrijk om te begrijpen dat alleen succesvolle gebeurtenissen worden gelogd met deze configuratie, wat betekent dat mislukte pogingen om systeemuitbreidingen te laden niet worden vastgelegd. Voor organisaties met zeer hoge beveiligingsvereisten kan het overwegen waard zijn om ook mislukte gebeurtenissen te loggen, hoewel dit kan leiden tot een aanzienlijke toename van het aantal log entries.
Tijdens de configuratie is het belangrijk om te overwegen welke endpoints deze instelling moeten ontvangen. In de meeste organisaties is het raadzaam om deze instelling toe te passen op alle Windows endpoints, omdat security system extensions op alle Windows-systemen kunnen worden geladen en het belangrijk is om volledige zichtbaarheid te hebben over welke extensies worden gebruikt. Echter, in specifieke gevallen kan het nodig zijn om uitzonderingen te maken voor testomgevingen of specifieke serversystemen waar andere logging-mechanismen worden gebruikt of waar de auditlogging mogelijk conflicteert met bestaande monitoring-oplossingen. Het is belangrijk om deze uitzonderingen te documenteren en te rechtvaardigen, zodat ze kunnen worden gereviewd tijdens compliance-audits en om te voorkomen dat endpoints per ongeluk worden uitgesloten van belangrijke beveiligingscontroles.
Na het aanmaken van het profiel moet dit worden toegewezen aan de relevante device groups of user groups binnen Azure Active Directory. De toewijzing kan direct plaatsvinden voor alle endpoints, of gefaseerd worden uitgerold om eerst te testen op een beperkte groep endpoints voordat de volledige implementatie plaatsvindt. Een gefaseerde rollout wordt aanbevolen voor grote organisaties met duizenden endpoints, omdat dit helpt bij het identificeren van potentiële problemen voordat ze alle endpoints beïnvloeden. Begin met een kleine testgroep van endpoints, bij voorkeur endpoints die representatief zijn voor de volledige omgeving maar niet kritiek zijn voor bedrijfsoperaties. Test de configuratie gedurende minimaal één week om te verifiëren dat de auditlogging correct werkt en dat er geen onverwachte problemen optreden. Na succesvolle testing kan de rollout worden uitgebreid naar aanvullende groepen endpoints, waarbij elke fase wordt gemonitord om te waarborgen dat alles correct functioneert.
Zodra het beleid is toegewezen, ontvangen de endpoints de configuratie tijdens de volgende policy sync, wat normaal gesproken binnen enkele minuten tot een uur plaatsvindt. De exacte timing is afhankelijk van verschillende factoren, waaronder de polling-interval van het endpoint, de netwerkconnectiviteit, en of het endpoint online is. Endpoints die online zijn en regelmatig communiceren met de Intune-service zullen de policy sneller ontvangen dan endpoints die offline zijn geweest of minder frequent synchroniseren. Het is mogelijk om een handmatige policy sync te forceren vanuit de Intune admin center door de gebruiker te selecteren en de optie 'Sync' te kiezen, of lokaal op het device via de Settings app onder Accounts en Access work or school, gevolgd door het selecteren van het account en het kiezen van 'Info' en vervolgens 'Sync'. Deze handmatige sync kan nuttig zijn voor het testen van de implementatie of voor het snel toepassen van policies op specifieke endpoints.
Na de implementatie is het essentieel om te verifiëren dat de instelling correct is toegepast op alle endpoints. Dit kan worden gedaan door gebruik te maken van het monitoring script dat beschikbaar is in de code repository, of door handmatig de Windows Security Event Log te raadplegen op een sample van endpoints om te verifiëren dat audit events worden gegenereerd wanneer systeemuitbreidingen worden geladen. Het monitoring script kan worden uitgevoerd op regelmatige basis om de compliance status van alle endpoints te controleren en om te rapporteren welke endpoints niet voldoen aan de vereisten. Deze verificatie is belangrijk omdat het helpt bij het identificeren van endpoints waar de policy niet correct is toegepast, wat kan gebeuren als gevolg van enrollment-problemen, netwerkproblemen, of conflicterende Group Policy-instellingen. Zonder deze verificatie kunnen organisaties onterecht aannemen dat alle endpoints correct zijn geconfigureerd, wat compliance-risico's creëert.
Voor organisaties die gebruikmaken van zowel Intune als Group Policy is het belangrijk om te overwegen hoe deze twee mechanismen samenwerken. Group Policy heeft voorrang op Intune policies wanneer beide worden toegepast op hetzelfde endpoint, wat betekent dat als een Group Policy de auditlogging-instelling overschrijft, de Intune policy mogelijk niet effectief is. Het is aanbevolen om een audit uit te voeren van alle Group Policy-objecten die auditlogging-instellingen configureren om te verifiëren dat er geen conflicten zijn. Indien conflicterende Group Policy-instellingen worden gevonden, moeten deze worden aangepast of verwijderd om te waarborgen dat de Intune policy correct wordt toegepast. Alternatief kunnen organisaties overwegen om volledig over te stappen naar Intune voor device management, wat de complexiteit vermindert en meer consistentie biedt in moderne cloud-first omgevingen.
Monitoring
Gebruik PowerShell-script audit-security-system-extension-is-set-to-include-success.ps1 (functie Invoke-Monitoring) – Automatiseert monitoring van auditlogging configuratie en compliance status.
Effectieve monitoring van de auditlogging configuratie voor security system extensions is essentieel om te waarborgen dat de instellingen correct zijn toegepast en blijven functioneren, en om tijdig te detecteren wanneer endpoints niet voldoen aan de vereisten of wanneer verdachte activiteiten plaatsvinden. Zonder adequate monitoring kunnen organisaties niet garanderen dat hun auditlogging-implementatie effectief is en dat ze voldoen aan compliance-vereisten. Monitoring omvat zowel technische controles van de configuratiestatus als analyse van de gegenereerde auditlogs om beveiligingsincidenten te detecteren en te onderzoeken.
De monitoringstrategie moet meerdere aspecten omvatten om een volledig beeld te krijgen van de gezondheid en effectiviteit van de auditlogging-implementatie. Het eerste aspect is het controleren van de compliance status van endpoints, waarbij wordt geverifieerd dat alle endpoints de auditlogging-instellingen correct hebben ontvangen en toegepast. Het tweede aspect is het analyseren van gegenereerde auditlogs om te verifiëren dat daadwerkelijk events worden vastgelegd wanneer systeemuitbreidingen worden geladen, en om te detecteren of er verdachte activiteiten plaatsvinden. Het derde aspect is het detecteren van afwijkingen of misconfiguraties die kunnen wijzen op beveiligingsproblemen of technische problemen die moeten worden opgelost.
Binnen Microsoft Intune kan de compliance status worden gemonitord via de Device compliance sectie, waar per endpoint zichtbaar is of het device voldoet aan de geconfigureerde policies. Deze interface toont een overzicht van alle endpoints en hun compliance status, waarbij endpoints worden gecategoriseerd als compliant, non-compliant, of in error state. Voor non-compliant endpoints wordt aanvullende informatie getoond over waarom het endpoint niet voldoet, wat kan helpen bij het identificeren van de oorzaak van het probleem. Het is aanbevolen om deze compliance status wekelijks te reviewen om tijdig te detecteren wanneer endpoints non-compliant worden, zodat corrigerende maatregelen kunnen worden genomen voordat dit leidt tot beveiligings- of compliance-problemen.
Daarnaast is het belangrijk om regelmatig de Windows Security Event Logs te raadplegen op endpoints om te verifiëren dat daadwerkelijk audit events worden gegenereerd wanneer systeemuitbreidingen worden geladen. De relevante event IDs voor security system extensions zijn typisch te vinden in het Security log onder de categorie System Extension events. Deze events bevatten informatie over welke systeemuitbreidingen worden geladen, wanneer dit gebeurt, en welke processen verantwoordelijk zijn voor het laden van de extensies. Door regelmatig deze logs te reviewen kunnen security analisten een baseline vaststellen van normale activiteiten, wat helpt bij het identificeren van afwijkingen die kunnen wijzen op beveiligingsincidenten. Het is aanbevolen om minimaal maandelijks een sample van endpoints te controleren om te verifiëren dat audit events worden gegenereerd, hoewel voor high-security omgevingen een frequentere controle kan worden overwogen.
Voor geavanceerde monitoring kan gebruik worden gemaakt van Security Information and Event Management (SIEM) oplossingen zoals Microsoft Sentinel, Azure Monitor, of andere enterprise SIEM platforms die de Windows Event Logs kunnen verzamelen en analyseren. Deze oplossingen bieden geavanceerde mogelijkheden voor het verzamelen, normaliseren, correleren en analyseren van auditlogs van alle endpoints in de organisatie, wat het mogelijk maakt om beveiligingsincidenten te detecteren die anders onopgemerkt zouden blijven. SIEM-oplossingen kunnen automatisch Windows Event Logs verzamelen via agents die op endpoints zijn geïnstalleerd, of via log forwarding mechanismen die logs centraliseren voor analyse. Deze centralisatie is essentieel voor grote organisaties met duizenden endpoints, omdat het onpraktisch is om handmatig logs te reviewen van alle endpoints.
SIEM-oplossingen maken het mogelijk om alerts te configureren voor verdachte activiteiten, zoals onverwachte systeemuitbreidingen die worden geladen buiten normale bedrijfsuren of vanaf onbekende locaties. Deze alerts kunnen worden geconfigureerd op basis van verschillende criteria, waaronder tijdstip van de activiteit, locatie van het endpoint, type systeemuitbreiding die wordt geladen, en of de activiteit afwijkt van normale patronen. Wanneer een alert wordt geactiveerd, kunnen security analisten onmiddellijk worden geïnformeerd zodat zij het incident kunnen onderzoeken en indien nodig corrigerende maatregelen kunnen nemen. Het is belangrijk om deze alerts regelmatig te reviewen en te verfijnen om false positives te minimaliseren terwijl echte beveiligingsincidenten worden gedetecteerd.
Het monitoring script dat beschikbaar is in de code repository kan worden gebruikt voor geautomatiseerde compliance checks, waarbij het script de configuratie van endpoints verifieert en rapporteert welke devices niet voldoen aan de vereisten. Dit script kan worden uitgevoerd op regelmatige basis, bijvoorbeeld dagelijks of wekelijks, om de compliance status van alle endpoints te controleren en om een rapport te genereren van non-compliant endpoints. Het script kan worden geïntegreerd in een geautomatiseerde monitoring workflow, bijvoorbeeld via Azure Automation of een scheduled task, om de compliance checks automatisch uit te voeren zonder handmatige interventie. De output van het script kan worden gebruikt om alerts te genereren wanneer endpoints non-compliant worden, of om rapporten te maken voor management of compliance-officers die de overall compliance status willen monitoren.
Naast technische monitoring is het ook belangrijk om organisatorische processen in te richten voor het regelmatig reviewen van auditlogs door security analisten, zodat verdachte activiteiten tijdig worden opgemerkt en onderzocht. Deze processen moeten specificeren wie verantwoordelijk is voor het reviewen van logs, hoe vaak reviews plaatsvinden, welke criteria worden gebruikt om verdachte activiteiten te identificeren, en hoe incidenten worden geëscaleerd wanneer verdachte activiteiten worden gedetecteerd. Zonder deze organisatorische processen kunnen technische monitoring-oplossingen effectief zijn in het verzamelen van data, maar kunnen beveiligingsincidenten onopgemerkt blijven omdat niemand de logs daadwerkelijk analyseert. Het is aanbevolen om minimaal wekelijks een review uit te voeren van auditlogs, waarbij security analisten specifiek zoeken naar afwijkingen, ongebruikelijke patronen, of activiteiten die kunnen wijzen op beveiligingsincidenten.
Voor organisaties met beperkte security resources kan het overwegen waard zijn om gebruik te maken van managed security services of security operations center (SOC) diensten die gespecialiseerd zijn in het monitoren en analyseren van security logs. Deze diensten kunnen 24/7 monitoring bieden, wat belangrijk is voor het detecteren van beveiligingsincidenten die buiten normale bedrijfsuren plaatsvinden, en ze kunnen gespecialiseerde expertise bieden in het identificeren van geavanceerde bedreigingen die anders onopgemerkt zouden blijven. Managed security services kunnen ook helpen bij het opzetten van effectieve monitoring-processen en bij het trainen van interne security teams in best practices voor log analysis en incident response.
Remediatie
Gebruik PowerShell-script audit-security-system-extension-is-set-to-include-success.ps1 (functie Invoke-Remediation) – Automatiseert het herstellen van auditlogging configuratie voor non-compliant endpoints.
Wanneer monitoring aangeeft dat endpoints niet voldoen aan de geconfigureerde auditlogging instellingen voor security system extensions, moeten corrigerende maatregelen worden genomen om de compliance te herstellen en te waarborgen dat alle endpoints correct zijn geconfigureerd. Non-compliance kan verschillende oorzaken hebben, en het is belangrijk om de specifieke oorzaak te identificeren voordat remediatie wordt uitgevoerd, omdat verschillende oorzaken verschillende remediatiestrategieën vereisen. Zonder adequate remediatie blijven endpoints kwetsbaar en kunnen organisaties niet voldoen aan compliance-vereisten, wat kan leiden tot beveiligingsrisico's en failed audits.
Het remediatieproces begint met het identificeren van de oorzaak van de non-compliance. Veelvoorkomende oorzaken zijn endpoints die niet correct zijn ingeschreven in Intune, endpoints die offline zijn geweest en daardoor policy updates hebben gemist, endpoints waarop de audit policy handmatig is gewijzigd door lokale administrators, of endpoints waar conflicterende Group Policy-instellingen de Intune policy overschrijven. Het identificeren van de oorzaak is essentieel omdat verschillende oorzaken verschillende remediatiestrategieën vereisen, en het toepassen van de verkeerde strategie kan leiden tot verdere problemen of kan het probleem niet oplossen.
Voor endpoints die niet zijn ingeschreven in Intune moet het device enrollment proces worden doorlopen, waarbij het device opnieuw wordt geregistreerd in het Intune management systeem. Het enrollment proces kan worden gestart vanuit de Settings app op het Windows endpoint, waarbij de gebruiker navigeert naar Accounts en Access work or school, en vervolgens de optie kiest om een werk- of schoolaccount toe te voegen. Tijdens dit proces wordt het device geregistreerd in Azure AD en wordt het automatisch ingeschreven in Intune als Automatic Enrollment is geconfigureerd. Alternatief kan het enrollment proces worden gestart door de gebruiker te vragen om zich aan te melden met hun werkaccount, wat automatisch het enrollment proces initieert als de juiste configuraties zijn ingesteld. Na het enrollment moet worden geverifieerd dat het device succesvol is ingeschreven door de device status te controleren in de Intune admin center, en vervolgens moet worden gewacht tot de policy sync heeft plaatsgevonden voordat wordt geverifieerd dat de auditlogging-instellingen correct zijn toegepast.
Als een endpoint offline is geweest, kan een geforceerde policy sync worden geïnitieerd vanuit de Intune admin center door de gebruiker te selecteren en de optie 'Sync' te kiezen, of lokaal op het device via de Settings app onder Accounts en Access work or school, gevolgd door het selecteren van het account en het kiezen van 'Info' en vervolgens 'Sync'. Deze geforceerde sync dwingt het endpoint af om onmiddellijk contact op te nemen met de Intune-service om te controleren op nieuwe of bijgewerkte policies, in plaats van te wachten op de volgende automatische polling-cyclus. Na de sync moet worden geverifieerd dat de policy correct is ontvangen door de compliance status te controleren in de Intune admin center, of door lokaal op het endpoint de Windows Security Event Log te raadplegen om te verifiëren dat de audit policy-instellingen correct zijn geconfigureerd. Als de geforceerde sync niet succesvol is, kan het zijn dat er onderliggende problemen zijn zoals netwerkconnectiviteit, firewall-blokkades, of Azure AD-connectiviteitsproblemen die eerst moeten worden opgelost.
Voor endpoints waarop de audit policy handmatig is gewijzigd door lokale administrators, kan het remediatie script worden gebruikt om de correcte configuratie automatisch te herstellen. Dit script kan worden uitgevoerd via Intune als remediation script, waarbij het script automatisch wordt uitgevoerd wanneer non-compliance wordt gedetecteerd door de compliance check. Intune remediation scripts worden uitgevoerd in de context van SYSTEM, wat betekent dat ze volledige beheerrechten hebben en in staat zijn om configuratiewijzigingen aan te brengen die anders mogelijk niet mogelijk zijn. Het script controleert de huidige audit policy-instellingen en past deze aan indien ze niet overeenkomen met de vereiste configuratie. Alternatief kan het script handmatig worden uitgevoerd op de betreffende endpoints via een remote management tool zoals PowerShell Remoting of Microsoft Endpoint Configuration Manager, wat nuttig kan zijn voor endpoints die niet correct zijn ingeschreven in Intune of voor situaties waar onmiddellijke remediatie vereist is zonder te wachten op de automatische remediatie-cyclus.
Na het uitvoeren van de remediatie moet worden geverifieerd dat de instelling correct is toegepast door opnieuw de compliance status te controleren in de Intune admin center, en eventueel de Windows Security Event Log te raadplegen om te bevestigen dat audit events worden gegenereerd wanneer systeemuitbreidingen worden geladen. Deze verificatie is belangrijk omdat het helpt bij het bevestigen dat de remediatie succesvol was en dat het endpoint nu voldoet aan de vereisten. Als de verificatie aangeeft dat het endpoint nog steeds non-compliant is, moet een diepgaandere analyse worden uitgevoerd om te identificeren waarom de remediatie niet succesvol was. Mogelijke oorzaken kunnen zijn dat het script niet correct is uitgevoerd, dat er onderliggende problemen zijn zoals corrupte registry entries, of dat er conflicterende configuraties zijn die de remediatie blokkeren.
In gevallen waar remediatie niet succesvol is, moet een diepgaandere analyse worden uitgevoerd om te identificeren of er onderliggende problemen zijn, zoals groepsbeleid conflicten of corrupte registry entries, die aanvullende troubleshooting vereisen. Group Policy conflicten kunnen worden geïdentificeerd door de Group Policy Resultant Set of Policy (RSOP) te raadplegen, wat een overzicht geeft van alle Group Policy-instellingen die worden toegepast op het endpoint en welke instellingen eventueel conflicteren met de Intune policy. Als conflicterende Group Policy-instellingen worden gevonden, moeten deze worden aangepast of verwijderd om te waarborgen dat de Intune policy correct wordt toegepast. Corrupte registry entries kunnen worden geïdentificeerd door de registry te raadplegen op de locatie waar audit policy-instellingen worden opgeslagen, en indien nodig kunnen deze entries worden hersteld naar de correcte waarden. Voor complexe problemen kan het nodig zijn om aanvullende diagnostische tools te gebruiken of om contact op te nemen met Microsoft Support voor assistentie bij het oplossen van het probleem.
Het is belangrijk om alle remediatie-activiteiten te documenteren, inclusief welke endpoints zijn gerepareerd, welke oorzaken zijn geïdentificeerd, welke remediatiestrategieën zijn toegepast, en of de remediatie succesvol was. Deze documentatie helpt bij het identificeren van patronen in non-compliance, wat kan helpen bij het voorkomen van toekomstige problemen, en het biedt bewijs voor compliance-audits dat organisaties proactief werken aan het waarborgen van compliance. De documentatie moet ook worden gebruikt om remediatie-processen te verbeteren door lessons learned te identificeren en best practices te ontwikkelen die kunnen worden toegepast bij toekomstige remediatie-activiteiten.
Compliance en Auditing
De implementatie van auditlogging voor security system extensions draagt significant bij aan de naleving van verschillende compliance frameworks en security standaarden die relevant zijn voor Nederlandse overheidsorganisaties en bedrijven die opereren in gereguleerde sectoren. Deze configuratie helpt organisaties te voldoen aan vereisten voor logging, monitoring, en audit trails zoals gespecificeerd in internationale standaarden en Nederlandse wetgeving. Zonder adequate auditlogging kunnen organisaties niet volledig voldoen aan de vereisten van frameworks zoals CIS Security Benchmark, BIO Baseline Informatiebeveiliging Overheid, ISO 27001, en AVG, wat kan leiden tot compliance-problemen, failed audits, en potentiële boetes of andere handhavingsmaatregelen.
Binnen het CIS Security Benchmark framework valt deze configuratie onder controle 18.9.19.2, wat specifiek betrekking heeft op het configureren van audit policies voor security system extensions. Deze controle is geclassificeerd als Level 1, wat betekent dat het een fundamentele security best practice is die door alle organisaties zou moeten worden geïmplementeerd, ongeacht hun grootte of sector. Level 1 controles worden beschouwd als essentiële beveiligingsmaatregelen die minimale impact hebben op functionaliteit maar significant bijdragen aan de beveiligingspostuur. Het niet implementeren van deze controle resulteert in een failed audit finding voor deze specifieke controle, wat kan leiden tot compliance-problemen bij klanten of partners die CIS-compliance vereisen, en wat kan worden gebruikt als bewijs van inadequate security practices tijdens beveiligingsincidenten of rechtszaken.
Voor Nederlandse overheidsorganisaties is de BIO Baseline Informatiebeveiliging Overheid van bijzonder belang, waarbij deze auditlogging configuratie direct bijdraagt aan controle 16.01, gericht op gebeurtenissen logging en audittrails. De BIO is verplicht voor alle Nederlandse overheidsorganisaties en specificeert minimale beveiligingsvereisten die moeten worden geïmplementeerd om informatie te beschermen. Controle 16.01 vereist dat organisaties adequate logging implementeren voor alle relevante gebeurtenissen, inclusief wijzigingen aan beveiligingscomponenten, zodat er een volledig audit trail beschikbaar is voor security incidenten en compliance audits. Deze controle is essentieel omdat beveiligingscomponenten zoals system extensions kritieke onderdelen zijn van de beveiligingsinfrastructuur, en wijzigingen aan deze componenten kunnen significante impact hebben op de beveiligingspostuur. Zonder adequate logging van deze wijzigingen kunnen organisaties niet aantonen dat zij passende maatregelen hebben genomen om beveiligingscomponenten te beschermen, wat kan leiden tot compliance-problemen en mogelijke handhavingsmaatregelen door toezichthouders.
Binnen het ISO 27001:2022 framework correspondeert deze configuratie met controle A.12.4.1, die betrekking heeft op logging en monitoring van security events. ISO 27001 is een internationale standaard voor informatiebeveiligingsmanagement die wordt gebruikt door organisaties wereldwijd om hun informatiebeveiligingssysteem te certificeren. Controle A.12.4.1 vereist dat organisaties logging mechanismen implementeren die voldoende informatie vastleggen om security incidenten te kunnen analyseren en forensisch onderzoek te kunnen uitvoeren. Deze controle is onderdeel van het bredere thema van operations security, wat zich richt op het waarborgen van de beveiliging van informatieverwerkingsfaciliteiten en systemen. Voor organisaties die ISO 27001-certificering nastreven of behouden, is het implementeren van adequate auditlogging voor security system extensions een vereiste om te voldoen aan deze controle. Tijdens ISO 27001-audits moeten organisaties kunnen aantonen dat logging correct is geconfigureerd, dat logs worden bewaard volgens het vastgestelde retentiebeleid, en dat logs regelmatig worden gereviewed door security analisten. Het niet voldoen aan deze controle kan leiden tot een non-conformity finding tijdens de audit, wat kan resulteren in het niet behalen of verliezen van de ISO 27001-certificering.
Voor AVG compliance is auditlogging van systeemuitbreidingen relevant omdat wijzigingen aan beveiligingscomponenten kunnen impact hebben op de bescherming van persoonsgegevens. De Algemene Verordening Gegevensbescherming (AVG), ook wel bekend als GDPR, vereist in artikel 32 dat organisaties passende technische en organisatorische maatregelen implementeren om persoonsgegevens te beveiligen. Beveiligingscomponenten zoals system extensions spelen een cruciale rol bij het beschermen van persoonsgegevens, en wijzigingen aan deze componenten kunnen de effectiviteit van beveiligingsmaatregelen beïnvloeden. Door adequate logging te implementeren kunnen organisaties aantonen dat zij passende technische maatregelen hebben genomen om persoonsgegevens te beschermen, zoals vereist in artikel 32 van de AVG. Deze logging helpt ook bij het voldoen aan de accountability-vereiste van de AVG, die vereist dat organisaties kunnen aantonen dat zij voldoen aan de verordening. Tijdens AVG-audits of bij datalekken kunnen organisaties gebruikmaken van auditlogs om aan te tonen dat zij passende maatregelen hebben genomen om persoonsgegevens te beschermen, wat kan helpen bij het verminderen van potentiële boetes of andere handhavingsmaatregelen.
Tijdens compliance audits moeten organisaties kunnen aantonen dat de auditlogging configuratie correct is geïmplementeerd en dat de gegenereerde logs worden bewaard volgens het vastgestelde retentiebeleid, typisch minimaal één jaar maar mogelijk langer afhankelijk van specifieke sectorale vereisten. Dit betekent dat organisaties documentatie moeten hebben die aantoont hoe de configuratie is geïmplementeerd, welke endpoints zijn geconfigureerd, en hoe compliance wordt gemonitord. Organisaties moeten ook kunnen aantonen dat logs daadwerkelijk worden gegenereerd door voorbeelden te tonen van audit events die zijn vastgelegd wanneer systeemuitbreidingen worden geladen. Het retentiebeleid moet worden gedocumenteerd en moet specificeren hoe lang logs worden bewaard, waar logs worden opgeslagen, en hoe logs worden beschermd tegen onbevoegde toegang of manipulatie. Voor sommige sectoren zoals financiële dienstverlening of gezondheidszorg kunnen langere retentieperioden worden vereist, bijvoorbeeld 7 jaar voor financiële transacties of levenslang voor bepaalde medische gegevens. Het is belangrijk om te verifiëren welke specifieke retentievereisten van toepassing zijn op uw organisatie en om ervoor te zorgen dat het retentiebeleid voldoet aan deze vereisten.
Het is essentieel dat alle configuratiewijzigingen en compliance verificaties worden gedocumenteerd in het security beleid en dat regelmatige reviews worden uitgevoerd om te waarborgen dat de implementatie blijft voldoen aan de vereisten van de verschillende compliance frameworks. Deze documentatie moet worden opgenomen in het security beleid document, dat regelmatig moet worden gereviewed en bijgewerkt om te reflecteren wijzigingen in configuratie of compliance-vereisten. Regelmatige reviews, bijvoorbeeld kwartaal of halfjaarlijks, helpen bij het identificeren van afwijkingen of problemen voordat ze leiden tot compliance-problemen, en ze bieden bewijs voor auditors dat organisaties proactief werken aan het waarborgen van compliance. Tijdens deze reviews moeten organisaties verifiëren dat de configuratie nog steeds correct is geïmplementeerd, dat alle endpoints voldoen aan de vereisten, dat logs correct worden gegenereerd en bewaard, en dat er geen wijzigingen zijn in compliance-vereisten die aanvullende maatregelen vereisen. Alle bevindingen en acties die voortvloeien uit deze reviews moeten worden gedocumenteerd en moeten worden gebruikt om het security beleid en de implementatie te verbeteren.
Voor organisaties die opereren in meerdere jurisdicties of die moeten voldoen aan meerdere compliance-frameworks, is het belangrijk om te overwegen hoe verschillende vereisten met elkaar interageren en om ervoor te zorgen dat de implementatie voldoet aan alle toepasselijke vereisten. Sommige frameworks kunnen strengere vereisten hebben dan andere, en in deze gevallen moeten organisaties de strengste vereisten volgen om te waarborgen dat ze voldoen aan alle frameworks. Het is ook belangrijk om te overwegen hoe compliance wordt gemonitord en gerapporteerd, omdat verschillende frameworks mogelijk verschillende rapportagevereisten hebben. Door een geïntegreerde aanpak te gebruiken waarbij compliance voor alle frameworks tegelijkertijd wordt gemonitord en gerapporteerd, kunnen organisaties efficiënter werken en kunnen ze ervoor zorgen dat ze niet per ongeluk bepaalde vereisten over het hoofd zien.
Compliance & Frameworks
- CIS M365: Control 18.9.19.2 (L1) - CIS Security Benchmark aanbevelingen
- BIO: 16.01 - BIO Baseline Informatiebeveiliging Overheid - 16.01 - Gebeurtenissen logging en audittrails
- ISO 27001:2022: A.12.4.1 - ISO 27001:2022 - Gebeurtenissen logging en audittrails
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Intune Audit Logging: Security System Extension Success
.DESCRIPTION
CIS - Audit security system extension Success.
.NOTES
Filename: audit-sys-ext.ps1|Author: Nederlandse Baseline voor Veilige Cloud|AuditPol: Security System Extension|Expected: Success
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $Category = "Security System Extension"; $ExpectedValue = "Success"
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance {
$r = [PSCustomObject]@{ScriptName = "sys-ext.ps1"; PolicyName = "System Extension"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; function Invoke-Revert { auditpol /set /subcategory:"$Category" /success:disable | Out-Null }
try { $audit = auditpol /get /subcategory:"$Category" /r | ConvertFrom-Csv; $setting = $audit.'Inclusion Setting'; $r.CurrentValue = $setting; if ($setting -match $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Audit: $setting" }else { $r.Details += "Audit: $setting" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r
}
function Invoke-Remediation { auditpol /set /subcategory:"$Category" /success:enable | Out-Null; Write-Host "System Extension: Success" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { auditpol /set /subcategory:"$Category" /success:disable | Out-Null }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
High: Zonder deze auditlogging configuratie ontbreekt volledige traceerbaarheid van wijzigingen aan kritieke beveiligingscomponenten zoals security system extensions, waardoor security incidenten niet adequaat kunnen worden onderzocht en compliance vereisten niet worden nageleefd. Security system extensions zijn kritieke beveiligingscomponenten die kunnen worden misbruikt door kwaadwillenden om malware te laden of beveiligingscontroles te omzeilen. Zonder adequate logging van wanneer en hoe deze extensies worden geladen, kunnen organisaties niet detecteren wanneer verdachte of kwaadaardige extensies worden geactiveerd, wat kan leiden tot onopgemerkte beveiligingsincidenten die maanden of jaren kunnen duren voordat ze worden ontdekt. Tijdens security incidenten of forensisch onderzoek ontbreekt cruciale informatie over welke extensies zijn geladen en wanneer, wat het onderzoek bemoeilijkt en kan leiden tot onvolledige of incorrecte conclusies over de omvang en impact van het incident. Voor compliance-doeleinden kunnen organisaties niet voldoen aan vereisten van frameworks zoals CIS Security Benchmark controle 18.9.19.2, BIO Baseline controle 16.01, ISO 27001 controle A.12.4.1, en AVG artikel 32, wat kan leiden tot failed audits, compliance-problemen, en potentiële boetes of andere handhavingsmaatregelen. Het risico is hoog voor alle organisaties omdat security system extensions op alle Windows-systemen kunnen worden geladen en omdat het ontbreken van logging een fundamentele beveiligingszwakte is die kan worden uitgebuit door geavanceerde persistent threats (APTs) en andere geavanceerde aanvallen.
Management Samenvatting
Auditlogging voor security system extensions is een fundamentele beveiligingsmaatregel die traceerbaarheid biedt van wijzigingen aan kritieke beveiligingscomponenten. Deze configuratie is essentieel voor het detecteren van beveiligingsincidenten, het uitvoeren van forensisch onderzoek, en het voldoen aan compliance-vereisten van frameworks zoals CIS, BIO, ISO 27001 en AVG. Implementatie vereist Microsoft Intune als device management platform, Windows 10 versie 1809 of hoger of Windows 11, en correcte Intune-beheerderrechten. De configuratie wordt toegepast via Intune device configuration policies en vereist regelmatige monitoring om te waarborgen dat alle endpoints compliant blijven. Zonder deze logging kunnen organisaties niet detecteren wanneer verdachte of kwaadaardige system extensions worden geladen, wat kan leiden tot onopgemerkte beveiligingsincidenten en compliance-problemen.
- Implementatietijd: 2 uur
- FTE required: 0.01 FTE