Audit Gebruikersaccount Management Is Set To Success En Failure

Aanvallers misbruiken regelmatig lokale of domeinaccounts om hun toegang te verstevigen; zonder volledige audit logging ontbreken harde bewijzen voor escalatieonderzoeken, AVG-verantwoording en BIO-controles.

Implementatie

Door het Intune-beleid Audit User Account Management zowel op Success als Failure te activeren en te koppelen aan langdurige logopslag ontstaat een sluitende audittrail waarmee securityteams afwijkingen direct kunnen detecteren en remediëren.

Vereisten

Het succesvol afdwingen van de auditinstelling voor gebruikersaccountbeheer begint met een glashelder begrip van het Windows-landschap binnen de organisatie. Intune-beheerde clients binnen gemeenten, uitvoeringsorganisaties en ministeries draaien vaak diverse buildversies, draaien bedrijfskritische applicaties en zijn gekoppeld aan hybride identiteiten via Microsoft Entra ID. Beveiligingsteams moeten vooraf in kaart brengen welke edities en firmwareversies operationeel zijn, welke uitzonderingen bestaan voor specialistische werkplekken en welke domeinpolicies eventueel conflicterende waarden afdwingen. Zonder deze inventarisatie bestaat het risico dat een baselinemaatregel zoals het loggen van gebruikersaccountactiviteiten niet uniform wordt toegepast, waardoor forensische gaten in de audittrail ontstaan. Daarna volgt een licentie- en roltoewijzingscheck. Elke betrokken beheerder moet minimaal beschikken over een Intune Administrator- of Endpoint Security Manager-rol, terwijl security-analisten ten minste Security Reader-toegang nodig hebben tot de tenant en de gekoppelde Log Analytics-werkruimten. Controleer eveneens of Advanced Audit-licenties of Microsoft 365 E5 compliance-add-ons beschikbaar zijn voor de apparaten die moeten rapporteren. Deze licenties bepalen namelijk of extra auditvelden, zoals gedetailleerde aanmeldingscontext en procesinformatie, daadwerkelijk worden vastgelegd en bewaard. Het is zinloos om de policy af te dwingen wanneer de vereiste licentieruimte ontbreekt, want dan worden de auditrecords alsnog na enkele dagen weggegooid. Op infrastructuurniveau is een betrouwbare logverwerkingsketen cruciaal. Dat betekent dat Windows-eventlogs lokaal voldoende schijfruimte hebben, dat logbestandsgroottes en retentie-instellingen zijn afgestemd op piekbelasting, en dat forwarding of upload naar Microsoft Sentinel, Splunk of het Rijks-SOC zonder pakketverlies verloopt. Organisaties die met vertraagde VPN-verbindingen of mobiele netwerken werken, moeten cachingstrategieën documenteren zodat logs nooit ouder dan vier uur blijven hangen. Daarnaast hoort er een versleuteld opslagaccount of SIEM-cluster beschikbaar te zijn waarin auditlogboeken minimaal 400 dagen worden bewaard, conform de Nederlandse Baseline voor Veilige Cloud. Een vierde vereiste betreft de personele capaciteit. SOC-analisten en functioneel beheerders moeten aantoonbaar getraind zijn in het interpreteren van Event ID 4720 tot en met 4738 en het herkennen van afwijkende patronen, zoals massale groepslidmaatschappen door geautomatiseerde scripts. Daarnaast moeten zij procedures kennen voor het koppelen van auditmeldingen aan change-registraties en HR-processen rondom in- en uitdiensttreding. Zonder deze vaardigheden blijft de overvloed aan logdata onbeoordeeld en neemt de kans toe dat privilege-escalatie onopgemerkt blijft. Tot slot moet het governancekader aansluiten. De Chief Information Security Officer borgt dat deze maatregel expliciet is opgenomen in het organisatiebrede beveiligingsplan, inclusief eigenaar, meetbare KPI's en escalatieregels. Change-advisory boards dienen te garanderen dat toekomstige software-uitrol, zoals nieuwe endpointbeveiligers of Remote Support Agents, de ingestelde auditpolicy niet overschrijft. Wanneer deze organisatorische randvoorwaarden zijn ingevuld, kan de technische implementatie zonder verrassingen plaatsvinden en levert de auditfunctie daadwerkelijk het bewijs dat toezichthouders, accountants en strafrechtelijke onderzoekers verwachten. Omdat veel publieke organisaties afhankelijk zijn van externe leveranciers voor werkplekbeheer, hoort ook contractueel te worden vastgelegd dat partners dezelfde randvoorwaarden naleven. Service Level Agreements moeten het tijdig distribueren van Intune-profielen, het uitvoeren van regressietesten in acceptatieomgevingen en het leveren van maandelijkse compliance-rapportages verplicht stellen. Pas als leveranciers en interne teams hetzelfde verwachtingspatroon hanteren, wordt voorkomen dat een uitgestelde softwarepatch of een vergeten testresultaat de activatie van deze auditinstelling blokkeert. Daarmee is de laatste randvoorwaarde ingevuld en kan de maatregel met vertrouwen worden uitgerold.

Implementatie

Gebruik PowerShell-script audit-user-account-management-is-set-to-success-and-failure.ps1 (functie Invoke-Monitoring) – Monitoren.

De implementatie van deze Intune-instelling start met het vastleggen van een gecontroleerd wijzigingsverzoek waarin scope, betrokken business-eigenaren en testmijlpalen worden beschreven. Vervolgens maken beheerders in de Intune admin center een nieuw Endpoint Security policy aan binnen de categorie Audit. Hier selecteren zij het Windows-platform, kiezen voor de subcategorie Account Logon en schakelen zij zowel Success als Failure in voor de parameter Audit User Account Management. Om regressie te voorkomen wordt de policy aanvankelijk toegewezen aan een beperkte pilotgroep bestaande uit referentieapparaten per organisatieonderdeel, inclusief een combinatie van moderne cloud-only apparaten en hybride domeinjoined systemen. Tijdens deze fase valideert het team of bestaande security baselines of lokale registrywaarden niet met de nieuwe configuratie conflicteren. Na de pilot wordt een geautomatiseerde distributie gerealiseerd via securitygroepen in Microsoft Entra ID. Beheerders gebruiken dynamische groepsregels zodat elk apparaat met het tag IntuneBaseline=Audit automatisch wordt opgenomen. Parallel wordt een fallback-script opgesteld met behulp van PowerShell, zodat in uitzonderlijke omstandigheden dezelfde registry-instellingen kunnen worden toegepast via een Configuration Profile of via Remote PowerShell binnen Microsoft Endpoint Configuration Manager. Deze duale aanpak garandeert dat ook mobiele werkplekken die tijdelijk offline zijn alsnog de gewenste instellingen ontvangen zodra zij verbinding maken met de cloud. Een essentieel implementatiestap is het verifiëren van de daadwerkelijke loggeneratie. Hiervoor wordt een gecontroleerd scenario uitgevoerd, zoals het aanmaken van een testaccount, het resetten van een wachtwoord en het wijzigen van groepslidmaatschappen. Analisten controleren in het lokale Event Viewer of de gebeurtenissen 4720, 4722, 4726 en 4738 zichtbaar zijn met zowel Success- als Failure-statussen. Vervolgens wordt nagegaan of de gebeurtenissen via Windows Event Forwarding, Microsoft Defender for Endpoint of de Intune diagnostics pipeline worden doorgestuurd naar de centrale Log Analytics-werkruimte. Pas als de logs binnen tien minuten na het testmoment in het SIEM zichtbaar zijn, wordt de policy in productie vrijgegeven. Documentatie vormt een ander belangrijk implementatieonderdeel. Elke wijziging wordt opgenomen in het Configuration Management Database-record van de betreffende baseline. Het technische stappenplan beschrijft welke instellingen via Intune worden gezet, welke scripts in de repository code/intune/audit-logging/audit-user-account-management-is-set-to-success-and-failure.ps1 beschikbaar zijn voor verificatie en hoe rollback wordt uitgevoerd wanneer applicatiecompatibiliteit in het gedrang komt. Bovendien worden knowledge articles geschreven voor servicedesks zodat zij eindgebruikersvragen over toegenomen logging kunnen beantwoorden en afwijkende foutmeldingen snel kunnen escaleren naar het SOC. Voordat de instelling breed wordt uitgerold, organiseert het projectteam een gezamenlijke acceptatiesessie met security, compliance en HR. Hierin worden de juridische implicaties van uitgebreidere accountlogging besproken, wordt bevestigd dat privacy officers de proportionaliteitstoets hebben uitgevoerd en worden afspraken gemaakt over het informeren van ondernemingsraden. Deze sessie fungeert als laatste controlemoment waarop kan worden vastgesteld dat de technische inrichting, de organisatorische maatregelen en de communicatiestrategie elkaar versterken. Pas na deze formele goedkeuring wordt de policy aan alle productieapparaten toegewezen en wordt het wijzigingsverzoek gesloten met een gedetailleerd implementatieverslag. Tijdens de nazorgperiode van minimaal vier weken controleert het projectteam dagelijks de compliancestatistieken binnen Intune en vergelijkt het deze met de metrische output van Microsoft Sentinel. Eventuele verschillen worden onderzocht door het Intune-troubleshootinglogboek te exporteren en het PowerShell-script opnieuw op een steekproef van apparaten te draaien. Deze gefaseerde validatie voorkomt dat uitzonderingen onopgemerkt blijven en geeft bestuurders het vertrouwen dat de maatregel duurzaam is verankerd.

Monitoring

Gebruik PowerShell-script audit-user-account-management-is-set-to-success-and-failure.ps1 (functie Invoke-Monitoring) – Controleren.

Effectieve monitoring begint bij het vaststellen van duidelijke detectiedoelen: het gaat niet alleen om het verzamelen van logboeken, maar om het tijdig herkennen van ongeautoriseerde accountaanpassingen die kunnen wijzen op privilege-escalatie of sabotage van accounts. Securityteams richten daarom in Microsoft Sentinel of een vergelijkbare SIEM-oplossing een speciaal werkboek in dat de Event ID's 4720 tot en met 4738, 4740 en 4781 groepeert. Het werkboek toont per organisatieonderdeel en per devicegroep hoeveel Success- en Failure-gebeurtenissen optreden, welke beheerdersaccounts actief wijzigingen doorvoeren en of er plotselinge pieken zijn buiten reguliere kantoortijden. Voor kleinere organisaties zonder Sentinel volstaat een dashboard in Microsoft Defender for Endpoint waarin dezelfde auditgebeurtenissen via advanced hunting-query's zichtbaar worden gemaakt. Belangrijk is dat de visualisaties worden aangevuld met context uit HR- en IAM-systemen, zodat bijvoorbeeld een massale offboarding-actie direct kan worden onderscheiden van een compromittering. Naast dashboards zijn geautomatiseerde detectieregels essentieel. Gebruik Kusto Query Language-query's die specifieke risico-indicatoren signaleren, zoals een account dat binnen een uur wordt aangemaakt, toegevoegd aan meerdere privileged groepen en vervolgens weer verwijderd. Zulke patronen zijn een bekend teken van living-off-the-land-aanvallen waarbij aanvallers sporen proberen te wissen. Alerts worden gekoppeld aan Microsoft Teams-notificaties of ITSM-tickets, zodat het SOC binnen maximaal vijftien minuten een eerste beoordeling uitvoert. Voor organisaties die nog niet over een SOC beschikken kan een regionale samenwerkingsorganisatie of een commerciële Managed Detection and Response-partner het monitoringtakenpakket overnemen, mits zij toegang hebben tot dezelfde logbronnen en escalatieprocedures. Continuïteit van monitoring vereist ook kwaliteitscontroles op de logstromen zelf. Maandelijks voert het team een steekproef uit waarbij de omvang van het Security-eventlog op representatieve apparaten wordt vergeleken met de ingestelde maximale loggrootte. Wanneer blijkt dat logs te snel worden overschreven, wordt de retention aangepast of wordt gekozen voor het automatisch exporteren via Windows Event Forwarding. Tevens wordt gecontroleerd of agents up-to-date zijn, of firewallregels de uitgaande poorten naar Log Analytics niet blokkeren en of de tijdsynchronisatie via NTP correct functioneert. Een afwijking van slechts enkele seconden kan al tot correlatieproblemen leiden binnen het SIEM. Monitoring is pas volledig wanneer inzichten worden teruggekoppeld aan besluitvormers. Daarom bespreekt het securityteam ieder kwartaal de belangrijkste trends met de CISO, de Chief Privacy Officer en proceseigenaren van HR en Identity Governance. Zij beoordelen samen of aanvullende maatregelen nodig zijn, zoals het aanscherpen van changeprocedures of het invoeren van Just-In-Time-administratierechten. Deze bestuurlijke dialoog zorgt ervoor dat monitoring niet verzandt in technische rapportages, maar direct bijdraagt aan risicoreductie binnen de Nederlandse Baseline voor Veilige Cloud. Tot slot wordt een onafhankelijke controle ingericht. Een interne auditafdeling of een externe partner voert halfjaarlijks een review uit op de monitoringketen. Zij testen of alertregels juist zijn geconfigureerd, of er voldoende scheiding bestaat tussen ontwikkel- en productieanalyseomgevingen en of incidentenlogs volledig worden opgeslagen in een bewaarmap die beperkt toegankelijk is. Eventuele tekortkomingen worden vastgelegd in verbeterplannen met deadlines en verantwoordelijken, zodat monitoring een aantoonbaar volwassen en herhaalbaar proces blijft. Om de effectiviteit tastbaar te maken hanteert het SOC een set prestatie-indicatoren, zoals de gemiddelde detectietijd, het percentage alerts dat automatisch wordt bevestigd door aanvullende telemetrie en het aandeel incidenten dat binnen één dienst volledig wordt onderzocht. Deze indicatoren worden gedeeld via maandelijkse rapporten en besproken in operationele overleggen. Zo ontstaat een cultuur van continue verbetering waarin monitoringresultaten leiden tot betere configuraties, scherpere playbooks en gerichtere trainingen voor beheerders.

Remediatie

Gebruik PowerShell-script audit-user-account-management-is-set-to-success-and-failure.ps1 (functie Invoke-Remediation) – Herstellen.

Remediatie begint zodra monitoring een afwijking signaleert: bijvoorbeeld wanneer de auditinstelling onverwacht is teruggezet naar alleen Success of volledig is uitgeschakeld op een subset apparaten. Het incidentresponsproces definieert dat het SOC binnen vijftien minuten de ernst classificeert, controleert welke apparaten of administratieve accounts betrokken zijn en een eerste containment-actie start. In vrijwel alle gevallen betekent containment dat de betreffende apparaten in quarantaine worden geplaatst via Microsoft Defender for Endpoint of dat hun netwerktoegang wordt beperkt tot managementnetwerken. Tegelijkertijd wordt nagegaan of er recente wijzigingen zijn doorgevoerd in Intune, Groepsbeleid of lokale scripts die het registry hebben bewerkt. Deze analyse bepaalt of het incident voortkomt uit menselijke fout, een mislukte softwaredeploy of een kwaadwillende actor. Daarna volgt de technische herstelactie. Het PowerShell-script uit code/intune/audit-logging/audit-user-account-management-is-set-to-success-and-failure.ps1 voert een geforceerde controle uit op de relevante beleidsinstellingen en past de gewenste waardes opnieuw toe wanneer deze ontbreken. Voor apparaten die tijdelijk offline zijn, genereert het script een remediatierapport zodat beheerders gericht opvolging kunnen plannen. In hybride scenario's kan het nodig zijn om tijdelijk een vergelijkbare Group Policy Preference te activeren om servers of niet-Intune-clients te herstellen. Hierdoor blijft de volledige keten consistent en worden compliance-gaten gedicht nog voordat auditors of toezichthouders zich melden. Parallel aan de technische stappen vindt een grondoorzaakonderzoek plaats. Analisten reconstrueren welke actoren wijzigingen hebben aangebracht, of er sprake was van gestolen sessietokens of van een geautomatiseerd proces dat onbeheerd draaide. Ze raadplegen changelogs, Intune-auditlogs en Azure AD activity reports om een tijdlijn te bouwen. Indien aanwijzingen voor kwaadwillende activiteiten bestaan, worden forensische kopieën gemaakt van relevante systemen en wordt het Computer Emergency Response Team of het Rijks-SOC ingeschakeld. Het onderzoek resulteert in een rapportage waarin de directe oorzaak, versterkende factoren en structurele verbetermaatregelen worden beschreven. Communicatie vormt eveneens een remediatiecomponent. De proceseigenaar van Identity Governance wordt geïnformeerd over de bevindingen en bevestigt of gebruikersbeheer tijdelijk handmatig wordt afgehandeld. HR wordt betrokken wanneer accounts van medewerkers mogelijk onterecht zijn gewijzigd, zodat zij medewerkers snel kunnen informeren en begeleiden bij herstel van toegang. Indien wettelijke meldplichten gelden, bijvoorbeeld richting de Autoriteit Persoonsgegevens bij mogelijke datalekken, zorgt de privacy officer dat de melding tijdig en volledig wordt gedaan met verwijzing naar de auditlogboeken als bewijs. Tot slot worden lessons learned vertaald naar blijvende verbeteringen. Dat kan betekenen dat Intune-profielen voortaan met versienummering worden uitgerold, dat aanvullende Conditional Access-regels worden ingesteld om beheeraccounts te beschermen of dat er een verplichte peer review komt op scripts die kritieke registrywaarden aanpassen. Elke maatregel wordt geregistreerd in het verbeterregister, voorzien van eigenaar en deadline. Remediatie eindigt pas wanneer het bestuur formeel heeft vastgesteld dat de oorzaak is weggenomen, de auditing opnieuw volledig functioneert en er geen rest-risico's meer bestaan. Een volwassen remediatieproces borgt tenslotte de bewijsvoering. Alle stappen, van containment tot structurele fix, worden vastgelegd in het ticketingsysteem en gekoppeld aan de relevante auditgebeurtenissen zodat auditors exact kunnen volgen welke besluiten zijn genomen. Trainingsmateriaal voor beheerders wordt bijgewerkt met de nieuwste inzichten en opnieuw uitgerold via het leerportaal, zodat toekomstige incidenten sneller worden herkend en opgelost. Daardoor ontstaat een lerende organisatie waarin remediatie niet alleen problemen oplost, maar ook de weerbaarheid van de gehele keten vergroot.

Compliance en Auditing

De maatregel rond Audit User Account Management levert directe bewijsvoering voor meerdere Nederlandse en internationale kaders die in de publieke sector verplicht zijn. Binnen de Baseline Informatiebeveiliging Overheid (BIO) ondersteunt dit controle-object 16.01 doordat het aantoont dat gebeurtenissen rond aanpassingen aan gebruikersaccounts volledig worden gelogd en dat onregelmatigheden kunnen worden getraceerd. Door zowel successen als mislukkingen vast te leggen, ontstaat een sluitende ketenbewaking waarmee auditors kunnen controleren of procedures voor autorisatiebeheer daadwerkelijk zijn gevolgd. Dezelfde logboeken voldoen aan ISO 27001:2022-eis A.12.4.1, die verlangt dat belangrijke beveiligingsgebeurtenissen, waaronder toevoegingen aan privilegegroepen en wachtwoordresets, snel beschikbaar zijn voor onderzoek. Voor organisaties die onder de Algemene verordening gegevensbescherming vallen, is de logging bovendien een essentieel controlemiddel om aan te tonen dat alleen bevoegde personen toegang tot persoonsgegevens kunnen wijzigen. Naleving vereist echter meer dan uitsluitend technische logs. Documenteer in het Information Security Management System welke processen verantwoordelijk zijn voor het beoordelen van deze logboeken, hoe vaak rapportages worden opgesteld en welke beslissingsbevoegdheden gelden voor uitzonderingen. Auditors verwachten een keten van beleidsdocumenten, procedures en operationele instructies waaruit blijkt dat logging niet vrijblijvend is maar onderdeel vormt van een gecontroleerd proces. Daarom wordt voor elke wijziging in de Intune-policy een formeel wijzigingsbesluit vastgelegd, inclusief risicoanalyse en goedkeuring door de CISO. Deze administratie maakt het mogelijk om tijdens audits aan te tonen dat wijzigingen doelbewust en herleidbaar zijn uitgevoerd. Een tweede pijler is bewijsbewaring. De Nederlandse Baseline voor Veilige Cloud schrijft voor dat auditinformatie minimaal 400 dagen beschikbaar moet zijn. Organisaties bereiken dit door Log Analytics-workspaces te koppelen aan immutable storage-accounts, door periodiek exports naar een beveiligde archiefomgeving te maken en door toegangsbeheer op deze archieven strikt te beperken. Tijdens auditinterviews moet kunnen worden aangetoond dat niemand logboeken kan verwijderen of aanpassen zonder vier-ogen-principe en dat elke inzage in de logs zelf weer wordt gelogd. Deze keten van vertrouwen is cruciaal om geloofwaardige bewijslasten richting Rijksauditdiensten en externe accountants te leveren. Compliance omvat ook het aantonen van continue verbetering. Rapporteer daarom periodiek over de effectiviteit van de loggingmaatregel: hoeveel incidenten zijn voorkomen, hoe vaak moesten instellingen worden hersteld en welke trends zijn zichtbaar per organisatieonderdeel? Deze rapportages vormen input voor de managementreview waarin wordt besloten of aanvullende controles nodig zijn. Wordt bijvoorbeeld geconstateerd dat foutieve wijzigingen vooral optreden bij tijdelijke projectaccounts, dan kan het bestuur besluiten strengere Identity Governance-processen te introduceren. Zo koppelt de organisatie operationele monitoring aan strategische besluitvorming, waarmee de volwassenheid van het controleframework aantoonbaar groeit. Tot slot spelen externe toezichthouders en samenwerkingsverbanden een rol. Veel gemeenten en Rijksdiensten delen auditresultaten met het Informatiebeveiligingsdienst voor gemeenten (IBD) of met sectorale CERT's. Hierdoor kunnen trends, zoals nieuwe aanvalstechnieken gericht op accountbeheer, vroegtijdig worden herkend. Door de bevindingen uit deze loggingmaatregel te delen binnen dergelijke netwerken voldoet de organisatie aan de samenwerkingsprincipes uit de Nederlandse Baseline voor Veilige Cloud en draagt zij bij aan collectieve weerbaarheid. In auditrapportages wordt expliciet gemaakt welke kennisdeling heeft plaatsgevonden en hoe aanbevelingen zijn opgevolgd, zodat compliance niet alleen een interne verplichting is, maar ook maatschappelijke waarde oplevert. Een volwassen nalevingsaanpak besteedt bovendien aandacht aan privacy by design. Het Data Protection Impact Assessment wordt bijgewerkt om te beschrijven welke auditvelden persoonsgegevens bevatten, hoe toegang wordt gelogd en hoe betrokkenen hun rechten kunnen uitoefenen. Door deze beschrijving beschikbaar te stellen aan privacy officers en functionarissen gegevensbescherming wordt aangetoond dat logging proportioneel is, dat bewaartermijnen gerechtvaardigd zijn en dat de organisatie de AVG-verplichtingen serieus neemt. Daarmee sluit de maatregel volledig aan op de principes van transparantie en verantwoordingsplicht.

Compliance & Frameworks

• CIS M365: Control 18.9.19.2 (L1) - CIS Security Benchmark aanbevelingen
• BIO: 16.01 - BIO Baseline Informatiebeveiliging Overheid - 16.01 - Gebeurtenissen logging en audittrails
• ISO 27001:2022: A.12.4.1 - ISO 27001:2022 - Gebeurtenissen logging en audittrails

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

Risico zonder implementatie

Management Samenvatting

Schakel in audit logging.

• Implementatietijd: 2 uur
• FTE required: 0.01 FTE