Auditeren Gebruikersrechtentoewijzingen

Toewijzingswijzigingen van rechten zoals lokaal aanmelden of het laden van apparaatstuurprogramma's vormen aantrekkelijke doelwitten voor tegenstanders. Zonder uniforme auditing verdwijnen cruciale sporen wanneer een aanvaller privileges uitbreidt of verwijdert. Door consistent audit user rights assignment te configureren creëert de organisatie een betrouwbaar forensisch spoor, voldoet zij aan de BIO-eisen voor logging en ondersteunt zij het herstel na incidenten.

Implementatie

Het beleid configureert onder Windows-beveiligingsinstellingen de auditcategorie "User Rights Assignment" met zowel succes- als foutgebeurtenissen, gekoppeld aan Intune-configuratieprofielen of compliancebeleid. Hierdoor ontvangen SOC-teams gestandaardiseerde gebeurtenissen zoals 4717 en 4718 in de Security-log, kunnen zij correlaties opbouwen in Microsoft Sentinel of een ander SIEM en verifiëren zij automatisch of endpoints voldoen aan de securitybaseline.

Vereisten

Een solide voorbereiding begint met het vaststellen van de licentie- en platformscope. Elke betrokken werkplek moet minimaal Windows 10 of 11 Enterprise of Education draaien met recente cumulatieve updates zodat de auditcategorie voor gebruikersrechten volledig beschikbaar is. Daarnaast zijn Microsoft Intune Suite of vergelijkbare Endpoint Management licenties vereist, inclusief recht op het gebruik van geavanceerde auditingfuncties en Microsoft Entra ID P1 voor apparaat- en policytoewijzing. Door deze basisvoorwaarden hard te maken voorkomt de organisatie dat verouderde systemen buiten zicht vallen of dat beleid slechts gedeeltelijk wordt toegepast. Beheerorganisaties moeten eveneens een helder beeld hebben van hun rol- en taakverdeling. Alleen Intune-beheerders met het RBAC-profiel Policy and Profile Manager of een maatwerkrol met gelijkwaardige rechten mogen de configuratie aanpassen. Security Officers hebben leesrechten nodig om de gegenereerde auditlogs te kunnen beoordelen, terwijl het SOC toegang krijgt tot Microsoft Graph API's voor automatisering. Werk met het principe van minimale rechten en borg dat wijzigingen worden goedgekeurd binnen een changeproces waarin CISO, lijnmanagement en operations vertegenwoordigd zijn zodat governance aantoonbaar blijft. Technisch gezien zijn er verschillende afhankelijkheden die vooraf moeten worden ingericht. De beheerwerkplek of pipeline moet beschikken over PowerShell 7, het modulepakket Microsoft.Graph.DeviceManagement en een serviceaccount dat via Connect-MgGraph met de scopes DeviceManagementConfiguration.ReadWrite.All en DeviceManagementConfiguration.Read.All kan authenticeren. Endpoints moeten een betrouwbare netwerkroute hebben naar Intune, Microsoft Graph en het ingestelde SIEM zodat auditgebeurtenissen tijdig worden doorgestuurd. Verder is een Log Analytics-werkruimte of een ander gecentraliseerd logplatform vereist voor langdurige opslag conform de bewaartermijnen van de BIO. Ook organisatorische randvoorwaarden verdienen aandacht. Change- en releasekalenders moeten ruimte bieden voor gefaseerde uitrol, inclusief communicatie richting eindgebruikers over eventuele herstarten of performance-impact. Documenten zoals het securityhandboek, runbooks voor het SOC en het dreigingsbeeld refereren naar het gekozen auditbeleid, de betrokken event-ID's en de manier waarop alerts worden geëscaleerd. Daarnaast is het raadzaam een testgroep van representatieve apparaten in te richten, zodat nieuwe of aangepaste instellingen eerst in een gecontroleerde omgeving worden beoordeeld door zowel functioneel beheer als security operations. Tot slot horen reporting en kwaliteitscontrole tot de vereisten. Beschrijf in meetbare termen welke KPI's gelden, zoals het percentage apparaten dat het beleid heeft ontvangen, de latency tussen beleidswijziging en eventregistratie en het aantal meldingen dat een analist per dag verwerkt. Zorg dat dashboards in Power BI of het SIEM deze KPI's automatisch vullen en dat auditrapporten worden opgeslagen voor interne en externe controles. Wanneer deze randvoorwaarden helder zijn, kan de implementatie snel en herhaalbaar plaatsvinden zonder dat compliance of beveiliging in het gedrang komt.

Implementatie

De implementatiefase start met een grondige inventarisatie van de huidige situatie. Verzamel welke gebruikersrechten binnen de organisatie actief worden aangepast, bijvoorbeeld Log on as a service of Allow log on locally, en welke auditcategorieën al worden geregistreerd. Vergelijk deze informatie met de richtlijnen uit de Nederlandse Baseline voor Veilige Cloud, de Microsoft Security Baseline voor Windows en de vereisten uit de BIO 16.01. Stel op basis daarvan een doelarchitectuur op waarin duidelijk staat welke gebeurtenissen minimaal moeten worden vastgelegd, hoe lang ze worden bewaard en welke teams verantwoordelijk zijn voor analyse. Gebruik daarna Microsoft Intune om een nieuw configuratieprofiel van het type Windows 10 en later te maken. Kies voor de categorie Endpoint Security > Audit of voor een custom OMA-URI-profiel waarmee je granulariteit krijgt over de subcategorie User Rights binnen Advanced Audit Policy Configuration. Activeer zowel Success als Failure auditing zodat elke geslaagde én mislukte wijziging zichtbaar wordt. Vul aanvullende instellingen in, zoals verhoogde loggrootte en retentie van het Security-log, om dataverlies bij drukke servers te vermijden. Documenteer elk veld met het bijbehorende ticketnummer zodat een auditor de besluitvorming kan volgen. Wanneer handmatige configuratie te foutgevoelig is, biedt het script code/intune/audit-logging/audit-user-rights-assignment.ps1 uitkomst. De functie Invoke-Monitoring kan parameterwaarden ophalen uit een JSON-sjabloon, policies creëren via New-MgDeviceManagementConfigurationPolicy en bestaande profielen vergelijken op basis van hun instellinghash. Integreer het script in een Azure DevOps- of GitHub Actions-pipeline zodat wijzigingen automatisch naar test- en productieomgevingen worden gepusht zodra ze in source control zijn goedgekeurd. Log uitvoeringsdetails zodat duidelijk is wanneer welke policyversie live ging. Voer de uitrol gefaseerd uit. Begin met een pilotgroep van ongeveer tien procent van de apparaten, verspreid over verschillende businessunits en netwerken. Monitor gedurende minimaal twee werkdagen de impact op systeemprestaties en controleer of event-ID's 4704, 4705, 4717 en 4718 consequent worden vastgelegd. Zodra de resultaten stabiel zijn, breid je de toewijzing uit naar productiecollections, startend met hoog-risico systemen zoals beheerwerkplekken en jumpservers. Gebruik filters voor Windows-versies om incompatibiliteit met oude builds te vermijden en stel automatische herinstallaties in voor apparaten die buiten beheer vallen. Sluit de implementatie af met validatie en documentatie. Laat het SOC een forensische scenario-oefening uitvoeren waarbij een kwaadaardige wijziging in gebruikersrechten wordt gesimuleerd. Verifieer dat het SIEM een alert genereert, dat de processen voor incidentrespons starten en dat de audittrail volledig beschikbaar is voor rapportage aan CISO en auditors. Werk tenslotte het Configuration Management Database-record bij en archiveer alle relevante artefacten, inclusief exports van het Intune-profiel, pipeline-logs en goedkeuringsbesluiten, zodat herleidbaarheid geborgd blijft.

Gebruik PowerShell-script audit-user-rights-assignment.ps1 (functie Invoke-Monitoring) – Automatisch publiceren en valideren van Intune-auditprofielen.

Monitoring

Monitoring richt zich op het betrouwbaar verzamelen en interpreteren van de gebeurtenissen die ontstaan zodra gebruikersrechten worden gewijzigd. De Security-eventlog genereert onder meer de gebeurtenissen 4717 en 4718 wanneer een recht wordt toegevoegd of verwijderd, terwijl 4704 en 4705 signaleren dat een nieuwe gebruiker of groep aan een recht is gekoppeld. Door success- én failureauditing te activeren ontstaat een compleet tijdlijnbeeld waarin zowel legitieme wijzigingen als mislukte pogingen zichtbaar worden. Dit is van cruciaal belang om privilege-escalatieaanvallen vroegtijdig te herkennen en om achteraf aan te tonen welke actor welke wijziging heeft uitgevoerd. Het Intune-script Invoke-Monitoring ondersteunt het SOC door periodiek de beleidsstatus op apparaten te controleren. Het script vergelijkt de actuele configuratie met de verwachte instellingen en rapporteert afwijkingen via JSON-bestanden die eenvoudig kunnen worden ingelezen door Sentinel-playbooks of Power BI. Combineer dit met de ingebouwde compliance policies in Intune, zodat apparaten die het auditbeleid verliezen automatisch een niet-conforme status krijgen en onderworpen worden aan conditional access-beperkingen. Zo ontstaat een directe koppeling tussen technische signalen en toegangsbeslissingen. Voor de operationele monitoring stroom je alle relevante eventlogs naar een centrale Log Analytics-werkruimte. Configureer Microsoft Defender for Endpoint of de Windows Security Baselines om de kanaalinstelling Audit Policy Change en User Account Management te forwarden naar het SIEM. Maak Sentinel-queries die controleren op onverwachte accounts die beheerrechten krijgen, op massale wijzigingsreeksen binnen korte tijd en op het ontbreken van logins van configuratie-accounts. Stel alerts in met prioriteiten volgens het risicomodel: hoog voor adminrechten, gemiddeld voor servicerechten en informatief voor geplande wijzigingen die onderdeel zijn van een change. Dashboards en rapportages zorgen dat management en auditors inzicht houden. Ontwerp een Power BI-rapport dat per organisatieonderdeel toont hoeveel gebeurtenissen zijn geregistreerd, hoeveel daarvan afkomstig zijn van geautoriseerde changes en hoe snel incidenten zijn beoordeeld. Voeg daarnaast een stilte-detectie toe: als een apparaat gedurende een vooraf bepaalde periode geen auditgebeurtenissen verstuurt, genereert het systeem een waarschuwing omdat dit kan wijzen op sabotage of logging failures. Door monitoring te koppelen aan service management-systemen worden tickets automatisch aangemaakt, waardoor opvolging traceerbaar blijft. Tot slot hoort continue verbetering bij monitoring. Analyseer maandelijks de verzamelde gegevens om te beoordelen of aanvullende use-cases nodig zijn, bijvoorbeeld voor servers met gedelegeerde administratieve rechten of voor organisaties die veel contractors inzetten. Neem de bevindingen op in het dreigingsbeeld, actualiseer de use-cases en plan waar nodig aanvullende hardeningmaatregelen. Door monitoring cyclisch te evalueren blijft de auditconfiguratie relevant, blijft de organisatie aantoonbaar in control en wordt het eenvoudiger om nieuwe compliance-eisen, zoals NIS2-rapportages, te ondersteunen.

Gebruik PowerShell-script audit-user-rights-assignment.ps1 (functie Invoke-Monitoring) – Controle van beleidsstatus en eventlogdoorvoer.

Remediatie

Remediatieprocessen beschrijven hoe je reageert wanneer een endpoint het auditbeleid verliest of wanneer ongeautoriseerde wijzigingen worden aangetroffen. Het startpunt is een duidelijke classificatie van incidenttypen: configuratiefouten, opzettelijke handelingen door een beheerder buiten procedure of kwaadaardige manipulatie door een aanvaller. Elk scenario vereist een andere responstijd en andere communicatielijnen, maar allen moeten zijn vastgelegd in het securityhandboek zodat iedereen weet wat er van hem of haar wordt verwacht. Wanneer het om een configuratiefout gaat, voert het Intune-team eerst een herwaardering uit. Controleer of het apparaat nog verbonden is met Intune, of de juiste groepslidmaatschappen zijn toegekend en of de policyversie overeenkomt met de laatste goedgekeurde release. Documenteer deze bevindingen in het ticketingsysteem en koppel ze aan het change-ID. Indien nodig wordt een herinstallatie van de Intune Management Extension uitgevoerd om corruptie van OMA-URI-instellingen te verhelpen en wordt het apparaat tijdelijk in een quarantainegroep geplaatst. Voor scenario's waarbij kwaadwillende activiteit wordt vermoed, komt het script Invoke-Remediation in beeld. Het script kan een herstelprofiel pushen dat de juiste auditinstellingen opnieuw publiceert, het apparaat tijdelijk blokkeren via device actions en een JSON-rapport genereren met hashwaarden van kritieke registersleutels die het SOC kan vergelijken. Integreer het script met Microsoft Sentinel automation rules zodat een alert automatisch de juiste runbookstap activeert, inclusief het opvragen van aanvullende context zoals welke gebruiker ingelogd was en welke processen draaiden. Nadat technische maatregelen zijn uitgevoerd, vindt verificatie plaats. Het SOC controleert of de relevante event-ID's weer verschijnen, of de compliance- en healthstatus van het apparaat op groen staat en of de oorspronkelijke verdachte wijziging is teruggedraaid. Parallel informeert men de asset owner en, indien nodig, de Functionaris Gegevensbescherming wanneer het incident gevolgen kan hebben voor persoonsgegevens. Alle stappen worden gelogd, inclusief tijdstempels, betrokken medewerkers en gebruikte tooling, om de keten van herstel aantoonbaar te maken. Remediatie eindigt met een evaluatie. Analyseer de root cause, bepaal of aanvullende training, strakker RBAC of verbeterde alerting vereist is en verwerk de leerpunten in het verbeterregister. Rapporteer de trends per kwartaal aan het security governance board zodat structurele problemen vroegtijdig in beeld komen. Door remediatie zo uit te werken ontstaat een voorspelbare reactie op afwijkingen, verklein je de verblijftijd van aanvallers en voldoe je aan de bewijsvereisten van externe auditors.

Gebruik PowerShell-script audit-user-rights-assignment.ps1 (functie Invoke-Remediation) – Geautomatiseerde herstelacties voor auditbeleid.

Compliance en Auditing

Compliance en auditing vormen de ruggengraat van deze maatregel omdat logging van gebruikersrechten direct aantoont dat kritieke privileges onder controle staan. De Nederlandse Baseline voor Veilige Cloud verlangt dat organisaties niet alleen technische maatregelen implementeren, maar ook kunnen bewijzen dat deze maatregelen continu effectief zijn. Door audit user rights assignment expliciet te beschrijven in beleidsdocumenten en te koppelen aan risico-analyses ontstaat een toetsbare lijn van beleid naar uitvoering en monitoring. Het maakt deel uit van de bredere strategie om privilegebeheer te harmoniseren over alle workloads, inclusief on-premises Active Directory en cloudresources. De Baseline Informatiebeveiliging Overheid hoofdstuk 16.01 verplicht organisaties om gebeurtenissen te registreren die van invloed zijn op beveiliging, waaronder privilegewijzigingen. Het beschreven auditbeleid adresseert deze plicht doordat elke wijziging in rechten wordt gelogd, centraal wordt opgeslagen en beschikbaar is voor zowel interne als externe auditors. Door de baseline te koppelen aan change- en incidentprocessen kan de organisatie aantonen dat logging wordt gecontroleerd en dat afwijkingen leiden tot corrigerende maatregelen. Voeg een verwijzing toe naar de AVG, want wijzigingen in rechten bepalen vaak wie persoonsgegevens mag inzien; goede logging ondersteunt de verantwoordingsplicht uit artikel 5 en 30 en maakt het eenvoudiger om in 72 uur verantwoording af te leggen wanneer een incident plaatsvindt. Ook internationale kaders worden bediend. CIS Control 18.9.19.2 vereist dat auditbeleid voor gebruikersrechten is ingeschakeld en regelmatig wordt beoordeeld. Het hier beschreven proces levert dat bewijs door Intune-profielen, pipeline-logs en SIEM-rapportages beschikbaar te stellen en door periodieke herbeoordelingen vast te leggen. ISO 27001:2022 controle A.12.4.1 benadrukt het belang van logboekbeheer: organisaties moeten loggebeurtenissen vastleggen, beveiligen en regelmatig beoordelen. Door retentie in Log Analytics te combineren met toegangsbeheer op basis van Entra-rollen blijven logboeken integer en vertrouwelijk, wat essentieel is voor ISO-certificering, ENSIA-verantwoording en de komende NIS2-rapportageverplichtingen voor vitale sectoren. Structuur in governance voorkomt dat compliance een momentopname blijft. Leg in het ISMS vast dat minimaal jaarlijks een review van het auditbeleid plaatsvindt, uitgevoerd door een onafhankelijke functie zoals Internal Audit of een externe partner. Laat hen steekproeven uitvoeren op Intune-profielen, verifiëren of de scriptversies overeenkomen met de documentatie en beoordelen of de monitoring-KPI's haalbaar zijn. De review dient ook te controleren of logretentie, encryptie en toegang tot Log Analytics voldoen aan de gestelde eisen en of integraties met andere systemen, zoals HR-processen voor joiners en leavers, up-to-date zijn. Bewijsvoering staat of valt met goede dossiervorming. Bewaar exports van Intune-configuraties, screenshots van beleidstoewijzingen, SIEM-queries, alertmeldingen en de incidenttickets die na een afwijking worden geopend. Deze stukken vormen samen de audit evidence en moeten minstens één jaar worden bewaard, afgestemd op de eisen van BIO en sectorale kaders zoals BIR of BBN. Automatiseer de verzameling waar mogelijk door runbooks die na elke policywijziging automatisch documentatie opslaan in een compliancebibliotheek. Door dit proces te standaardiseren kunnen auditors snel worden voorzien van consistente en betrouwbare informatie, wat de volwassenheid van de organisatie onderstreept.

Compliance & Frameworks

• CIS M365: Control 18.9.19.2 (L1) - CIS Security Benchmark aanbevelingen
• BIO: 16.01 - BIO Baseline Informatiebeveiliging Overheid - 16.01 - Gebeurtenissen logging en audittrails
• ISO 27001:2022: A.12.4.1 - ISO 27001:2022 - Gebeurtenissen logging en audittrails

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

Risico zonder implementatie

Management Samenvatting

Configureer centraal audit user rights assignment in Windows via Intune en borg dat alle events naar het SOC worden doorgestuurd.

• Implementatietijd: 2 uur
• FTE required: 0.01 FTE