Detailed Tracking: Plug And Play Activiteit Audit Inschakelen Voor Succesvolle Gebeurtenissen

Plug and Play (PnP) is het Windows-mechanisme waarmee het besturingssysteem automatisch hardware-apparaten detecteert, identificeert en configureert wanneer ze worden aangesloten op een computer. Deze functionaliteit is handig voor gebruikers, maar vormt ook een significant beveiligingsrisico omdat kwaadwillenden malafide hardware kunnen installeren om toegang te krijgen tot systemen, data te exfiltreren, of malware te injecteren. Zonder auditing van PnP-activiteit hebben beveiligingsteams geen zichtbaarheid in welke hardware-apparaten zijn geïnstalleerd, wanneer deze zijn geïnstalleerd, of door wie. Dit gebrek aan transparantie maakt het onmogelijk om te detecteren wanneer een aanvaller fysieke toegang heeft gehad tot een systeem en kwaadwillende hardware heeft geïnstalleerd, zoals keyloggers, USB-sticks met malware, of hardware backdoors. Voor organisaties in gereguleerde sectoren zoals financiële dienstverlening, gezondheidszorg of overheid, waar strikte controle over hardware-installaties vereist is voor compliance met frameworks zoals AVG, NIS2 en BIO-baseline, is PnP-auditing daarom een absolute vereiste.

Implementatie

Deze maatregel configureert Detailed Tracking audit logging voor Plug and Play-activiteit om alle succesvolle PnP-gebeurtenissen te loggen via Microsoft Intune apparaatconfiguratiebeleid of compliance policies. Wanneer deze audit-instelling is ingeschakeld, worden alle succesvolle Plug and Play-gebeurtenissen geregistreerd in de Windows Security event log met gedetailleerde informatie over welke hardware is geïnstalleerd, wanneer de installatie heeft plaatsgevonden, welke gebruiker of service de installatie heeft uitgevoerd, en technische details over het apparaat zoals device class, hardware ID, en compatibiliteits-ID. Deze gedetailleerde loggegevens stellen beveiligingsteams in staat om ongeautoriseerde hardware-installaties te detecteren, trends te analyseren in hardware-gebruik binnen de organisatie, compliance-audits uit te voeren om te verifiëren dat alleen goedgekeurde hardware wordt gebruikt, en forensisch onderzoek uit te voeren bij beveiligingsincidenten waarbij fysieke toegang tot systemen wordt vermoed.

Vereisten

Voordat u Detailed Tracking audit logging voor Plug and Play-activiteit implementeert, moet u ervoor zorgen dat uw organisatie beschikt over de juiste infrastructuur, licenties en processen. Deze vereisten zijn essentieel voor een succesvolle implementatie en om te voldoen aan compliance-standaarden en beveiligingsbest practices.

De primaire technische vereiste is Microsoft Intune met een actieve licentie voor device management. Organisaties moeten beschikken over een Microsoft Intune-abonnement met de benodigde licenties voor alle Windows-apparaten waarop PnP-auditing moet worden geïmplementeerd. Voor onderwijsorganisaties zijn er speciale educatieve licenties beschikbaar, terwijl commerciële organisaties Microsoft 365 E3 of E5 licenties nodig hebben, of standalone Intune-licenties. Het is belangrijk om te verifiëren dat alle doelapparaten correct zijn geregistreerd in Intune en dat de Intune Management Extension correct is geïnstalleerd en functioneert, omdat deze vereist is voor het deployen van apparaatconfiguratiebeleid.

Windows-apparaten moeten beschikken over Windows 10 versie 1809 of hoger, of Windows 11, omdat oudere versies mogelijk niet alle PnP-auditing-functionaliteiten ondersteunen. Apparaten moeten zijn toegevoegd aan een Microsoft Entra ID (voorheen Azure AD) omgeving en moeten zijn geregistreerd bij Microsoft Intune via Microsoft Entra join of Hybrid Entra join. Voor organisaties met hybride omgevingen waarbij apparaten zowel verbonden zijn met on-premises Active Directory als Microsoft Entra ID, moeten apparaten beschikken over de Microsoft Entra Connect agent voor naadloze synchronisatie van apparaatidentiteiten en beleidsconfiguraties.

Event Log storage moet voldoende capaciteit hebben om gedetailleerde PnP-audit logs op te slaan zonder dat logs verloren gaan door overschrijving. Windows Security event logs hebben standaard een maximale grootte van 20 MB, wat onvoldoende is voor uitgebreide PnP-auditing in productieomgevingen. Organisaties moeten de event log grootte verhogen naar minimaal 512 MB voor werkstations en 1 GB voor servers waar veel hardware-installaties plaatsvinden. Daarnaast moeten log retention policies worden geconfigureerd om ervoor te zorgen dat logs minimaal 90 dagen worden bewaard voor compliance-doeleinden, hoewel sommige organisaties met strikte compliance-vereisten een retention periode van 365 dagen of langer kunnen vereisen.

Centralized log collection infrastructuur is essentieel om ervoor te zorgen dat PnP-audit logs kunnen worden gecentraliseerd voor analyse en langetermijnbewaring. Organisaties moeten beschikken over een Security Information and Event Management (SIEM) oplossing zoals Microsoft Sentinel, Splunk, QRadar, of een vergelijkbare oplossing die Windows event logs kan verzamelen via Windows Event Forwarding of Azure Monitor Agent. Deze gecentraliseerde logcollectie is cruciaal voor het detecteren van patterns in hardware-installaties across de gehele organisatie, het uitvoeren van compliance-audits, en het uitvoeren van forensisch onderzoek bij beveiligingsincidenten. Zonder gecentraliseerde logcollectie moeten beveiligingsteams individuele apparaten benaderen om logs te analyseren, wat tijdrovend is en het risico op gemiste incidenten verhoogt.

Organisaties moeten een gedocumenteerd hardware-governancebeleid hebben dat specificeert welke hardware-apparaten zijn toegestaan binnen de organisatie, welke apparaten expliciet zijn verboden (zoals USB-storage devices in high-security omgevingen), en welke approval-procedures moeten worden gevolgd voordat nieuwe hardware wordt geïnstalleerd. Dit beleid moet worden gecommuniceerd naar alle gebruikers en moet worden geïntegreerd in employee onboarding-training. Het hardware-governancebeleid vormt de basis voor het interpreteren van PnP-audit logs, omdat het definieert welke installaties legaal zijn en welke mogelijk wijzen op beveiligingsincidenten of policy violations.

Ten slotte moeten organisaties beschikken over een Security Operations Center (SOC) of een beveiligingsteam dat is getraind in het analyseren van PnP-audit logs en het reageren op verdachte hardware-installaties. Dit team moet beschikken over de benodigde tools en kennis om PnP-event logs te analyseren, patterns te herkennen die kunnen wijzen op beveiligingsbedreigingen, en incident response-procedures uit te voeren wanneer ongeautoriseerde hardware-installaties worden gedetecteerd. Het team moet ook regelmatig reviews uitvoeren van PnP-audit logs om trends te identificeren en het hardware-governancebeleid bij te werken op basis van nieuwe bedreigingen of organisatorische veranderingen.

Implementatie

Gebruik PowerShell-script detailed-tracking-audit-pnp-activity-is-set-to-include-success.ps1 (functie Invoke-Remediation) – Automatiseert de configuratie van PnP-audit logging voor Windows-apparaten via Microsoft Intune.

De implementatie van Detailed Tracking audit logging voor Plug and Play-activiteit via Microsoft Intune bestaat uit meerdere fasen die zorgvuldig moeten worden uitgevoerd om ervoor te zorgen dat alle doelapparaten correct zijn geconfigureerd en dat PnP-gebeurtenissen betrouwbaar worden gelogd. Het proces begint met de creatie van een Intune apparaatconfiguratiebeleid dat de Windows audit policy configureert, gevolgd door de deployment van dit beleid naar doelgroepen, verificatie dat het beleid correct is toegepast, en het opzetten van monitoring om te waarborgen dat audit logs daadwerkelijk worden gegenereerd.

**FASE 1: Intune Apparaatconfiguratiebeleid Aanmaken (Duur: 1-2 uur)**

De eerste fase richt zich op het aanmaken van een Microsoft Intune apparaatconfiguratiebeleid dat de Windows audit policy configureert om PnP-activiteit te loggen. Navigeer naar de Microsoft Endpoint Manager admin center en selecteer Devices, Configuration profiles, Create profile. Selecteer Windows 10 and later als platform en kies Templates, Administrative Templates als profieltype. Administrative Templates bieden de meest uitgebreide controle over Windows audit policies en zijn de aanbevolen methode voor het configureren van gedetailleerde audit-instellingen.

Zoek binnen de Administrative Templates naar de setting path 'Computer Configuration > Policies > Windows Settings > Security Settings > Advanced Audit Policy Configuration > System Audit Policies > Detailed Tracking > Audit Pnp Activity'. Deze setting bevindt zich in de Detailed Tracking categorie omdat PnP-activiteit wordt beschouwd als gedetailleerde tracking-informatie die belangrijk is voor forensisch onderzoek maar niet altijd nodig is voor standaard security monitoring. Schakel de setting in op 'Enabled' en configureer de 'Success' checkbox om ervoor te zorgen dat alle succesvolle PnP-gebeurtenissen worden gelogd.

Geef het beleid een duidelijke naam zoals 'Windows Detailed Tracking - Audit PnP Activity Success' en voeg een beschrijving toe die uitlegt dat dit beleid PnP-auditing inschakelt voor compliance en beveiligingsmonitoring. Het is aanbevolen om een naming convention te gebruiken die duidelijk maakt wat het beleid doet, voor welke workload het is (Windows), en wat de prioriteit is (Must-Have voor deze maatregel). Dit maakt het eenvoudiger om beleidsregels te beheren in omgevingen met tientallen of honderden Intune-beleidsregels.

Configureer Event Log settings via aanvullende Administrative Template settings om ervoor te zorgen dat Security event logs voldoende capaciteit hebben om PnP-audit logs op te slaan. Navigeer naar 'Computer Configuration > Policies > Windows Settings > Security Settings > Event Log' en configureer de 'Maximum log size (KB)' setting voor de Security log naar minimaal 512000 (512 MB) voor werkstations en 1048576 (1 GB) voor servers. Configureer ook de 'Retention method for Security log' naar 'Overwrite events as needed' met 'Archive the log when full, do not overwrite events' als backup-optie voor high-security omgevingen waar geen audit logs mogen verloren gaan.

**FASE 2: Beleid Deployment naar Doelgroepen (Duur: 30 minuten)**

Na het aanmaken van het beleid moet dit worden gedeployed naar de juiste doelgroepen. Het is aanbevolen om eerst een pilot deployment uit te voeren naar een kleine testgroep van 5-10 apparaten om te verifiëren dat het beleid correct werkt en dat PnP-audit logs daadwerkelijk worden gegenereerd voordat het beleid wordt uitgerold naar de volledige organisatie. Creëer een Microsoft Entra ID security group genaamd 'Windows PnP Audit Pilot' en voeg test-apparaten toe aan deze groep.

Wijs het beleid toe aan de pilot groep en wacht 15-30 minuten zodat het beleid kan worden gesynchroniseerd naar de apparaten. Voor Hybrid Entra joined apparaten kan dit langer duren omdat het beleid eerst moet worden gesynchroniseerd naar on-premises Active Directory voordat het kan worden toegepast op de apparaten. Verifieer dat het beleid is aangekomen op de test-apparaten door naar een test-apparaat te navigeren in Intune, Device Configuration te selecteren, en te verifiëren dat het beleid wordt weergegeven met status 'Succeeded'.

Test de PnP-auditing functionaliteit door een USB-stick of ander Plug and Play-apparaat aan te sluiten op een test-apparaat. Wacht enkele minuten en controleer vervolgens de Windows Security event log op het test-apparaat door Event Viewer te openen, te navigeren naar 'Windows Logs > Security', en te zoeken naar Event ID 6416 (Success Audit - Plug and Play activity). De event moet gedetailleerde informatie bevatten over het geïnstalleerde apparaat, inclusief device class, hardware ID, en de gebruiker of service die de installatie heeft uitgevoerd. Als de events correct worden gegenereerd, kan het beleid worden uitgerold naar productiegroepen.

Na succesvolle pilot testing, wijs het beleid toe aan de volledige productiegroepen. Creëer een 'All Windows Devices' Microsoft Entra ID security group die alle Windows-apparaten bevat waarop PnP-auditing moet worden ingeschakeld, of gebruik dynamische device groups gebaseerd op device properties zoals OS version of device type. Wijs het beleid toe aan deze groep en monitor de deployment status via de Intune admin center om ervoor te zorgen dat het beleid succesvol wordt toegepast op alle doelapparaten. Apparaten die offline zijn wanneer het beleid wordt gedeployed, ontvangen het beleid automatisch wanneer ze weer online komen en verbinding maken met Intune.

**FASE 3: Verificatie en Validatie (Duur: 1-2 uur)**

Na deployment van het beleid moet worden geverifieerd dat PnP-auditing daadwerkelijk werkt op alle doelapparaten. Maak een PowerShell-script dat remote verbinding maakt met een steekproef van apparaten (bijvoorbeeld 10% van alle apparaten, met een minimum van 10 apparaten) en de Windows audit policy configuratie controleert. Het script moet de registry key 'HKLM:\SYSTEM\CurrentControlSet\Policies\Microsoft\Windows\Audit\Detailed Tracking\AuditPnP' controleren en verifiëren dat de waarde 'Success' is ingesteld op '3' (Success auditing enabled).

Voor elk apparaat in de steekproef, controleer ook of er recent PnP-audit events zijn gegenereerd in de Security event log. Als een apparaat geen recente PnP-events heeft (bijvoorbeeld geen events in de afgelopen 30 dagen), kan dit betekenen dat er simpelweg geen hardware is geïnstalleerd, maar het kan ook wijzen op een configuratieprobleem. Test indien mogelijk door een USB-stick aan te sluiten op een representatief apparaat en te verifiëren dat een Event ID 6416 wordt gegenereerd met de correcte details.

Documenteer alle bevindingen van de verificatie en identificeer apparaten waar het beleid niet correct is toegepast. Voor apparaten met deployment failures, onderzoek de oorzaak door de Intune device logs te analyseren of door handmatig verbinding te maken met het apparaat om te controleren of er problemen zijn met de Intune Management Extension of met group policy processing. Corrigeer eventuele problemen en voer een herverificatie uit om te verifiëren dat alle apparaten nu correct zijn geconfigureerd.

**FASE 4: Centralized Log Collection Configureren (Duur: 2-3 uur)**

PnP-audit logs zijn alleen nuttig als ze kunnen worden geanalyseerd en gecentraliseerd worden opgeslagen voor langetermijnbewaring. Configureer Windows Event Forwarding of Azure Monitor Agent om PnP-audit events automatisch naar een gecentraliseerde SIEM-oplossing te verzenden. Voor organisaties die Microsoft Sentinel gebruiken, installeer de Azure Monitor Agent op alle Windows-apparaten en configureer een Data Collection Rule die Event ID 6416 verzamelt uit de Security event log. Deze events worden automatisch verzonden naar Log Analytics workspace waar ze kunnen worden geanalyseerd met KQL queries.

Voor organisaties die on-premises SIEM-oplossingen gebruiken, configureer Windows Event Forwarding waarbij een central event collector server PnP-audit events verzamelt van alle werkstations en servers. Configureer Group Policy of Intune Administrative Templates om Windows Event Forwarding in te schakelen, specificeer de event collector server als destination, en configureer event subscriptions die Event ID 6416 verzamelen uit de Security log. De event collector server moet vervolgens deze events doorsturen naar de SIEM-oplossing voor analyse en langetermijnbewaring.

Test de log collection door een test PnP-gebeurtenis te genereren op een apparaat en te verifiëren dat de event correct wordt verzameld door de SIEM-oplossing binnen een redelijke tijdsperiode (bijvoorbeeld binnen 5 minuten voor real-time collection, of binnen 1 uur voor batch collection). Verifieer dat alle relevante event fields worden verzameld, inclusief event tijdstempel, computer naam, gebruiker of service die de installatie heeft uitgevoerd, device class, hardware ID, en event message. Deze gedetailleerde informatie is essentieel voor forensisch onderzoek en compliance-audits.

⏱️ **Totale Implementatie-tijd**: 4-8 uur inclusief beleid creatie, pilot testing, productie deployment, verificatie en log collection configuratie. Ongoing maintenance: 2 uur per kwartaal voor policy reviews en log analysis.

Monitoring

Gebruik PowerShell-script detailed-tracking-audit-pnp-activity-is-set-to-include-success.ps1 (functie Invoke-Monitoring) – Automatiseert monitoring van PnP-audit logging configuratie en genereert rapporten over PnP-activiteit.

Effectieve monitoring van Plug and Play-audit logging is essentieel om te waarborgen dat PnP-gebeurtenissen betrouwbaar worden gelogd, dat beveiligingsincidenten tijdig worden gedetecteerd, en dat compliance-vereisten worden nageleefd. Monitoring omvat het continu volgen van de audit policy configuratie om te verifiëren dat deze niet onbedoeld is uitgeschakeld, het analyseren van PnP-audit logs om ongeautoriseerde hardware-installaties te detecteren, het monitoren van event log storage capaciteit om te voorkomen dat logs verloren gaan, en het waarborgen dat gecentraliseerde log collection correct functioneert.

De basis van PnP-auditing monitoring wordt gevormd door regelmatige verificatie dat de audit policy nog steeds correct is geconfigureerd op alle doelapparaten. Maak een maandelijks PowerShell-script dat alle Windows-apparaten in de organisatie controleert en verifieert dat de registry key 'HKLM:\SYSTEM\CurrentControlSet\Policies\Microsoft\Windows\Audit\Detailed Tracking\AuditPnP' de waarde 'Success' heeft ingesteld op '3'. Apparaten waar deze configuratie ontbreekt of incorrect is, moeten worden geïdentificeerd en het beleid moet opnieuw worden gedeployed naar deze apparaten. De resultaten van deze verificatie moeten worden gedocumenteerd en gereviewd door het beveiligingsteam om trends te identificeren en om te verifiëren dat het beleid effectief wordt gehandhaafd.

Azure Monitor of de SIEM-oplossing moet worden geconfigureerd om automatische waarschuwingen te genereren wanneer PnP-audit events worden gedetecteerd die kunnen wijzen op beveiligingsincidenten. Configureer alert rules die waarschuwen wanneer PnP-activiteit wordt gedetecteerd op high-security systemen zoals domain controllers, database servers, of file servers waar normaal gesproken geen hardware-installaties plaatsvinden. Configureer ook alerts voor PnP-activiteit buiten normale kantooruren (bijvoorbeeld tussen 18:00 en 08:00), omdat dit kan wijzen op ongeautoriseerde fysieke toegang tot systemen wanneer medewerkers afwezig zijn. Alerts voor meerdere PnP-installaties binnen korte tijd (bijvoorbeeld meer dan 5 installaties binnen 1 uur) kunnen wijzen op geautomatiseerde malware installatie of bulk hardware-injectie aanvallen.

Monitor event log storage capaciteit om te voorkomen dat PnP-audit logs verloren gaan omdat de Security event log vol raakt. Configureer Azure Monitor of System Center Operations Manager (SCOM) om te waarschuwen wanneer de Security event log meer dan 80% van de maximale capaciteit heeft bereikt. Wanneer deze waarschuwing wordt gegenereerd, moeten beheerders onmiddellijk actie ondernemen door de log grootte te vergroten, oude events te archiveren, of de retention policy aan te passen om ervoor te zorgen dat er voldoende ruimte is voor nieuwe PnP-audit logs. Het verlies van audit logs door volle event logs kan ernstige gevolgen hebben voor compliance-audits en forensisch onderzoek.

Voer kwartaalreviews uit van PnP-audit logs om trends te identificeren in hardware-installaties binnen de organisatie. Analyseer welke types hardware-apparaten het meest worden geïnstalleerd, welke gebruikers of services de meeste PnP-installaties uitvoeren, en of er patronen zijn die kunnen wijzen op policy violations of beveiligingsbedreigingen. Deze reviews helpen bij het identificeren van gebruikers of afdelingen die mogelijk extra training nodig hebben over het hardware-governancebeleid, of het bijwerken van het beleid om nieuwe typen hardware toe te staan of te verbieden op basis van werkelijke gebruikspatronen. Documenteer alle bevindingen en deel deze met het hardware-governance team zodat het beleid kan worden bijgewerkt op basis van nieuwe inzichten.

Test maandelijks de gecentraliseerde log collection functionaliteit door een test PnP-gebeurtenis te genereren op een representatief apparaat en te verifiëren dat de event correct wordt verzameld door de SIEM-oplossing binnen de verwachte tijdsperiode. Als events niet correct worden verzameld, onderzoek de oorzaak door Windows Event Forwarding logs te analyseren, Azure Monitor Agent status te controleren, of SIEM connector logs te reviewen. Problemen met log collection moeten onmiddellijk worden opgelost omdat dit de detectie van beveiligingsincidenten belemmert en compliance-vereisten kan schenden.

Maak een Azure Monitor workbook of SIEM dashboard specifiek voor PnP-auditing monitoring dat visuele weergaven bevat van belangrijke metrics. Het dashboard moet visualisaties bevatten van het aantal PnP-installaties per dag/week/maand, het percentage apparaten dat succesvol is geconfigureerd met PnP-auditing, de meest geïnstalleerde hardware-apparaten, en alerts of incidents gerelateerd aan PnP-activiteit. Dit dashboard helpt beveiligingsteams om snel een overzicht te krijgen van PnP-activiteit binnen de organisatie en om trends te identificeren die verder onderzoek vereisen.

Remediatie

Gebruik PowerShell-script detailed-tracking-audit-pnp-activity-is-set-to-include-success.ps1 (functie Invoke-Remediation) – Automatiseert de implementatie van PnP-audit logging configuratie voor Windows-apparaten waar dit nog niet is ingeschakeld.

Remediatie van Detailed Tracking audit logging voor Plug and Play-activiteit omvat het inschakelen van PnP-auditing op apparaten waar dit nog niet is geconfigureerd, het corrigeren van configuratiefouten in bestaande implementaties, of het opnieuw deployen van het beleid naar apparaten waar de configuratie verloren is gegaan. Het is belangrijk om te begrijpen dat PnP-auditing alleen succesvolle gebeurtenissen logt wanneer deze expliciet is ingeschakeld via audit policy, en dat bestaande apparaten mogelijk handmatige configuratie vereisen voordat het Intune-beleid kan worden toegepast.

Voor nieuwe apparaten die worden toegevoegd aan de organisatie, wordt PnP-auditing automatisch geconfigureerd wanneer het Intune apparaatconfiguratiebeleid wordt toegepast tijdens device enrollment of wanneer het apparaat voor het eerst verbinding maakt met Intune. Het beleid wordt automatisch gesynchroniseerd naar het apparaat binnen 15-30 minuten na enrollment, en de audit policy wordt geconfigureerd zodra het apparaat de policy update ontvangt. Geen verdere actie is vereist voor nieuwe apparaten zolang ze correct zijn geregistreerd in Intune en deel uitmaken van de doelgroepen waaraan het PnP-auditing beleid is toegewezen.

Voor bestaande apparaten waar PnP-auditing nog niet is ingeschakeld, moet het Intune apparaatconfiguratiebeleid worden gedeployed naar deze apparaten. Identificeer eerst welke apparaten PnP-auditing missen door een compliance-check uit te voeren die verifieert of de registry key 'HKLM:\SYSTEM\CurrentControlSet\Policies\Microsoft\Windows\Audit\Detailed Tracking\AuditPnP' de waarde 'Success' heeft ingesteld op '3'. Apparaten die deze configuratie missen, moeten worden toegevoegd aan een Microsoft Entra ID security group waaraan het PnP-auditing beleid is toegewezen, of het beleid moet worden toegewezen aan een bestaande groep waar deze apparaten al deel van uitmaken.

Nadat het beleid is toegewezen, wacht 15-30 minuten zodat het beleid kan worden gesynchroniseerd naar de apparaten. Voor Hybrid Entra joined apparaten kan dit langer duren omdat het beleid eerst moet worden gesynchroniseerd naar on-premises Active Directory. Verifieer dat het beleid is aangekomen door naar een representatief apparaat te navigeren in Intune, Device Configuration te selecteren, en te verifiëren dat het PnP-auditing beleid wordt weergegeven met status 'Succeeded'. Als het beleid niet correct wordt toegepast, controleer of er conflicterende Group Policy settings zijn die de Intune-configuratie overschrijven, of of er problemen zijn met de Intune Management Extension.

Voor apparaten met conflicterende Group Policy settings, moet eerst de on-premises Group Policy worden bijgewerkt om PnP-auditing in te schakelen, of de conflicterende policy moet worden verwijderd zodat de Intune-configuratie kan worden toegepast. In hybride omgevingen kunnen Intune Administrative Template policies worden overschreven door on-premises Group Policy settings wanneer beide dezelfde registry keys configureren. In dergelijke gevallen moet worden gekozen voor één configuratiemethode (Intune of on-premises Group Policy) en moet de andere worden uitgeschakeld of verwijderd om conflicts te voorkomen.

Voor apparaten waar het Intune-beleid niet kan worden toegepast vanwege technische problemen (bijvoorbeeld apparaten die niet verbonden kunnen worden met Intune, of apparaten met corrupte Intune Management Extension), moet handmatige remediatie worden uitgevoerd. Gebruik een PowerShell-script dat remote verbinding maakt met het apparaat en de registry key direct configureert: 'Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Policies\Microsoft\Windows\Audit\Detailed Tracking' -Name 'AuditPnP' -Value 3 -Type DWord'. Na handmatige configuratie moet het apparaat worden onderzocht om te identificeren waarom Intune-beleid niet kon worden toegepast, zodat dit probleem kan worden opgelost om toekomstige configuraties te vergemakkelijken.

Na remediatie moet worden geverifieerd dat PnP-auditing correct werkt door een test PnP-gebeurtenis te genereren (bijvoorbeeld door een USB-stick aan te sluiten) en te controleren of een Event ID 6416 wordt gegenereerd in de Security event log met de correcte details. Als events niet worden gegenereerd na configuratie, controleer of de Event Log service actief is, of de Security event log niet vol is, en of er geen andere configuratieproblemen zijn die audit logging kunnen blokkeren. Documenteer alle remediatie-activiteiten en de resultaten zodat deze kunnen worden gebruikt voor toekomstige troubleshooting en compliance-audits.

Compliance en Auditing

Detailed Tracking audit logging voor Plug and Play-activiteit is essentieel voor het voldoen aan verschillende compliance-frameworks en regelgevingsvereisten die van toepassing zijn op Nederlandse organisaties, met name in de publieke sector en gereguleerde industrieën. Deze maatregel helpt organisaties te voldoen aan vereisten voor event logging, audit trails, en detectie van ongeautoriseerde activiteiten zoals gespecificeerd in internationale standaarden en Nederlandse wetgeving. Zonder PnP-auditing kunnen organisaties niet volledig voldoen aan de vereisten van frameworks zoals CIS Windows Benchmark, ISO 27001, BIO-baseline, en NIS2.

De CIS Windows 10/11 Benchmark controle 18.9.19.2 vereist dat organisaties 'Audit Pnp Activity' configureren om 'Success' te includeren voor alle Windows-apparaten. Deze controle is geclassificeerd als Level 1, wat betekent dat deze wordt aanbevolen voor alle organisaties, zelfs die met basis beveiligingsvereisten. De controle specificeert dat alle succesvolle Plug and Play-gebeurtenissen moeten worden gelogd om detectie van ongeautoriseerde hardware-installaties mogelijk te maken. Voor Nederlandse organisaties die CIS compliance nastreven, is PnP-auditing daarom een absolute vereiste. Het niet implementeren van PnP-auditing resulteert in een failed audit finding voor deze controle, wat kan leiden tot compliance-problemen bij klanten of partners die CIS compliance vereisen.

ISO 27001:2022 controle A.12.4.1 richt zich op event logging en vereist dat organisaties passende logging-maatregelen implementeren om beveiligingsgebeurtenissen te registreren en te monitoren. Deze controle vereist dat organisaties alle relevante beveiligingsgebeurtenissen loggen, inclusief succesvolle en mislukte toegangspogingen, configuratiewijzigingen, en installatie van software of hardware. Plug and Play-auditing voor hardware-installaties is een essentieel onderdeel van deze logging-vereisten, omdat ongeautoriseerde hardware-installaties significante beveiligingsrisico's kunnen vormen. Organisaties moeten kunnen aantonen dat ze PnP-activiteit monitoren en dat ze in staat zijn om ongeautoriseerde hardware-installaties te detecteren en te reageren. Zonder PnP-auditing kunnen organisaties deze controle niet volledig aantonen omdat er geen logging is van hardware-installatie-activiteiten.

De Baseline Informatiebeveiliging Overheid (BIO) specificeert in Thema 16.01 dat organisaties gebeurtenissen moeten loggen en audittrails moeten onderhouden. Deze maatregel omvat het gebruik van uitgebreide event logging om alle relevante beveiligingsgebeurtenissen vast te leggen, inclusief hardware-installaties en configuratiewijzigingen. Voor Nederlandse overheidsorganisaties is de BIO-baseline verplicht, en het niet voldoen aan deze vereisten kan leiden tot beveiligingsincidenten en compliance-problemen. Plug and Play-auditing stelt overheidsorganisaties in staat om te voldoen aan BIO-vereisten door uitgebreide logging te bieden van alle hardware-installaties, wat essentieel is voor het detecteren van ongeautoriseerde activiteiten en het uitvoeren van compliance-audits. Organisaties moeten kunnen aantonen dat PnP-auditing is ingeschakeld op alle relevante systemen, dat logs worden gecentraliseerd en beveiligd opgeslagen, en dat er procedures zijn voor het analyseren van logs en het reageren op verdachte activiteiten.

De NIS2-richtlijn, die in Nederland is geïmplementeerd via de Wet beveiliging netwerk- en informatiesystemen, vereist in Artikel 21 dat essentiële en belangrijke entiteiten passende maatregelen implementeren voor detectie van beveiligingsincidenten en voor event logging. Deze vereiste is met name relevant voor organisaties in kritieke sectoren zoals energie, transport, gezondheidszorg, en financiële dienstverlening. Artikel 21 specificeert dat organisaties moeten kunnen aantonen dat ze beveiligingsgebeurtenissen monitoren en dat ze in staat zijn om beveiligingsincidenten tijdig te detecteren en te reageren. Plug and Play-auditing is een essentieel onderdeel van deze detectie-capaciteiten, omdat ongeautoriseerde hardware-installaties vaak een indicator zijn van beveiligingsincidenten zoals fysieke toegang tot systemen of geautomatiseerde malware-installatie. Het niet implementeren van PnP-auditing kan resulteren in niet-naleving van NIS2-vereisten, wat kan leiden tot boetes en andere handhavingsmaatregelen door de Autoriteit Consument en Markt (ACM) of andere toezichthouders.

Voor auditdoeleinden moeten organisaties kunnen aantonen dat Plug and Play-auditing correct is geïmplementeerd en wordt beheerd. Dit omvat het documenteren van de Intune-beleidsconfiguratie die PnP-auditing inschakelt, het bijhouden van welke apparaten succesvol zijn geconfigureerd met PnP-auditing, het loggen van alle PnP-gebeurtenissen in gecentraliseerde SIEM-oplossingen, en het regelmatig reviewen van PnP-audit logs om trends te identificeren en om te verifiëren dat het hardware-governancebeleid wordt nageleefd. Deze documentatie is essentieel voor het succesvol doorstaan van compliance-audits en voor het aantonen van due diligence bij beveiligingsincidenten waarbij fysieke toegang tot systemen wordt vermoed. Organisaties moeten ook kunnen aantonen dat er procedures zijn voor het analyseren van PnP-audit logs, het reageren op verdachte hardware-installaties, en het escaleren van incidents naar het juiste beveiligingsteam voor verdere onderzoek.

Compliance & Frameworks

• CIS M365: Control 18.9.19.2 (L1) - CIS Security Benchmark aanbevelingen
• BIO: 16.01 - BIO Baseline Informatiebeveiliging Overheid - 16.01 - Gebeurtenissen logging en audittrails
• ISO 27001:2022: A.12.4.1 - ISO 27001:2022 - Gebeurtenissen logging en audittrails

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

Risico zonder implementatie

Management Samenvatting

Detailed Tracking audit logging voor Plug and Play (PnP) activiteit zorgt ervoor dat alle succesvolle hardware-installaties worden gelogd in Windows Security event logs, wat essentieel is voor het detecteren van ongeautoriseerde hardware-installaties, het monitoren van device management-activiteiten, en het waarborgen van compliance met beveiligingsstandaarden. Deze maatregel is VERPLICHT voor alle Windows-apparaten volgens CIS Windows Benchmark controle 18.9.19.2 (Level 1), ISO 27001 controle A.12.4.1, BIO-baseline Thema 16.01, en NIS2 Artikel 21. Implementatie gebeurt via Microsoft Intune apparaatconfiguratiebeleid dat de Windows audit policy configureert om PnP-activiteit te loggen. Belangrijke vereisten zijn Microsoft Intune met device management licenties, Windows 10 versie 1809 of hoger of Windows 11, voldoende Event Log storage capaciteit (minimaal 512 MB), en gecentraliseerde log collection infrastructuur voor SIEM-integratie. Implementatie-inspanning is 4-8 uur inclusief beleid creatie, pilot testing, productie deployment, verificatie en log collection configuratie. Doorlopende inspanning van 2 uur per kwartaal voor policy reviews en log analysis. Return on investment komt van verbeterde beveiligingszichtbaarheid, detectie van ongeautoriseerde hardware-installaties, compliance-bereiking, en ondersteuning voor forensisch onderzoek bij beveiligingsincidenten.

• Implementatietijd: 6 uur
• FTE required: 0.1 FTE