Netwerkbeveiliging – NTLM-auditing Voor Alle Accounts

De Nederlandse Baseline voor Veilige Cloud verwacht van overheidsorganisaties dat zij de volledige levenscyclus van authenticatieprotocollen beheersen en controleren. NTLM wordt nog te vaak in stilte gebruikt, waardoor aanvallers zich kunnen verschuilen in niet-gemonitorde stromen. Door auditing te verplichten voor elke inkomende verbinding, inclusief serviceaccountverkeer, wordt zichtbaar welke systemen afwijken van het beoogde Zero Trust-model en kan gericht worden gestuurd op vervanging door Kerberos of moderne tokengebaseerde mechanismen.

Implementatie

Dit artikel legt uit hoe je een Intune-configuratieprofiel opstelt dat de beleidsinstelling "Network Security: Restrict NTLM: Audit Incoming NTLM Traffic" inschakelt op de modus "Enable auditing for all accounts", hoe je dat beleid koppelt aan gefaseerde uitrolringen, welke aanvullende registrycontroles nodig zijn en hoe de meegeleverde PowerShell-scripts worden ingezet om conformiteit te meten. Ook wordt besproken hoe je de auditlogboeken verzamelt in Microsoft Sentinel of Defender XDR, welke rapportage-eisen gelden onder de BIO en hoe je stakeholders informeert over de resterende risico’s zolang NTLM nog aanwezig is.

Vereisten

Een succesvolle invoering van uitgebreide NTLM-auditing begint met een robuuste technische basis binnen de Microsoft 365 tenant. Organisaties moeten beschikken over Intune Suite of Microsoft 365 E3/E5 licenties waarmee apparaatconfiguratieprofielen en compliance policies kunnen worden toegepast op alle Windows 10 en Windows 11 endpoints die minimaal build 22H2 draaien. De apparaten moeten volledig zijn geregistreerd in Entra ID, lid zijn van geldige dynamische device groups en mogen geen achterblijvende GPO-instellingen hebben die de netwerkbeveiligingsparameters kunnen overschrijven. Daarnaast is een stabiele connectie met Microsoft Graph vereist, inclusief serviceaccounts die voor deployment pipelines worden gebruikt, zodat het script network-security-restrict-ntlm-audit-incoming-ntlm-traffic-is-set-to-enable-auditing-for-all-accounts.ps1 probleemloos tegen de tenant kan worden getest. Tot slot moeten endpoints voorzien zijn van de nieuwste cumulatieve updates en moet BitLocker, Credential Guard en Microsoft Defender Antivirus al actief zijn, omdat auditing pas waarde heeft wanneer de rest van de authenticatiestack betrouwbaar functioneert.

Naast de technische randvoorwaarden zijn er identiteits- en netwerkcomponenten nodig. Alle domeincontrollers en lidservers die nog NTLM accepteren moeten in kaart zijn gebracht, inclusief legacyapplicaties, multifunctionals en middleware die NTLM via RPC, SMB of HTTP inzetten. Securityteams moeten begrijpen welke firewallregels vereist zijn om audit events naar centrale collectors te sturen en welke netwerksegmenten geraakt worden door hogere logvolumes. Verder is een volwassen SIEM- of XDR-omgeving onmisbaar; denk aan Microsoft Sentinel, Defender for Identity of een Splunk-cluster met voldoende opslagcapaciteit en retentie om minimaal drie maanden NTLM-gebeurtenissen vast te leggen. Logische toegang tot de Windows Security-eventlog (Event ID 8004, 8005 en 8006) moet zijn geregeld en er dienen serviceaccounts te bestaan die uitsluitend het lezen van logs faciliteren zodat least privilege behouden blijft.

Operationeel succes vereist dat processen en mensen klaar zijn voor de verandering. Change- en releasemanagement moeten NTLM-auditing als gecontroleerde wijziging behandelen, inclusief communicatie naar applicatie-eigenaren over de gevolgen van verhoogde logging. Er moet een responsplan klaarliggen dat beschrijft hoe incidentresponders omgaan met een plotselinge toename van auditmeldingen, hoe false positives worden gefilterd en welke escalatieroutes gelden wanneer er aanwijzingen zijn voor passthe-hash of credential relays. Documentatie over de beleidsinstelling moet beschikbaar zijn in Nederlands en Engels zodat leveranciersvragen snel kunnen worden beantwoord, en training voor servicedeskmedewerkers is noodzakelijk om meldingen van eindgebruikers te interpreteren. Tot slot hoort er een governance-structuur te bestaan waarin de CISO, de Intune-beheerder, het SOC en proceseigenaren regelmatig evalueren of de nieuwe auditingconfiguratie de gewenste inzichten levert en of aanvullende maatregelen, zoals het blokkeren van NTLM, al ingevoerd kunnen worden.

Naast techniek en processen hoort ook tooling voor verificatie tot de vereisten. Zorg dat Endpoint Analytics of een vergelijkbare inventarisoplossing inzicht geeft in welke apparaten NTLM nog actief gebruiken, zodat je Intune-assignments kunt spiegelen met feitelijk gebruik. Richt een beveiligd opslagaccount in voor het archiveren van ruwe auditevents en koppel dit aan een Purview Data Loss Prevention-beleid om te voorkomen dat logbestanden gevoelige persoonsgegevens lekken. Neem in de architectuur op dat SOC-analisten toegang hebben tot een gescheiden testtenant voor het oefenen van detectieregels en dat er documentatie klaarstaat over de exacte mapping tussen registrykeys, Intune-instellingen en Windows-beleid. Wanneer al deze hulpmiddelen aanwezig zijn, kan de organisatie aantonen dat zij voorbereid is op zowel de technische als organisatorische implicaties van volledige NTLM-auditing.

Implementatie

De implementatie start met het valideren van het bestaande configuratielandschap. Analyseer security baselines, legacy GPO’s en endpointbeveiligingsprofielen om conflicten te voorkomen en plan een gefaseerde uitrol via Intune. Maak in het admin center een nieuw apparaatconfiguratieprofiel op basis van het sjabloon Beveiligingsbaseline voor Windows of gebruik een maatwerkprofiel via de instellingencatalogus. Binnen Netwerkbeveiliging selecteer je de instelling Network Security: Restrict NTLM: Audit Incoming NTLM Traffic en zet je de waarde op Enable auditing for all accounts. Voeg aanvullende registrysettings toe zodat de gewenste waarde AuditIncomingNTLMTraffic = 2 in HKLM\System\CurrentControlSet\Control\LSA\MSV1_0 wordt geschreven en markeer het profiel als kritiek zodat Intune mislukte toewijzingen onmiddellijk meldt. Koppel het profiel vervolgens aan een pilotgroep met maximaal tien procent van de devices om compatibiliteit te toetsen.

Gebruik het bijgevoegde PowerShell-script als controlemiddel voordat je het profiel breed uitrolt. Voer het script eerst in een gecontroleerde testtenant uit met de parameters -Verbose en -WhatIf zodat duidelijk is welke Graph-calls plaatsvinden en welke permissies zijn vereist. Schakel daarna de lokale debugmodus in (met $DebugPreference = 'Continue') op een testdevice om realtime te verifiëren dat het script zowel de huidige registrywaarde leest als de Intune-rapportagegegevens ophaalt. Documenteer alle logbestanden, waaronder IntuneManagementExtension.log en DeviceManagement-Enterprise-Diagnostics-Provider logs, en koppel de resultaten terug aan het changerecord. Zodra de pilot stabiel is, breid je de assignment uit naar productie door securitygroepen per business unit of vertrouwelijkheidsniveau te targetten en stem je dit af met het SOC zodat zij weten wanneer een piek in audit events verwacht mag worden.

Tijdens de uitrol is communicatie cruciaal. Stel een interne kennisbankpagina op waarin wordt uitgelegd waarom NTLM-auditing nodig is, welke wijzigingen gebruikers kunnen merken en hoe supportafdelingen meldingen moeten verwerken. Vraag applicatie-eigenaren een eigen validatiepad te doorlopen zodat duidelijk wordt of hun diensten NTLM-verzoeken genereren. Documenteer eventuele uitzonderingen in een tijdelijke vrijstellingslijst en plan meteen een traject om deze systemen naar moderne authenticatie te migreren. Sluit de implementatie af met een formele acceptatietest waarin je aantoont dat alle doelgroepen minstens één succesvolle synchronisatie hebben gekregen, dat het script de status Compliant of Not Compliant correct rapporteert en dat beheerprocessen zoals herinstallaties of device retirements de auditingconfiguratie blijvend behouden.

Automatiseer kwaliteitscontrole door na elke deployment het script uit de map code/intune/audit-logging aan te roepen vanuit een Azure DevOps pipeline of GitHub Actions workflow die ook het JSON-bestand valideert. Voeg een stap toe die de actuele configuratie vergelijkt met het schema in content/schema.json zodat er geen onbedoelde wijzigingen ontstaan. Gebruik PowerShell Desired State Configuration of MDM-diagnostiek om registrywaarden periodiek te herlezen en log afwijkingen in een centrale tabel, bijvoorbeeld Azure Table Storage of Log Analytics. Door implementatie, verificatie en documentatie in één gestroomlijnd proces te vangen, ontstaat een herhaalbare aanpak die eenvoudig kan worden uitgebreid naar andere legacyprotocollen.

Gebruik feedbackloops na elke uitrolwave om lessons learned vast te leggen. Organiseer een sessie waarin Intune-beheerders, SOC-analisten en applicatie-eigenaren bespreken welke devices problemen hadden, welke beleidsinstellingen moesten worden aangepast en hoe documentatie kan worden verbeterd. Leg vast welke automatiseringsstappen goed werkten en welke extra controles nodig zijn, bijvoorbeeld een PowerShell-test die vergelijkt of lokale firewallregels niet interfereren met NTLM-logging. Door deze iteraties structureel uit te voeren blijft het implementatieproces lenig en minimaliseer je regressies.

Sluit de implementatiefase af met een formele overdracht naar beheer. Werk instructies uit voor onboarding van nieuwe apparaten, procedures voor break-glass-scenario’s en escalatieroutes wanneer een device hardnekkig niet compliant wordt. Richt een periodieke health-check in waarin je steekproefsgewijs devices herconfigureert via autopilot of re-enrollment om te toetsen of de beleidsinstelling ook in lifecycle-scenario’s standhoudt. Deze borging zorgt ervoor dat auditing niet alleen tijdens het project werkt, maar blijvend onderdeel van de endpointstandaard wordt.

monitoring

Effectieve monitoring van NTLM-auditing begint bij het device zelf. Controleer of Event ID 8004, 8005 en 8006 in het Windows Security-log verschijnen, dat ze niet worden onderdrukt door retentie-instellingen en dat thirdparty-agents de events niet herschrijven. Configureer Windows Event Forwarding of Defender for Endpoint zodat deze gebeurtenissen near-realtime naar een collector worden gestuurd en bewaak de ingestroomde volumes zodat logquota niet worden overschreden. Leg vast welke velden, zoals ClientMachineName, AccountName en AuthenticationPackageName, gebruikt worden voor correlatie en toets dat WMI-queries zoals Get-WinEvent -FilterHashtable @{LogName='Security';ID=8004} betrouwbaar resultaten teruggeven. Controleer tevens dat het systeemvolume voldoende ruimte heeft voor de vergrote logbestanden en test performancecounters om te verzekeren dat auditing geen merkbare impact heeft.

Stuur de verzamelde data naar Microsoft Sentinel of een ander SIEM en bouw werkboeken die zowel trendanalyses als gedetailleerde drilldowns bieden. Creëer een weergave die per dag toont hoeveel unieke clients nog NTLM-requests sturen, welke domeincontrollers betrokken zijn en of bepaalde serviceaccounts onveranderlijk hoog scoren. Combineer de NTLM-events met Defender for Endpoint signalen over passthe-hashwaarschuwingen en met Entra ID-signins om ketenaanvallen sneller te herkennen. Automatiseer notificaties via Logic Apps of Automation runbooks zodat beheerders een bericht ontvangen wanneer een nieuw apparaat voor het eerst NTLM gebruikt of wanneer het aantal events een dynamische drempel overschrijdt. Documenteer de ingestelde drempels en herzie ze elk kwartaal op basis van feitelijk gedrag zodat dashboards up-to-date blijven.

Monitor niet alleen de technische signalen maar ook de governance- en complianceaspecten. Stel maandelijkse rapportages op waarin je het management inzicht geeft in de voortgang van NTLM-afbouw, de resterende uitzonderingen en eventuele incidenten. Zorg dat dashboards bewijsmateriaal genereren voor audits door storing van ruwe data in een onveranderbaar archief zoals Microsoft Purview Audit (Premium) en combineer auditresultaten met servicemanagementdata zodat elke afwijkingsmelding direct een ticketnummer krijgt. Neem trainingsmomenten op voor SOC-analisten waarin je uitlegt hoe nieuwe velden in de logs moeten worden geïnterpreteerd en leg vast hoe monitoringoutputs input leveren voor het besluit om NTLM volledig te blokkeren.

Gebruik continuous improvement om monitoring steeds scherper te maken. Review elk kwartaal de correlatieregels, bepaal of nieuwe MITRE ATT&CK-technieken moeten worden afgevangen en voeg waar nodig machinelearninganalyse toe om afwijkende patronen te herkennen. Laat het SOC samen met threathunters tafel oefeningen uitvoeren waarbij gesimuleerde NTLM-relayaanvallen worden gedraaid, zodat dashboards, runbooks en communicatiekanalen in de praktijk worden beproefd. Koppel bevindingen aan het bredere beveiligingsportfolio van de organisatie zodat investeringen in identity hardening aantoonbaar bijdragen aan de reductie van NTLM-afhankelijkheden en de voorbereiding op het definitief uitfaseren van het protocol.

Breid monitoring uit naar het netwerk- en applicatieniveau door integratie met netwerkdetectie- en responsoplossingen of webapplication firewalls die NTLM-authenticatie detecteren. Wanneer een appliance een NTLM-header ziet, moet automatisch een correlatie worden gemaakt met endpointlogs om te bepalen of het verkeer legitiem is. Voeg daarnaast synthetische transacties toe die gecontroleerd NTLM-verzoeken uitvoeren zodat je de volledigheid van het loggingproces periodiek kunt valideren en prestatie-impact kunt meten.

Rapporteer de monitoringresultaten niet alleen reactief maar ook strategisch. Stel kwartaalrapportages op voor de CIO en auditcommissies waarin je laat zien hoe het aantal NTLM-events daalt, welke migratietrajecten zijn afgerond en welke investeringen nog nodig zijn. Combineer dit met maturiteitsscores zodat duidelijk wordt hoe NTLM-auditing bijdraagt aan het bredere Zero Trust-programma en koppel concrete KPI’s aan bedrijfsdoelen zoals continuïteit van kritieke diensten.

Remediatie

Wanneer monitoring afwijkingen detecteert moet er een helder remediatieproces klaarliggen. Start met het categoriseren van events op basis van bron: interactief gebruikersverkeer, serviceaccountactiviteit of apparaten buiten beheer. Beschrijf in runbooks hoe je per categorie onderzoek uitvoert, welke tools worden gebruikt voor packet capture of logexport en welke beslissingspunten bepalen of NTLM direct wordt geblokkeerd of gecontroleerd uitgefaseerd. Leg vast dat wijzigingen altijd via het change advisory board verlopen en dat applicatie-eigenaren verplicht zijn om mitigerende acties binnen de afgesproken termijn uit te voeren.

Gebruik het Intune-remediatiescript om apparaten die niet compliant zijn automatisch te herstellen. Het script controleert de registrywaarde, zet deze indien nodig opnieuw en rapporteert via Graph terug welke devices handmatige opvolging vragen. Combineer dit met Proactive Remediations zodat endpoints volgens een vaste cadans worden gecontroleerd en herhaalde overtredingen worden geëscaleerd naar het SOC. Beschrijf in het proces welke logging moet worden vastgelegd wanneer een commando wordt uitgevoerd, hoe rollback plaatsvindt en hoe je verifieert dat applicaties na wijziging nog functioneren.

Remediatie moet ook organisatorisch worden geborgd. Communiceer in wekelijkse securitystand-ups welke systemen nog niet compliant zijn, betrek leveranciers in technische sessies om NTLM-afhankelijkheden weg te nemen en rapporteer aan de CIO welke risico’s blijven bestaan zolang bepaalde workloads nog niet kunnen migreren. Werk nauw samen met privacy- en compliance-teams om te bepalen of aanvullende maatregelen, zoals versnelde tokenisatie of segmentering, nodig zijn om aan de BIO te blijven voldoen. Evalueer elk incident achteraf via een post-incident review, documenteer lessons learned en actualiseer de Intune-profielen en scripts zodat dezelfde fout zich niet herhaalt.

Maak remediatie meetbaar door key performance indicators vast te leggen, zoals het aantal niet-conforme apparaten per maand, de gemiddelde doorlooptijd van een NTLM-verwijderingsproject en het percentage uitzonderingen dat binnen de afgesproken termijn is beëindigd. Rapporteer deze cijfers aan het CISO-stuurteam en gebruik ze om capacity planning te onderbouwen. Wanneer data laat zien dat bepaalde business units achterblijven, start je een gericht verbeterprogramma met extra ondersteuning of tooling. Zo blijft remediatie geen eenmalige actie maar een structureel onderdeel van het beveiligingsbeleid en groeit de organisatie toe naar een omgeving waarin NTLM volledig kan worden uitgeschakeld.

Voor complexe gevallen waarin NTLM niet direct kan worden uitgeschakeld stel je tijdelijke compensatiemaatregelen op, zoals netwerksegmentatie, just-in-time toegangsverlening of het verplicht gebruiken van gedefinieerde jumpservers. Documenteer welke aanvullende logging hiervoor nodig is en hoe je periodiek bekijkt of de uitzondering nog gerechtvaardigd is. Betrek het risicomanagementteam zodat elke uitzondering een eigenaar, einddatum en vervangingsplan heeft en bewaak de voortgang actief.

Investeer in kennisdeling door runbooks te koppelen aan interactieve trainingen of tabletop-oefeningen. Laat teams oefenen met scenario’s waarbij bijvoorbeeld een leverancier per ongeluk NTLM inschakelt of een nieuwe serverbuild de auditinginstelling overschrijft. Door remediatieactiviteiten te simuleren ontdek je hiaten in tooling of processen voordat er zich een daadwerkelijk incident voordoet en kun je verbeteringen gericht doorvoeren.

Ondersteun remediatieteams met tooling voor geautomatiseerde rapportage, bijvoorbeeld dashboards die de voortgang van elk hersteltraject visualiseren en automatisch herinneringen sturen wanneer deadlines naderen. Integreer deze dashboards met IT-servicemanagementsystemen zodat elke actie traceerbaar is en audittrails eenvoudig beschikbaar zijn voor toezicht en lessons learned.

Vergeet niet om remediatiemaatregelen regelmatig te testen via onafhankelijke kwaliteitscontroles of interne audits. Laat een team dat niet bij de implementatie betrokken was steekproeven nemen op apparaten, scripts en documentatie om te bevestigen dat processen werkelijk worden gevolgd. Deze tweede verdedigingslinie geeft vertrouwen aan bestuurders en toezichthouders dat remediatie meer is dan een papieren afspraak.

Compliance en Auditing

NTLM-auditing ondersteunt direct meerdere kaders die relevant zijn voor Nederlandse overheidsorganisaties. De Baseline Informatiebeveiliging Overheid stelt dat logging rondom authenticatiemechanismen aantoonbaar moet zijn ingericht en dat afwijkingen tijdig worden gedetecteerd. Door auditing voor alle accounts te activeren toon je aan dat de organisatie zicht heeft op potentieel misbruik van oude protocollen en dat er een plan is om deze uit te faseren. Dit sluit aan op het Zero Trust-beleid dat in veel ministeries verplicht is en vormt een fundament voor latere controles waarbij NTLM volledig wordt geblokkeerd.

Ook internationale normen profiteren van deze maatregel. ISO 27001:2022 controle A.12.4.1 eist dat belangrijke gebeurtenissen worden gelogd, terwijl CIS Control 18.9.19.2 verwijst naar auditing van NTLM. Door het beleid centraal via Intune te beheren kan de organisatie aantonen dat de configuratie herhaalbaar is, dat er change- en audittrails bestaan en dat uitzonderingen worden vastgelegd. Combineer de auditgegevens met Microsoft Purview en leg in het register voor verwerkingsactiviteiten vast welke persoonsgegevens mogelijk in de logs terechtkomen, zodat AVG-artikel 30 en 32 worden afgedekt.

Documenteer hoe auditing past binnen contractuele en wettelijke verplichtingen. Overheidsorganisaties moeten vaak rapporteren aan toezichthouders zoals de Algemene Rekenkamer of het ministerie van BZK; met uitgebreide NTLM-logging kun je aantonen dat je inzicht hebt in identiteitsmisbruik, dat incidentprocessen onder controle zijn en dat gegevensretentie voldoet aan interne voorschriften. Leg vast hoe lang auditlogs worden bewaard, hoe integriteit wordt beschermd met immutable storage of Azure Blob-versiebeheer en hoe auditors toegang krijgen zonder de vertrouwelijkheid van burgers of medewerkers te schenden.

Voor auditors is tastbaar bewijsmateriaal essentieel. Bewaar screenshots van Intune-profielen, exporteer JSON-configuraties en archiveer de uitvoer van het PowerShell-script nadat het een compliancecontrole heeft uitgevoerd. Voeg deze artefacten toe aan het centrale auditdossier en voorzie ze van metadata zoals datum, verantwoordelijke en scope. Combineer technische bewijsstukken met beleidsdocumenten waarin staat dat NTLM-afhankelijkheden actief worden afgebouwd en dat managers verantwoordelijk zijn voor hun eigen applicatieportfolio. Deze combinatie van technisch en organisatorisch bewijs maakt het voor toezichthouders eenvoudig om vast te stellen dat de Nederlandse Baseline voor Veilige Cloud structureel wordt gevolgd.

Vertaal de technische configuratie naar beleidsdocumenten zodat duidelijk is welke rollen verantwoordelijk zijn voor goedkeuring, implementatie en periodieke review. Beschrijf hoe de maatregel aansluit op bestaande informatiebeveiligingsplannen, welke metrics worden gerapporteerd aan het management en hoe afwijkingen worden geadresseerd. Door governance expliciet te maken kan de organisatie aantonen dat compliance niet alleen een technische, maar ook een bestuurlijke inspanning is.

Neem NTLM-auditing op in de jaarlijkse auditkalender en definieer welke steekproeven auditors uitvoeren. Bepaal vooraf welke logextracties, changerecords en beslisdocumenten beschikbaar moeten zijn en zorg dat deze veilig gedeeld kunnen worden. Door auditvoorbereiding te standaardiseren verklein je de belasting tijdens controles en vergroot je de kans op een volwaardige en tijdige verklaring richting toezichthouders.

Zorg dat juridische adviseurs worden betrokken bij het bepalen van bewaartermijnen en dat er data protection impact assessments worden uitgevoerd wanneer auditlogs persoonsgegevens kunnen bevatten. Documenteer de uitkomst en leg vast welke technische en organisatorische maatregelen zijn genomen om risico’s te mitigeren, bijvoorbeeld pseudonimisering of versleutelde opslag.

Gebruik de inzichten uit NTLM-auditing om beleidsbesluiten te onderbouwen. Wanneer rapportages aantonen dat bepaalde organisatieonderdelen achterblijven, kan het management verplichtende maatregelen nemen, zoals verplichte modernisatieroadmaps of het koppelen van financiering aan compliancestatus. Zo ontstaat een directe relatie tussen beveiligingsdata en governance.

Compliance & Frameworks

• CIS M365: Control 18.9.19.2 (L1) - CIS Security Benchmark aanbevelingen
• BIO: 16.01 - BIO Baseline Informatiebeveiliging Overheid - 16.01 - Gebeurtenissen logging en audittrails
• ISO 27001:2022: A.12.4.1 - ISO 27001:2022 - Gebeurtenissen logging en audittrails

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

Risico zonder implementatie

Management Samenvatting

Activeer auditing voor alle NTLM-accounts via Intune zodat elk authenticatieverzoek traceerbaar wordt en verouderde afhankelijkheden versneld kunnen worden afgebouwd.

• Implementatietijd: 2 uur
• FTE required: 0.01 FTE