Object Access Audit Other Object Access Events Is Set To Success En Failure

Wanneer organisaties onvoldoende zicht hebben op geslaagde en mislukte toegangspogingen tot gevoelige systeembestanden, verliezen zij controle over de keten van vertrouwelijkheid, integriteit en beschikbaarheid. Deze configuratie sluit direct aan op de BIO, CIS en ISO 27001-eisen voor gebeurtenisregistratie en helpt auditors aantoonbaar te maken dat er sprake is van continue, forensisch bruikbare logging.

Implementatie

Deze maatregel richt zich op het afdwingen van de Windows auditinstelling "Other Object Access Events" voor zowel successen als fouten via een Intune device configuration profile of compliance policy. De aanpak combineert beleidsinstellingen, geautomatiseerde scripts en organisatorische borging zodat de logging binnen 24 uur op iedere beheerde endpoint actief is en blijvend wordt bewaakt.

Vereisten

Om de instelling betrouwbaar uit te rollen is een combinatie van technische en organisatorische voorwaarden noodzakelijk. De organisatie beschikt minimaal over Microsoft Intune, Microsoft Entra ID P1 en licenties voor Microsoft Defender for Endpoint zodat de auditgegevens direct kunnen worden gecorreleerd met gedragsanalyses. Alle doelapparaten draaien een ondersteunde Windows 10 of Windows 11 build, hebben de Unified Audit Policy ingeschakeld en zijn gekoppeld aan een beleidsgroep binnen Intune die geen conflicterende object access regels toepast. Een stabiele netwerkverbinding richting de Intune-service en het ingestelde logboekarchief is vereist, inclusief toegang tot de vereiste service-URL’s, omdat het apparaat anders geen beleid of rapportages kan synchroniseren. Beheerders die het beleid publiceren beschikken over de rollen Intune Administrator en Security Operator binnen een gescheiden changeproces; zonder aantoonbare roltoewijzing mag er geen productieconfiguratie worden gewijzigd. Verder moeten er diagnostische hulpprogramma’s beschikbaar zijn, zoals Windows Event Forwarding of agenten voor Azure Monitor Agent, om te controleren of gebeurtenissen met ID 4663 en 4656 daadwerkelijk worden vastgelegd. Tot slot zijn baselinewaarden voor normale systeembelasting gedocumenteerd zodat performance-impact en schijftoename vooraf kunnen worden beoordeeld. Naast deze technische randvoorwaarden vraagt de maatregel om volwassen ondersteunende processen. De opslaglocatie van beveiligingsgebeurtenissen is gekoppeld aan een retentiebeleid dat aansluit bij AVG- en BIO-bewaartermijnen, met duidelijke toewijzing van eigenaarschap voor zowel data als infrastructuur. SOC-analisten hebben toegang tot een SIEM-omgeving, bijvoorbeeld Microsoft Sentinel of Splunk, waarin de auditlogboeken dagelijks worden verzameld, van labels voorzien en verrijkt met context over betrokken apparaten en gebruikers. Privacy officers zijn betrokken om te beoordelen of logging van mislukte toegangspogingen aanvullende meldplichten richting ondernemingsraad of Functionaris Gegevensbescherming vraagt. Ook bestaan er gestandaardiseerde sjablonen voor communicatie richting eindgebruikers waarin het doel en de reikwijdte van de logging helder wordt uitgelegd, zodat acceptatie en bewustzijn toenemen. Het project beschikt over goedgekeurde test- en productiechangeverzoeken, inclusief rollbackscenario’s voor het geval apparaten onjuist gedrag vertonen. Ten slotte zijn er meetbare kwaliteitscriteria gedefinieerd, zoals het percentage apparaten dat binnen 12 uur na beleidswijziging compliant moet zijn, met duidelijke verantwoordelijkheden voor rapportage aan het CISO-office. Elke betrokken leverancier of uitbestedingspartner heeft contractueel vastgelegde verplichtingen om dezelfde instellingen te gebruiken op beheerde systemen, zodat er geen zwakke schakels ontstaan in hybride omgevingen. Er is een geactualiseerde inventarisatie van uitzonderingen, bijvoorbeeld industriële werkplekken die niet permanent met Intune worden beheerd, inclusief aanvullende controlemaatregelen zoals lokale auditpolicies en handmatige logextracties. De financiële afdeling heeft budget gereserveerd voor extra opslag- en verwerkingscapaciteit, omdat dubbele logging naar SIEM en log analytics de maandelijkse cloudkosten kan verhogen. Tot slot vereist de maatregel dat kennisartikelen, runbooks en opleidingsmateriaal beschikbaar zijn in het kennisportaal, zodat nieuwe beheerders, auditors en externe toezichthouders exact begrijpen welke stappen zijn genomen om de integriteit van objecttoegang te bewaken. Daarnaast verplicht de baseline tot het borgen van leveranciersmanagement, waarin contractueel is vastgelegd dat beheerde diensten geen afwijkende auditinstellingen mogen introduceren zonder voorafgaande toestemming van de CISO. Er is een communicatielijn naar het Security Operations Center van ketenpartners, zodat loggegevens uit gedeelde infrastructuur kunnen worden afgestemd en er één gezamenlijk beeld ontstaat tijdens incidentrespons. De architectuurafdeling heeft een blauwdruk opgesteld waarin de volledige gegevensstroom van endpoint naar SIEM is vastgelegd, inclusief encryptieprotocollen, authenticatiemechanismen en failover-scenario’s. Hierdoor kunnen auditors eenvoudig vaststellen dat zowel technische als organisatorische randvoorwaarden duurzaam zijn ingericht.

Implementatie

De implementatie start met een inventarisatie van alle apparaatgroepen waarop auditlogging verplicht is, gevolgd door het bepalen van prioriteit voor systemen met hoogwaardigere data, zoals werkstations voor beleidsmedewerkers, beheerders en ontwikkelaars. Vervolgens wordt een Intune device configuration profile van het type "Endpoint security" of "Settings catalog" aangemaakt waarin de instelling "Audit Other Object Access Events" expliciet op zowel Success als Failure wordt gezet. Het profiel wordt gekoppeld aan dynamische groepen op basis van device ownership en compliance-status, zodat apparaten automatisch worden opgenomen zodra zij aan de vereisten voldoen. Voor apparaten die nog via groepsbeleid worden beheerd, wordt een overgangsplan opgesteld waarin Intune de leidende configuratie wordt en bestaande GPO’s alleen als fallback dienen. Na het publiceren van het profiel wordt een validatiefase uitgevoerd waarin beheerders het PowerShell-script object-access-audit-other-object-access-events-is-set-to-success-and-failure.ps1 uitvoeren vanuit de map code/intune/audit-logging. Het script controleert of de relevante registerwaarden onder HKLM\SYSTEM\CurrentControlSet\Control\Lsa en \Policy\PolAdtEv overeenkomen met de vereiste bits en of de Unified Audit Policy de componenten "Other Object Access Events" bevat. De uitvoer wordt opgeslagen in een beveiligde SharePoint-locatie of Log Analytics workspace zodat er aantoonbaar bewijs bestaat van zowel geslaagde als mislukte controles. Eventuele afwijkingen worden direct gelabeld met tags als "Non-Compliant" of "Legacy Build" zodat het SOC weet welke apparaten extra aandacht vragen. Tegelijkertijd wordt Windows Event Forwarding geconfigureerd om gebeurtenis-ID’s 4656 en 4663 naar een centrale collector te sturen, waardoor de implementatie direct kan worden gekoppeld aan detectieregels. In de daaropvolgende fase voert het projectteam een ketentest uit waarin zij een gecontroleerd scenario creëren: een testaccount probeert een beschermd bestand te openen zonder de juiste toegangsrechten, waarna wordt geverifieerd of de gebeurtenis binnen vijf minuten zichtbaar is in het SIEM. De resultaten worden besproken in een change-advisoryboard, inclusief een impactanalyse op schijfruimte, netwerkverkeer en SOC-werklast. Pas na goedkeuring wordt de policy breed uitgerold tijdens een onderhoudsvenster dat ruim van tevoren is aangekondigd. Gedurende het venster monitoren beheerders de Intune-rapportages "Device configuration" en "Endpoint security" om te bevestigen dat minimaal 95% van de apparaten de instelling binnen de afgesproken termijn toepast. Het implementatiedossier bevat screenshots, exportbestanden en een bijgewerkte architectuurtekening zodat auditors achteraf exact kunnen herleiden welke stappen zijn uitgevoerd en welke controlemomenten zijn vastgelegd. Tot slot wordt kennis geborgd door handleidingen te publiceren in het IT-servicemanagementportaal. Deze instructies bevatten onder meer de exacte Intune-navigatiepaden, verwachte registry-waarden, testcases en aanwijzingen voor het gebruik van lokale event viewers. Nieuwe medewerkers volgen een korte e-learning waarin zij leren waarom objecttoegangslogging cruciaal is voor forensisch onderzoek binnen de publieke sector en hoe zij afwijkingen volgens het escalatieprotocol moeten melden. Het programma sluit af met een evaluatie waarin lessons learned worden verwerkt in het enterprise-architectuurraamwerk en er wordt vastgesteld welke verbeterpunten in de volgende sprint worden opgepakt, zoals aanvullende automatisering of uitbreidingen richting Linux- en macOS-endpoints. De laatste stap bestaat uit het formaliseren van acceptatiecriteria waarmee het CISO-office officieel bevestigt dat de configuratie voldoet aan de Nederlandse Baseline voor Veilige Cloud en dat de beheerorganisatie het onderhoud kan dragen.

Gebruik PowerShell-script object-access-audit-other-object-access-events-is-set-to-success-and-failure.ps1 (functie Invoke-Monitoring) – Monitoren.

monitoring

Effectieve monitoring combineert technische signalen uit Windows Event Logs, Intune-compliance rapportages en SIEM-correlaties om een volledig beeld te vormen van de gezondheid van de auditconfiguratie. Het SOC definieert een hoofdindicator die aangeeft welk percentage apparaten in de afgelopen 24 uur minstens één gebeurtenis-ID 4656 of 4663 heeft doorgestuurd. Deze indicator wordt dagelijks vergeleken met de lijst van geregistreerde endpoints, zodat direct duidelijk is welke systemen geen actuele loggegevens leveren. Daarnaast wordt in Intune een aangepaste compliance-beleidregel aangemaakt die controleert of de betreffende auditinstelling actief is; afwijkingen worden automatisch doorgestuurd naar Microsoft Defender for Endpoint zodat zij zichtbaar zijn in het Secure Score-overzicht. Het eerder genoemde PowerShell-script wordt minimaal wekelijks automatisch uitgevoerd via een Azure Automation runbook of een Intune Proactive Remediation, waarbij de output als JSON wordt opgeslagen in een Log Analytics workspace. Koppelingen met Kusto Query Language-dashboards zorgen ervoor dat beheerders de trend per apparaatgroep kunnen volgen en alerts ontvangen wanneer een apparaat gedurende twee opeenvolgende controles niet voldoet. Voor kritieke werkplekken van domeinbeheerders geldt een aangescherpte drempel: zodra er meer dan twee uur geen objecttoegangsgebeurtenis wordt geregistreerd, stuurt het SIEM een directe melding naar het incident response-team. Monitoring omvat ook kwalitatieve checks: tijdens maandelijkse service reviews beoordelen security officers steekproefsgewijs of de gelogde events voldoende context bevatten, zoals procesnaam, gebruiker en doelobject. Indien informatie ontbreekt, wordt onderzocht of aanvullende audit subcategorieën moeten worden geactiveerd. Verder worden dashboards verrijkt met context uit CMDB en identity management, zodat bij afwijkingen direct zichtbaar is of het om een uitgeschakelde werkplek, een laptop in onderhoud of een mogelijk gecompromitteerd apparaat gaat. Het SOC houdt een lessons-learned-register bij waarin afwijkingen worden gecategoriseerd naar oorzaken, zoals verouderde agenten, foutieve registry-permissies of manueel uitgevoerde wijzigingen. Rapportages richting het CISO-office worden elk kwartaal aangeleverd en bevatten zowel compliancepercentages als beschrijvende statistieken over incidenten waarbij objecttoegang een rol speelde. Binnen dezelfde rapportage worden aanbevelingen op basis van trendanalyses opgenomen, bijvoorbeeld extra segmentatie voor beheerdersaccounts of uitbreiding van retentieperioden als audits aantonen dat onderzoeken langer duren. Al deze activiteiten zijn vastgelegd in runbooks die beschikbaar zijn in het kennisportaal en jaarlijks worden getest tijdens een tabletop-oefening waarbij een scenario rond datalekken wordt gesimuleerd. ServiceNow of een vergelijkbaar ITSM-platform is gekoppeld aan de monitoringketen zodat alerts automatisch worden vertaald naar incidenten met vooraf ingevulde impact- en urgentiewaarden, inclusief automatische herinneringen wanneer onderzoek langer dan 48 uur duurt. Als aanvullende borging voert de kwaliteitsmanager ieder kwartaal een onafhankelijke datakwaliteitscontrole uit waarbij samplelogs worden getoetst op volledigheid, tijdstempelconsistentie en overeenstemming met de configuratiewaarden in Intune. De bevindingen worden besproken binnen het risicocomité en resulteren waar nodig in verbeteracties, zoals extra training voor operators of aanpassingen aan het retentiebeleid. Zo ontstaat een continu verbetermodel waarin monitoringresultaten direct worden vertaald naar procesoptimalisatie. Bovendien worden lessons learned verwerkt in het jaarlijkse auditplan, zodat elke bevinding leidt tot concrete toetsmomenten en de volwassenheid van monitoring aantoonbaar groeit. Deze cyclus van meten, duiden en verbeteren wordt gedocumenteerd in het ISMS, waardoor toezichthouders kunnen vaststellen dat monitoring niet incidentgedreven maar structureel verankerd is.

Gebruik PowerShell-script object-access-audit-other-object-access-events-is-set-to-success-and-failure.ps1 (functie Invoke-Monitoring) – Controleren.

Remediatie

Wanneer monitoring aangeeft dat een apparaat de vereiste auditinstelling mist, start een herstelproces dat is afgestemd op de kritikaliteit van de betreffende werkplek. De servicemedewerker controleert eerst via Intune of het configuratieprofiel is toegewezen en of de laatste synchronisatie succesvol was. Indien het apparaat offline is, wordt de gebruiker via het selfserviceportaal geïnstrueerd een handmatige sync uit te voeren en het apparaat minimaal dertig minuten online te houden. Bij apparaten die wel online zijn maar toch non-compliant blijven, wordt nagegaan of andere policies dezelfde registry-sleutels wijzigen, bijvoorbeeld via lokale beheertools of restanten van groepsbeleid. Het PowerShell-script biedt een remediatiemodus (Invoke-Remediation) die de vereiste auditcategorieën opnieuw inschakelt en de eventloginstellingen reset naar de standaardwaarden van de Nederlandse Baseline voor Veilige Cloud. Dit script wordt centraal aangestuurd vanuit Intune Proactive Remediations zodat uitvoering en resultaat automatisch worden gelogd. Voor kritieke systemen wordt een extra check ingebouwd waarbij de beheerder bevestigt dat de Unified Audit Policy geen ongewenste uitzonderingen meer bevat door het commando auditpol /get /category:* uit te voeren en het resultaat te uploaden naar de centrale share. Wanneer de remediatie slaagt, wordt het incident gesloten met verwijzing naar het runbooknummer en de gebruikte scriptversie, zodat traceerbaarheid gewaarborgd is. Als er structurele problemen worden ontdekt, zoals verouderde images of incompatibele security agents, wordt een problemrecord geopend om de achterliggende oorzaak weg te nemen. Legacy-systemen die de instelling niet ondersteunen krijgen tijdelijke compenserende maatregelen, zoals lokale scripts die de Windows Event Collector rechtstreeks vullen of netwerkisolatie totdat vervanging mogelijk is. Voor werkplekken die beheerd worden door leveranciers geldt dat de contractmanager controleert of de leverancier het remediatieplan binnen de overeengekomen Service Level Agreements uitvoert. Elk uitzonderingsverzoek wordt vastgelegd inclusief einddatum en risicoanalyse, zodat het CISO-office kan beoordelen of aanvullende maatregelen nodig zijn. Communicatie met eindgebruikers maakt integraal deel uit van het herstelproces. Wanneer er handmatige acties nodig zijn, ontvangen gebruikers duidelijke instructies via e-mail en het serviceportaal waarin stap voor stap wordt uitgelegd hoe zij een synchronisatie starten, hoe zij hun apparaat herstarten en waar zij ondersteuning kunnen krijgen. Na afronding ontvangt de gebruiker een bevestiging dat de beveiligingsmaatregel weer actief is, zodat het vertrouwen in de stabiliteit van de omgeving behouden blijft. Auditlogs over de remediatie worden minimaal een jaar bewaard, inclusief screenshots, scriptuitvoer en eventuele exceptions, zodat audits eenvoudig kunnen aantonen dat afwijkingen tijdig zijn hersteld. Het proces sluit af met een evaluatie waarin wordt vastgesteld of aanvullende automatisering mogelijk is, bijvoorbeeld door het toevoegen van een Configuration Drift Policy in Microsoft Defender for Cloud of door het integreren van de remediatie-runbooks met GitOps-principes. De inzichten worden gedeeld tijdens het maandelijkse overleg tussen SOC, IT-Operations en Privacy, waarbij nadruk ligt op samenwerking tussen teamleden en het continu verbeteren van de respons- en leermechanismen. Voor elke afgeronde remediatiecase wordt ten slotte een post-implementation review uitgevoerd waarin wordt nagegaan welke detectiesignalen de afwijking hebben getriggerd, hoeveel tijd verliep tussen detectie en herstel en welke documentatie moet worden bijgewerkt om herhaling te voorkomen.

Gebruik PowerShell-script object-access-audit-other-object-access-events-is-set-to-success-and-failure.ps1 (functie Invoke-Remediation) – Herstellen.

Compliance en Auditing

Deze maatregel is nauw verweven met meerdere compliancekaders, waaronder BIO 16.01, CIS 18.9.19.2 en ISO 27001 A.12.4.1. Om aantoonbaar aan deze eisen te voldoen documenteert de organisatie de volledige lifecycle van de auditconfiguratie, vanaf beleidsvaststelling tot operationele monitoring. Het beleid beschrijft expliciet dat alle Windows-endpoints objecttoegang voor zowel successen als mislukkingen moeten loggen, inclusief verwijzing naar de wettelijke basis onder de Algemene verordening gegevensbescherming en de Wet open overheid. Het document is bekrachtigd door de CISO en opgenomen in het organisatiebrede ISMS, zodat auditors een duidelijk spoor hebben naar goedgekeurde besluiten. Tijdens audits wordt een drielaagse bewijsvoering gehanteerd. De eerste laag bestaat uit beleidsdocumenten, change-aanvragen en CAB-notulen die aantonen dat de configuratie zorgvuldig is ingevoerd. De tweede laag is technisch bewijs: exportbestanden van Intune policies, rapportages uit het script Invoke-Monitoring, screenshots van Event Viewer en SIEM-queries die laten zien dat gebeurtenis-ID’s 4656 en 4663 daadwerkelijk worden geregistreerd. De derde laag bestaat uit steekproefsgewijze heruitvoering van testcases waarbij auditors live meekijken hoe een gecontroleerde toegangsfout leidt tot een logmelding die binnen de afgesproken tijd in het SIEM verschijnt. Deze aanpak sluit aan op de auditmethodiek van de Algemene Rekenkamer en interne auditdiensten. Aangezien objecttoegangslogging persoonsgegevens kan bevatten, bijvoorbeeld gebruikersnamen en bestandslocaties, is privacy by design stevig geborgd. Het gegevensregister beschrijft welke persoonsgegevens worden vastgelegd, met welk doel, hoe lang zij worden bewaard en welke technische maatregel ervoor zorgt dat alleen bevoegde medewerkers de logs kunnen inzien. Toegang tot de logs wordt gelogd via een apart proces, zodat iedere inzage traceerbaar is. Privacy Impact Assessments worden periodiek herzien, zeker bij uitbreidingen zoals het koppelen van externe datasets of het inzetten van machine learning voor detectiedoeleinden. Informatie over de logging wordt gedeeld via interne privacyverklaringen, zodat medewerkers weten hoe hun activiteiten worden bewaakt. Voor naleving richting externe toezichthouders worden rapportages opgesteld waarin KPI’s zijn opgenomen, zoals het percentage apparaten met volledig geactiveerde auditing, het aantal incidenten waarin objecttoegang doorslaggevend bewijs leverde en de gemiddelde tijd tussen detectie en melding. Deze rapportages worden minimaal jaarlijks besproken met de Chief Information Security Officer en de Functionaris Gegevensbescherming, en op verzoek beschikbaar gesteld aan ketenpartners. Indien tijdens een audit tekortkomingen worden vastgesteld, wordt een verbeterplan opgesteld met concrete deadlines, verantwoordelijken en middelen, en wordt de uitvoer bewaakt via het risicoregister. Tot slot borgt de organisatie compliance door middel van opleidingen en repetities. Nieuwe beheerders volgen een onboardingprogramma waarin zij leren hoe zij bewijsmateriaal verzamelen, welke commando’s tijdens audits worden gebruikt en hoe zij vragen van auditors beantwoorden. Jaarlijks wordt een tabletop-oefening georganiseerd waarin men een scenario rond een datalek doorloopt; auditors beoordelen daarbij of de logging voldoende informatie levert om de oorzaak te reconstrueren en of het team binnen de wettelijke meldtermijnen kan handelen. Alle compliance-artefacten worden centraal opgeslagen in een versiebeheerd SharePoint- of Confluence-dossier, voorzien van metadata zoals classificatie, eigenaar, vervaldatum en relatie naar controles in het ISMS, zodat wijzigingen automatisch worden gemeld aan belanghebbenden. Het dossier bevat kruislings verwijzingen naar architectuurdiagrammen, juridische adviezen en lessons learned, waardoor auditors in één overzicht zien hoe de maatregel past binnen de bredere governance-structuur.

Compliance & Frameworks

• CIS M365: Control 18.9.19.2 (L1) - CIS Security Benchmark aanbevelingen
• BIO: 16.01 - BIO Baseline Informatiebeveiliging Overheid - 16.01 - Gebeurtenissen logging en audittrails
• ISO 27001:2022: A.12.4.1 - ISO 27001:2022 - Gebeurtenissen logging en audittrails

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

Risico zonder implementatie

Management Samenvatting

Activeer objectaccess-auditing voor successen én fouten via Intune en borg de naleving met scripts en monitoring.

• Implementatietijd: 2 uur
• FTE required: 0.01 FTE