💼 Management Samenvatting
Deze beveiligingsregel waarborgt de correcte configuratie van audit logging voor toegang tot verwijderbare opslagmedia op Windows eindpunten.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
7/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Windows
Deze instelling is onderdeel van de Windows beveiligingsbaseline en beschermt tegen bekende aanvalsvectoren door het afdwingen van veilige configuraties. Verwijderbare opslagmedia vormen een aanzienlijk beveiligingsrisico omdat ze kunnen worden gebruikt voor datalekken, malware-infecties en ongeautoriseerde gegevensoverdracht. Door zowel succesvolle als mislukte toegangspogingen te loggen, kunnen organisaties potentiële beveiligingsincidenten detecteren en onderzoeken. In de context van Nederlandse overheidsorganisaties is deze maatregel essentieel om te voldoen aan de BIO Baseline Informatiebeveiliging Overheid en om transparantie te bieden over gegevensverwerking voor audit doeleinden.
PowerShell Modules Vereist
Primary API: Graph
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
Deze regel configureert object access audit logging voor verwijderbare opslagmedia, waarbij zowel succesvolle als mislukte toegangspogingen worden vastgelegd. Dit wordt geïmplementeerd via Microsoft Intune apparaatconfiguratiebeleid of nalevingsbeleid om Windows eindpunten te beveiligen volgens beveiligingsbest practices. De audit logs bieden volledige zichtbaarheid in alle interacties met verwijderbare opslagmedia, wat essentieel is voor forensisch onderzoek en nalevingsdoeleinden. Deze logging maakt het mogelijk om exact te traceren wie, wanneer en hoe er toegang is verkregen tot verwijderbare opslagmedia, wat cruciaal is voor incident response en compliance verificatie.
Vereisten
Voor de implementatie van object access audit logging voor verwijderbare opslagmedia zijn verschillende technische en organisatorische vereisten van toepassing die zorgvuldig moeten worden geëvalueerd voordat met de implementatie wordt begonnen. Deze vereisten vormen de fundering voor een succesvolle en effectieve implementatie die voldoet aan de beveiligings- en compliance-eisen van moderne organisaties, met name binnen de Nederlandse publieke sector waar transparantie en verantwoording van cruciaal belang zijn. De implementatie van audit logging is geen eenvoudige technische configuratie, maar vereist een doordachte aanpak die rekening houdt met de volledige organisatorische context waarin de beveiligingsmaatregel zal functioneren. Allereerst is een actief Microsoft Intune licentie vereist met de juiste bevoegdheden voor het configureren van apparaatconfiguratiebeleid. De organisatie moet beschikken over een Microsoft 365 E3 of E5 licentie, of een specifieke Intune licentie, om gebruik te kunnen maken van de geavanceerde audit logging functionaliteiten. Deze licenties bieden toegang tot de volledige reeks beheerfunctionaliteiten die nodig zijn voor een professionele implementatie, inclusief geavanceerde beleidsconfiguratie, centrale monitoring en geautomatiseerde nalevingsrapportage. Zonder de juiste licenties kunnen organisaties niet profiteren van de volledige mogelijkheden van Microsoft Intune voor audit logging, wat kan leiden tot gedeeltelijke implementaties die niet voldoen aan de beveiligingsvereisten. Het is daarom essentieel dat organisaties vooraf een grondige licentiecontrole uitvoeren om te verifiëren dat alle benodigde functionaliteiten beschikbaar zijn. Daarnaast is het essentieel dat alle Windows eindpunten zijn ingeschreven in Microsoft Intune en correct zijn geconfigureerd voor centrale beheer. De eindpunten moeten minimaal Windows 10 versie 1809 of hoger draaien, of Windows 11, om volledige ondersteuning te hebben voor de audit logging functionaliteiten. Voor oudere versies van Windows kunnen beperkingen gelden in de beschikbare audit opties, wat betekent dat organisaties mogelijk moeten overwegen om deze systemen te upgraden of aanvullende monitoringoplossingen te implementeren. Deze versievereisten zijn belangrijk omdat nieuwere versies van Windows geavanceerde audit logging mogelijkheden bieden die essentieel zijn voor effectieve beveiligingsmonitoring. Organisaties met gemengde omgevingen moeten een migratiestrategie ontwikkelen die rekening houdt met de verschillende versies en hun specifieke mogelijkheden. Organisatorisch gezien moet er een duidelijk beveiligingsbeleid zijn dat het gebruik van verwijderbare opslagmedia reguleert en de noodzaak van audit logging ondersteunt. Dit beleid moet specifiek aangeven welke medewerkers verwijderbare opslagmedia mogen gebruiken, onder welke omstandigheden, en wat de procedures zijn voor het rapporteren van verdachte activiteiten. Het beleid moet ook duidelijk maken wat de gevolgen zijn van het niet naleven van de regels, en hoe de audit logs worden gebruikt voor beveiligingsmonitoring en incidentafhandeling. Zonder een duidelijk beleid is het moeilijk om de noodzaak van audit logging uit te leggen aan medewerkers en management, wat kan leiden tot weerstand tegen de implementatie. Het beleid moet worden gecommuniceerd naar alle betrokken partijen en regelmatig worden geëvalueerd om te verzekeren dat het actueel blijft en effectief is. De IT-afdeling moet beschikken over voldoende expertise in Microsoft Intune configuratie en Windows audit logging om de implementatie correct uit te voeren. Dit omvat kennis van de verschillende auditbeleidsinstellingen, het configureren van logverzameling, en het interpreteren van audit gebeurtenissen. Deze expertise is essentieel omdat onjuiste configuraties kunnen leiden tot onvolledige logging, prestatieproblemen, of zelfs beveiligingslekken. Organisaties die niet over deze expertise beschikken moeten overwegen om training te volgen of externe specialisten in te schakelen. Het investeren in deze expertise is cruciaal voor het succes van de implementatie en de langetermijneffectiviteit van de beveiligingsmaatregel. Er moet ook een proces zijn voor het beheren en analyseren van de gegenereerde audit logs, wat vaak betekent dat er een Security Information and Event Management (SIEM) systeem of logaggregatie-oplossing nodig is. Deze systemen maken het mogelijk om grote hoeveelheden logdata te verzamelen, te analyseren en te correleren, waardoor beveiligingsteams patronen en afwijkingen kunnen identificeren die anders onopgemerkt zouden blijven. Zonder een dergelijk systeem is het praktisch onmogelijk om effectief gebruik te maken van de gegenereerde audit logs, omdat handmatige analyse van duizenden logvermeldingen niet haalbaar is. De selectie en configuratie van een SIEM-systeem vereist zorgvuldige planning en moet worden afgestemd op de specifieke behoeften en omvang van de organisatie. De netwerkinfrastructuur moet voldoende bandbreedte en connectiviteit bieden voor het verzenden van audit logs naar centrale loggingsystemen. Dit is vooral belangrijk voor organisaties met veel eindpunten, omdat de hoeveelheid gegenereerde logdata aanzienlijk kan zijn. Onvoldoende netwerkcapaciteit kan leiden tot vertragingen in logverzending, verlies van logdata, of zelfs prestatieproblemen op de eindpunten. Het is daarom belangrijk om vooraf een netwerkcapaciteitsanalyse uit te voeren om te verifiëren dat de infrastructuur geschikt is voor de verwachte logvolumes. Tot slot is het belangrijk dat er voldoende opslagcapaciteit beschikbaar is voor het bewaren van audit logs volgens de organisatorische retentievereisten, die vaak minimaal één jaar bedragen voor nalevingsdoeleinden. Deze opslag moet zowel lokaal op de eindpunten als centraal in logaggregatiesystemen worden geconfigureerd om te zorgen voor redundantie en beschikbaarheid. Onvoldoende opslagcapaciteit kan leiden tot verlies van belangrijke audit informatie, wat kan resulteren in compliance-problemen en moeilijkheden bij forensisch onderzoek. De opslagconfiguratie moet regelmatig worden geëvalueerd en aangepast aan de groeiende hoeveelheid logdata en veranderende retentievereisten.
Implementatie
De implementatie van object access audit logging voor verwijderbare opslagmedia via Microsoft Intune vereist een gestructureerde aanpak die begint met het voorbereiden van de omgeving en het configureren van de juiste beleidsregels. Deze gestructureerde aanpak is essentieel om te zorgen dat de implementatie succesvol is en dat alle eindpunten correct worden geconfigureerd zonder de dagelijkse operaties te verstoren. Een goed geplande implementatie voorkomt problemen tijdens de uitrol en zorgt ervoor dat de audit logging vanaf het begin correct functioneert. Het eerste stadium van de implementatie omvat het verifiëren van alle vereisten, inclusief licentiecontrole, eindpunt-inschrijving status en netwerkconnectiviteit. Dit betekent dat er een grondige inventarisatie moet worden gemaakt van alle eindpunten in de organisatie, hun huidige configuratiestatus, en hun connectiviteit met het Intune beheercentrum. Deze inventarisatie is cruciaal omdat het helpt om potentiële problemen vroegtijdig te identificeren en om een realistische planning te maken voor de implementatie. Zonder een grondige inventarisatie kunnen organisaties onverwachte problemen tegenkomen tijdens de implementatie, wat kan leiden tot vertragingen en extra kosten. Vervolgens moet er een nieuw apparaatconfiguratiebeleid worden aangemaakt in het Microsoft Intune beheercentrum. Dit beleid moet worden geconfigureerd als een eindpuntbeveiligingsbeleid of als een aangepast apparaatconfiguratieprofiel, afhankelijk van de beschikbare opties in de Intune omgeving. De keuze tussen deze opties hangt af van de specifieke behoeften van de organisatie en de beschikbare functionaliteiten in de Intune omgeving. Het is belangrijk om de juiste optie te kiezen omdat dit invloed heeft op de manier waarop het beleid wordt toegepast en beheerd. De specifieke configuratie-instelling die moet worden ingeschakeld is het 'Audit Verwijderbare Opslag' beleid, dat moet worden ingesteld op 'Succes en Falen' om zowel succesvolle als mislukte toegangspogingen te loggen. Deze instelling bevindt zich in de Windows Auditbeleid sectie onder Object Access, en het is belangrijk om te begrijpen dat deze instelling deel uitmaakt van een bredere set van auditbeleidsregels die gezamenlijk zorgen voor volledige zichtbaarheid in systeemactiviteiten. Door zowel succesvolle als mislukte toegangspogingen te loggen, krijgen organisaties volledige zichtbaarheid in alle interacties met verwijderbare opslagmedia, wat essentieel is voor beveiligingsmonitoring en forensisch onderzoek. Na het configureren van het beleid moet het worden toegewezen aan de juiste groepen eindpunten, waarbij wordt gelet op de implementatiestrategie. Dit betekent dat er moet worden nagedacht over welke eindpunten als eerste moeten worden geconfigureerd, welke groepen prioriteit hebben, en hoe de configuratie geleidelijk kan worden uitgerold zonder de dagelijkse operaties te verstoren. Een goed doordachte implementatiestrategie voorkomt problemen en zorgt ervoor dat de configuratie op een gecontroleerde manier wordt uitgerold. Het is aan te raden om eerst een pilot uit te voeren met een beperkte groep eindpunten om te verifiëren dat de configuratie correct werkt en geen negatieve impact heeft op de systeemprestaties. Deze pilot fase is essentieel omdat het organisaties in staat stelt om eventuele problemen vroegtijdig te identificeren en op te lossen voordat de configuratie wordt uitgerold naar alle eindpunten. Tijdens de pilot fase moeten de audit logs worden gemonitord om te controleren of de logging correct functioneert en de verwachte informatie bevat. Dit omvat het controleren van de hoeveelheid gegenereerde logs, de kwaliteit van de gelogde informatie, en eventuele prestatie-impact op de systemen. Deze monitoring is belangrijk omdat het helpt om te verifiëren dat de configuratie correct werkt en dat er geen onverwachte problemen optreden. Na succesvolle verificatie kan het beleid worden uitgerold naar alle eindpunten in de organisatie. Het is belangrijk om een gefaseerde uitrol te hanteren, waarbij eerst testgroepen worden geconfigureerd, gevolgd door productie-omgevingen. Deze gefaseerde aanpak voorkomt dat problemen zich voordoen op grote schaal en zorgt ervoor dat eventuele problemen snel kunnen worden opgelost. Tijdens de implementatie moet er ook aandacht worden besteed aan het configureren van de Windows Gebeurtenislogboek instellingen, omdat de audit gebeurtenissen worden opgeslagen in het Beveiligingsgebeurtenislogboek. Dit logboek moet voldoende grootte hebben en correct zijn geconfigureerd voor logrotatie om te voorkomen dat logs verloren gaan. De standaard grootte van het Beveiligingsgebeurtenislogboek is vaak onvoldoende voor uitgebreide audit logging, dus moet deze worden verhoogd tot minimaal 512 MB of hoger, afhankelijk van de verwachte hoeveelheid logdata. Onvoldoende logboekgrootte kan leiden tot verlies van belangrijke audit informatie, wat kan resulteren in compliance-problemen. Daarnaast moet er een mechanisme zijn voor het verzamelen en centraliseren van deze logs, wat vaak wordt gedaan via Windows Gebeurtenisdoorgifte of een SIEM-oplossing. Deze centralisatie is essentieel omdat het beveiligingsteams in staat stelt om logs van alle eindpunten op één centrale locatie te analyseren, waardoor het veel eenvoudiger wordt om patronen en afwijkingen te identificeren die anders onopgemerkt zouden blijven. Zonder centralisatie is het praktisch onmogelijk om effectief gebruik te maken van de gegenereerde audit logs. De volledige implementatiecyclus, van planning tot volledige uitrol, kan enkele weken tot maanden duren, afhankelijk van de grootte van de organisatie en de complexiteit van de omgeving. Gedurende deze periode is het belangrijk om regelmatig de voortgang te monitoren, feedback te verzamelen van gebruikers en IT-personeel, en waar nodig aanpassingen te maken aan de configuratie of de implementatiestrategie. Deze continue monitoring en aanpassing zorgt ervoor dat de implementatie succesvol is en dat eventuele problemen snel worden opgelost.
Gebruik PowerShell-script object-access-audit-removable-opslag-is-set-to-success-and-failure.ps1 (functie Invoke-Monitoring) – Monitoren.
Monitoring
Effectieve monitoring van object access audit logging voor verwijderbare opslagmedia is cruciaal om te verzekeren dat de beveiligingsmaatregelen correct functioneren en om potentiële beveiligingsincidenten tijdig te detecteren. Zonder adequate monitoring is audit logging weinig meer dan een administratieve last, omdat de gegenereerde logs niet worden gebruikt voor beveiligingsdoeleinden. Effectieve monitoring transformeert audit logs van passieve registraties naar actieve beveiligingsinstrumenten die organisaties helpen om bedreigingen te detecteren en te reageren. De monitoring activiteiten moeten meerdere aspecten omvatten, te beginnen met het verifiëren dat de audit logging daadwerkelijk actief is op alle eindpunten. Dit kan worden gedaan door regelmatig het Windows Beveiligingsgebeurtenislogboek te controleren op de aanwezigheid van Gebeurtenis-ID 4663, wat staat voor een poging tot toegang tot een object, specifiek voor verwijderbare opslagmedia. Deze verificatie is essentieel omdat het helpt om eindpunten te identificeren waar de audit logging mogelijk niet correct is geconfigureerd of waar de logging is uitgeschakeld. Zonder deze verificatie kunnen organisaties denken dat de audit logging actief is, terwijl dit in werkelijkheid niet het geval is. Daarnaast moet Gebeurtenis-ID 4656 worden gemonitord, wat aangeeft dat er een handle naar een object is aangevraagd. Deze gebeurtenissen bevatten essentiële informatie zoals de gebruikersnaam, het type toegang dat werd geprobeerd, het pad naar het verwijderbare opslagmedium, en of de toegang succesvol was of mislukte. Deze informatie is cruciaal voor forensisch onderzoek en incidentafhandeling, omdat het helpt om te reconstrueren wat er is gebeurd tijdens een beveiligingsincident. Het is belangrijk om niet alleen te controleren of de logging plaatsvindt, maar ook om de kwaliteit en volledigheid van de gelogde informatie te verifiëren. Dit betekent dat er moet worden gecontroleerd of alle relevante velden correct worden ingevuld, of de tijdstempels accuraat zijn, en of de gebruikersidentiteiten correct worden vastgelegd. Onvolledige of onjuiste loginformatie kan de effectiviteit van audit logging aanzienlijk verminderen, omdat het moeilijk of onmogelijk wordt om gebeurtenissen te reconstrueren of te analyseren. De monitoring moet ook aandacht besteden aan eindpunten waar de audit logging mogelijk niet correct is geconfigureerd of waar de logging is uitgeschakeld. Dit kan gebeuren door lokale groepbeleid configuraties die de Intune instellingen overschrijven, of door technische problemen met de Intune beleidsimplementatie. Het identificeren van deze eindpunten is belangrijk omdat het helpt om de algehele beveiligingspositie van de organisatie te verbeteren door ervoor te zorgen dat alle eindpunten correct zijn geconfigureerd. Regelmatige nalevingscontroles moeten worden uitgevoerd om te verifiëren dat alle eindpunten voldoen aan de audit logging vereisten. Deze controles kunnen worden geautomatiseerd met behulp van PowerShell scripts die de register instellingen of groepbeleid configuraties controleren. Deze automatisering is essentieel omdat handmatige controles tijdrovend zijn en foutgevoelig, vooral in organisaties met honderden of duizenden eindpunten. Geautomatiseerde controles maken het mogelijk om regelmatig en consistent te controleren of alle eindpunten voldoen aan de vereisten, zonder dat dit een aanzienlijke belasting vormt voor het IT-personeel. Naast technische monitoring is het ook belangrijk om de gegenereerde audit logs te analyseren op verdachte patronen. Dit omvat het identificeren van ongebruikelijke toegangspogingen, zoals meerdere mislukte pogingen om toegang te krijgen tot verwijderbare opslagmedia, of toegangspogingen buiten normale werkuren. Dergelijke patronen kunnen wijzen op potentiële beveiligingsincidenten of pogingen tot datalekken. Het identificeren van deze patronen is cruciaal omdat het organisaties helpt om bedreigingen vroegtijdig te detecteren en te reageren voordat er schade wordt aangericht. Het is ook belangrijk om te letten op patronen waarbij dezelfde gebruiker herhaaldelijk toegang probeert te krijgen tot verschillende verwijderbare opslagmedia, wat kan wijzen op een systematische poging tot gegevensoverdracht. Dergelijke patronen kunnen wijzen op insider threats of gecompromitteerde accounts, en moeten daarom serieus worden genomen. De monitoring moet ook rekening houden met de prestatie-impact van audit logging, omdat uitgebreide logging kan leiden tot verhoogde systeembelasting en grotere gebeurtenislogboeken. Het is belangrijk om de balans te vinden tussen uitgebreide logging voor beveiligingsdoeleinden en de impact op systeemprestaties. Dit betekent dat er regelmatig moet worden geëvalueerd of de hoeveelheid gelogde informatie optimaal is, en of er mogelijkheden zijn om de logging te verfijnen zonder de beveiligingsvoordelen te verliezen. Een goede balans zorgt ervoor dat organisaties de voordelen van audit logging kunnen benutten zonder dat dit ten koste gaat van de systeemprestaties. Tot slot moet er een proces zijn voor het regelmatig beoordelen van de monitoring resultaten en het bijwerken van de monitoring strategie op basis van geleerde lessen en veranderende beveiligingsbehoeften. Dit omvat het analyseren van incidenten die zijn gedetecteerd via de audit logs, het identificeren van trends en patronen, en het aanpassen van de monitoring aanpak op basis van nieuwe bedreigingen of veranderingen in de organisatorische omgeving. Deze continue verbetering zorgt ervoor dat de monitoring effectief blijft en dat organisaties kunnen reageren op veranderende beveiligingsbehoeften.
Gebruik PowerShell-script object-access-audit-removable-storage-is-set-to-success-and-failure.ps1 (functie Invoke-Monitoring) – Controleren.
Remediatie
Wanneer monitoring activiteiten aantonen dat object access audit logging voor verwijderbare opslagmedia niet correct is geconfigureerd of niet functioneert op bepaalde eindpunten, moet er een gestructureerd remediatieproces worden gevolgd. Dit gestructureerde proces is essentieel om ervoor te zorgen dat problemen snel en effectief worden opgelost, zonder dat dit leidt tot verdere beveiligingsrisico's of verstoringen van de dagelijkse operaties. Zonder een gestructureerd proces kunnen organisaties worstelen met het oplossen van problemen, wat kan leiden tot langdurige perioden waarin audit logging niet functioneert, wat op zijn beurt kan resulteren in compliance-problemen en verhoogde beveiligingsrisico's. Het eerste stadium van remediatie omvat het identificeren van de hoofdoorzaak van het probleem. Dit kan verschillende oorzaken hebben, zoals een mislukte Intune beleidsimplementatie, conflicterende lokale groepbeleid instellingen, of technische problemen met de Windows audit logging service. Het identificeren van de hoofdoorzaak is cruciaal omdat het helpt om de juiste oplossing te kiezen en om te voorkomen dat symptomen worden behandeld in plaats van de onderliggende oorzaak. Zonder een grondige analyse van de hoofdoorzaak kunnen organisaties tijd en middelen verspillen aan oplossingen die niet effectief zijn. Om de hoofdoorzaak te identificeren, moeten verschillende diagnostische stappen worden ondernomen. Allereerst moet worden gecontroleerd of het Intune beleid daadwerkelijk is toegewezen aan het betreffende eindpunt en of de beleidsimplementatie succesvol is voltooid. Dit kan worden geverifieerd in het Microsoft Intune beheercentrum door de apparaatnalevingsstatus en beleidstoewijzingsstatus te controleren. Deze verificatie is belangrijk omdat het helpt om te bepalen of het probleem ligt bij de beleidstoewijzing of bij de implementatie van het beleid. Als het beleid niet is toegewezen, moet dit worden gecorrigeerd voordat verdere diagnostische stappen worden ondernomen. Als het beleid correct is toegewezen maar niet wordt toegepast, kan dit wijzen op een conflict met lokale groepbeleid instellingen. In dergelijke gevallen moet de lokale groepbeleid editor worden gebruikt om te controleren of er conflicterende instellingen zijn die de Intune configuratie overschrijven. De specifieke groepbeleid instelling die moet worden gecontroleerd is 'Audit Removable Storage' onder Computer Configuration > Policies > Windows Settings > Security Settings > Advanced Audit Policy Configuration > Object Access. Deze controle is belangrijk omdat lokale groepbeleid instellingen prioriteit kunnen hebben boven Intune instellingen, wat kan leiden tot situaties waarin het Intune beleid niet wordt toegepast ondanks dat het correct is geconfigureerd. Als er een conflict wordt gevonden, moet worden bepaald of de lokale instelling moet worden verwijderd of aangepast om het Intune beleid toe te staan. In sommige gevallen kan het nodig zijn om de lokale groepbeleid te resetten of te herconfigureren. Deze beslissing moet worden genomen op basis van de specifieke behoeften van de organisatie en de redenen waarom de lokale instelling oorspronkelijk was geconfigureerd. Als het beleid correct is geconfigureerd maar de audit logging nog steeds niet werkt, kan dit wijzen op een probleem met de Windows Audit Service of de Beveiligingsgebeurtenislogboek configuratie. In dergelijke gevallen moet de Windows Gebeurtenislogboek service worden gecontroleerd en indien nodig worden herstart. Het Beveiligingsgebeurtenislogboek moet ook worden gecontroleerd op voldoende grootte en correcte configuratie voor logrotatie. Als het logboek vol is of niet correct is geconfigureerd, kan dit voorkomen dat nieuwe audit gebeurtenissen worden opgeslagen. Deze problemen kunnen leiden tot situaties waarin audit logging niet functioneert, zelfs wanneer het beleid correct is geconfigureerd. Na het identificeren en oplossen van de hoofdoorzaak, moet het eindpunt opnieuw worden gecontroleerd om te verifiëren dat de audit logging nu correct functioneert. Dit omvat het uitvoeren van test toegangspogingen tot verwijderbare opslagmedia en het verifiëren dat de bijbehorende audit gebeurtenissen correct worden gegenereerd en opgeslagen. Deze verificatie is essentieel omdat het helpt om te bevestigen dat de remediatie succesvol is en dat de audit logging nu correct functioneert. Zonder deze verificatie kunnen organisaties denken dat het probleem is opgelost, terwijl dit in werkelijkheid niet het geval is. Als de remediatie succesvol is, moet het eindpunt worden teruggezet in de normale monitoring cyclus. Als de remediatie niet succesvol is, moet het probleem worden geëscaleerd naar een hoger niveau van technische ondersteuning, mogelijk met betrokkenheid van Microsoft ondersteuning of externe specialisten. Deze escalatie is belangrijk omdat het helpt om ervoor te zorgen dat complexe problemen worden opgelost door de juiste expertise, zonder dat dit leidt tot langdurige perioden waarin audit logging niet functioneert.
Gebruik PowerShell-script object-access-audit-removable-storage-is-set-to-success-and-failure.ps1 (functie Invoke-Remediation) – Herstellen.
Compliance en Controle
Object access audit logging voor verwijderbare opslagmedia speelt een cruciale rol in het voldoen aan verschillende compliance vereisten en beveiligingsstandaarden die van toepassing zijn op Nederlandse overheidsorganisaties. Deze compliance vereisten zijn niet alleen administratieve verplichtingen, maar vormen een essentieel onderdeel van een effectieve beveiligingsstrategie die organisaties helpt om bedreigingen te detecteren, te reageren en te voorkomen. Zonder adequate audit logging kunnen organisaties niet voldoen aan deze vereisten, wat kan leiden tot compliance-problemen, boetes en reputatieschade. De implementatie van deze audit logging maatregel draagt direct bij aan het voldoen aan de BIO Baseline Informatiebeveiliging Overheid, specifiek controle 16.01 die betrekking heeft op gebeurtenissen logging en audittrails. Deze controle vereist dat organisaties alle relevante beveiligingsgebeurtenissen loggen en bewaren voor audit doeleinden, met specifieke aandacht voor activiteiten die kunnen wijzen op beveiligingsincidenten of schendingen van beveiligingsbeleid. De BIO Baseline is specifiek ontwikkeld voor Nederlandse overheidsorganisaties en vormt de basis voor informatiebeveiliging binnen de publieke sector. Door zowel succesvolle als mislukte toegangspogingen tot verwijderbare opslagmedia te loggen, kunnen organisaties aantonen dat zij voldoen aan deze vereiste en beschikken over de benodigde audittrails voor forensisch onderzoek. Deze trails zijn essentieel voor het reconstrueren van gebeurtenissen tijdens incidentafhandeling, het identificeren van de omvang van een beveiligingsincident, en het verzamelen van bewijs voor interne of externe audits. Zonder deze trails is het praktisch onmogelijk om te bepalen wat er is gebeurd tijdens een beveiligingsincident, wat kan leiden tot onvolledige incidentafhandeling en verhoogde risico's. Daarnaast is deze maatregel relevant voor ISO 27001:2022 compliance, specifiek controle A.12.4.1 die betrekking heeft op logging en monitoring. Deze controle vereist dat organisaties logging en monitoring mechanismen implementeren om beveiligingsincidenten te detecteren en te reageren. ISO 27001:2022 is een internationaal erkende standaard voor informatiebeveiligingsmanagement die door veel organisaties wordt gebruikt als basis voor hun beveiligingsprogramma. De audit logs voor verwijderbare opslagmedia vormen een essentieel onderdeel van deze monitoring capaciteit, omdat zij zichtbaarheid bieden in potentiële datalekken en ongeautoriseerde gegevensoverdracht. Deze zichtbaarheid is cruciaal omdat verwijderbare opslagmedia vaak worden gebruikt bij datalekken, en zonder adequate logging zouden dergelijke incidenten onopgemerkt kunnen blijven totdat de schade aanzienlijk is geworden. Het vroegtijdig detecteren van datalekken is essentieel om de impact te minimaliseren en om snel te kunnen reageren. Voor organisaties die moeten voldoen aan de Algemene Verordening Gegevensbescherming (AVG) is audit logging ook van groot belang, omdat het helpt bij het aantonen van technische en organisatorische maatregelen die zijn genomen om persoonsgegevens te beschermen, zoals vereist in Artikel 32 van de AVG. De AVG is van toepassing op alle organisaties die persoonsgegevens verwerken, en vereist dat organisaties passende technische en organisatorische maatregelen nemen om persoonsgegevens te beschermen. De audit logs kunnen worden gebruikt om te verifiëren dat alleen geautoriseerde personen toegang hebben tot persoonsgegevens en om datalekken te detecteren en te rapporteren, zoals vereist in Artikel 33 en 34 van de AVG. Dit is vooral belangrijk omdat AVG schendingen kunnen leiden tot aanzienlijke boetes en reputatieschade, en adequate logging helpt organisaties om te voldoen aan hun verplichtingen en om snel te reageren op datalekken. Het snel detecteren en rapporteren van datalekken is essentieel om te voldoen aan de AVG vereisten en om de impact van datalekken te minimaliseren. Naast deze specifieke compliance vereisten is uitgebreide beleidsdocumentatie essentieel om aan te tonen dat de organisatie de juiste beveiligingsmaatregelen heeft geïmplementeerd. Deze documentatie moet het beveiligingsbeleid beschrijven dat het gebruik van verwijderbare opslagmedia reguleert, de technische implementatie van audit logging uitleggen, en de processen beschrijven voor het beheren, analyseren en bewaren van audit logs. De documentatie moet ook duidelijk maken hoe de audit logs worden gebruikt voor beveiligingsmonitoring en incidentafhandeling, en hoe zij bijdragen aan de algehele beveiligingspositie van de organisatie. Deze documentatie is niet alleen belangrijk voor interne doeleinden, maar ook voor externe audits en certificeringen, waarbij auditors willen zien dat de organisatie bewust is van haar beveiligingsverantwoordelijkheden en deze serieus neemt. Goede documentatie helpt auditors om te begrijpen hoe de organisatie omgaat met beveiligingsrisico's en hoe zij voldoet aan compliance vereisten. Regelmatige audits moeten worden uitgevoerd om te verifiëren dat de audit logging correct functioneert en dat de organisatie voldoet aan alle relevante compliance vereisten. Deze audits moeten worden gedocumenteerd en de resultaten moeten worden gebruikt om de beveiligingsmaatregelen continu te verbeteren. Dit betekent dat er niet alleen moet worden gecontroleerd of de technische implementatie correct is, maar ook of de processen rondom het beheren en analyseren van logs effectief zijn, en of er verbeteringen mogelijk zijn die de algehele beveiligingspositie van de organisatie kunnen versterken. Deze continue verbetering is essentieel omdat beveiligingsbedreigingen en compliance vereisten voortdurend evolueren, en organisaties moeten hun beveiligingsmaatregelen aanpassen om effectief te blijven.
Compliance & Frameworks
- CIS M365: Control 18.9.19.2 (L1) - CIS Security Benchmark aanbevelingen
- BIO: 16.01 - BIO Baseline Informatiebeveiliging Overheid - 16.01 - Gebeurtenissen logging en audittrails
- ISO 27001:2022: A.12.4.1 - ISO 27001:2022 - Gebeurtenissen logging en audittrails
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Intune Audit Logging: Removable Storage Access
.DESCRIPTION
CIS - Removable storage access Success and Failure.
.NOTES
Filename: audit-removable-storage.ps1|Author: Nederlandse Baseline voor Veilige Cloud|AuditPol: Removable Storage|Expected: Success and Failure
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $Category = "Removable Storage"; $ExpectedValue = "Success and Failure"
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance {
$r = [PSCustomObject]@{ScriptName = "removable-storage.ps1"; PolicyName = "Removable Storage Audit"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; function Invoke-Revert { auditpol /set /subcategory:"$Category" /success:disable /failure:disable | Out-Null }
try { $audit = auditpol /get /subcategory:"$Category" /r | ConvertFrom-Csv; $setting = $audit.'Inclusion Setting'; $r.CurrentValue = $setting; if ($setting -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Audit: $setting" }else { $r.Details += "Audit: $setting" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r
}
function Invoke-Remediation { auditpol /set /subcategory:"$Category" /success:enable /failure:enable | Out-Null; Write-Host "Removable Storage: Success and Failure" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { auditpol /set /subcategory:"$Category" /success:disable /failure:disable | Out-Null }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
High: Geen tracking van authenticatie en toegang tot verwijderbare opslagmedia, waardoor datalekken en beveiligingsincidenten niet kunnen worden gedetecteerd of onderzocht.
Management Samenvatting
Schakel audit logging in voor verwijderbare opslagmedia om volledige zichtbaarheid te krijgen in toegangspogingen en te voldoen aan compliance vereisten.
- Implementatietijd: 2 uur
- FTE required: 0.01 FTE