💼 Management Samenvatting
Het configureren van auditlogging voor wijzigingen aan Windows Firewall-regels op beleidsniveau vormt een essentieel onderdeel van een robuuste beveiligingsstrategie voor Windows endpoints binnen overheidsorganisaties.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
7/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Windows
Windows Firewall-regels vertegenwoordigen een kritiek beveiligingslaag die ongeautoriseerde netwerkverbindingen blokkeert. Wijzigingen aan deze regels kunnen de beveiligingspostuur van een organisatie significant beïnvloeden. Zonder adequate auditlogging is het onmogelijk om te achterhalen wie, wanneer en waarom firewall-regels zijn gewijzigd, wat een ernstig risico vormt voor de beveiliging en compliance. Deze instelling maakt deel uit van de Windows Security Baseline en beschermt tegen bekende aanvalsvectoren door volledige transparantie te bieden over alle wijzigingen aan de firewallconfiguratie. Voor Nederlandse overheidsorganisaties is deze logging bovendien essentieel voor het voldoen aan de eisen vanuit de BIO (Baseline Informatiebeveiliging Overheid) en AVG-verplichtingen.
PowerShell Modules Vereist
Primary API: Graph
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
Dit beveiligingsregel configureert de auditlogging voor wijzigingen aan MPSSVC (Microsoft Protection Service) regelwijzigingen op beleidsniveau. Specifiek wordt de auditpolicy ingesteld om zowel succesvolle als mislukte wijzigingspogingen te loggen. De configuratie wordt uitgevoerd via Microsoft Intune apparaatconfiguratiebeleid of compliance policies, waardoor Windows endpoints worden beveiligd volgens security best practices. Deze aanpak zorgt ervoor dat alle wijzigingen aan Windows Firewall-regels op beleidsniveau volledig worden vastgelegd in de Windows Event Log, waardoor security teams en auditors een compleet overzicht hebben van alle firewallconfiguratiewijzigingen binnen de organisatie.
Vereisten
Voor de implementatie van auditlogging voor MPSSVC-regelwijzigingen op beleidsniveau zijn specifieke technische en organisatorische vereisten noodzakelijk die ervoor zorgen dat de implementatie succesvol kan worden uitgevoerd en dat de auditlogging op een betrouwbare wijze functioneert binnen de bestaande IT-infrastructuur van de organisatie. Deze vereisten omvatten zowel hardware- en softwarecomponenten als organisatorische processen en procedures die essentieel zijn voor het waarborgen van een effectieve beveiligingsmonitoring en compliance-naleving.
De primaire technische vereiste betreft Microsoft Intune, dat fungeert als het centrale beheerplatform voor Windows endpoints binnen moderne enterprise-omgevingen. Organisaties moeten beschikken over een actief Microsoft Intune-abonnement met de juiste licentieverlening die de benodigde functionaliteit dekt. Voor Nederlandse overheidsorganisaties is dit doorgaans geregeld via Microsoft 365 Government-licenties of Enterprise-licenties die volledige Intune-functionaliteit omvatten. De Intune-omgeving moet zodanig zijn geconfigureerd dat apparaatconfiguratiebeleidsregels kunnen worden toegepast op de doelgroep van Windows endpoints. Dit vereist dat de Intune-tenant correct is ingesteld, dat de benodigde Microsoft Entra ID-connectiviteit actief is, en dat er voldoende service health-capaciteit beschikbaar is voor het distribueren van beleidsconfiguraties naar alle endpoints. Bovendien moet de Intune-omgeving zijn geconfigureerd voor co-management of volledige Mobile Device Management, afhankelijk van de organisatorische behoeften en bestaande infrastructuur.
Daarnaast is het essentieel dat alle Windows endpoints die onder deze policy vallen, correct zijn ingeschreven in Microsoft Intune en geregistreerd staan als beheerde apparaten. Dit betekent dat de apparaten zijn aangesloten bij Microsoft Entra ID (voorheen Azure Active Directory) en beheerd worden via Microsoft Intune Mobile Device Management of Microsoft Intune PC Management, afhankelijk van het type apparaat en de organisatorische configuratie. Zonder deze inschrijving kan het apparaatconfiguratiebeleid niet worden toegepast, waardoor de auditlogging niet actief wordt en de beveiligingsmonitoring incompleet blijft. Het inschrijvingsproces vereist dat endpoints zijn ingelogd met een Microsoft Entra ID-account of zijn toegevoegd aan Microsoft Entra ID via automatische registratie. Voor hybride omgevingen met on-premises Active Directory kan dit worden gerealiseerd via Microsoft Entra Connect, waardoor apparaten automatisch worden gesynchroniseerd en geregistreerd. Het is belangrijk om periodiek te verifiëren dat alle endpoints correct zijn ingeschreven en dat de inschrijvingsstatus up-to-date blijft, omdat onjuiste inschrijving kan leiden tot compliance-gaten in de beveiligingsmonitoring.
Vanuit een technisch perspectief vereist deze configuratie Windows 10 versie 1903 of hoger, of Windows 11, omdat oudere versies van Windows mogelijk niet alle benodigde auditloggingfuncties ondersteunen die vereist zijn voor MPSSVC-regelwijzigingsauditlogging. De Advanced Audit Policy Configuration die wordt gebruikt voor deze logging-functionaliteit is volledig geïntegreerd in moderne Windows-versies, maar kan beperkt of onvolledig zijn in eerdere versies. Organisaties met endpoints die nog oudere Windows-versies draaien, moeten een upgrade-plan opstellen om ervoor te zorgen dat alle apparaten voldoen aan de minimale versievereisten. Bovendien moeten de endpoints beschikken over voldoende schijfruimte voor het opslaan van auditlogs, omdat Windows Event Log standaard limieten heeft voor logbestandsgrootte die mogelijk onvoldoende zijn voor uitgebreide auditlogging. De standaard Security Event Log-grootte is doorgaans 20 MB voor Windows 10 en 11, maar voor uitgebreide auditlogging kan het nodig zijn deze limiet aan te passen naar 100 MB of hoger, afhankelijk van het aantal endpoints, de frequentie van firewallconfiguratiewijzigingen, en de gewenste logretentieperiode. Naast schijfruimte moet ook rekening worden gehouden met de processor- en geheugenimpact van uitgebreide auditlogging, hoewel deze impact doorgaans minimaal is voor moderne hardware.
Voor de implementatie en het beheer is toegang tot Microsoft Intune Admin Center vereist, de webgebaseerde beheerconsole waar alle Intune-configuraties kunnen worden beheerd. De persoon die de policy implementeert, moet beschikken over de rol Intune Service Administrator, Global Administrator, of een aangepaste rol met specifieke rechten voor apparaatconfiguratiebeleidsregels. Deze beheerrechten zijn essentieel om de policy te kunnen maken, configureren, toewijzen aan doelgroepen, en monitoren op compliance-status. De Intune Service Administrator-rol biedt volledige toegang tot alle Intune-functionaliteit, terwijl aangepaste rollen kunnen worden geconfigureerd om alleen specifieke beheertaken toe te staan volgens het principe van least privilege. Het is belangrijk om te verifiëren dat de beheerdersaccounts zelf adequaat zijn beveiligd met multi-factor authenticatie en regelmatige access reviews, omdat compromittering van een beheerdersaccount kan leiden tot onbevoegde wijzigingen aan beveiligingsconfiguraties.
Organisatorisch gezien is het belangrijk dat er duidelijke procedures bestaan voor het beheren van auditlogs, inclusief het verzamelen, analyseren, archiveren en vernietigen van auditloggegevens. Security teams moeten in staat zijn om regelmatig de auditlogs te reviewen en te analyseren op tekenen van ongeautoriseerde of verdachte activiteiten. Dit vereist kennis van Windows Event Log-analyse, het kunnen identificeren van relevante Event ID's zoals 4719 voor MPSSVC-regelwijzigingen, en de mogelijkheid om relevante gebeurtenissen te correleren die wijzen op ongeautoriseerde of verdachte wijzigingen aan firewall-regels. Bovendien moet er een gedocumenteerde incident response-procedure zijn die beschrijft welke acties worden ondernomen wanneer verdachte wijzigingen worden gedetecteerd in de auditlogs, inclusief escalatiepaden, verantwoordelijkheden, en tijdsframes voor respons. Deze procedures moeten regelmatig worden getest en bijgewerkt om ervoor te zorgen dat security teams effectief kunnen reageren op beveiligingsincidenten. Het is ook belangrijk om training te bieden aan security analysts over het analyseren van Windows Firewall-auditlogs en het identificeren van verdachte patronen, omdat effectieve loganalyse essentieel is voor het detecteren van beveiligingsbedreigingen.
Voor compliance-doeleinden moet de organisatie beschikken over een gedocumenteerde data retention policy die duidelijk aangeeft hoe lang auditlogs moeten worden bewaard, onder welke omstandigheden logs kunnen worden verwijderd, en wie verantwoordelijk is voor het beheer van logretentie. Voor Nederlandse overheidsorganisaties geldt vaak een bewaartermijn van minimaal één jaar voor auditlogs, conform BIO-richtlijnen en AVG-verplichtingen, hoewel specifieke sectoren of compliance-frameworks langere bewaartermijnen kunnen vereisen. Deze bewaartermijn moet technisch worden ondersteund door voldoende opslagcapaciteit op endpoints zelf, gecentraliseerde logaggregatie-infrastructuur zoals een SIEM-systeem, en eventueel archiveringsoplossingen voor langetermijnopslag van auditlogs. Het is belangrijk om te verifiëren dat de technische implementatie de compliance-vereisten daadwerkelijk ondersteunt en dat er geen automatische logverwijdering plaatsvindt voordat de vereiste bewaartermijn is verstreken. Organisaties moeten ook kunnen aantonen tijdens audits dat de logretentiepolicy daadwerkelijk wordt nageleefd en dat er processen zijn voor het archiveren en herstellen van oude auditlogs wanneer dit nodig is voor forensisch onderzoek of compliance-verificatie.
Ten slotte is het belangrijk dat de organisatie beschikt over monitoring- en alerting-capaciteiten die verder gaan dan alleen het vastleggen van auditlogs. Hoewel de auditlogging zelf de wijzigingen vastlegt in de Windows Event Log, zijn aanvullende monitoringoplossingen nodig om real-time te waarschuwen wanneer kritieke wijzigingen worden gedetecteerd, om verdachte patronen te identificeren die wijzen op beveiligingsincidenten, en om compliance-rapportages te genereren. Dit kan worden gerealiseerd via Security Information and Event Management (SIEM) systemen zoals Azure Sentinel, Splunk, of andere enterprise SIEM-platforms die de Windows Event Logs kunnen verzamelen via agents of log forwarding, kunnen analyseren met behulp van geavanceerde query-talen, en automatisch alerts kunnen genereren bij verdachte activiteiten. De SIEM-configuratie moet regelmatig worden bijgewerkt om nieuwe bedreigingssignalen te detecteren en om false positives te minimaliseren die kunnen leiden tot alert fatigue bij security teams. Bovendien moeten de SIEM-alerts worden geïntegreerd in bestaande security operations center (SOC) workflows, zodat security analysts tijdig kunnen reageren op potentiële bedreigingen en beveiligingsincidenten effectief kunnen afhandelen.
Implementatie
De implementatie van auditlogging voor MPSSVC-regelwijzigingen op beleidsniveau vereist een gestructureerde aanpak die begint met een grondige planning en voorbereiding om ervoor te zorgen dat de configuratie correct wordt toegepast en dat alle benodigde componenten op hun plaats zijn. Voordat de daadwerkelijke configuratie wordt uitgevoerd, is het belangrijk om de doelgroep van endpoints te identificeren en te valideren dat alle apparaten voldoen aan de technische vereisten zoals beschreven in de vereisten-sectie. Dit omvat het inventariseren van alle Windows endpoints die onder de auditlogging policy zullen vallen, het verifiëren dat alle apparaten correct zijn ingeschreven in Microsoft Intune, het controleren van de Windows-versies om ervoor te zorgen dat ze voldoen aan de minimale vereisten, en het bevestigen dat er voldoende schijfruimte beschikbaar is voor auditlogopslag. Bovendien moet worden gecontroleerd of de beheerdersaccounts de benodigde rechten hebben om apparaatconfiguratiebeleid te implementeren en of er adequate monitoring- en alerting-capaciteiten beschikbaar zijn voor het analyseren van de gegenereerde auditlogs.
De implementatie start met het aanmaken van een nieuw apparaatconfiguratiebeleid in Microsoft Intune Admin Center, de centrale beheerconsole voor alle Intune-configuraties. Navigeer naar Endpoints > Apparaatconfiguratie > Beleidsregels en selecteer Profiel maken om een nieuw apparaatconfiguratieprofiel aan te maken. Kies Windows 10 en later als platform om ervoor te zorgen dat het beleid alleen van toepassing is op de relevante Windows-versies, en selecteer de categorie Endpointbeveiliging die gespecialiseerde beveiligingsinstellingen bevat voor Windows endpoints. Binnen deze categorie moet worden gekozen voor de sectie Windows Defender Firewall of Audit-beleid, afhankelijk van de beschikbare opties in de specifieke Intune-versie. Het is belangrijk om een duidelijke en beschrijvende naam te kiezen voor het beleid, zoals 'Auditlogging MPSSVC-regelwijzigingen - Productie', zodat het beleid gemakkelijk kan worden geïdentificeerd in lijsten en rapporten. Voeg ook een beschrijving toe die uitlegt wat het beleid doet en waarom het is geïmplementeerd, wat waardevol is voor toekomstige beheerders en auditors.
Voor de configuratie van MPSSVC-regelwijzigingsauditlogging moet de specifieke auditpolicy worden ingesteld die correspondeert met de Advanced Audit Policy Configuration in Windows. De technische implementatie vereist het configureren van de Advanced Audit Policy Configuration, specifiek voor Policy Change auditing op het niveau van MPSSVC rule changes, wat betekent dat alle wijzigingen aan Windows Firewall-regels op beleidsniveau worden gelogd. Dit wordt gerealiseerd door de registry-waarde aan te passen die correspondeert met de auditpolicy instelling, specifiek de registry-key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies\Microsoft\Windows\EventLog\Audit\PolicyChange, waarbij de waarde AuditPolicyChangeSubCategory gelijk moet worden gesteld aan de juiste instelling. Via Intune kan dit worden gerealiseerd door gebruik te maken van Administrative Templates of door Custom OMA-URI-instellingen te configureren die de registry-waarden rechtstreeks aanpassen. Alternatief kan gebruik worden gemaakt van Group Policy Object (GPO) instellingen die via Intune worden gepusht naar de endpoints, wat een meer gestructureerde aanpak biedt die gebruik maakt van vooraf gedefinieerde GPO-instellingen die door Microsoft zijn getest en gevalideerd.
De policy moet worden geconfigureerd om zowel succesvolle als mislukte wijzigingspogingen te loggen, wat essentieel is voor complete beveiligingsmonitoring en compliance-naleving. Dit betekent dat de auditpolicy moet worden ingesteld op Success and Failure, waardoor zowel legitieme wijzigingen die succesvol zijn doorgevoerd als pogingen tot ongeautoriseerde wijzigingen die zijn geblokkeerd of mislukt zijn, worden vastgelegd in de Windows Event Log. Deze dubbele logging is essentieel voor zowel security monitoring als compliance-doeleinden, omdat het security teams in staat stelt om zowel geautoriseerde activiteiten te verifiëren als ongeautoriseerde toegangspogingen te detecteren. Succesvolle wijzigingen zijn belangrijk voor het volgen van wie firewall-configuraties heeft gewijzigd en wanneer, wat waardevol is voor change management en compliance-audits. Mislukte wijzigingen kunnen wijzen op pogingen tot ongeautoriseerde toegang, insider threats, of gecompromitteerde accounts die proberen beveiligingsconfiguraties te manipuleren. Door beide typen gebeurtenissen te loggen, krijgen security teams een compleet beeld van alle activiteiten rondom firewall-configuratiewijzigingen.
Na het configureren van de policy-instellingen moet het beleid worden toegewezen aan de juiste doelgroep van Windows endpoints die onder deze auditlogging moeten vallen. Dit kan worden gedaan via beveiligingsgroepen in Microsoft Entra ID, waarbij alle Windows endpoints worden opgenomen in een specifieke beveiligingsgroep die vervolgens wordt toegewezen aan het apparaatconfiguratiebeleid. Het is belangrijk om te zorgen dat de beveiligingsgroepen correct zijn geconfigureerd en up-to-date blijven, zodat nieuwe endpoints automatisch onder de policy vallen wanneer ze worden toegevoegd aan de organisatie. Het is sterk aan te raden om te testen met een beperkte testgroep bestaande uit enkele representatieve endpoints voordat de policy wordt uitgerold naar alle endpoints in productie. Deze gefaseerde uitrol voorkomt dat eventuele configuratiefouten grote impact hebben op de volledige organisatie en stelt beheerders in staat om eventuele problemen te identificeren en op te lossen voordat de policy wordt uitgerold naar alle endpoints. De testfase moet minimaal één week duren en moet omvatten het verifiëren dat de auditlogging correct werkt op de test-endpoints, dat er geen negatieve impact is op systeemprestaties, en dat de gegenereerde logs correct worden vastgelegd en kunnen worden geanalyseerd.
Voor de automatisering van de implementatie en het monitoren van de configuratie is een PowerShell-script beschikbaar dat kan worden gebruikt om te verifiëren dat de policy correct is toegepast en om te controleren of de auditlogging daadwerkelijk actief is op de endpoints. Dit script kan worden uitgevoerd via Microsoft Intune Proactive Remediation, via een Custom Script Extension, of via een andere geautomatiseerde methode die PowerShell-scripts kan uitvoeren op endpoints. Het script moet controleren of de benodigde registry-instellingen correct zijn geconfigureerd, of de auditlogging daadwerkelijk actief is door een testgebeurtenis te genereren en te verifiëren dat deze wordt gelogd, en of er voldoende schijfruimte beschikbaar is voor auditlogopslag. Het gebruik van geautomatiseerde scripts verhoogt de betrouwbaarheid van de implementatie aanzienlijk en maakt het mogelijk om op grote schaal te implementeren zonder handmatige tussenkomst op elk individueel apparaat, wat cruciaal is voor organisaties met honderden of duizenden endpoints. Bovendien kunnen scripts worden geconfigureerd om periodiek te draaien en automatisch te rapporteren over de compliance-status van endpoints, waardoor security teams continu inzicht hebben in welke endpoints correct zijn geconfigureerd en welke mogelijk aandacht nodig hebben.
Na de implementatie moet worden geverifieerd dat de auditlogging correct functioneert door middel van een grondige testprocedure die bevestigt dat alle componenten correct werken en dat de gegenereerde logs bruikbaar zijn voor security monitoring. Dit wordt gedaan door een gecontroleerde testwijziging uit te voeren aan een Windows Firewall-regel op een testapparaat, bijvoorbeeld door een nieuwe firewall-regel aan te maken of een bestaande regel te wijzigen, en vervolgens te controleren of deze wijziging correct wordt gelogd in de Windows Event Log. De relevante gebeurtenissen kunnen worden gevonden in de Security log met Event ID 4719 voor wijzigingen aan firewall-regels op beleidsniveau. Deze verificatie is cruciaal om te garanderen dat de auditlogging daadwerkelijk operationeel is en dat security teams kunnen vertrouwen op de gegenereerde logs voor security monitoring en incident response. De verificatie moet ook controleren of de loggebeurtenissen de benodigde informatie bevatten, zoals de gebruiker die de wijziging heeft doorgevoerd, het tijdstip van de wijziging, de specifieke firewall-regel die is gewijzigd, en de oude en nieuwe configuratiewaarden. Als de verificatie aantoont dat de auditlogging niet correct werkt, moeten de configuraties worden herzien en gecorrigeerd voordat de policy wordt uitgerold naar productie-endpoints.
Het is aan te raden om na de implementatie uitgebreide documentatie te maken waarin wordt beschreven welke endpoints onder de policy vallen, wanneer de policy is geïmplementeerd, hoe de auditlogs kunnen worden geanalyseerd, en welke procedures moeten worden gevolgd bij het detecteren van verdachte activiteiten. Deze documentatie is waardevol voor toekomstige audits, helpt security teams bij het effectief benutten van de gegenereerde auditlogs voor security monitoring en compliance-doeleinden, en zorgt ervoor dat kennis niet verloren gaat wanneer teamleden de organisatie verlaten. De documentatie moet ook informatie bevatten over hoe de policy kan worden aangepast indien nodig, welke troubleshooting-stappen kunnen worden ondernomen wanneer problemen worden geconstateerd, en hoe nieuwe teamleden kunnen worden getraind in het gebruik van de auditlogging-functionaliteit. Bovendien moet de documentatie regelmatig worden bijgewerkt om ervoor te zorgen dat deze up-to-date blijft met wijzigingen in de configuratie of nieuwe inzichten die zijn verkregen tijdens het gebruik van de auditlogging.
Gebruik PowerShell-script policy-change-audit-mpssvc-rule-level-policy-change-is-set-to-success-and-failure.ps1 (functie Invoke-Monitoring) – Monitoren.
Monitoring
Effectieve monitoring van auditlogging voor MPSSVC-regelwijzigingen is essentieel om te garanderen dat de logging daadwerkelijk functioneert zoals bedoeld en dat security teams tijdig kunnen reageren op verdachte activiteiten die kunnen wijzen op beveiligingsincidenten of ongeautoriseerde toegangspogingen. Monitoring omvat zowel technische verificatie dat de logging actief is en correct functioneert op alle endpoints, als continue analyse van de gegenereerde auditlogs om potentiële security incidents te detecteren, te onderzoeken en effectief te kunnen reageren. Zonder adequate monitoring is auditlogging weinig meer dan een compliance-checkbox die geen echte beveiligingswaarde biedt, omdat verdachte activiteiten niet worden gedetecteerd en beveiligingsincidenten niet tijdig kunnen worden afgehandeld. Effectieve monitoring vereist een combinatie van geautomatiseerde tools voor logaggregatie en analyse, goed opgeleide security analysts die de logs kunnen interpreteren, en gestructureerde processen voor incident response wanneer verdachte activiteiten worden gedetecteerd.
De primaire monitoringactiviteit betreft het regelmatig controleren of de auditpolicy daadwerkelijk actief is op alle endpoints die onder de policy vallen en of de configuratie correct is toegepast zonder onbedoelde wijzigingen of degradaties. Dit kan worden gerealiseerd via Microsoft Intune compliance reports, die aangeven of endpoints compliant zijn met het configuratiebeleid en of de policy correct is toegepast. Deze compliance reports moeten regelmatig worden gecontroleerd, bij voorkeur wekelijks, om ervoor te zorgen dat alle endpoints compliant blijven en dat eventuele configuratiewijzigingen of policy-degradaties tijdig worden gedetecteerd. Daarnaast kan via PowerShell-scripts worden geverifieerd of de registry-instellingen die corresponderen met de auditpolicy correct zijn geconfigureerd op individuele endpoints, wat meer gedetailleerde inzichten biedt dan compliance reports alleen. Deze verificatie moet regelmatig worden uitgevoerd, bij voorkeur wekelijks of maandelijks afhankelijk van de grootte van de endpoint-populatie en de beschikbare resources, om te garanderen dat de auditlogging blijft functioneren na systeemupdates, configuratiewijzigingen, of andere wijzigingen aan endpoints die mogelijk de auditlogging-configuratie kunnen beïnvloeden. Het is belangrijk om endpoints die niet-compliant zijn te identificeren, te onderzoeken waarom ze niet-compliant zijn, en corrigerende maatregelen te nemen om ervoor te zorgen dat alle endpoints correct zijn geconfigureerd.
De gegenereerde auditlogs bevinden zich in de Windows Security Event Log op elk endpoint, waar ze worden opgeslagen totdat ze worden gearchiveerd of verwijderd volgens de geconfigureerde retentiebeleid. De relevante gebeurtenissen hebben Event ID 4719, wat correspondeert met wijzigingen aan firewall-regels op beleidsniveau, en bevatten belangrijke informatie zoals de gebruiker die de wijziging heeft doorgevoerd, het tijdstip van de wijziging, de specifieke firewall-regel die is gewijzigd, en de oude en nieuwe configuratiewaarden. Security teams moeten deze logs regelmatig analyseren om te identificeren welke wijzigingen zijn doorgevoerd, wie deze wijzigingen heeft uitgevoerd, wanneer deze plaatsvonden, en of deze wijzigingen legitiem zijn of mogelijk wijzen op beveiligingsincidenten. Voor effectieve analyse is het sterk aan te raden om de logs te centraliseren via een SIEM-oplossing zoals Azure Sentinel, Splunk, of een ander enterprise SIEM-platform, waardoor cross-endpoint analyse mogelijk wordt en verdachte patronen kunnen worden gedetecteerd die zich mogelijk over meerdere endpoints verspreiden. Centralisatie maakt het ook mogelijk om geavanceerde correlatie-analyse uit te voeren waarbij firewall-configuratiewijzigingen worden gecorreleerd met andere beveiligingsgebeurtenissen zoals authentificatiepogingen, netwerkactiviteit, of andere security events, wat waardevolle inzichten kan bieden in potentiële beveiligingsincidenten.
Bij de analyse van auditlogs moet worden gelet op verschillende indicatoren die kunnen wijzen op security incidents of ongeautoriseerde activiteiten die verder onderzoek vereisen. Ongeplande wijzigingen aan firewall-regels, vooral tijdens niet-werkuren, tijdens vakantieperiodes, of door gebruikers zonder administratieve rechten, kunnen wijzen op compromittering van accounts, insider threats, of ongeautoriseerde toegang tot beheeraccounts. Mislukte pogingen om firewall-regels te wijzigen kunnen eveneens verdacht zijn en kunnen indiceren dat een aanvaller probeert de beveiliging te omzeilen door firewall-configuraties te manipuleren. Patterns zoals herhaalde wijzigingen in korte tijd, wijzigingen aan kritieke firewall-regels die externe toegang mogelijk maken of die beveiligingscontroles uitschakelen, of wijzigingen gevolgd door verdachte netwerkactiviteit zoals ongeautoriseerde outbound-verbindingen, moeten prioriteit krijgen in de analyse en kunnen wijzen op actieve beveiligingsincidenten. Bovendien moeten wijzigingen die niet overeenkomen met bekende change management-processen of die niet zijn goedgekeurd via de standaard goedkeuringsprocedures, nader worden onderzocht om te verifiëren dat ze legitiem zijn. Het is belangrijk om baseline-patronen te ontwikkelen voor normale firewall-configuratiewijzigingen, zodat afwijkingen van deze patronen gemakkelijk kunnen worden geïdentificeerd en verder kunnen worden onderzocht.
Voor geautomatiseerde monitoring en alerting is het essentieel om SIEM-regels of detection rules te configureren die automatisch waarschuwen wanneer specifieke gebeurtenissen worden gedetecteerd die mogelijk wijzen op beveiligingsincidenten of ongeautoriseerde activiteiten. Deze alerts kunnen worden geconfigureerd voor verschillende scenario's zoals wijzigingen aan firewall-regels buiten kantooruren wanneer er normaal gesproken geen configuratiewijzigingen worden verwacht, wijzigingen door onbekende of niet-geautoriseerde accounts die niet op de whitelist staan van gebruikers die firewall-configuraties mogen wijzigen, herhaalde mislukte pogingen om firewall-regels te wijzigen die kunnen wijzen op brute-force-aanvallen of accountcompromittering, of wijzigingen die kritieke beveiligingscontroles uitschakelen zoals firewall-regels die alle inkomende verbindingen blokkeren. De alerting moet worden geïntegreerd in het bestaande security operations center (SOC) workflow, zodat security analysts tijdig kunnen reageren op potentiële threats en beveiligingsincidenten effectief kunnen afhandelen. Het is belangrijk om alert-tresholds zorgvuldig te configureren om false positives te minimaliseren die kunnen leiden tot alert fatigue, terwijl er tegelijkertijd voor wordt gezorgd dat echte beveiligingsincidenten niet worden gemist. Alert-regels moeten regelmatig worden gereviewd en bijgewerkt op basis van feedback van security analysts en nieuwe bedreigingsinformatie.
Naast real-time monitoring is het belangrijk om periodieke reviews uit te voeren van de auditlogs voor compliance- en audit-doeleinden die verder gaan dan alleen incidentdetectie. Deze reviews moeten worden gedocumenteerd en kunnen worden gebruikt tijdens externe audits om aan te tonen dat de organisatie adequaat monitort op wijzigingen aan beveiligingsconfiguraties en dat er processen zijn voor het analyseren en reageren op verdachte activiteiten. Voor Nederlandse overheidsorganisaties is dit met name relevant voor BIO-compliance en voor het voldoen aan AVG-verplichtingen met betrekking tot security monitoring en logging, waarbij organisaties moeten kunnen aantonen dat ze passende technische en organisatorische maatregelen hebben geïmplementeerd om beveiligingsincidenten te detecteren en te reageren. De periodieke reviews moeten worden uitgevoerd op kwartaalbasis of minstens halfjaarlijks, en moeten omvatten een analyse van alle firewall-configuratiewijzigingen in de betreffende periode, een evaluatie van of deze wijzigingen legitiem waren en conform change management-processen, een identificatie van trends en patronen in firewall-configuratiewijzigingen, en een beoordeling van de effectiviteit van de monitoring- en alerting-capaciteiten. De resultaten van deze reviews moeten worden gedocumenteerd in security reports die kunnen worden gebruikt voor management reporting en externe audits.
De monitoring moet ook aandacht besteden aan de technische gezondheid van de auditlogging-infrastructuur zelf, omdat technische problemen met de logging kunnen ertoe leiden dat kritieke gebeurtenissen niet worden vastgelegd, wat een ernstig security risico vormt dat de hele beveiligingsmonitoring-strategie ondergraaft. Dit omvat het monitoren van de beschikbare schijfruimte voor event logs op elk endpoint, omdat volle schijven kunnen leiden tot het stoppen van logging of het overschrijven van oude logs voordat ze zijn gearchiveerd. Het controleren of event log rollover correct functioneert, waardoor nieuwe logs worden aangemaakt wanneer de maximale grootte is bereikt zonder dat oude logs verloren gaan. Het verifiëren dat logs niet worden verwijderd voordat de vereiste bewaartermijn is verstreken, wat kan gebeuren als gevolg van automatische cleanup-processen of handmatige interventies. Het monitoren van de gezondheid van SIEM-integraties om ervoor te zorgen dat logs correct worden verzameld en geanalyseerd zonder dataverlies. Het identificeren van endpoints waar de auditlogging niet functioneert of waar logs ontbreken, en het nemen van corrigerende maatregelen om ervoor te zorgen dat alle endpoints correct loggen. Deze technische monitoring moet worden geautomatiseerd waar mogelijk en moet worden geïntegreerd in bestaande monitoring-oplossingen om ervoor te zorgen dat problemen tijdig worden gedetecteerd en opgelost.
Tot slot moet de monitoringactiviteit zelf worden gedocumenteerd en geaudit om ervoor te zorgen dat monitoringprocessen consistent worden uitgevoerd en dat de effectiviteit van de monitoring kan worden geëvalueerd en verbeterd. Dit betekent dat er gedocumenteerde procedures moeten zijn die beschrijven welke monitoringactiviteiten worden uitgevoerd, hoe vaak deze plaatsvinden, wie verantwoordelijk is voor de uitvoering, en welke tools en methoden worden gebruikt. De resultaten van monitoringactiviteiten moeten worden vastgelegd in security reports die regelmatig worden gegenereerd en gedeeld met relevante stakeholders zoals security management, IT-beheer, en compliance-teams. Deze reports kunnen worden gebruikt voor management reporting om inzicht te bieden in de beveiligingspostuur van de organisatie, voor het identificeren van trends in firewallconfiguratiewijzigingen binnen de organisatie die kunnen wijzen op systeemische problemen of verbeterkansen, en voor het evalueren van de effectiviteit van monitoring-processen om te bepalen of aanpassingen nodig zijn. Bovendien moeten monitoring-processen zelf periodiek worden geaudit, bijvoorbeeld door een interne audit-functie of externe auditors, om te verifiëren dat de monitoring daadwerkelijk wordt uitgevoerd zoals beschreven en dat de resultaten accuraat en bruikbaar zijn voor beveiligings- en compliance-doeleinden.
Gebruik PowerShell-script policy-change-audit-mpssvc-rule-level-policy-change-is-set-to-success-and-failure.ps1 (functie Invoke-Monitoring) – Controleren.
Remediatie
Wanneer monitoring aangeeft dat de auditlogging voor MPSSVC-regelwijzigingen niet correct is geconfigureerd of niet functioneert, is snel remediëren essentieel om te garanderen dat de beveiligingspostuur van de organisatie niet wordt aangetast. Remediatie moet worden uitgevoerd volgens een gestructureerd proces dat begint met het identificeren van de oorzaak van het probleem en eindigt met verificatie dat de remediatie succesvol is geweest.
Het eerste stap in het remediatieproces is het identificeren van de specifieke endpoints waarop de auditlogging niet correct is geconfigureerd. Dit kan worden gedaan via Microsoft Intune compliance reports, die aangeven welke apparaten niet compliant zijn met het configuratiebeleid. Daarnaast kan via PowerShell-scripts worden gecontroleerd of de registry-instellingen die corresponderen met de auditpolicy correct zijn geconfigureerd op individuele endpoints. Het identificeren van de omvang van het probleem is belangrijk om te bepalen of het gaat om een geïsoleerd incident of om een breder configuratieprobleem.
Na het identificeren van de niet-compliant endpoints moet worden onderzocht wat de oorzaak is van het probleem. Veelvoorkomende oorzaken zijn onder andere configuratieconflicten met andere policies, handmatige wijzigingen aan registry-instellingen door lokale administrators, of systeemupdates die de configuratie hebben teruggezet. Het begrijpen van de oorzaak is essentieel om te voorkomen dat het probleem opnieuw optreedt na de remediatie.
Voor de daadwerkelijke remediatie kan gebruik worden gemaakt van het beschikbare PowerShell-script dat automatisch de correcte configuratie kan herstellen. Dit script past de registry-instellingen aan die corresponderen met de auditpolicy en verifieert dat de wijzigingen correct zijn doorgevoerd. Het gebruik van geautomatiseerde scripts verhoogt de betrouwbaarheid van de remediatie en zorgt voor consistente configuratie across alle endpoints.
Indien het PowerShell-script niet beschikbaar is of niet werkt, kan handmatige remediatie worden uitgevoerd via Microsoft Intune Admin Center. In dit geval moet het apparaatconfiguratiebeleid opnieuw worden toegewezen aan de betreffende endpoints, of moet de policy worden bijgewerkt om ervoor te zorgen dat de configuratie correct wordt toegepast. Na handmatige remediatie moet worden geverifieerd dat de configuratie correct is toegepast door het controleren van de registry-instellingen op het endpoint.
Na de remediatie is verificatie cruciaal om te garanderen dat de auditlogging daadwerkelijk functioneert. Dit wordt gedaan door een testwijziging uit te voeren aan een Windows Firewall-regel en vervolgens te controleren of deze wijziging correct wordt gelogd in de Windows Event Log met Event ID 4719. Zonder deze verificatie kan niet worden gegarandeerd dat de remediatie succesvol is geweest en dat de auditlogging operationeel is.
Bij het detecteren van ongeautoriseerde wijzigingen aan firewall-regels via de auditlogs moet een ander type remediatie worden uitgevoerd. In dit geval moet niet alleen de auditlogging worden hersteld, maar moeten ook de ongeautoriseerde wijzigingen aan de firewall-regels zelf worden teruggedraaid. Dit vereist een incident response-procedure die beschrijft hoe ongeautoriseerde wijzigingen moeten worden geïdentificeerd, welke acties moeten worden ondernomen om de wijzigingen terug te draaien, en hoe moet worden voorkomen dat vergelijkbare incidenten in de toekomst plaatsvinden.
Het remediatieproces moet worden gedocumenteerd voor audit- en compliance-doeleinden. Dit omvat het vastleggen van welke endpoints zijn geremediateerd, wanneer de remediatie heeft plaatsgevonden, wat de oorzaak van het probleem was, en welke acties zijn ondernomen om het probleem op te lossen. Deze documentatie is waardevol voor het identificeren van patronen in configuratieproblemen en voor het verbeteren van het beheerproces om toekomstige incidenten te voorkomen.
Ten slotte moet na succesvolle remediatie worden geëvalueerd of aanvullende maatregelen nodig zijn om te voorkomen dat het probleem opnieuw optreedt. Dit kan het aanpassen van het configuratiebeleid omvatten, het implementeren van aanvullende monitoring of alerting, of het verbeteren van procedures voor het beheren van endpoints. Preventieve maatregelen zijn essentieel om de lange-termijn effectiviteit van de auditlogging te garanderen en om de beveiligingspostuur van de organisatie te verbeteren.
Gebruik PowerShell-script policy-change-audit-mpssvc-rule-level-policy-change-is-set-to-success-and-failure.ps1 (functie Invoke-Remediation) – Herstellen.
Compliance en Auditing
Voor Nederlandse overheidsorganisaties vormt compliance met nationale en internationale beveiligingsstandaarden een fundamentele verplichting. De implementatie van auditlogging voor MPSSVC-regelwijzigingen draagt direct bij aan het voldoen aan deze compliance-eisen en biedt de noodzakelijke transparantie en verantwoording die vereist zijn voor effectief beveiligingsbeheer en externe auditing.
De Baseline Informatiebeveiliging Overheid (BIO) vormt het centrale kader voor informatiebeveiliging binnen de Nederlandse publieke sector. Binnen dit kader is controle 16.01 specifiek gericht op gebeurtenissen logging en audittrails. Deze controle vereist dat organisaties alle relevante beveiligingsgebeurtenissen loggen, inclusief wijzigingen aan beveiligingsconfiguraties zoals firewall-regels. De auditlogging voor MPSSVC-regelwijzigingen voldoet direct aan deze BIO-vereiste door alle wijzigingen aan Windows Firewall-regels op beleidsniveau vast te leggen in de Windows Event Log, waardoor een complete audittrail ontstaat die kan worden gebruikt tijdens BIO-audits.
Naast de BIO-vereisten speelt de Algemene Verordening Gegevensbescherming (AVG) een belangrijke rol. Hoewel de AVG primair gericht is op privacybescherming, bevat de verordening ook verplichtingen met betrekking tot beveiliging van persoonsgegevens. Artikel 32 van de AVG vereist dat organisaties passende technische en organisatorische maatregelen treffen om persoonsgegevens te beveiligen. Het monitoren en loggen van wijzigingen aan beveiligingsconfiguraties zoals firewall-regels vormt een essentieel onderdeel van deze beveiligingsmaatregelen, omdat ongeautoriseerde wijzigingen aan firewall-configuraties kunnen leiden tot datalekken of ongeautoriseerde toegang tot persoonsgegevens.
Voor organisaties die werken met geclassificeerde informatie of die vallen onder de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni) zijn aanvullende compliance-vereisten van toepassing. De Wbni vereist dat operators van essentiële diensten en digitale dienstverleners passende beveiligingsmaatregelen treffen en incidenten melden. Auditlogging van firewallconfiguratiewijzigingen is essentieel om te kunnen aantonen dat adequate beveiligingsmaatregelen zijn getroffen en om bij incidenten te kunnen achterhalen wat er is gebeurd en welke configuratiewijzigingen mogelijk hebben bijgedragen aan het incident.
Internationale standaarden zoals ISO 27001:2022 bieden aanvullende richtlijnen voor informatiebeveiligingsmanagement. Binnen ISO 27001 is controle A.12.4.1 specifiek gericht op logging en monitoring. Deze controle vereist dat organisaties gebeurtenissen loggen, exceptions documenteren, en regelmatig logs analyseren. De implementatie van auditlogging voor MPSSVC-regelwijzigingen voldoet aan deze ISO 27001-vereiste en kan worden gebruikt als bewijs tijdens ISO 27001-certificeringsaudits.
Voor externe auditing en compliance-verificatie is het essentieel dat de auditlogs op een gestructureerde en toegankelijke wijze worden bewaard. Dit betekent dat organisaties moeten beschikken over procedures voor het archiveren van auditlogs en dat logs moeten worden bewaard voor de vereiste bewaartermijn, die voor Nederlandse overheidsorganisaties doorgaans minimaal één jaar bedraagt. Tijdens externe audits moeten auditors in staat zijn om de auditlogs te analyseren en te verifiëren dat alle relevante gebeurtenissen correct zijn vastgelegd.
De compliance-documentatie moet duidelijk beschrijven hoe de auditlogging is geïmplementeerd, welke endpoints onder de policy vallen, en hoe de logs kunnen worden geanalyseerd. Deze documentatie is essentieel voor zowel interne compliance-verificatie als externe audits. Bovendien moet de documentatie worden bijgewerkt wanneer wijzigingen worden doorgevoerd aan de configuratie of wanneer nieuwe endpoints worden toegevoegd aan de organisatie.
Voor het voldoen aan compliance-vereisten is het ook belangrijk dat er regelmatige reviews worden uitgevoerd van de auditlogs. Deze reviews moeten worden gedocumenteerd en moeten aantonen dat de organisatie proactief monitort op wijzigingen aan beveiligingsconfiguraties. De resultaten van deze reviews moeten worden vastgelegd in compliance-rapporten die kunnen worden gebruikt tijdens externe audits om aan te tonen dat de organisatie adequaat voldoet aan de vereisten voor logging en monitoring.
Naast de technische implementatie van auditlogging is het belangrijk dat de organisatie beschikt over beleid en procedures die beschrijven hoe auditlogs moeten worden beheerd, geanalyseerd en bewaard. Dit beleid moet duidelijk maken wie verantwoordelijk is voor het beheer van auditlogs, hoe vaak logs moeten worden gereviewd, en welke acties moeten worden ondernomen wanneer verdachte activiteiten worden gedetecteerd. Dit beleid moet regelmatig worden bijgewerkt en moet worden gecommuniceerd naar alle relevante stakeholders binnen de organisatie.
Voor Nederlandse overheidsorganisaties die werken met gevoelige informatie kan het ook nodig zijn om aanvullende compliance-vereisten te voldoen, zoals de vereisten voor het beveiligen van staatsgeheimen of het voldoen aan sector-specifieke beveiligingsstandaarden. De auditlogging voor MPSSVC-regelwijzigingen vormt een fundamenteel onderdeel van de beveiligingsinfrastructuur die nodig is om aan deze aanvullende vereisten te voldoen.
Tot slot is het belangrijk om te erkennen dat compliance geen eenmalige activiteit is, maar een continu proces. De organisatie moet regelmatig evalueren of de auditlogging nog steeds voldoet aan de actuele compliance-vereisten en of er aanpassingen nodig zijn wanneer nieuwe standaarden worden geïntroduceerd of wanneer de organisatie nieuwe verplichtingen krijgt. Deze continue evaluatie zorgt ervoor dat de organisatie proactief blijft voldoen aan alle relevante compliance-vereisten en dat de auditlogging-infrastructuur up-to-date blijft met de nieuwste best practices en standaarden.
Compliance & Frameworks
- CIS M365: Control 18.9.19.2 (L1) - CIS Security Benchmark aanbevelingen
- BIO: 16.01 - BIO Baseline Informatiebeveiliging Overheid - 16.01 - Gebeurtenissen logging en audittrails
- ISO 27001:2022: A.12.4.1 - ISO 27001:2022 - Gebeurtenissen logging en audittrails
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Intune Audit Logging: MPSSVC Rule-Level Policy Change
.DESCRIPTION
CIS - Windows Firewall policy changes Success and Failure.
.NOTES
Filename: audit-mpssvc-policy.ps1|Author: Nederlandse Baseline voor Veilige Cloud|AuditPol: MPSSVC Rule-Level Policy Change|Expected: Success and Failure
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $Category = "MPSSVC Rule-Level Policy Change"; $ExpectedValue = "Success and Failure"
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance {
$r = [PSCustomObject]@{ScriptName = "mpssvc-policy.ps1"; PolicyName = "MPSSVC Policy Change"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; function Invoke-Revert { auditpol /set /subcategory:"$Category" /success:disable /failure:disable | Out-Null }
try { $audit = auditpol /get /subcategory:"$Category" /r | ConvertFrom-Csv; $setting = $audit.'Inclusion Setting'; $r.CurrentValue = $setting; if ($setting -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Audit: $setting" }else { $r.Details += "Audit: $setting" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r
}
function Invoke-Remediation { auditpol /set /subcategory:"$Category" /success:enable /failure:enable | Out-Null; Write-Host "MPSSVC Policy Change: Success and Failure" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { auditpol /set /subcategory:"$Category" /success:disable /failure:disable | Out-Null }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
High: Zonder auditlogging voor MPSSVC-regelwijzigingen beschikt de organisatie niet over de noodzakelijke transparantie en verantwoording met betrekking tot wijzigingen aan Windows Firewall-configuraties, wat een ernstig beveiligingsrisico vormt omdat ongeautoriseerde wijzigingen aan firewall-regels niet kunnen worden gedetecteerd, getraceerd of onderzocht. Wanneer firewall-configuratiewijzigingen niet worden gelogd, kunnen aanvallers of gecompromitteerde accounts ongemerkt kritieke beveiligingscontroles uitschakelen, externe toegang mogelijk maken, of de beveiligingspostuur op andere manieren manipuleren zonder dat security teams hier kennis van hebben. Dit gebrek aan zichtbaarheid maakt het onmogelijk om beveiligingsincidenten tijdig te detecteren, te onderzoeken of effectief te reageren wanneer ongeautoriseerde wijzigingen worden ontdekt. Bovendien kunnen organisaties zonder adequate auditlogging niet voldoen aan compliance-vereisten zoals de Baseline Informatiebeveiliging Overheid (BIO) controle 16.01 voor gebeurtenissen logging, de Algemene Verordening Gegevensbescherming (AVG) Artikel 32 voor beveiliging van persoonsgegevens, of ISO 27001:2022 controle A.12.4.1 voor logging en monitoring, wat kan leiden tot mislukte audits, regelgevingssancties, en verlies van vertrouwen bij stakeholders. Het risico is hoog voor alle organisaties die Windows Firewall gebruiken als primaire netwerkbeveiligingscontrole, omdat elke ongeautoriseerde wijziging aan firewall-regels directe impact kan hebben op de beveiligingspostuur van de organisatie.
Management Samenvatting
Implementeer auditlogging voor MPSSVC-regelwijzigingen op beleidsniveau via Microsoft Intune apparaatconfiguratiebeleid om volledige transparantie te bieden over alle wijzigingen aan Windows Firewall-configuraties op endpoints. Deze auditlogging registreert zowel succesvolle als mislukte wijzigingspogingen aan firewall-regels op beleidsniveau in de Windows Security Event Log met Event ID 4719, waardoor security teams kunnen identificeren wie, wanneer en waarom firewall-configuraties zijn gewijzigd. Deze logging is essentieel voor beveiligingsmonitoring en incident response, omdat het security teams in staat stelt om ongeautoriseerde wijzigingen te detecteren, beveiligingsincidenten te onderzoeken, en effectief te reageren op bedreigingen. Bovendien is auditlogging verplicht voor compliance met de Baseline Informatiebeveiliging Overheid (BIO) controle 16.01, de Algemene Verordening Gegevensbescherming (AVG) Artikel 32, en ISO 27001:2022 controle A.12.4.1. De implementatie vereist Microsoft Intune met correct ingeschreven Windows endpoints, Windows 10 versie 1903 of hoger of Windows 11, en adequate SIEM-capaciteiten voor logaggregatie en analyse. Implementatie-inspanning bedraagt ongeveer 2 uur voor configuratie en testing. Doorlopende inspanning bedraagt ongeveer 4 uur per kwartaal voor loganalyse en compliance-reviews. De maatregel biedt aanzienlijke beveiligings- en compliance-waarde door volledige zichtbaarheid te bieden over kritieke beveiligingsconfiguratiewijzigingen.
- Implementatietijd: 2 uur
- FTE required: 0.01 FTE