💼 Management Samenvatting
Deze beveiligingsregel waarborgt de correcte configuratie van auditlogging voor beleidswijzigingen op Windows endpoints, waarbij zowel geslaagde als mislukte wijzigingspogingen worden vastgelegd. Door deze configuratie te implementeren, creëren organisaties een volledig overzicht van alle activiteiten gerelateerd aan wijzigingen in beveiligingsinstellingen, wat essentieel is voor detectie van beveiligingsincidenten en compliance met beveiligingsframeworks.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
7/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Windows
Deze instelling is onderdeel van de Windows-beveiligingsbaseline en beschermt tegen bekende aanvalsvectoren door het afdwingen van veilige configuraties. Zonder adequate auditlogging van beleidswijzigingen kunnen kwaadwillenden wijzigingen aan beveiligingsinstellingen doorvoeren zonder dat dit wordt gedetecteerd, waardoor de organisatie kwetsbaar wordt voor geavanceerde persistent threats en insider threats. Beleidswijzigingen vormen een kritiek beveiligingsrisico omdat zij kunnen worden gebruikt om beveiligingsmaatregelen te omzeilen of te verzwakken, waardoor aanvallen kunnen worden uitgevoerd zonder detectie. Door zowel geslaagde als mislukte wijzigingspogingen vast te leggen, kunnen beveiligingsteams niet alleen detecteren wanneer wijzigingen daadwerkelijk plaatsvinden, maar ook wanneer kwaadwillenden proberen wijzigingen door te voeren die mislukken. Deze informatie is waardevol voor dreigingsinformatie en kan helpen bij het identificeren van aanvallen in een vroeg stadium.
PowerShell Modules Vereist
Primary API: Graph
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
Deze regel configureert de auditinstelling voor overige beleidswijzigingsgebeurtenissen via Microsoft Intune apparaatconfiguratiebeleid of nalevingsbeleid om Windows endpoints te beveiligen volgens beveiligingsbest practices. Specifiek wordt de auditlogging ingesteld om zowel geslaagde als mislukte pogingen tot beleidswijzigingen vast te leggen, waardoor een volledig audit trail ontstaat voor forensische analyse en compliance doeleinden. De configuratie wordt centraal beheerd via Microsoft Intune, wat zorgt voor consistente toepassing van de beveiligingsinstellingen op alle endpoints binnen de organisatie, ongeacht hun fysieke locatie. Deze centrale beheerbaarheid maakt het mogelijk om wijzigingen snel door te voeren en te verifiëren dat alle endpoints correct zijn geconfigureerd.
Vereisten
De implementatie van deze beveiligingsregel vereist een zorgvuldige voorbereiding en specifieke technische vereisten om een succesvolle configuratie te waarborgen. De primaire voorwaarde voor een effectieve implementatie is de beschikbaarheid van Microsoft Intune als centrale beheeroplossing voor endpoints binnen de organisatie. Microsoft Intune vormt de ruggengraat van de moderne endpoint management strategie en biedt uitgebreide functionaliteit voor het centraal beheren van beveiligingsinstellingen via apparaatconfiguratiebeleidsregels die specifiek zijn gericht op Windows endpoints. Deze cloud-gebaseerde dienstverlening maakt het mogelijk om beveiligingsinstellingen uniform en consistent toe te passen op alle endpoints binnen de organisatie, ongeacht de fysieke locatie van de apparaten. Dit centrale beheermodel elimineert de noodzaak voor handmatige configuratie per apparaat en zorgt voor een gestandaardiseerde beveiligingsposture binnen de gehele organisatie. Organisaties dienen te beschikken over een geldige Microsoft 365 E3 of E5 licentie, of een equivalent licentiepakket dat toegang biedt tot de volledige Microsoft Intune functionaliteit. Deze licenties zijn fundamenteel omdat zij de juridische en technische basis vormen voor het gebruik van Microsoft Intune en alle bijbehorende beveiligingsfuncties. Zonder de juiste licentie kan de configuratie technisch noch juridisch worden toegepast, en zullen endpoints niet kunnen profiteren van de geavanceerde beveiligingsmaatregelen die Microsoft Intune biedt. Het is van cruciaal belang dat alle Windows endpoints volledig zijn geregistreerd in Microsoft Intune en dat de benodigde Intune management extensies correct zijn geïnstalleerd en geconfigureerd. De registratie van endpoints vormt een kritieke stap in het onboarding proces, omdat uitsluitend geregistreerde endpoints kunnen worden beheerd en gemonitord via Microsoft Intune. Tijdens het registratieproces worden automatisch de benodigde certificaten en configuraties geïnstalleerd, waardoor de endpoint veilig kan communiceren met de Microsoft Intune service via versleutelde verbindingen. Deze automatische configuratie zorgt ervoor dat endpoints direct na registratie beschikken over de noodzakelijke authenticatiemiddelen en configuraties om deel te nemen aan het centrale beheermodel. De IT-afdeling moet beschikken over de juiste beheerdersrechten binnen Microsoft Intune om apparaatconfiguratiebeleidsregels te kunnen creëren, aanpassen en toewijzen aan specifieke groepen van endpoints. Deze beheerdersrechten kunnen worden verkregen via bevoorrechte rollen zoals Intune Administrator of Global Administrator binnen Azure Active Directory. Het principe van least privilege moet worden toegepast, waarbij uitsluitend bevoegde personen toegang hebben tot deze rechten om te voorkomen dat onbevoegden ongewenste wijzigingen kunnen aanbrengen aan beveiligingsconfiguraties. Voor organisaties die gebruik maken van hybride Azure AD join of Azure AD join configuraties, is het van essentieel belang dat alle endpoints correct zijn geregistreerd en dat de synchronisatie tussen on-premises Active Directory en Azure Active Directory optimaal functioneert indien van toepassing. In hybride omgevingen is het essentieel dat de directory synchronisatie correct is geconfigureerd en dat wijzigingen in on-premises Active Directory accuraat en tijdig worden gesynchroniseerd naar Azure Active Directory. Eventuele synchronisatieproblemen kunnen leiden tot inconsistenties in de identiteitsinformatie, wat op zijn beurt kan resulteren in problemen met de toepassing van beveiligingsconfiguraties. De implementatie vereist bovendien dat de beheerders beschikken over voldoende technische kennis en expertise betreffende Windows audit policies en de werking van Microsoft Intune apparaatconfiguratieprofielen. Deze kennis is onmisbaar om de configuratie correct te kunnen implementeren en om eventuele technische problemen te kunnen diagnosticeren en oplossen die tijdens de implementatie of het dagelijkse beheer kunnen optreden. Technische documentatie, training en certificering kunnen nodig zijn voor IT-personeel dat niet volledig bekend is met deze specifieke configuratieopties en beheertools. Organisaties moeten tevens rekening houden met de netwerkvereisten voor communicatie tussen endpoints en Microsoft Intune services, waarbij firewallregels en proxy-instellingen correct moeten zijn geconfigureerd om de configuratiebeleidsregels succesvol te kunnen toepassen en synchroniseren. Endpoints moeten kunnen communiceren met de Microsoft Intune service via HTTPS poort 443, en eventuele proxy-servers of netwerkapparatuur moeten correct zijn geconfigureerd om deze communicatie mogelijk te maken zonder beveiligingsrisico's te introduceren. Zonder adequate netwerkconnectiviteit en correct geconfigureerde firewallregels kunnen endpoints de configuratiebeleidsregels niet ophalen en zullen zij niet compliant zijn met de beveiligingsvereisten, wat een significant beveiligingsrisico kan vormen voor de organisatie.
Implementatie
De implementatie van deze beveiligingsregel vereist een gestructureerde en methodische aanpak waarbij verschillende implementatiestappen systematisch worden doorlopen om te waarborgen dat de configuratie correct en consistent wordt toegepast op alle relevante Windows endpoints binnen de organisatie. Een zorgvuldig geplande en uitgevoerde implementatie voorkomt technische problemen en zorgt ervoor dat alle endpoints correct worden geconfigureerd zonder negatieve impact op de bedrijfsvoering of productiviteit van eindgebruikers. De implementatieprocedure start met het creëren van een nieuw apparaatconfiguratieprofiel binnen de Microsoft Intune omgeving, specifiek gericht op Windows 10 en Windows 11 endpoints die deel uitmaken van de organisatie infrastructuur. Dit configuratieprofiel fungeert als een centrale container voor de beveiligingsinstellingen en maakt het mogelijk om deze instellingen uniform te beheren en strategisch toe te wijzen aan specifieke groepen van endpoints op basis van organisatorische vereisten en beveiligingsclassificaties. Binnen dit profiel moet worden gekozen voor de juiste categorie, waarbij 'Endpoint protection' of 'Administrative Templates' de primaire opties vormen, afhankelijk van de beschikbare configuratiemogelijkheden in de actuele versie van de Intune interface. De keuze tussen deze categorieën hangt af van de specifieke versie van Microsoft Intune die door de organisatie wordt gebruikt en de beschikbare configuratie-opties die zijn ingeschakeld binnen de tenant omgeving. De specifieke audit instelling die moet worden geconfigureerd betreft de audit policy voor 'Other Policy Change Events', waarbij expliciet moet worden ingesteld dat zowel succesvolle als mislukte gebeurtenissen worden vastgelegd in de Windows Event Logs. Deze instelling is van cruciaal belang omdat het zorgt voor een volledig en compleet overzicht van alle pogingen tot beleidswijzigingen binnen de organisatie, ongeacht of deze pogingen succesvol zijn afgerond of niet. Dit betekent concreet dat de instelling moet worden geconfigureerd om zowel 'Success' als 'Failure' gebeurtenissen te loggen, wat resulteert in een uitgebreid en volledig audit trail van alle beleidswijzigingspogingen die binnen de organisatie plaatsvinden. Door beide typen gebeurtenissen systematisch vast te leggen, kunnen beveiligingsanalisten en incident response teams zowel succesvolle wijzigingen als mislukte pogingen analyseren en evalueren, wat waardevolle dreigingsinformatie en contextuele informatie kan opleveren over potentiële beveiligingsincidenten, configuratiefouten, of pogingen tot ongeautoriseerde toegang. Na het configureren van de audit instelling moet het configuratieprofiel worden opgeslagen en strategisch toegewezen aan de relevante groepen van Windows endpoints binnen de organisatie. De toewijzing vormt een kritieke stap in het implementatieproces omdat uitsluitend endpoints die expliciet zijn toegewezen aan het profiel de configuratie daadwerkelijk zullen ontvangen en toepassen. De toewijzing kan worden uitgevoerd aan alle apparaten binnen de organisatie, specifieke beveiligingsgroepen die zijn gedefinieerd op basis van organisatorische criteria, of op basis van dynamische apparaatgroepen die automatisch endpoints selecteren en toevoegen op basis van geconfigureerde criteria zoals besturingssysteem versie, apparaattype, of organisatorische eenheid. Dynamische apparaatgroepen zijn bijzonder waardevol en efficiënt omdat zij automatisch nieuwe endpoints toevoegen die voldoen aan de gedefinieerde criteria, waardoor de configuratie automatisch en consistent wordt toegepast op nieuwe endpoints zonder handmatige interventie of aanvullende configuratiestappen. Het is van essentieel belang om een gefaseerde implementatie strategie te overwegen en te implementeren, waarbij eerst een beperkte en representatieve testgroep van endpoints wordt geconfigureerd om te verifiëren dat de configuratie correct functioneert en geen negatieve impact heeft op de functionaliteit, prestaties of gebruikerservaring van de endpoints. Deze testgroep moet representatief zijn voor de volledige organisatie populatie en moet verschillende typen endpoints bevatten, zoals laptops, desktops en servers, om te waarborgen dat de configuratie op alle typen endpoints correct en betrouwbaar werkt zonder onverwachte neveneffecten. Tijdens de testfase moet proactief worden gemonitord of de configuratie correct wordt toegepast, of de audit events daadwerkelijk worden gegenereerd in de Event Logs, en of er geen onverwachte problemen of conflicten optreden die de functionaliteit of beveiliging kunnen beïnvloeden. Na succesvolle verificatie en validatie van de configuratie binnen de testgroep kan de configuratie geleidelijk en gecontroleerd worden uitgerold naar de volledige organisatie populatie. Tijdens de volledige implementatie moet continu worden gemonitord of endpoints de configuratie succesvol ontvangen en toepassen, waarbij eventuele fouten, conflicten of complianceproblemen proactief worden geïdentificeerd en opgelost voordat zij kunnen escaleren tot beveiligingsrisico's. Monitoring kan worden uitgevoerd via het Microsoft Intune beheercentrum, waar de compliance status van individuele endpoints en groepen real-time zichtbaar is, samen met gedetailleerde informatie over eventuele configuratiefouten of conflicten. Endpoints die niet compliant zijn met de configuratie moeten worden geïdentificeerd en geanalyseerd om te bepalen waarom de configuratie niet succesvol is toegepast, en er moeten gerichte acties worden ondernomen om deze problemen op te lossen en de compliance status te herstellen. De volledige implementatie moet worden gedocumenteerd in detail, inclusief de specifieke configuratie-instellingen, de toewijzingsgroepen en criteria, de datum van implementatie, en eventuele opgetreden problemen en oplossingen, zodat deze informatie beschikbaar is voor toekomstige referentie, troubleshoot doeleinden, en audit verificatie. Deze documentatie is essentieel voor compliance met beveiligingsframeworks en maakt het mogelijk om te verifiëren en te demonstreren dat de configuratie correct en volledig is geïmplementeerd tijdens interne en externe audits en compliance reviews.
Gebruik PowerShell-script policy-change-audit-other-policy-change-events-is-set-to-include-failure.ps1 (functie Invoke-Monitoring) – Monitoren.
Monitoring
Effectieve en continue monitoring van de auditlogging configuratie voor beleidswijzigingsgebeurtenissen vormt een cruciaal onderdeel van de beveiligingsstrategie en is essentieel om te waarborgen dat de beveiligingsinstellingen daadwerkelijk worden toegepast en correct functioneren zoals bedoeld. Monitoring vormt de fundamentele basis voor een proactieve en defensieve beveiligingsaanpak en maakt het mogelijk om technische problemen, configuratiefouten en potentiële beveiligingsdreigingen snel te identificeren en op te lossen voordat zij kunnen escaleren tot daadwerkelijke beveiligingsincidenten die de organisatie kunnen schaden. Zonder adequate en gestructureerde monitoring is het volledig onmogelijk om te verifiëren dat de configuratie correct werkt, dat endpoints daadwerkelijk compliant zijn met de beveiligingsvereisten, en dat de auditlogging functioneert zoals verwacht. De monitoring omvat verschillende kritieke aspecten die regelmatig en systematisch moeten worden gecontroleerd door de IT-beheerders, beveiligingsfunctionarissen en compliancefunctionarissen binnen de organisatie. Deze aspecten omvatten niet alleen de technische configuratie en toepassing ervan, maar ook de daadwerkelijke werking van de auditlogging functionaliteit, de kwaliteit en volledigheid van de gegenereerde logs, en de effectieve analyse van de verzamelde audit informatie voor beveiligingsdoeleinden. Ten eerste moet worden geverifieerd en gecontroleerd dat de apparaatconfiguratiebeleidsregel correct en volledig is toegewezen aan alle relevante Windows endpoints binnen de organisatie, zonder uitzonderingen of hiaten in de toewijzing. Dit kan worden gecontroleerd via het Microsoft Intune beheercentrum, waar de compliance status van individuele endpoints en groepen real-time zichtbaar is, samen met gedetailleerde informatie over de toepassingsstatus en eventuele configuratiefouten. De compliance status geeft nauwkeurig aan of endpoints de configuratie hebben ontvangen en correct hebben toegepast, en of er eventuele fouten, conflicten of problemen zijn opgetreden tijdens de configuratietoepassing. Endpoints die niet compliant zijn met de configuratiebeleidsregel moeten onmiddellijk worden geïdentificeerd, geanalyseerd en geremedieerd om te bepalen waarom de configuratie niet succesvol is toegepast en welke acties nodig zijn om de compliance status te herstellen. Mogelijke oorzaken voor non-compliance kunnen zijn dat endpoints niet volledig zijn geregistreerd in Microsoft Intune, dat er conflicterende beleidsregels zijn die de configuratie overschrijven, dat endpoints niet beschikbaar of bereikbaar waren tijdens de beleidstoepassing, of dat er technische problemen zijn met de communicatie tussen endpoints en de Intune service. Het identificeren en proactief oplossen van non-compliance is essentieel omdat niet-compliant endpoints een significant beveiligingsrisico vormen en niet beschermd zijn door de geconfigureerde beveiligingsmaatregelen, waardoor zij kwetsbaar zijn voor aanvallen en kunnen dienen als ingangspunten voor kwaadwillenden. Daarnaast moet worden gemonitord of de auditlogging daadwerkelijk en consistent gebeurtenissen vastlegt in de Windows Event Logs op alle endpoints. Het configureren van de auditlogging instelling is slechts de eerste technische stap in het proces; het is even belangrijk en kritiek om te verifiëren en te valideren dat de logging daadwerkelijk functioneert zoals bedoeld en gebeurtenissen correct en volledig vastlegt zonder hiaten of problemen. Beveiligingsanalisten moeten regelmatig en systematisch het Beveiligingsgebeurtenissenlogboek controleren op gebeurtenissen met event ID 4715, wat specifiek verwijst naar andere beleidswijzigingsgebeurtenissen die plaatsvinden binnen de Windows omgeving. Deze event ID is specifiek gereserveerd voor beleidswijzigingen en maakt het mogelijk om precies te identificeren wanneer, door wie, en welke wijzigingen aan beveiligingsinstellingen plaatsvinden, inclusief zowel succesvolle wijzigingen als mislukte pogingen. De aanwezigheid van zowel succesvolle als mislukte gebeurtenissen in de logs bevestigt en valideert dat de auditlogging correct en volledig functioneert en dat alle relevante gebeurtenissen worden vastgelegd zonder uitzonderingen. Het is van cruciaal belang om proactief te monitoren op verdachte patronen, anomalieën en afwijkingen in de audit logs die kunnen wijzen op kwaadwillende activiteiten, beveiligingsincidenten of insider threats, zoals herhaalde mislukte pogingen tot beleidswijzigingen, wijzigingen buiten normale werkuren, of ongebruikelijke toegangspatronen. Deze patronen kunnen belangrijke indicatoren zijn van actieve beveiligingsincidenten, geavanceerde persistent threats, of insider threats en moeten onmiddellijk worden onderzocht en geëscaleerd door beveiligingsanalisten en incident response teams. Geavanceerde automatische monitoring tools zoals Microsoft Sentinel, Azure Monitor, of Security Information and Event Management systemen kunnen worden geconfigureerd om proactief waarschuwingen te genereren wanneer specifieke gebeurtenissen, patronen of anomalieën worden gedetecteerd, waardoor beveiligingsteams real-time kunnen reageren op potentiële beveiligingsincidenten voordat zij kunnen escaleren tot volledige beveiligingsinbreuken. De monitoring moet ook de retentieperiode en opslag van audit logs omvatten, waarbij wordt gecontroleerd en geverifieerd of logs voldoende lang worden bewaard voor forensische analyse, incident response, en compliance doeleinden. Verschillende compliance frameworks en regelgeving vereisen specifieke minimale retentieperioden voor audit logs, en organisaties moeten waarborgen dat zij volledig voldoen aan deze vereisten om niet in strijd te komen met compliance verplichtingen. Organisaties moeten een gestructureerd en gedocumenteerd proces hebben voor regelmatige en systematische review van audit logs door beveiligingsanalisten, waarbij wordt gekeken naar trends, anomalieën, potentiële beveiligingsincidenten, en compliance status. Deze reviews moeten worden uitgevoerd volgens een vastgesteld en geautoriseerd schema en moeten volledig worden gedocumenteerd voor interne en externe audit doeleinden. De monitoring resultaten, bevindingen en acties moeten worden gedocumenteerd en regelmatig worden gerapporteerd aan management, compliancefunctionarissen, en bestuur om te waarborgen dat de organisatie volledig voldoet aan de vereisten van frameworks zoals CIS, BIO en ISO 27001. Deze rapportage maakt het mogelijk om te demonstreren dat adequate en effectieve monitoring is geïmplementeerd en dat de organisatie proactief en verantwoordelijk omgaat met beveiligingsrisico's en compliance verplichtingen.
Gebruik PowerShell-script policy-change-audit-other-policy-change-events-is-set-to-include-failure.ps1 (functie Invoke-Monitoring) – Controleren.
Remediatie
Wanneer monitoring en compliance checks aangeven dat endpoints niet compliant zijn met de geconfigureerde auditlogging instellingen, is het van essentieel belang om onmiddellijk een gestructureerd en gedocumenteerd remediatieproces te volgen om de configuratie te herstellen en te waarborgen dat alle endpoints correct en volledig zijn geconfigureerd volgens de beveiligingsvereisten. Non-compliance vormt een direct en significant beveiligingsrisico omdat niet-compliant endpoints niet beschermd zijn door de geconfigureerde beveiligingsmaatregelen en kunnen worden geëxploiteerd als ingangspunten voor aanvallen, waardoor de gehele organisatie kwetsbaar wordt voor beveiligingsinbreuken en datalekken. Een gestructureerd, gedocumenteerd en efficiënt remediatieproces zorgt ervoor dat problemen snel worden geïdentificeerd, geanalyseerd en opgelost, waardoor het beveiligingsrisico wordt geminimaliseerd en de organisatie beschermd blijft tegen potentiële bedreigingen. Het remediatieproces begint met het identificeren en analyseren van de onderliggende oorzaak van de non-compliance door middel van systematische troubleshooting en diagnostische procedures. Deze identificatie is cruciaal en fundamenteel omdat verschillende oorzaken verschillende oplossingsstrategieën en technische interventies vereisen, en het toepassen van de verkeerde oplossing kan leiden tot verdere problemen, configuratie-inconsistenties, of zelfs tijdelijke verlies van beheerbaarheid van endpoints. Mogelijke oorzaken voor non-compliance kunnen zijn dat endpoints de configuratiebeleidsregel niet hebben ontvangen vanwege netwerkproblemen of communicatiefouten, dat er conflicterende beleidsregels zijn die de configuratie overschrijven of blokkeren, dat endpoints niet correct zijn geregistreerd in Microsoft Intune, of dat er technische problemen zijn met de Intune management extensies. Elke oorzaak vereist een specifieke en gerichte aanpak om het probleem effectief en permanent op te lossen zonder negatieve neveneffecten. Voor endpoints die de configuratie niet hebben ontvangen of hebben gemist, kan een handmatige synchronisatie worden geïnitieerd vanuit het Microsoft Intune beheercentrum, waarbij de endpoint wordt gedwongen om de nieuwste beleidsregels en configuraties op te halen van de Intune service. Deze synchronisatie kan worden uitgevoerd via de apparaatbeheerinterface in Microsoft Intune, waar beheerders een expliciete synchronisatie kunnen forceren voor specifieke endpoints of groepen van endpoints om de configuratie opnieuw te proberen toe te passen. Indien deze synchronisatie niet succesvol is of het probleem niet oplost, kan het noodzakelijk zijn om de endpoint opnieuw te registreren in Microsoft Intune of om de Intune management extensies opnieuw te installeren en te configureren. Het opnieuw registreren van een endpoint is een meer ingrijpende technische actie die moet worden uitgevoerd met uiterste voorzichtigheid en volgens goedgekeurde procedures, omdat het kan leiden tot tijdelijke verlies van beheerbaarheid, verlies van configuraties, of onderbreking van dienstverlening. Voor endpoints met conflicterende of tegenstrijdige beleidsregels moet systematisch worden geanalyseerd welke andere beleidsregels mogelijk de auditlogging configuratie overschrijven, blokkeren of conflicteren, en moeten deze conflicterende regels worden aangepast, verwijderd, of herprioriteerd om de gewenste configuratie te waarborgen. Beleidsconflicten kunnen optreden wanneer meerdere beleidsregels of configuratieprofielen dezelfde audit instelling proberen te configureren met verschillende of tegenstrijdige waarden, wat resulteert in onvoorspelbare configuratie resultaten. In sommige gevallen kan het noodzakelijk zijn om de prioriteit of precedence van beleidsregels aan te passen om te waarborgen dat de auditlogging configuratie de hoogste prioriteit heeft en niet kan worden overschreven door minder kritieke configuraties. De prioriteit van beleidsregels bepaalt welke regel wordt toegepast wanneer er conflicten zijn, en het is essentieel dat beveiligingskritieke configuraties zoals auditlogging altijd de hoogste prioriteit hebben om te waarborgen dat beveiligingsvereisten niet worden gecompromitteerd. Voor endpoints waar de configuratie wel is ontvangen maar niet correct is toegepast of geactiveerd, kan het noodzakelijk zijn om de lokale Groepsbeleid instellingen te controleren, te analyseren en eventueel handmatig aan te passen, hoewel dit niet de voorkeur heeft omdat het de centrale beheerbaarheid vermindert en kan leiden tot configuratie-inconsistenties tussen endpoints. Handmatige aanpassingen moeten worden vermeden waar mogelijk omdat zij kunnen worden overschreven door toekomstige configuratie-updates, omdat zij het moeilijker maken om de configuratie centraal te beheren en te monitoren, en omdat zij compliance risico's introduceren door afwijkingen van de standaard configuratie. In plaats daarvan moeten de onderliggende oorzaken systematisch worden geïdentificeerd en opgelost, zodat de configuratie correct en consistent kan worden toegepast via Microsoft Intune volgens de gedefinieerde beveiligingsstandaarden. Na het uitvoeren van remediatie acties moet worden geverifieerd en gevalideerd dat de configuratie correct en volledig is toegepast door de compliance status opnieuw te controleren in het Microsoft Intune beheercentrum en door te verifiëren dat audit events daadwerkelijk en consistent worden vastgelegd in de Windows Event Logs op de betreffende endpoints. Deze verificatie is essentieel en verplicht om te waarborgen dat het probleem daadwerkelijk is opgelost, dat de endpoint nu volledig compliant is met de beveiligingsvereisten, en dat de auditlogging correct functioneert zoals bedoeld. Het volledige remediatieproces moet worden gedocumenteerd in detail, inclusief de geïdentificeerde oorzaken, de uitgevoerde diagnostische stappen, de toegepaste oplossingen, en de verificatie resultaten, zodat deze informatie kan worden gebruikt voor het verbeteren van het implementatieproces, het voorkomen van vergelijkbare problemen in de toekomst, en het opstellen van best practices. Deze documentatie is ook waardevol en verplicht voor compliance doeleinden en maakt het mogelijk om te demonstreren dat de organisatie proactief en verantwoordelijk omgaat met non-compliance problemen en dat adequate procedures zijn geïmplementeerd voor het oplossen van configuratieproblemen.
Gebruik PowerShell-script policy-change-audit-other-policy-change-events-is-set-to-include-failure.ps1 (functie Invoke-Remediation) – Herstellen.
Compliance en Audit
De implementatie van auditlogging voor beleidswijzigingsgebeurtenissen is niet alleen een technische beveiligingsmaatregel die bijdraagt aan de cyberweerbaarheid van de organisatie, maar ook een essentiële en verplichte vereiste voor compliance met verschillende beveiligingsframeworks, standaarden en regelgeving die specifiek van toepassing zijn op Nederlandse overheidsorganisaties en publieke sector entiteiten. Compliance vormt een fundamenteel en onlosmakelijk onderdeel van de beveiligingsstrategie en is niet alleen een juridische of regelgevende verplichting, maar ook een professionele en bestuurlijke manier om te demonstreren dat de organisatie serieus en verantwoordelijk omgaat met informatiebeveiliging en dat adequate en effectieve maatregelen zijn genomen om beveiligingsrisico's proactief te beheersen en te mitigeren. De CIS Security Benchmark controle 18.9.19.2 specificeert expliciet en gedetailleerd dat auditlogging voor andere beleidswijzigingsgebeurtenissen moet worden geconfigureerd om zowel succesvolle als mislukte gebeurtenissen systematisch vast te leggen in de Windows Event Logs. Deze controle is geclassificeerd als Level 1, wat betekent dat het een fundamentele en essentiële beveiligingsmaatregel is die door alle organisaties zonder uitzondering moet worden geïmplementeerd om te voldoen aan basale beveiligingsvereisten. Level 1 controles worden beschouwd als kritieke essentiële beveiligingsmaatregelen die minimale impact hebben op functionaliteit en gebruikerservaring maar significante en meetbare beveiligingsvoordelen bieden door detectie en preventie van beveiligingsincidenten. Voor Nederlandse overheidsorganisaties is compliance met de BIO Baseline Informatiebeveiliging Overheid verplicht en niet-onderhandelbaar, waarbij controle 16.01 specifiek en expliciet eist dat alle relevante gebeurtenissen worden gelogd en dat complete en betrouwbare audittrails worden bijgehouden voor alle kritieke beveiligingsgebeurtenissen. De BIO is de officiële Nederlandse standaard voor informatiebeveiliging in de publieke sector en vormt de juridische en technische basis voor beveiligingsvereisten voor alle overheidsorganisaties, van gemeenten tot ministeries en uitvoeringsorganisaties. Deze controle vereist dat organisaties kunnen aantonen en demonstreren dat zij adequate, complete en effectieve logging hebben geïmplementeerd voor alle relevante beveiligingsgebeurtenissen, inclusief maar niet beperkt tot beleidswijzigingen, toegangscontroles, en configuratiewijzigingen. Compliance met de BIO is niet alleen een technische implementatie vereiste, maar ook een bestuurlijke verantwoordelijkheid en accountability verplichting, waarbij organisaties moeten kunnen aantonen en verifiëren dat zij volledig en consistent voldoen aan de beveiligingsstandaarden en compliance vereisten. De ISO 27001:2022 standaard, controle A.12.4.1, stelt eveneens expliciete en gedetailleerde eisen aan gebeurtenissen logging en audittrails, waarbij organisaties moeten kunnen aantonen en certificeren dat zij een adequaat, compleet en effectief logging en monitoring systeem hebben geïmplementeerd dat voldoet aan internationale standaarden. ISO 27001 is een internationaal erkende en gecertificeerde standaard voor informatiebeveiligingsmanagement en wordt gebruikt door organisaties wereldwijd om hun beveiligingsmaatregelen te certificeren, te verifiëren en continu te verbeteren volgens het Plan-Do-Check-Act principe. Compliance met ISO 27001 vereist niet alleen technische implementatie van logging systemen, maar ook een gestructureerd, gedocumenteerd en gecertificeerd beveiligingsmanagementsysteem dat regelmatig wordt gecontroleerd, geaudit, en verbeterd volgens vastgestelde procedures en best practices. Voor organisaties die werken met persoonsgegevens is de Algemene Verordening Gegevensbescherming (AVG) van directe toepassing, waarbij artikel 32 expliciet vereist dat organisaties passende technische en organisatorische maatregelen treffen om de beveiliging, integriteit en vertrouwelijkheid van persoonsgegevens te waarborgen tegen ongeautoriseerde toegang, wijziging of vernietiging. De AVG is de Europese privacywetgeving die van toepassing is op alle organisaties die persoonsgegevens verwerken, ongeacht hun omvang of sector, en vereist dat organisaties adequate, proportionele en effectieve beveiligingsmaatregelen implementeren die passen bij het risico niveau. Adequate en complete auditlogging is een essentieel en verplicht onderdeel van deze technische maatregelen, omdat het organisaties in staat stelt om te detecteren wanneer onbevoegde toegang tot of ongeautoriseerde wijziging van beveiligingsinstellingen plaatsvindt, wat kan leiden tot datalekken of privacy schendingen. In het geval van datalekken, beveiligingsincidenten of privacy schendingen kunnen audit logs cruciaal en onbetwistbaar bewijs leveren dat de organisatie adequate en passende maatregelen heeft genomen om persoonsgegevens te beschermen en dat incidenten proactief zijn gedetecteerd en aangepakt volgens geautoriseerde procedures. Tijdens audits, compliance reviews en certificering procedures moeten organisaties kunnen aantonen, verifiëren en demonstreren dat de auditlogging configuratie correct, volledig en effectief is geïmplementeerd en dat logs daadwerkelijk, consistent en betrouwbaar worden gegenereerd, opgeslagen en bewaard volgens de gedefinieerde retentie vereisten. Deze demonstratie vereist niet alleen technische configuratie en implementatie, maar ook adequate, actuele en toegankelijke documentatie en gedocumenteerde processen die aantonen dat de logging correct functioneert, wordt gebruikt voor beveiligingsdoeleinden, en wordt gemonitord volgens vastgestelde procedures. Dit vereist dat organisaties beschikken over adequate, actuele en toegankelijke beleidsdocumentatie die gedetailleerd beschrijft hoe de auditlogging is geconfigureerd, welke specifieke gebeurtenissen worden vastgelegd, hoe lang logs worden bewaard volgens retentie vereisten, en wie toegang heeft tot de logs en onder welke voorwaarden. Deze documentatie moet regelmatig worden bijgewerkt, gereviseerd en gevalideerd om te reflecteren wijzigingen in de configuratie, processen, of compliance vereisten, en moet beschikbaar zijn voor interne en externe auditors tijdens compliance reviews. De documentatie moet ook gedetailleerd beschrijven hoe logs worden geanalyseerd, hoe incidenten worden gedetecteerd en gereageerd op basis van audit log informatie, en hoe de effectiviteit van de logging wordt gemeten en verbeterd. Deze processen zijn essentieel en verplicht omdat zij aantonen dat de organisatie niet alleen logs genereert en opslaat, maar deze ook daadwerkelijk, effectief en proactief gebruikt voor beveiligingsdoeleinden, dreigingsdetectie, en incident response. Organisaties moeten regelmatig en systematisch compliance checks en verificaties uitvoeren om te verifiëren dat de configuratie nog steeds correct is toegepast, dat er geen regressies of configuratiedrift zijn opgetreden, en dat alle endpoints compliant blijven met de beveiligingsvereisten. Deze checks moeten worden uitgevoerd volgens een vastgesteld, geautoriseerd en gedocumenteerd schema en moeten volledig worden gedocumenteerd voor interne en externe audit doeleinden. De resultaten van deze checks moeten beschikbaar en toegankelijk zijn voor interne en externe auditors, compliance officers, en management, en moeten worden gebruikt voor continue verbetering van de beveiligingsposture. In het geval van beveiligingsincidenten, datalekken of beveiligingsinbreuken kunnen audit logs cruciaal, onbetwistbaar en juridisch geldig bewijs leveren voor forensische analyse, incident response, en eventuele juridische procedures, en kunnen zij helpen bij het identificeren van de oorzaak, omvang, impact en tijdlijn van het incident. Audit logs kunnen ook worden gebruikt om te demonstreren en te verifiëren dat de organisatie adequate, proportionele en effectieve beveiligingsmaatregelen heeft genomen en dat incidenten snel, proactief en adequaat zijn gedetecteerd en aangepakt volgens geautoriseerde incident response procedures. Organisaties moeten daarom waarborgen en garanderen dat audit logs voldoende lang worden bewaard volgens compliance vereisten en dat zij beschermd zijn tegen wijziging, manipulatie of verwijdering door onbevoegden door middel van technische en organisatorische beveiligingsmaatregelen. De integriteit, authenticiteit en betrouwbaarheid van audit logs is essentieel en kritiek omdat gewijzigde, gemanipuleerde of verwijderde logs niet kunnen worden gebruikt als geldig en betrouwbaar bewijs tijdens forensische analyses, compliance reviews, of juridische procedures, en omdat compromittering van log integriteit de volledige waarde en betrouwbaarheid van de audit trail ondermijnt.
Compliance & Frameworks
- CIS M365: Control 18.9.19.2 (L1) - CIS Security Benchmark aanbevelingen
- BIO: 16.01 - BIO Baseline Informatiebeveiliging Overheid - 16.01 - Gebeurtenissen logging en audittrails
- ISO 27001:2022: A.12.4.1 - ISO 27001:2022 - Gebeurtenissen logging en audittrails
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Intune Audit Logging: Other Policy Change Events Failure
.DESCRIPTION
CIS - Other policy change events Failure auditing.
.NOTES
Filename: audit-other-policy.ps1|Author: Nederlandse Baseline voor Veilige Cloud|AuditPol: Other Policy Change Events|Expected: Failure
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $Category = "Other Policy Change Events"; $ExpectedValue = "Failure"
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance {
$r = [PSCustomObject]@{ScriptName = "other-policy.ps1"; PolicyName = "Other Policy Change"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; function Invoke-Revert { auditpol /set /subcategory:"$Category" /failure:disable | Out-Null }
try { $audit = auditpol /get /subcategory:"$Category" /r | ConvertFrom-Csv; $setting = $audit.'Inclusion Setting'; $r.CurrentValue = $setting; if ($setting -match $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Audit: $setting" }else { $r.Details += "Audit: $setting" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r
}
function Invoke-Remediation { auditpol /set /subcategory:"$Category" /failure:enable | Out-Null; Write-Host "Other Policy Change: Failure" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { auditpol /set /subcategory:"$Category" /failure:disable | Out-Null }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
High: Zonder adequate auditlogging van beleidswijzigingen kunnen kwaadwillenden wijzigingen aan beveiligingsinstellingen doorvoeren zonder detectie, waardoor de organisatie kwetsbaar wordt voor geavanceerde persistent threats en insider threats. Tevens kan niet worden voldaan aan compliance vereisten van CIS, BIO en ISO 27001.
Management Samenvatting
Configureer auditlogging voor overige beleidswijzigingsgebeurtenissen via Microsoft Intune om zowel geslaagde als mislukte wijzigingspogingen vast te leggen, waardoor een volledig audit trail ontstaat voor forensische analyse en compliance doeleinden.
- Implementatietijd: 2 uur
- FTE required: 0.01 FTE