💼 Management Samenvatting
Deze beveiligingsregel waarborgt de correcte configuratie van auditlogging voor beveiligingsstatuswijzigingen op Windows endpoints, waardoor organisaties inzicht krijgen in wijzigingen aan kritieke beveiligingsinstellingen.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
7/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Windows
Deze instelling vormt een essentieel onderdeel van de Windows-beveiligingsbaseline en beschermt tegen bekende aanvalsvectoren door het monitoren en vastleggen van wijzigingen aan beveiligingsconfiguraties. Zonder adequate logging van beveiligingsstatuswijzigingen hebben beveiligingsteams geen inzicht in wanneer en hoe beveiligingsinstellingen worden aangepast, wat kan duiden op kwaadwillige activiteiten of configuratiefouten.
PowerShell Modules Vereist
Primary API: Graph
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
Deze regel configureert de Windows auditpolicy voor beveiligingsstatuswijzigingen om succesvolle gebeurtenissen vast te leggen via Microsoft Intune apparaatconfiguratiebeleid of nalevingsbeleid. Hierdoor worden alle wijzigingen aan beveiligingsinstellingen gedocumenteerd, wat essentieel is voor beveiligingsmonitoring, forensisch onderzoek en nalevingsdoeleinden.
Vereisten
Voor de implementatie van deze auditlogging-configuratie zijn verschillende vereisten noodzakelijk die zorgvuldig moeten worden geëvalueerd voordat u begint met de implementatie. Allereerst moet Microsoft Intune beschikbaar zijn als apparaatbeheerplatform, met de juiste licentieverlening voor uw organisatie. Dit betekent doorgaans dat u beschikt over een Microsoft 365 E3 of E5 licentie, of een Microsoft Intune licentie op zichzelf. De licentieverlening is cruciaal omdat zonder de juiste licentie bepaalde functionaliteiten mogelijk niet beschikbaar zijn of beperkt kunnen worden in hun gebruik. Daarnaast moeten alle doelapparaten correct zijn ingeschreven in Microsoft Intune en verbonden zijn met de Azure Active Directory-omgeving. Deze inschrijving kan plaatsvinden via verschillende methoden, zoals automatische inschrijving via Azure AD join, hybride Azure AD join voor apparaten die zijn verbonden met een on-premises Active Directory, of handmatige inschrijving voor specifieke use cases. Voor Windows-apparaten is het belangrijk dat ze minimaal Windows 10 versie 1809 of hoger draaien, of Windows 11, aangezien oudere versies mogelijk beperkte ondersteuning bieden voor de benodigde auditlogging-functionaliteiten. Nieuwere Windows-versies bieden verbeterde ondersteuning voor moderne beheertechnologieën en uitgebreidere auditlogging-mogelijkheden. Organisaties moeten ook beschikken over de juiste beheerrechten in Microsoft Intune, specifiek de rol van Intune-beheerder of globale beheerder, om apparaatconfiguratiebeleid te kunnen maken, toewijzen en beheren. Deze beheerrechten zijn essentieel voor het succesvol implementeren en onderhouden van de auditlogging-configuratie. Bovendien is het van belang dat de netwerkconnectiviteit tussen de Windows-apparaten en de Intune-service stabiel is, zodat beleidsconfiguraties tijdig worden toegepast en gesynchroniseerd. Onstabiele netwerkverbindingen kunnen leiden tot vertragingen in de configuratie-implementatie of zelfs tot het volledig falen van de configuratie. Ten slotte vereist effectieve auditlogging dat er voldoende schijfruimte beschikbaar is op de Windows-apparaten voor de auditlogs, en dat organisaties een log management strategie hebben voor het verzamelen, analyseren en archiveren van de gegenereerde auditgegevens. Onvoldoende schijfruimte kan resulteren in het verlies van belangrijke auditgebeurtenissen wanneer de logbestanden vol raken en oudere entries worden overschreven. Een goed doordachte log management strategie omvat niet alleen het verzamelen van logs, maar ook het implementeren van logretentiebeleid, het beveiligen van logdata tegen ongeautoriseerde toegang, en het regelmatig analyseren van logs op verdachte activiteiten.
Implementatie
De implementatie van de auditlogging-configuratie voor beveiligingsstatuswijzigingen begint met het voorbereiden van de Microsoft Intune-omgeving en het zorgvuldig plannen van de implementatiestrategie. Log eerst in op het Microsoft Endpoint Manager-beheercentrum met een account dat de benodigde beheerrechten heeft, waarbij u ervoor moet zorgen dat u beschikt over minimaal Intune-beheerderrechten of globale beheerderrechten. Deze rechten zijn essentieel omdat zonder de juiste bevoegdheden bepaalde configuratie-opties mogelijk niet beschikbaar zijn of u mogelijk beperkt wordt in uw mogelijkheden om beleidsregels te maken en toe te wijzen. Navigeer vervolgens naar de sectie voor apparaatconfiguratie, waar u een nieuw beleid kunt creëren specifiek voor Windows 10 en later. Deze navigatie kan worden gevonden onder het menu-item 'Apparaten' in het Microsoft Endpoint Manager-beheercentrum, gevolgd door 'Configuratiebeleid' en vervolgens 'Beleid maken'. Selecteer de juiste profielsoort, in dit geval de Windows 10 en later categorie, en kies voor de instellingencatalogus of endpoint protection-sjabloon afhankelijk van de beschikbare opties in uw Intune-omgeving. De instellingencatalogus biedt een uitgebreide lijst van beschikbare instellingen die u kunt configureren, terwijl sjablonen vooraf geconfigureerde sets van instellingen bevatten die gericht zijn op specifieke beveiligingsscenario's. Bij het configureren van het beleid moet u specifiek zoeken naar de audit policy-instellingen, en daar de categorie voor beveiligingsstatuswijzigingen selecteren. Deze categorie is te vinden onder de Windows-auditinstellingen en kan worden geïdentificeerd als 'Security State Change' of 'Beveiligingsstatuswijziging' afhankelijk van de taalinstellingen van uw Intune-omgeving. Configureer deze instelling zodanig dat zowel succesvolle als mislukte gebeurtenissen worden gelogd, waarbij de focus ligt op het vastleggen van succesvolle wijzigingen aan beveiligingsinstellingen. Dit betekent dat u de instelling moet configureren als 'Include Success' of 'Success and Failure' afhankelijk van de exacte terminologie in de Intune-interface. Het vastleggen van succesvolle gebeurtenissen is bijzonder belangrijk omdat deze aangeven wanneer beveiligingsinstellingen daadwerkelijk zijn gewijzigd, wat cruciaal is voor het detecteren van ongeautoriseerde wijzigingen of het traceren van configuratiewijzigingen voor nalevingsdoeleinden. Na het configureren van de kerninstellingen, is het belangrijk om het beleid een duidelijke en beschrijvende naam te geven, bijvoorbeeld 'Audit Beveiligingsstatuswijzigingen - Succesvol', en een gedetailleerde beschrijving toe te voegen die uitlegt wat het beleid doet en waarom het belangrijk is. Deze beschrijving helpt andere beheerders in uw organisatie om te begrijpen wat het beleid doet en wanneer het is geïmplementeerd. Voeg vervolgens de relevante tags toe voor categorisering en nalevingsdoeleinden, zoals 'Audit', 'Logging', 'Beveiliging', en 'Naleving'. Het toewijzen van het beleid gebeurt door het selecteren van de juiste beveiligingsgroepen binnen Azure Active Directory. Overweeg om te beginnen met een testgroep met een beperkt aantal apparaten om te valideren dat de configuratie correct werkt voordat u het beleid uitrolt naar de volledige organisatie. Deze gefaseerde aanpak helpt bij het identificeren van potentiële problemen voordat ze impact hebben op de volledige organisatie. Na toewijzing kan het enkele minuten tot enkele uren duren voordat de configuratie wordt toegepast op de doelapparaten, afhankelijk van de synchronisatie-instellingen en netwerkcondities. Apparaten synchroniseren normaal gesproken automatisch met Intune, maar u kunt ook handmatig een synchronisatie forceren vanuit de Intune-console of via PowerShell. Gebruik het monitoring- en rapportagegedeelte van Intune om te controleren of de configuratie succesvol is toegepast en of er geen fouten zijn opgetreden tijdens de implementatie. Deze monitoring moet regelmatig worden uitgevoerd, vooral in de eerste dagen na implementatie, om ervoor te zorgen dat alle apparaten de configuratie correct hebben ontvangen en toegepast.
Gebruik PowerShell-script system-audit-security-state-change-is-set-to-include-success.ps1 (functie Invoke-Monitoring) – Gebruik het bijgevoegde PowerShell-script om de configuratie te monitoren en te valideren op individuele apparaten..
Monitoring
Effectieve monitoring van de auditlogging-configuratie vereist een gestructureerde aanpak die zowel technische verificatie als continue observatie omvat, waarbij verschillende monitoringlagen worden gecombineerd om een volledig beeld te krijgen van de status en effectiviteit van de auditlogging-implementatie. Begin met het controleren of de configuratie daadwerkelijk is toegepast op de doelapparaten door gebruik te maken van de nalevingsrapportage in Microsoft Intune. Deze rapporten tonen per apparaat of het beleid succesvol is geïmplementeerd en of er eventuele conflicten of fouten zijn opgetreden. De nalevingsrapportage biedt een overzichtelijke weergave van de nalevingsstatus van alle apparaten en kan worden gefilterd op verschillende criteria, zoals apparaattype, gebruikersgroep, of nalevingsstatus. Deze rapporten moeten regelmatig worden gecontroleerd, bij voorkeur dagelijks in de eerste weken na implementatie en daarna wekelijks of maandelijks afhankelijk van de grootte van uw organisatie en de frequentie van configuratiewijzigingen. Naast de Intune-rapportage is het essentieel om de lokale auditlogging-configuratie op individuele Windows-apparaten te verifiëren. Dit kan worden gedaan door gebruik te maken van de Group Policy Editor op een testapparaat, of door het uitvoeren van PowerShell-commando's zoals 'auditpol /get /category:"Security State Change"' om de huidige auditinstellingen te controleren. De output van dit commando moet aangeven dat de Security State Change-categorie is geconfigureerd om succesvolle gebeurtenissen te loggen. Deze lokale verificatie is belangrijk omdat het u in staat stelt om te bevestigen dat de configuratie daadwerkelijk is toegepast op het apparaat, onafhankelijk van wat de Intune-rapportage aangeeft. Daarnaast moet u regelmatig de Windows Event Logs controleren, specifiek de Security log, om te valideren dat er daadwerkelijk auditgebeurtenissen worden gegenereerd wanneer beveiligingsstatuswijzigingen plaatsvinden. Deze controle kan worden uitgevoerd via de Event Viewer-toepassing in Windows, of via PowerShell-commando's die de Event Logs programmatisch kunnen lezen en analyseren. Zoek naar event ID 4719, wat specifiek verwijst naar systeem audit policy changes, en andere relevante event IDs binnen de Security State Change categorie. Het is belangrijk om een baseline te creëren van wat normale beveiligingsstatuswijzigingen zijn binnen uw organisatie, zodat u afwijkingen kunt detecteren die mogelijk wijzen op beveiligingsincidenten. Deze baseline moet worden ontwikkeld door het analyseren van auditlogs over een periode van enkele weken of maanden, waarbij u let op patronen zoals de frequentie van wijzigingen, de tijdstippen waarop wijzigingen plaatsvinden, en de gebruikers of systemen die de wijzigingen initiëren. Overweeg het implementeren van een Security Information and Event Management (SIEM) oplossing of gebruik te maken van Azure Sentinel voor geavanceerde loganalyse en dreigingsdetectie. Deze oplossingen kunnen helpen bij het automatisch detecteren van afwijkingen en het genereren van waarschuwingen wanneer verdachte activiteiten worden gedetecteerd. Stel waarschuwingen in voor ongebruikelijke beveiligingsstatuswijzigingen, zoals wijzigingen buiten kantooruren of wijzigingen door niet-geautoriseerde gebruikers. Deze waarschuwingen moeten worden geconfigureerd met de juiste drempelwaarden om te voorkomen dat er te veel vals-positieve meldingen worden gegenereerd, wat kan leiden tot waarschuwingsmoeheid bij beveiligingspersoneel. Regelmatige audits van de gegenereerde logs helpen bij het identificeren van potentiële beveiligingsproblemen en het waarborgen van naleving met relevante regelgeving zoals de AVG, BIO en ISO 27001 normen. Deze audits moeten worden uitgevoerd door getraind beveiligingspersoneel dat bekend is met de verschillende soorten beveiligingsstatuswijzigingen en de mogelijke implicaties daarvan. Documenteer uw monitoringprocedures en zorg ervoor dat beveiligingspersoneel is getraind in het interpreteren van auditlogs en het reageren op verdachte activiteiten. Deze documentatie moet worden bijgewerkt wanneer er wijzigingen worden aangebracht in de monitoringprocedures of wanneer nieuwe soorten bedreigingen worden geïdentificeerd.
Gebruik PowerShell-script system-audit-security-state-change-is-set-to-include-success.ps1 (functie Invoke-Monitoring) – Het bijgevoegde PowerShell-script automatiseert de verificatie van de auditlogging-configuratie en genereert rapportages over de compliance status..
Remediatie
Wanneer blijkt dat de auditlogging-configuratie niet correct is toegepast op bepaalde apparaten, is een gestructureerde remediatieaanpak essentieel om ervoor te zorgen dat alle apparaten binnen uw organisatie de juiste auditlogging-configuratie hebben en dat eventuele problemen snel worden opgelost. Identificeer allereerst de oorzaak van het probleem door de nalevingsrapportage in Microsoft Intune te raadplegen, die specifieke foutmeldingen en waarschuwingen kan bevatten die aangeven waarom de configuratie niet is toegepast. Deze foutmeldingen kunnen variëren van eenvoudige synchronisatiefouten tot complexere problemen zoals conflicterende beleidsregels of incompatibele configuraties. Het is belangrijk om deze foutmeldingen zorgvuldig te analyseren en te begrijpen wat de onderliggende oorzaak is voordat u begint met het implementeren van oplossingen. Veelvoorkomende oorzaken zijn conflicterende beleidsregels, onvoldoende bevoegdheden, netwerkproblemen die de synchronisatie verhinderen, of incompatibele Windows-versies. Conflicterende beleidsregels kunnen optreden wanneer meerdere beleidsregels proberen dezelfde instelling te configureren met verschillende waarden, waarbij de prioriteit van het beleid bepaalt welke configuratie wordt toegepast. Onvoldoende bevoegdheden kunnen voorkomen wanneer het apparaat niet de juiste rechten heeft om de auditlogging-configuratie toe te passen, wat vaak het geval is bij gebruikersaccounts met beperkte rechten. Netwerkproblemen kunnen de synchronisatie tussen het apparaat en de Intune-service verhinderen, waardoor configuratiewijzigingen niet worden ontvangen of toegepast. Incompatibele Windows-versies kunnen voorkomen dat bepaalde configuratie-opties worden toegepast, vooral wanneer u probeert configuraties toe te passen die alleen beschikbaar zijn in nieuwere Windows-versies. Voor apparaten waar de configuratie niet automatisch kan worden toegepast via Intune, kan handmatige interventie noodzakelijk zijn. In dergelijke gevallen kunt u de auditlogging-configuratie direct op het apparaat instellen via Group Policy Editor of door gebruik te maken van PowerShell-commando's zoals 'auditpol /set /category:"Security State Change" /success:enable'. Deze handmatige configuratie moet echter worden gezien als een tijdelijke oplossing, terwijl u de onderliggende oorzaak van het probleem met de Intune-implementatie oplost. Het is belangrijk om te documenteren welke apparaten handmatig zijn geconfigureerd en waarom, zodat u later kunt terugkeren naar deze apparaten om te controleren of de Intune-configuratie alsnog correct werkt. Voor apparaten die offline zijn of niet regelmatig verbinding maken met de Intune-service, overweeg het aanpassen van de synchronisatie-instellingen of het implementeren van aanvullende mechanismen voor configuratiemanagement. Deze mechanismen kunnen variëren van het configureren van meer frequente synchronisatie-intervallen tot het implementeren van on-premises configuratiemanagement-oplossingen die kunnen werken wanneer apparaten niet verbonden zijn met de Intune-service. In situaties waar er conflicterende beleidsregels zijn, moet u de prioriteit en voorrang van de verschillende beleidsregels evalueren en waar nodig aanpassen om ervoor te zorgen dat de gewenste configuratie prevaleert. Deze evaluatie moet worden uitgevoerd door een beheerder die volledig begrijpt welke beleidsregels van toepassing zijn op welke apparaten en welke configuraties prioriteit moeten hebben. Na het uitvoeren van remediatiestappen, is het belangrijk om opnieuw te verifiëren dat de configuratie correct is toegepast door het monitoringproces te herhalen. Deze verificatie moet worden uitgevoerd binnen enkele uren na het implementeren van de remediatie, om ervoor te zorgen dat de configuratie daadwerkelijk is toegepast en dat er geen nieuwe problemen zijn ontstaan. Documenteer alle remediatieacties die u onderneemt, inclusief de genomen stappen, de uitkomsten en eventuele lessen die zijn geleerd, zodat toekomstige implementaties soepeler verlopen. Deze documentatie kan worden gebruikt als referentie voor toekomstige problemen en kan helpen bij het ontwikkelen van best practices voor remediatie. Voor persistente problemen kan het nodig zijn om contact op te nemen met Microsoft Support of uw IT-partner voor verdere probleemoplossing en ondersteuning. Deze externe ondersteuning kan waardevol zijn wanneer u te maken krijgt met complexe problemen die niet eenvoudig kunnen worden opgelost met standaard remediatieprocedures.
Gebruik PowerShell-script system-audit-security-state-change-is-set-to-include-success.ps1 (functie Invoke-Remediation) – Het bijgevoegde PowerShell-script kan worden gebruikt om automatisch remediatie uit te voeren op apparaten waar de configuratie ontbreekt of incorrect is..
Compliance en Auditing
De implementatie van auditlogging voor beveiligingsstatuswijzigingen is van cruciaal belang voor het voldoen aan diverse nalevings- en auditingvereisten die van toepassing zijn op Nederlandse overheidsorganisaties en andere publieke sector entiteiten. Deze vereisten zijn niet alleen belangrijk voor het waarborgen van de beveiliging van informatie en systemen, maar ook voor het demonstreren van zorgvuldigheid en het voldoen aan wettelijke en regelgevende verplichtingen. Binnen de BIO Baseline Informatiebeveiliging Overheid, specifiek controle 16.01 betreffende gebeurtenissenlogging en audittrails, wordt expliciet vereist dat organisaties alle relevante beveiligingsgebeurtenissen vastleggen, inclusief wijzigingen aan beveiligingsconfiguraties. Deze controle is onderdeel van het BIO-kader dat is ontwikkeld om Nederlandse overheidsorganisaties te helpen bij het implementeren van adequate informatiebeveiligingsmaatregelen. De logging vormt de basis voor effectieve beveiligingsmonitoring, incidentafhandeling en forensisch onderzoek wanneer er beveiligingsincidenten optreden. Zonder adequate logging is het vrijwel onmogelijk om te bepalen wat er is gebeurd tijdens een beveiligingsincident, wie verantwoordelijk was voor bepaalde acties, en welke maatregelen moeten worden genomen om toekomstige incidenten te voorkomen. Voor ISO 27001:2022 naleving, onder controle A.12.4.1, moeten organisaties aantonen dat zij beschikken over uitgebreide logging van systeemgebeurtenissen, waarbij beveiligingsstatuswijzigingen een kritieke component vormen. Deze controle vereist dat organisaties logging implementeren voor alle relevante systeemgebeurtenissen, inclusief beveiligingsgebeurtenissen, gebruikersactiviteiten, en wijzigingen aan systeemconfiguraties. De auditlogs die worden gegenereerd door deze configuratie dienen als auditbewijs tijdens externe audits en assessments, waarbij auditors moeten kunnen verifiëren dat de organisatie adequaat monitort op wijzigingen aan beveiligingsinstellingen en dat er passende beheersmaatregelen aanwezig zijn. Dit auditbewijs is essentieel voor het verkrijgen en behouden van certificeringen zoals ISO 27001 en voor het demonstreren van naleving met relevante regelgeving. Daarnaast is deze logging essentieel voor AVG-naleving, aangezien wijzigingen aan beveiligingsconfiguraties direct invloed kunnen hebben op de bescherming van persoonsgegevens. De Algemene Verordening Gegevensbescherming vereist dat organisaties passende technische en organisatorische maatregelen nemen om persoonsgegevens te beschermen, en de auditlogging van beveiligingsstatuswijzigingen vormt een belangrijk onderdeel hiervan. Organisaties moeten kunnen aantonen dat zij passende technische en organisatorische maatregelen hebben genomen om persoonsgegevens te beschermen, waarbij de auditlogging van beveiligingsstatuswijzigingen een cruciaal bewijsstuk vormt voor het demonstreren van deze zorgvuldigheid. Deze logging stelt organisaties in staat om te bewijzen dat zij adequaat monitoren op wijzigingen die de beveiliging van persoonsgegevens kunnen beïnvloeden, wat essentieel is voor het voldoen aan de verantwoordingsplicht zoals vastgelegd in artikel 5 lid 2 van de AVG. Voor de CIS Controls, specifiek controle 18.9.19.2, wordt aanbevolen om uitgebreide auditlogging te implementeren voor alle relevante beveiligingsgebeurtenissen. Deze controle is onderdeel van de CIS Critical Security Controls, een reeks aanbevolen beveiligingsmaatregelen die zijn ontwikkeld door het Center for Internet Security. Het is belangrijk om te documenteren hoe de auditlogging is geïmplementeerd, welke event IDs worden gelogd, hoe lang de logs worden bewaard, en wie toegang heeft tot deze logs. Deze documentatie moet worden bijgewerkt wanneer er wijzigingen worden aangebracht in de auditlogging-configuratie of wanneer nieuwe soorten gebeurtenissen worden gelogd. Regelmatige reviews van de auditlogs door beveiligingspersoneel en nalevingsfunctionarissen helpen bij het waarborgen van continue naleving en het identificeren van potentiële verbeterpunten in de beveiligingspositie van de organisatie. Deze reviews moeten worden uitgevoerd volgens een vastgesteld schema, bijvoorbeeld maandelijks of driemaandelijks, afhankelijk van de grootte van uw organisatie en de complexiteit van uw IT-omgeving. Zorg ervoor dat de auditlogs worden beschermd tegen ongeautoriseerde toegang en wijziging, en dat er adequate backup- en recovery-mechanismen zijn geïmplementeerd voor de auditdata. Deze bescherming is essentieel omdat auditlogs kunnen worden gebruikt als bewijs in juridische procedures en omdat het verlies of wijziging van auditlogs kan leiden tot nalevingsproblemen en problemen bij forensisch onderzoek.
Compliance & Frameworks
- CIS M365: Control 18.9.19.2 (L1) - CIS Security Benchmark aanbevelingen
- BIO: 16.01 - BIO Baseline Informatiebeveiliging Overheid - 16.01 - Gebeurtenissen logging en audittrails
- ISO 27001:2022: A.12.4.1 - ISO 27001:2022 - Gebeurtenissen logging en audittrails
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Intune Audit Logging: Security State Change Success
.DESCRIPTION
CIS - Security state change Success.
.NOTES
Filename: audit-sec-state.ps1|Author: Nederlandse Baseline voor Veilige Cloud|AuditPol: Security State Change|Expected: Success
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $Category = "Security State Change"; $ExpectedValue = "Success"
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance {
$r = [PSCustomObject]@{ScriptName = "sec-state.ps1"; PolicyName = "Security State Change"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; function Invoke-Revert { auditpol /set /subcategory:"$Category" /success:disable | Out-Null }
try { $audit = auditpol /get /subcategory:"$Category" /r | ConvertFrom-Csv; $setting = $audit.'Inclusion Setting'; $r.CurrentValue = $setting; if ($setting -match $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Audit: $setting" }else { $r.Details += "Audit: $setting" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r
}
function Invoke-Remediation { auditpol /set /subcategory:"$Category" /success:enable | Out-Null; Write-Host "Security State Change: Success" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { auditpol /set /subcategory:"$Category" /success:disable | Out-Null }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
High: Zonder adequate logging van beveiligingsstatuswijzigingen ontbreekt zichtbaarheid in wijzigingen aan kritieke beveiligingsinstellingen, wat het detecteren van beveiligingsincidenten en het voldoen aan nalevingsvereisten bemoeilijkt.
Management Samenvatting
Schakel auditlogging in voor beveiligingsstatuswijzigingen om wijzigingen aan beveiligingsconfiguraties te monitoren en nalevingsvereisten te vervullen.
- Implementatietijd: 2 uur
- FTE required: 0.01 FTE