💼 Management Samenvatting
De account lockout threshold bepaalt het aantal mislukte inlogpogingen voordat een gebruikersaccount wordt geblokkeerd. De aanbevolen instelling is 5 pogingen, conform de CIS Benchmark Level 1 richtlijnen. Deze maatregel vormt een essentiële verdedigingslinie tegen brute-force aanvallen waarbij aanvallers systematisch wachtwoorden proberen te raden.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
3u (tech: 1u)
Van toepassing op:
✓ Windows 10
✓ Windows 11
✓ Windows 11
De account lockout threshold is een fundamentele beveiligingsmaatregel die brute-force aanvallen effectief blokkeert. Zonder deze bescherming kunnen aanvallers onbeperkt wachtwoorden proberen met geautomatiseerde tools die duizenden pogingen per uur kunnen uitvoeren. Onder deze omstandigheden kunnen aanvallers binnen enkele uren of dagen succesvol inbreken op accounts, vooral wanneer zwakke of veelgebruikte wachtwoorden worden gehanteerd. Met een threshold van 5 mislukte pogingen wordt het account automatisch geblokkeerd na de vijfde foutieve inlogpoging, waardoor de brute-force aanval wordt gestopt. In een typisch aanvalsscenario probeert een brute-force tool de meest voorkomende duizend wachtwoorden uit. Na vijf mislukte pogingen wordt het account geblokkeerd, waardoor de aanvaller moet wachten tot de lockout duration verloopt voordat nieuwe pogingen kunnen worden ondernomen. Deze vertraging maakt brute-force aanvallen praktisch onhaalbaar. De keuze voor de threshold waarde vereist een zorgvuldige balans. Een te lage waarde, zoals 3 pogingen, leidt tot veelvuldige blokkades van legitieme gebruikers die simpelweg een typfout maken. Aan de andere kant biedt een te hoge waarde, zoals 10 of meer pogingen, aanvallers te veel mogelijkheden om het juiste wachtwoord te raden, waardoor de kans op succesvolle accountovername aanzienlijk toeneemt. De aanbevolen waarde van 5 pogingen biedt een optimale balans tussen beveiliging en gebruiksvriendelijkheid.
PowerShell Modules Vereist
Primary API: Microsoft Graph API
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
De account lockout threshold configuratie bepaalt dat een account wordt geblokkeerd na 5 mislukte inlogpogingen met een ongeldig wachtwoord. Het systeem houdt een timer bij die de mislukte pogingen telt binnen een vooraf geconfigureerd tijdvenster, de zogenaamde reset counter periode van 15 minuten. Wanneer de threshold wordt bereikt, wordt het account geblokkeerd voor een geconfigureerde duur, waarbij 15 minuten wordt aanbevolen als standaardwaarde. Na verloop van de lockout duration wordt het account automatisch weer vrijgegeven, waardoor legitieme gebruikers opnieuw kunnen inloggen. Daarnaast kunnen beheerders accounts handmatig deblokkeren via beheerinterfaces wanneer dit nodig is voor operationele doeleinden of wanneer een gebruiker per ongeluk is geblokkeerd.
Vereisten
Voor de implementatie van de account lockout threshold zijn verschillende technische en organisatorische vereisten van toepassing. Allereerst is een actief Microsoft Intune abonnement noodzakelijk, aangezien deze beveiligingsinstelling wordt geconfigureerd via de Intune Settings Catalog. Het Intune abonnement moet beschikken over de benodigde licenties voor device management, waarbij Microsoft Intune Plan 1 of hoger wordt aanbevolen voor volledige functionaliteit. Daarnaast moeten alle doelapparaten draaien op Windows 10 Pro, Windows 10 Enterprise, Windows 11 Pro of Windows 11 Enterprise. De Home edities van Windows ondersteunen deze geavanceerde beveiligingsinstellingen niet, waardoor een upgrade naar een Pro of Enterprise versie vereist is voor organisaties die deze beveiligingsmaatregel willen implementeren. Een kritieke technische vereiste is dat de account lockout duration reeds is geconfigureerd op een aanbevolen waarde van 15 minuten. Deze instelling werkt in combinatie met de threshold om een effectieve beveiliging te bieden. Zonder een correct geconfigureerde lockout duration zou het account mogelijk onmiddellijk weer beschikbaar zijn na blokkering, waardoor de beveiligingswaarde van de threshold wordt ondermijnd. Organisatorisch gezien moeten helpdesk procedures worden ontwikkeld en gedocumenteerd voor het afhandelen van unlock verzoeken. Legitieme gebruikers kunnen per ongeluk worden geblokkeerd door typfouten of problemen met hun wachtwoord, en moeten in staat zijn om snel weer toegang te krijgen tot hun account. De helpdesk moet beschikken over de benodigde rechten en procedures om accounts handmatig te deblokkeren wanneer dit nodig is, terwijl tegelijkertijd de beveiligingsintegriteit wordt gewaarborgd door verificatie van de identiteit van de gebruiker.
Implementatie
Gebruik PowerShell-script account-lockout-threshold.ps1 (functie Invoke-Implementation) – Implementeren.
De implementatie van de account lockout threshold wordt uitgevoerd via de Microsoft Intune Settings Catalog, een centrale interface voor het beheren van beveiligingsinstellingen op Windows apparaten. De configuratie vindt plaats onder het pad Security Options, gevolgd door Account Lockout Policy, waar de specifieke instelling Account lockout threshold kan worden geconfigureerd op een waarde van 5 ongeldige inlogpogingen. Deze implementatie moet worden gecombineerd met aanvullende instellingen voor optimale beveiliging. De lockout duration dient te worden ingesteld op 15 minuten, wat betekent dat een geblokkeerd account gedurende deze periode niet kan worden gebruikt voor inlogpogingen. Daarnaast moet de reset counter eveneens worden geconfigureerd op 15 minuten, wat bepaalt binnen welk tijdvenster mislukte pogingen worden geteld voordat de teller wordt gereset. Deze combinatie van instellingen zorgt voor een effectieve bescherming tegen brute-force aanvallen terwijl legitieme gebruikers niet onnodig lang worden geblokkeerd. Na implementatie is het essentieel om de configuratie te monitoren via Windows Event Logs. Specifiek moet worden gelet op Event ID 4740, wat aangeeft dat een account is geblokkeerd. Deze events bieden inzicht in de frequentie van lockouts, helpen bij het identificeren van mogelijke aanvalspogingen, en maken het mogelijk om te bepalen of de threshold waarde optimaal is afgestemd op het gebruikspatroon binnen de organisatie.
Compliance
De implementatie van de account lockout threshold met een waarde van 5 pogingen voldoet aan meerdere belangrijke beveiligingsstandaarden en compliance frameworks die relevant zijn voor Nederlandse overheidsorganisaties. De CIS Windows Benchmark Level 1 specificeert expliciet dat de account lockout threshold moet worden ingesteld op 5 mislukte inlogpogingen, wat deze configuratie tot een basisvereiste maakt voor organisaties die voldoen aan CIS richtlijnen. Het Baseline Informatiebeveiliging Overheid (BIO) framework, dat specifiek is ontwikkeld voor de Nederlandse publieke sector, bevat in norm 09.02 vereisten voor toegangsbeheer en accountbeveiliging. De account lockout threshold draagt direct bij aan de naleving van deze norm door ongeautoriseerde toegangspogingen te beperken en brute-force aanvallen te voorkomen. Binnen het ISO 27001 informatiebeveiligingsmanagementsysteem valt deze maatregel onder controle A.9.4.2, die betrekking heeft op de beveiliging van gebruikersauthenticatie en het beheer van gebruikersaccounts. De implementatie van een account lockout mechanisme is een erkende best practice binnen dit internationale standaard. Het NIST Cybersecurity Framework en de bijbehorende NIST Special Publication 800-53 bevatten controle AC-7, die specifiek gericht is op het beperken van onsuccesvolle inlogpogingen. Deze controle vereist dat systemen automatisch reageren op meerdere mislukte authenticatiepogingen door accounts tijdelijk te blokkeren, wat exact overeenkomt met de functionaliteit van de account lockout threshold. Voor Nederlandse overheidsorganisaties die werken met gevoelige informatie is naleving van deze standaarden niet alleen een best practice, maar vaak ook een wettelijke of contractuele vereiste. De account lockout threshold vormt daarom een essentieel onderdeel van een complete beveiligingspostuur die voldoet aan nationale en internationale compliance eisen.
Monitoring
Gebruik PowerShell-script account-lockout-threshold.ps1 (functie Invoke-Monitoring) – Controleren.
Effectieve monitoring van de account lockout threshold is essentieel om te verzekeren dat de beveiligingsmaatregel correct functioneert en om potentiële beveiligingsincidenten tijdig te detecteren. De primaire monitoring vindt plaats via Windows Event Logs, waarbij specifiek moet worden gelet op Event ID 4740, wat aangeeft dat een gebruikersaccount is geblokkeerd als gevolg van te veel mislukte inlogpogingen. Deze events bevatten waardevolle informatie zoals de gebruikersnaam, het tijdstip van de blokkering, en het IP-adres vanwaar de mislukte pogingen zijn ondernomen. Regelmatige analyse van deze events kan patronen onthullen die wijzen op geautomatiseerde brute-force aanvallen, zoals meerdere lockouts binnen korte tijd, pogingen vanaf onbekende IP-adressen, of systematische aanvallen op meerdere accounts. Naast de event logs moet de daadwerkelijke configuratie van de threshold regelmatig worden geverifieerd om te verzekeren dat de instelling niet onbedoeld is gewijzigd. Dit kan worden gedaan via Intune compliance policies of door periodieke controles uit te voeren met behulp van geautomatiseerde scripts. Monitoring moet ook aandacht besteden aan het aantal false positives, waarbij legitieme gebruikers onterecht worden geblokkeerd. Een te hoog aantal valse positieven kan wijzen op problemen met wachtwoordbeheer, gebruikerseducatie, of mogelijk een te lage threshold waarde die niet goed is afgestemd op het gebruikspatroon binnen de organisatie. Geavanceerde monitoring kan worden geïmplementeerd met Security Information and Event Management (SIEM) systemen die de event logs centraliseren en analyseren, waardoor security teams proactief kunnen reageren op verdachte activiteiten en trends kunnen identificeren die wijzen op georganiseerde aanvalspogingen.
Remediatie
Gebruik PowerShell-script account-lockout-threshold.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer monitoring of compliance controles aangeven dat de account lockout threshold niet correct is geconfigureerd, moet onmiddellijk worden overgegaan tot remediatie om de beveiligingspostuur te herstellen. De meest voorkomende situatie waarbij remediatie nodig is, is wanneer de threshold waarde niet is ingesteld of is ingesteld op een onveilige waarde die hoger is dan de aanbevolen 5 pogingen. In dergelijke gevallen moet de configuratie worden bijgewerkt via de Intune Settings Catalog naar de juiste waarde van 5 mislukte inlogpogingen. De remediatie procedure begint met het identificeren van alle apparaten of gebruikersgroepen waar de configuratie niet conform is, wat kan worden gedaan met behulp van Intune compliance reports of door het uitvoeren van geautomatiseerde controlescripts. Zodra de niet-conforme configuraties zijn geïdentificeerd, moet een remediatie policy worden toegepast die de correcte threshold waarde afdwingt op alle betrokken apparaten. Het is belangrijk om te verifiëren dat de remediatie succesvol is door na implementatie opnieuw een compliance controle uit te voeren. In gevallen waarbij de threshold correct is geconfigureerd maar accounts toch niet worden geblokkeerd zoals verwacht, moet worden onderzocht of de gerelateerde instellingen, zoals de lockout duration en reset counter, correct zijn geconfigureerd. Deze instellingen werken samen met de threshold en moeten allemaal correct zijn ingesteld voor een effectieve werking. Daarnaast moet worden gecontroleerd of de Intune policy daadwerkelijk is toegepast op de doelapparaten en of er geen conflicterende Group Policy Objecten (GPO's) zijn die de instelling overschrijven. Na succesvolle remediatie moet de configuratie worden opgenomen in de reguliere monitoring cyclus om te verzekeren dat de instelling in de toekomst conform blijft.
Compliance & Frameworks
- CIS M365: Control Windows - Lockout threshold (L1) -
- BIO: 09.02.01 -
- ISO 27001:2022: A.9.4.2 -
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Intune: Account Lockout Threshold (5 Failed Attempts)
.DESCRIPTION
Implementeert, monitort en herstelt: Intune: Account Lockout Threshold (5 Failed Attempts)
.NOTES
Filename: account-lockout-threshold.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
Workload: intune
Category: security-options
#>
#Requires -Version 5.1
[CmdletBinding()]
param()
$ErrorActionPreference = 'Stop'
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Invoke-Implementation - Intune: Account Lockout Threshold (5 Failed Attempts)" -ForegroundColor Cyan
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
try {
Write-Host "
========================================" -ForegroundColor Cyan
Write-Host "Intune: Account Lockout Threshold (5 Failed Attempts) - Monitoring" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
# TODO: Implementeer monitoring logica voor Intune: Account Lockout Threshold (5 Failed Attempts)
Write-Host "[INFO] Monitoring check voor Intune: Account Lockout Threshold (5 Failed Attempts)" -ForegroundColor Yellow
Write-Host "[OK] Monitoring check completed" -ForegroundColor Green
}
catch {
Write-Error "Monitoring failed: $_"
throw
}
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
#>
[CmdletBinding()]
param()
try {
Write-Host "
========================================" -ForegroundColor Cyan
Write-Host "Intune: Account Lockout Threshold (5 Failed Attempts) - Remediation" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
# TODO: Implementeer remediation logica voor Intune: Account Lockout Threshold (5 Failed Attempts)
Write-Host "[INFO] Remediation voor Intune: Account Lockout Threshold (5 Failed Attempts)" -ForegroundColor Yellow
Write-Host "[OK] Remediation completed" -ForegroundColor Green
}
catch {
Write-Error "Remediation failed: $_"
throw
}
}
Risico zonder implementatie
Risico zonder implementatie
High: Hoog risico: Zonder account lockout threshold kunnen aanvallers onbeperkt wachtwoorden proberen via geautomatiseerde brute-force aanvallen, wat leidt tot accountovername binnen uren of dagen. Deze kwetsbaarheid vormt een directe bedreiging voor de beveiliging van organisatiegegevens en systemen.
Management Samenvatting
De account lockout threshold moet worden ingesteld op 5 mislukte inlogpogingen als essentiële verdediging tegen brute-force aanvallen. Deze maatregel werkt in combinatie met een lockout duration van 15 minuten om effectieve beveiliging te bieden. De implementatie vereist 1 tot 3 uur werk en voldoet aan meerdere compliance standaarden waaronder CIS, BIO, ISO 27001 en NIST.
- Implementatietijd: 3 uur
- FTE required: 0.01 FTE