💼 Management Samenvatting
Deze beveiligingsregel waarborgt de correcte configuratie van PKINIT-authenticatie voor apparaten op Windows endpoints, wat essentieel is voor het beveiligen van Kerberos-verificatieprocessen binnen organisaties.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
7/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Windows
Deze instelling vormt een cruciaal onderdeel van de Windows-beveiligingsbaseline en beschermt tegen bekende aanvalsvectoren door het afdwingen van veilige configuraties voor apparaatauthenticatie. Zonder correcte PKINIT-configuratie kunnen aanvallers misbruik maken van zwakke authenticatiemechanismen en ongeautoriseerde toegang verkrijgen tot netwerkbronnen.
PowerShell Modules Vereist
Primary API: Graph
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
Deze beveiligingsregel configureert de PKINIT-authenticatie voor apparaten via de Windows-registerwaarde via Microsoft Intune apparaatconfiguratiebeleid of compliance policies om Windows endpoints te beveiligen volgens beveiligingsbest practices. PKINIT (Public Key Initialization) maakt gebruik van certificaatgebaseerde authenticatie in plaats van wachtwoordgebaseerde authenticatie, wat de beveiligingspostuur aanzienlijk verbetert.
Vereisten
Voor de implementatie van PKINIT-authenticatie voor apparaten via Microsoft Intune zijn verschillende technische en organisatorische vereisten van toepassing. Allereerst dient de organisatie te beschikken over een actief Microsoft Intune-licentiepakket dat deviceconfiguratiebeleidsregels ondersteunt. Dit betekent dat alle beheerde Windows-apparaten moeten zijn geregistreerd in Microsoft Intune en onderdeel moeten uitmaken van een actief device management programma. De organisatie moet beschikken over de juiste beheerdersrechten binnen Microsoft Intune, specifiek de rol van Intune-beheerder of globale beheerder, om apparaatconfiguratiebeleidsregels te kunnen maken, toewijzen en beheren. Daarnaast is het essentieel dat de organisatie beschikt over een Public Key Infrastructure (PKI) omgeving die certificaten kan uitgeven voor apparaatauthenticatie. Dit vereist een werkende certificeringsinstantie (CA) die compatibel is met Windows Active Directory of Azure Active Directory. De PKI-omgeving moet in staat zijn om machinecertificaten uit te geven die geschikt zijn voor Kerberos-authenticatie. Organisaties moeten ook beschikken over een goed ingerichte Active Directory of Azure Active Directory omgeving waarin apparaten correct zijn geregistreerd en geconfigureerd. De netwerkinfrastructuur moet ondersteuning bieden voor Kerberos-protocollen en de benodigde poorten moeten openstaan voor authenticatieverkeer. Vanuit organisatorisch perspectief is het belangrijk dat er een duidelijk beleid bestaat voor certificaatbeheer, inclusief certificaatlevensduur, verlenging en intrekking. De IT-afdeling moet beschikken over de kennis en vaardigheden om PKI-omgevingen te beheren en te onderhouden. Daarnaast moet er een proces zijn voor het monitoren en auditen van apparaatauthenticatie om te kunnen verifiëren dat de configuratie correct werkt en dat er geen beveiligingsincidenten plaatsvinden. Voor de implementatie zelf is het nodig dat er een testomgeving beschikbaar is waarin de configuratie eerst kan worden gevalideerd voordat deze wordt uitgerold naar productieomgevingen. Dit helpt om potentiële problemen vroegtijdig te identificeren en op te lossen zonder impact op de operationele omgeving.
Implementatie
De implementatie van PKINIT-authenticatie voor apparaten via Microsoft Intune vereist een gestructureerde aanpak die begint met een grondige voorbereiding en planning. Het implementatieproces start met het analyseren van de huidige omgeving om te bepalen welke apparaten in aanmerking komen voor deze configuratie en wat de impact zal zijn op bestaande authenticatieprocessen. Vervolgens moet er een apparaatconfiguratiebeleid worden gemaakt binnen Microsoft Intune dat de PKINIT-instelling activeert. Dit beleid configureert de Windows-registerwaarde die PKINIT-authenticatie voor apparaten mogelijk maakt, waardoor machines kunnen authenticeren met behulp van certificaten in plaats van wachtwoorden. De implementatie begint met het aanmaken van een nieuw apparaatconfiguratiebeleid in de Microsoft Intune-beheerconsole. Binnen dit beleid selecteert de beheerder de categorie voor beveiligingsopties en specifiek de instelling voor PKINIT-authenticatie. De beheerder configureert de instelling zodanig dat deze is ingeschakeld en gekoppeld aan de juiste Windows-registerwaarde. Na het configureren van het beleid moet dit worden toegewezen aan de relevante groepen apparaten of gebruikers binnen de organisatie. Het is belangrijk om te beginnen met een pilotgroep om te valideren dat de configuratie correct werkt voordat deze wordt uitgerold naar alle apparaten. Tijdens de implementatie moet er aandacht worden besteed aan de certificaatdistributie, omdat apparaten beschikken moeten over geldige machinecertificaten om PKINIT-authenticatie te kunnen gebruiken. Dit kan worden gerealiseerd via Group Policy of via Microsoft Intune certificaatprofielen die automatisch certificaten distribueren naar beheerde apparaten. Na de toewijzing van het beleid zullen apparaten de configuratie ontvangen tijdens de volgende synchronisatiecyclus met Microsoft Intune. Apparaten die de configuratie ontvangen, zullen de registerwaarde bijwerken en PKINIT-authenticatie inschakelen voor toekomstige Kerberos-authenticatiepogingen. Het is cruciaal om na de implementatie te monitoren of apparaten correct authenticeren en of er geen problemen optreden met toegang tot netwerkbronnen. De implementatie moet worden gedocumenteerd met details over welke apparaten zijn geconfigureerd, wanneer de configuratie is toegepast en welke certificaten worden gebruikt voor authenticatie.
Gebruik PowerShell-script devicepkinitenabled-is-set-to-windows-registry-value.ps1 (functie Invoke-Monitoring) – Monitoren.
Monitoring
Effectieve monitoring van PKINIT-authenticatie voor apparaten is essentieel om te verzekeren dat de beveiligingsconfiguratie correct functioneert en dat er geen beveiligingsincidenten plaatsvinden. Monitoring moet worden uitgevoerd op verschillende niveaus, waaronder de configuratiestatus van apparaten, authenticatiesuccessen en -fouten, en certificaatstatus. Binnen Microsoft Intune kunnen beheerders de compliance-status van apparaten monitoren om te zien welke apparaten de PKINIT-configuratie correct hebben toegepast en welke apparaten mogelijk afwijken van het beleid. De monitoring moet regelmatig worden uitgevoerd, bij voorkeur dagelijks, om snel te kunnen reageren op eventuele problemen of configuratiewijzigingen. Beheerders moeten aandacht besteden aan apparaten die niet-compliant zijn en onderzoeken waarom deze de configuratie niet hebben ontvangen of toegepast. Dit kan verschillende oorzaken hebben, zoals netwerkproblemen, synchronisatieproblemen met Microsoft Intune, of conflicterende beleidsregels. Naast configuratiemonitoring is het belangrijk om authenticatiegebeurtenissen te monitoren in de Windows Event Logs en Active Directory audit logs. Deze logs bevatten informatie over PKINIT-authenticatiepogingen, inclusief successen, fouten en eventuele beveiligingswaarschuwingen. Beheerders moeten specifiek letten op authenticatiefouten die kunnen wijzen op problemen met certificaten, zoals verlopen certificaten, ingetrokken certificaten of certificaten die niet correct zijn geconfigureerd. Certificaatmonitoring is een kritiek onderdeel van de monitoringstrategie, omdat PKINIT-authenticatie volledig afhankelijk is van geldige machinecertificaten. Beheerders moeten regelmatig controleren op certificaten die binnenkort verlopen en ervoor zorgen dat er een proces is voor automatische certificaatvernieuwing. Daarnaast moeten ingetrokken certificaten worden geïdentificeerd en verwijderd uit de omgeving om te voorkomen dat gecompromitteerde apparaten toegang behouden. Monitoring moet ook aandacht besteden aan netwerkverkeer en authenticatiepatronen om afwijkend gedrag te detecteren dat kan wijzen op beveiligingsincidenten. Tools zoals Microsoft Defender for Identity kunnen helpen bij het detecteren van verdachte authenticatiepatronen en potentiële aanvallen. De monitoringresultaten moeten worden gedocumenteerd en regelmatig worden gereviewd door security teams om trends te identificeren en de beveiligingspostuur te verbeteren.
Gebruik PowerShell-script devicepkinitenabled-is-set-to-windows-registry-value.ps1 (functie Invoke-Monitoring) – Controleren.
Remediatie
Wanneer monitoring aangeeft dat apparaten niet-compliant zijn met de PKINIT-authenticatieconfiguratie, moet er een gestructureerd remediatieproces worden gevolgd om de configuratie te herstellen en de beveiligingspostuur te verbeteren. Het remediatieproces begint met het identificeren van de oorzaak van de non-compliance, wat verschillende redenen kan hebben. Apparaten die de configuratie niet hebben ontvangen kunnen problemen hebben met de synchronisatie met Microsoft Intune, wat kan worden opgelost door de apparaatsynchronisatie handmatig te forceren of door het apparaat opnieuw te registreren in Microsoft Intune. Als het apparaat de configuratie wel heeft ontvangen maar deze niet heeft toegepast, kan dit wijzen op conflicterende beleidsregels of lokale configuratiewijzigingen die de Intune-configuratie overschrijven. In dergelijke gevallen moeten beheerders de conflicterende beleidsregels identificeren en oplossen, of lokale configuratiewijzigingen verwijderen die de beveiligingsinstellingen beïnvloeden. Voor apparaten die problemen hebben met PKINIT-authenticatie zelf, moet er aandacht worden besteed aan de certificaatstatus. Apparaten zonder geldige machinecertificaten kunnen niet authenticeren met PKINIT en moeten worden voorzien van de juiste certificaten via certificaatprofielen in Microsoft Intune of via Group Policy. Verlopen certificaten moeten worden vernieuwd, en ingetrokken certificaten moeten worden vervangen door nieuwe certificaten. Het remediatieproces moet ook rekening houden met apparaten die mogelijk zijn gecompromitteerd of die beveiligingsincidenten hebben meegemaakt. Deze apparaten moeten worden geïsoleerd, onderzocht en mogelijk opnieuw worden geconfigureerd voordat ze weer toegang krijgen tot het netwerk. Automatische remediatie kan worden geconfigureerd binnen Microsoft Intune om bepaalde problemen automatisch op te lossen zonder handmatige interventie. Dit kan bijvoorbeeld het automatisch forceren van apparaatsynchronisatie of het automatisch toepassen van configuratiewijzigingen omvatten. Echter, voor complexere problemen of beveiligingsincidenten is handmatige interventie vaak noodzakelijk. Na remediatie moet er verificatie plaatsvinden om te bevestigen dat de configuratie correct is toegepast en dat het apparaat weer compliant is. Dit omvat het controleren van de registerwaarde, het testen van PKINIT-authenticatie en het verifiëren dat het apparaat toegang heeft tot netwerkbronnen. Alle remediatie-acties moeten worden gedocumenteerd met details over het probleem, de genomen stappen en het resultaat, zodat er lessen kunnen worden getrokken voor toekomstige incidenten.
Gebruik PowerShell-script devicepkinitenabled-is-set-to-windows-registry-value.ps1 (functie Invoke-Remediation) – Herstellen.
Compliance en Auditing
Compliance en auditing vormen kritieke componenten van de beveiligingsstrategie voor PKINIT-authenticatie voor apparaten, omdat ze ervoor zorgen dat de organisatie voldoet aan relevante beveiligingsstandaarden en regelgeving, en dat er voldoende bewijs is voor audits en compliance-controles. De implementatie van PKINIT-authenticatie draagt bij aan naleving van verschillende beveiligingsframeworks, waaronder de CIS Security Benchmark, de BIO Baseline Informatiebeveiliging Overheid en ISO 27001. Deze frameworks benadrukken het belang van sterke authenticatiemechanismen en het gebruik van certificaatgebaseerde authenticatie waar mogelijk. Voor Nederlandse overheidsorganisaties is compliance met de BIO Baseline van bijzonder belang, omdat deze specifieke eisen stelt aan authenticatie en toegangscontrole. De BIO Baseline controle 16.01 vereist dat organisaties gebeurtenissen loggen en audittrails bijhouden, wat direct wordt ondersteund door PKINIT-authenticatie omdat alle authenticatiepogingen worden gelogd in Windows Event Logs en Active Directory audit logs. ISO 27001 controle A.12.4.1 stelt eisen aan logging en monitoring van authenticatiegebeurtenissen, wat ook wordt ondersteund door de uitgebreide logging die PKINIT-authenticatie biedt. Auditing moet worden uitgevoerd op regelmatige basis om te verifiëren dat de PKINIT-configuratie correct is geïmplementeerd en dat alle apparaten compliant zijn met het beleid. Dit omvat het controleren van apparaatconfiguraties, certificaatstatus, authenticatiegebeurtenissen en eventuele beveiligingsincidenten. Auditlogs moeten worden bewaard voor een periode van minimaal één jaar, zoals vereist door verschillende compliance-frameworks, en moeten toegankelijk zijn voor interne en externe auditors. Beleidsdocumentatie moet duidelijk beschrijven waarom PKINIT-authenticatie is geïmplementeerd, hoe het werkt, welke apparaten zijn geconfigureerd en welke procedures worden gevolgd voor monitoring en remediatie. Deze documentatie moet regelmatig worden bijgewerkt om wijzigingen in de configuratie of procedures te reflecteren. Compliance-rapportage moet regelmatig worden gegenereerd om management en stakeholders te informeren over de status van de beveiligingsconfiguratie en eventuele compliance-risico's. Deze rapporten moeten duidelijke metrics bevatten, zoals het percentage compliant apparaten, het aantal authenticatiefouten en eventuele beveiligingsincidenten. Externe audits moeten worden ondersteund door het verstrekken van toegang tot relevante logs, configuratiedocumentatie en compliance-rapporten, zodat auditors kunnen verifiëren dat de organisatie voldoet aan de vereisten.
Compliance & Frameworks
- CIS M365: Control 18.9.19.2 (L1) - CIS Security Benchmark aanbevelingen
- BIO: 16.01 - BIO Baseline Informatiebeveiliging Overheid - 16.01 - Gebeurtenissen logging en audittrails
- ISO 27001:2022: A.12.4.1 - ISO 27001:2022 - Gebeurtenissen logging en audittrails
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Intune Security Options: DevicePKInitEnabled Registry Value
.DESCRIPTION
CIS - Device PKInit enabled via registry.
.NOTES
Filename: devicepkinit-enabled.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Feature: PKInit|Expected: Enabled
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "pkinit-enabled.ps1"; PolicyName = "PKInit Enabled"; IsCompliant = $true; Details = @("System managed") }; return $r }
function Invoke-Remediation { Write-Host "PKInit enabled via registry/Intune" -ForegroundColor Yellow }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): COMPLIANT" -ForegroundColor Green; return $r }
function Invoke-Revert { Write-Host "System default" }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit 0 }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit 0 } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
High: Zonder PKINIT-authenticatie voor apparaten ontbreekt certificaatgebaseerde authenticatie, wat resulteert in zwakkere beveiliging en het ontbreken van uitgebreide authenticatielogging voor apparaatauthenticatie.
Management Samenvatting
Implementeer PKINIT-authenticatie voor apparaten via Microsoft Intune om certificaatgebaseerde authenticatie in te schakelen en de beveiligingspostuur te verbeteren met uitgebreide logging en monitoring van authenticatiegebeurtenissen.
- Implementatietijd: 2 uur
- FTE required: 0.01 FTE