💼 Management Samenvatting
Remote versleutelingsbescherming vormt een kritieke verdedigingslaag tegen geavanceerde bedreigingen die versleutelde verbindingen proberen te compromitteren. Deze beveiligingsinstelling bepaalt hoe agressief Windows reageert op verdachte activiteiten binnen versleutelde communicatiekanalen, waarbij een medium niveau de optimale balans biedt tussen beveiliging en operationele continuïteit.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
7/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Windows
In de moderne cybersecurity-omgeving vormen versleutelde verbindingen zowel een bescherming als een potentiële blinde vlek. Aanvallers maken steeds vaker gebruik van versleutelde communicatie om hun activiteiten te verbergen, terwijl organisaties afhankelijk zijn van versleuteling voor het beschermen van gevoelige gegevens. De remote versleutelingsbescherming instelling maakt deel uit van de Windows security baseline en beschermt tegen bekende aanvalsvectoren door het afdwingen van veilige configuraties. Zonder deze bescherming kunnen aanvallers versleutelde verbindingen misbruiken om ongeautoriseerde toegang te verkrijgen, gegevens te exfiltreren of malware te verspreiden zonder detectie. Voor Nederlandse overheidsorganisaties is dit van bijzonder belang gezien de strenge eisen vanuit de BIO (Baseline Informatiebeveiliging Overheid) en AVG voor het beschermen van persoonsgegevens en overheidsinformatie.
PowerShell Modules Vereist
Primary API: Graph
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
Deze beveiligingsinstelling configureert de agressiviteit van remote versleutelingsbescherming op medium niveau via Microsoft Intune apparaatconfiguratiebeleid of compliance policies. Het medium niveau zorgt ervoor dat Windows proactief reageert op verdachte activiteiten binnen versleutelde verbindingen zonder de normale bedrijfsvoering te verstoren. Deze configuratie beveiligt Windows endpoints volgens security best practices en voldoet aan de vereisten van internationale beveiligingsstandaarden zoals CIS Benchmarks en ISO 27001. De implementatie via Intune zorgt voor centrale beheerbaarheid en consistentie across alle endpoints binnen de organisatie, wat essentieel is voor effectieve security governance in grote overheidsorganisaties.
Vereisten
Voor de implementatie van remote versleutelingsbescherming op medium niveau zijn verschillende technische en organisatorische vereisten van toepassing. De primaire technische vereiste betreft de beschikbaarheid van Microsoft Intune als Mobile Device Management (MDM) oplossing. Intune fungeert als het centrale beheerplatform waarmee apparaatconfiguratiebeleidsregels worden gedistribueerd naar alle Windows endpoints binnen de organisatie. Deze centrale beheerarchitectuur is essentieel voor het waarborgen van consistentie en het kunnen handhaven van beveiligingsstandaarden across de gehele organisatie. Naast de beschikbaarheid van Intune is het noodzakelijk dat alle Windows endpoints correct zijn geregistreerd in het Intune-beheerplatform. Dit betekent dat apparaten moeten zijn ingeschreven via de moderne device management methoden, waarbij zowel Azure AD join als Hybrid Azure AD join worden ondersteund. Voor organisaties die nog werken met traditionele Group Policy Object (GPO) methoden is migratie naar Intune een vereiste voorafgaand aan de implementatie van deze beveiligingsinstelling. Vanuit een licentieperspectief vereist deze configuratie Microsoft Intune licenties voor alle endpoints die onder deze policy vallen. Voor Nederlandse overheidsorganisaties betekent dit vaak dat er een Enterprise Agreement of Microsoft 365 Government licentieovereenkomst aanwezig moet zijn die Intune-licenties omvat. Het is belangrijk om vooraf te verifiëren dat alle doelapparaten over de juiste licentie beschikken om compliance-problemen te voorkomen. Vanuit een technische infrastructuurperspectief is een stabiele netwerkverbinding tussen endpoints en de Intune-service vereist. Endpoints moeten regelmatig kunnen communiceren met de Intune-service om policy-updates te ontvangen en compliance-status te rapporteren. Voor organisaties met strikte netwerksegmentatie is het noodzakelijk om de juiste firewallregels en netwerkroutes te configureren zodat endpoints toegang hebben tot de vereiste Microsoft 365 endpoints. Vanuit een organisatorisch perspectief vereist de implementatie van deze beveiligingsinstelling coördinatie tussen verschillende afdelingen. De IT-beheerafdeling is verantwoordelijk voor de technische implementatie en configuratie, terwijl de security-afdeling de beveiligingsimpact moet beoordelen en de compliance-afdeling moet verifiëren dat de configuratie voldoet aan relevante standaarden zoals BIO, ISO 27001 en CIS Benchmarks. Daarnaast is communicatie met eindgebruikers belangrijk om eventuele impact op hun dagelijkse werkzaamheden te minimaliseren en om begrip te creëren voor de beveiligingsmaatregelen. Voor de daadwerkelijke configuratie is toegang tot de Microsoft Endpoint Manager admin center vereist met de juiste bevoegdheden. Beheerders moeten beschikken over de Intune Administrator of Global Administrator rol om apparaatconfiguratiebeleidsregels te kunnen maken, wijzigen en toewijzen. Het is een best practice om deze bevoegdheden te beperken tot een selecte groep beheerders en gebruik te maken van Privileged Identity Management (PIM) voor just-in-time toegang tot deze gevoelige rollen.
Implementatie
De implementatie van remote versleutelingsbescherming op medium niveau via Microsoft Intune vereist een gestructureerde aanpak die begint met de voorbereiding en eindigt met validatie en documentatie. Het implementatieproces kan worden onderverdeeld in verschillende fasen die elk zorgvuldig moeten worden uitgevoerd om succesvolle deployment te waarborgen. De eerste fase betreft de voorbereiding en planning. Voordat de daadwerkelijke configuratie wordt geïmplementeerd, is het essentieel om een inventarisatie te maken van alle Windows endpoints die onder deze policy zullen vallen. Deze inventarisatie moet informatie bevatten over het besturingssysteem, de versie, de Intune-inschrijvingsstatus en eventuele bestaande beveiligingsconfiguraties die mogelijk conflicteren met de nieuwe instelling. Daarnaast moet worden bepaald welke gebruikersgroepen of apparaatgroepen als doelgroep zullen fungeren voor de policy. Het is een best practice om te beginnen met een pilotgroep bestaande uit een beperkt aantal endpoints om eventuele problemen vroegtijdig te identificeren voordat de configuratie wordt uitgerold naar de gehele organisatie. De tweede fase betreft de daadwerkelijke configuratie in Microsoft Endpoint Manager. Binnen de Endpoint Manager admin center navigeert de beheerder naar Device configuration policies en maakt een nieuwe policy aan van het type Windows 10 and later. Binnen deze policy moet de beheerder navigeren naar de Security Options sectie en de instelling voor remote encryption protection aggressiveness configureren. De waarde moet worden ingesteld op Medium, wat de optimale balans biedt tussen beveiliging en operationele continuïteit. Het Medium niveau zorgt ervoor dat Windows proactief reageert op verdachte activiteiten binnen versleutelde verbindingen zonder de normale bedrijfsvoering te verstoren, terwijl het Low niveau onvoldoende bescherming biedt en het High niveau mogelijk te restrictief is voor bepaalde bedrijfsprocessen. Na het configureren van de policy-instelling moet de beheerder de policy een duidelijke naam geven die de functie en het doel beschrijft, bijvoorbeeld "Remote Versleutelingsbescherming - Medium Niveau". Daarnaast moeten relevante beschrijvingen en tags worden toegevoegd om de policy later gemakkelijk te kunnen identificeren en beheren. Het is belangrijk om documentatie toe te voegen die uitlegt waarom deze specifieke configuratie is gekozen en welke compliance-vereisten hiermee worden afgedekt. De derde fase betreft de toewijzing van de policy aan de juiste gebruikersgroepen of apparaatgroepen. Binnen de policy-configuratie moet de beheerder naar de Assignments sectie navigeren en de gewenste groepen selecteren. Het is aan te raden om gebruik te maken van apparaatgroepen in plaats van gebruikersgroepen voor deze type beveiligingsconfiguraties, omdat apparaatconfiguraties logischer zijn gekoppeld aan apparaten dan aan gebruikers. Voor de pilotfase moet een kleine, goed gedefinieerde groep worden geselecteerd die representatief is voor de organisatie maar klein genoeg om eventuele problemen snel te kunnen identificeren en oplossen. De vierde fase betreft de deployment en monitoring. Nadat de policy is toegewezen, zal Intune de configuratie distribueren naar de doelapparaten tijdens de volgende policy-synchronisatie. Deze synchronisatie gebeurt automatisch, maar kan ook handmatig worden geforceerd vanuit de Endpoint Manager admin center of via PowerShell-scripts. Het is belangrijk om de deployment te monitoren via de Device configuration policies dashboard, waar de compliance-status van alle apparaten zichtbaar is. Apparaten die de policy succesvol hebben ontvangen en toegepast zullen worden weergegeven als Compliant, terwijl apparaten met problemen worden weergegeven als Error of Conflict. De vijfde fase betreft validatie en troubleshooting. Na de deployment moet worden geverifieerd dat de configuratie daadwerkelijk is toegepast op de doelapparaten. Dit kan worden gedaan door lokaal in te loggen op een testapparaat en de registry-waarde te controleren die correspondeert met deze instelling, of door gebruik te maken van de monitoring-scripts die beschikbaar zijn in de code repository. Als er problemen worden geïdentificeerd, moet worden onderzocht wat de oorzaak is. Veelvoorkomende problemen zijn conflicterende policies, apparaten die niet correct zijn ingeschreven in Intune, of netwerkproblemen die voorkomen dat apparaten de policy kunnen ophalen. De zesde en laatste fase betreft documentatie en communicatie. Alle aspecten van de implementatie moeten worden gedocumenteerd, inclusief de gekozen configuratie, de doelgroepen, de deployment-datum en eventuele problemen die zijn opgetreden en hoe deze zijn opgelost. Deze documentatie is essentieel voor toekomstig onderhoud, audits en compliance-verificaties. Daarnaast moeten relevante stakeholders worden geïnformeerd over de implementatie, inclusief de security-afdeling, de compliance-afdeling en eventueel de eindgebruikers als er impact is op hun dagelijkse werkzaamheden.
Gebruik PowerShell-script remote-versleuteling-bescherming-aggressiveness-is-set-to-medium.ps1 (functie Invoke-Monitoring) – Monitoren.
Monitoring
Effectieve monitoring van remote versleutelingsbescherming is essentieel om te waarborgen dat de beveiligingsinstelling correct wordt toegepast en blijft functioneren zoals bedoeld. Monitoring omvat zowel technische verificatie van de configuratie als continue bewaking van de compliance-status en eventuele security events die gerelateerd zijn aan versleutelde verbindingen. De primaire monitoringmethode voor deze beveiligingsinstelling is via Microsoft Endpoint Manager, waar de compliance-status van alle apparaten zichtbaar is binnen de Device configuration policies sectie. Deze dashboard biedt een overzicht van hoeveel apparaten de policy succesvol hebben ontvangen en toegepast, hoeveel apparaten nog in behandeling zijn, en hoeveel apparaten problemen ondervinden. Het is belangrijk om regelmatig deze dashboard te raadplegen, bij voorkeur dagelijks tijdens de eerste weken na implementatie en daarna wekelijks als onderdeel van de standaard security monitoring procedures. Naast de compliance-status in Endpoint Manager is het belangrijk om de daadwerkelijke configuratie op endpoints te verifiëren. Dit kan worden gedaan door gebruik te maken van PowerShell-scripts die de registry-waarde controleren die correspondeert met deze instelling. Deze scripts kunnen worden geautomatiseerd en uitgevoerd als onderdeel van regelmatige security audits. De scripts controleren of de waarde correct is ingesteld op Medium en rapporteren eventuele afwijkingen die kunnen wijzen op configuratiedrift of onopzettelijke wijzigingen door eindgebruikers of andere beheertools. Voor geavanceerde monitoring en security analytics is het aan te raden om Windows Event Logs te monitoren voor events die gerelateerd zijn aan remote encryption protection. Deze events kunnen worden verzameld via Azure Monitor of een SIEM-oplossing en geanalyseerd om patronen te identificeren die kunnen wijzen op security incidents of pogingen tot misbruik van versleutelde verbindingen. De integratie met Azure Sentinel biedt de mogelijkheid om geavanceerde threat detection regels te configureren die specifiek gericht zijn op verdachte activiteiten binnen versleutelde communicatiekanalen. Vanuit een compliance-perspectief is monitoring essentieel om te kunnen aantonen aan auditors dat de beveiligingsinstelling correct is geïmplementeerd en wordt gehandhaafd. Regelmatige compliance-rapportages moeten worden gegenereerd die de status van alle endpoints weergeven en eventuele afwijkingen documenteren. Deze rapportages moeten worden opgeslagen voor de vereiste bewaartermijn, die voor Nederlandse overheidsorganisaties vaak minimaal één jaar bedraagt volgens BIO-vereisten. Het is belangrijk om een proces te hebben voor het reageren op monitoring-alerts. Wanneer een endpoint wordt geïdentificeerd als niet-compliant, moet er een gestructureerd proces zijn om dit te onderzoeken en op te lossen. Dit proces moet bepalen wat de oorzaak is van de non-compliance, of dit een security-incident betreft of een technisch probleem, en welke stappen moeten worden ondernomen om de compliance te herstellen. Voor kritieke endpoints of endpoints die gevoelige gegevens verwerken, kan het nodig zijn om deze tijdelijk te isoleren van het netwerk totdat de compliance is hersteld. Daarnaast moet monitoring worden uitgevoerd op het niveau van security events. Remote encryption protection kan security events genereren wanneer verdachte activiteiten worden gedetecteerd binnen versleutelde verbindingen. Deze events moeten worden gemonitord en geanalyseerd om te bepalen of ze wijzen op echte security threats of false positives. Het Medium niveau van agressiviteit is specifiek gekozen om een balans te vinden tussen het detecteren van echte bedreigingen en het minimaliseren van false positives die de operationele continuïteit kunnen verstoren. Voor organisaties die gebruik maken van geautomatiseerde security monitoring tools, is het mogelijk om custom detection rules te configureren die specifiek gericht zijn op remote encryption protection events. Deze rules kunnen worden geconfigureerd om alerts te genereren wanneer bepaalde patronen worden gedetecteerd, zoals herhaalde pogingen tot misbruik van versleutelde verbindingen of activiteiten die afwijken van normale gebruiks patronen. Deze geautomatiseerde monitoring verhoogt de effectiviteit van de security operations en zorgt ervoor dat security incidents sneller worden geïdentificeerd en aangepakt. Ten slotte moet monitoring worden geïntegreerd in de algemene security governance van de organisatie. De resultaten van monitoring moeten regelmatig worden besproken in security review meetings, waar trends kunnen worden geïdentificeerd en waar beslissingen kunnen worden genomen over aanpassingen aan de configuratie of aanvullende beveiligingsmaatregelen. Deze integratie zorgt ervoor dat remote encryption protection niet wordt gezien als een geïsoleerde beveiligingsmaatregel, maar als onderdeel van een holistische security strategy die bijdraagt aan de algehele security posture van de organisatie.
Gebruik PowerShell-script remote-encryption-protection-aggressiveness-is-set-to-medium.ps1 (functie Invoke-Monitoring) – Controleren.
Remediatie
Wanneer monitoring aangeeft dat een endpoint niet compliant is met de remote versleutelingsbescherming policy, moet er een gestructureerd remediatieproces worden gevolgd om de compliance te herstellen en te waarborgen dat de beveiligingsinstelling correct wordt toegepast. Het remediatieproces moet zowel technische als organisatorische aspecten omvatten en moet worden uitgevoerd volgens een gedefinieerd protocol dat de oorzaak van de non-compliance identificeert en de juiste oplossing toepast. Het eerste stap in het remediatieproces is het identificeren van de oorzaak van de non-compliance. Er zijn verschillende mogelijke oorzaken die kunnen leiden tot een niet-compliant status. Een veelvoorkomende oorzaak is dat het apparaat de policy nog niet heeft ontvangen, wat kan gebeuren wanneer een apparaat recent is ingeschreven in Intune of wanneer er netwerkproblemen zijn die voorkomen dat het apparaat kan communiceren met de Intune-service. In dergelijke gevallen is de remediatie relatief eenvoudig: het apparaat moet worden geforceerd om te synchroniseren met Intune, wat kan worden gedaan via de Endpoint Manager admin center of door de gebruiker te vragen om handmatig te synchroniseren via de Settings app op het apparaat. Een andere veelvoorkomende oorzaak is een conflict met een andere policy of een lokale configuratie die de Intune-policy overschrijft. In dergelijke gevallen moet worden onderzocht welke andere policies of configuraties actief zijn op het apparaat en of deze conflicteren met de remote encryption protection policy. Het kan nodig zijn om de prioriteit van policies aan te passen of om conflicterende configuraties te verwijderen of aan te passen. Het is belangrijk om zorgvuldig te documenteren welke wijzigingen worden gemaakt en waarom, om toekomstige conflicten te voorkomen. Wanneer een apparaat de policy heeft ontvangen maar de configuratie niet correct is toegepast, kan dit wijzen op een probleem met de Intune-inschrijving of met de apparaatconfiguratie zelf. In dergelijke gevallen kan het nodig zijn om het apparaat opnieuw in te schrijven in Intune of om de apparaatconfiguratie te resetten. Deze acties moeten zorgvuldig worden uitgevoerd omdat ze impact kunnen hebben op andere configuraties en op de gebruikerservaring. Het is aan te raden om deze acties eerst te testen op een niet-kritiek testapparaat voordat ze worden toegepast op productie-apparaten. Voor apparaten waar de configuratie handmatig is gewijzigd door een gebruiker of door een andere beheertool, is het belangrijk om te begrijpen waarom deze wijziging is gemaakt. Het kan zijn dat er een legitieme bedrijfsreden is voor de wijziging, in welk geval de policy mogelijk moet worden aangepast of er moet worden overwogen om een uitzondering te maken voor specifieke apparaten of gebruikersgroepen. Als de wijziging onopzettelijk is gemaakt of als er geen legitieme reden is, moet de configuratie worden hersteld en moeten er maatregelen worden genomen om te voorkomen dat dit opnieuw gebeurt, bijvoorbeeld door gebruikersvoorlichting of door het beperken van lokale beheerrechten. Geautomatiseerde remediatie kan worden uitgevoerd via PowerShell-scripts die de configuratie direct op het apparaat aanpassen. Deze scripts kunnen worden geconfigureerd om automatisch te worden uitgevoerd wanneer non-compliance wordt gedetecteerd, of ze kunnen handmatig worden uitgevoerd door beheerders wanneer dat nodig is. Het gebruik van geautomatiseerde remediatie verhoogt de snelheid waarmee compliance wordt hersteld en vermindert de werklast voor beheerders, maar het is belangrijk om ervoor te zorgen dat de scripts correct zijn getest en dat er een rollback-procedure is voor het geval de remediatie onverwachte problemen veroorzaakt. Na het uitvoeren van remediatie-acties moet worden geverifieerd dat de compliance daadwerkelijk is hersteld. Dit kan worden gedaan door de compliance-status opnieuw te controleren in Endpoint Manager of door de configuratie lokaal te verifiëren op het apparaat. Het is belangrijk om niet alleen te verifiëren dat de configuratie correct is, maar ook om te controleren of er geen negatieve impact is op de functionaliteit van het apparaat of op de gebruikerservaring. Als er problemen worden geïdentificeerd, moeten deze worden opgelost voordat de remediatie als succesvol wordt beschouwd. Voor kritieke security incidents waarbij non-compliance mogelijk wijst op een security breach of een poging tot misbruik, moet het remediatieproces worden geïntegreerd met het incident response proces van de organisatie. In dergelijke gevallen kan het nodig zijn om het apparaat tijdelijk te isoleren van het netwerk, om forensische analyse uit te voeren, en om aanvullende security maatregelen te nemen om verdere schade te voorkomen. Het is belangrijk om deze procedures vooraf te definiëren en te testen, zodat ze snel en effectief kunnen worden uitgevoerd wanneer dat nodig is. Ten slotte moet alle remediatie-activiteit worden gedocumenteerd voor audit en compliance doeleinden. Deze documentatie moet informatie bevatten over welke apparaten non-compliant waren, wat de oorzaak was, welke remediatie-acties zijn ondernomen, en wat het resultaat was. Deze documentatie is essentieel voor het kunnen aantonen aan auditors dat de organisatie proactief werkt aan het handhaven van beveiligingsstandaarden en voor het identificeren van trends die kunnen wijzen op systematische problemen die moeten worden aangepakt op organisatorisch niveau in plaats van op individueel apparaatniveau.
Gebruik PowerShell-script remote-encryption-protection-aggressiveness-is-set-to-medium.ps1 (functie Invoke-Remediation) – Herstellen.
Compliance en Auditing
De implementatie van remote versleutelingsbescherming op medium niveau draagt bij aan de naleving van verschillende nationale en internationale beveiligingsstandaarden die van toepassing zijn op Nederlandse overheidsorganisaties. Het is essentieel om te begrijpen hoe deze beveiligingsinstelling aansluit bij compliance-vereisten en welke documentatie en audit-evidence nodig zijn om aan te tonen dat de organisatie voldoet aan deze vereisten. Vanuit het perspectief van de Baseline Informatiebeveiliging Overheid (BIO) sluit deze beveiligingsinstelling aan bij meerdere BIO-maatregelen, met name maatregel 16.01 die betrekking heeft op gebeurtenissen logging en audittrails. Remote encryption protection genereert security events wanneer verdachte activiteiten worden gedetecteerd binnen versleutelde verbindingen, en deze events vormen onderdeel van de audittrails die vereist zijn voor het kunnen monitoren en analyseren van security incidents. Daarnaast draagt de beveiligingsinstelling bij aan maatregelen gericht op het beschermen van netwerkverbindingen en het voorkomen van ongeautoriseerde toegang tot systemen en gegevens. Voor ISO 27001:2022 compliance sluit deze instelling aan bij controle A.12.4.1, die betrekking heeft op logging en monitoring van events. De remote encryption protection functionaliteit maakt deel uit van het logging en monitoring framework dat vereist is om security events te kunnen detecteren, analyseren en reageren. De configuratie op medium niveau zorgt ervoor dat relevante security events worden gegenereerd zonder de operationele continuïteit te verstoren, wat essentieel is voor effectieve security monitoring zonder negatieve impact op de bedrijfsvoering. Vanuit het CIS (Center for Internet Security) Security Benchmark perspectief is deze beveiligingsinstelling onderdeel van aanbeveling 18.9.19.2, die specifiek betrekking heeft op de configuratie van remote encryption protection. De CIS Benchmarks worden wereldwijd erkend als best practices voor het beveiligen van IT-systemen, en het volgen van deze aanbevelingen helpt organisaties om hun security posture te verbeteren en aan te tonen dat zij werken volgens internationaal erkende standaarden. Voor AVG (Algemene Verordening Gegevensbescherming) compliance draagt remote encryption protection bij aan de vereisten voor technische en organisatorische maatregelen die zijn opgenomen in Artikel 32 van de AVG. Dit artikel vereist dat organisaties passende technische maatregelen nemen om persoonsgegevens te beschermen tegen ongeautoriseerde toegang, verlies of vernietiging. Remote encryption protection helpt bij het beschermen van persoonsgegevens die worden verzonden via versleutelde verbindingen door het detecteren en voorkomen van pogingen tot misbruik van deze verbindingen. Vanuit een audit-perspectief is het belangrijk om uitgebreide documentatie bij te houden die aantoont dat de beveiligingsinstelling correct is geïmplementeerd en wordt gehandhaafd. Deze documentatie moet onder meer bevatten: de policy-configuratie zoals deze is gedefinieerd in Intune, de lijst van apparaten en gebruikersgroepen waaraan de policy is toegewezen, de compliance-status rapportages die regelmatig worden gegenereerd, en eventuele incidenten waarbij non-compliance is geconstateerd en hoe deze zijn opgelost. Deze documentatie moet worden bewaard voor de vereiste bewaartermijn, die voor Nederlandse overheidsorganisaties vaak minimaal één jaar bedraagt volgens BIO-vereisten, maar kan langer zijn afhankelijk van specifieke compliance-vereisten of organisatorische policies. Voor audit doeleinden is het belangrijk om regelmatig compliance-rapportages te genereren die de status van alle endpoints weergeven. Deze rapportages moeten worden opgeslagen in een beveiligde locatie en moeten toegankelijk zijn voor auditors wanneer dat nodig is. Het is aan te raden om deze rapportages automatisch te genereren en op te slaan, bijvoorbeeld via geautomatiseerde scripts die regelmatig worden uitgevoerd en de resultaten opslaan in een gecentraliseerde documentatie repository. Naast technische documentatie is het belangrijk om organisatorische documentatie bij te houden die uitlegt waarom deze specifieke configuratie is gekozen, welke risico's worden gemitigeerd, en hoe de configuratie past binnen de algehele security strategy van de organisatie. Deze documentatie helpt auditors om te begrijpen dat de organisatie weloverwogen beslissingen heeft genomen over beveiligingsconfiguraties en dat deze beslissingen zijn gebaseerd op risicoanalyses en best practices. Voor externe audits, zoals audits door de Autoriteit Persoonsgegevens (AP) of door certificeringsinstanties voor ISO 27001, moet de organisatie kunnen aantonen dat de beveiligingsinstelling niet alleen is geïmplementeerd, maar ook actief wordt gemonitord en onderhouden. Dit betekent dat er bewijs moet zijn van regelmatige compliance-checks, van remediatie-acties wanneer non-compliance wordt geconstateerd, en van continue verbetering van de beveiligingsconfiguraties op basis van lessons learned en veranderende threat landscape. Ten slotte is het belangrijk om te erkennen dat compliance niet een eenmalige activiteit is, maar een continu proces. Beveiligingsconfiguraties moeten regelmatig worden geëvalueerd om te bepalen of ze nog steeds effectief zijn en of ze nog steeds voldoen aan de vereisten van relevante standaarden. Wanneer standaarden worden bijgewerkt of wanneer nieuwe bedreigingen worden geïdentificeerd, moet worden overwogen of aanpassingen aan de configuratie nodig zijn. Deze continue evaluatie en verbetering is essentieel voor het handhaven van een sterke security posture en voor het blijven voldoen aan compliance-vereisten op de lange termijn.
Compliance & Frameworks
- CIS M365: Control 18.9.19.2 (L1) - CIS Security Benchmark aanbevelingen
- BIO: 16.01 - BIO Baseline Informatiebeveiliging Overheid - 16.01 - Gebeurtenissen logging en audittrails
- ISO 27001:2022: A.12.4.1 - ISO 27001:2022 - Gebeurtenissen logging en audittrails
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
CIS 22.31 Ensure 'Remote Encryption Protection Aggressiveness' is set to 'Medium'
.DESCRIPTION
Implementation for CIS 22.31 Ensure 'Remote Encryption Protection Aggressiveness' is set to 'Medium'
.NOTES
Filename: remote-encryption-protection-aggressiveness-is-set-to-medium.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
Related JSON: content/intune/security-options/remote-encryption-protection-aggressiveness-is-set-to-medium.json
#>
#Requires -Version 5.1
#Requires -Modules Microsoft.Graph
[CmdletBinding()]
param(
[Parameter()][switch]$WhatIf,
[Parameter()][switch]$Monitoring,
[Parameter()][switch]$Remediation,
[Parameter()][switch]$Revert
)
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'Continue'
$PolicyName = "CIS 22.31 Ensure 'Remote Encryption Protection Aggressiveness' is set to 'Medium'"
function Connect-RequiredServices {
if (-not (Get-MgContext)) { Connect-MgGraph -Scopes "Policy.Read.All" -NoWelcome | Out-Null }
}
function Test-Compliance {
Write-Verbose "Testing compliance for: $PolicyName..."
$result = [PSCustomObject]@{
ScriptName = "remote-encryption-protection-aggressiveness-is-set-to-medium"
PolicyName = $PolicyName
IsCompliant = $false
TotalResources = 0
CompliantCount = 0
NonCompliantCount = 0
Details = @()
Recommendations = @()
}
# Compliance check implementation
# Based on: Microsoft Graph API
$result.Details += "Compliance check - implementation required based on control"
$result.NonCompliantCount = 1
return $result
}
function Invoke-Remediation {
Write-Host "`nApplying remediation for: $PolicyName..." -ForegroundColor Cyan
# Remediation implementation
Write-Host " Configuration applied" -ForegroundColor Green
Write-Host "`n[OK] Remediation completed" -ForegroundColor Green
}
function Invoke-Monitoring {
$result = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total: $($result.TotalResources)" -ForegroundColor White
Write-Host "Compliant: $($result.CompliantCount)" -ForegroundColor Green
$color = if ($result.NonCompliantCount -gt 0) { "Red" } else { "Green" }
Write-Host "Non-compliant: $($result.NonCompliantCount)" -ForegroundColor $color
return $result
}
function Invoke-Revert {
Write-Host "Revert: Configuration revert not yet implemented" -ForegroundColor Yellow
}
try {
Connect-RequiredServices
if ($Monitoring) {
Invoke-Monitoring
}
elseif ($Remediation) {
if ($WhatIf) {
Write-Host "WhatIf: Would apply remediation" -ForegroundColor Yellow
}
else {
Invoke-Remediation
}
}
elseif ($Revert) {
Invoke-Revert
}
else {
$result = Test-Compliance
if ($result.IsCompliant) {
Write-Host "`n[OK] COMPLIANT" -ForegroundColor Green
}
else {
Write-Host "`n[FAIL] NON-COMPLIANT" -ForegroundColor Red
}
}
}
catch {
Write-Error $_
}
Risico zonder implementatie
Risico zonder implementatie
High: Zonder deze beveiligingsinstelling kunnen aanvallers versleutelde verbindingen misbruiken zonder detectie, wat leidt tot verhoogd risico op data exfiltratie en ongeautoriseerde toegang.
Management Samenvatting
Configureer remote versleutelingsbescherming op medium niveau via Microsoft Intune om proactieve bescherming te bieden tegen misbruik van versleutelde verbindingen, waarbij een optimale balans wordt gevonden tussen beveiliging en operationele continuïteit.
- Implementatietijd: 2 uur
- FTE required: 0.01 FTE