💼 Management Samenvatting
Privileged Access Workstations (PAW’s) vormen het verdedigingsfront van bestuursorganen tegen credential diefstal, sessiekaping en supply-chain aanvallen. Een PAW is geen luxe maar een harde randvoorwaarde om CISO’s, beheerders en security-operators te beschermen terwijl zij met kroonjuwelen werken. Deze systemen worden volledig geïsoleerd, centraal beheerd, permanent gemonitord en voldoen aan aantoonbare compliance-eisen. In de Nederlandse Baseline voor Veilige Cloud koppelen we PAW’s aan Intune, Microsoft Defender for Endpoint, Conditional Access, LAPS en streng wijzigingsbeheer. Hierdoor wordt iedere beheerhandeling traceerbaar en kunnen auditoren exact volgen hoe kritische toegang is afgeschermd.
Aanbeveling
IMPLEMENT
Risico zonder
Very High
Risk Score
9/10
Implementatie
144u (tech: 96u)
Van toepassing op:
✓ Windows 11
✓ Windows 10
✓ Intune
✓ Microsoft 365
✓ Entra ID
✓ Microsoft Defender for Endpoint
✓ Windows 10
✓ Intune
✓ Microsoft 365
✓ Entra ID
✓ Microsoft Defender for Endpoint
Aanvallers richten zich steeds vaker op beheerdersaccounts omdat één compromittering directe toegang geeft tot alle cloud- en on-premises workloads. Nederlandse toezichthouders eisen aantoonbaar risicobeheer rondom privileged access, onder meer via BIO, NIS2 en specifieke ministeriële besluiten. Organisaties die nog steeds gewone kantoorwerkplekken gebruiken voor beheeracties lopen een aanzienlijk risico: browsers vol extensies, onveilige e-mail, Teams-chat en BYOD zorgen voor een continu aanvalsvlak. Moderne PAW’s verwijderen deze dreigingen door een streng gedefinieerde configuratie, hardware-assurance en continue telemetrie. Door beleid, tooling en operations in één keten te beschrijven, ontstaat een reproduceerbare aanpak die bestuurders vertrouwen geeft en crisisrespons versnelt.
PowerShell Modules Vereist
Primary API: Microsoft Graph
Connection:
Required Modules: Microsoft.Graph.DeviceManagement, Microsoft.Graph.DeviceManagement.Enrollment
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement, Microsoft.Graph.DeviceManagement.Enrollment
Implementatie
Dit artikel beschrijft hoe je een PAW-programma ontwerpt, implementeert en beheert binnen Microsoft 365. We behandelen governance (rollen, processen, juridische randvoorwaarden), technische architectuur (Intune-profielen, Conditional Access, attestation, LAPS), operationele monitoring (Defender signalen, Graph-rapportages, SIEM-integraties) en auditvereisten (bewijslast, retentie, change logs). Elk onderdeel verwijst naar scripts en automatisering zodat teams niet alleen beleid formuleren maar ook meetbare controles uitvoeren. Het resultaat is een praktisch raamwerk waarmee grote uitvoeringsorganisaties, gemeenten en rijksdiensten privileged access veiligstellen zonder de snelheid van digitale transformatie te verliezen.
Strategische Besturing en Risicoregels
Gebruik PowerShell-script privileged-access-workstations.ps1 (functie Invoke-PawAssessment) – Controleert of PAW-apparaten geregistreerd zijn, toegewezen beleid ontvangen en geen openstaande compliance-gaten vertonen..
Een volwassen PAW-programma begint bij duidelijke bestuurlijke opdracht. De CIO verklaart in het informatiebeveiligingsbeleid dat alle beheeracties voor productieomgevingen uitsluitend via gecertificeerde PAW’s worden uitgevoerd. Deze beslissing wordt gekoppeld aan het risicoregister en aan kritieke processen zoals DigiD-koppelingen, BRP-beheer of Rijkscloud-platforms. Het CISO-office vertaalt de opdracht naar concrete normensets: hardware moet voldoen aan moderne firmware security (TPM 2.0, Secure Boot, UEFI), beheeraccounts krijgen alleen toegang via Conditional Access-beleid dat PAW-attestatie controleert en uitzonderingen vereisen schriftelijke goedkeuring van het change advisory board. Deze bestuurlijke afspraken worden verwerkt in het mandaat van afdelingshoofden en in onboarding-processen voor nieuwe beheerders. Zonder deze formele borging blijft een PAW-initiatief vrijwillig en verliezen teams energie zodra operationele druk toeneemt.
Governance omvat ook personele en juridische afspraken. Voor elke PAW-gebruiker wordt een geheimhoudingsovereenkomst bijgewerkt die expliciet verwijst naar de verantwoordelijkheden rondom sleutelbeheer, logverwerking en incidentmelding. HR en security ontwerpen samen een periodieke hercertificering: beheerders volgen minimaal jaarlijks een training over pass-the-hash dreigingen, phishing op beheerdersaccounts en veilig gebruik van jumpservers. Juristen controleren of de verwerking van telemetrie vanuit PAW’s voldoet aan AVG-artikel 32; zij borgen dat er alleen gegevens worden verzameld die nodig zijn voor security monitoring en dat bewaartermijnen overeenkomen met het vastgestelde auditbeleid. Door HR, juridische zaken, CISO en CIO gezamenlijk verantwoordelijk te maken, ontstaat een organisatorisch schild dat technologische maatregelen ondersteunt.
Het programma benoemt daarnaast een patchboard voor privileged access. Dit board beslist over firmware-updates, driverwijzigingen en applicatieversies binnen de PAW-image. Omdat wijzigingen direct impact hebben op beheerprocessen, bundelt het board leden van werkplekbeheer, identity, SOC en change management. Iedere wijziging kent een risicoanalyse, rollback-plan en communicatiepakket. Wanneer een leverancier een kritieke kwetsbaarheid meldt, kan het board binnen 24 uur een expedite-beleid activeren dat via Intune en Windows Update for Business alleen PAW’s raakt. Deze versnelling is noodzakelijk omdat aanvallers juist op beheerwerkplekken zero-days uitproberen. Besturing betekent hier: snelle besluitvormingslijnen, duidelijke KPI’s (bijvoorbeeld percentage PAW’s binnen SLA, aantal onbeveiligde uitzonderingen) en maandelijkse rapportage aan de ambtelijke top. Daarmee bewijst de organisatie dat privileged access structureel wordt bewaakt.
Tot slot worden escalatieroutes vooraf vastgelegd. De organisatie definieert duidelijke drempelwaarden voor het opschalen naar het CMT: bijvoorbeeld zodra twee PAW’s in dezelfde ring een high-severity Defender-alert genereren of wanneer een beheerder niet binnen twee uur kan werken vanwege blokkades. Communicatieafspraken beschrijven welke informatie richting de Chief Information Security Officer, de Functionaris Gegevensbescherming en ketenpartners wordt gedeeld. Door escalaties te oefenen en vast te leggen in runbooks, voorkomt de organisatie dat tijdens een crisis ad-hoc beslissingen worden genomen die compliance of beschikbaarheid schaden.
Architectuur, Configuraties en Integraties
Gebruik PowerShell-script privileged-access-workstations.ps1 (functie Invoke-PawOperations) – Levert een operationeel overzicht van PAW-compliance, LAPS-rotatie en Conditional Access-signalen..
De technische architectuur van een PAW combineert meerdere beveiligingslagen. Intune beheert de levenscyclus van het apparaat vanaf Autopilot-registratie. Tijdens de provisioning wordt een minimalistische image uitgerold: alleen beheertools zoals Windows Admin Center, Azure AD PowerShell en Microsoft 365 admin portalen krijgen toestemming. Randsoftware, e-mail en kantoortoepassingen ontbreken volledig om het aanvalsvlak te beperken. Device compliance policies eisen BitLocker met XTS-AES 256, Secure Boot, Trusted Platform Module, actuele antivirusdefinities en een maximale patchachterstand van vijf dagen. Configuration profiles blokkeren USB-massaopslag, schakel BlueTooth uit tenzij een FIPS-gecertificeerd apparaat wordt gebruikt, forceren Windows Defender Application Control en configureren Credential Guard. Deze instellingen worden samengebracht in een Intune-beleidsset die exclusief wordt toegewezen aan dynamische Entra ID-groepen met het label “PrivilegedAccessWorkstation”.
Conditional Access bepaalt dat beheeraccounts alleen mogen aanmelden wanneer het device een compliant PAW is. Hiervoor wordt een device filter gebruikt dat controleert op de Intune deviceId én een Custom Compliance-script dat extra attestation levert (bijvoorbeeld FortiClient of hardwareverificatie). Sessies worden verplicht via moderne browsers die hardening policies ontvangen (SmartScreen, exploit protection, uitschakelen van extensies, blokkeren van niet-beheerde profielen). Defender for Endpoint draait in een dedicated device group met extra regels: real-time monitoring moet actief zijn, tampering protection staat verplicht aan en indicatoren voor verdachte PowerShell-scripts worden automatisch gedeeld met het SOC. Voor beheerhandelingen richting Azure of M365 worden privileged identity management (PIM) of just-in-time access workflows gekoppeld aan de PAW-check, zodat een beheerder pas een rol kan activeren nadat het device is gevalideerd. Wanneer een beheerder toch via een niet-goedgekeurd apparaat probeert in te loggen, blokkeert Conditional Access de sessie en krijgt het SOC een automatische melding.
Lokale accounts vormen een ander aandachtspunt. Alle PAW’s krijgen Microsoft LAPS of Windows LAPS met een dedicated beleidsset. Wachtwoorden roteren elke 24 uur en worden opgeslagen in een aparte, afgeschermde Entra ID- of Active Directory-omgeving met role-based access control. Het script controleert via Graph of rotaties recent zijn uitgevoerd en of onbevoegde accounts aan de lokale beheerdersgroep zijn toegevoegd. Daarnaast wordt een jumpserverpad ingericht voor scenario’s waarbij beheer via RDP of SSH noodzakelijk is; Network Access Control en microsegmentatie zorgen ervoor dat alleen PAW’s dit pad mogen gebruiken. Tenslotte wordt logging centraal verzameld: Windows Event Forwarding, Defender for Endpoint en Microsoft Sentinel ontvangen telemetrie waardoor afwijkingen (bijvoorbeeld niet-goedgekeurde services of USB-gebruik) realtime zichtbaar worden. Door integraties tussen Intune, Defender, Conditional Access en LAPS strak te orkestreren ontstaat een technisch fundament dat aanvallers dwingt tot complexe, bijna niet haalbare aanvalsketens.
Voor organisaties met hybride infrastructuren wordt een gelaagde architectuur toegevoegd. PAW’s die verbinding maken met OT-netwerken of Rijksdatacenters gebruiken een virtuele airgap: beheer verloopt via Bastion-achtige diensten of Azure Stack HCI-jumpservers waarop dezelfde hardening wordt toegepast. Credential-uitgifte verloopt via smartcards of FIDO2-keys die uitsluitend op PAW’s functioneren. Tevens wordt een secure build pipeline ingericht waarin every release candidate door vulnerability scanning, DSC-validatie en code signing gaat voordat deze in Intune wordt gepubliceerd. Hiermee wordt supply-chain risico gemitigeerd en blijft aantoonbaar welke image-versie tijdens een incident actief was.
Operaties, Monitoring en Respons
Operationele teams bewaken PAW’s alsof het kritieke OT-systemen zijn. Dagelijkse controles bestaan uit Intune-rapportages op compliance, LAPS-rotatie, en Windows Update status. Het SOC ontvangt Defender-signalen in een aparte analytische workspace zodat alerts van PAW’s nooit worden overschaduwd door reguliere endpoints. De servicedesk heeft geen lokale beheerrechten; incidenten worden door een gespecialiseerd PAW-team opgepakt dat remote acties uitvoert en resultaten vastlegt in het ITSM-platform. Iedere afwijking, bijvoorbeeld een device dat langer dan 72 uur offline is, triggert een geautomatiseerd Graph-webhook dat een ticket genereert en de eigenaar via Teams informeert. Hierdoor voorkomen organisaties dat een ontvreemde PAW onopgemerkt blijft. Het operations-handboek beschrijft bovendien hoe tijdelijke uitzonderingen worden afgehandeld: een beheerder die onderweg is, mag alleen via een hardened virtual desktop een change uitvoeren, waarbij alle sessies worden opgenomen.
Monitoring gaat verder dan dashboards. De organisatie definieert key risk indicators: percentage compliant PAW’s, tijd tot patchen, aantal afgewezen Conditional Access sessies, tijd sinds laatste LAPS-rotatie en aantal devices met mislukte Defender-updates. Deze indicatoren worden wekelijks besproken in het privileged access board en maandelijks gerapporteerd aan bestuurders. Het script levert CSV-bestanden en JSON-exporten die automatisch in het datawarehouse terechtkomen. Door historie te bewaren, ontdekken teams trends zoals terugkerende compliance-fouten na een image-update. Het SOC koppelt Sentinel notebooks aan deze datasets zodat threat hunters anomaliën kunnen detecteren, bijvoorbeeld beheeraccounts die plotseling buiten kantoortijden inloggen. Incidentresponsprocedures bepalen dat een verdacht PAW direct wordt geïsoleerd via Intune, dat logs worden veiliggesteld en dat de betreffende beheerder wordt gebeld door het crisiscommunicatieteam. Elke respons wordt afgesloten met een root-cause analyse die wijzigingen aan beleid of configuraties triggert.
Continu verbeteren betekent dat het PAW-team nauwe samenwerking zoekt met leveranciers en de community. NCSC- en MSRC-waarschuwingen worden automatisch gesynchroniseerd met Azure Boards zodat stories voor het PAW-team ontstaan. Applicatie-eigenaren leveren minimaal eens per kwartaal feedback over noodzakelijke tools; het board beoordeelt of deze tools veilig kunnen worden opgenomen in de PAW-image of dat alternatieve processen nodig zijn. Tevens worden tabletop-exercises uitgevoerd waarbij een compromittering van een beheeraccount wordt gesimuleerd. Deze oefeningen testen of revocatie van certificaten, herstel van jumpservers en communicatie naar bestuurders snel genoeg verloopt. Door lessons learned te koppelen aan release-trains en het script uit te breiden met nieuwe controles, blijft het PAW-programma aansluiten bij veranderende dreigingen en regelgeving.
Automatisering versnelt de operatie verder. GitHub Actions of Azure Automation runbooks voeren dagelijks het script uit met -Operations en plaatsen de resultaten in een beveiligde storage-account. Vanuit daar worden Power BI-dashboards bijgewerkt en worden afwijkingen via Adaptive Cards naar Teams gestuurd. Hierdoor hoeven analisten niet handmatig rapportages te openen en ontstaat near-real-time inzicht. Bij lokale debug-sessies kunnen beheerders dezelfde runbooks offline draaien zodat wijzigingen eerst in een gecontroleerde omgeving worden beoordeeld voordat ze productie raken.
Audittrail, Bewijslast en Compliance
Auditoren willen zien dat privileged access geen incidenteel project is maar een blijvende controlemaatregel. Daarom documenteert de organisatie het volledige lifecycle-proces van PAW’s in een centrale repository. Iedere provisioning-actie produceert een Autopilot-rapport, een Intune-log en een change ticket met verwijzing naar de verantwoordelijke manager. Het script exporteert configuraties van compliance policies, configuration profiles, LAPS policies en Conditional Access regels. Deze exports worden digitaal ondertekend en opgeslagen in een SharePoint-site met retentiebeleid. Voor elke beheerder is er een bewijsset bestaande uit PIM-activiteit, sessielogs, device compliance snapshots en de uitkomst van periodieke hercertificeringen. Tijdens audits kan het team daardoor binnen minuten aantonen welke maatregelen op een specifieke datum van kracht waren en hoe uitzonderingen zijn geautoriseerd. Bovendien worden dashboards gedeeld met interne auditdiensten zodat zij vier keer per jaar zelfstandig steekproeven kunnen trekken.
Bewijslast strekt zich ook uit naar ketenpartners. Wanneer externe beheerders (bijvoorbeeld leveranciersteams) toegang nodig hebben, ondertekenen zij contractueel dat zij uitsluitend via een door de organisatie verstrekte PAW werken. De leverancier krijgt toegang tot een aparte tenantspecifieke Intune-omgeving of ontvangt tijdelijke hardware die met dezelfde policies is vergrendeld. Alle sessies worden gelogd en opgeslagen in Microsoft Sentinel waar bewaartermijnen zijn afgestemd op de Archiefwet. De organisatie borgt verdere compliance door mapping naar BIO-paragrafen, ISO 27001-controls en NIS2 artikel 21. Elke mapping bevat verwijzingen naar exacte policies en scripts zodat auditors geen interpretatieverschillen hebben. Dit gestandaardiseerde bewijs reduceert auditkosten en vergroot vertrouwen bij toezichthouders, parlement en ketenpartners.
Verder wordt een retentie- en vernietigingsproces ingericht. Zodra de wettelijke bewaartermijn van zeven jaar is verstreken, worden auditbestanden gecontroleerd verwijderd waarbij hashwaarden aantonen dat het juiste bestand is vernietigd. De organisatie bewaart daarnaast hash-lijsten en metadata in een apart archief dat niet kan worden gewijzigd zodat de integriteit van historische rapportages aantoonbaar blijft. Door deze lifecycle te automatiseren met Microsoft Purview-records management en Azure Key Vault voor versleuteling blijven bewijsstukken zowel beschikbaar als beschermd tegen ongeoorloofde wijziging.
Compliance & Frameworks
- BIO: 09.01.01, 12.04.01, 12.06.01 - Borgt streng beheer van privileged accounts, wijzigingsbeheer en monitoring van kritieke systemen.
- ISO 27001:2022: A.5.17, A.8.2, A.8.7 - Ondersteunt toegangsbeheersing, hardening van beheersystemen en continue verbetering.
- NIS2: Artikel - Eist maatregelen voor risicobeheer, incidentrespons en governance rond essentiële diensten.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Baseline-assessment en operations-rapportage voor Privileged Access Workstations.
.DESCRIPTION
Controleert of PAW-apparaten compliant zijn, of Intune-beleid correct is toegewezen
en of LAPS/Conditional Access-vereisten worden nageleefd. Levert tevens CSV-rapportages.
.NOTES
Filename : privileged-access-workstations.ps1
Author : Nederlandse Baseline voor Veilige Cloud
Version : 1.0
Related : content/m365/device-management/privileged-access-workstations.json
.EXAMPLE
.\privileged-access-workstations.ps1 -Assessment -LocalDebug
.EXAMPLE
.\privileged-access-workstations.ps1 -Operations -ExportPath .\paw-status.csv
#>
#Requires -Version 5.1
#Requires -Modules Microsoft.Graph.DeviceManagement
#Requires -Modules Microsoft.Graph.DeviceManagement.Enrollment
[CmdletBinding(DefaultParameterSetName = 'Assessment')]
param(
[Parameter(ParameterSetName = 'Assessment')]
[switch]$Assessment,
[Parameter(ParameterSetName = 'Operations')]
[switch]$Operations,
[Parameter(ParameterSetName = 'Remediation')]
[switch]$Remediation,
[switch]$LocalDebug,
[string]$ExportPath,
[switch]$WhatIf
)
$ErrorActionPreference = 'Stop'
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "Privileged Access Workstations" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
function Initialize-PawContext {
if ($LocalDebug) {
Write-Verbose "LocalDebug actief: Graph-verbinding wordt overgeslagen."
return
}
$context = Get-MgContext
if (-not $context) {
Write-Host "Verbinden met Microsoft Graph..." -ForegroundColor Yellow
$null = Connect-MgGraph -Scopes @(
'DeviceManagementConfiguration.Read.All',
'DeviceManagementManagedDevices.Read.All',
'DeviceManagementServiceConfig.Read.All'
) -ErrorAction Stop
$context = Get-MgContext
}
if ($context.ApiVersion -ne 'beta') {
Select-MgProfile -Name 'beta'
}
}
function Get-PawSampleData {
$now = Get-Date
return [pscustomobject]@{
Workstations = @(
[pscustomobject]@{
deviceName = 'PAW-RVK-0001'
operatingSystem = 'Windows 11'
lastSyncDateTime = $now.AddHours(-5)
complianceState = 'compliant'
encryptionState = 'encrypted'
deviceCategoryDisplayName = 'Privileged Access Workstation'
lapsLastRotated = $now.AddHours(-10)
conditionalAccessSatisfied = $true
},
[pscustomobject]@{
deviceName = 'PAW-RVK-0007'
operatingSystem = 'Windows 11'
lastSyncDateTime = $now.AddHours(-30)
complianceState = 'nonCompliant'
encryptionState = 'notEncrypted'
deviceCategoryDisplayName = 'Privileged Access Workstation'
lapsLastRotated = $now.AddHours(-40)
conditionalAccessSatisfied = $false
}
)
CompliancePolicies = @(
[pscustomobject]@{
displayName = 'PAW - Compliance'
assignments = @( @{ target = @{ displayName = 'PAW-Dynamic' } } )
scheduledActionsForRule = @()
}
)
ConfigurationPolicies = @(
[pscustomobject]@{
displayName = 'PAW - Hardening'
assignments = @( @{ target = @{ displayName = 'PAW-Dynamic' } } )
}
)
LapsPolicies = @(
[pscustomobject]@{
displayName = 'PAW LAPS 24H'
passwordRotationInDays = 1
passwordLength = 15
isEnabled = $true
}
)
}
}
function Get-PawInventory {
Initialize-PawContext
if ($LocalDebug) {
return Get-PawSampleData
}
$managedDevices = Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/beta/deviceManagement/managedDevices?`$top=999" -ErrorAction Stop
$compliancePolicies = Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/beta/deviceManagement/deviceCompliancePolicies?`$expand=assignments&`$top=50" -ErrorAction Stop
$configurationPolicies = Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/beta/deviceManagement/configurationPolicies?`$expand=assignments&`$top=50" -ErrorAction Stop
$lapsPolicies = Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/beta/deviceManagement/windowsLapsPolicies?`$top=50" -ErrorAction Stop
$workstations = @(
$managedDevices.value | Where-Object {
($_.deviceCategoryDisplayName -match 'Privileged' -or $_.enrollmentProfileName -match 'PAW' -or $_.azureAdDeviceId -and $_.deviceName -match '^PAW')
}
)
return [pscustomobject]@{
Workstations = $workstations
CompliancePolicies = $compliancePolicies.value | Where-Object { $_.displayName -match 'PAW|Privileged' }
ConfigurationPolicies= $configurationPolicies.value | Where-Object { $_.displayName -match 'PAW|Privileged' }
LapsPolicies = $lapsPolicies.value
}
}
function Invoke-PawAssessment {
try {
$inventory = Get-PawInventory
$issues = @()
$workstations = @($inventory.Workstations)
if ($workstations.Count -eq 0) {
$issues += "Er zijn geen apparaten gevonden met deviceCategory of naam die aan PAW-criteria voldoen."
}
foreach ($device in $workstations) {
$lastSync = if ($device.PSObject.Properties['lastSyncDateTime']) { [datetime]$device.lastSyncDateTime } else { $null }
$syncAge = if ($lastSync) { (Get-Date) - $lastSync } else { $null }
if ($syncAge -and $syncAge.TotalHours -gt 24) {
$issues += "Device '$($device.deviceName)' heeft $([math]::Round($syncAge.TotalHours,1)) uur niet gesynchroniseerd."
}
if ($device.PSObject.Properties['complianceState'] -and $device.complianceState -ne 'compliant') {
$issues += "Device '$($device.deviceName)' is gemarkeerd als $($device.complianceState)."
}
if ($device.PSObject.Properties['encryptionState'] -and $device.encryptionState -notmatch 'encrypted') {
$issues += "Device '$($device.deviceName)' is niet volledig versleuteld volgens Intune telemetrie."
}
if ($device.PSObject.Properties['conditionalAccessSatisfied'] -and -not $device.conditionalAccessSatisfied) {
$issues += "Conditional Access-eis is afgewezen voor device '$($device.deviceName)'."
}
if ($device.PSObject.Properties['lapsLastRotated']) {
$rotationAge = (Get-Date) - [datetime]$device.lapsLastRotated
if ($rotationAge.TotalHours -gt 24) {
$issues += "LAPS-wachtwoord van '$($device.deviceName)' is ouder dan 24 uur."
}
}
}
$compliancePolicies = @($inventory.CompliancePolicies)
if ($compliancePolicies.Count -eq 0) {
$issues += "Er zijn geen Intune-compliance policies die 'PAW' of 'Privileged' in de naam hebben."
}
else {
foreach ($policy in $compliancePolicies) {
$assignments = @($policy.assignments)
if ($assignments.Count -eq 0) {
$issues += "Compliance policy '$($policy.displayName)' heeft geen assignments."
}
}
}
$configurationPolicies = @($inventory.ConfigurationPolicies)
if ($configurationPolicies.Count -eq 0) {
$issues += "Er zijn geen configuration policies voor PAW’s gevonden."
}
else {
foreach ($policy in $configurationPolicies) {
$assignments = @($policy.assignments)
if ($assignments.Count -eq 0) {
$issues += "Configuration policy '$($policy.displayName)' mist assignments."
}
}
}
$lapsPolicies = @($inventory.LapsPolicies)
if ($lapsPolicies.Count -eq 0) {
$issues += "Er is geen Windows LAPS policy aangetroffen."
}
else {
foreach ($policy in $lapsPolicies) {
if ($policy.PSObject.Properties['passwordRotationInDays']) {
if ([int]$policy.passwordRotationInDays -gt 1) {
$issues += "LAPS policy '$($policy.displayName)' roteert wachtwoorden slechts elke $($policy.passwordRotationInDays) dagen (maximaal 1 dag toegestaan)."
}
}
if ($policy.PSObject.Properties['isEnabled'] -and -not $policy.isEnabled) {
$issues += "LAPS policy '$($policy.displayName)' staat uitgeschakeld."
}
}
}
if ($issues.Count -eq 0) {
Write-Host "COMPLIANT: Alle gecontroleerde PAW-controles voldoen." -ForegroundColor Green
return 0
}
else {
Write-Host "NON-COMPLIANT: $($issues.Count) aandachtspunten gevonden." -ForegroundColor Red
$issues | ForEach-Object { Write-Host " - $_" -ForegroundColor Yellow }
return 1
}
}
catch {
Write-Host "ERROR tijdens PAW-assessment: $_" -ForegroundColor Red
return 2
}
}
function Invoke-PawOperations {
param(
[string]$ExportPath
)
try {
$inventory = Get-PawInventory
$now = Get-Date
$workstations = @($inventory.Workstations)
$summary = foreach ($device in $workstations) {
$lastSync = if ($device.PSObject.Properties['lastSyncDateTime']) { [datetime]$device.lastSyncDateTime } else { $null }
$syncAgeHours = if ($lastSync) { [math]::Round(($now - $lastSync).TotalHours, 1) } else { [double]::PositiveInfinity }
$lapsAge = if ($device.PSObject.Properties['lapsLastRotated']) { [math]::Round(($now - [datetime]$device.lapsLastRotated).TotalHours, 1) } else { $null }
[pscustomobject]@{
DeviceName = $device.deviceName
OperatingSystem = $device.operatingSystem
ComplianceState = if ($device.PSObject.Properties['complianceState']) { $device.complianceState } else { 'unknown' }
EncryptionState = if ($device.PSObject.Properties['encryptionState']) { $device.encryptionState } else { 'unknown' }
HoursSinceSync = $syncAgeHours
LapsHours = $lapsAge
DeviceCategory = if ($device.PSObject.Properties['deviceCategoryDisplayName']) { $device.deviceCategoryDisplayName } else { 'Onbekend' }
}
}
Write-Host "PAW-rapport bevat $($summary.Count) apparaten." -ForegroundColor Cyan
$nonCompliant = $summary | Where-Object { $_.ComplianceState -ne 'compliant' -or $_.HoursSinceSync -gt 24 -or ($_.LapsHours -and $_.LapsHours -gt 24) }
Write-Host "Apparaten met openstaande issues: $($nonCompliant.Count)" -ForegroundColor Yellow
if ($ExportPath) {
$directory = Split-Path -Parent $ExportPath
if ($directory -and -not (Test-Path $directory)) {
New-Item -ItemType Directory -Path $directory -Force | Out-Null
}
$summary | Export-Csv -Path $ExportPath -NoTypeInformation -Encoding UTF8
Write-Host "Rapport geëxporteerd naar $ExportPath" -ForegroundColor Green
}
return ($nonCompliant.Count -gt 0) ? 1 : 0
}
catch {
Write-Host "ERROR tijdens operations-rapportage: $_" -ForegroundColor Red
return 2
}
}
function Invoke-PawRemediation {
try {
Write-Host "Remediatiestappen voor Privileged Access Workstations:" -ForegroundColor Yellow
Write-Host "1. Controleer Intune device category en dynamische groepen; zorg dat alle beheerdevices automatisch worden opgenomen." -ForegroundColor Gray
Write-Host "2. Valideer compliance- en configuration policies, inclusief BitLocker, Credential Guard en WDAC." -ForegroundColor Gray
Write-Host "3. Controleer Conditional Access device filters en PIM-instellingen; blokkeer direct niet-goedgekeurde apparaten." -ForegroundColor Gray
Write-Host "4. Verifieer Windows LAPS rotatie en stel wachtwoordrotaties terug naar 24 uur waar nodig." -ForegroundColor Gray
Write-Host "5. Log alle wijzigingen in ITSM en informeer het privileged access board over uitzonderingen en incidenten." -ForegroundColor Gray
if ($WhatIf) {
Write-Host "`nWhatIf actief: er zijn geen wijzigingen aangebracht." -ForegroundColor Yellow
}
return 0
}
catch {
Write-Host "ERROR tijdens remediatie-instructies: $_" -ForegroundColor Red
return 2
}
}
try {
switch ($PSCmdlet.ParameterSetName) {
'Assessment' {
$exitCode = Invoke-PawAssessment
exit $exitCode
}
'Operations' {
$exitCode = Invoke-PawOperations -ExportPath $ExportPath
exit $exitCode
}
'Remediation' {
$exitCode = Invoke-PawRemediation
exit $exitCode
}
default {
Write-Host "Gebruik -Assessment, -Operations of -Remediation (optioneel -LocalDebug, -ExportPath, -WhatIf)." -ForegroundColor Yellow
}
}
}
catch {
Write-Host "Onverwachte fout: $_" -ForegroundColor Red
exit 2
}
finally {
Write-Host "`n========================================`n" -ForegroundColor Cyan
}
Risico zonder implementatie
Risico zonder implementatie
Very High: Zonder PAW’s blijven beheeraccounts kwetsbaar voor phishing, token-diefstal en malware waardoor aanvallers volledige controle over de Microsoft 365-tenant of Azure-landing zones krijgen. Incidenten leiden tot verstoring van dienstverlening, meldplicht aan toezichthouders en mogelijk bestuurlijke aansprakelijkheid.
Management Samenvatting
Implementeer Privileged Access Workstations met Intune, Conditional Access, Defender en LAPS, koppel dit aan strak governance en lever aantoonbare auditbewijzen. Zo bescherm je beheeraccounts, voldoe je aan BIO en NIS2 en verklein je het aanvalsvlak van kritieke cloudplatformen.
- Implementatietijd: 144 uur
- FTE required: 0.5 FTE