💼 Management Samenvatting
Een smart lockoutduur van 60 seconden vormt de optimale balans tussen beveiliging en bruikbaarheid. Deze configuratie beperkt geautomatiseerde brute force-aanvallen effectief, terwijl legitieme gebruikers die per ongeluk een typefout maken relatief snel opnieuw kunnen proberen in te loggen zonder onnodige frustratie.
Aanbeveling
VERIFIEER 60 SECONDEN LOCKOUT
Risico zonder
Low
Risk Score
3/10
Implementatie
0.5u (tech: 0.25u)
Van toepassing op:
✓ Azure
✓ Azure AD
✓ Azure AD
De lockoutduur is een kritieke parameter die bepaalt hoe lang een gebruikersaccount geblokkeerd blijft na het overschrijden van de drempelwaarde voor mislukte authenticatiepogingen. Deze instelling vormt een fundamenteel onderdeel van de beveiligingsstrategie tegen brute force-aanvallen, waarbij aanvallers systematisch proberen wachtwoorden te raden door duizenden of zelfs miljoenen combinaties te proberen. Een te korte lockoutduur van bijvoorbeeld 10 seconden biedt onvoldoende bescherming tegen geautomatiseerde aanvallen, omdat aanvallers na deze korte periode opnieuw kunnen beginnen met hun pogingen. Dit maakt het mogelijk om binnen relatief korte tijd een enorm aantal wachtwoordcombinaties te proberen, wat de kans op een succesvolle compromittering van een account significant verhoogt. Aan de andere kant veroorzaakt een te lange lockoutduur van bijvoorbeeld 30 minuten overmatige gebruikersfrictie bij legitieme gebruikers die per ongeluk meerdere keren een verkeerd wachtwoord hebben ingevoerd. Dergelijke gebruikers worden dan onnodig lang gehinderd in hun werkzaamheden, wat kan leiden tot frustratie, verhoogde helpdeskbelasting, en mogelijk zelfs tot het ontwikkelen van onveilige wachtwoordpraktijken uit frustratie. Zestig seconden vormt de CIS-aanbevolen balans die zorgvuldig is afgestemd op zowel beveiligingsvereisten als gebruikerservaring. Deze duur is voldoende om geautomatiseerde aanvallen significant te vertragen, omdat aanvallers na elke 10 mislukte pogingen 60 seconden moeten wachten voordat ze opnieuw kunnen proberen. Dit vermindert het aantal pogingen dat per uur kan worden ondernomen drastisch, waardoor brute force-aanvallen praktisch onhaalbaar worden. Tegelijkertijd is de periode kort genoeg om legitieme gebruikers niet onnodig te hinderen bij occasionele typefouten of vergeten wachtwoorden.
PowerShell Modules Vereist
Primary API: Microsoft Graph API
Connection:
Required Modules: Microsoft.Graph.Identity.SignIns
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.Identity.SignIns
Implementatie
Deze controle verifieert dat de smart lockoutduur is ingesteld op 60 seconden, wat de standaard Azure Active Directory-instelling is. Smart lockout is een geavanceerd beveiligingsmechanisme dat verder gaat dan traditionele account lockout-functies door intelligente analyse en adaptieve respons. In combinatie met een drempelwaarde van 10 mislukte pogingen wordt een account na 10 mislukte authenticatiepogingen binnen een bepaalde tijdsperiode automatisch gedurende 60 seconden geblokkeerd. Tijdens deze periode kunnen geen nieuwe authenticatiepogingen worden ondernomen voor het betreffende account, wat de effectiviteit van brute force-aanvallen aanzienlijk vermindert. Het intelligente aspect van smart lockout komt tot uiting in de progressieve verhoging van de lockoutduur bij herhaalde lockouts van hetzelfde account. Wanneer een account meerdere keren wordt geblokkeerd binnen een relatief korte periode, interpreteert het systeem dit als een mogelijke aanhoudende aanval en verhoogt het automatisch de lockoutduur. Deze adaptieve aanpak zorgt ervoor dat aanhoudende aanvallen steeds moeilijker worden, terwijl occasionele typefouten van legitieme gebruikers niet worden overmatig gestraft. Na het verstrijken van de lockoutperiode kan de gebruiker opnieuw proberen in te loggen. Als de gebruiker succesvol inlogt, wordt de lockoutstatus opgeheven en kan de gebruiker normaal verder werken. Als de gebruiker opnieuw meerdere mislukte pogingen doet, wordt het account opnieuw geblokkeerd, maar nu met een langere lockoutduur vanwege de progressieve verhoging. Deze combinatie van intelligente analyse, adaptieve respons en gebruiksvriendelijkheid maakt smart lockout een effectief en gebruiksvriendelijk beveiligingsmechanisme dat essentieel is voor moderne identiteitsbeveiliging.
Vereisten
Voordat de lockoutduur van 60 seconden kan worden geconfigureerd en geverifieerd, moeten verschillende basisvereisten worden vervuld. Deze vereisten vormen de fundering voor een effectieve smart lockout-implementatie die zowel beveiliging als gebruikerservaring optimaliseert. Het begrijpen van deze vereisten is essentieel voor IT-beheerders en beveiligingsfunctionarissen die verantwoordelijk zijn voor de identiteitsbeveiliging binnen hun organisatie. Smart lockout is standaard ingeschakeld in Azure Active Directory, wat betekent dat organisaties geen aanvullende licenties of complexe configuratiestappen hoeven uit te voeren om deze functionaliteit te activeren. Deze standaardinstelling vormt een belangrijke beveiligingslaag die automatisch bescherming biedt tegen brute force-aanvallen zonder dat er handmatige interventie vereist is. De standaardstatus van smart lockout betekent echter niet dat organisaties de configuratie kunnen negeren; verificatie en optimalisatie blijven cruciaal voor een effectieve beveiligingspostuur. Organisaties moeten begrijpen dat smart lockout een dynamisch systeem is dat zich aanpast aan de dreigingsomgeving. Het systeem analyseert niet alleen het aantal mislukte pogingen, maar ook patronen in aanvallen, zoals herhaalde pogingen vanaf hetzelfde IP-adres of tegen hetzelfde account. Deze intelligentie maakt smart lockout effectiever dan traditionele statische lockout-mechanismen die eenvoudigweg accounts blokkeren na een vast aantal mislukte pogingen. De lockoutdrempelwaarde moet worden geconfigureerd op 10 mislukte pogingen, wat een kritieke parameter vormt in het smart lockout-mechanisme. Deze drempelwaarde bepaalt het aantal mislukte authenticatiepogingen dat is toegestaan voordat een account wordt geblokkeerd. De keuze voor 10 pogingen balanceert tussen beveiliging en gebruikerservaring: te weinig pogingen kunnen legitieme gebruikers onnodig blokkeren bij occasionele typefouten, terwijl te veel pogingen aanvallers te veel ruimte geven voor geautomatiseerde aanvallen. De configuratie van de drempelwaarde op 10 is gebaseerd op CIS-aanbevelingen en vormt een industrie-standaard die is afgestemd op realistische gebruikerspatronen en beveiligingsvereisten. Onderzoek heeft aangetoond dat de meeste legitieme gebruikers binnen 10 pogingen succesvol kunnen inloggen, zelfs bij occasionele typefouten of vergeten wachtwoorden. Tegelijkertijd biedt deze drempelwaarde voldoende bescherming tegen geautomatiseerde brute force-aanvallen, die doorgaans duizenden of zelfs miljoenen pogingen vereisen om succesvol te zijn. De lockoutduur moet worden ingesteld op 60 seconden, wat de standaardwaarde is in Azure Active Directory. Deze duur vertegenwoordigt de tijdsperiode waarin een account geblokkeerd blijft na het overschrijden van de drempelwaarde. De 60 seconden zijn zorgvuldig gekozen om een optimale balans te creëren tussen het beperken van geautomatiseerde aanvallen en het minimaliseren van gebruikersfrictie. Tijdens deze periode kunnen aanvallers geen nieuwe authenticatiepogingen ondernemen, wat de effectiviteit van brute force-aanvallen significant vermindert. Tegelijkertijd is de periode kort genoeg om legitieme gebruikers die per ongeluk meerdere keren een verkeerd wachtwoord hebben ingevoerd, niet onnodig lang te hinderen. Het is belangrijk om te begrijpen dat smart lockout de lockoutduur progressief verhoogt bij herhaalde lockouts van hetzelfde account. Dit betekent dat als een account meerdere keren wordt geblokkeerd binnen een korte periode, de lockoutduur automatisch wordt verlengd. Deze adaptieve aanpak is ontworpen om aanhoudende aanvallen effectiever te bestrijden, terwijl occasionele typefouten van legitieme gebruikers niet worden overmatig gestraft. Deze drie vereisten werken samen als een geïntegreerd systeem: smart lockout biedt de basisinfrastructuur, de drempelwaarde bepaalt wanneer bescherming wordt geactiveerd, en de lockoutduur bepaalt hoe lang de bescherming actief blijft. Het begrijpen van deze onderlinge relaties is essentieel voor een effectieve implementatie en monitoring van de beveiligingsmaatregelen. Organisaties moeten ook rekening houden met aanvullende factoren, zoals de integratie met andere beveiligingsmaatregelen zoals meervoudige authenticatie, risicogebaseerde toegangscontrole, en monitoring van aanmeldingspatronen. Deze maatregelen werken samen om een gelaagde beveiligingsbenadering te creëren die bescherming biedt tegen verschillende soorten aanvallen en bedreigingen.
Implementatie
Gebruik PowerShell-script lockout-duration-60.ps1 (functie Invoke-Implementation) – Implementeren.
De implementatie van de lockoutduur van 60 seconden begint met toegang tot de Azure Active Directory-beheerportal. Navigeer naar de beveiligingssectie door te gaan naar Azure AD, vervolgens naar Beveiliging, en dan naar Authenticatiemethoden. Binnen deze sectie bevindt zich de optie voor wachtwoordbescherming, waar de smart lockout-configuratie kan worden beheerd. Deze navigatiestructuur is consistent met andere Azure AD-beveiligingsinstellingen en biedt een logische plaatsing voor identiteitsgerelateerde beveiligingsmaatregelen. Het is belangrijk om te begrijpen dat toegang tot deze configuratie vereist dat de gebruiker beschikt over de juiste beheerdersrechten, zoals de rol van Globale beheerder of Beveiligingsbeheerder. Deze rolgebaseerde toegangscontrole zorgt ervoor dat alleen geautoriseerd personeel wijzigingen kan aanbrengen in kritieke beveiligingsinstellingen, wat een belangrijk aspect is van het principe van minimale bevoegdheden. Binnen de wachtwoordbeschermingssectie moet de lockoutduur worden gecontroleerd en indien nodig worden ingesteld op 60 seconden. Deze waarde wordt weergegeven in seconden en moet expliciet worden geverifieerd, zelfs wanneer de standaardinstelling al op 60 seconden staat. Verificatie is essentieel omdat configuratiewijzigingen kunnen optreden tijdens tenant-migraties, beveiligingsupdates of handmatige aanpassingen door andere beheerders. Het controleren van deze instelling vormt een kritieke stap in het beveiligingsauditproces en moet regelmatig worden uitgevoerd als onderdeel van periodieke beveiligingscontroles. Organisaties kunnen ook gebruik maken van geautomatiseerde verificatiescripts die regelmatig de configuratie controleren en waarschuwingen genereren wanneer afwijkingen worden gedetecteerd. Naast het verifiëren van de lockoutduur moet ook de drempelwaarde worden gecontroleerd, die idealiter is ingesteld op 10 mislukte pogingen. Deze verificatie is belangrijk omdat de lockoutduur en drempelwaarde samenwerken als een geïntegreerd beveiligingsmechanisme. Een account wordt alleen geblokkeerd wanneer beide voorwaarden zijn vervuld: het aantal mislukte pogingen overschrijdt de drempelwaarde, en de lockoutduur bepaalt vervolgens hoe lang het account geblokkeerd blijft. Het verifiëren van beide instellingen zorgt voor een complete beveiligingsconfiguratie die voldoet aan CIS-aanbevelingen en industrie-standaarden. De standaardinstelling van 60 seconden is doorgaans al correct geconfigureerd in nieuwe Azure AD-tenants, maar verificatie blijft noodzakelijk. Organisaties die migreren van on-premises Active Directory of andere identiteitsproviders moeten expliciet controleren of deze instelling correct is overgenomen. Tijdens migraties kunnen configuraties soms worden aangepast of overgeslagen, wat kan leiden tot suboptimale beveiligingsinstellingen. Daarom moet de lockoutduur worden geverifieerd als onderdeel van elke tenant-configuratie of migratieprocedure. Het is ook belangrijk om te begrijpen dat smart lockout alleen werkt voor cloud-accounts en niet voor on-premises accounts die worden gesynchroniseerd via Azure AD Connect, tenzij deze accounts zijn geconfigureerd voor pass-through authenticatie of wachtwoordhash-synchronisatie. Voor hybride omgevingen moeten organisaties aanvullende overwegingen maken met betrekking tot de integratie tussen cloud- en on-premises lockout-mechanismen. Monitoring van lockoutgebeurtenissen in de aanmeldingslogboeken vormt een essentieel onderdeel van de implementatie en het beheer van smart lockout. Deze logboeken bieden inzicht in hoe vaak lockouts optreden, welke accounts worden getroffen, en of er patronen zijn die wijzen op geautomatiseerde aanvallen of legitieme gebruikersproblemen. Regelmatige monitoring stelt beheerders in staat om trends te identificeren, zoals accounts die herhaaldelijk worden geblokkeerd, wat kan wijzen op een aanhoudende aanval of gebruikers die moeite hebben met hun wachtwoorden. Deze informatie kan worden gebruikt om aanvullende beveiligingsmaatregelen te implementeren of gebruikersondersteuning te bieden waar nodig. Organisaties moeten ook overwegen om waarschuwingen in te stellen die automatisch worden geactiveerd wanneer ongebruikelijke lockoutpatronen worden gedetecteerd, zoals meerdere lockouts van hetzelfde account binnen een korte periode of lockouts van meerdere accounts vanaf hetzelfde IP-adres.
Compliance en Auditing
De configuratie van de lockoutduur op 60 seconden is een kritieke vereiste voor naleving van verschillende beveiligingsstandaarden en compliance-frameworks die relevant zijn voor Nederlandse overheidsorganisaties. Het begrijpen van deze compliance-vereisten is essentieel voor beveiligingsfunctionarissen en auditors die verantwoordelijk zijn voor het waarborgen van regelgevende naleving binnen hun organisatie. Compliance is niet alleen een technische verplichting, maar vormt ook een fundamenteel onderdeel van de bestuurlijke verantwoordelijkheid van organisaties om hun systemen en gegevens adequaat te beschermen tegen bedreigingen en aanvallen. De CIS Azure Benchmark versie 3.0.0 bevat specifieke aanbevelingen voor account lockout-configuraties in controle 1.7, die direct gerelateerd zijn aan lockout-instellingen. Deze controle richt zich op het implementeren van effectieve account lockout-mechanismen die bescherming bieden tegen brute force-aanvallen en ongeautoriseerde toegangspogingen. De CIS-aanbeveling voor een lockoutduur van 60 seconden is gebaseerd op uitgebreid onderzoek naar de balans tussen beveiligingseffectiviteit en gebruikerservaring. Organisaties die voldoen aan CIS-aanbevelingen demonstreren een sterke beveiligingspostuur en verminderen het risico op succesvolle cyberaanvallen. Het is belangrijk om te begrijpen dat CIS-aanbevelingen worden beschouwd als best practices in de cybersecurity-industrie en vaak worden gebruikt als basis voor beveiligingsaudits en certificeringen. Voor Nederlandse overheidsorganisaties is de Baseline Informatiebeveiliging Overheid, oftewel BIO, een verplicht compliance-framework. BIO-controle 09.04 specificeert vereisten voor account lockout-beleid, inclusief de configuratie van lockoutduur en drempelwaarden. Deze controle maakt deel uit van het bredere beveiligingskader dat is ontworpen om de informatiebeveiliging binnen de Nederlandse publieke sector te waarborgen. Naleving van BIO-vereisten is niet alleen een technische verplichting, maar ook een bestuurlijke verantwoordelijkheid die moet worden gedocumenteerd en geaudit. Organisaties die niet voldoen aan BIO-vereisten kunnen worden geconfronteerd met bestuurlijke gevolgen en mogelijke beveiligingsincidenten die hadden kunnen worden voorkomen. Het is belangrijk om te erkennen dat BIO-vereisten specifiek zijn afgestemd op de Nederlandse context en rekening houden met de unieke uitdagingen en vereisten van de publieke sector. De ISO 27001:2022-standaard bevat controle A.5.17, die zich richt op authenticatie-informatie en de beveiliging van authenticatiemechanismen. Deze controle vereist dat organisaties effectieve maatregelen implementeren om ongeautoriseerde toegang te voorkomen, waaronder account lockout-mechanismen. De lockoutduur van 60 seconden draagt bij aan de naleving van deze ISO-controle door te zorgen voor een adequate bescherming tegen brute force-aanvallen terwijl de gebruikerservaring behouden blijft. ISO 27001-certificering is vaak een vereiste voor organisaties die werken met gevoelige informatie of internationale partners, en naleving van deze controle is essentieel voor het behoud van certificering. Organisaties die ISO 27001-certificering nastreven of behouden moeten kunnen aantonen dat zij effectieve beveiligingsmaatregelen hebben geïmplementeerd, waaronder account lockout-mechanismen. Naast deze primaire compliance-frameworks zijn er aanvullende regelgevende vereisten die relevant kunnen zijn, afhankelijk van de specifieke context van de organisatie. De Algemene Verordening Gegevensbescherming vereist bijvoorbeeld dat organisaties passende technische en organisatorische maatregelen treffen om persoonsgegevens te beschermen, wat account lockout-mechanismen omvat. De AVG benadrukt het belang van gegevensbescherming door ontwerp en standaardinstellingen, wat betekent dat beveiligingsmaatregelen zoals smart lockout moeten worden geïmplementeerd als onderdeel van een proactieve benadering van gegevensbescherming. Evenzo kunnen sector-specifieke regelgevingen aanvullende vereisten bevatten voor identiteitsbeveiliging en toegangscontrole. Het documenteren van de lockoutduur-configuratie en regelmatige auditing van deze instelling vormen essentiële onderdelen van een effectief compliance-programma. Auditors moeten kunnen verifiëren dat de lockoutduur correct is geconfigureerd en dat deze configuratie wordt gehandhaafd over tijd. Deze verificatie moet worden uitgevoerd als onderdeel van periodieke beveiligingsaudits en moet worden gedocumenteerd voor compliance-doeleinden. Organisaties moeten ook overwegen om automatische compliance-rapportage te implementeren die regelmatig de configuratie controleert en rapporteert over de nalevingsstatus, wat helpt om tijdig afwijkingen te detecteren en te corrigeren voordat ze leiden tot compliance-problemen.
Monitoring
Gebruik PowerShell-script lockout-duration-60.ps1 (functie Invoke-Monitoring) – Controleren.
Effectieve monitoring van de lockoutduur-configuratie en gerelateerde lockoutgebeurtenissen vormt een essentieel onderdeel van een proactieve beveiligingsstrategie. Monitoring stelt organisaties in staat om trends te identificeren, potentiële beveiligingsbedreigingen vroegtijdig te detecteren, en de effectiviteit van de smart lockout-configuratie te evalueren. Het implementeren van een gestructureerde monitoringaanpak zorgt ervoor dat beveiligingsincidenten snel worden geïdentificeerd en aangepakt voordat ze kunnen escaleren tot ernstige beveiligingsproblemen. De primaire monitoringactiviteit bestaat uit het regelmatig controleren van de lockoutduur-instelling om te verifiëren dat deze nog steeds is geconfigureerd op 60 seconden. Deze verificatie moet worden uitgevoerd als onderdeel van periodieke beveiligingscontroles, idealiter maandelijks of na belangrijke configuratiewijzigingen in de Azure AD-tenant. Automatische monitoringtools kunnen worden geconfigureerd om waarschuwingen te genereren wanneer de lockoutduur wordt gewijzigd, wat helpt om onbedoelde of kwaadwillende configuratiewijzigingen snel te detecteren. Naast het monitoren van de configuratie zelf is het cruciaal om lockoutgebeurtenissen te analyseren die optreden in de aanmeldingslogboeken van Azure Active Directory. Deze logboeken bevatten gedetailleerde informatie over elke lockoutgebeurtenis, inclusief het tijdstip, het betrokken account, het IP-adres van waaruit de pogingen zijn ondernomen, en het aantal mislukte pogingen dat heeft geleid tot de lockout. Door deze gegevens regelmatig te analyseren kunnen beheerders patronen identificeren die wijzen op geautomatiseerde aanvallen, zoals meerdere lockouts van hetzelfde account binnen korte tijd, of lockouts van meerdere accounts vanaf hetzelfde IP-adres. Dergelijke patronen kunnen wijzen op georganiseerde brute force-aanvallen die aanvullende beveiligingsmaatregelen vereisen. Monitoring van lockoutgebeurtenissen helpt ook om legitieme gebruikersproblemen te identificeren, zoals gebruikers die herhaaldelijk moeite hebben met hun wachtwoorden. Deze informatie kan worden gebruikt om gebruikersondersteuning te bieden, wachtwoordbeleid te verbeteren, of gebruikers te trainen in veilige wachtwoordpraktijken. Het identificeren en aanpakken van dergelijke problemen verbetert niet alleen de gebruikerservaring, maar vermindert ook de werklast voor helpdeskmedewerkers en vermindert het risico op gebruikers die onveilige wachtwoordpraktijken ontwikkelen uit frustratie. Geavanceerde monitoring kan ook het gebruik van machine learning en gedragsanalyse omvatten om afwijkende patronen te detecteren die mogelijk niet direct zichtbaar zijn bij handmatige analyse. Deze technologieën kunnen bijvoorbeeld detecteren wanneer lockoutpatronen afwijken van historische normen, wat kan wijzen op nieuwe aanvalstechnieken of veranderende bedreigingslandschappen. Het implementeren van dergelijke geavanceerde monitoringcapaciteiten vereist echter vaak gespecialiseerde tools en expertise, en moet worden overwogen op basis van de specifieke beveiligingsvereisten en risicoprofiel van de organisatie.
Remediatie
Gebruik PowerShell-script lockout-duration-60.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer monitoring of auditing onthult dat de lockoutduur niet is geconfigureerd op de aanbevolen waarde van 60 seconden, moet onmiddellijk remediatie worden uitgevoerd om de beveiligingsconfiguratie te herstellen. Remediatie is het proces van het corrigeren van afwijkingen in de beveiligingsconfiguratie om te zorgen voor naleving van beveiligingsstandaarden en compliance-vereisten. Het tijdig uitvoeren van remediatie is cruciaal omdat elke periode waarin de lockoutduur niet optimaal is geconfigureerd, de organisatie blootstelt aan verhoogde risico's van brute force-aanvallen en ongeautoriseerde toegangspogingen. Deze risico's kunnen leiden tot succesvolle compromittering van gebruikersaccounts, wat op zijn beurt kan resulteren in ongeautoriseerde toegang tot gevoelige informatie, datalekken, of verdere escalatie van beveiligingsincidenten binnen de organisatie. Het remediatieproces begint met het identificeren van de huidige lockoutduur-configuratie en het vaststellen van de afwijking ten opzichte van de aanbevolen waarde. Deze verificatie kan worden uitgevoerd via de Azure AD-beheerportal of via geautomatiseerde scripts die de configuratie programmatisch kunnen controleren en corrigeren. Het gebruik van geautomatiseerde scripts heeft het voordeel dat het proces reproduceerbaar is en kan worden geïntegreerd in continue monitoring- en compliance-verificatieprocessen. Scripts kunnen ook worden geconfigureerd om automatisch remediatie uit te voeren wanneer afwijkingen worden gedetecteerd, hoewel dit moet worden overwogen in de context van de organisatie-specifieke beveiligings- en governance-vereisten. Zodra de afwijking is geïdentificeerd, moet de lockoutduur worden aangepast naar 60 seconden via de Azure AD-beheerportal. Navigeer naar Azure AD, vervolgens naar Beveiliging, Authenticatiemethoden, en dan naar Wachtwoordbescherming om de lockoutduur-instelling te vinden en aan te passen. Deze navigatiestructuur is consistent met andere Azure AD-beveiligingsinstellingen en biedt een logische plaatsing voor identiteitsgerelateerde beveiligingsmaatregelen. Het is belangrijk om te verifiëren dat de wijziging succesvol is doorgevoerd door de configuratie onmiddellijk na het aanbrengen van de wijziging opnieuw te controleren. Deze verificatiestap is essentieel omdat configuratiewijzigingen soms niet direct worden doorgevoerd of kunnen worden overschreven door andere processen. Bovendien moet worden gecontroleerd of de wijziging consistent is in alle relevante configuratie-interfaces, zoals de Azure-portal, Microsoft Graph API, en eventuele geautomatiseerde configuratiebeheertools die door de organisatie worden gebruikt. Na het corrigeren van de configuratie moet worden onderzocht waarom de afwijking is opgetreden. Deze oorzaakanalyse is een kritieke stap in het remediatieproces omdat het helpt om toekomstige afwijkingen te voorkomen en systemische problemen in het configuratiebeheerproces te identificeren. Mogelijke oorzaken kunnen zijn: onbedoelde configuratiewijzigingen door beheerders die niet op de hoogte waren van de aanbevolen instellingen, automatische updates of migraties die configuraties hebben gewijzigd zonder adequate verificatie, migraties van andere systemen die verkeerde instellingen hebben overgenomen zonder correctie, of in zeldzame gevallen kwaadwillende activiteiten waarbij een aanvaller probeert de beveiligingsconfiguratie te verzwakken. Het begrijpen van de oorzaak helpt om toekomstige afwijkingen te voorkomen door bijvoorbeeld extra controles in te bouwen in het configuratiebeheerproces, beheerders te trainen in de juiste configuratie-instellingen en de rationale daarachter, of automatische monitoring in te stellen die waarschuwingen genereert bij configuratiewijzigingen zodat afwijkingen snel kunnen worden gedetecteerd en gecorrigeerd. Na remediatie moet de configuratie worden gedocumenteerd en moet worden vastgelegd wanneer en waarom de remediatie is uitgevoerd. Deze documentatie is belangrijk voor compliance-doeleinden en helpt bij het identificeren van patronen in configuratieafwijkingen die kunnen wijzen op systematische problemen in het configuratiebeheerproces. De documentatie moet ook informatie bevatten over de oorspronkelijke afwijking, de stappen die zijn genomen om de configuratie te corrigeren, en eventuele aanvullende maatregelen die zijn genomen om toekomstige afwijkingen te voorkomen. Deze informatie is waardevol voor audits, compliance-verificaties, en het verbeteren van de algehele beveiligingspostuur van de organisatie. Bovendien moet worden overwogen om aanvullende monitoring in te stellen om te voorkomen dat dezelfde afwijking opnieuw optreedt. Deze monitoring kan bestaan uit regelmatige geautomatiseerde controles van de configuratie, waarschuwingen die worden gegenereerd wanneer configuratiewijzigingen worden gedetecteerd, en periodieke handmatige verificaties als onderdeel van beveiligingsaudits. In sommige gevallen kan het nodig zijn om gebruikers te informeren over de wijziging, vooral als de lockoutduur is verhoogd van een kortere periode naar 60 seconden, wat kan leiden tot een iets langere wachttijd voor gebruikers die per ongeluk meerdere keren een verkeerd wachtwoord invoeren. Transparante communicatie helpt om gebruikersfrustratie te minimaliseren en begrip te creëren voor de beveiligingsmaatregelen die zijn geïmplementeerd. Gebruikers moeten ook worden geïnformeerd over de redenen achter de configuratie en hoe ze kunnen voorkomen dat ze worden geblokkeerd, bijvoorbeeld door zorgvuldig hun wachtwoorden in te voeren of gebruik te maken van wachtwoordmanagers die typefouten helpen voorkomen.
Compliance & Frameworks
- CIS M365: Control 1.7 (L1) - Aanbeveling voor lockoutduur
- BIO: 09.04 - BIO: Account lockout-beleid
- ISO 27001:2022: A.5.17 - Authenticatie - Lockoutduur
- NIS2: Artikel - Beperking van brute force-aanvallen
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Lockout Duration 60
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 1.25
Controleert account lockout duration van 60 seconden.
.NOTES
Filename: lockout-duration-60.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 1.25
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "Lockout Duration 60"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer in Entra ID portal:" -ForegroundColor Gray
Write-Host " - Azure AD > Security > Authentication methods" -ForegroundColor Gray
Write-Host " - Password protection > Lockout duration = 60 seconds" -ForegroundColor Gray
Write-Host " - Smart lockout settings" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: Lockout duration 60 sec" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer in Entra ID portal:" -ForegroundColor Gray
Write-Host " - Azure AD > Security > Authentication methods" -ForegroundColor Gray
Write-Host " - Password protection > Lockout duration = 60 seconds" -ForegroundColor Gray
Write-Host " - Smart lockout settings" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: Lockout duration 60 sec" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
Low: Een suboptimale lockoutduur brengt aanzienlijke beveiligingsrisico's met zich mee. Een te korte lockoutduur van minder dan 30 seconden biedt onvoldoende bescherming tegen brute force-aanvallen, waardoor aanvallers binnen relatief korte tijd een groot aantal wachtwoordcombinaties kunnen proberen. Dit verhoogt de kans op succesvolle accountcompromittering aanzienlijk. Aan de andere kant veroorzaakt een te lange lockoutduur van meer dan 120 seconden overmatige gebruikersfrictie bij legitieme gebruikers, wat kan leiden tot frustratie, verhoogde helpdeskbelasting en mogelijk onveilige wachtwoordpraktijken. Zestig seconden vormt de CIS-aanbevolen balans die zorgvuldig is afgestemd op zowel beveiligingsvereisten als gebruikerservaring. Hoewel het directe risico relatief laag is omdat dit primair een optimalisatiecontrole betreft, kan een suboptimale configuratie op de lange termijn leiden tot verhoogde beveiligingsincidenten en gebruikersproblemen.
Management Samenvatting
Smart Lockout Duur: 60 seconden (Azure Active Directory standaardinstelling). Deze configuratie balanceert beveiliging en bruikbaarheid optimaal. Werkt in combinatie met een drempelwaarde van 10 mislukte authenticatiepogingen. Verificatie: Azure Active Directory → Beveiliging → Authenticatiemethoden → Wachtwoordbescherming → Lockoutduur: 60 seconden. Geen aanvullende kosten. Verplicht voor CIS-controle 1.7. Implementatie: 15 minuten verificatie. Standaard correct geconfigureerd in nieuwe Azure Active Directory-tenants.
- Implementatietijd: 0.5 uur
- FTE required: 0.005 FTE