💼 Management Samenvatting
Deze security regelen waarborgt de correcte configuratie en beschermt tegen beveiligingsrisico's.
Aanbeveling
IMPLEMENTEER LEGACY PROTOCOL DISABLE
Risico zonder
High
Risk Score
7/10
Implementatie
4u (tech: 3u)
Van toepassing op:
✓ Azure VMs
Deze instelling is essentieel voor het handhaven van een veilige omgeving en voorkomt bekende aanvalsvectoren door het afdwingen van security best practices.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.Accounts, Az.Compute
Connection:
Connect-AzAccountRequired Modules: Az.Accounts, Az.Compute
Implementatie
Verifieer legacy protocols disabled: SMBv1, NTLM, weak ciphers.
Vereisten
Azure VMs
monitoring
Gebruik PowerShell-script vm-no-legacy-protocols.ps1 (functie Invoke-Monitoring) – Controleren.
VM configuration audit voor legacy protocols.
Compliance en Auditing
- BIO 10.01
- ISO 27001:2022 A.8.24
Remediatie
Gebruik PowerShell-script vm-no-legacy-protocols.ps1 (functie Invoke-Remediation) – Herstellen.
Compliance & Frameworks
- BIO: 10.01 - Cryptography
- ISO 27001:2022: A.8.24 - Cryptography
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
VM No Legacy Protocols
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 7.10
Controleert of legacy protocols zijn uitgeschakeld op VMs.
.NOTES
Filename: vm-no-legacy-protocols.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 7.10
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "VM No Legacy Protocols"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer VM configuratie voor:" -ForegroundColor Gray
Write-Host " - SMBv1 is uitgeschakeld" -ForegroundColor Gray
Write-Host " - TLS 1.0/1.1 is uitgeschakeld" -ForegroundColor Gray
Write-Host " - Oude SSL versies zijn uitgeschakeld" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: Legacy protocols" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer VM configuratie voor:" -ForegroundColor Gray
Write-Host " - SMBv1 is uitgeschakeld" -ForegroundColor Gray
Write-Host " - TLS 1.0/1.1 is uitgeschakeld" -ForegroundColor Gray
Write-Host " - Oude SSL versies zijn uitgeschakeld" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: Legacy protocols" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
High: SMBv1 = EternalBlue/WannaCry vector. TLS 1.0/1.1 = POODLE, BEAST attacks. Legacy protocols = known critical vulnerabilities. Compliance: CIS 7.5, BIO 10.01. Het risico is HOOG - protocol vulnerabilities.
Management Samenvatting
VM No Legacy Protocols: Disable SMBv1, TLS 1.0/1.1, SSLv3 op ALL VMs (Windows + Linux). Blocks legacy protocol attacks. Activatie: Group Policy/scripts disable protocols. Gratis. Verplicht CIS 7.5, BIO 10.01. Implementatie: 3-4 uur (testing compatibility). Eliminates known protocol vulnerabilities.
- Implementatietijd: 4 uur
- FTE required: 0.05 FTE