💼 Management Samenvatting
Remote domains in Exchange Online bepalen hoe berichten richting externe organisaties worden behandeld en vormen een cruciale bouwsteen voor gecontroleerde informatie-uitwisseling.
Aanbeveling
Stel strikte remote-domainbeleid in waarmee automatische antwoorden standaard worden beperkt en uitzonderingen alleen na aantoonbare noodzaak worden toegestaan.
Risico zonder
Low
Risk Score
3/10
Implementatie
6u (tech: 4u)
Van toepassing op:
✓ Exchange Online
Wanneer out-of-officeberichten, leesbevestigingen of delivery reports ongefilterd worden verzonden, kunnen kwaadwillenden waardevolle metadata verzamelen over aanwezigheidspatronen, interne structuren en technische details van de mailomgeving. Een zorgvuldig ontwerp voorkomt deze lekken en ondersteunt tegelijkertijd wettelijke verplichtingen rond dataminimalisatie en proportionaliteit.
PowerShell Modules Vereist
Primary API: Exchange Online PowerShell
Connection:
Required Modules: ExchangeOnlineManagement
Connection:
Connect-ExchangeOnlineRequired Modules: ExchangeOnlineManagement
Implementatie
Deze richtlijn beschrijft hoe Nederlandse overheidsorganisaties remote domains beleidsmatig en technisch verankeren, hoe uitzonderingen worden beoordeeld, hoe scripts uit het ontwerp de configuratie afdwingen en hoe monitoring, remediatie en compliance-audits aantonen dat de controle structureel werkt.
Vereisten
Het beheer van remote domains in Exchange Online lijkt op het eerste gezicht een eenvoudige instelling, maar in werkelijkheid vormt het een fundament onder veilige e-mailcommunicatie met externe organisaties. Een organisatie kan deze functie pas verantwoord gebruiken wanneer zij een volledig beeld heeft van haar e-mailstromen, classificatiemodellen en wettelijke verplichtingen. Daarom begint elk traject met een inventarisatie van alle externe domeinen waarmee structureel informatie wordt uitgewisseld, inclusief leveranciers, ketenpartners en incidentele derde partijen. Deze inventarisatie moet worden gekoppeld aan het informatieclassificatieschema zodat duidelijk is welke gegevenscategorieën de mailboxen mogen verlaten en welke aanvullende waarborgen nodig zijn. Leg daarnaast vast hoe historische projecten uitzonderingsdomeinen gebruikten, zodat analyseteams prioriteit kunnen geven aan mailboxen met verhoogd risicoprofiel. Door deze gegevenskaart voortdurend te actualiseren ontstaat een sluitend beeld van alle uitgaande e-mailstromen en kunt u het gesprek met ketenpartners fact-based voeren.
Vervolgens zijn heldere governance-afspraken vereist. Het CISO-office bepaalt de beleidskaders, terwijl het M365-beheerteam de technische randvoorwaarden vastlegt in standaardconfiguraties en change-templates. Juridische en privacycollega's leveren input over bewaartermijnen, meldplichten en specifieke AVG-vereisten zoals transparantie rond automatische antwoorden. Zonder deze multidisciplinaire afspraken ontstaan grijze zones rond out-of-officeberichten of ontvangstbevestigingen, waardoor medewerkers toch uitzonderingen maken en er alsnog informatie weglekt. Leg verantwoordelijkheden vast in een RACI-matrix zodat duidelijk is wie besluitvorming initieert, wie reviewt en wie uiteindelijk tekent. Door governance in te bedden in portfolioboards voorkomt u dat remote domains een geïsoleerde technische wijziging blijven.
Op technisch vlak is toegang tot Exchange Online PowerShell en de ExchangeOnlineManagement-module noodzakelijk om instellingen betrouwbaar te configureren en te auditen. Beheerders moeten multifactor-authenticatie gebruiken, voldoende RBAC-rechten hebben en bekend zijn met transportregels, accepted domains en eventuele hybride Exchange-componenten. Organisaties met third-party secure mail gateways toetsen vooraf hoe remote-domaininstellingen zich verhouden tot policies in die gateways, zodat er geen conflicten ontstaan die legitieme berichten blokkeren. Neem in de vereisten op dat changes altijd eerst in een niet-productieomgeving worden getest en dat logging naar een centrale workspace verplicht is. Zo ontstaat een technische keten van vertrouwen die auditors eenvoudig kunnen volgen.
Een gedetailleerd configuratieontwerp behoort eveneens tot de basisvereisten. Dit document beschrijft per domeintype welke automatische antwoorden zijn toegestaan, hoe rich text wordt geconverteerd, welke disclaimers verplicht zijn en hoe uitzonderingen worden aangevraagd. Koppel de beschrijving aan het risicoregister zodat bestuurders begrijpen welk restrisico resteert en welke maatregelen nodig zijn bij crises of calamiteiten. Door dezelfde documentatie te gebruiken voor onboarding van nieuwe beheerders borgt u dat kennis niet versnipperd raakt. Bewaar het ontwerp in het centrale architectuurarchief, wijs een documenteigenaar aan en plan ten minste jaarlijks een reviewmoment om wijzigingen in wetgeving of bedrijfsstrategie te verwerken.
Tot slot is er een communicatiestrategie nodig richting eindgebruikers en serviceorganisatie. Communicatieteams moeten weten hoe zij publieke statements of crisiscommunicatie kunnen verspreiden zonder dat automatische antwoorden ongewenste details prijsgeven. De servicedesk heeft instructies nodig om meldingen correct te routeren en gebruikers uit te leggen waarom bepaalde externe partners geen ontvangstbevestigingen krijgen. Door deze menselijke component vooraf te organiseren, voldoet de organisatie niet alleen aan de technische vereisten, maar creëert zij een consistente beveiligingscultuur waarin remote domains een logisch onderdeel vormen van het bredere e-mailbeveiligingsprogramma. Meet de effectiviteit van deze communicatie door adoptiesurveys uit te voeren en gebruik die inzichten om trainingsmateriaal continu te verbeteren.
Implementatie
De implementatie start met het vastleggen van een standaard remote domain dat fungeert als vangnet voor alle externe adressen die niet expliciet zijn opgenomen in partnerlijsten. In Exchange Online betekent dit dat het default remote domain zo wordt geconfigureerd dat out-of-officeberichten, leesbevestigingen, delivery reports en MAPI-rich-textconversies zijn uitgeschakeld of worden teruggebracht tot minimale metadata. Beschrijf in het ontwerp hoe HTML- en TNEF-conversie worden afgedwongen om compatibiliteitsproblemen te vermijden zonder extra informatie prijs te geven. Daarna definieert u uitzonderingsdomains voor strategische partners of leveranciers waarmee contractueel is afgesproken dat bepaalde automatische antwoorden wel zijn toegestaan. Gebruik tagging in het configuratiedocument om voor elk domein aan te geven welk bedrijfsproces ermee gemoeid is, welke dataclassificatie geldt en welke manager verantwoordelijk is voor de periodieke herbeoordeling. Leg beperkingen vast, bijvoorbeeld dat alleen generieke afdelingen zoals servicedesks ontvangstbevestigingen mogen verzenden en nooit individuele mailboxen.
Wanneer de functionele eisen helder zijn, automatiseert u de instellingen met Exchange Online PowerShell. Het script "code/design/platform/remote-domains.ps1" fungeert als golden configuration: het leest een JSON- of CSV-inventarisatie en past per domein consequente instellingen toe. Breid het script uit met logging naar Azure Monitor of een beveiligd SharePoint-archief zodat iedere wijziging herleidbaar is. Door de configuratie als code te beheren in Git, inclusief pull requests en mandatory reviews, borgt u dat afwijkingen snel opvallen en dat dezelfde instellingen reproduceerbaar zijn in acceptatie- en testomgevingen. In de changekalender reserveert u een onderhoudsvenster om de instellingen uit te rollen. Begin met de standaard remote domain, controleer vervolgens de uitzonderingsdomijnen en valideer tenslotte of transportregels en antiphishingmaatregelen nog steeds correct functioneren. Gebruik PowerShell-commando's zoals Set-RemoteDomain, Get-RemoteDomain en Set-OrganizationConfig om parameters vast te leggen, en voer na elke stap een Get-RemoteDomain | Format-List uit om waarden te verifiëren. Documenteer elke wijziging in het ticketsysteem met verwijzingen naar het besluitvormingsdocument.
Voordat u de productieconfiguratie vrijgeeft, organiseert u een gerichte test met een representatieve groep mailboxen. Stuur proefberichten naar verschillende externe adressen, controleer de headers op ongewenste metadata en bevestig dat geen enkele automatische reactie de organisatieverantwoordelijkheden schendt. Gebruik daarnaast beveiligingstesten, bijvoorbeeld door redteaming of table-top-oefeningen, om aan te tonen dat kwaadwillenden geen inzicht kunnen krijgen in afwezigheidspatronen of functionele mailboxstructuren. Pas het ontwerp aan op basis van bevindingen voordat de configuratie breed wordt gepubliceerd. Na afronding van de technische inrichting communiceert u de nieuwe werkwijze richting gebruikers en servicedesk. Leg uit dat automatische antwoorden naar onbekende domeinen bewust worden beperkt en dat medewerkers voor uitzonderingen een goedgekeurd changeverzoek moeten indienen. Koppel deze communicatie aan het security-awarenessprogramma zodat medewerkers begrijpen hoe remote domains bijdragen aan de naleving van de BIO en de AVG. Door implementatie, communicatie en procesafspraken te bundelen ontstaat een robuust raamwerk dat eenvoudig uit te breiden is wanneer nieuwe partners zich aandienen.
Een robuuste implementatie bevat eveneens een gefaseerde uitrol. Begin in een pilot-tenant of afgebakende business unit en meet daar welke impact het beleid heeft op klantcommunicatie en servicelevels. Documenteer lessons learned zoals onverwachte toepassingen van automatische antwoorden door legacy-systemen of multifunctionals die statusberichten verzenden. Zodra de kinderziektes zijn opgelost, schaalt u trapsgewijs op naar de rest van de organisatie. Maak daarbij gebruik van Azure Automation of GitHub Actions om het script gecontroleerd uit te voeren vanuit een centraal beveiligd account. Voeg een rollback-plan toe waarin exact staat welke parameters worden teruggezet mocht er een kritieke verstoring optreden. Sluit de implementatiefase af met een evaluatie waarin CISO, CIO en business stakeholders beoordelen of het doel – het beperken van informatieblootstelling – aantoonbaar is behaald en of aanvullende verfijningen nodig zijn.
Vergeet ten slotte niet om afhankelijkheden met andere diensten vast te leggen. Remote domains beïnvloeden hoe Data Loss Prevention, transportregels en journaling zich gedragen richting externe ontvangers. Werk daarom nauw samen met de teams die deze functionaliteiten beheren zodat beleidsregels op elkaar aansluiten. Denk bijvoorbeeld aan situaties waarin DLP toestaat dat bepaalde medische berichten worden verzonden mits de remote domain encryptie afdwingt. Leg dergelijke combinaties vast in architectuurdiagrammen en zorg dat ze beschikbaar zijn voor nieuwe teamleden. Door de implementatie vanuit deze holistische benadering te bekijken voldoet de organisatie aan de principes van de Nederlandse Baseline voor Veilige Cloud én wordt technische schuld voorkomen.
Gebruik PowerShell-script remote-domains.ps1 (functie Invoke-Monitoring) – Monitoren.
Monitoring
Monitoring van remote domains draait om twee pijlers: configuratie-integriteit en gedragsinzicht. Configuratie-integriteit controleert of de ingestelde waarden nog overeenkomen met de goedgekeurde baseline, terwijl gedragsinzicht meet hoe vaak automatische antwoorden of leesbevestigingen toch worden verzonden. Beide pijlers vereisen een mix van geautomatiseerde scripts, logtelemetrie en menselijke review, omdat aanvallers subtiele wijzigingen kunnen aanbrengen die in standaarddashboards onzichtbaar blijven. Neem ook peer reviews op binnen het beheerteam, zodat scripts wekelijks door een tweede paar ogen worden gecontroleerd op juistheid. Begin met een dagelijkse PowerShell-run die Get-RemoteDomain uitvoert, de resultaten vergelijkt met de gewenste configuratie en afwijkingen naar een beveiligde opslag schrijft. Voeg aan het script attributen toe zoals AllowedOOFType, AutoReplyEnabled, DeliveryReportEnabled, NDREnabled en TNEFEnabled. Wanneer een parameter afwijkt, moet de monitoringtaak automatisch een melding registreren in het ITSM-platform, inclusief de exacte wijziging, de verantwoordelijke beheerder en het laatste change-nummer. Koppel de controles aan changecalendar-data zodat automatische vrijstellingen voor geplande onderhoudsvensters mogelijk zijn. Naast configuratievergelijkingen is het zinvol om mailflowlogs en auditlogs te analyseren. Gebruik Exchange-transportlogs, de Microsoft 365 Unified Audit Log en eventueel een SIEM-oplossing om te detecteren wanneer er toch externe out-of-officeberichten uitgaan. Door de logs te combineren met Azure Monitor-workbooks kunt u trends visualiseren, bijvoorbeeld een plotselinge stijging van leesbevestigingen richting een bepaald domein. Deze signalen helpen om social-engineeringcampagnes vroegtijdig te herkennen en vormen input voor het jaarlijkse dreigingsbeeld.
Gebruik PowerShell-script remote-domains.ps1 (functie Invoke-Monitoring) – Controleren.
Automatiseer de monitoringpipeline via Azure Automation of GitHub Actions zodat er maximaal vijftien minuten na een wijziging een controle plaatsvindt. Voeg runbooks toe die niet alleen een rapport genereren, maar ook terugvallen op het configuratiescript om ongeautoriseerde wijzigingen onmiddellijk terug te draaien. Documenteer in het draaiboek welke situaties een automatische rollback rechtvaardigen en wanneer eerst een menselijke beoordeling nodig is, zodat de bedrijfscontinuïteit niet in gevaar komt. Voor kritieke processen kan een tweefasenworkflow worden ingericht waarbij een security-officer digitale goedkeuring moet geven voordat een rollback daadwerkelijk wordt uitgevoerd. Stel duidelijke prestatie-indicatoren vast, zoals het aantal compliance-afwijkingen per kwartaal, de gemiddelde hersteltijd en het percentage uitzonderingsdomijnen dat binnen het afgesproken herbeoordelingsvenster is geëvalueerd. Rapporteer deze KPI's richting het security governance board en de proceseigenaren. Combineer de cijfers met kwalitatieve duiding: welke businessunits vroegen om uitzonderingen, welke incidenten zijn voorkomen, welke lessons learned gelden voor nieuwe projecten? Publiceer daarnaast een compact maandrapport op het intranet zodat ook niet-technische stakeholders inzicht krijgen in trends.
Combineer telemetrie met een bestaande SIEM-oplossing zoals Microsoft Sentinel zodat iedere wijziging in remote-domaininstellingen, inclusief de PowerShell-actor en de gebruikte parameters, centraal zichtbaar is. Voeg analytics-regels toe die afgaan wanneer AllowedOOFType of DeliveryReportEnabled afwijken van de baseline en verrijk deze alerts met threat-intelligencefeeds die aangeven of het betrokken externe domein recent op blocklists is verschenen. Laat het runbook in dergelijke gevallen automatisch een tijdelijke blokkade voorstellen of zelfs uitvoeren totdat een proceseigenaar expliciet bevestigt dat communicatie hervat mag worden. Beschrijf hierbij altijd een communicatiepad richting de ketenpartners, zodat zij begrijpen waarom berichten tijdelijk worden tegengehouden. Zo blijft de monitoring afgestemd op de dreigingsgestuurde aanpak van de Nederlandse Baseline voor Veilige Cloud.
Tot slot hoort monitoring ook een menselijk component te hebben. Laat de servicedesk en het SOC maandelijks steekproefsgewijs controleren of gebruikersklachten over automatische antwoorden correct worden afgehandeld. Verzamel feedback over communicatieboodschappen, toets of uitzonderingsprocessen begrijpelijk zijn en pas de instructies aan wanneer klanten of partners hinder ondervinden. Neem de resultaten mee in het opleidingsprogramma voor nieuwe beheerders zodat lessons learned direct worden verankerd. Door technische dashboards te combineren met deze continue verbeterlus blijft monitoring geen louter technische activiteit, maar een aantoonbare controlemaatregel binnen de bredere beveiligingsstrategie van Nederlandse overheidsorganisaties.
Remediatie
Remediatie van remote-domainafwijkingen begint met directe schadebeperking. Zodra monitoring een ongewenste instelling detecteert, moet het beheerteam bepalen of informatie al is weggevloeid en of lopende e-mailconversaties moeten worden onderbroken. Beschrijf in het incidentresponsplan dat veiligheid altijd prioriteit heeft boven comfort: pauzeer desnoods automatische antwoorden of blokkeer tijdelijk specifieke domeinen totdat de analyse is afgerond. Zorg ervoor dat het SOC een vooraf opgesteld draaiboek heeft waarin staat welke communicatielijnen naar bestuurders en ketenpartners worden geactiveerd. Maak vooraf sjablonen voor e-mails naar kritieke partners zodat besluitvorming niet vertraagt. Vervolgens voert u een forensische beoordeling uit. Verzamel logboeken van Set-RemoteDomain-acties, verzonden berichten, auditlogs en eventueel Defender for Office 365-waarschuwingen. Analyseer welke account de wijziging heeft uitgevoerd, of er sprake was van gecompromitteerde referenties en of de wijziging samenvalt met andere verdachte activiteiten, zoals het aanmaken van forwarding rules. Gebruik deze informatie om te bepalen of het incident een menselijke fout, een procesafwijking of een daadwerkelijke aanval betrof. Reserveer voldoende tijd voor de data-analyse, want juist bij lagere bedreigingsniveaus kan een subtiel patroon duiden op insider misuse. Indien nodig kan de organisatie aanvullende forensische tooling inzetten om mailboxlogs veilig te bewaren voor eventueel juridisch onderzoek. Wanneer duidelijk is dat de configuratie moet worden hersteld, gebruikt u het gecontroleerde script om de baseline opnieuw toe te passen. Documenteer elke stap: welke parameters zijn teruggezet, wanneer is de wijziging bevestigd en welke controles bewijzen dat het probleem niet terugkeert. Als uitzonderingsdomijnen betrokken waren, overleg dan met de proceseigenaar of de uitzondering tijdelijk moet worden ingetrokken totdat aanvullende waarborgen zijn getroffen. Vergeet niet om alle betrokken tickets, changeverzoeken en auditregistraties aan elkaar te koppelen voor volledige traceerbaarheid en zorg dat de audittrail wordt opgeslagen volgens het bewaartermijnbeleid. Rapporteer bovendien naar het crisismanagementteam zodat zij de impact kunnen meenemen in hun situatierapportages.
Remediatie is pas voltooid wanneer de onderliggende oorzaken zijn aangepakt. Werk samen met het CISO-office om procesverbeteringen te identificeren: is het autorisatieproces voor remote-domainwijzigingen duidelijk genoeg, zijn de changeformulieren volledig ingevuld, ontbrak er peer review, of moeten bepaalde rechten worden ingetrokken? Leg de verbetermaatregelen vast in het kwaliteitsmanagementsysteem en update trainingsmateriaal zodat toekomstige beheerders dezelfde fout niet maken. Gebruik table-top-oefeningen om de verbeteringen te toetsen voordat zij definitief worden ingebed en documenteer de uitkomsten als aanvullend auditbewijs. Communicatie vormt de laatste stap. Informeer service- en communicatieteams over de impact, zodat zij vragen van gebruikers of externe partners eenduidig kunnen beantwoorden. Wanneer persoonsgegevens mogelijk zijn gedeeld, betrek dan de Functionaris Gegevensbescherming en beoordeel of er een meldplicht geldt richting de Autoriteit Persoonsgegevens. Sluit het incident af met een korte lessons-learned-sessie waarin u concrete acties koppelt aan verantwoordelijken en deadlines. Neem deze acties op in een voortgangsrapportage zodat bestuurders kunnen volgen of alle maatregelen daadwerkelijk zijn uitgevoerd en stel KPI's vast rond doorlooptijd en effectiviteit. Leg alle bevindingen vast in het risicoregister zodat opvolging traceerbaar blijft. Door remediatie te benaderen als een gestructureerde verbeterlus – detectie, analyse, herstel, evaluatie en borging – blijft de remote-domainconfiguratie volwassen. De organisatie bouwt hiermee aantoonbare controle op, wat direct bijdraagt aan vertrouwen bij auditors, ketenpartners en bestuurders.
Gebruik PowerShell-script remote-domains.ps1 (functie Invoke-Remediation) – Herstellen.
Compliance en Auditing
Remote domains zijn direct gekoppeld aan wettelijke en sectorale normen voor informatieoverdracht. De BIO, specifiek maatregel 13.02, verlangt dat overheidsorganisaties de uitwisseling van informatie met externe partijen beheersen en alleen noodzakelijke gegevens delen. Door out-of-officeberichten en leesbevestigingen te beperken, toont u aan dat gevoelige metadata niet onbeheerd de organisatie verlaat en dat technische maatregelen de beleidsafspraken ondersteunen. Verwijs in beleidsstukken expliciet naar het remote-domainontwerp zodat de samenhang met andere maatregelen, zoals TLS-eisen en DLP, aantoonbaar is. De AVG vereist daarnaast dat organisaties dataminimalisatie toepassen en passende technische maatregelen treffen. Automatische antwoorden bevatten vaak persoonsgegevens, zoals namen, functies, locaties en contactgegevens van medewerkers. Door remote domains strikt te configureren, kunt u aantonen dat deze gegevens alleen worden gedeeld wanneer daar een duidelijke juridische grondslag voor bestaat. Documenteer in het register van verwerkingsactiviteiten hoe automatische antwoorden worden afgehandeld en welke rollen toegang hebben tot uitzonderingslijsten. Voer periodiek een DPIA uit op scenario's waarbij uitzonderingslijsten worden uitgebreid, zodat de privacy-afweging actueel blijft. Auditability is een ander belangrijk aspect. Bewaar configuratie-exporten, PowerShell-logs en changebewijzen minimaal drie jaar, conform de bewaartermijn in het auditdossier. Sla deze informatie versleuteld op binnen een gecontroleerde SharePoint-site of een GRC-platform. Koppel elk artefact aan de verantwoordelijke proceseigenaar en noteer welke controle uit de BIO, AVG of andere kaders ermee wordt afgedekt. Hierdoor kunnen auditors zonder aanvullende interviews vaststellen dat remote domains structureel worden bewaakt en dat de organisatie de volledige lifecycle van wijzigingen documenteert.
Naast technische artefacten hoort documentatie van besluitvorming in het dossier. Bewaar de risicoanalyse waarin staat waarom bepaalde domeinen uitzonderingen hebben gekregen, voeg de goedkeuringen van het security governance board toe en beschrijf hoe de organisatie monitort of uitzonderingen nog actueel zijn. Combineer deze documenten met awarenessmateriaal voor eindgebruikers, zodat zichtbaar is dat beleid en praktijk op elkaar aansluiten. Voeg een overzicht toe van alle wettelijke bewaartermijnen die op e-mailcommunicatie van toepassing zijn, zodat auditors zien dat het beleid contextgedreven is. Tijdens audits is het waardevol om scenario's te tonen waaruit blijkt dat procedures daadwerkelijk werken. Leg bijvoorbeeld vast hoe een onverwachte wijziging is gedetecteerd, welke stappen zijn uitgevoerd om de configuratie te herstellen en hoe de lessons learned zijn toegepast. Voeg screenshots van SIEM-alerts, ITSM-tickets en communicatieberichten toe. Op deze manier bewijst u niet alleen dat de controle bestaat, maar ook dat zij effectief is. Verpak deze bewijzen in een jaarlijks compliance-pakket zodat hercertificeringen sneller verlopen en beschrijf expliciet hoe dataresidentie-eisen worden afgedwongen.
Tot slot stimuleert u continue verbetering door jaarlijks te toetsen of nieuwe regelgeving of Europese richtlijnen impact hebben op remote domains. Denk aan NIS2-implementaties, aanvullende BIO-profielen of sectorale convenanten. Pas waar nodig het beleid aan, informeer betrokken teams en actualiseer het auditdossier. Leg wijzigingen vast in een roadmap met duidelijke mijlpalen, zodat bestuurders kunnen volgen hoe compliance-eisen worden geïmplementeerd. Neem indicatoren op voor cross-border dataverkeer en diplomatieke uitzonderingen, zodat afspraken met internationale partners aantoonbaar binnen de kaders blijven. Gebruik dashboards die elke beleidswijziging koppelen aan verantwoordelijke eigenaren en geplande auditmomenten. Zo blijft de organisatie aantoonbaar compliant, zelfs wanneer de dreigings- en normenkaders in beweging zijn.
Compliance & Frameworks
- BIO: 13.02 - BIO Baseline Informatiebeveiliging Overheid - 13.02 - Information transfer
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Remote Domains Design
.DESCRIPTION
Implementation for Remote Domains Design
.NOTES
Filename: remote-domains.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
Related JSON: content/design/platform/remote-domains.json
#>
#Requires -Version 5.1
#Requires -Modules Microsoft.Graph
[CmdletBinding()]
param(
[Parameter()][switch]$WhatIf,
[Parameter()][switch]$Monitoring,
[Parameter()][switch]$Remediation,
[Parameter()][switch]$Revert
)
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'Continue'
$PolicyName = "Remote Domains Design"
$BIOControl = "13.02"
function Connect-RequiredServices {
# Connection logic based on API
}
function Test-Compliance {
Write-Verbose "Testing compliance for: $PolicyName..."
$result = [PSCustomObject]@{
ScriptName = "remote-domains"
PolicyName = $PolicyName
IsCompliant = $false
TotalResources = 0
CompliantCount = 0
NonCompliantCount = 0
Details = @()
Recommendations = @()
}
# Compliance check implementation
# Based on: Design Document
$result.Details += "Compliance check - implementation required based on control"
$result.NonCompliantCount = 1
return $result
}
function Invoke-Remediation {
Write-Host "`nApplying remediation for: $PolicyName..." -ForegroundColor Cyan
# Remediation implementation
Write-Host " Configuration applied" -ForegroundColor Green
Write-Host "`n[OK] Remediation completed" -ForegroundColor Green
}
function Invoke-Monitoring {
$result = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total: $($result.TotalResources)" -ForegroundColor White
Write-Host "Compliant: $($result.CompliantCount)" -ForegroundColor Green
$color = if ($result.NonCompliantCount -gt 0) { "Red" } else { "Green" }
Write-Host "Non-compliant: $($result.NonCompliantCount)" -ForegroundColor $color
return $result
}
function Invoke-Revert {
Write-Host "Revert: Configuration revert not yet implemented" -ForegroundColor Yellow
}
try {
Connect-RequiredServices
if ($Monitoring) {
Invoke-Monitoring
}
elseif ($Remediation) {
if ($WhatIf) {
Write-Host "WhatIf: Would apply remediation" -ForegroundColor Yellow
}
else {
Invoke-Remediation
}
}
elseif ($Revert) {
Invoke-Revert
}
else {
$result = Test-Compliance
if ($result.IsCompliant) {
Write-Host "`n[OK] COMPLIANT" -ForegroundColor Green
}
else {
Write-Host "`n[FAIL] NON-COMPLIANT" -ForegroundColor Red
}
}
}
catch {
Write-Error $_
}
Risico zonder implementatie
Risico zonder implementatie
Low: Wanneer externe domeinen onbeperkt out-of-officeberichten, leesbevestigingen en delivery reports ontvangen, delen medewerkers onbedoeld persoonsgegevens, aanwezigheidspatronen, functietitels en technische details die door aanvallers kunnen worden misbruikt voor social engineering, spearphishing of rekognitie. Daarnaast ontstaat non-compliance met BIO 13.02 en AVG-artikelen rond dataminimalisatie en passende beveiliging.
Management Samenvatting
Beperk automatische antwoorden richting onbekende domeinen, beheer uitzonderingslijsten als code, gebruik het bijgeleverde PowerShell-script om instellingen consistent uit te rollen, monitor afwijkingen via geautomatiseerde controles en leg auditbewijzen minimaal drie jaar vast zodat de organisatie aantoonbaar voldoet aan informatiebeveiligings- en privacykaders.
- Implementatietijd: 6 uur
- FTE required: 0.1 FTE