💼 Management Samenvatting
Een maximumleeftijd voor wachtwoorden bepaalt hoe lang een gebruiker dezelfde inloggegevens mag blijven gebruiken voordat een wijziging wordt afgedwongen, maar het instrument levert alleen waarde wanneer het doelbewust en gedocumenteerd wordt ingezet.
Aanbeveling
Alleen afdwingen wanneer wet- of regelgeving dit vereist en combineer de instelling met sterke detectie, meervoudige authenticatie en heldere governance.
Risico zonder
Low
Risk Score
3/10
Implementatie
6u (tech: 1u)
Van toepassing op:
✓ Windows 10
✓ Windows 11
✓ Windows Server
✓ Windows 11
✓ Windows Server
Publieke organisaties moeten balanceren tussen oudere compliance-eisen die een vaste rotatie-termijn voorschrijven en moderne identiteitsstrategieën die juist stabiliteit, meervoudige authenticatie en adaptieve detectie centraal zetten. Zonder zorgvuldige afweging leidt periodieke rotatie tot voorspelbare patronen, hogere servicedeskdruk en verminderde gebruikerservaring, terwijl het risico op misbruik nauwelijks afneemt.
Implementatie
Deze richtlijn beschrijft hoe je een maximum password age vastlegt in GPO, hoe je motiveert wanneer je 0 dagen (nooit laten verlopen) of bijvoorbeeld 365 dagen toepast, en hoe je monitoring en remediatie inricht zodat auditors zien dat het beleid aantoonbaar wordt beheerd.
Vereisten
Het afdwingen van een maximumleeftijd voor wachtwoorden begint met een bestuurlijk besluit dat de scope, uitzonderingen en doelstellingen expliciet benoemt. Organisaties binnen de Nederlandse publieke sector beheren vaak hybride identiteitslandschappen waarin on-premises Active Directory, Azure AD Connect en cloudidentiteiten naast elkaar bestaan. Een betrouwbaar overzicht van domeinen, trustrelaties en bestaande wachtwoordbeleidinstellingen is noodzakelijk voordat er wordt ingegrepen. Dit vereist dat configuratiebeheer een actueel register bijhoudt van alle wachtwoordbeleidobjecten per organisatie-eenheid inclusief precedentvolgorde. Documenteer ook welke systeemaccounts om technische redenen zijn uitgesloten en welke compenserende maatregelen daarvoor gelden. Zonder deze voorbereiding is het onmogelijk om reproduceerbaar aan te tonen waarom een specifiek maximum is gekozen. Daardoor kan een auditor twijfelen aan de proportionaliteit van de maatregel. Governance borgt dat de maatregel past binnen de bredere beveiligingsstrategie en niet leidt tot tegengestelde beleidslijnen tussen ketenpartners. De Chief Information Security Officer stelt, idealiter samen met de functionaris gegevensbescherming, de beleidslijn vast waarin wordt beschreven onder welke omstandigheden periodieke rotatie is toegestaan. Besluiten worden gedocumenteerd in het beveiligingsbeheerplan en gekoppeld aan risico-acceptaties voor systemen die tijdelijk van het standaardbeleid afwijken. Alleen wanneer er een aantoonbare wettelijke eis bestaat of wanneer een dreigingsanalyse uitwijst dat tijdelijke verzwaring noodzakelijk is, wordt het maximum geactiveerd. Deze bestuurlijke verankering voorkomt willekeur en maakt het eenvoudiger om auditors te tonen dat de maatregel bewust en proportioneel is geïmplementeerd. Het bestuur legt daarbij vast welke indicatoren aantonen dat de maatregel nog relevant is. Zonder deze periodieke evaluatie dreigt een tijdelijke eis permanent te worden. Technisch gezien moet de beheerorganisatie beschikken over toegankelijke beheersystemen, betrouwbare back-upvoorzieningen en een gecontroleerde releaseketen. Dat betekent onder meer dat de Group Policy Management Console alleen beschikbaar is vanaf een beheerderswerkplek met meervoudige authenticatie en dat wijzigingen via change requests worden vastgelegd. Alle domeincontrollers behoren up-to-date te zijn met de laatste beveiligingsupdates zodat replicatie betrouwbaar verloopt en geen oude beleidsinstellingen achterblijven. Voor hybride scenario's is het noodzakelijk dat Azure AD Connect correct synchroniseert en dat de cloudpolicies niet haaks staan op het on-premises beleid. Een gescheiden testdomein waarin nieuwe waarden worden gevalideerd voordat ze naar productie gaan is net zo belangrijk als het kunnen terugdraaien van wijzigingen via versiebeheer. Zonder deze technische randvoorwaarden wordt een defecte policy pas ontdekt wanneer gebruikers worden buitengesloten. Een moderne wachtwoordstrategie staat niet op zichzelf en vereist aanvullende voorzieningen om veilig te kunnen functioneren. Telemetrie uit Microsoft Defender for Identity en Azure AD Identity Protection bewijst wanneer afwijkend aanmeldgedrag zich voordoet en kan aantonen dat een streng maximum weinig extra waarde levert. Tegelijkertijd moeten licenties voor Microsoft Entra ID P1 of P2 beschikbaar zijn wanneer voorwaardelijke toegang, risicogebaseerde policies of selfservice-wachtwoordreset worden ingezet. Pas wanneer deze mechanismen goed functioneren kan worden besloten of periodieke rotatie nodig is of dat detectie en meervoudige authenticatie voldoende bescherming bieden. Ook logging uit SIEM-oplossingen zoals Microsoft Sentinel of Splunk moet toegankelijk zijn voor de beheerteams zodat verstoringen snel kunnen worden herleid. Zonder deze datagedreven onderbouwing wordt het gesprek met auditors en management al snel gebaseerd op aannames. Change- en communicatiemanagement vormen de laatste voorwaarde voordat een maximum password age daadwerkelijk ingevoerd kan worden. Gebruikers moeten minimaal één wijzigingscyclus van tevoren weten dat het beleid wijzigt, welk maximum geldt, welke ondersteuningskanalen beschikbaar zijn en hoe uitzonderingen kunnen worden aangevraagd. De servicedesk beschikt over draaiboeken voor noodscenario's, bijvoorbeeld wanneer een kritieke gebruiker wordt geblokkeerd tijdens een calamiteit of wanneer een ketenproces onverwacht vastloopt. Trainingen voor beheerders over het interpreteren van rapportages, het testen van beleidsobjecten en het herstellen van misconfiguraties zijn evenmin optioneel. Tevens moeten afspraken met externe leveranciers worden herzien zodat ook beheerde werkplekken onder hetzelfde beleid vallen. Alleen wanneer technologie, processen, mensen en governance tegelijkertijd zijn ingericht, ontstaat een fundament waarop een maximum password age waarde toevoegt in plaats van schijnzekerheid te bieden.
Implementatie
Gebruik PowerShell-script maximum-password-age.ps1 (functie Invoke-Implementation) – Implementeren.
Het configureren van de maximumleeftijd voor wachtwoorden is meer dan het invullen van een getal in de Group Policy Management Console; het is een gecontroleerd verandertraject waarin techniek, processen en communicatie samenkomen. Begin met een impactanalyse waarin per gebruikersgroep wordt vastgesteld welke huidige waarden gelden, hoeveel tijd de organisatie nodig heeft om wachtwoorden te wijzigen en welke bedrijfskritische processen gevoelig zijn voor lock-outs. Documenteer de uitkomsten in een change ticket en laat de security-architect toetsen of het voorgestelde maximum past binnen de bredere identiteitsstrategie, Zero Trust-principes en de afhankelijkheid van meervoudige authenticatie. Controleer gelijktijdig of de gekozen waarde verenigbaar is met passwordless pilots of bestaande uitzonderingen, zodat het beleid later niet opnieuw hoeft te worden aangepast. Vervolgens wordt het beleid opgebouwd in een gescheiden test- of acceptatiedomein. Gebruik bij voorkeur hetzelfde forestmodel als productie, inclusief service accounts, gedelegeerde OU-beheerders en eventuele fine-grained password policies. Verwerk de gewenste waarde (bijvoorbeeld 365 dagen of 0 voor geen rotatie) in het script "code/gpo/windows-client/account-policies/maximum-password-age.ps1" en voer het script uit met de parameter Invoke-Implementation -WhatIf om de voorgenomen wijzigingen te tonen. Controleer in de output welke GPO's geraakt worden, hoe de precedence zich verhoudt tot bestaande policies en of er onbedoelde filters actief zijn. Leg de testresultaten vast in het change record inclusief screenshots van de GPMC, exports uit het script en eventuele RSOP-rapportages. Tijdens het daadwerkelijke uitrollen in productie wordt het nieuwe beleid eerst gelinkt aan een beperkte pilot-OU die representatief is voor de uiteindelijke doelgroep. Maak gebruik van beveiligingsfiltering om kritieke accounts tijdelijk uit te sluiten totdat functionele testen zijn afgerond. Synchroniseer de wijziging met Azure AD Connect en verifieer via Get-ADDefaultDomainPasswordPolicy of de waarde correct is gerepliceerd naar alle domeincontrollers. Plan het moment van activering buiten kantooruren maar zorg dat sleutelpersonen beschikbaar blijven voor incidentrespons. Werk parallel daaraan de documentatie bij in het centrale GPO-handboek zodat duidelijk is welke beheerder de wijziging heeft aangebracht, welke motivatie eraan ten grondslag ligt en hoe een rollback moet worden uitgevoerd. Communicatie naar gebruikers en ondersteunende teams is een essentieel onderdeel van de implementatie. Verstuur minimaal twee weken voor de ingangsdatum een boodschap waarin wordt uitgelegd waarom de organisatie voor dit maximum kiest, welke ondersteuning beschikbaar is en hoe selfservice-wachtwoordreset kan worden gebruikt. Voor hogere risicoprofielen zoals beheerders of functionarissen met toegang tot staatsgeheimen kan een aparte begeleide resetactie noodzakelijk zijn. Daarnaast moet de servicedesk beschikken over monitoringdashboards die tonen welke accounts binnen dertig dagen verstrijken, zodat proactieve herinneringen verstuurd kunnen worden. Voor externe leveranciers en shared service centers wordt dezelfde communicatie afgestemd via contractmanagement zodat beheerde werkplekken geen afwijkend beleid houden. Na de uitrol volgt een validatiefase waarin technische en organisatorische controles worden uitgevoerd. Gebruik Resultant Set of Policy (RSOP) en gpresult om te controleren of het beleid daadwerkelijk toepast bij verschillende scenario's zoals laptops buiten het domein of accounts met replicatielatentie. Monitor beveiligingslogboeken, Azure AD sign-in logs en servicedeskdata om te bepalen of de wijziging leidt tot verhoogde callvolumes of afwijkend aanmeldgedrag. Rapporteer de bevindingen aan het security governance board en bepaal of bijstellingen nodig zijn, bijvoorbeeld een tijdelijke verruiming voor een specifieke afdeling of juist verdere verscherping. De lessons learned worden toegevoegd aan het securityjaarplan zodat toekomstige wijzigingen sneller en consistenter kunnen worden doorgevoerd.
Compliance en Auditing
Compliance rond wachtwoordvervaldata kent een genuanceerd speelveld waarin traditionele normen botsen met moderne identiteitsprincipes. Nederlandse overheidsorganisaties baseren zich doorgaans op de Baseline Informatiebeveiliging Overheid (BIO) en op doorvertalingen binnen sectorale toezichthouders zoals ENSIA, DigiD-assessors en defensiespecifieke kaders. Deze normen verwezen historisch naar CIS-benchmarks en oudere versies van ISO/IEC 27002 waarin een maximum van negentig dagen gebruikelijk was. Sinds de herziening van NIST SP 800-63B in 2019 wordt echter benadrukt dat verplichte rotatie zonder concrete aanwijzing voor misbruik contraproductief kan zijn. Microsoft heeft dat advies overgenomen in de Windows- en Entra-baselines, waardoor auditoren nu expliciet vragen naar de risicobeoordeling achter het gekozen maximum. Voor Nederlandse organisaties betekent dit dat zij moeten aantonen waarom een bepaalde waarde passend is binnen hun specifieke risico- en complianceprofiel. Wanneer een wet- of regelgeving, zoals de Wet politiegegevens, Wet justitiële en strafvorderlijke gegevens of een NAVO-richtlijn, een striktere rotatie vereist, dient de organisatie het desbetreffende artikel te citeren in het beveiligingsbeleid en de operationele vertaling naar GPO's te documenteren. In andere gevallen volstaat het vaak om aan te tonen dat alternatieve beheersmaatregelen, zoals meervoudige authenticatie, continue risicoanalyse en het gebruik van geblokkeerde wachtwoordlijsten, een gelijkwaardig of beter beschermingsniveau opleveren. Die argumentatie hoort terug te komen in de risicoacceptatie en in het jaarlijkse ENSIA- of DigiD-zelfevaluatieformulier. Auditors vragen standaard om bewijsstukken die aantonen dat het beleid consistent wordt toegepast. Voor GPO's betekent dit een export van de relevante objecten, een wijzigingslogboek met datum en verantwoordelijke, rapportages uit Resultant Set of Policy en verklaringen over testresultaten. Daarnaast wordt gekeken naar gebruikerscommunicatie, servicedeskprocedures en het incidentenregister waaruit blijkt dat accounts niet onnodig geblokkeerd raken. Wanneer een organisatie afwijkt van de traditionele negentig dagen, verwacht de auditor een onderbouwde verwijzing naar NIST SP 800-63B, Microsoft Security Baselines of sectorale richtlijnen waar dat wordt toegestaan. Transparantie over de monitoring van mislukte aanmeldingen en het gebruik van wachtwoordbeveiligingsdiensten wordt als compenserende maatregel gewaardeerd. De essentie is dat compliance geen statisch doel is maar een continu gesprek tussen beveiligingsprofessionals, auditors en proceseigenaren. Leg daarom vast welke criteria leiden tot herziening van het maximum, bijvoorbeeld de introductie van passwordless technologie of het aantoonbaar verminderen van wachtwoordgerelateerde incidenten. Combineer deze afspraken met jaarlijkse evaluaties binnen het security governance board en documenteer de uitkomsten in het Plan-Do-Check-Act-cyclusrapport. Op die manier kan tijdens audits overtuigend worden uitgelegd waarom de organisatie bewust kiest voor geen rotatie, een maximale termijn van 365 dagen of een strengere waarde voor specifieke doelgroepen. Het resultaat is een aantoonbaar compliant beleid dat niet langer leunt op verouderde aannames maar op actuele risico-informatie. Bovendien vragen toezichthouders steeds vaker om bewijs dat leveranciers en ketenpartners dezelfde afspraken naleven. In aanbestedingsdocumenten en DPIA's wordt daarom opgenomen welke maximale wachtwoordleeftijd van toepassing is, hoe uitzonderingen worden aangevraagd en hoe incidentmeldingen worden gedeeld. Deze contractuele borging maakt onderdeel uit van de audittrail en laat zien dat de organisatie de verantwoordelijkheid voor identiteitsbeheer niet beperkt tot eigen medewerkers. Door deze elementen op te nemen in het compliancehoofdstuk ontstaat een sluitend verhaal dat zowel traditionele normen als moderne best practices adresseert.
Monitoring
Gebruik PowerShell-script maximum-password-age.ps1 (functie Invoke-Monitoring) – Controleren.
Monitoring van de maximum password age draait om het zichtbaar maken van zowel configuratiewijzigingen als het feitelijke gedrag van gebruikers. Start met het inzetten van het script "code/gpo/windows-client/account-policies/maximum-password-age.ps1" in de modus Invoke-Monitoring, waarmee de actuele GPO-waarden worden uitgelezen en vergeleken met de verwachte configuratie. De uitvoer koppelt u aan een centrale configuratiedatabase zodat afwijkingen automatisch een ticket genereren in het ITSM-systeem. Door deze technische controle dagelijks te laten lopen ontstaat een betrouwbaar beeld van welke domeinen, sites of OU's van het standaardbeleid afwijken en of er ongeautoriseerde wijzigingen zijn doorgevoerd. Het rapport vormt de basis voor dashboarding in Power BI of Sentinel Workbooks. Naast configuratiecontroles is gedragsmonitoring cruciaal. Verzamel telemetrie uit Windows Event Logs (event-ID 4740 voor account lockouts en 4767 voor unlocks), Azure AD sign-in logs en Microsoft Defender for Identity alerts. Deze datastromen tonen of gebruikers structureel tegen het maximum aanlopen, hoe vaak serviceaccounts worden geblokkeerd en welke geografische locaties opvallend veel resets aanvragen. Combineer ze met gegevens uit het selfservice-wachtwoordresetportaal en servicedeskregistraties zodat inzichtelijk wordt of communicatie voldoende effectief is. Wanneer de organisatie password managers verstrekt of passwordless authenticatie uitrolt, wordt in de monitoringrapportages ook vermeld hoeveel mensen van die opties gebruikmaken, zodat het gesprek over verdere versoepeling of aanscherping op feiten kan worden gebaseerd. Stel bovendien meetbare drempelwaarden vast. Voorbeelden zijn het maximumpercentage accounts dat binnen dertig dagen verloopt, het aantal kritieke accounts dat het maximum bereikt zonder wijziging en de tijd die nodig is om een lock-out te herstellen. Deze indicatoren worden opgenomen in de SLA tussen security- en beherende teams. Wanneer een drempel overschreden wordt, activeert het SOC of het identity-team een playbook waarin staat wie wordt geïnformeerd, hoe de oorzaak wordt vastgesteld en of tijdelijke maatregelen nodig zijn. Door deze procedure te automatiseren via Sentinel Automation Rules of ServiceNow-workflows wordt voorkomen dat signalen blijven liggen in mailboxen. Rapportage richting het security governance board en richting auditors vindt minimaal elk kwartaal plaats. De rapportage beschrijft de trend van mislukte aanmeldingen, het aantal gedwongen resets, gebruikersfeedback en correlaties met andere maatregelen zoals MFA-inschakelingen. Het document bevat tevens een overzicht van incidenten waarbij wachtwoordvervaldata een rol speelden en welke verbeteracties zijn opgepakt. Deze inzichten helpen om aan te tonen dat een gekozen maximum geen papieren tijger is maar actief wordt gevolgd, geëvalueerd en bijgesteld waar nodig. Door monitoringdata te combineren met lessons learned uit oefeningen en echte incidenten ontstaat een adaptief beheerproces dat aansluit bij de Nederlandse Baseline voor Veilige Cloud. Voor ketenpartners en applicaties die buiten het domein vallen wordt monitoring ingericht via periodieke attesten of API-koppelingen. Leveranciers leveren maandelijks een rapportage aan van hun eigen password policies en melden afwijkingen onmiddellijk via het afgesproken verantwoordingskanaal. Deze gegevens worden centraal opgeslagen zodat tijdens audits kan worden aangetoond dat niet alleen interne systemen maar ook uitbestede processen binnen de afgesproken grenzen blijven. Zo wordt monitoring een integraal onderdeel van de bredere continuïteits- en leveranciersstrategie.
Remediatie
Gebruik PowerShell-script maximum-password-age.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer monitoring aantoont dat het maximum password age beleid is afgeweken, start een gestroomlijnd remediatieproces waarin snelheid en herleidbaarheid centraal staan. De eerste stap is triage: bepaal of het gaat om een ongeautoriseerde wijziging, een test die per ongeluk in productie is beland of een bewuste afwijking die niet correct is vastgelegd. Dit gebeurt door de configuratiedump uit het scriptsysteem te vergelijken met changelogboeken en door de verantwoordelijke beheerders te raadplegen. Tijdens de triage wordt ook gecontroleerd of noodaccounts nog actief zijn en of er sprake is van geforceerde resets door gebruikers. Indien er aanwijzingen zijn voor kwaadwillende activiteit, wordt onmiddellijk het Computer Security Incident Response Team betrokken en wordt de wijziging behandeld als security-incident. Na triage wordt de technische herstelactie uitgevoerd met hetzelfde script "maximum-password-age.ps1", ditmaal via de functie Invoke-Remediation. De scriptparameters bevatten de gewenste doelwaarde en de OU's waarop het beleid moet worden hersteld. Voer eerst een WhatIf-run uit om de impact te bevestigen en log de volledige uitvoer in het centrale versiesysteem. Bij complexe foreststructuren wordt de remediate-actie gefaseerd toegepast zodat replicatieproblemen snel kunnen worden opgespoord. Plan de herstelactie binnen een onderhoudsvenster en zorg dat communicatiekanalen openstaan voor escalaties. Controleer na elke stap via Get-ADDefaultDomainPasswordPolicy en RSOP of de waarde daadwerkelijk is teruggedraaid. Herstel betekent ook het adresseren van onderliggende oorzaken. Als de afwijking ontstond doordat een lokale beheerder handmatig een GPO wijzigde, worden de autorisaties herzien en worden Just-In-Time privileges ingevoerd. Wanneer de oorzaak lag in een foutief geconfigureerde CI/CD-pijplijn, wordt de pipeline aangepast met extra validatiestappen en policytests. In organisaties met meerdere tenants of forests kan het noodzakelijk zijn om een federatieve governance board op te richten die wijzigingen coördineert en dubbele controles uitvoert. Deze structurele verbeteringen worden vastgelegd in het verbeterregister en opgevolgd in het securityjaarplan. Betrek bij voorkeur ook de interne auditdienst zodat de effectiviteit van de maatregelen onafhankelijk wordt beoordeeld. Tijdens en na de remediatie wordt continu gecommuniceerd met de betrokken business-eigenaren. Zij ontvangen een overzicht van de impact, bijvoorbeeld hoeveel gebruikers hun wachtwoord opnieuw moesten instellen of welke systemen tijdelijk beperkt toegankelijk waren. Indien mogelijk worden compenserende maatregelen geactiveerd, zoals het tijdelijk versoepelen van lock-out policies of het verstrekken van noodtokens, zodat kritieke processen kunnen doorgaan. De communicatie bevat concrete instructies en contactpunten om onnodige paniek te voorkomen. Zodra de configuratie weer compliant is, volgt er een afsluitbericht met de lessen die uit het incident zijn getrokken. Voor ketenpartners en leveranciers wordt dezelfde informatie gedeeld zodat zij hun eigen policies kunnen toetsen. Elke remediatie eindigt met een korte post-mortem waarin het securityteam, identitybeheer en de functionaris gegevensbescherming samen bepalen welke documentatie moet worden bijgewerkt. Denk aan het aanpassen van runbooks, het toevoegen van nieuwe monitoringsregels of het aanscherpen van contractuele verplichtingen richting leveranciers. De bevindingen worden gedeeld met het security governance board zodat toekomstige beslissingen over het maximum password age gebaseerd zijn op actuele ervaringen. Wanneer remediatie het gevolg is van een bredere strategische wijziging, bijvoorbeeld het overstappen op passwordless authenticatie, wordt een migratieplan opgesteld waarin staat hoe oude maximumwaarden gecontroleerd worden uitgefaseerd. Bewaar altijd bewijs van de historische instellingen zodat audits achteraf kunnen aantonen hoe het beleid zich ontwikkelde.
Compliance & Frameworks
- CIS M365: Control Windows - Password age (L1) -
- BIO: 09.02.01 -
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
GPO: Maximum Password Age
.DESCRIPTION
Implementeert, monitort en herstelt: GPO: Maximum Password Age
.NOTES
Filename: maximum-password-age.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
Workload: gpo
Category: windows-client
#>
#Requires -Version 5.1
[CmdletBinding()]
param()
$ErrorActionPreference = 'Stop'
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Invoke-Implementation - GPO: Maximum Password Age" -ForegroundColor Cyan
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
try {
Write-Host "
========================================" -ForegroundColor Cyan
Write-Host "GPO: Maximum Password Age - Monitoring" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
# TODO: Implementeer monitoring logica voor GPO: Maximum Password Age
Write-Host "[INFO] Monitoring check voor GPO: Maximum Password Age" -ForegroundColor Yellow
Write-Host "[OK] Monitoring check completed" -ForegroundColor Green
}
catch {
Write-Error "Monitoring failed: $_"
throw
}
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
#>
[CmdletBinding()]
param()
try {
Write-Host "
========================================" -ForegroundColor Cyan
Write-Host "GPO: Maximum Password Age - Remediation" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
# TODO: Implementeer remediation logica voor GPO: Maximum Password Age
Write-Host "[INFO] Remediation voor GPO: Maximum Password Age" -ForegroundColor Yellow
Write-Host "[OK] Remediation completed" -ForegroundColor Green
}
catch {
Write-Error "Remediation failed: $_"
throw
}
}
Risico zonder implementatie
Risico zonder implementatie
Low: Een generieke verplichting tot frequente vernieuwing kan leiden tot voorspelbare wachtwoordpatronen, hogere servicedeskdruk en gebruikers die gegevens vastleggen buiten beheer, terwijl de beveiligingswinst beperkt blijft. Tegelijkertijd kan het niet toepassen van een maximum problemen geven wanneer een framework (bijvoorbeeld bepaalde BIO-profielen of NAVO-richtlijnen) het wel verplicht stelt. Maak daarom expliciet welke risicoacceptatie geldt en welke compenserende maatregelen actief zijn.
Management Samenvatting
Richt het maximum password age beleid in vanuit risico, niet vanuit traditie. Kies 0 dagen (nooit laten verlopen) wanneer moderne maatregelen zoals MFA, password protection en continue monitoring aanwezig zijn en er geen expliciete norm eist dat wachtwoorden periodiek worden gewijzigd. Kies 365 dagen of een striktere waarde alleen wanneer regelgeving dat vraagt en onderbouw waarom de gekozen termijn proportioneel is. Documenteer, monitor en remediëer wijzigingen via het aangeleverde script zodat auditors zien dat het beleid aantoonbaar wordt beheerd.
- Implementatietijd: 6 uur
- FTE required: 0.01 FTE