GPO: Audit Account Lockout

Account lockout auditing geeft securityteams en servicedesks directe zichtbaarheid in het misbruik van aanmeldgegevens, omdat elke blokkade wordt voorzien van bronadres, logon-type en beheerdersactie. In een hybride werkplek waarbij medewerkers zowel vanuit gemeentelijke kantoren als vanuit huis werken, vormen verkeerde wachtwoorden, verlopen smartcards en geautomatiseerde aanvalstools een mix van oorzaken. Zonder gedetailleerde audit-trail blijft het echter gissen en moeten wachtwoorden onnodig worden gereset, wat het risico op social engineering vergroot. Door Event ID 4740 systematisch naar een SIEM of Sentinel workspace te sturen, ontstaat een realtime kaart van waar aanvallen plaatsvinden en welke accounts herhaaldelijk worden geraakt. Dit maakt het mogelijk om snel te schakelen naar aanvullende maatregelen, zoals het blokkeren van verdachte IP-ranges, het verplicht herstarten van aangetaste werkstations of het opschalen naar het Nationaal Cyber Security Centrum. Bovendien biedt auditing de noodzakelijke bewijslast richting functionarissen gegevensbescherming en interne auditors: je kunt aantonen dat lockouts actief worden gemonitord, dat beheerdersacties traceerbaar zijn en dat incidenten binnen de afgesproken servicelevels worden opgelost.

Implementatie

Het auditbeleid richt zich primair op twee gebeurtenissen: Event ID 4740, dat een accountvergrendeling vastlegt inclusief de broncomputer, en Event ID 4767, dat registreert wanneer een beheerder of geautomatiseerde taak het account weer vrijgeeft. Door beide gebeurtenissen op te nemen ontstaat een gesloten keten waarbij oorzaak en herstel altijd aan elkaar zijn gekoppeld. Naast de ID's kan in het beveiligingslog worden vastgelegd welk authenticatiemechanisme werd gebruikt, welk domeincontroller het verzoek verwerkte en welke aanvullende beveiligingsgroepen betrokken zijn. Deze gegevens voeden dashboards die lockoutpieken visualiseren en helpen om onderscheid te maken tussen legitieme gebruikersfouten en gestructureerde aanvalsgolven. Het GPO zorgt tevens voor consistente configuratie over alle beleidsobjecten; wanneer een nieuwe werkplek wordt toegevoegd aan een organisatie-eenheid, wordt het auditbeleid automatisch toegepast zonder handmatige acties van beheerders. Daardoor blijft het landschap van Windows 10 en Windows 11 systemen synchroon en zijn afwijkingen eenvoudig te detecteren.

Vereisten

1. Een betrouwbare Active Directory-omgeving of, in kleinere omgevingen, een zorgvuldig beheerde lokale Groepsbeleid infrastructuur vormt de fundering voor dit beleid. Domeincontrollers moeten elkaars tijd synchroniseren, veilige replicatie gebruiken en voldoende schijfruimte reserveren zodat beveiligingslogs niet voortijdig worden overschreven. Daarnaast is het noodzakelijk dat de organisatie helder eigenaarschap heeft vastgelegd: wie beheert de forest-root, wie publiceert nieuwe GPO-versies en wie borgt dat test- en productieomgevingen dezelfde instellingen bevatten? Pas wanneer deze governance staat, kan het accountlockout-auditbeleid met vertrouwen worden uitgerold en kan worden gegarandeerd dat wijzigingen traceerbaar zijn en via change management verlopen. Voor organisaties die grotendeels met lokale accounts werken, geldt dat hetzelfde niveau van discipline nodig is; elke standalone server moet het lokale beveiligingsbeleid exporteren, versiebeheer toepassen en aantoonbaar gekoppeld zijn aan herstelprocedures. Documenteer welke organisatie-eenheden het beleid ontvangen, beschrijf fallbackscenario's voor het geval replicatie faalt en verifieer dat logretentie is afgestemd op de bewaartermijn van zeven jaar die binnen de Nederlandse Baseline voor Veilige Cloud wordt aanbevolen. Integreer ten slotte rolgebaseerde toegangscontrole in de beheerconsole zodat alleen geautoriseerde medewerkers GPO's mogen aanpassen en gebruik wijzigingslogging om elke aanpassing te ondertekenen met naam en tijd.
2. Het beleid is expliciet ontworpen voor Windows 10 en Windows 11 apparaten die volledige ondersteuning voor Advanced Audit Policy Settings bieden en regelmatig worden voorzien van cumulatieve beveiligingsupdates. Werkplekken moeten beschikken over voldoende opslagcapaciteit en betrouwbare netwerkverbindingen zodat de extra logevents kunnen worden opgeslagen en doorgestuurd naar centrale collectors zonder prestaties te degraderen. Alleen wanneer endpoints onder beheer staan van Microsoft Intune, Configuration Manager of een vergelijkbare oplossing kan worden gegarandeerd dat elke lockout met hetzelfde logformaat en dezelfde tijdzone wordt geregistreerd, wat essentieel is voor correlatie in SIEM-platformen. Zorg er bovendien voor dat servers waarop kritieke applicaties draaien dezelfde beleidsinstelling ontvangen zodat ook serviceaccounts en gMSA's worden bewaakt. Documenteer uitzonderingen, zoals OT-systemen of geïsoleerde labopstellingen, en motiveer welke mitigerende maatregelen daar gelden. Voer tenslotte een proefimplementatie uit op een representatieve groep apparaten om aan te tonen dat applicaties niet worden beïnvloed en dat netwerkverkeer naar logcollectoren binnen de beschikbare bandbreedte blijft.
3. Een Security Information and Event Management-platform of een gelijkwaardig loganalyseproduct is cruciaal om waarde uit de auditgegevens te halen. Het volstaat niet om Event ID 4740 en 4767 lokaal te laten staan; de organisatie moet een betrouwbare datastroom opzetten richting Microsoft Sentinel, Splunk, Elastic of een vergelijkbare oplossing waarin detectieregels, dashboards en automatische meldingen worden geconfigureerd. Binnen de Nederlandse Baseline voor Veilige Cloud betekent dit dat retentiebeleid is afgestemd op minimaal zeven jaar, dat opslaglocaties voldoen aan AVG-eisen en dat er een fallbackmechanisme bestaat wanneer de primaire logcollector uitvalt. Definieer welke rollen verantwoordelijk zijn voor het dagelijks beoordelen van lockouttrends, welke escalatiepaden gelden bij plotselinge pieken en hoe rapportages richting management worden opgesteld. Investeer ook in use-cases waarin lockouts worden gecombineerd met Azure AD-aanmeldingen, VPN-logs en endpointtelemetrie zodat een rijk beeld ontstaat dat zowel cyberaanvallen stopzet als gebruikers op een empathische manier ondersteunt. Leg ook vast hoe de integriteit van logstromen wordt bewaakt door gebruik te maken van syslog over TLS, Azure Monitor Agent of Defender for Cloud connectoren, en definieer wie autorisatie verleent voor het tijdelijk uitschakelen van verzameling tijdens onderhoud. Door die afspraken in procedures en service level agreements op te nemen, blijft de datakwaliteit hoog en kunnen dashboards zonder onderbreking blijven draaien.

Implementatie

Gebruik PowerShell-script audit-account-lockout.ps1 (functie Invoke-Implementation) – De PowerShell-opdracht "audit-account-lockout.ps1" voert een gestandaardiseerd implementatiepad uit dat begint met het inventariseren van bestaande audit policies en vervolgens alleen de ontbrekende instellingen toevoegt. Het script gebruikt beveiligde WinRM-kanalen, dwingt TLS 1.2 af en logt elke wijziging in een CSV-rapport zodat controllers en interne auditors kunnen aantonen dat de wijziging gecontroleerd is uitgevoerd. Voor productieomgevingen bevat het script een ingebouwde dry-runmodus waarmee het beleid eerst tegen een testorganisatie-eenheid wordt aangehouden, inclusief een vergelijking tussen de gewenste instelling (Success én Failure) en de gevonden waarde. Wanneer afwijkingen worden ontdekt, genereert het script aanbevelingen om conflicterende GPO's op te schonen en geeft het aan welke beheerder de uiteindelijke wijziging moet goedkeuren. Omdat het script is afgestemd op de richtlijnen van de Nederlandse Baseline voor Veilige Cloud, houdt het rekening met gescheiden beheerrollen, schrijft het alle acties weg naar het centrale verzoekensysteem en biedt het hooks om change- of CAB-nummers automatisch mee te geven. Daarnaast valideert het script of de Resultant Set of Policy overeenkomt met de verwachtingen, zodat direct duidelijk wordt of downstream policies onverwachte effecten hebben. Het eindrapport bevat een samenvatting voor bestuurders, inclusief restpunten en geplande evaluatiemomenten, waardoor implementatie niet alleen technisch juist maar ook bestuurlijk geborgd is. Elke uitvoerregel is voorzien van een cryptografische hash zodat integriteit kan worden gecontroleerd wanneer logbestanden naar een centraal archief worden verplaatst. Het script kan tenslotte via parameters worden geïntegreerd in bestaande CI/CD-pijplijnen voor configuratiebeheer, waardoor nieuwe werkplekken automatisch de laatste auditinstellen ontvangen zodra zij lid worden van het domein..

GPO: Computer Configuration → Windows Settings → beveiligingsinstellingen → Advanced Audit Policy Configuration → Account Logon → Audit Account Lockout: Success en Failure. Achter deze korte instructie gaat een zorgvuldig proces schuil waarin preparation, validatie en borging centraal staan. Begin met het aanmaken van een dedicated GPO dat uitsluitend de auditinstellingen bevat en koppel het aan een hoog niveau in de Active Directory-hiërarchie, zodat zowel werkstations als ledenservers worden meegenomen. Documenteer welke organisatie-eenheden bewust worden uitgesloten en motiveer de risico-acceptatie in het securitydossier. Activeer vervolgens Advanced Audit Policy Configuration en zorg dat legacy audit policy instellingen worden uitgeschakeld om conflicten te voorkomen. Kies expliciet voor zowel Success als Failure, omdat het ontbreken van successlogs blindheid veroorzaakt zodra een aanvaller het account weer vrijgeeft. Test de beleidsinstelling op een representatieve groep apparaten, controleer of Event ID 4740 daadwerkelijk verschijnt in het beveiligingslog en of de logboeken de beoogde retentieduur volhouden. Sluit af door het beleid te verankeren in Configuration Baselines en changeprocessen, zodat afwijkingen automatisch worden teruggedraaid en auditbewijzen direct beschikbaar zijn tijdens inspecties. Neem deze stappen op in een implementatieplan met duidelijke rollen, een planning voor communicatie richting gebruikers en een checklist voor post-implementatiecontroles zodat ook niet-technische stakeholders inzicht houden in de voortgang. Beschrijf in hetzelfde plan hoe fallbackprocedures werken wanneer een domeincontroller tijdelijk niet bereikbaar is, hoe regional offices worden meegenomen en hoe lessons learned na de pilot worden verwerkt in de definitieve uitrol. Plan periodieke her-evaluaties waarin wordt gekeken of aanvullende events moeten worden gelogd of dat retentietermijnen moeten worden bijgesteld op basis van nieuwe dreigingsinformatie.

Compliance

Het auditbeleid sluit rechtstreeks aan bij meerdere externe kaders en vormt daarmee een tastbaar bewijs dat de organisatie de controlevereisten rondom logging en detectie serieus neemt. De CIS Windows Benchmark op niveau L1 schrijft voor dat account lockouts standaard moeten worden geregistreerd zodat securityanalisten afwijkend gedrag kunnen herkennen en de beschikbaarheid van identiteiten gewaarborgd blijft. Door in de GPO zowel Success als Failure te activeren, voldoet de instelling aan de specifieke subcontroles binnen het CIS-profiel die benadrukken dat beheerdersacties net zo inzichtelijk moeten zijn als verdachte gebruikersactiviteiten. Vanuit de BIO is vooral maatregel 12.04 relevant: logging moet volledig, tijdig en herleidbaar zijn om incidenten te reconstrueren en bewijs te bewaren voor toezichthouders. Het auditbeleid levert precies dat doordat het de volledige keten van vergrendeling tot ontgrendeling vastlegt en de resultaten zeven jaar worden bewaard conform het bewaarbeleid uit de Nederlandse Baseline voor Veilige Cloud. ISO 27001-controle A.12.4.1 vereist bovendien dat logbestanden worden beschermd tegen ongeoorloofde wijziging; door het auditbeleid centraal te configureren en de uitkomsten in een SIEM met rolgebaseerde toegang op te slaan, wordt aan deze eis voldaan. Tot slot sluit de keuze voor Event ID's 4740 en 4767 aan op NIST AU-2, waarin staat dat organisaties expliciet moeten bepalen welke gebeurtenissen worden vastgelegd en waarom deze informatie noodzakelijk is voor detectie en respons. Voor organisaties die onder de AVG vallen is aanvullende documentatie vereist over hoe persoonsgegevens binnen de logbestanden worden gebruikt. Het auditbeleid bevat die uitleg in de vorm van toegangsprotocollen, pseudonimiseringsrichtlijnen en verwijzingen naar verwerkersovereenkomsten met logdienstverleners. Hiermee wordt aangetoond dat artikel 5 (dataminimalisatie) en artikel 32 (passende technische en organisatorische maatregelen) worden nageleefd. Door ook de koppeling met ENSIA-rapportages te beschrijven, kan dezelfde dataset worden gebruikt om de jaarlijkse verantwoordingscyclus richting gemeenteraad of provinciebestuur te voeden. De auditresultaten worden tenslotte genoemd in het informatiebeveiligingsplan, waardoor bestuurders inzicht krijgen in volwassenheidsniveau en verbeteracties. Het geheel zorgt ervoor dat compliance niet langer voelt als een papieren exercitie maar als een set concrete maatregelen die dagelijks waarde leveren. Daarnaast sluit de maatregel aan op het Nationaal Cyber Security Centrum-baseline document waarin wordt geëist dat kritieke logbronnen redundant worden opgeslagen en dat beheeractiviteiten tot op accountniveau herleidbaar zijn. Door het auditbeleid onderdeel te maken van raamwerkafspraken met leveranciers, bijvoorbeeld via verwerkersovereenkomsten of DAP's, ontstaat een gedeelde verantwoordelijkheid waardoor ook uitbestede ICT-diensten voldoen aan CIS, BIO en ISO-normen. De komende NIS2-wetgeving legt extra nadruk op detecteerbaarheid en rapportageplicht; met een volwassen lockout-auditproces kan de organisatie aantonen dat zij aanvalspogingen vroegtijdig signaleert en documenteert. Neem het beleid daarom op in het securitymanagementsysteem en koppel KPI's aan directieverslagen zodat naleving continu op de agenda staat. Concretiseer de koppeling met BIO 12.04.03 door vast te leggen welke auditrapportages beschikbaar zijn voor de Chief Information Officer en hoe snel incidentgegevens worden gedeeld met toezichthouders. Beschrijf eveneens hoe het beleid invulling geeft aan CIS Control 5 (Account Management) door lockoutgegevens te gebruiken als trigger voor periodieke hercertificatie van rechten. Daarmee ontstaat een aantoonbare brug tussen technische logging en organisatorische beheersmaatregelen. Koppel de registraties ten slotte aan het interne control framework van de financiële afdeling, zodat aantoonbaar is dat gebruikersrechten rondom kritieke financiële applicaties continu worden bewaakt.

Monitoring

Gebruik PowerShell-script audit-account-lockout.ps1 (functie Invoke-Monitoring) – De functie "Invoke-Monitoring" verzamelt niet alleen ruwe logevents maar verrijkt deze direct met contextuele data zoals het aantal mislukte pogingen per identiteit, de geografische herkomst van het bron-IP en de tijd sinds de laatste geslaagde aanmelding. Voor een effectief monitoringsproces is het essentieel om deze verrijkte data te koppelen aan drempelwaarden die passen bij de dynamiek van de organisatie. Stel een baseline op waarin is vastgelegd hoeveel lockouts normaal gesproken per uur plaatsvinden op een gemiddelde werkdag en configureer adaptieve waarschuwingen die aanspringen wanneer de aantallen boven deze verwachting uitstijgen. Combineer de lockoutgegevens met Azure AD Sign-In logs en Defender for Identity signalen zodat duidelijk wordt of dezelfde gebruiker gelijktijdig verdachte activiteiten op cloudbronnen vertoont. Richt een dashboard in dat zowel operationele teams als CISO's aanspreekt: operationeel personeel ziet real-time welke accounts vastlopen en welke bronhosts verantwoordelijk zijn, terwijl CISO's maandelijkse trendgrafieken ontvangen die afwijkingen per organisatieonderdeel laten zien. Vergeet niet om monitoringprocedures te borgen in runbooks waarin staat wie de meldingen opvolgt, hoe escalaties naar het Computer Emergency Response Team verlopen en welke communicatie richting eindgebruikers wordt verwacht. Wanneer de monitoringfunctie draait in Microsoft Sentinel kan een automation rule automatisch een onderzoek openen zodra drie of meer accounts binnen vijf minuten worden vergrendeld vanaf dezelfde bron. Door een playbook te koppelen dat het betrokken apparaat isoleert via Defender for Endpoint en tegelijkertijd een servicedeskticket aanmaakt, wordt de responsetijd aanzienlijk verkort. Organisaties die nog geen volledige SOC hebben, kunnen kiezen voor e-mail- of Teams-meldingen, maar moeten dan wel aantonen dat deze meldingen binnen en buiten kantoortijd worden opgevolgd. Beschrijf hoe logging wordt gevalideerd: voer maandelijks een steekproef uit waarbij willekeurige lockouts worden geselecteerd en controleer of alle stappen (log, analyse, besluit, communicatie) zijn geadministreerd. Deel monitoringresultaten met leveranciers en ketenpartners wanneer gezamenlijke identiteiten of federatieve aanmeldpaden worden gebruikt, zodat ketens sneller reageren en aanvallers niet eenvoudig kunnen overstappen. Neem monitoringstatistieken ook op in kwartaalrapportages richting bestuurders, inclusief duiding van trends en voorstellen voor aanvullende maatregelen zoals strengere wachtwoordpolicies of bredere uitrol van FIDO2. Plan scholingsmomenten voor servicedesks waarin lockoutscenario's worden nagespeeld, zodat zij monitoringmeldingen sneller herkennen en adequaat communiceren richting gebruikers. Organiseer jaarlijks een tabletop-oefening met SOC, servicedesk en communicatieprofessionals waarin een grootschalige lockoutgolf wordt gesimuleerd en evalueer of de monitoringregels voldoende vroegtijdige signalen leveren. Automatiseer tot slot de distributie van rapporten via Power BI of Sentinel workbooks zodat stakeholders steeds over dezelfde broninformatie beschikken en afwijkingen niet verschillen per afdeling. Leg drempelwaarden en lessons learned vast in een knowledgebase zodat alert fatigue wordt voorkomen en verbeteringen structureel worden geborgd. Meet ook de verhouding tussen valse positieven en echte incidenten en gebruik die statistiek om detectieregels te verfijnen of aanvullend context toe te voegen. Controleer regelmatig of failoverpaden naar secundaire logcollectoren blijven functioneren, zodat monitoring ook tijdens onderhoudsvensters actief blijft. Documenteer bovendien hoe het monitoringproces samenwerkt met crisiscommunicatie zodra persvragen binnenkomen, zodat informatie eenduidig blijft. Door monitoring niet te zien als een statische controle maar als een cyclisch proces van meten, beoordelen, verbeteren en opnieuw meten, blijft het auditbeleid relevant en sluit het aan op nieuwe aanvalspatronen..

Remediatie

Gebruik PowerShell-script audit-account-lockout.ps1 (functie Invoke-Remediation) – De functie "Invoke-Remediation" richt zich op het herstellen van afwijkingen in het auditbeleid en doet dat via een gecontroleerde workflow. Eerst wordt een inventarisatie gemaakt van alle gekoppelde GPO's zodat duidelijk is of er concurrerende instellingen bestaan die het beleid overschrijven. Vervolgens worden alleen de organisatie-eenheden aangepakt die daadwerkelijk afwijken, waardoor impact op stabiele secties wordt voorkomen. Voor elke wijziging schrijft het script een digitaal werkorderlog weg waarin staat welke beheerder de opdracht startte, welk change-nummer is gebruikt en welk resultaat is behaald; dit logbestand vormt onderdeel van het auditdossier en kan direct worden gedeeld met auditors of toezichthouders. Tijdens de remediatie worden ook de lokale beveiligingsinstellingen op servers en werkstations gecontroleerd. Als daar een afwijkende waarde wordt gevonden, wordt het systeem automatisch toegevoegd aan een dynamische collectie in Configuration Manager of Intune zodat aanvullende policies kunnen worden afgedwongen. Het script controleert bovendien of de Windows Event Log service draait, of logretentie minimaal zeventien MB bedraagt en of geen enkele beheerder de logboekconfiguratie heeft uitgeschakeld. Wanneer zulke problemen worden aangetroffen, voert het script corrigerende maatregelen uit en noteert het welke stappen zijn gezet. Remediatie gaat verder dan techniek: de procedure schrijft voor dat servicedesks en identitybeheerders na elke serie afwijkingen een rootcause-analyse uitvoeren. Hierbij wordt gekeken naar recente infrastructuurwijzigingen, foutieve sjablonen of onvolledige uitrolprocessen. De bevindingen worden verwerkt in verbeteracties die via het reguliere CAB-proces worden bewaakt. Tegelijkertijd ontvangen eindgebruikers duidelijke communicatie wanneer hun accounts zijn beïnvloed; een heldere uitleg over veiligheidsmaatregelen voorkomt dat frustratie ontstaat of dat gebruikers onveilig gedrag vertonen. Documenteer ook welke scenario's een spoedherstel vereisen, bijvoorbeeld wanneer lockoutlogging in een kritieke keten uitvalt of wanneer een auditor tijdens een onderzoek directe inzage verwacht. In zulke situaties bevat de procedure escalatiepunten naar de CISO en eventuele leveranciers zodat beslissingen binnen de gestelde servicelevels worden genomen. Voor organisaties met meerdere domeinen kan het script parallelle taken gebruiken waardoor elke domeincontroller apart wordt gecontroleerd en bijgewerkt. De resultaten worden samengebracht in een Power BI-rapport dat inzicht geeft in welke locaties het vaakst hersteld moeten worden en welke oorzaakcategorieën domineren. Deze inzichten helpen bestuurders om gerichte investeringen te doen, bijvoorbeeld in aanvullende training voor regionale beheerders of in betere netwerkconnectiviteit tussen locaties. Tot slot voorziet de remediatiefunctie in een controleslag: nadat de GPO's opnieuw zijn toegepast, wordt automatisch gecontroleerd of Event ID 4740 en 4767 weer worden geregistreerd. Pas wanneer drie opeenvolgende controles succesvol zijn, wordt de wijziging als afgerond beschouwd en wordt het CAB-ticket gesloten. Deze nadruk op verificatie zorgt ervoor dat remediatie geen eenmalige actie is maar een geborgd proces dat de betrouwbaarheid van de Nederlandse Baseline voor Veilige Cloud continu ondersteunt. Documenteer iedere afgeronde remediatiecase in een kennisbank, inclusief beslisboom en communicatievoorbeelden, zodat toekomstige incidenten sneller kunnen worden afgehandeld en nieuwe collega's direct zien welke best practices gelden. Gebruik de verzamelde data bovendien om indicatoren op te stellen, zoals het aantal herstelde OU's per maand of de tijd tussen detectie en herstel, zodat management inzicht krijgt in de effectiviteit van het programma. Koppel die indicatoren aan prestatieafspraken in service level agreements zodat verbeteringen daadwerkelijk worden afgedwongen..

Compliance & Frameworks

• CIS M365: Control Windows - Audit lockout (L1) -
• BIO: 12.04.01 -
• ISO 27001:2022: A.12.4.1 -

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

Risico zonder implementatie

Management Samenvatting

Activeer Advanced Audit Policy voor Account Lockout met Success en Failure, gebruik het script "audit-account-lockout.ps1" om de configuratie uit te rollen, verzamel Event ID 4740 en 4767 in het SIEM en definieer automatische waarschuwingen bij lockoutpieken. Combineer deze logging met servicedeskprocessen zodat gebruikers snel ondersteuning krijgen en koppelingen met beleidskaders aantoonbaar blijven. De investering bedraagt nauwelijks twee uur werk, levert directe detectiewaarde op en sluit aan bij de verplichte controles binnen de Nederlandse overheid.

• Implementatietijd: 2 uur
• FTE required: 0.01 FTE