💼 Management Samenvatting
Een modern Windows-inlogscherm hoort neutraal te zijn en geen aanwijzingen te geven over wie er voor het laatst heeft gewerkt op het apparaat. Door de naam van de vorige gebruiker te verbergen, doorbreken organisaties het patroon waarbij aanvallers met een simpele blik al de helft van de inlogpuzzel oplossen. Deze maatregel creëert een cultuur waarin elke sessie begint met dezelfde hoge drempel: gebruikers voeren altijd zowel hun gebruikersnaam als wachtwoord volledig in, zonder visuele hints of automatisch ingevulde velden.
Aanbeveling
IMPLEMENTEER USERNAME HIDING
Risico zonder
Low
Risk Score
3/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Windows 10
✓ Windows 11
✓ Windows Server
✓ Windows 11
✓ Windows Server
Het getoonde account op het inlogscherm lijkt onschuldig, maar in werkelijkheid is het een concreet voorbeeld van onnodige prijsgegeven metadata. Aanvallers die fysiek toegang krijgen tot een kantoorruimte, of zich via social engineering toegang verschaffen tot een gedeelde werkplek, hoeven alleen maar de weergegeven naam te fotograferen om later een doelgerichte wachtwoordaanval te starten. In omgevingen met beheerdersaccounts, dienstaccounts of tijdelijke projectaccounts betekent het tonen van de laatst aangemelde gebruiker zelfs directe blootstelling van hooggeprivilegieerde identiteiten. Ook intern levert het privacyproblemen op: collega’s kunnen patronen herkennen in het gebruik van voorzieningen en zo indirect gevoelige informatie over werkzaamheden en roosters afleiden.
Implementatie
Deze beleidsinstelling zorgt ervoor dat gebruikers altijd beginnen met een leeg invoerscherm waarin zij eerst hun gebruikersnaam typen en daarna pas hun wachtwoord. De maatregel lijkt klein, maar versterkt meerdere beveiligingsprincipes: het voorkomt gebruikersnaam-enumeratie, dwingt bewuste invoer af en ondersteunt organisaties bij het consistent toepassen van meervoudige authenticatie, aangezien veel MFA-uitdagingen afhangen van het correcte initiële account. Door deze instelling centraal via Group Policy of een lokale beveiligingsinstelling af te dwingen ontstaat een laagdrempelige, onderhoudsarme vorm van defensie in de breedte die uitstekend past binnen de Nederlandse Baseline voor Veilige Cloud.
Vereisten
- Een centraal beheerde Active Directory-omgeving of een expliciet vastgelegde lokale Group Policy is noodzakelijk om uniformiteit af te dwingen. In een domeinstructuur betekent dit dat de beheerdersstructuur voor Group Policy Objects helder gedefinieerd is, inclusief wijzigingsbeheer, versiebeheer en delegatie. Zonder deze governance kunnen instellingen per ongeluk worden overschreven of wisselen laptops tussen OU’s zonder de juiste beleidsinstellingen te erven. Documenteer daarom welke domeincontrollers verantwoordelijk zijn voor de beleidsdistributie, hoe replicatie wordt bewaakt en welke fallbackprocedure geldt wanneer een GPO corrupt raakt. Neem tevens op dat beheerders een change-advisory-stap volgen waarin gecontroleerd wordt of de instelling geen conflicten veroorzaakt met andere beveiligingsregels, bijvoorbeeld self-service password reset prompts of kioskconfiguraties. Door deze organisatorische randvoorwaarden te behandelen als integraal onderdeel van het vereiste, ontstaat een solide fundament waarop de technische maatregel betrouwbaar kan steunen. Zorg daarnaast dat de servicedesk op de hoogte is van het beleid, zodat zij gebruikers kunnen uitleggen waarom het inlogscherm is veranderd en welke stappen nodig zijn wanneer men de gebruikersnaam vergeten is. Voeg hierbij trainingsmateriaal toe waarin stap voor stap wordt uitgelegd hoe gebruikers hun juiste UPN-formaat noteren, hoe men veilig omgaat met wachtwoordkluizen en welke meldpunten bestaan wanneer het inloggen mislukt. Neem de controlestap op in periodieke interne audits, laat identity governance teams de GPO-versies opnemen in hun attesteringsproces en zorg dat uitwijk- en herstelomgevingen hetzelfde beleid meekrijgen. Zelfs tijdens pen-testrondes moet de beheerorganisatie kunnen aantonen dat het beleid overal identiek is geïmplementeerd, desnoods door tijdelijke accounts op te tuigen waarmee het aanmeldingsscherm live wordt getoetst. Alleen wanneer deze organisatorische en technische voorwaarden integraal geregeld zijn, kan de maatregel standhouden onder operationele druk.
- Alle betrokken endpoints moeten Windows 10, Windows 11 of een ondersteunde Windows Server-edition draaien die de instelling "Interactive logon: Do not display last user name" volledig respecteert. Dit lijkt een triviale technische eis, maar in de praktijk vraagt het om nauwkeurige inventarisatie en lifecyclemanagement. BYOD- of kioskapparaten die buiten het reguliere updatekanaal vallen kunnen de instelling negeren of inconsistent toepassen, waardoor alsnog metadata uitlekt. Maak daarom gebruik van een configuration management database (CMDB) of endpointbeheerplatform om exact te weten welke versies en buildniveaus actief zijn. Combineer dit met naleving van de Nederlandse overheidseisen rondom hardening, zodat bijvoorbeeld LTSC-varianten dezelfde policy ontvangen. In hybride scenario’s met Azure AD Joined devices is het cruciaal om de instelling ook via een compatibele MDM-profiel of security baseline te distribueren. Blijf tenslotte alert op applicaties die het klassieke authenticatievenster vervangen, zoals custom credential providers of remote access shells; controleer in testomgevingen of zij het beleid respecteren. Pas wanneer de volledige vloot het gedrag consistent vertoont, voldoet de organisatie aan deze technische vereiste. Plan bovendien regelmatige health checks waarin gemeten wordt hoeveel apparaten achterlopen op patchniveaus en vereis dat nieuwe builds pas in productie gaan nadat is bewezen dat de instelling actief blijft. Werk nauw samen met leveranciers van thin clients of VDI-platforms, omdat hun aanpassingen aan het inlogscherm het beleid kunnen neutraliseren. Documenteer fallbackprocedures voor scenario’s waarin noodpatches tijdelijk een andere logon shell vereisen en leg vast welke compensatiemaatregelen dan gelden. Op die manier blijft de vloot zowel technisch conform als aantoonbaar onder controle.
Implementatie
Gebruik PowerShell-script interactive-logon-display-user.ps1 (functie Invoke-Implementation) – Gebruik het script om een gecontroleerde implementatiepipeline te starten: het controleert eerst of de beheerder met voldoende rechten werkt, valideert vervolgens of het doelapparaat het vereiste Windows-buildnummer heeft en schrijft tot slot de beleidsinstelling naar het juiste registerpad onder HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System. Het script genereert een auditlog met tijdstempel, apparaatnaam, OU en resultaatcode, zodat deployment-teams de verandering kunnen koppelen aan hun CAB-dossier. Integreer het script in een bestaande CI/CD-runner of voer het als taaksequentie uit binnen Microsoft Configuration Manager om grootschalige uitrol te automatiseren. Voeg in de parameters een dry-runoptie toe wanneer eerst geoefend wordt op een acceptatieomgeving. Zo blijft de technische uitvoering reproduceerbaar en verifieerbaar, precies zoals de Nederlandse Baseline voor Veilige Cloud verlangt. Breid de logging uit met hashwaarden van de gebruikte GPO-templates, zodat bij audits precies kan worden aangetoond welke versie van het beleid is toegepast. Indien meerdere talen in het inlogscherm worden gebruikt, laat het script controleren of de juiste lokale taalpakketten aanwezig zijn en of er geen restanten van branding overblijven die alsnog gebruikersnamen onthullen. Maak gebruik van Just Enough Administration (JEA) profielen om het script veilig aan dienstverleners of leveranciers toe te vertrouwen zonder volledige domeinbeheerdersrechten aan te reiken. Voeg ten slotte integraties toe richting een secrets management-oplossing zodat referenties niet in platte tekst in pipelines hoeven te staan, en documenteer elke stap uitvoerig in het deployment-runbook..
Voordat het beleid wordt geactiveerd, documenteert het implementatieteam de gebruikersimpact en stemt het change window af met servicedesk en security operations. In de Group Policy Management Console creëert men bij voorkeur een dedicated hardenings-GPO voor interactieve aanmeldingsinstellingen. Koppel de GPO stap voor stap aan test-OU’s, controleer met Resultant Set of Policy (RSOP) of de instelling "Interactive logon: Do not display last user name" daadwerkelijk op Enabled staat en verifieer op het apparaat dat het aanmeldingsscherm nu blanco is. Voeg waar mogelijk een ondersteunende banner toe waarin gebruikers worden herinnerd aan het gebruik van hun volledige UPN-formaat, zodat grensoverschrijdende tenants dezelfde ervaring bieden. Na validatie op pilotgroepen wordt de GPO in het productiedomein gekoppeld met behulp van beveiligingsfilters of WMI-filters om legacy-systemen uit te sluiten. Vergeet niet om het wijzigingsverzoek af te sluiten met een korte lesgeleerd-notitie waarin eventuele scripts, schermopnames en regressietests zijn inbegrepen. Deze aanpak voorkomt verrassingen, borgt reproduceerbaarheid en houdt de lijn tussen beleidsambitie en technische uitvoering glashelder. Plan aansluitend een communicatiecampagne waarin uitleg wordt gegeven over het nieuwe aanmeldproces, inclusief FAQ’s voor situaties waarin gebruikers meerdere accounts beheren. Neem in de release note op hoe deze maatregel samenwerkt met smartcard-inlog of Windows Hello for Business, zodat gebruikers weten dat de ervaring consistent blijft. Nadat de uitrol is voltooid, voert het team een post-implementation review uit waarin meetbaar wordt gemaakt hoeveel apparaten succesvol zijn bijgewerkt, hoeveel restanten moesten worden hersteld en hoe de maatregel heeft bijgedragen aan het reduceren van account lockouts. Deze review vormt het startpunt voor continue verbetering. Gebruik de review om aanvullende verbeteringen in kaart te brengen, zoals het automatiseren van fallbackmeldingen in self-service portals of het opnemen van de instelling in golden images.
Compliance
Het verbergen van de laatst aangemelde gebruiker is een controle die diep verankerd moet zijn in de governance- en compliance-structuur van iedere Nederlandse overheidsorganisatie. De CIS Microsoft Windows Benchmarks bestempelen deze instelling als onderdeel van het kernprofiel, juist omdat het tonen van gebruikersnamen de aanvalsstap van credential harvesting verkort. Ook de Baseline Informatiebeveiliging Overheid (BIO) legt nadruk op het minimaliseren van informatie die zichtbaar is voor onbevoegden; paragraaf 9.2 vraagt uitdrukkelijk om technische maatregelen die de vertrouwelijkheid van authenticatiegegevens borgen. Door de instelling centraal te dwingen, bewijs te bewaren in het change register en de maatregel te koppelen aan risicoanalyses, laat de organisatie zien dat zij de principes van de Nederlandse Baseline voor Veilige Cloud niet alleen op papier onderschrijft maar in de dagelijkse praktijk verankert. De AVG vereist dat persoonsgegevens worden beschermd door passende technische en organisatorische maatregelen. Een zichtbare gebruikersnaam kan, zeker op werkstations waar bijzondere gegevens worden verwerkt, worden beschouwd als persoonsgegeven én als gevoelig metadata-element dat profielen onthult over functies, bevoegdheden en roosters. Door het inlogscherm te ontdoen van namen, kunnen beveiligings- en privacyofficers aantonen dat privacy by design werkelijk is geïmplementeerd. Dit hoort verwerkt te worden in Data Protection Impact Assessments, in het verwerkingsregister en in de standaard veiligheidsparagraaf van samenwerkingsafspraken. De maatregel sluit bovendien aan op de NCSC-richtlijnen rondom wachtwoordbeleid, waarin iedere vorm van hinting wordt aangemerkt als een onnodige verzwakking. Hetzelfde geldt voor de BIO-maatregel 09.02.04, waar het beperken van toegankelijke systeeminformatie als expliciet doel wordt genoemd. Compliance is pas overtuigend wanneer er aantoonbaarheid is. Daarom hoort deze instelling opgenomen te zijn in ENSIA-bewijspakketten, jaarlijkse ISAE 3402-rapportages of ISO/IEC 27001 audits. De benodigde bewijsvoering bestaat uit GPO-exporten, RSOP-screenshots, logging van scriptuitvoering en een overzicht van uitzonderingsaanvragen met beoordelingen en einddata. Koppel deze informatie aan het change- en risicoregister zodat auditors kunnen herleiden wie het beleid heeft gewijzigd, wie heeft goedgekeurd en hoe lang eventuele afwijkingen actief waren. Betrek ook externe leveranciers: contracten voor werkplekbeheer, SOC-dienstverlening of Device-as-a-Service moeten expliciet benoemen dat het verbergen van gebruikersnamen een niet-onderhandelbare technische norm is en dat naleving periodiek gerapporteerd wordt via service level reports. Tot slot verdient de maatregel een plaats in internationale raamwerken en tooling. Door het controlenummer te mappen op ISO/IEC 27002 controle 5.34 en op ITIL 4-practices voor informatiebeveiliging, blijft de maatregel zichtbaar in globale audits. Voeg de instelling toe aan Purview Compliance Manager of vergelijkbare dashboards, zodat automatische beoordelingen worden uitgevoerd en de status onderdeel wordt van managementrapportages. Deze continue zichtbaarheid zorgt ervoor dat de ogenschijnlijk kleine GPO-instelling evolueert tot een meetbaar element van het totale controlestelsel en daarmee de geloofwaardigheid van de Nederlandse Baseline voor Veilige Cloud in de organisatie versterkt. Wanneer organisaties onderdeel zijn van ketens, bijvoorbeeld samenwerkingsverbanden binnen veiligheidsregio’s of gedeelde werkplekdiensten, hoort deze maatregel tevens vastgelegd te worden in verwerkersovereenkomsten en leveranciersbeoordelingen. Door in de governance vast te leggen dat afwijkingen direct moeten worden gemeld aan de ketenpartners, wordt voorkomen dat een zwakke schakel alsnog gebruikersnamen prijsgeeft. Zo groeit de maatregel uit tot een gezamenlijke verantwoordelijkheid in plaats van een lokale optimalisatie.
Monitoring
Gebruik PowerShell-script interactive-logon-display-user.ps1 (functie Invoke-Monitoring) – Het monitoringsproces verzamelt gestructureerd gegevens over de registrywaarde "dontdisplaylastusername" via PowerShell Remoting, WinRM of een beheerde endpoint-agent. Elke meting legt naast de waarde zelf ook de bron van de instelling vast (GPO-ID, lokale override, MDM-profiel), de timestamp van de laatste policy refresh, het buildnummer en de health status van het apparaat. Deze data wordt rechtstreeks doorgestuurd naar een centraal logplatform zoals Microsoft Sentinel of Splunk, waar het als dedicated tabel wordt opgeslagen. Door metadata op te nemen over OU, locatie en apparaatrol kan het SOC afwijkingen snel groeperen en prioriteren.
Bovenop de ruwe telemetry draait een set analytische regels. Een regel signaleert wanneer de waarde nul is of ontbreekt; een andere controle detecteert toestellen die langere tijd niet zijn gecontroleerd, wat kan wijzen op offline apparaten of problemen met beheerconnectiviteit. Alerts genereren automatisch tickets in het ITSM-systeem, waarbij impact, urgentie en eigenaar al zijn ingevuld. Door de controle te koppelen aan bestaande BIO- en ISMS-rapportages ontstaat een periodieke compliance-meting die rechtstreeks in kwartaal- en ENSIA-rapportages terechtkomt.
Visualisatie is cruciaal voor adoptie. Dashboards tonen heatmaps per organisatieonderdeel, trendcurves die het effect van hardeningcampagnes laten zien en drill-downs waarmee men van een statistische afwijking naar een individueel assetrapport gaat. Om de betrouwbaarheid te waarborgen wordt elke monitoring-run gelogd inclusief duur; mocht een run langer dan vijftien seconden per apparaat kosten, dan wordt een optimalisatie-actie gestart zodat de prestaties binnen de afgesproken grenzen blijven. De resultaten worden daarnaast vergeleken met logboeken van fysieke beveiliging en met Credential Guard-telemetrie om sabotage of fysieke toegang te kunnen koppelen aan beleidssabotage.
Monitoring is meer dan techniek: het vereist duidelijke verantwoordelijkheden. Daarom bevat het proces een service blueprint waarin staat wie de data verzamelt, wie analyses beheert, wie notificaties beoordeelt en hoe escalaties verlopen. Tabletop-oefeningen tussen SOC, werkplekbeheer en privacyofficers zorgen ervoor dat iedereen weet hoe te handelen bij een afwijking, inclusief scenario’s waarin monitoring tijdelijk wordt gepauzeerd tijdens grootschalige migraties. Het script bevat bovendien zelftests die bij elke update in minder dan vijftien seconden aantonen dat de controle werkt. Met deze combinatie van telemetrie, analyse, visualisatie en governance groeit monitoring uit tot een volwassen borgingsmechanisme dat perfect aansluit op de Nederlandse Baseline voor Veilige Cloud.
Tot slot wordt monitoring in de lifecycle verankerd door het op te nemen in release gates: geen nieuw Windows-image gaat naar productie zonder een geslaagde monitoringscan en een ondertekend rapport van de productowner. Door deze borging voorkomt de organisatie dat regressies ontstaan wanneer nieuwe builds of leveranciers worden geïntroduceerd. Service level rapportages bevatten bovendien KPI’s over naleving, oplossnelheden en testduur, zodat bestuurders periodiek inzicht krijgen in de effectiviteit van de controle. Deze KPI’s worden gedeeld met leveranciers en ketenpartners zodat gezamenlijke verbeterplannen kunnen worden opgesteld. Op termijn kan het SOC machine-learningmodellen inzetten die afwijkende patronen herkennen, bijvoorbeeld een plotselinge cluster van toestellen in één gebouw, waardoor monitoring steeds proactiever wordt. Door deze data tevens te voeden aan risicocomités en architectuurfora wordt monitoring een strategische stuurvariabele in plaats van een losse controle. Zo blijft de organisatie aantoonbaar binnen de eisen van de Nederlandse Baseline voor Veilige Cloud..
Remediatie
Gebruik PowerShell-script interactive-logon-display-user.ps1 (functie Invoke-Remediation) – De herstelmodus van het script volgt een vaste volgorde: eerst wordt gecontroleerd of het apparaat het beoogde Group Policy Object ontvangt, vervolgens wordt vastgesteld of een lokale override of handmatige registeraanpassing de waarde heeft overschreven, en pas daarna wordt de instelling teruggezet. Deze diagnosefase voorkomt dat symptomen worden aangepakt terwijl de oorzaak blijft bestaan. Zodra het probleem is vastgesteld, schrijft het script de correcte waarde terug, forceert een gpupdate en verifieert het resultaat zowel in het register als in de effectieve beleidsuitvoer. Alle stappen worden gelogd met tijdstempel, uitvoerende identiteit, hostnaam, OU en resultaatcode.
Elke herstelactie creëert automatisch een ticket in het ITSM-systeem dat verwijst naar het oorspronkelijke monitoring-incident. Bewijsmateriaal zoals RSOP-exporten en screenshots van het neutrale aanmeldingsscherm wordt toegevoegd zodat auditors direct kunnen zien dat de instelling weer actief is. Wanneer een endpoint binnen korte tijd opnieuw afwijkt, plaatst het script het systeem in een quarantaine-OU met strengere policies en aanvullende forensische logging. Tegelijkertijd kan het script lokale beheerdersrechten intrekken of Credential Guard-telemetrie verzamelen om sabotage te detecteren.
Communicatie is een integraal onderdeel van de remediering. Gebruikers ontvangen na herstel een bericht waarin het belang van een leeg aanmeldingsscherm wordt uitgelegd, terwijl privacy officers worden geïnformeerd wanneer het probleem voortkomt uit een verlopen uitzondering. Lessons learned worden verzameld in een post-incident review en gedeeld met architecten en security officers, zodat zij kunnen bepalen of golden images, deployment-scripts of beheerdersrechten moeten worden aangescherpt.
Het proces eindigt met een vier-ogencontrole: een tweede beheerder beoordeelt de logbestanden, controleert gerelateerde instellingen zoals juridische banners en Windows Hello-configuraties en bevestigt digitaal dat de omgeving weer compliant is. Door deze combinatie van diagnose, herstel, communicatie en verificatie blijft de maatregel volledig geborgd binnen de Nederlandse Baseline voor Veilige Cloud.
Om blijvende effectiviteit te garanderen, plant het team periodieke simulaties waarin bewust een afwijking wordt veroorzaakt. Tijdens deze tests wordt gemeten hoe snel detectie, beslissingsvorming en herstel plaatsvinden en of de maximale testduur van vijftien seconden wordt gerespecteerd. De resultaten worden gebruikt om scripts bij te sturen, documentatie te verbeteren en training te actualiseren. Daarnaast worden rapportages opgesteld die laten zien hoeveel incidenten zijn afgehandeld, hoeveel tijd is besteed aan diagnose en welke systemische oorzaken het meest voorkomen; deze kentallen voeden het continue verbeterproces.
Alle inzichten worden opgeslagen in een kennisbank waarin per incidenttype wordt beschreven welke herstelroute is gevolgd, welke bewijsstukken zijn verzameld en welke stakeholders betrokken waren. Dit maakt nieuwe medewerkers snel inzetbaar en zorgt ervoor dat herstel een herhaalbaar, audit-proof proces blijft. Herstel wordt tenslotte gekoppeld aan change management: zonder afgerond herstel en bijgewerkte documentatie krijgt geen enkel wijzigingsverzoek groen licht, waardoor kwaliteit structureel geborgd blijft. Bovendien wordt elk kwartier een gezamenlijke review gehouden met SOC, servicedesk en privacyofficers om te bepalen of aanvullende preventieve maatregelen nodig zijn. Deze nauwe samenwerking maakt herstel tot een integraal onderdeel van de bredere verdedigingslijn. De uitkomsten worden besproken in het risicocomité zodat management exact weet welke investeringen nodig zijn om toekomstige afwijkingen te voorkomen. Daarmee sluit remediering direct aan op de kwaliteitscyclus die de Nederlandse Baseline voor Veilige Cloud voorschrijft..
Compliance & Frameworks
- CIS M365: Control Windows - Logon display (L1) -
- BIO: 09.02.04 -
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
GPO: Interactive Logon - Don't Display Last User
.DESCRIPTION
Implementeert, monitort en herstelt: GPO: Interactive Logon - Don't Display Last User
.NOTES
Filename: interactive-logon-display-user.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
Workload: gpo
Category: windows-client
#>
#Requires -Version 5.1
[CmdletBinding()]
param()
$ErrorActionPreference = 'Stop'
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Invoke-Implementation - GPO: Interactive Logon - Don't Display Last User" -ForegroundColor Cyan
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
try {
Write-Host "
========================================" -ForegroundColor Cyan
Write-Host "GPO: Interactive Logon - Don't Display Last User - Monitoring" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
# TODO: Implementeer monitoring logica voor GPO: Interactive Logon - Don't Display Last User
Write-Host "[INFO] Monitoring check voor GPO: Interactive Logon - Don't Display Last User" -ForegroundColor Yellow
Write-Host "[OK] Monitoring check completed" -ForegroundColor Green
}
catch {
Write-Error "Monitoring failed: $_"
throw
}
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
#>
[CmdletBinding()]
param()
try {
Write-Host "
========================================" -ForegroundColor Cyan
Write-Host "GPO: Interactive Logon - Don't Display Last User - Remediation" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
# TODO: Implementeer remediation logica voor GPO: Interactive Logon - Don't Display Last User
Write-Host "[INFO] Remediation voor GPO: Interactive Logon - Don't Display Last User" -ForegroundColor Yellow
Write-Host "[OK] Remediation completed" -ForegroundColor Green
}
catch {
Write-Error "Remediation failed: $_"
throw
}
}
Risico zonder implementatie
Risico zonder implementatie
Low: Last logged-on username displayed = username enumeration (attackers know valid usernames - half the attack). Brute-force easier (only need password). Compliance: defense-in-depth. Het risico is laag-medium - username disclosure.
Management Samenvatting
Interactive Logon Don't Display User: Hide last logged-on username on Windows login screen (prevent username enumeration). Attackers must guess username + password (not just password). Defense-in-depth. Activatie: GPO → Security Options → Interactive logon: Don't display last user. Gratis. Verplicht CIS. Implementatie: 1-2 uur. Simple hardening - removes username hint from login.
- Implementatietijd: 2 uur
- FTE required: 0.01 FTE