L1 BIO 09.04.02 ISO A.9.4.2 CIS Windows Benchmark 1.2.2

Account Lockout Duration

📅 2025-10-30
⏱️ 3 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Account lockout duration is een essentiële beveiligingsmaatregel die brute force-aanvallen voorkomt door gebruikersaccounts tijdelijk te blokkeren na meerdere mislukte inlogpogingen. Deze maatregel vormt een fundamentele verdedigingslaag tegen geautomatiseerde aanvallen waarbij aanvallers systematisch proberen wachtwoorden te raden door middel van herhaalde inlogpogingen.

Aanbeveling
IMPLEMENTEER ACCOUNT LOCKOUT DURATION
Risico zonder
High
Risk Score
7/10
Implementatie
1u (tech: 0.5u)
Van toepassing op:
Windows

Zonder account lockout duration kunnen aanvallers onbeperkt wachtwoorden blijven raden zonder enige beperking of vertraging. Dit creëert een kritiek beveiligingsrisico omdat moderne brute force-tools duizenden of zelfs miljoenen wachtwoordcombinaties per minuut kunnen proberen. Wanneer accounts onmiddellijk na een mislukte poging weer beschikbaar zijn, kunnen aanvallers hun aanvallen voortzetten zonder onderbreking, waardoor de kans op succesvolle accountovername aanzienlijk toeneemt. Een lockout duration van minimaal 15 minuten balanceert beveiliging en bruikbaarheid: het verhoogt de kosten voor aanvallers aanzienlijk door vertragingen in te bouwen, terwijl het tegelijkertijd legitieme gebruikers niet permanent blokkeert. Deze balans is essentieel omdat permanente accountblokkering na enkele mislukte pogingen kan leiden tot denial-of-service-aanvallen waarbij aanvallers opzettelijk accounts blokkeren door herhaaldelijk verkeerde wachtwoorden in te voeren. Bovendien helpt een tijdelijk lockout mechanisme bij het detecteren van brute force-aanvallen omdat meerdere mislukte pogingen binnen een korte periode een duidelijk patroon vormen dat kan worden gemonitord en gealarmeerd. Voor organisaties die moeten voldoen aan compliance-frameworks zoals CIS, BIO en ISO 27001, is account lockout duration een verplichte beveiligingscontrole die niet kan worden overgeslagen.

PowerShell Modules Vereist
Primary API: Intune/GPO
Connection: Local beveiligingsbeleid
Required Modules:

Implementatie

Deze maatregel implementeert account lockout duration door de LockoutDuration-instelling te configureren via Local Security Policy of Microsoft Intune. De configuratie stelt een minimale duur in van 15 minuten, wat betekent dat een account na het overschrijden van de lockout threshold gedurende deze periode geblokkeerd blijft. Tijdens deze lockout-periode kan de gebruiker niet inloggen, zelfs niet met het correcte wachtwoord, tenzij een beheerder handmatig het account deblokkeert. Na verloop van de lockout duration wordt het account automatisch weer beschikbaar voor inlogpogingen. Deze configuratie werkt samen met andere account lockout-instellingen zoals de lockout threshold (het aantal mislukte pogingen voordat lockout optreedt) en de lockout reset counter (de tijd voordat de mislukte poging-teller wordt gereset). Samen vormen deze instellingen een effectief verdedigingsmechanisme tegen brute force-aanvallen.

Vereisten

Voordat account lockout duration kan worden geïmplementeerd, moeten organisaties ervoor zorgen dat ze beschikken over de juiste infrastructuur, licenties en beheerrechten. Deze vereisten zijn essentieel voor een succesvolle implementatie en om te voldoen aan beveiligingsbest practices en compliance-standaarden.

De primaire technische vereiste is een Windows-omgeving met Windows Pro of Windows Enterprise-edities. Account lockout duration is een functie die beschikbaar is in alle moderne versies van Windows, inclusief Windows 10 en Windows 11, maar vereist Pro of Enterprise-licenties. Windows Home-edities ondersteunen deze beveiligingsfunctie niet volledig, wat betekent dat organisaties die gebruikmaken van Windows Home moeten upgraden naar Pro of Enterprise voordat account lockout duration kan worden geïmplementeerd. Voor serveromgevingen is Windows Server 2016 of nieuwer vereist, waarbij alle edities (Standard, Datacenter) deze functionaliteit ondersteunen.

Voor het configureren van account lockout duration zijn administratorrechten vereist op de betreffende systemen. Dit betekent dat alleen gebruikers met lokale administratorrechten of domeinbeheerdersrechten de Local Security Policy kunnen wijzigen of Intune-beleid kunnen configureren. Voor organisaties die Group Policy gebruiken, zijn Domain Admin-rechten of rechten voor het bewerken van Group Policy Objects vereist. Voor organisaties die Microsoft Intune gebruiken, zijn Intune Administrator-rechten of Endpoint Security Manager-rechten vereist om account protection-beleid te kunnen configureren. Het is belangrijk om het principe van least privilege toe te passen en alleen de minimaal benodigde rechten te verlenen aan personen die deze configuratie moeten uitvoeren.

Organisaties moeten een gestructureerd proces hebben voor het beheren van account lockouts, inclusief procedures voor het deblokkeren van accounts wanneer legitieme gebruikers per ongeluk hun accounts hebben geblokkeerd. Dit proces moet gedocumenteerd zijn en helpdeskmedewerkers moeten worden getraind in het correct afhandelen van lockout-verzoeken. Daarnaast moeten organisaties overwegen om self-service account unlock-functionaliteit te implementeren wanneer mogelijk, zodat gebruikers hun eigen accounts kunnen deblokkeren na verificatie via alternatieve authenticatiemethoden zoals multi-factor authenticatie.

Voor organisaties die gebruikmaken van Microsoft Intune, is een actief Intune-abonnement vereist met de juiste licenties voor endpoint security management. Intune-beleid voor account protection is beschikbaar in alle Intune-abonnementen, inclusief Microsoft 365 Business Premium en Enterprise Mobility + Security (EMS). Organisaties moeten ervoor zorgen dat alle doelapparaten correct zijn geregistreerd in Intune en dat de Intune Management Extension correct is geïnstalleerd en geconfigureerd voor het toepassen van security policies.

Ten slotte moeten organisaties monitoring- en alerting-capaciteiten hebben om account lockout-gebeurtenissen te kunnen detecteren en te reageren op mogelijke brute force-aanvallen. Dit omvat het configureren van Windows Event Log monitoring voor account lockout-gebeurtenissen, het instellen van alerting voor ongebruikelijke patronen van account lockouts, en het hebben van een proces voor het onderzoeken van verdachte activiteiten. Organisaties moeten ook overwegen om security information and event management (SIEM) oplossingen te gebruiken voor geavanceerde analyse van account lockout-patronen en correlatie met andere beveiligingsgebeurtenissen.

Implementatie

Gebruik PowerShell-script account-lockout-duration.ps1 (functie Invoke-Remediation) – Automatiseert de configuratie van account lockout duration naar 15 minuten.

De implementatie van account lockout duration kan worden uitgevoerd via verschillende methoden, afhankelijk van de infrastructuur en beheerhulpmiddelen die de organisatie gebruikt. De twee primaire methoden zijn configuratie via Local Security Policy voor individuele systemen of via centrale beheeroplossingen zoals Microsoft Intune of Group Policy voor domeinomgevingen. Beide methoden resulteren in dezelfde beveiligingsconfiguratie, maar centrale beheeroplossingen bieden betere schaalbaarheid en consistentie voor grote organisaties.

Voor organisaties die Microsoft Intune gebruiken voor endpoint management, begint het implementatieproces met het navigeren naar de Intune-beheerconsole en het selecteren van Endpoint Security, gevolgd door Account Protection. Maak een nieuw Account Protection-beleid aan of bewerk een bestaand beleid. Selecteer de platformconfiguratie voor Windows 10 en later, en zoek naar de instelling voor Account lockout duration. Stel deze waarde in op minimaal 15 minuten (900 seconden), wat overeenkomt met de CIS Windows Benchmark-aanbeveling. Het is belangrijk om te begrijpen dat deze waarde wordt opgegeven in minuten in de Intune-interface, maar intern wordt opgeslagen als seconden in het Windows-register. Zorg ervoor dat u de juiste waarde invoert om te voorkomen dat de lockout duration te kort of te lang is ingesteld.

Na het configureren van de lockout duration, moet het beleid worden toegewezen aan alle relevante gebruikersgroepen of apparaten. Voor de meeste organisaties betekent dit dat het beleid moet worden toegewezen aan alle gebruikers binnen de organisatie zonder uitzonderingen, omdat account lockout duration een fundamentele beveiligingsmaatregel is die universeel moet worden toegepast. Echter, voor organisaties met specifieke use cases, zoals service accounts of break-glass accounts, kunnen uitzonderingen worden gemaakt, maar dit moet zorgvuldig worden overwogen en gedocumenteerd. Het is belangrijk om te begrijpen dat uitzonderingen het beveiligingsniveau verlagen en alleen moeten worden gemaakt wanneer absoluut noodzakelijk.

Voor organisaties die Group Policy gebruiken in een Active Directory-omgeving, kan account lockout duration worden geconfigureerd via de Group Policy Management Console. Navigeer naar Computer Configuration, Policies, Windows Settings, Security Settings, Account Policies, Account Lockout Policy. Zoek de instelling Account lockout duration en stel deze in op minimaal 15 minuten. Deze configuratie wordt toegepast op alle computers binnen de organisatie-eenheden (OU's) waaraan de Group Policy Object (GPO) is gekoppeld. Het is belangrijk om de GPO te koppelen aan de juiste OU's om ervoor te zorgen dat alle relevante systemen de configuratie ontvangen. Voor organisaties met meerdere domeinen of forests, moet de GPO worden gerepliceerd of opnieuw worden geconfigureerd in elk domein.

Voor individuele systemen of werkgroepomgevingen zonder centrale beheeroplossingen, kan account lockout duration worden geconfigureerd via Local Security Policy. Open de Local Security Policy-editor door secpol.msc uit te voeren vanuit de Run-dialoog of via de Start-menu. Navigeer naar Account Policies, Account Lockout Policy, en dubbelklik op Account lockout duration. Stel de waarde in op minimaal 15 minuten en klik op OK. Deze configuratie wordt onmiddellijk toegepast op het lokale systeem, maar moet handmatig worden herhaald op elk systeem, wat tijdrovend kan zijn voor grote organisaties. Daarom wordt deze methode alleen aanbevolen voor kleine omgevingen of als tijdelijke oplossing totdat centrale beheeroplossingen kunnen worden geïmplementeerd.

Na het configureren en toepassen van de policy, moeten organisaties een validatieproces uitvoeren om te verifiëren dat de instelling correct is toegepast op alle systemen. Dit kan worden gedaan door de registerwaarde te controleren op een representatieve steekproef van systemen. De registerwaarde die moet worden gecontroleerd is HKLM:\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\LockoutDuration, die de waarde 900 (15 minuten in seconden) moet hebben. Voor Intune-gebeheerde apparaten kan compliance-rapportage worden gebruikt om te verifiëren dat alle apparaten de policy hebben ontvangen en correct hebben toegepast. Voor Group Policy-gebeheerde systemen kan de opdracht gpresult worden gebruikt om te verifiëren dat de GPO correct is toegepast.

Het is belangrijk om te begrijpen dat account lockout duration werkt in combinatie met andere account lockout-instellingen. De lockout threshold bepaalt hoeveel mislukte inlogpogingen zijn toegestaan voordat een account wordt geblokkeerd, en de lockout reset counter bepaalt hoe lang de teller van mislukte pogingen actief blijft voordat deze wordt gereset. Deze instellingen moeten samen worden geconfigureerd om een effectief verdedigingsmechanisme te creëren. Een aanbevolen configuratie is: lockout threshold van 5 mislukte pogingen, lockout duration van 15 minuten, en lockout reset counter van 15 minuten. Deze configuratie balanceert beveiliging en bruikbaarheid effectief.

Na implementatie moeten organisaties gebruikers informeren over de nieuwe account lockout-configuratie en wat ze moeten doen als hun account wordt geblokkeerd. Dit omvat het verstrekken van instructies voor het contact opnemen met de helpdesk voor account deblokkering, het uitleggen van de redenen voor account lockout (beveiliging tegen brute force-aanvallen), en het benadrukken van het belang van het gebruik van sterke, unieke wachtwoorden. Organisaties moeten ook overwegen om self-service account unlock-functionaliteit te implementeren wanneer mogelijk, zodat gebruikers hun eigen accounts kunnen deblokkeren na verificatie via alternatieve authenticatiemethoden, wat de belasting op de helpdesk vermindert en de gebruikerservaring verbetert.

Monitoring

Gebruik PowerShell-script account-lockout-duration.ps1 (functie Invoke-Monitoring) – Automatiseert de verificatie dat account lockout duration correct is geconfigureerd op minimaal 15 minuten.

Effectieve monitoring van account lockout duration is essentieel om te waarborgen dat de beveiligingsconfiguratie continu wordt gehandhaafd en dat er geen onbevoegde configuratiewijzigingen plaatsvinden. Monitoring omvat het regelmatig controleren van de lockout duration-instelling op alle systemen, het detecteren van account lockout-gebeurtenissen die kunnen wijzen op brute force-aanvallen, en het verifiëren dat de configuratie correct is toegepast en niet is gewijzigd. Zonder uitgebreide monitoring kunnen organisaties niet garanderen dat hun beveiligingsconfiguratie effectief is en dat ze voldoen aan compliance-vereisten.

De primaire monitoringmethode is het controleren van de registerwaarde HKLM:\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\LockoutDuration op alle beheerde systemen. Deze registerwaarde moet de waarde 900 (15 minuten in seconden) of hoger hebben om aan te geven dat account lockout duration correct is geconfigureerd. Een waarde lager dan 900 of de afwezigheid van deze registerwaarde kan wijzen op een onjuiste configuratie of dat de policy niet correct is toegepast. Organisaties moeten regelmatig, minimaal maandelijks, een controle uitvoeren op een representatieve steekproef van systemen om te verifiëren dat de configuratie correct is gehandhaafd. Voor grote organisaties met duizenden systemen kan dit worden geautomatiseerd met behulp van PowerShell-scripts of configuratie management tools zoals Microsoft Endpoint Configuration Manager.

Voor organisaties die Microsoft Intune gebruiken, kunnen compliance-rapportages worden gebruikt om automatisch te monitoren of alle apparaten de account lockout duration policy correct hebben toegepast. Intune biedt compliance-rapportages die aangeven welke apparaten compliant zijn en welke niet, wat helpt bij het identificeren van apparaten die mogelijk een configuratiewijziging nodig hebben. Organisaties moeten deze rapportages wekelijks reviewen en onmiddellijk actie ondernemen wanneer niet-compliant apparaten worden gedetecteerd. Het is belangrijk om te begrijpen dat zelfs één niet-compliant apparaat een risico vormt voor de gehele organisatie, omdat dit kan leiden tot succesvolle brute force-aanvallen op dat specifieke systeem.

Windows Event Log monitoring is essentieel voor het detecteren van account lockout-gebeurtenissen die kunnen wijzen op brute force-aanvallen. Account lockout-gebeurtenissen worden geregistreerd in het Windows Security Event Log met event ID 4740 voor account lockouts. Organisaties moeten deze gebeurtenissen monitoren en alerting configureren voor ongebruikelijke patronen, zoals meerdere account lockouts binnen een korte periode, lockouts voor meerdere accounts van dezelfde gebruiker, of lockouts voor service accounts die normaal gesproken niet zouden moeten worden geblokkeerd. Deze patronen kunnen wijzen op geautomatiseerde brute force-aanvallen die onmiddellijke aandacht vereisen.

Organisaties moeten een honderd procent compliance-doelstelling hanteren voor account lockout duration, omdat deze maatregel een fundamentele beveiligingscontrole is die universeel moet worden toegepast. Elke afwijking van de vereiste configuratie moet worden behandeld als een beveiligingsincident dat onmiddellijke aandacht vereist. Dit betekent dat organisaties een proces moeten hebben voor het snel identificeren en corrigeren van niet-compliant systemen, waarbij de normale change management procedures kunnen worden versneld voor kritieke beveiligingsconfiguraties. Automatische remediatie kan worden geïmplementeerd met behulp van Intune compliance policies of Group Policy preferences om ervoor te zorgen dat de configuratie automatisch wordt hersteld wanneer wijzigingen worden gedetecteerd.

Naast het monitoren van de configuratie-instellingen moeten organisaties ook controleren of er wijzigingen zijn aangebracht in de Intune- of Group Policy-configuraties die van invloed kunnen zijn op de account lockout duration-instelling. Dit omvat het reviewen van wijzigingen in beleidsconfiguraties, het verifiëren dat nieuwe systemen automatisch de juiste configuratie ontvangen wanneer ze worden toegevoegd aan de organisatie, en het controleren dat bestaande systemen de configuratie behouden na updates of herconfiguraties. Organisaties moeten een wijzigingslogboek bijhouden van alle configuratiewijzigingen die betrekking hebben op account lockout policies, zodat eventuele problemen kunnen worden getraceerd en gecorrigeerd.

Voor geavanceerde monitoring en analyse kunnen organisaties overwegen om security information and event management (SIEM) oplossingen te gebruiken voor correlatie van account lockout-gebeurtenissen met andere beveiligingsgebeurtenissen. SIEM-oplossingen kunnen helpen bij het identificeren van complexe aanvallen waarbij account lockouts worden gebruikt als onderdeel van een bredere aanvalscampagne, zoals credential stuffing-aanvallen waarbij gestolen credentials worden gebruikt om toegang te krijgen tot meerdere accounts. Deze oplossingen kunnen ook helpen bij het identificeren van insider threats waarbij legitieme gebruikersaccounts worden misbruikt voor ongeautoriseerde toegang.

Alle monitoringactiviteiten moeten worden gedocumenteerd voor auditdoeleinden, inclusief de resultaten van compliance-controles, eventuele gedetecteerde problemen, en de genomen corrigerende maatregelen. Deze documentatie is essentieel voor het aantonen van due diligence bij compliance-audits en voor het verifiëren dat de organisatie proactief werkt aan het handhaven van beveiligingsconfiguraties. Organisaties moeten deze documentatie minimaal zeven jaar bewaren om te voldoen aan compliance-vereisten zoals AVG en ISO 27001.

Compliance en Auditing

Account lockout duration is essentieel voor het voldoen aan verschillende compliance-frameworks en regelgevingsvereisten die van toepassing zijn op Nederlandse organisaties, met name in de publieke sector en gereguleerde industrieën. Deze maatregel helpt organisaties te voldoen aan vereisten voor authenticatiebeveiliging, bescherming tegen brute force-aanvallen, en accountbeveiliging zoals gespecificeerd in internationale standaarden en Nederlandse wetgeving. Zonder account lockout duration kunnen organisaties niet volledig voldoen aan de vereisten van frameworks zoals CIS Windows Benchmark, BIO, ISO 27001 en sectorspecifieke regelgeving.

De CIS Windows Benchmark controle 1.2.2 vereist dat organisaties account lockout duration configureren op minimaal 15 minuten. Deze controle is geclassificeerd als Level 1, wat betekent dat deze wordt aanbevolen voor alle organisaties en wordt beschouwd als een fundamentele beveiligingscontrole. De controle specificeert dat organisaties een lockout duration moeten implementeren die lang genoeg is om brute force-aanvallen effectief te vertragen, maar kort genoeg om legitieme gebruikers niet onnodig te hinderen. Een lockout duration van 15 minuten balanceert deze vereisten effectief en wordt algemeen beschouwd als een best practice in de industrie. Het niet implementeren van account lockout duration resulteert in een failed audit finding voor deze controle, wat kan leiden tot compliance-problemen bij klanten of partners die CIS Windows Benchmark-compliance vereisen.

De Baseline Informatiebeveiliging Overheid (BIO) specificeert in Thema 09.04 dat organisaties authenticatiemechanismen moeten implementeren die bescherming bieden tegen brute force-aanvallen. Specifiek vereist BIO controle 09.04.02 dat organisaties account lockout-mechanismen implementeren die accounts tijdelijk blokkeren na meerdere mislukte authenticatiepogingen. Voor Nederlandse overheidsorganisaties is de BIO-baseline verplicht, en het niet voldoen aan deze vereisten kan leiden tot beveiligingsincidenten en compliance-problemen. Account lockout duration is een essentieel onderdeel van deze vereiste, omdat het de duur bepaalt waarin een account geblokkeerd blijft na het overschrijden van de lockout threshold. Zonder een adequate lockout duration kunnen aanvallers hun brute force-aanvallen voortzetten zonder significante vertraging, waardoor de effectiviteit van het lockout-mechanisme wordt verminderd.

ISO 27001 controle A.9.4.2 richt zich op het beheren van gebruikersauthenticatie en vereist dat organisaties passende maatregelen implementeren om te voorkomen dat authenticatiesystemen worden misbruikt. Deze controle omvat het implementeren van account lockout-mechanismen die bescherming bieden tegen brute force-aanvallen en andere vormen van authenticatiemisbruik. Account lockout duration is een essentieel onderdeel van deze controle, omdat het bepaalt hoe lang een account geblokkeerd blijft na mislukte authenticatiepogingen. Een adequate lockout duration verhoogt de kosten voor aanvallers aanzienlijk door vertragingen in te bouwen, waardoor de effectiviteit van brute force-aanvallen wordt verminderd. Organisaties moeten kunnen aantonen dat ze account lockout duration hebben geïmplementeerd en dat deze configuratie regelmatig wordt gemonitord en gehandhaafd. Het niet implementeren van account lockout duration kan resulteren in een failed audit finding voor ISO 27001 certificering, wat kan leiden tot verlies van certificering en reputatieschade.

Naast deze specifieke compliance-frameworks zijn er ook sectorspecifieke vereisten die account lockout duration kunnen vereisen. Financiële instellingen die onder toezicht staan van De Nederlandsche Bank (DNB) of de Autoriteit Financiële Markten (AFM) moeten vaak kunnen aantonen dat ze passende maatregelen hebben geïmplementeerd om authenticatiesystemen te beschermen tegen misbruik. Gezondheidszorgorganisaties die patiëntgegevens verwerken moeten voldoen aan de Wet op de geneeskundige behandelingsovereenkomst (WGBO) en moeten kunnen aantonen dat authenticatiesystemen worden beschermd tegen ongeautoriseerde toegang. Organisaties in kritieke infrastructuren moeten vaak voldoen aan aanvullende beveiligingsvereisten die account lockout duration vereisen voor compliance.

Voor auditdoeleinden moeten organisaties kunnen aantonen dat account lockout duration correct is geïmplementeerd en wordt beheerd. Dit omvat het documenteren van de lockout duration-configuratie, het bijhouden van compliance-controles, het loggen van account lockout-gebeurtenissen, en het regelmatig reviewen van de configuratie om te verifiëren dat deze nog steeds voldoet aan compliance-vereisten. Organisaties moeten ook kunnen aantonen dat er procedures zijn voor het deblokkeren van accounts wanneer legitieme gebruikers per ongeluk hun accounts hebben geblokkeerd, en dat deze procedures regelmatig worden getest en geëvalueerd. Deze documentatie is essentieel voor het succesvol doorstaan van compliance-audits en voor het aantonen van due diligence bij beveiligingsincidenten.

Remediatie

Gebruik PowerShell-script account-lockout-duration.ps1 (functie Invoke-Remediation) – Automatiseert de configuratie van account lockout duration naar 15 minuten voor niet-compliant systemen.

Remediatie van account lockout duration omvat het configureren van de lockout duration-instelling voor systemen waar deze momenteel niet correct is geconfigureerd, of het corrigeren van configuratiefouten in bestaande implementaties. Het remediatieproces moet snel worden uitgevoerd om het risico op brute force-aanvallen te minimaliseren, omdat elke dag dat account lockout duration niet correct is geconfigureerd, het risico op succesvolle accountovername verhoogt.

Voor organisaties die Microsoft Intune gebruiken, begint het remediatieproces met het identificeren van niet-compliant apparaten via compliance-rapportages. Wanneer niet-compliant apparaten worden gedetecteerd, moet onmiddellijk actie worden ondernomen om de account lockout duration policy toe te passen. Dit kan worden gedaan door de policy opnieuw toe te wijzen aan de betreffende apparaten, of door gebruikers te dwingen de policy opnieuw te synchroniseren via Intune. In sommige gevallen kan het nodig zijn om apparaten opnieuw op te starten om ervoor te zorgen dat de registerwijzigingen correct worden toegepast. Voor apparaten die persistent niet-compliant blijven ondanks herhaalde policy-toewijzingen, kan handmatige interventie nodig zijn om de root cause te identificeren en te corrigeren.

Voor organisaties die Group Policy gebruiken, kan remediatie worden uitgevoerd door de Group Policy Object (GPO) opnieuw toe te passen op de betreffende organisatie-eenheden. Dit kan worden gedaan door gebruikers te dwingen een Group Policy update uit te voeren via de opdracht gpupdate /force, of door apparaten opnieuw op te starten om ervoor te zorgen dat de policy correct wordt toegepast. Het is belangrijk om te verifiëren dat de policy correct is geconfigureerd voordat deze opnieuw wordt toegepast, om te voorkomen dat dezelfde configuratiefout opnieuw optreedt. Voor systemen die persistent niet-compliant blijven, kan het nodig zijn om de Group Policy-resultaten te onderzoeken met behulp van de opdracht gpresult om te identificeren waarom de policy niet wordt toegepast.

In gevallen waar de policy niet correct kan worden toegepast via Intune of Group Policy, kan handmatige remediatie nodig zijn door direct de registerwaarde te wijzigen op de betreffende systemen. Dit moet worden gedaan met voorzichtigheid en alleen wanneer automatische remediatie niet mogelijk is, omdat handmatige wijzigingen kunnen worden overschreven door policy-updates. De registerwaarde HKLM:\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\LockoutDuration moet worden ingesteld op 900 (15 minuten in seconden) om account lockout duration correct te configureren. Na handmatige wijziging moet de policy-configuratie worden gecorrigeerd om te voorkomen dat het probleem opnieuw optreedt. Het is belangrijk om te documenteren waarom handmatige remediatie nodig was en welke stappen zijn ondernomen om de root cause te corrigeren.

Voor systemen waar account lockout duration niet is geconfigureerd of is ingesteld op een waarde lager dan 15 minuten, moet onmiddellijk remediatie worden uitgevoerd. Het risico op brute force-aanvallen is significant wanneer lockout duration niet correct is geconfigureerd, omdat aanvallers hun aanvallen kunnen voortzetten zonder significante vertraging. Organisaties moeten een prioriteringsschema hebben voor remediatie, waarbij systemen met hoge beveiligingsvereisten of systemen die toegang hebben tot gevoelige gegevens prioriteit krijgen. Systemen die direct toegankelijk zijn vanaf het internet moeten ook hoge prioriteit krijgen voor remediatie, omdat deze systemen het meest waarschijnlijk doelwit zijn van brute force-aanvallen.

Na remediatie moeten organisaties een validatieproces uitvoeren om te verifiëren dat account lockout duration correct is geconfigureerd op alle systemen. Dit omvat het controleren van de registerwaarde op een representatieve steekproef van systemen, het verifiëren dat de policy correct is toegepast via Intune compliance-rapportages of Group Policy-resultaten, en het testen van het lockout-mechanisme door een testaccount te blokkeren en te verifiëren dat het account gedurende de juiste periode geblokkeerd blijft. Deze validatie moet worden gedocumenteerd voor auditdoeleinden en moet worden herhaald regelmatig om te verifiëren dat de configuratie continu wordt gehandhaafd.

Om te voorkomen dat het probleem opnieuw optreedt, moeten organisaties de root cause van de configuratiefout identificeren en corrigerende maatregelen implementeren. Dit kan het corrigeren van policy-configuraties omvatten, het verbeteren van change management processen om te voorkomen dat onbevoegde wijzigingen worden doorgevoerd, of het implementeren van aanvullende monitoring om configuratiewijzigingen sneller te detecteren. Organisaties moeten ook overwegen om automatische remediatie te implementeren met behulp van Intune compliance policies of Group Policy preferences om ervoor te zorgen dat de configuratie automatisch wordt hersteld wanneer wijzigingen worden gedetecteerd. Deze automatische remediatie helpt bij het handhaven van consistente beveiligingsconfiguraties en vermindert de belasting op IT-personeel.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Intune Account Policy: Account Lockout Duration .DESCRIPTION CIS - Account lockout duration moet minimaal 15 minuten zijn. .NOTES Filename: account-lockout-duration.ps1|Author: Nederlandse Baseline voor Veilige Cloud|SecurityPolicy: LockoutDuration|Expected: >= 15 minuten #> #Requires -Version 5.1 #Requires -RunAsAdministrator [CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert) $ErrorActionPreference = 'Stop'; $PolicyName = "LockoutDuration"; $ExpectedMinutes = 15 function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) } function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "account-lockout-duration.ps1"; PolicyName = $PolicyName; IsCompliant = $false; CurrentValue = $null; ExpectedValue = "$ExpectedMinutes minuten"; Details = @() }; function Invoke-Revert { Write-Host "Revert via Group Policy" } try { $secedit = secedit /export /cfg "$env:TEMP\secedit.txt" 2>&1; $content = Get-Content "$env:TEMP\secedit.txt"; $line = $content | Where-Object { $_ -match "^$PolicyName\s*=\s*(.+)" }; if ($line -match "=\s*(\d+)") { $r.CurrentValue = $matches[1]; if ([int]$r.CurrentValue -ge $ExpectedMinutes) { $r.IsCompliant = $true; $r.Details += "Lockout duration: $($r.CurrentValue) minuten" }else { $r.Details += "Lockout duration te kort: $($r.CurrentValue) minuten" } }else { $r.Details += "Niet geconfigureerd" } }catch { $r.Details += "Error: $($_.Exception.Message)" }finally { Remove-Item "$env:TEMP\secedit.txt" -ErrorAction SilentlyContinue }; return $r } function Invoke-Remediation { $tempFile = "$env:TEMP\secedit_config.inf"; function Invoke-Revert { Write-Host "Revert via Group Policy" } try { $config = "[Unicode]`r`nUnicode=yes`r`n[Version]`r`nsignature=`"`$CHICAGO`$`"`r`nRevision=1`r`n[System Access]`r`n$PolicyName = $ExpectedMinutes`r`n"; Set-Content -Path $tempFile -Value $config -Encoding Unicode; secedit /configure /db "$env:TEMP\secedit.sdb" /cfg $tempFile /areas SECURITYPOLICY | Out-Null; Write-Host "Account lockout duration ingesteld op $ExpectedMinutes minuten" -ForegroundColor Green }finally { Remove-Item $tempFile -ErrorAction SilentlyContinue; Remove-Item "$env:TEMP\secedit.sdb" -ErrorAction SilentlyContinue } } function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r } function Invoke-Revert { Write-Host "Revert via Group Policy" } try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }

Risico zonder implementatie

Risico zonder implementatie
High: Wanneer account lockout duration niet wordt geïmplementeerd, worden accounts onmiddellijk automatisch gedeblokkeerd na mislukte inlogpogingen, waardoor brute force-aanvallen kunnen worden voortgezet zonder onderbreking. Dit creëert een kritiek beveiligingsrisico omdat moderne brute force-tools duizenden of zelfs miljoenen wachtwoordcombinaties per minuut kunnen proberen wanneer er geen vertraging is ingebouwd. Zonder lockout duration kunnen aanvallers systematisch wachtwoorden blijven raden totdat ze succesvol zijn, wat de kans op accountovername aanzienlijk verhoogt. Account lockout duration vertraagt deze aanvallen effectief door vertragingen in te bouwen die de kosten voor aanvallers verhogen en de effectiviteit van brute force-aanvallen verminderen. Voor organisaties die moeten voldoen aan compliance-frameworks zoals CIS Windows Benchmark en BIO 09.04, is account lockout duration een verplichte beveiligingscontrole. Het niet implementeren van deze maatregel resulteert in failed audit findings en kan leiden tot compliance-problemen bij klanten of partners. Het risico is hoog omdat brute force-aanvallen een van de meest voorkomende methoden zijn voor accountovername, en zonder adequate bescherming zijn organisaties kwetsbaar voor deze aanvallen.

Management Samenvatting

Account Lockout Duration is een essentiële beveiligingsmaatregel die accounts tijdelijk blokkeert na meerdere mislukte inlogpogingen. Configureer een minimale duur van 15 tot 30 minuten, wat overeenkomt met de CIS-aanbeveling en een effectieve balans biedt tussen beveiliging en helpdeskbelasting. Na het overschrijden van de lockout threshold wordt het account gedurende de geconfigureerde periode geblokkeerd, wat brute force-aanvallen effectief vertraagt door vertragingen in te bouwen. Activatie kan worden uitgevoerd via Microsoft Intune door te navigeren naar Endpoint Security, Account Protection, en de Lockout duration in te stellen op 15 tot 30 minuten. Deze maatregel is kosteloos te implementeren en vereist geen extra licenties. Account lockout duration is verplicht voor compliance met CIS Windows Benchmark controle 1.2.2 en BIO 09.04.02. Implementatie duurt 30 tot 60 minuten en omvat het configureren van de policy via Intune of Group Policy, het toewijzen aan alle gebruikers, en het opzetten van helpdeskprocedures voor het deblokkeren van accounts wanneer legitieme gebruikers per ongeluk hun accounts hebben geblokkeerd. Deze maatregel vormt een fundamentele verdediging tegen brute force-aanvallen door tijdgebaseerde accountblokkering te implementeren.