š¼ Management Samenvatting
De account lockout reset counter is een essentiƫle beveiligingsinstelling die bepaalt na hoeveel tijd de teller voor mislukte aanmeldpogingen wordt gereset. Deze maatregel voorkomt dat legitieme gebruikers permanent worden geblokkeerd door onschuldige typefouten en helpt organisaties onderscheid te maken tussen onbedoelde invoerfouten en daadwerkelijke brute-force aanvallen. Een correct geconfigureerde reset counter verbetert zowel de beveiliging als de gebruiksvriendelijkheid van het authenticatiesysteem.
Aanbeveling
IMPLEMENTEER COUNTER RESET
Risico zonder
Medium
Risk Score
5/10
Implementatie
1u (tech: 0.5u)
Van toepassing op:
ā Windows
Zonder een reset counter voor account lockouts kunnen mislukte aanmeldpogingen onbeperkt accumuleren, wat leidt tot permanente accountblokkades zelfs wanneer deze pogingen verspreid zijn over een lange periode. Dit creƫert aanzienlijke gebruiksvriendelijkheidsproblemen waarbij legitieme gebruikers die per ongeluk een verkeerd wachtwoord intypen dagen later alsnog worden geblokkeerd wanneer ze opnieuw een typefout maken. De reset counter lost dit op door mislukte pogingen automatisch te wissen na een bepaalde tijdsperiode, waardoor gebruikers een nieuwe kans krijgen zonder dat de beveiliging wordt aangetast. Deze aanpak helpt organisaties onderscheid te maken tussen onschuldige typefouten die verspreid zijn over tijd en gecoƶrdineerde brute-force aanvallen waarbij meerdere mislukte pogingen binnen korte tijd plaatsvinden. Een reset periode van minimaal 15 minuten is de industrie standaard omdat dit voldoende tijd biedt om brute-force aanvallen te detecteren en te blokkeren, terwijl legitieme gebruikers niet onnodig worden gehinderd. Deze balans tussen beveiliging en gebruiksvriendelijkheid is essentieel voor moderne authenticatiesystemen in Nederlandse organisaties waar productiviteit en beveiliging beide prioriteit hebben.
PowerShell Modules Vereist
Primary API: Intune/GPO
Connection:
Required Modules:
Connection:
Local beveiligingsbeleidRequired Modules:
Implementatie
Deze maatregel configureert de ResetLockoutCount instelling op minimaal 15 minuten, wat betekent dat de teller voor mislukte aanmeldpogingen automatisch wordt gereset naar nul na deze periode. Wanneer een gebruiker een verkeerd wachtwoord invoert, wordt de failed login attempts counter verhoogd. Als deze counter de geconfigureerde account lockout threshold bereikt, wordt het account geblokkeerd. De reset counter zorgt ervoor dat deze teller na 15 minuten automatisch terugkeert naar nul, waardoor gebruikers opnieuw kunnen proberen in te loggen zonder dat eerdere mislukte pogingen nog meetellen. Deze functionaliteit werkt samen met de account lockout duration (hoe lang een account geblokkeerd blijft) en de account lockout threshold (na hoeveel mislukte pogingen een account wordt geblokkeerd) om een complete account lockout policy te vormen die zowel beveiliging als gebruiksvriendelijkheid waarborgt.
Vereisten
Voordat u de account lockout reset counter configureert, moet u ervoor zorgen dat uw organisatie beschikt over de juiste infrastructuur en licenties. Deze vereisten zijn essentieel voor een succesvolle implementatie en om te voldoen aan beveiligingsstandaarden en best practices.
De primaire technische vereiste is dat alle Windows-apparaten waarop deze policy wordt toegepast beschikken over Windows Pro of Windows Enterprise editie. De account lockout reset counter functionaliteit is niet beschikbaar op Windows Home editie, wat betekent dat organisaties die gebruikmaken van Windows Home deze beveiligingsmaatregel niet kunnen implementeren. Voor productieomgevingen in Nederlandse organisaties wordt daarom altijd aanbevolen om Windows Pro of Enterprise te gebruiken, niet alleen voor deze maatregel maar ook voor andere geavanceerde beveiligingsfuncties zoals BitLocker encryptie, Group Policy management en uitgebreide audit logging.
Voor implementatie via Microsoft Intune is een geldige Intune licentie vereist voor alle apparaten waarop de policy wordt toegepast. Dit kan een standalone Intune licentie zijn of een licentie die is inbegrepen in Microsoft 365 Business Premium, Microsoft 365 E3, Microsoft 365 E5, of Enterprise Mobility + Security (EMS) suites. Organisaties moeten verifiƫren dat alle doelapparaten correct zijn ingeschreven in Intune en dat de Intune MDM autoriteit correct is geconfigureerd. Apparaten die niet correct zijn ingeschreven of waarvan de licentie is verlopen, zullen de policy niet ontvangen, wat kan leiden tot inconsistente beveiligingsconfiguraties binnen de organisatie.
Voor implementatie via Group Policy Objects (GPO) in een on-premises Active Directory omgeving is een Windows Server met Active Directory Domain Services (AD DS) vereist. De domain controllers moeten minimaal Windows Server 2012 R2 draaien, hoewel Windows Server 2016 of hoger wordt aanbevolen voor betere beveiliging en ondersteuning. Alle clientapparaten moeten lid zijn van het Active Directory domein en moeten verbonden zijn met het netwerk om de GPO-instellingen te ontvangen. Voor hybride omgevingen waarbij zowel Intune als GPO worden gebruikt, moet er aandacht worden besteed aan policy conflicts en prioritering om ervoor te zorgen dat de juiste instellingen worden toegepast.
Organisaties moeten beschikken over beheerrechten op de apparaten waarop deze policy wordt geĆÆmplementeerd. Voor Intune betekent dit dat de apparaten moeten zijn ingeschreven met een management profile en dat de organisatie de juiste Intune rollen heeft toegewezen aan beheerders. Voor GPO betekent dit dat beheerders lid moeten zijn van de Domain Admins groep of specifieke GPO management rechten moeten hebben. Zonder deze rechten kunnen beheerders de policy niet configureren of implementeren, wat kan leiden tot beveiligingsgaten in de organisatie.
Ten slotte moeten organisaties een duidelijk proces hebben voor het testen van account lockout policies voordat ze in productie worden geĆÆmplementeerd. Dit omvat het testen van de reset counter functionaliteit in een testomgeving met representatieve gebruikersscenario's om ervoor te zorgen dat de configuratie geen onbedoelde gevolgen heeft voor de gebruikerservaring. Organisaties moeten ook procedures hebben voor het monitoren van account lockout events en het reageren op gebruikers die per ongeluk zijn geblokkeerd, zodat de beveiligingsmaatregel effectief kan worden geĆÆmplementeerd zonder de productiviteit onnodig te beĆÆnvloeden.
Implementatie
De implementatie van de account lockout reset counter kan worden uitgevoerd via verschillende methoden, afhankelijk van de infrastructuur en beheertools die uw organisatie gebruikt. De meest voorkomende implementatiemethoden zijn Microsoft Intune voor cloud-based device management, Group Policy Objects (GPO) voor on-premises Active Directory omgevingen, en Local Security Policy voor individuele apparaten of testomgevingen. Elke methode heeft specifieke stappen en overwegingen die moeten worden gevolgd om ervoor te zorgen dat de policy correct wordt geconfigureerd en toegepast op alle doelapparaten.
**METHODE 1: Implementatie via Microsoft Intune (Aanbevolen voor cloud-first organisaties)**
Voor organisaties die Microsoft Intune gebruiken voor device management, kan de account lockout reset counter worden geconfigureerd via Endpoint Security policies. Log in op de Microsoft Endpoint Manager admin center en navigeer naar Endpoint Security ā Account Protection. Maak een nieuwe Account Protection policy aan of bewerk een bestaande policy. Selecteer de policy template die geschikt is voor uw Windows versie (bijvoorbeeld Windows 10 en later). In de policy configuratie, zoek naar de Account Lockout sectie en configureer de 'Reset account lockout counter after' instelling op minimaal 15 minuten (900 seconden). Het is belangrijk om deze waarde in seconden in te voeren, dus 15 minuten komt overeen met 900 seconden. Configureer ook de gerelateerde account lockout instellingen zoals de account lockout threshold (bijvoorbeeld 5 mislukte pogingen) en de account lockout duration (bijvoorbeeld 30 minuten) om een complete account lockout policy te vormen. Wijs de policy toe aan de juiste device groups of user groups en configureer de assignment filters indien nodig. Na het opslaan en toewijzen van de policy, zullen de instellingen binnen enkele minuten tot uren worden toegepast op de doelapparaten, afhankelijk van wanneer de apparaten de volgende keer verbinding maken met Intune.
**METHODE 2: Implementatie via Group Policy Objects (Voor on-premises Active Directory)**
Voor organisaties met een on-premises Active Directory omgeving kan de account lockout reset counter worden geconfigureerd via Group Policy Management Console (GPMC). Open de Group Policy Management Console en navigeer naar de gewenste Organizational Unit (OU) of maak een nieuwe GPO aan. Klik met de rechtermuisknop op de GPO en selecteer Edit om de Group Policy Management Editor te openen. Navigeer naar Computer Configuration ā Policies ā Windows Settings ā Security Settings ā Account Policies ā Account Lockout Policy. Dubbelklik op 'Reset account lockout counter after' en configureer de waarde op minimaal 15 minuten. Het is belangrijk om te weten dat deze instelling wordt weergegeven in minuten in de GPO interface, dus voer 15 of hoger in. Na het configureren van de instelling, sluit u de Group Policy Management Editor en koppelt u de GPO aan de juiste Organizational Units waar de policy moet worden toegepast. De policy wordt automatisch toegepast op alle computers in de gekoppelde OUs tijdens de volgende Group Policy refresh cyclus, wat standaard elke 90-120 minuten plaatsvindt, of onmiddellijk wanneer u 'gpupdate /force' uitvoert op de clientapparaten.
**METHODE 3: Implementatie via Local Security Policy (Voor individuele apparaten of testomgevingen)**
Voor individuele apparaten of testomgevingen kan de account lockout reset counter worden geconfigureerd via de Local Security Policy editor. Open de Local Security Policy door te zoeken naar 'Local Security Policy' in het Start menu of door 'secpol.msc' uit te voeren in de Run dialog (Windows + R). Navigeer naar Account Policies ā Account Lockout Policy in de linker navigatie. Dubbelklik op 'Reset account lockout counter after' in de rechter paneel. Configureer de waarde op minimaal 15 minuten en klik op OK. De instelling wordt onmiddellijk toegepast op het lokale apparaat. Deze methode is vooral nuttig voor het testen van de configuratie voordat deze wordt geĆÆmplementeerd via Intune of GPO, of voor apparaten die niet worden beheerd door een centrale management tool.
**VERIFICATIE EN TESTING**
Na implementatie is het essentieel om te verifiĆ«ren dat de policy correct is toegepast. Voer op een testapparaat de opdracht 'secedit /export /cfg C:\temp\secpol.cfg' uit om de huidige security policy instellingen te exporteren. Open het geĆ«xporteerde bestand en zoek naar 'ResetLockoutCount' om te verifiĆ«ren dat de waarde is ingesteld op 15 (minuten) of hoger. Alternatief kunt u de opdracht 'net accounts' uitvoeren in een Command Prompt met administrator rechten om de huidige account lockout instellingen te bekijken. Test de functionaliteit door opzettelijk meerdere verkeerde wachtwoorden in te voeren (zonder de lockout threshold te bereiken) en wacht vervolgens 15 minuten om te verifiĆ«ren dat de counter wordt gereset. Deze tests moeten worden uitgevoerd in een gecontroleerde testomgeving voordat de policy wordt geĆÆmplementeerd in productie om te voorkomen dat gebruikers onbedoeld worden geblokkeerd tijdens het testen.
**BEST PRACTICES EN AANDACHTSPUNTEN**
Bij het implementeren van de account lockout reset counter zijn er verschillende best practices die moeten worden gevolgd. Configureer altijd de reset counter in combinatie met de account lockout threshold en account lockout duration om een gebalanceerde account lockout policy te creĆ«ren. De reset counter moet altijd gelijk zijn aan of langer dan de account lockout duration om te voorkomen dat gebruikers onmiddellijk na het einde van een lockout opnieuw kunnen proberen in te loggen met verkeerde credentials. Communiceer proactief met gebruikers over de nieuwe account lockout policy, vooral als deze wordt geĆÆmplementeerd in een omgeving waar deze policy nog niet actief was. Monitor account lockout events via Windows Event Logs (Event ID 4740 voor account lockouts) om te identificeren of er ongebruikelijke patronen zijn die kunnen wijzen op beveiligingsincidenten of configuratieproblemen. Documenteer de implementatie en configureer monitoring alerts voor account lockout events zodat beveiligingsteams snel kunnen reageren op potentiĆ«le brute-force aanvallen of configuratieproblemen.
Monitoring
Gebruik PowerShell-script account-lockout-reset-counter.ps1 (functie Invoke-Monitoring) ā Automatiseert de verificatie van de account lockout reset counter configuratie en controleert of de instelling correct is toegepast op alle doelapparaten.
Effectieve monitoring van de account lockout reset counter is essentieel om te waarborgen dat de beveiligingsinstelling correct is geconfigureerd en actief blijft op alle apparaten binnen de organisatie. Monitoring omvat het regelmatig verifiƫren van de configuratie-instellingen, het detecteren van configuratiedrift waarbij instellingen onbedoeld worden gewijzigd, het monitoren van account lockout events om beveiligingsincidenten te identificeren, en het waarborgen dat de policy consistent wordt toegepast op alle doelapparaten. Zonder uitgebreide monitoring kunnen organisaties niet garanderen dat hun account lockout policies effectief zijn en dat ze voldoen aan compliance-vereisten.
De basis van monitoring wordt gevormd door regelmatige verificatie van de configuratie-instellingen op doelapparaten. Organisaties moeten maandelijks of kwartaal de account lockout reset counter instelling verifiĆ«ren op een representatieve steekproef van apparaten. Dit kan worden gedaan via de secedit opdracht door 'secedit /export /cfg C:\temp\secpol.cfg' uit te voeren op elk apparaat en vervolgens het geĆ«xporteerde configuratiebestand te analyseren. Zoek naar de regel 'ResetLockoutCount' en verifieer dat de waarde is ingesteld op 15 (minuten) of hoger. Alternatief kunnen organisaties gebruikmaken van geautomatiseerde monitoring scripts die deze verificatie uitvoeren op alle apparaten en rapporten genereren over apparaten waar de instelling niet correct is geconfigureerd. Deze scripts kunnen worden geĆÆntegreerd in bestaande monitoring tools zoals Microsoft Endpoint Manager, System Center Configuration Manager (SCCM), of custom monitoring oplossingen.
Voor organisaties die Microsoft Intune gebruiken, biedt de Intune reporting functionaliteit inzicht in de compliance status van policies. Navigeer naar Microsoft Endpoint Manager admin center ā Devices ā Monitor ā Policy compliance om te zien welke apparaten compliant zijn met de account lockout reset counter policy en welke apparaten niet-compliant zijn. Apparaten die niet-compliant zijn moeten worden onderzocht om te identificeren waarom de policy niet correct is toegepast. Mogelijke oorzaken zijn: apparaten die niet correct zijn ingeschreven in Intune, conflicterende policies die de instelling overschrijven, of handmatige wijzigingen aan de Local Security Policy die de Intune policy overschrijven. Organisaties moeten een proces hebben voor het corrigeren van niet-compliant apparaten en voor het voorkomen van toekomstige configuratiedrift.
Windows Event Logs bieden waardevolle informatie over account lockout events die kunnen worden gebruikt om de effectiviteit van de account lockout reset counter te monitoren. Event ID 4740 wordt gegenereerd wanneer een account wordt geblokkeerd, en bevat informatie over het account, de tijd van de lockout, en het IP-adres van waar de mislukte pogingen vandaan kwamen. Door deze events te monitoren kunnen organisaties patronen identificeren die kunnen wijzen op brute-force aanvallen, zoals meerdere lockouts van hetzelfde account binnen korte tijd, of lockouts van meerdere accounts vanaf hetzelfde IP-adres. Organisaties moeten Azure Sentinel, Microsoft Defender for Identity, of andere Security Information and Event Management (SIEM) tools configureren om deze events te verzamelen en te analyseren. Configureer alert rules die waarschuwingen genereren wanneer er ongebruikelijke patronen worden gedetecteerd, zoals meer dan 10 account lockouts binnen een uur, of lockouts van privileged accounts zoals administrator accounts.
Configuratiedrift monitoring is essentieel om te waarborgen dat de account lockout reset counter instelling niet onbedoeld wordt gewijzigd. Configuratiedrift kan optreden wanneer beheerders handmatig wijzigingen aanbrengen aan de Local Security Policy, wanneer conflicterende policies worden geĆÆmplementeerd, of wanneer software-installaties of updates de security policy instellingen wijzigen. Organisaties moeten geautomatiseerde tools gebruiken die regelmatig de configuratie verifiĆ«ren en alerts genereren wanneer wijzigingen worden gedetecteerd. Microsoft Endpoint Manager biedt compliance policies die kunnen worden gebruikt om configuratiedrift te detecteren en automatisch te corrigeren door de policy opnieuw toe te passen wanneer wijzigingen worden gedetecteerd. Voor on-premises omgevingen kunnen organisaties Group Policy Preferences of custom scripts gebruiken om configuratiedrift te detecteren en te corrigeren.
Organisaties moeten regelmatig (minimaal kwartaal) reviews uitvoeren van account lockout events om te identificeren of de reset counter configuratie effectief is. Analyseer de timing tussen mislukte aanmeldpogingen en account lockouts om te verifiƫren dat de reset counter correct functioneert. Als gebruikers worden geblokkeerd door mislukte pogingen die verspreid zijn over een periode langer dan de reset counter, kan dit wijzen op een configuratieprobleem waarbij de reset counter niet correct werkt. Identificeer ook patronen waarbij legitieme gebruikers onnodig worden geblokkeerd, wat kan wijzen dat de account lockout threshold te laag is ingesteld of dat de reset counter te kort is geconfigureerd. Deze reviews moeten worden gedocumenteerd en moeten leiden tot aanpassingen aan de account lockout policy indien nodig om de balans tussen beveiliging en gebruiksvriendelijkheid te optimaliseren.
Voor compliance-doeleinden moeten organisaties kunnen aantonen dat de account lockout reset counter correct is geconfigureerd en wordt gemonitord. Dit omvat het bijhouden van configuratieverificaties, het documenteren van account lockout events, en het rapporteren over de compliance status van apparaten. Organisaties moeten maandelijks compliance rapporten genereren die aantonen dat alle apparaten compliant zijn met de account lockout reset counter policy, en moeten deze rapporten bewaren voor audit doeleinden. Deze rapporten moeten ook worden gedeeld met security management en compliance teams om transparantie te waarborgen over de beveiligingsstatus van de organisatie.
Compliance en Auditing
De account lockout reset counter is essentieel voor het voldoen aan verschillende compliance-frameworks en regelgevingsvereisten die van toepassing zijn op Nederlandse organisaties, met name in de publieke sector en gereguleerde industrieƫn. Deze maatregel helpt organisaties te voldoen aan vereisten voor account beveiliging, brute-force bescherming, en gebruiksvriendelijkheid zoals gespecificeerd in internationale standaarden en Nederlandse wetgeving. Zonder een correct geconfigureerde reset counter kunnen organisaties niet volledig voldoen aan de vereisten van frameworks zoals CIS Windows Benchmark, BIO-baseline, en ISO 27001.
De CIS Windows Benchmark controle 1.2.3 vereist dat organisaties de account lockout reset counter configureren op minimaal 15 minuten. Deze controle is geclassificeerd als Level 1, wat betekent dat deze wordt aanbevolen voor alle organisaties ongeacht hun beveiligingsvereisten. De controle specificeert dat de reset counter moet worden ingesteld op 15 minuten of langer om te voorkomen dat mislukte aanmeldpogingen onbeperkt accumuleren en om een balans te creƫren tussen beveiliging en gebruiksvriendelijkheid. Voor Nederlandse organisaties die CIS compliance vereisen, is het implementeren van deze maatregel verplicht. Het niet implementeren van de reset counter resulteert in een failed audit finding voor deze controle, wat kan leiden tot compliance-problemen bij klanten of partners die CIS compliance vereisen.
De Baseline Informatiebeveiliging Overheid (BIO) specificeert in Thema 09.04 dat organisaties account lockout mechanismen moeten implementeren om brute-force aanvallen te voorkomen. Specifiek vereist BIO 09.04.02 dat organisaties account lockout policies configureren die voorkomen dat accounts permanent worden geblokkeerd door onschuldige typefouten. De account lockout reset counter is essentieel voor het voldoen aan deze vereiste omdat het voorkomt dat mislukte pogingen onbeperkt accumuleren over tijd. Voor Nederlandse overheidsorganisaties is de BIO-baseline verplicht, en het niet voldoen aan deze vereisten kan leiden tot beveiligingsincidenten en compliance-problemen. Organisaties moeten kunnen aantonen dat de reset counter correct is geconfigureerd en dat deze effectief werkt om te voldoen aan BIO-vereisten.
ISO 27001 controle A.9.4.2 richt zich op access control en vereist dat organisaties passende maatregelen implementeren om ongeautoriseerde toegang te voorkomen. Deze controle omvat het gebruik van account lockout mechanismen om brute-force aanvallen te voorkomen. De account lockout reset counter is een essentieel onderdeel van een complete account lockout policy die helpt bij het voldoen aan deze controle. Organisaties moeten kunnen aantonen dat de reset counter correct is geconfigureerd, dat deze wordt gemonitord, en dat account lockout events worden gelogd en geanalyseerd. Zonder een correct geconfigureerde reset counter kunnen organisaties deze controle niet volledig aantonen omdat de account lockout policy niet effectief is zonder de reset functionaliteit.
Voor audit-doeleinden moeten organisaties kunnen aantonen dat de account lockout reset counter correct is geconfigureerd en wordt gemonitord. Dit omvat het documenteren van de configuratie-instellingen, het bijhouden van configuratieverificaties, het loggen van account lockout events, en het rapporteren over de compliance status van apparaten. Organisaties moeten maandelijks compliance rapporten genereren die aantonen dat alle apparaten compliant zijn met de account lockout reset counter policy. Deze rapporten moeten worden bewaard voor audit doeleinden en moeten beschikbaar zijn voor auditors wanneer deze worden gevraagd. Organisaties moeten ook procedures hebben voor het reageren op audit findings en voor het corrigeren van niet-compliant apparaten.
Naast deze specifieke compliance-frameworks zijn er ook sectorspecifieke vereisten die account lockout policies kunnen vereisen. FinanciĆ«le instellingen die onder toezicht staan van De Nederlandsche Bank (DNB) of de Autoriteit FinanciĆ«le Markten (AFM) moeten vaak kunnen aantonen dat ze effectieve account lockout mechanismen hebben geĆÆmplementeerd om brute-force aanvallen te voorkomen. Gezondheidszorgorganisaties die patiĆ«ntgegevens verwerken moeten voldoen aan de Wet op de geneeskundige behandelingsovereenkomst (WGBO) en moeten kunnen aantonen dat account lockout policies correct zijn geconfigureerd. Organisaties in kritieke infrastructuren moeten vaak voldoen aan aanvullende beveiligingsvereisten die account lockout policies vereisen voor compliance. De account lockout reset counter is een essentieel onderdeel van deze policies en moet correct worden geconfigureerd om te voldoen aan sectorspecifieke vereisten.
Remediatie
Gebruik PowerShell-script account-lockout-reset-counter.ps1 (functie Invoke-Remediation) ā Automatiseert de remediatie van de account lockout reset counter configuratie door de instelling te corrigeren op apparaten waar deze niet correct is geconfigureerd.
Remediatie van de account lockout reset counter omvat het corrigeren van configuratiefouten waarbij de reset counter niet correct is geconfigureerd of waar de instelling onbedoeld is gewijzigd. Het remediatieproces moet worden uitgevoerd wanneer monitoring detecteert dat apparaten niet-compliant zijn met de account lockout reset counter policy, of wanneer configuratiedrift wordt gedetecteerd waarbij de instelling is gewijzigd zonder autorisatie. Het doel van remediatie is om ervoor te zorgen dat alle apparaten binnen de organisatie de correcte account lockout reset counter configuratie hebben, wat essentieel is voor beveiliging en compliance.
Voor apparaten die worden beheerd via Microsoft Intune, kan remediatie worden uitgevoerd door de account lockout reset counter policy opnieuw toe te wijzen aan niet-compliant apparaten. Navigeer naar Microsoft Endpoint Manager admin center ā Endpoint Security ā Account Protection en selecteer de policy die de account lockout reset counter configureert. Controleer de compliance status van de policy en identificeer apparaten die niet-compliant zijn. Voor apparaten die niet-compliant zijn, kan de policy opnieuw worden toegewezen door de assignment te bewerken en ervoor te zorgen dat alle niet-compliant apparaten zijn opgenomen in de doelgroepen. Na het opnieuw toewijzen van de policy, zullen de instellingen binnen enkele minuten tot uren worden toegepast op de apparaten, afhankelijk van wanneer de apparaten de volgende keer verbinding maken met Intune. Verifieer na enkele uren dat de apparaten nu compliant zijn door de compliance status opnieuw te controleren.
Voor apparaten in een on-premises Active Directory omgeving kan remediatie worden uitgevoerd door de Group Policy Object (GPO) opnieuw toe te passen. Open de Group Policy Management Console en identificeer de GPO die de account lockout reset counter configureert. Verifieer dat de GPO correct is geconfigureerd met de reset counter ingesteld op minimaal 15 minuten. Voor apparaten die niet-compliant zijn, voer 'gpupdate /force' uit op de clientapparaten om de Group Policy onmiddellijk te vernieuwen. Alternatief kunnen organisaties wachten op de volgende automatische Group Policy refresh cyclus, die standaard elke 90-120 minuten plaatsvindt. Na het toepassen van de policy, verifieer dat de instelling correct is geconfigureerd door de secedit opdracht uit te voeren of door de Local Security Policy te controleren.
Voor individuele apparaten of apparaten die niet worden beheerd door een centrale management tool, kan remediatie handmatig worden uitgevoerd via de Local Security Policy editor. Open de Local Security Policy door 'secpol.msc' uit te voeren in de Run dialog (Windows + R). Navigeer naar Account Policies ā Account Lockout Policy en dubbelklik op 'Reset account lockout counter after'. Configureer de waarde op minimaal 15 minuten en klik op OK. De instelling wordt onmiddellijk toegepast op het lokale apparaat. Verifieer dat de instelling correct is geconfigureerd door de secedit opdracht uit te voeren of door de Local Security Policy opnieuw te controleren. Deze handmatige remediatie is vooral nuttig voor apparaten die tijdelijk niet verbonden zijn met de centrale management infrastructuur, of voor testomgevingen waar handmatige configuratie wordt gebruikt.
Geautomatiseerde remediatie kan worden uitgevoerd met behulp van PowerShell scripts die de account lockout reset counter configureren op meerdere apparaten tegelijk. Deze scripts kunnen worden uitgevoerd via Microsoft Endpoint Manager, System Center Configuration Manager (SCCM), of andere device management tools die PowerShell script execution ondersteunen. De scripts moeten eerst de huidige configuratie verifiƫren, en vervolgens de reset counter instelling aanpassen indien deze niet correct is geconfigureerd. Na het aanpassen van de instelling, moeten de scripts de configuratie opnieuw verifiƫren om te bevestigen dat de remediatie succesvol was. Deze geautomatiseerde aanpak is vooral nuttig voor grote omgevingen met honderden of duizenden apparaten waar handmatige remediatie niet praktisch is.
Na remediatie is het essentieel om te verifiƫren dat de configuratie correct is toegepast en dat de apparaten nu compliant zijn. Voer configuratieverificaties uit op een representatieve steekproef van gerepareerde apparaten om te bevestigen dat de remediatie succesvol was. Monitor de compliance status van de apparaten gedurende de volgende dagen en weken om te verifiƫren dat de configuratie blijft gehandhaafd en dat er geen configuratiedrift optreedt. Documenteer alle remediatie-activiteiten, inclusief welke apparaten zijn gerepareerd, wanneer de remediatie is uitgevoerd, en wat de oorzaak was van de niet-compliance. Deze documentatie is essentieel voor audit-doeleinden en voor het identificeren van patronen die kunnen wijzen op systematische problemen met de policy implementatie of configuratie.
Voor apparaten waar remediatie niet succesvol is, moet een diepgaand onderzoek worden uitgevoerd om te identificeren waarom de policy niet correct wordt toegepast. Mogelijke oorzaken zijn: conflicterende policies die de instelling overschrijven, apparaten die niet correct zijn ingeschreven in de management tool, of software-installaties die de security policy instellingen wijzigen. Identificeer de root cause en implementeer een oplossing om te voorkomen dat het probleem opnieuw optreedt. Voor aanhoudende problemen kan het nodig zijn om de policy configuratie te herzien of om aanvullende monitoring en alerting te implementeren om configuratiedrift sneller te detecteren en te corrigeren.
Compliance & Frameworks
- CIS M365: Control Windows Benchmark 1.2.3 (L1) - Reset counter >= 15 min
- BIO: 09.04.02 - Account lockout
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Intune Account Policy: Account Lockout Reset Counter
.DESCRIPTION
CIS - Reset counter voor account lockout moet minimaal 15 minuten zijn.
.NOTES
Filename: account-lockout-reset-counter.ps1|Author: Nederlandse Baseline voor Veilige Cloud|SecurityPolicy: ResetLockoutCount|Expected: >= 15 minuten
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $PolicyName = "ResetLockoutCount"; $ExpectedMinutes = 15
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance {
$r = [PSCustomObject]@{ScriptName = "account-lockout-reset-counter.ps1"; PolicyName = $PolicyName; IsCompliant = $false; CurrentValue = $null; ExpectedValue = "$ExpectedMinutes minuten"; Details = @() }; function Invoke-Revert { Write-Host "Revert via Group Policy" }
try { $secedit = secedit /export /cfg "$env:TEMP\secedit.txt" 2>&1; $content = Get-Content "$env:TEMP\secedit.txt"; $line = $content | Where-Object { $_ -match "^$PolicyName\s*=\s*(.+)" }; if ($line -match "=\s*(\d+)") { $r.CurrentValue = $matches[1]; if ([int]$r.CurrentValue -ge $ExpectedMinutes) { $r.IsCompliant = $true; $r.Details += "Reset counter: $($r.CurrentValue) minuten" }else { $r.Details += "Reset counter te kort: $($r.CurrentValue) minuten" } }else { $r.Details += "Niet geconfigureerd" } }catch { $r.Details += "Error: $($_.Exception.Message)" }finally { Remove-Item "$env:TEMP\secedit.txt" -ErrorAction SilentlyContinue }; return $r
}
function Invoke-Remediation {
$tempFile = "$env:TEMP\secedit_config.inf"; function Invoke-Revert { Write-Host "Revert via Group Policy" }
try { $config = "[Unicode]`r`nUnicode=yes`r`n[Version]`r`nsignature=`"`$CHICAGO`$`"`r`nRevision=1`r`n[System Access]`r`n$PolicyName = $ExpectedMinutes`r`n"; Set-Content -Path $tempFile -Value $config -Encoding Unicode; secedit /configure /db "$env:TEMP\secedit.sdb" /cfg $tempFile /areas SECURITYPOLICY | Out-Null; Write-Host "Reset counter ingesteld op $ExpectedMinutes minuten" -ForegroundColor Green }finally { Remove-Item $tempFile -ErrorAction SilentlyContinue; Remove-Item "$env:TEMP\secedit.sdb" -ErrorAction SilentlyContinue }
}
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { Write-Host "Revert via Group Policy" }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
Medium: Zonder een reset counter voor account lockouts kunnen mislukte aanmeldpogingen onbeperkt accumuleren, wat leidt tot permanente accountblokkades zelfs wanneer deze pogingen verspreid zijn over een lange periode. Dit creƫert aanzienlijke gebruiksvriendelijkheidsproblemen waarbij legitieme gebruikers die per ongeluk een verkeerd wachtwoord intypen dagen later alsnog worden geblokkeerd wanneer ze opnieuw een typefout maken. Zonder reset counter is het onmogelijk om onderscheid te maken tussen onschuldige typefouten die verspreid zijn over tijd en gecoƶrdineerde brute-force aanvallen waarbij meerdere mislukte pogingen binnen korte tijd plaatsvinden. Dit leidt tot een slechte balans tussen beveiliging en gebruiksvriendelijkheid waarbij legitieme gebruikers onnodig worden gehinderd terwijl de beveiliging niet optimaal is. Compliance-vereisten zoals CIS Windows Benchmark 1.2.3 en BIO 09.04.02 vereisen een reset counter, en het niet implementeren van deze maatregel resulteert in failed audit findings en potentiƫle compliance-problemen. Het risico is MEDIUM omdat het ontbreken van een reset counter vooral impact heeft op gebruiksvriendelijkheid en compliance, maar niet direct leidt tot beveiligingslekken zolang andere account lockout mechanismen correct zijn geconfigureerd.
Management Samenvatting
De account lockout reset counter is een essentiĆ«le beveiligingsinstelling die bepaalt na hoeveel tijd de teller voor mislukte aanmeldpogingen wordt gereset. Deze maatregel voorkomt dat legitieme gebruikers permanent worden geblokkeerd door onschuldige typefouten en helpt organisaties onderscheid te maken tussen onbedoelde invoerfouten en daadwerkelijke brute-force aanvallen. De CIS Windows Benchmark aanbeveelt een reset counter van minimaal 15 minuten, wat betekent dat mislukte aanmeldpogingen automatisch worden gewist na deze periode. Deze configuratie balanceert beveiliging (door snelle brute-force aanvallen te beperken) met gebruiksvriendelijkheid (door te voorkomen dat typefouten permanent meetellen). Implementatie kan worden uitgevoerd via Microsoft Intune (Endpoint Security ā Account Protection ā Reset counter: 15 minuten), Group Policy Objects voor on-premises omgevingen, of Local Security Policy voor individuele apparaten. Deze maatregel is gratis (geen extra licentiekosten), verplicht voor CIS compliance, en vereist 30-60 minuten implementatietijd. De maatregel verbetert de gebruiksvriendelijkheid aanzienlijk door te voorkomen dat gebruikers onnodig worden geblokkeerd door onschuldige typefouten die verspreid zijn over tijd.
- Implementatietijd: 1 uur
- FTE required: 0.01 FTE