💼 Management Samenvatting
Het uitschakelen van de ingebouwde gastaccount voorkomt anonieme, niet-geauthenticeerde toegang tot Windows-systemen zonder verantwoordingsplicht of audittrail, waardoor een aanzienlijk beveiligingsrisico wordt geëlimineerd dat geen legitieme bedrijfswaarde meer heeft in moderne Windows-omgevingen.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
7/10
Implementatie
1u (tech: 0.5u)
Van toepassing op:
✓ Windows 10
✓ Windows 11
✓ Windows server
✓ Windows 11
✓ Windows server
De ingebouwde gastaccount is een verouderde Windows-functionaliteit uit het Windows 95/98-tijdperk, toen 'drop-in' computertoegang zonder inloggegevens nog een gebruikscase was. In moderne bedrijfsomgevingen introduceert de gastaccount ernstige beveiligingsrisico's die organisaties blootstellen aan verschillende aanvalsvectoren en compliance-overtredingen. Het primaire risico betreft anonieme toegang zonder authenticatie. Wanneer de gastaccount is ingeschakeld, kan iedereen inloggen op het systeem zonder inloggegevens te verstrekken. Dit creëert een directe beveiligingskwetsbaarheid waarbij onbevoegde personen toegang kunnen krijgen tot systemen zonder dat er sprake is van enige vorm van identificatie of verificatie. In een tijd waarin cybercriminaliteit en datalekken dagelijkse realiteit zijn, vormt anonieme toegang een onacceptabel risico voor organisaties die verantwoordelijk zijn voor het beschermen van gevoelige informatie. Een tweede kritiek risico betreft het ontbreken van een audittrail. Acties die worden uitgevoerd via de gastaccount zijn niet traceerbaar naar een individu, wat betekent dat organisaties niet kunnen achterhalen wie bepaalde acties heeft uitgevoerd wanneer er een beveiligingsincident plaatsvindt. Dit maakt forensisch onderzoek onmogelijk en belemmert effectieve incidentrespons. Wanneer een aanval plaatsvindt via de gastaccount, kunnen beveiligingsteams niet bepalen welke persoon verantwoordelijk is, wat de mogelijkheid om juridische stappen te ondernemen of preventieve maatregelen te implementeren ernstig beperkt. Het derde risico betreft het ontbreken van verantwoordingsplicht. Bij beveiligingsincidenten kunnen organisaties niet bepalen welke persoon verantwoordelijk is voor bepaalde acties wanneer deze via de gastaccount zijn uitgevoerd. Dit schendt fundamentele principes van informatiebeveiliging waarbij elke actie moet kunnen worden toegeschreven aan een specifieke gebruiker. Zonder verantwoordingsplicht kunnen organisaties niet voldoen aan compliance-vereisten van frameworks zoals de Baseline Informatiebeveiliging Overheid (BIO), ISO 27001, en de NIS2-richtlijn. Privilege-escalatierisico's vormen een vierde belangrijke bedreiging. Hoewel de gastaccount standaard lid is van de Guests-beveiligingsgroep met beperkte rechten, kunnen misconfiguraties ertoe leiden dat de gastaccount aanvullende privileges krijgt. Dit kan gebeuren wanneer beheerders per ongeluk de gastaccount toevoegen aan beveiligingsgroepen met uitgebreidere rechten, of wanneer groepsbeleid verkeerd is geconfigureerd. Wanneer een gastaccount onbedoeld uitgebreide rechten krijgt, kan dit worden misbruikt door aanvallers om toegang te krijgen tot gevoelige systemen en gegevens. Het vijfde risico betreft de mogelijkheid tot laterale beweging binnen het netwerk. Wanneer een aanvaller fysieke toegang heeft tot een apparaat, biedt de gastaccount een directe voet aan de grond binnen de organisatie. Vanaf dit punt kan de aanvaller proberen om toegang te krijgen tot andere systemen binnen het netwerk, gebruikmakend van de initiële toegang via de gastaccount als springplank voor verdere penetratie. Dit is bijzonder gevaarlijk in omgevingen waar apparaten niet altijd fysiek beveiligd zijn, zoals gedeelde werkplekken of openbare ruimtes. Gegevenstoegang zonder autorisatie vormt het zesde belangrijke risico. De gastaccount kan vaak bestanden en mappen lezen die niet expliciet zijn beschermd, wat betekent dat gevoelige informatie kan worden blootgesteld aan onbevoegde personen. Hoewel moderne Windows-versies standaard betere beveiligingsinstellingen hebben, kunnen verouderde systemen of verkeerd geconfigureerde bestandsmachtigingen ertoe leiden dat de gastaccount toegang heeft tot informatie die niet bedoeld is voor publieke consumptie. Compliance-overtredingen vormen het zevende risico. Verschillende beveiligingsframeworks vereisen expliciet dat organisaties gebruikmaken van benoemde gebruikersaccounts met verantwoordingsplicht. De Baseline Informatiebeveiliging Overheid (BIO) vereist dat alle gebruikersaccounts traceerbaar zijn naar individuen, ISO 27001 vereist dat toegang wordt verleend op basis van geïdentificeerde gebruikers, en de NIS2-richtlijn vereist dat organisaties kunnen aantonen wie toegang heeft gehad tot systemen. Het gebruik van de gastaccount schendt deze vereisten en kan leiden tot boetes en juridische gevolgen. Een realistisch scenario illustreert de ernst van deze risico's: een aanvaller krijgt fysieke toegang tot een ontgrendelde laptop, logt in via de gastaccount, bladert door het bestandssysteem, kopieert gegevens naar een USB-stick, en verlaat het apparaat zonder sporen na te laten. Omdat gastaccount-aanmeldingen moeilijk te auditen zijn, kan de organisatie mogelijk niet achterhalen wat er is gebeurd of welke gegevens zijn gecompromitteerd. Dit scenario is niet theoretisch maar komt regelmatig voor in organisaties waar de gastaccount nog steeds is ingeschakeld. Moderne Windows-omgevingen hebben geen legitieme gebruikscase meer voor de ingebouwde gastaccount. Voor tijdelijke toegang kunnen organisaties gebruikmaken van Azure AD B2B-gastgebruikers, die volledig gedocumenteerd en traceerbaar zijn. Voor kioskscenario's kunnen organisaties gebruikmaken van de toegewijde kioskmodus van Windows, die specifiek is ontworpen voor gedeelde apparaten zonder dat de gastaccount nodig is. Benoemde gebruikersaccounts met juiste authenticatie zijn vereist voor alle moderne bedrijfsomgevingen. Het CIS Benchmark heeft de gastaccount geclassificeerd als een kritiek risico dat altijd uitgeschakeld moet zijn. Deze classificatie weerspiegelt de consensus binnen de cybersecurity-gemeenschap dat de gastaccount geen plaats heeft in moderne beveiligde omgevingen. Organisaties die de gastaccount nog steeds gebruiken of toestaan, lopen onnodige risico's en voldoen niet aan industrie-standaarden voor informatiebeveiliging.
PowerShell Modules Vereist
Primary API: Intune / Group Policy
Connection:
Required Modules:
Connection:
Local beveiligingsbeleidRequired Modules:
Implementatie
Deze beveiligingsmaatregel verifieert dat de ingebouwde gastaccount, geïdentificeerd door de Security Identifier (SID) S-1-5-21-*-501, is uitgeschakeld op alle Windows-apparaten binnen de organisatie. De gastaccount is een standaardaccount dat aanwezig is op elke Windows-installatie en kan niet worden verwijderd, alleen uitgeschakeld. Dit betekent dat organisaties expliciet moeten controleren en configureren dat de gastaccount is uitgeschakeld, omdat het account altijd aanwezig blijft in het systeem, zelfs wanneer het niet actief is. Technisch gezien heeft de gastaccount typisch geen wachtwoord, wat betekent dat wanneer het account is ingeschakeld, aanmelding mogelijk is met een leeg wachtwoord. Dit maakt het extreem eenvoudig voor onbevoegde personen om toegang te krijgen tot het systeem zonder enige vorm van authenticatie. De gastaccount is standaard lid van de 'Guests'-beveiligingsgroep met beperkte machtigingen, maar zoals eerder besproken kunnen misconfiguraties ertoe leiden dat aanvullende rechten worden verleend. Moderne Windows-versies, waaronder Windows 10 en Windows 11, hebben de gastaccount standaard uitgeschakeld. Echter, dit betekent niet dat organisaties kunnen vertrouwen op deze standaardinstelling. De gastaccount kan per ongeluk worden ingeschakeld door gebruikers met beheerdersrechten, door verkeerd geconfigureerde groepsbeleid, of door malware die probeert de beveiligingsconfiguratie te wijzigen. Daarom is het essentieel dat organisaties expliciete beleidsregels implementeren die voorkomen dat de gastaccount wordt ingeschakeld en die regelmatig controleren of de gastaccount daadwerkelijk uitgeschakeld blijft. De implementatie kan worden uitgevoerd via verschillende methoden, afhankelijk van de beheeromgeving van de organisatie. Via het lokale beveiligingsbeleid kunnen beheerders navigeren naar Lokale gebruikers en groepen, vervolgens naar Gebruikers, en de eigenschappen van de gastaccount openen om te verifiëren dat 'Account is uitgeschakeld' is geselecteerd. Voor cloud-beheerde apparaten kan de implementatie worden uitgevoerd via Microsoft Intune Device Configuration, waarbij beheerders navigeren naar Account Policies en configureren dat de gastaccountstatus is uitgeschakeld. Voor on-premises Active Directory-omgevingen kan de implementatie worden uitgevoerd via Group Policy, waarbij beheerders navigeren naar Computer Configuration, Windows Settings, Beveiligingsinstellingen, Lokale beleidsregels, Beveiligingsopties, en de beleidsregel 'Accounts: gastaccountstatus' configureren op Uitgeschakeld. Verificatie van de implementatie kan worden uitgevoerd via PowerShell met behulp van de opdracht Get-LocalUser gecombineerd met Where-Object om te filteren op de SID van de gastaccount. De verwachte output zou moeten aantonen dat de eigenschap 'ingeschakeld' is ingesteld op False. Daarnaast moeten beveiligingsteams regelmatig de Windows Event Logs controleren op Event ID 4624, wat een aanmeldgebeurtenis vertegenwoordigt. Wanneer deze gebeurtenis wordt gevonden met de accountnaam 'Guest', vertegenwoordigt dit een kritiek beveiligingsincident dat onmiddellijke aandacht vereist, omdat dit aangeeft dat iemand daadwerkelijk heeft geprobeerd in te loggen of heeft ingelogd via de gastaccount.
Vereisten
Voor het succesvol implementeren van deze beveiligingsmaatregel zijn verschillende technische en organisatorische vereisten van essentieel belang. Deze vereisten zorgen ervoor dat de implementatie naadloos verloopt en dat alle aspecten van de beveiligingsmaatregel correct worden toegepast. Organisaties dienen zorgvuldig te evalueren of aan alle vereisten wordt voldaan voordat de implementatie wordt gestart, om te voorkomen dat er problemen ontstaan tijdens of na de implementatie. De eerste en meest fundamentele vereiste betreft het besturingssysteem. De implementatie vereist Windows 10, Windows 11, of Windows Server 2016 en nieuwere versies. Deze versievereisten zijn noodzakelijk omdat de onderliggende beleidsondersteuning en registerstructuur pas vanaf deze versies volledig beschikbaar zijn. Organisaties die nog werken met oudere Windows-versies zoals Windows 7 of Windows 8.1 dienen eerst een upgradeplan te ontwikkelen, aangezien beveiligingsmaatregelen zoals deze niet effectief kunnen worden geïmplementeerd op verouderde systemen die de benodigde beleidsondersteuning missen. Het is belangrijk om te begrijpen dat beveiligingsmaatregelen alleen effectief zijn wanneer ze consistent kunnen worden toegepast op alle apparaten binnen de organisatie. De tweede kritieke vereiste betreft de beheeromgeving. Organisaties moeten beschikken over een Microsoft Intune-abonnement voor gecentraliseerd beleidsbeheer van cloud-beheerde apparaten, of Group Policy voor on-premises Active Directory-omgevingen. Voor hybride omgevingen kunnen beide methoden worden gebruikt, waarbij Intune wordt gebruikt voor cloud-beheerde apparaten en Group Policy voor on-premises apparaten. Het is belangrijk om te verifiëren dat de gekozen beheeromgeving correct is geconfigureerd en dat alle doelapparaten daadwerkelijk worden beheerd via deze omgeving voordat de implementatie wordt gestart. Administratorrechten vormen een derde essentiële vereiste voor de implementatie. De beleidsinstellingen moeten worden geconfigureerd via Group Policy Objects (GPO) in een Active Directory-omgeving, of via Microsoft Intune voor cloud-gebaseerd apparaatbeheer. In beide gevallen zijn uitgebreide administratorrechten vereist om de registerinstellingen te kunnen wijzigen op het niveau van de lokale machine. Dit betekent dat alleen IT-beheerders met de juiste rechten de implementatie kunnen uitvoeren, en dat eindgebruikers niet in staat moeten zijn om deze instellingen te wijzigen of te omzeilen. Het is belangrijk om te verifiëren dat de toegangscontrole correct is geconfigureerd voordat de implementatie wordt gestart, om te voorkomen dat gebruikers de beveiligingsinstellingen kunnen wijzigen na de implementatie. Een vierde belangrijke vereiste betreft de verificatie van bedrijfsprocessen. Hoewel het zeer onwaarschijnlijk is dat moderne bedrijfsprocessen afhankelijk zijn van de gastaccount, dienen organisaties een grondige verificatie uit te voeren om te bevestigen dat geen kritieke bedrijfsprocessen worden verstoord door het uitschakelen van de gastaccount. Deze verificatie moet worden uitgevoerd voordat de implementatie wordt gestart, en moet alle systemen en applicaties omvatten die mogelijk gebruikmaken van de gastaccount. In de praktijk zal deze verificatie waarschijnlijk bevestigen dat geen processen afhankelijk zijn van de gastaccount, maar het is belangrijk om dit te documenteren voor compliance-doeleinden en om eventuele bezwaren van stakeholders te kunnen weerleggen. Ten slotte is gebruikersbewustzijn een belangrijke organisatorische vereiste. Organisaties dienen gebruikers te informeren dat gastaccounttoegang niet beschikbaar is op gedeelde computers, en dat benoemde gebruikersaccounts vereist zijn voor toegang tot systemen. Deze communicatie moet duidelijk maken waarom deze beperking is geïmplementeerd en wat de alternatieven zijn voor gebruikers die tijdelijke toegang nodig hebben. Voor gedeelde computers kunnen organisaties gebruikmaken van Azure AD B2B-gastgebruikers of toegewijde kioskmodi, die beide veiliger zijn dan de ingebouwde gastaccount. Gebruikersbewustzijn helpt niet alleen om verwarring te voorkomen, maar zorgt ook voor begrip en acceptatie van de beveiligingsmaatregel.
Implementatie
De implementatie van de gastaccount-uitschakeling kan worden uitgevoerd via verschillende methoden, afhankelijk van de infrastructuur en beheeromgeving van de organisatie. De meest efficiënte en schaalbare aanpak is het gebruik van gecentraliseerd beleidsbeheer via Microsoft Intune of Group Policy, die de benodigde instellingen kunnen configureren op meerdere systemen tegelijkertijd. Deze geautomatiseerde aanpak vermindert niet alleen de kans op menselijke fouten, maar zorgt ook voor consistentie door de gehele organisatie. Voor organisaties die werken met Microsoft Intune als apparaatbeheeroplossing, biedt het Intune-beheercentrum een gebruiksvriendelijke interface voor het configureren van accountbeleid. De implementatie begint met het navigeren naar het Microsoft Intune-beheercentrum, waar beheerders toegang hebben tot alle apparaatbeheerfunctionaliteiten. Vanuit het hoofdmenu navigeert men naar de sectie Apparaten, gevolgd door Configuratieprofielen. Hier kan een nieuw profiel worden aangemaakt door te klikken op de optie om een nieuw profiel te creëren. Het is belangrijk om een duidelijke naam te kiezen voor het profiel, zoals "Gastaccount Uitgeschakeld", zodat het later gemakkelijk kan worden geïdentificeerd en beheerd. Bij het aanmaken van het nieuwe profiel dient men eerst het platform te selecteren. Voor deze implementatie moet Windows 10 en later worden gekozen als het doelplatform. Vervolgens moet het profieltype worden ingesteld op Instellingencatalogus, wat een moderne aanpak is die toegang geeft tot een uitgebreide catalogus van configureerbare instellingen voor Windows en andere Microsoft-producten. De Instellingencatalogus biedt een gestructureerde manier om specifieke beleidsinstellingen te vinden en te configureren zonder dat men handmatig registerpaden hoeft te kennen. Binnen de instellingencatalogus moet men zoeken naar Lokale beleidsregels Beveiligingsopties, specifiek naar de Accounts-sectie. Hier vindt men de beleidsregel 'Accounts: gastaccountstatus', die de centrale instelling vormt voor het beheren van de gastaccount. Deze beleidsregel moet worden geconfigureerd op Uitgeschakeld, wat betekent dat de gastaccount niet kan worden gebruikt voor aanmeldingen. Deze instelling is de aanbevolen configuratie voor de meeste organisaties, omdat het de hoogste beveiligingsstandaard biedt zonder dat gebruikers worden lastiggevallen met prompts of waarschuwingen. Na het configureren van de beleidsinstelling moet het profiel worden toegewezen aan de juiste gebruikersgroepen of apparaten. Het is belangrijk om een zorgvuldige afweging te maken bij de toewijzing: enerzijds wil men de beveiligingsmaatregel zo breed mogelijk toepassen om het aanvalsoppervlak te minimaliseren, anderzijds moet men rekening houden met eventuele uitzonderingen die tijdens de vereistenanalyse zijn geïdentificeerd. In de meeste gevallen is het aanbevolen om het profiel toe te wijzen aan alle apparaten, maar organisaties met specifieke omgevingen kunnen ervoor kiezen om eerst een pilot uit te voeren met een beperkte groep apparaten. Voor organisaties die werken met on-premises Active Directory-omgevingen, kan de implementatie worden uitgevoerd via Group Policy. Deze aanpak begint met het openen van de Group Policy Management Console (GPMC), waar beheerders toegang hebben tot alle groepsbeleidsobjecten binnen de Active Directory-omgeving. Vanuit de GPMC kan een nieuw groepsbeleidsobject worden aangemaakt, of een bestaand object worden bewerkt. Het is belangrijk om een duidelijke naam te kiezen voor het groepsbeleidsobject, zodat het later gemakkelijk kan worden geïdentificeerd. Binnen het groepsbeleidsobject moet men navigeren naar Computer Configuration, gevolgd door Windows Settings, en vervolgens Beveiligingsinstellingen. Hier vindt men de sectie Lokale beleidsregels, gevolgd door Beveiligingsopties. Binnen deze sectie moet men de beleidsregel 'Accounts: gastaccountstatus' vinden en configureren op Uitgeschakeld. Deze configuratie zorgt ervoor dat de gastaccount niet kan worden gebruikt voor aanmeldingen op alle apparaten waarop het groepsbeleidsobject van toepassing is. Na het configureren van de beleidsinstelling moet het groepsbeleidsobject worden gekoppeld aan de juiste organisatie-eenheden (OU's) binnen Active Directory. Het is belangrijk om ervoor te zorgen dat alle relevante OU's zijn gekoppeld, zodat alle apparaten binnen de organisatie worden beschermd. Na het koppelen van het groepsbeleidsobject kunnen beheerders handmatig een gpupdate /force commando uitvoeren op clientapparaten om de beleidsinstellingen onmiddellijk toe te passen, of kunnen ze wachten tot de volgende automatische Group Policy-refreshcyclus. Voor individuele apparaten die niet worden beheerd via Intune of Group Policy, kan lokale implementatie worden uitgevoerd via PowerShell. Deze aanpak vereist dat PowerShell wordt uitgevoerd met beheerdersrechten, wat essentieel is voor het wijzigen van lokale gebruikersaccountinstellingen. De implementatie begint met het uitvoeren van de opdracht Disable-LocalUser -Name 'Guest', wat de gastaccount uitschakelt. Voor taal-onafhankelijke implementaties kan de SID van de gastaccount worden gebruikt in plaats van de accountnaam, wat zorgt voor consistentie in meertalige omgevingen. Verificatie van de lokale implementatie kan worden uitgevoerd via de opdracht Get-LocalUser -Name 'Guest' | Select-Object ingeschakeld, waarbij de verwachte output False zou moeten zijn. Een alternatieve methode voor het uitschakelen van de gastaccount is het gebruik van het net user commando, waarbij de opdracht net user Guest /active:no wordt uitgevoerd. Deze methode is vooral nuttig in omgevingen waar PowerShell mogelijk niet beschikbaar is of waar beheerders meer vertrouwd zijn met traditionele opdrachtregelinterfaces. Handmatige verificatie via de gebruikersinterface kan worden uitgevoerd door te navigeren naar Computerbeheer, gevolgd door Lokale gebruikers en groepen, en vervolgens Gebruikers. Hier kan men met de rechtermuisknop op de gastaccount klikken en Eigenschappen selecteren. In het tabblad Algemeen moet de optie 'Account is uitgeschakeld' zijn aangevinkt. Als deze optie niet is aangevinkt, moet men de optie aanvinken en Toepassen selecteren, gevolgd door OK om de wijzigingen op te slaan. Deze handmatige verificatie is vooral nuttig voor troubleshooting-doeleinden of voor het verifiëren van de configuratie op individuele apparaten.
Gebruik PowerShell-script guest-account-status-disabled.ps1 (functie Invoke-Remediation) – PowerShell script voor lokale verificatie en remediatie van gastaccountstatus.
monitoring
Effectieve monitoring van de gastaccount-uitschakeling is essentieel om te garanderen dat de beveiligingsmaatregel daadwerkelijk wordt afgedwongen en niet wordt omzeild door gebruikers of lokale configuratiewijzigingen. Monitoring moet worden uitgevoerd op regelmatige basis, idealiter maandelijks of na belangrijke wijzigingen in de IT-omgeving zoals Windows-updates of beleidsconfiguratiewijzigingen die mogelijk de accountinstellingen kunnen beïnvloeden. Het doel van monitoring is niet alleen om te verifiëren dat de instellingen correct zijn geconfigureerd, maar ook om trends te identificeren en proactief problemen op te lossen voordat ze tot beveiligingsincidenten leiden. Voor organisaties die gebruikmaken van Microsoft Intune voor apparaatbeheer, biedt het Intune-beheercentrum ingebouwde compliance-rapportagefunctionaliteiten die kunnen worden gebruikt om de status van accountbeleid te monitoren. Beheerders kunnen navigeren naar de sectie Apparaten, gevolgd door Compliance, waar ze een overzicht krijgen van alle apparaten en hun compliance-status. Specifiek voor accountbeleid kunnen beheerders filteren op de configuratieprofielen die betrekking hebben op accountinstellingen, en kunnen ze zien welke apparaten compliant zijn en welke niet. Deze rapportage moet regelmatig worden gecontroleerd, idealiter wekelijks, om ervoor te zorgen dat alle apparaten voldoen aan de beveiligingsvereisten. Voor organisaties die gebruikmaken van Group Policy voor apparaatbeheer, kan monitoring worden uitgevoerd via de Group Policy Results-functie. Beheerders kunnen het hulpprogramma gpresult gebruiken om een HTML-rapport te genereren dat de toegepaste groepsbeleidsobjecten en hun instellingen weergeeft. Dit rapport moet worden gecontroleerd om te verifiëren dat de beleidsregel 'Accounts: gastaccountstatus' is ingesteld op Uitgeschakeld. Het is belangrijk om dit rapport regelmatig te genereren en te controleren, idealiter maandelijks, om ervoor te zorgen dat de beleidsinstellingen correct worden toegepast op alle apparaten. PowerShell-scripts kunnen worden gebruikt voor geautomatiseerde monitoring van de gastaccountstatus op meerdere apparaten tegelijkertijd. Deze scripts kunnen worden geconfigureerd om regelmatig te worden uitgevoerd, bijvoorbeeld dagelijks of wekelijks, en kunnen automatisch waarschuwingen genereren wanneer afwijkingen worden gedetecteerd. Een typisch monitoring-script gebruikt de opdracht Get-LocalUser gecombineerd met Where-Object om te filteren op de SID van de gastaccount, waarbij wordt gecontroleerd of de eigenschap 'ingeschakeld' is ingesteld op False. Wanneer de script een gastaccount detecteert die is ingeschakeld, moet dit onmiddellijk worden gemeld als een kritieke beveiligingswaarschuwing. Windows Event Logs vormen een kritieke bron van informatie voor het monitoren van gastaccount-activiteit. Beveiligingsteams moeten regelmatig de Windows Security Event Log controleren op Event ID 4624, wat een aanmeldgebeurtenis vertegenwoordigt. Wanneer deze gebeurtenis wordt gevonden met de accountnaam 'Guest', vertegenwoordigt dit een kritieke beveiligingswaarschuwing die onmiddellijke aandacht vereist. Dit geeft aan dat iemand daadwerkelijk heeft geprobeerd in te loggen of heeft ingelogd via de gastaccount, wat een potentieel beveiligingsincident vertegenwoordigt. Beveiligingsteams moeten onmiddellijk onderzoeken hoe dit mogelijk is geweest en moeten maatregelen nemen om te voorkomen dat dit opnieuw gebeurt. Microsoft Security Compliance Toolkit biedt aanvullende monitoringfunctionaliteiten die kunnen worden gebruikt om de beveiligingsconfiguratie van Windows-apparaten te verifiëren. Deze toolkit bevat baselines en verificatiescripts die kunnen worden gebruikt om te controleren of apparaten voldoen aan beveiligingsstandaarden, inclusief de configuratie van accountinstellingen. Beveiligingsteams kunnen deze toolkit gebruiken om regelmatige audits uit te voeren, idealiter elk kwartaal, om ervoor te zorgen dat alle apparaten voldoen aan de beveiligingsvereisten. Kwartaalcontroles vormen een belangrijk onderdeel van een effectief monitoringprogramma. Beveiligingsteams moeten regelmatig handmatige spotchecks uitvoeren op een steekproef van apparaten om te verifiëren dat de gastaccount daadwerkelijk is uitgeschakeld. Deze controles moeten worden uitgevoerd op verschillende soorten apparaten, inclusief desktopcomputers, laptops, en servers, om ervoor te zorgen dat de beveiligingsmaatregel consistent wordt toegepast door de gehele organisatie. De resultaten van deze controles moeten worden gedocumenteerd en moeten worden gebruikt om trends te identificeren en problemen proactief op te lossen. Geautomatiseerde waarschuwingssystemen kunnen worden geconfigureerd om onmiddellijk te waarschuwen wanneer de gastaccount wordt gedetecteerd als ingeschakeld. Deze waarschuwingen moeten worden geconfigureerd met een hoge prioriteit, omdat een ingeschakelde gastaccount een potentieel beveiligingsincident vertegenwoordigt. Beveiligingsteams moeten onmiddellijk reageren op deze waarschuwingen door de gastaccount uit te schakelen en te onderzoeken hoe deze is ingeschakeld. Deze waarschuwingen kunnen worden geïntegreerd met bestaande security information and event management (SIEM) systemen, waardoor beveiligingsteams een centraal overzicht krijgen van alle beveiligingsgebeurtenissen binnen de organisatie.
Gebruik PowerShell-script guest-account-status-disabled.ps1 (functie Invoke-Monitoring) – Controleert gastaccountstatus via Get-LocalUser.
Remediatie
Wanneer tijdens monitoring wordt vastgesteld dat de gastaccount is ingeschakeld, moet onmiddellijk remediatie worden uitgevoerd om de beveiligingsmaatregel te herstellen. Een ingeschakelde gastaccount vertegenwoordigt een kritieke beveiligingsbevinding die onmiddellijke aandacht vereist, omdat dit aangeeft dat de beveiligingsconfiguratie is gecompromitteerd of dat er een beveiligingsincident heeft plaatsgevonden. Remediatie moet worden uitgevoerd volgens een gestructureerd proces dat begint met het onmiddellijk uitschakelen van de gastaccount, gevolgd door een grondige onderzoek naar de oorzaak en het implementeren van maatregelen om te voorkomen dat het probleem opnieuw optreedt. De eerste en meest kritieke stap in het remediatieproces is het onmiddellijk uitschakelen van de gastaccount. Dit kan worden uitgevoerd via PowerShell met behulp van de opdracht Disable-LocalUser -Name 'Guest', of via de SID van de gastaccount voor taal-onafhankelijke implementaties. Deze actie moet onmiddellijk worden uitgevoerd zodra wordt vastgesteld dat de gastaccount is ingeschakeld, zonder te wachten op verdere goedkeuringen of onderzoek. Het uitschakelen van de gastaccount voorkomt verdere onbevoegde toegang en minimaliseert het potentiële beveiligingsrisico. Na het uitschakelen van de gastaccount moet een grondig onderzoek worden uitgevoerd om te bepalen hoe de gastaccount is ingeschakeld. Dit onderzoek moet verschillende mogelijke oorzaken overwegen, inclusief handmatige acties door gebruikers met beheerdersrechten, malware die de beveiligingsconfiguratie heeft gewijzigd, of verkeerd geconfigureerde groepsbeleidsobjecten die de gastaccount onbedoeld hebben ingeschakeld. Het onderzoek moet beginnen met het controleren van auditlogs, specifiek Event ID 4720, wat een accountwijzigingsgebeurtenis vertegenwoordigt die aangeeft wanneer een account is gemaakt of ingeschakeld. Het onderzoek moet ook proberen te bepalen wie de gastaccount heeft ingeschakeld door event logs, proces-tracking en gebruikerscontext te analyseren. Deze informatie is essentieel voor het begrijpen van de omvang van het beveiligingsincident en voor het implementeren van preventieve maatregelen. Wanneer het mogelijk is om te bepalen wie de gastaccount heeft ingeschakeld, moet deze informatie worden gebruikt om aanvullende beveiligingsmaatregelen te implementeren, zoals het herzien van toegangsrechten of het implementeren van aanvullende monitoring. Een kritieke stap in het remediatieproces is het beoordelen of de gastaccount daadwerkelijk is gebruikt voor aanmeldingen. Dit kan worden gedaan door de Windows Security Event Log te controleren op Event ID 4624, wat een aanmeldgebeurtenis vertegenwoordigt. Wanneer deze gebeurtenissen worden gevonden met de accountnaam 'Guest', geeft dit aan dat iemand daadwerkelijk heeft geprobeerd in te loggen of heeft ingelogd via de gastaccount. Dit vertegenwoordigt een ernstig beveiligingsincident dat een volledige incidentrespons vereist. Wanneer wordt vastgesteld dat de gastaccount is gebruikt, moet een volledige beveiligingsincidentrespons worden geactiveerd. Dit proces moet beginnen met het isoleren van het betrokken apparaat om te voorkomen dat verdere schade wordt veroorzaakt. Het apparaat moet worden losgekoppeld van het netwerk en moet worden onderworpen aan forensisch onderzoek om te bepalen welke gegevens zijn benaderd of gecompromitteerd. Dit forensisch onderzoek moet worden uitgevoerd door ervaren beveiligingsprofessionals die de expertise hebben om digitale bewijzen te verzamelen en te analyseren zonder de integriteit van het bewijs te compromitteren. Na het forensisch onderzoek moet worden bepaald welke gegevens zijn benaderd of gecompromitteerd. Dit vereist een grondige analyse van de toegangslogboeken, bestandssysteemwijzigingen, en netwerkactiviteit op het betrokken apparaat. Wanneer wordt vastgesteld dat gevoelige gegevens zijn benaderd of gecompromitteerd, moeten organisaties mogelijk melding maken bij relevante autoriteiten, zoals de Autoriteit Persoonsgegevens in Nederland, en moeten ze getroffen personen informeren over het beveiligingsincident. Het remediatieproces moet ook aandacht besteden aan het oplossen van de onderliggende oorzaak van het probleem. Wanneer de gastaccount is ingeschakeld door een verkeerd geconfigureerde groepsbeleidsobject of Intune-beleid, moet deze configuratie worden gecorrigeerd om te voorkomen dat het probleem opnieuw optreedt. Wanneer de gastaccount is ingeschakeld door malware, moeten aanvullende beveiligingsmaatregelen worden geïmplementeerd om te voorkomen dat malware de beveiligingsconfiguratie opnieuw kan wijzigen. Beleidsafdwinging moet worden gecontroleerd om ervoor te zorgen dat Intune- of Group Policy-beleid correct is toegewezen aan alle relevante apparaten. Wanneer wordt vastgesteld dat beleid niet correct is toegewezen, moet dit worden gecorrigeerd om ervoor te zorgen dat alle apparaten worden beschermd. Daarnaast moeten beveiligingsteams overwegen om aanvullende monitoring en waarschuwingen te implementeren om sneller te kunnen reageren op toekomstige incidenten. Wanneer het beveiligingsincident ernstig is of wanneer de onderliggende oorzaak niet duidelijk is, moet het incident worden geëscaleerd naar het beveiligingsteam voor verder onderzoek. Het beveiligingsteam heeft de expertise en middelen om diepgaand onderzoek uit te voeren en kan helpen bij het implementeren van aanvullende beveiligingsmaatregelen om te voorkomen dat vergelijkbare incidenten in de toekomst plaatsvinden. Het is belangrijk om te begrijpen dat een ingeschakelde gastaccount een potentieel beveiligingscompromis vertegenwoordigt dat moet worden behandeld als een hoog-prioriteit incident. Organisaties moeten ervoor zorgen dat hun incidentresponsprocessen duidelijk definiëren hoe dergelijke incidenten moeten worden behandeld, en moeten regelmatig oefenen met deze processen om ervoor te zorgen dat beveiligingsteams snel en effectief kunnen reageren wanneer een incident plaatsvindt.
Gebruik PowerShell-script guest-account-status-disabled.ps1 (functie Invoke-Remediation) – Automatisch uitschakelen van gastaccount via Disable-LocalUser.
Compliance en Auditing
De implementatie van de gastaccount-uitschakeling draagt bij aan de naleving van verschillende belangrijke beveiligings- en compliance-frameworks die relevant zijn voor Nederlandse overheidsorganisaties en bedrijven die actief zijn in kritieke sectoren. Deze beveiligingsmaatregel vormt een essentieel onderdeel van een brede beveiligingsstrategie die voldoet aan zowel internationale standaarden als Nederlandse specifieke vereisten. Het is belangrijk voor organisaties om te begrijpen hoe deze maatregel bijdraagt aan hun compliance-doelstellingen, zodat ze deze kunnen documenteren tijdens audits en compliance-beoordelingen. Binnen het CIS Microsoft Windows Benchmark-framework valt deze beveiligingsmaatregel onder control 2.3.1.2, die specifiek vereist dat de 'Accounts: gastaccountstatus' is ingesteld op 'Uitgeschakeld'. Deze control is geclassificeerd als Level 1, wat betekent dat het een fundamentele beveiligingsmaatregel is die moet worden geïmplementeerd in alle omgevingen. Het CIS Benchmark wordt algemeen erkend als een best practice voor cybersecurity, en het volgen van deze aanbevelingen helpt organisaties om hun beveiligingspostuur te verbeteren en te voldoen aan industrie-standaarden. Organisaties die niet voldoen aan deze control lopen het risico om te falen tijdens security audits en kunnen worden geconfronteerd met vragen van stakeholders over hun beveiligingspraktijken. Voor Nederlandse overheidsorganisaties is de Baseline Informatiebeveiliging Overheid (BIO) van bijzonder belang. Deze beveiligingsmaatregel draagt direct bij aan BIO control 09.02.01, die betrekking heeft op gebruikersregistratie en -deregistratie. Deze control vereist dat organisaties gebruikmaken van benoemde gebruikersaccounts die traceerbaar zijn naar individuen, wat betekent dat anonieme accounts zoals de gastaccount niet zijn toegestaan. Daarnaast voldoet deze beveiligingsmaatregel aan BIO control 09.02.05, die betrekking heeft op de controle van toegangsrechten en specifiek vereist dat anonieme toegang wordt voorkomen. Voor Nederlandse overheidsorganisaties is het implementeren van BIO controls niet alleen een best practice, maar ook een wettelijke verplichting die moet worden nageleefd om te voldoen aan de vereisten van de Wet bescherming persoonsgegevens en andere relevante wetgeving. De internationale ISO 27001:2022 standaard voor informatiebeveiligingsmanagement bevat verschillende controls die relevant zijn voor deze implementatie. ISO 27001 control A.9.2.1 richt zich op gebruikersregistratie en -deregistratie, waarbij organisaties worden verplicht om gebruikersaccounts te registreren en te deregistreren op een manier die traceerbaar is. Deze control vereist expliciet dat alle gebruikersaccounts kunnen worden toegeschreven aan specifieke individuen, wat betekent dat anonieme accounts zoals de gastaccount niet zijn toegestaan. Daarnaast draagt de implementatie bij aan ISO 27001 control A.9.2.6, die betrekking heeft op het verwijderen of aanpassen van toegangsrechten. Deze control vereist dat organisaties procedures hebben voor het beheren van toegangsrechten, inclusief het uitschakelen van accounts die niet meer nodig zijn of die een beveiligingsrisico vormen. ISO 27001 certificering vereist dat organisaties kunnen aantonen dat ze effectieve controls hebben geïmplementeerd voor het beheren van beveiligingsrisico's, en het uitschakelen van de gastaccount vormt een belangrijk onderdeel van deze controls. De NIS2-richtlijn, die van toepassing is op organisaties in kritieke sectoren zoals energie, transport, en financiële dienstverlening, bevat in Artikel 21 specifieke vereisten voor toegangscontrole en authenticatie. Deze richtlijn vereist dat organisaties passende technische en organisatorische maatregelen implementeren om toegang tot systemen te beheren, inclusief het gebruik van authenticatiemechanismen en het voorkomen van anonieme toegang. Het uitschakelen van de gastaccount draagt direct bij aan de naleving van deze vereisten door te voorkomen dat onbevoegde personen toegang kunnen krijgen tot systemen zonder authenticatie. Voor organisaties die onder de NIS2-richtlijn vallen, is het implementeren van deze beveiligingsmaatregel niet alleen een best practice, maar ook een compliance-vereiste die moet worden gedocumenteerd en geaudit. Voor organisaties die actief zijn in de financiële sector en die moeten voldoen aan de Payment Card Industry Data Security Standard (PCI-DSS), draagt deze beveiligingsmaatregel bij aan Requirement 8.2, die vereist dat alle gebruikers een unieke identificatie hebben voordat ze toegang krijgen tot systemen die kaarthoudergegevens verwerken. Deze requirement maakt expliciet dat anonieme toegang niet is toegestaan, wat betekent dat de gastaccount moet worden uitgeschakeld op alle systemen die binnen de scope van PCI-DSS vallen. Organisaties die niet voldoen aan deze requirement kunnen hun PCI-DSS-certificering verliezen, wat kan leiden tot hoge boetes en het verlies van het recht om creditcardtransacties te verwerken. De NIST Cybersecurity Framework (CSF) bevat in de categorie Protect (PR) verschillende controls die relevant zijn voor deze implementatie. Specifiek draagt deze beveiligingsmaatregel bij aan PR.AC-1, die betrekking heeft op identiteiten en credentials die worden uitgegeven, beheerd en geverifieerd. Deze control vereist dat organisaties procedures hebben voor het beheren van gebruikersaccounts, inclusief het voorkomen van anonieme toegang. Het NIST CSF wordt algemeen erkend als een best practice voor cybersecurity, en organisaties die dit framework volgen, moeten ervoor zorgen dat alle relevante controls zijn geïmplementeerd, inclusief het uitschakelen van de gastaccount. Bij het voorbereiden van compliance-audits dienen organisaties documentatie te verzamelen die aantoont dat deze beveiligingsmaatregel correct is geïmplementeerd en wordt gemonitord. Dit omvat screenshots van Intune-beleidsconfiguraties, exports van Group Policy-instellingen, compliance-rapporten van monitoring scripts, en gedocumenteerde verificaties van de gastaccountstatus op steekproeven van apparaten. Deze documentatie moet worden bewaard voor de volledige auditperiode, wat voor de meeste frameworks minimaal zeven jaar is, om te kunnen aantonen dat de organisatie continu heeft voldaan aan de compliance-vereisten. Het is belangrijk om deze documentatie regelmatig te updaten en te verifiëren dat alle benodigde informatie beschikbaar is voor auditors wanneer deze wordt gevraagd.
Compliance & Frameworks
- CIS M365: Control 2.3.1.2 (L1) - Zorg ervoor dat 'Accounts: gastaccountstatus' is ingesteld op 'Uitgeschakeld'
- BIO: 09.02.01, 09.02.05 - Gebruikersregistratie en toegangscontrole - Benoemde accounts vereist
- ISO 27001:2022: A.9.2.1, A.9.2.6 - Gebruikersregistratie en toegangsrechtenbeheer
- NIS2: Artikel - Toegangscontrole en authenticatie en gebruikersverantwoordingsplicht
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Intune Account Policy: Guest Account Status Disabled
.DESCRIPTION
CIS - Built-in Guest account moet disabled zijn.
.NOTES
Filename: guest-account-status-disabled.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Account: Guest|Expected: Disabled
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $GuestSID = "S-1-5-21-*-501"
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "guest-account-status-disabled.ps1"; PolicyName = "Guest Account"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = "Disabled"; Details = @() }; try { $guest = Get-LocalUser | Where-Object { $_.SID -like $GuestSID }; if ($guest) { $r.CurrentValue = if ($guest.Enabled) { "Enabled" }else { "Disabled" }; if (-not $guest.Enabled) { $r.IsCompliant = $true; $r.Details += "Guest account disabled" }else { $r.Details += "Guest account enabled - RISK" } }else { $r.Details += "Guest account niet gevonden" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r }
function Invoke-Remediation { try { $guest = Get-LocalUser | Where-Object { $_.SID -like $GuestSID }; if ($guest -and $guest.Enabled) { Disable-LocalUser -SID $guest.SID; Write-Host "Guest account disabled" -ForegroundColor Green }else { Write-Host "Guest account already disabled" -ForegroundColor Green } }catch { Write-Error $_ } }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { $guest = Get-LocalUser | Where-Object { $_.SID -like $GuestSID }; if ($guest) { Enable-LocalUser -SID $guest.SID; Write-Host "Guest account enabled" } }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
High: HOOG RISICO: Een ingeschakelde gastaccount biedt anonieme toegang zonder authenticatie, geen audittrail van gebruikersacties, geen verantwoordingsplicht bij beveiligingsincidenten, en compliance-overtredingen (CIS L1, BIO, ISO 27001, PCI-DSS). Bij een scenario met fysieke toegang kan een aanvaller via de gastaccount: systeemtoegang krijgen zonder inloggegevens, gegevens bladeren of exfiltreren, en acties uitvoeren die niet traceerbaar zijn naar een individu. Moderne Windows-omgevingen hebben geen legitieme gebruikscase voor de gastaccount.
Management Samenvatting
Schakel de ingebouwde gastaccount uit op alle Windows-apparaten via Intune of GPO-beleid. Voorkomt anonieme toegang zonder authenticatie en audittrail. De gastaccount is een verouderde functionaliteit zonder moderne gebruikscase. Voldoet aan CIS 2.3.1.2 L1, BIO 09.02, ISO 27001 A.9.2.1, PCI-DSS 8.2. Implementatie: 30-60 minuten voor beleidsimplementatie. VERPLICHT voor alle compliance-frameworks.
- Implementatietijd: 1 uur
- FTE required: 0.01 FTE