💼 Management Samenvatting
Wachtwoordcomplexiteitsvereisten dwingen sterke wachtwoorden af met een combinatie van hoofdletters, kleine letters, cijfers en speciale tekens, waardoor zwakke en eenvoudig te raden wachtwoorden worden voorkomen.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
7/10
Implementatie
4u (tech: 2u)
Van toepassing op:
✓ Windows 10
✓ Windows 11
✓ Intune
✓ Local Accounts
✓ Windows 11
✓ Intune
✓ Local Accounts
Zwakke wachtwoorden zoals 'password123', 'Welkom01!', of 'BedrijfNaam2024!' zijn extreem kwetsbaar voor brute force-aanvallen en woordenboekaanvallen. Aanvallers gebruiken wachtwoordspraying met veelvoorkomende wachtwoorden tegen alle accounts, brute force-tools zoals Hashcat die miljarden combinaties per seconde proberen, credential stuffing met gelekte wachtwoorddatabases van andere datalekken, en regenboogtabellen voor vooraf berekende wachtwoordhashes. Zonder complexiteitsvereisten kiezen gebruikers eenvoudig te onthouden maar zwakke wachtwoorden. Complexiteitsvereisten dwingen af: minimaal 3 van 4 tekentypen (hoofdletters, kleine letters, cijfers, speciale karakters), het wachtwoord mag NIET de gebruikersnaam bevatten, voorkomt veelvoorkomende wachtwoorden zoals 'Password1!', en vergroot de wachtwoordruimte exponentieel waardoor brute force-aanvallen onpraktisch worden. Gecombineerd met minimale lengte van 14+ tekens creëert dit sterke wachtwoorden die resistent zijn tegen moderne aanvalstechnieken.
PowerShell Modules Vereist
Primary API: Microsoft Graph API
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
Deze controle configureert het Windows-beveiligingsbeleid 'Wachtwoord moet voldoen aan complexiteitsvereisten' via Intune-apparaatconfiguratie. Het beleid wordt geconfigureerd via lokale beveiligingsbeleidsinstellingen en valideert dat wachtwoorden voldoen aan Windows-complexiteitsregels: minimaal 3 tekentypen uit 4 categorieën (A-Z, a-z, 0-9, speciale tekens !@#$%^&*), het wachtwoord mag de gebruikersnaam niet bevatten of delen daarvan, en er is een minimale lengtevereiste (geconfigureerd via een apart beleid, aanbevolen 14+ tekens). Het beleid wordt afgedwongen via de secedit-tool en geldt voor lokale Windows-accounts. Voor Azure AD-accounts worden vergelijkbare complexiteitsvereisten geconfigureerd via Azure AD-wachtwoordbeschermingsbeleidsregels.
Vereisten
Voor het succesvol implementeren van wachtwoordcomplexiteitsvereisten binnen een Microsoft 365-omgeving zijn verschillende technische en organisatorische voorwaarden essentieel. Deze vereisten vormen de basis voor een effectieve implementatie die zowel technisch haalbaar als gebruiksvriendelijk is voor eindgebruikers binnen Nederlandse overheidsorganisaties. Vanuit technisch perspectief is een actief Microsoft Intune-abonnement met apparaatconfiguratie-licenties onmisbaar. Deze licenties stellen organisaties in staat om beveiligingsbeleidsregels centraal te beheren en af te dwingen op alle Windows-apparaten binnen de organisatie. De apparaten zelf moeten beschikken over Windows 10 of Windows 11 in de Pro, Enterprise of Education editie, aangezien deze edities de benodigde beveiligingsfuncties ondersteunen die vereist zijn voor lokale wachtwoordbeleidsregels. Daarnaast moeten alle apparaten volledig zijn ingeschreven in Microsoft Intune, wat betekent dat het apparaatinschrijvingsproces succesvol moet zijn afgerond en dat apparaten regelmatig synchroniseren met de Intune-service. Voor lokale Windows-accounts, zoals lokale beheerdersaccounts op werkstations, is het belangrijk dat deze accounts daadwerkelijk zijn geconfigureerd op de apparaten waarop het beleid van toepassing moet zijn. Dit is met name relevant voor organisaties die nog steeds lokale accounts gebruiken naast Azure Active Directory-accounts, of voor specifieke scenario's zoals service accounts of lokale beheerdersaccounts die niet via Azure AD worden beheerd. Naast de technische vereisten zijn organisatorische voorbereidingen cruciaal voor een succesvolle implementatie. Een uitgebreid gebruikerscommunicatieplan is essentieel om gebruikers voor te bereiden op de nieuwe wachtwoordvereisten. Dit plan moet duidelijk uitleggen waarom complexere wachtwoorden nodig zijn, wat de nieuwe vereisten precies inhouden, en hoe gebruikers kunnen voldoen aan deze vereisten zonder hun productiviteit te verliezen. De communicatie moet praktische voorbeelden bevatten van acceptabele wachtwoorden en uitleggen hoe gebruikers complexe maar memorabele wachtwoorden kunnen creëren. Helpdeskmedewerkers moeten worden getraind in het ondersteunen van gebruikers bij wachtwoordgerelateerde problemen. Dit omvat niet alleen technische ondersteuning bij wachtwoordresets, maar ook het kunnen uitleggen van complexiteitsvereisten en het helpen van gebruikers bij het kiezen van geschikte wachtwoorden. Helpdeskmedewerkers moeten begrijpen welke foutmeldingen gebruikers kunnen ontvangen wanneer wachtwoorden niet voldoen aan de complexiteitsvereisten en hoe ze gebruikers kunnen begeleiden naar een oplossing. Hoewel optioneel, wordt het sterk aanbevolen om een wachtwoordbeheeroplossing te implementeren voor gebruikers. Wachtwoordbeheerders zoals LastPass, 1Password of Bitwarden maken het voor gebruikers veel eenvoudiger om complexe, unieke wachtwoorden te beheren zonder deze uit het hoofd te hoeven leren. Dit verhoogt niet alleen de beveiliging door het gebruik van sterke wachtwoorden te stimuleren, maar verbetert ook de gebruikerservaring aanzienlijk. Ten slotte moet er een compliancebeleidskader aanwezig zijn voor de handhaving van wachtwoordbeleidsregels. Dit kader definieert hoe organisaties controleren of apparaten daadwerkelijk voldoen aan de geconfigureerde beleidsregels, welke stappen worden ondernomen wanneer apparaten niet-compliant zijn, en hoe de effectiviteit van het beleid wordt gemeten en gerapporteerd. Dit kader is essentieel voor zowel interne audits als externe compliance-verificaties volgens normen zoals BIO, ISO 27001 en NIS2.
Implementatie
Wachtwoordcomplexiteit kan worden geïmplementeerd via de Intune Instellingencatalogus, een moderne benadering die organisaties in staat stelt om Windows-beveiligingsbeleidsregels centraal te configureren en te beheren zonder dat er directe toegang tot individuele apparaten nodig is. Deze methode is bijzonder geschikt voor Nederlandse overheidsorganisaties die schaalbaarheid en consistentie vereisen bij het implementeren van beveiligingsmaatregelen. Het implementatieproces begint in het Microsoft Intune-beheercentrum, waar beheerders navigeren naar de sectie Apparaten en vervolgens naar Configuratieprofielen. Hier kunnen nieuwe profielen worden aangemaakt die specifieke beveiligingsinstellingen bevatten voor Windows-apparaten. Bij het aanmaken van een nieuw profiel selecteren beheerders Windows 10 en later als platform, wat ervoor zorgt dat het beleid compatibel is met zowel Windows 10 als Windows 11-apparaten. Het profieltype wordt ingesteld op Instellingencatalogus, wat toegang geeft tot een uitgebreide verzameling van configureerbare Windows-instellingen. Voor de naam van het profiel wordt een duidelijke en beschrijvende naam aanbevolen, zoals 'Windows - Wachtwoordbeleid - Complexiteit', zodat andere beheerders en auditors direct kunnen begrijpen wat het doel van het profiel is. Binnen de Instellingencatalogus zoeken beheerders naar de categorie Lokale Beleidsregels Beveiligingsopties, waar de specifieke instelling 'Wachtwoord moet voldoen aan complexiteitsvereisten' kan worden gevonden. Deze instelling wordt geactiveerd door de waarde in te schakelen, wat overeenkomt met de waarde True in het onderliggende Windows-beveiligingsbeleid. Voor een complete wachtwoordbeveiligingsstrategie is het essentieel om wachtwoordcomplexiteit te combineren met andere gerelateerde wachtwoordbeleidsregels. De minimale wachtwoordlengte moet worden ingesteld op ten minste 14 karakters, aangezien onderzoek heeft aangetoond dat lengte belangrijker is dan complexiteit alleen. Een wachtwoord van 14 karakters met eenvoudige complexiteit is vaak veiliger dan een korter wachtwoord met hoge complexiteit. Daarnaast moet wachtwoordgeschiedenis worden geconfigureerd om 24 vorige wachtwoorden te onthouden, wat voorkomt dat gebruikers oude wachtwoorden opnieuw gebruiken. De maximale wachtwoordleeftijd kan worden ingesteld op 90 dagen, hoewel dit kan worden verlengd tot 180 dagen of langer wanneer meervoudige authenticatie wordt gebruikt. Deze flexibiliteit erkent dat sterke wachtwoorden in combinatie met MFA minder frequent hoeven te worden gewijzigd, wat de gebruikerservaring verbetert zonder de beveiliging te compromitteren. Het accountvergrendelingsdrempelniveau moet worden ingesteld op 10 ongeldige pogingen, wat bescherming biedt tegen brute force-aanvallen terwijl legitieme gebruikers nog steeds toegang kunnen krijgen wanneer ze een wachtwoord vergeten. Na configuratie moet het profiel worden toegewezen aan alle Windows-apparaten binnen de organisatie. Dit kan worden gedaan door specifieke groepen te selecteren of door het profiel toe te wijzen aan alle apparaten. De implementatie moet worden gemonitord via de apparaatconfiguratiestatus in Intune, waar beheerders kunnen zien welke apparaten het beleid hebben ontvangen, welke apparaten nog in behandeling zijn, en welke apparaten mogelijk fouten hebben ondervonden tijdens de implementatie. Bij het implementeren van wachtwoordcomplexiteit zijn verschillende best practices van cruciaal belang. De aanbevolen minimale lengte is 14 tot 16 karakters, waarbij lengte belangrijker wordt geacht dan complexiteit alleen. Dit komt omdat de wachtwoordruimte exponentieel groeit met elke extra karakter, waardoor brute force-aanvallen praktisch onmogelijk worden voor langere wachtwoorden. Organisaties moeten gebruikers aanmoedigen om wachtwoordzinnen te gebruiken, zoals 'KoffieOm8UurOpKantoor!', die zowel complex als memorabel zijn. Deze aanpak combineert de beveiligingsvoordelen van complexe wachtwoorden met de gebruiksvriendelijkheid van gemakkelijk te onthouden zinnen. Het implementeren van een wachtwoordbeheeroplossing voor gebruikers, zoals LastPass, 1Password of Bitwarden, maakt het voor gebruikers veel eenvoudiger om complexe, unieke wachtwoorden te beheren. Deze tools genereren automatisch sterke wachtwoorden en slaan deze veilig op, waardoor gebruikers niet langer hoeven te vertrouwen op hun geheugen of onveilige methoden zoals het opschrijven van wachtwoorden. Gebruikerseducatie is essentieel, waarbij moet worden benadrukt dat lengte belangrijker is dan complexiteit voor echte beveiliging. Organisaties moeten overwegen om wachtwoordloze authenticatie te implementeren, zoals Windows Hello voor Business of FIDO2-sleutels, als moderne alternatieven die de afhankelijkheid van wachtwoorden volledig elimineren. Voor Azure AD-accounts moeten organisaties gebruik maken van Azure AD-wachtwoordbescherming, dat verboden wachtwoordlijsten bevat en voorkomt dat gebruikers veelvoorkomende of zwakke wachtwoorden kiezen. Deze service werkt samen met lokale wachtwoordcomplexiteitsvereisten om een gelaagde beveiligingsbenadering te creëren die zowel cloud- als on-premises accounts beschermt.
Gebruik PowerShell-script password-complexity-afgedwongen.ps1 (functie Invoke-Remediation) – PowerShell script voor lokale configuratie van wachtwoordcomplexiteit via secedit tool.
Monitoring en Toezicht
Gebruik PowerShell-script password-complexity-enforced.ps1 (functie Invoke-Monitoring) – Controleren van wachtwoordcomplexiteitsbeleid.
Voortdurende monitoring van wachtwoordcomplexiteitsbeleidsregels is essentieel om ervoor te zorgen dat de beveiligingsmaatregelen effectief worden geïmplementeerd en gehandhaafd binnen de organisatie. Monitoring stelt beheerders in staat om problemen vroegtijdig te identificeren, trends te analyseren en de effectiviteit van het beleid te meten over tijd. Het primaire monitoringinstrument is het Intune Device Compliance Dashboard, waar beheerders de nalevingsgraad van wachtwoordbeleidsregels kunnen bekijken voor alle apparaten binnen de organisatie. Dit dashboard toont realtime informatie over welke apparaten voldoen aan de geconfigureerde beleidsregels, welke apparaten nog in behandeling zijn, en welke apparaten mogelijk niet-compliant zijn. Het streefdoel voor organisaties moet zijn om binnen 7 dagen na de implementatie van het beleid 100% naleving te bereiken op alle doelapparaten. Dit tijdsbestek geeft apparaten voldoende tijd om te synchroniseren met Intune en het beleid toe te passen, terwijl het ook een duidelijke verwachting stelt voor beheerders om eventuele problemen snel op te lossen. Naast het monitoren van naleving moeten beheerders ook wachtwoordwijzigingsfouten monitoren die worden veroorzaakt door complexiteitsovertredingen. Deze informatie is beschikbaar in Windows Event Logs, specifiek in gebeurtenis 4723, die wordt gegenereerd wanneer een gebruiker probeert een wachtwoord te wijzigen dat niet voldoet aan de complexiteitsvereisten. Door deze gebeurtenissen te analyseren kunnen beheerders patronen identificeren, zoals welke gebruikers of afdelingen het meest moeite hebben met het voldoen aan de vereisten, en gerichte training of ondersteuning bieden waar nodig. Deze monitoring helpt ook bij het identificeren van mogelijke beveiligingsproblemen, zoals herhaalde pogingen om zwakke wachtwoorden in te stellen, wat kan wijzen op pogingen tot accountovername. Helpdesktickets gerelateerd aan wachtwoordcomplexiteitsproblemen moeten worden gevolgd en geanalyseerd om trends te identificeren en de gebruikerservaring te verbeteren. Een toename van tickets kan wijzen op problemen met gebruikerscommunicatie, onduidelijke vereisten, of technische problemen met de implementatie. Door deze tickets te categoriseren en te analyseren kunnen beheerders gerichte verbeteringen aanbrengen, zoals het verbeteren van gebruikersdocumentatie, het aanbieden van aanvullende training, of het aanpassen van de complexiteitsvereisten indien nodig. Gefaalde aanmeldpogingen moeten worden geanalyseerd voor de detectie van brute force-aanvallen. Wanneer aanvallers proberen accounts te compromitteren door herhaaldelijk verschillende wachtwoorden te proberen, zullen deze pogingen zichtbaar zijn in de beveiligingslogboeken. Monitoringtools kunnen deze patronen automatisch detecteren en waarschuwingen genereren wanneer verdachte activiteit wordt waargenomen, zoals meerdere gefaalde aanmeldpogingen van hetzelfde IP-adres of tegen meerdere accounts. Deze monitoring is bijzonder belangrijk omdat het helpt bij het identificeren van aanvallen voordat ze succesvol zijn, waardoor beheerders proactieve maatregelen kunnen nemen om accounts te beschermen. Kwartaalreviews moeten worden uitgevoerd om de effectiviteit van het beleid te valideren en gebruikersfeedback te verzamelen. Deze reviews moeten de nalevingsstatistieken analyseren, trends in helpdesktickets evalueren, en feedback verzamelen van gebruikers en helpdeskmedewerkers over de impact van het beleid. Op basis van deze reviews kunnen beheerders beslissen of aanpassingen nodig zijn aan het beleid, de communicatie, of de ondersteuning die wordt geboden aan gebruikers. Deze iteratieve aanpak zorgt ervoor dat het beleid effectief blijft en gebruiksvriendelijk is voor de organisatie. Ten slotte moeten beheerders waarschuwingen configureren voor apparaten die het beleid niet ontvangen, wat kan worden veroorzaakt door verouderde inschrijvingen, synchronisatieproblemen, of andere technische problemen. Deze waarschuwingen helpen beheerders om problemen snel te identificeren en op te lossen voordat ze leiden tot beveiligingsrisico's. Apparaten die niet regelmatig synchroniseren met Intune kunnen achterlopen op beveiligingsbeleidsregels, waardoor ze kwetsbaar zijn voor aanvallen. Door deze apparaten proactief te identificeren en te herstellen, kunnen beheerders ervoor zorgen dat alle apparaten binnen de organisatie dezelfde beveiligingsstandaarden handhaven.
Remediatie
Gebruik PowerShell-script password-complexity-enforced.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer apparaten niet-compliant zijn of wanneer er schendingen van het wachtwoordcomplexiteitsbeleid worden gedetecteerd, is een gestructureerde remediatieaanpak essentieel om de beveiligingsstandaarden te herstellen en toekomstige problemen te voorkomen. De remediatieprocessen moeten zowel technische als organisatorische aspecten omvatten om effectief te zijn. De eerste stap in het remediatieproces is het identificeren van niet-compliant apparaten via Intune-rapportage. Het Intune Device Compliance Dashboard biedt gedetailleerde rapporten die beheerders in staat stellen om specifieke apparaten te identificeren die niet voldoen aan de geconfigureerde beleidsregels. Deze rapporten bevatten informatie over wanneer het beleid voor het laatst is gesynchroniseerd, welke fouten mogelijk zijn opgetreden, en de huidige status van het apparaat. Beheerders moeten deze rapporten regelmatig controleren en prioriteren op basis van de risico's die niet-compliant apparaten vormen voor de organisatie. Na het identificeren van niet-compliant apparaten moet een grondige oorzaakanalyse worden uitgevoerd om de onderliggende oorzaak van het probleem te begrijpen. Veelvoorkomende oorzaken zijn problemen met de toewijzing van beleidsregels, waarbij apparaten mogelijk niet zijn opgenomen in de juiste groepen of waarbij de toewijzing van het beleid niet correct is geconfigureerd. Apparaatsynchronisatiefouten kunnen optreden wanneer apparaten niet regelmatig verbinding maken met Intune, wat kan worden veroorzaakt door netwerkproblemen, verouderde inschrijvingen, of problemen met de Company Portal-app. Lokale beleidsoverrides kunnen optreden wanneer Group Policy Objects van on-premises Active Directory conflicteren met Intune-beleidsregels, wat vooral relevant is voor hybride omgevingen waar zowel cloud- als on-premises beheer wordt gebruikt. Remediatieacties moeten worden aangepast aan de specifieke oorzaak van het probleem. Voor apparaten met synchronisatieproblemen kunnen beheerders gebruikers vragen om handmatig een synchronisatie te forceren via de Company Portal-app door naar Instellingen te gaan en de optie Synchroniseren te selecteren. Dit dwingt het apparaat af om onmiddellijk verbinding te maken met Intune en alle toegewezen beleidsregels te downloaden. Beheerders moeten ook de toewijzingsscope van het beleid verifiëren om ervoor te zorgen dat alle doelapparaten daadwerkelijk zijn opgenomen in de toewijzing. Dit omvat het controleren van groepsleden, dynamische groepregels, en eventuele uitsluitingen die mogelijk van invloed zijn op de toewijzing. Voor hybride omgevingen moeten beheerders controleren op conflicterende Group Policy Objects van on-premises Active Directory. Deze GPO's kunnen lokale wachtwoordbeleidsregels overschrijven die via Intune zijn geconfigureerd, wat leidt tot inconsistentie tussen apparaten. Beheerders moeten de GPO-configuratie controleren en ervoor zorgen dat Intune-beleidsregels de juiste prioriteit hebben, of dat conflicterende GPO's worden aangepast om consistentie te waarborgen. In sommige gevallen kan het nodig zijn om Intune-beleidsregels te configureren met een hogere prioriteit dan lokale GPO's, of om specifieke GPO's uit te schakelen die conflicteren met cloud-beheerde beleidsregels. Wanneer Intune-synchronisatie blijft falen, kunnen beheerders handmatige remediatie uitvoeren via PowerShell-scripts die de wachtwoordcomplexiteitsinstellingen direct configureren op het lokale apparaat. Deze scripts gebruiken de secedit-tool om de Windows-beveiligingsbeleidsregels te wijzigen, waardoor het beleid wordt toegepast zelfs wanneer Intune-synchronisatie niet werkt. Deze aanpak moet echter worden gebruikt als laatste redmiddel, omdat het de voordelen van centraal beheer vermindert en handmatige interventie vereist op elk apparaat. Voor gebruikers die problemen ondervinden met wachtwoordcomplexiteitsvereisten moeten organisatorische remediatiemaatregelen worden genomen. Gebruikers moeten worden geëduqueerd over de complexiteitsvereisten en waarom deze belangrijk zijn voor beveiliging. Deze educatie moet praktische voorbeelden bevatten van acceptabele wachtwoorden en uitleggen hoe gebruikers complexe maar memorabele wachtwoordzinnen kunnen creëren. Organisaties moeten gebruikers aanmoedigen om een wachtwoordbeheeroplossing te gebruiken, wat het veel eenvoudiger maakt om complexe, unieke wachtwoorden te beheren zonder deze uit het hoofd te hoeven leren. Wachtwoordbeheerders genereren automatisch sterke wachtwoorden en slaan deze veilig op, waardoor gebruikers niet langer hoeven te vertrouwen op hun geheugen. Beheerders moeten gebruikers voorbeelden bieden van complexe maar memorabele wachtwoordzinnen, zoals 'KoffieOm8UurOpKantoor!' of 'MijnHondHeeft3Poten!', die zowel voldoen aan complexiteitsvereisten als gemakkelijk te onthouden zijn. Deze voorbeelden helpen gebruikers te begrijpen dat complexe wachtwoorden niet per se moeilijk te onthouden hoeven te zijn wanneer ze worden geconstrueerd als zinnen in plaats van willekeurige tekens. Helpdeskmedewerkers moeten worden getraind om gebruikers te assisteren bij wachtwoordresets en om gebruikers te begeleiden bij het kiezen van geschikte wachtwoorden die voldoen aan de complexiteitsvereisten. Deze ondersteuning is essentieel om gebruikers te helpen voldoen aan de beveiligingsvereisten zonder hun productiviteit te verliezen.
Compliance en Audit
Wachtwoordcomplexiteit vormt een fundamentele beveiligingsmaatregel die essentieel is voor naleving van vrijwel alle belangrijke beveiligings- en complianceframeworks die van toepassing zijn op Nederlandse overheidsorganisaties. Deze controle is niet alleen een technische beveiligingsmaatregel, maar ook een verplichting die voortvloeit uit wet- en regelgeving, industriestandaarden en best practices voor informatiebeveiliging. De CIS Benchmark voor Intune en Windows specificeert expliciet dat wachtwoordcomplexiteitsvereisten moeten worden ingeschakeld als onderdeel van een complete beveiligingsconfiguratie. Deze benchmark, ontwikkeld door het Center for Internet Security, biedt gedetailleerde aanbevelingen voor het beveiligen van Windows-omgevingen en wordt wereldwijd erkend als een autoriteit op het gebied van cybersecurity-configuratie. Voor Nederlandse overheidsorganisaties die streven naar CIS-naleving is het implementeren van wachtwoordcomplexiteit een vereiste die niet kan worden overgeslagen zonder de algehele beveiligingspostuur van de organisatie te compromitteren. Binnen de Nederlandse context is de BIO Baseline Informatiebeveiliging Overheid van bijzonder belang. Thema 09.04.03 specificeert expliciet de vereisten voor het gebruik van geheime authenticatie-informatie, waarbij wachtwoordkwaliteit een centrale rol speelt. Deze baseline, ontwikkeld door het Nationaal Cyber Security Centrum, vormt de basis voor informatiebeveiliging binnen de Nederlandse overheid en is verplicht voor alle overheidsorganisaties. Wachtwoordcomplexiteit is een directe vereiste binnen deze baseline, en organisaties die niet voldoen aan deze vereisten kunnen worden geconfronteerd met complianceproblemen tijdens audits en beoordelingen. ISO 27001:2022, de internationale standaard voor informatiebeveiligingsmanagementsystemen, adresseert wachtwoordcomplexiteit in controle A.5.17, die betrekking heeft op authenticatie-informatie en wachtwoordsterktevereisten. Deze standaard vereist dat organisaties passende maatregelen nemen om ervoor te zorgen dat wachtwoorden voldoende sterk zijn om weerstand te bieden tegen aanvallen, en wachtwoordcomplexiteit is een van de primaire mechanismen om dit te bereiken. Voor organisaties die ISO 27001-certificering nastreven of behouden, is het implementeren van wachtwoordcomplexiteit niet alleen een best practice, maar een verplichte controle die moet worden gedocumenteerd en geaudit. De NIS2-richtlijn, die is geïmplementeerd in Nederlandse wetgeving, vereist in Artikel 21 dat organisaties passende cybersecurity-risicobeheermaatregelen implementeren, waaronder sterke authenticatiemechanismen. Wachtwoordcomplexiteit vormt een essentieel onderdeel van sterke authenticatie en is daarom direct relevant voor NIS2-naleving. Organisaties die onder de reikwijdte van NIS2 vallen, wat het geval is voor veel essentiële en belangrijke entiteiten binnen de Nederlandse overheid, moeten kunnen aantonen dat zij passende wachtwoordbeveiligingsmaatregelen hebben geïmplementeerd. NIST 800-63B, de Digital Identity Guidelines van het National Institute of Standards and Technology, biedt gedetailleerde richtlijnen voor wachtwoordsterkte en samenstellingsregels. Hoewel dit een Amerikaanse standaard is, wordt deze wereldwijd erkend als een autoriteit op het gebied van digitale identiteitsbeveiliging en wordt deze vaak gebruikt als referentie voor wachtwoordbeleidsregels. De richtlijnen benadrukken het belang van wachtwoordcomplexiteit in combinatie met andere factoren zoals lengte en het voorkomen van veelvoorkomende wachtwoorden. Voor organisaties die betrokken zijn bij de verwerking van betalingsgegevens is PCI-DSS Requirement 8.3.6 van toepassing, die specifieke wachtwoordcomplexiteitsvereisten stelt. Hoewel niet alle Nederlandse overheidsorganisaties direct onder PCI-DSS vallen, kunnen organisaties die betalingen verwerken of betalingsgegevens opslaan worden geconfronteerd met deze vereisten. Zelfs wanneer PCI-DSS niet direct van toepassing is, bieden de vereisten waardevolle richtlijnen voor wachtwoordbeveiliging die kunnen worden toegepast in andere contexten. Wachtwoordcomplexiteit is daarom een baselinevereiste voor bijna alle complianceframeworks die relevant zijn voor Nederlandse overheidsorganisaties. Het ontbreken van deze controle kan leiden tot niet-naleving tijdens audits, wat kan resulteren in beveiligingsincidenten, reputatieschade, en mogelijke juridische gevolgen. Organisaties moeten niet alleen wachtwoordcomplexiteit implementeren, maar ook kunnen aantonen dat deze correct is geconfigureerd en wordt gehandhaafd, wat vereist dat monitoring, rapportage en auditprocessen op hun plaats zijn om compliance te verifiëren en te onderhouden.
Compliance & Frameworks
- CIS M365: Control Intune-Password-Complexity (L1) - Wachtwoord moet voldoen aan complexiteitsvereisten moet zijn ingeschakeld
- BIO: 09.04.03 - BIO Baseline Informatiebeveiliging Overheid - Thema 09: Wachtwoordkwaliteit - Gebruik van sterke wachtwoorden met complexiteitsvereisten
- ISO 27001:2022: A.5.17, A.5.18 - Authenticatie-informatie en toegangsrechten - Wachtwoordkwaliteit
- NIS2: Artikel - Sterke authenticatiemechanismen - Wachtwoordvereisten
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Intune Account Policy: Password Complexity Enforced
.DESCRIPTION
CIS - Password complexity moet enabled zijn.
.NOTES
Filename: password-complexity-enforced.ps1|Author: Nederlandse Baseline voor Veilige Cloud|SecurityPolicy: PasswordComplexity|Expected: 1
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $PolicyName = "PasswordComplexity"; $ExpectedValue = 1
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance {
$r = [PSCustomObject]@{ScriptName = "password-complexity-enforced.ps1"; PolicyName = $PolicyName; IsCompliant = $false; CurrentValue = $null; ExpectedValue = "Enabled"; Details = @() }; function Invoke-Revert { Write-Host "Revert via Group Policy" }
try { $secedit = secedit /export /cfg "$env:TEMP\secedit.txt" 2>&1; $content = Get-Content "$env:TEMP\secedit.txt"; $line = $content | Where-Object { $_ -match "^$PolicyName\s*=\s*(.+)" }; if ($line -match "=\s*(\d+)") { $r.CurrentValue = $matches[1]; if ([int]$r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Password complexity enabled" }else { $r.Details += "Password complexity disabled" } }else { $r.Details += "Niet geconfigureerd" } }catch { $r.Details += "Error: $($_.Exception.Message)" }finally { Remove-Item "$env:TEMP\secedit.txt" -ErrorAction SilentlyContinue }; return $r
}
function Invoke-Remediation {
$tempFile = "$env:TEMP\secedit_config.inf"; function Invoke-Revert { Write-Host "Revert via Group Policy" }
try { $config = "[Unicode]`r`nUnicode=yes`r`n[Version]`r`nsignature=`"`$CHICAGO`$`"`r`nRevision=1`r`n[System Access]`r`n$PolicyName = $ExpectedValue`r`n"; Set-Content -Path $tempFile -Value $config -Encoding Unicode; secedit /configure /db "$env:TEMP\secedit.sdb" /cfg $tempFile /areas SECURITYPOLICY | Out-Null; Write-Host "Password complexity enabled" -ForegroundColor Green }finally { Remove-Item $tempFile -ErrorAction SilentlyContinue; Remove-Item "$env:TEMP\secedit.sdb" -ErrorAction SilentlyContinue }
}
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { Write-Host "Revert via Group Policy" }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
High: Hoog risico op accountcompromittering via wachtwoordaanvallen: zwakke wachtwoorden zoals 'Welkom2024!' of 'Bedrijf123' kunnen binnen minuten tot uren worden gekraakt met moderne brute force-tools. Dit leidt tot onbevoegde accounttoegang, laterale beweging in het netwerk, gegevensexfiltratie en complianceschendingen. Voor lokale beheerdersaccounts is dit bijzonder kritiek omdat deze vaak verhoogde privileges hebben. Complexiteitsvereisten in combinatie met minimale lengte (14+ tekens) voorkomen zwakke wachtwoorden en verhogen de beveiliging aanzienlijk.
Management Samenvatting
Dwing wachtwoordcomplexiteit af via Intune-beleid: minimaal 3 van 4 tekentypen (hoofdletters/kleine letters/cijfers/speciale tekens). Combineer met 14+ tekens lengte voor sterke wachtwoorden. Implementeer wachtwoordbeheerders voor gebruikersgemak. Voldoet aan BIO 09.04, ISO 27001 A.5.17, NIST 800-63B. Implementatietijd: 2 uur technisch + 2 uur gebruikerscommunicatie. Overweeg wachtwoordloze authenticatie (Windows Hello) als moderne alternatief.
- Implementatietijd: 4 uur
- FTE required: 0.03 FTE