L1 BIO 09.04.03 ISO A.9.4.3 CIS Windows Benchmark 1.1.1

Password History Afgedwongen

📅 2025-10-30
⏱️ 3 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Het afdwingen van wachtwoordgeschiedenis is een bewezen maatregel om hergebruik van referenties te stoppen en vormt een essentieel onderdeel van de Nederlandse Baseline voor Veilige Cloud.

Aanbeveling
Voer het beleid uit waarbij ten minste vierentwintig vorige wachtwoorden worden onthouden en borg dit via Intune en GPO’s, zodat hergebruik structureel wordt verhinderd en audits overtuigend bewijs krijgen.
Risico zonder
Medium
Risk Score
5/10
Implementatie
1u (tech: 0.5u)
Van toepassing op:
Windows

Zonder een verplicht wachtwoordarchief vallen veel gebruikers terug op recente combinaties die zij gemakkelijk onthouden, waardoor onderschepte inloggegevens intact blijven en kwaadwillenden zonder extra inspanning terugkerende toegang krijgen tot essentiële diensten. Door minstens vierentwintig unieke wachtwoorden op te slaan dwingt de organisatie mensen om nieuwe sterke varianten te creëren, sluit het risico af dat een gelekt wachtwoord binnen dezelfde rotatieperiode terugkomt en voldoet zij aantoonbaar aan de eisen uit CIS, BIO en ISO 27001.

PowerShell Modules Vereist
Primary API: Intune/GPO
Connection: Local beveiligingsbeleid
Required Modules:

Implementatie

Stel de parameter PasswordHistorySize in via het lokale beveiligingsbeleid, een Active Directory groepsbeleid of een Intune Account Protection-profiel en controleer dat de waarde structureel op 24 staat. Het besturingssysteem weigert daarmee automatisch de invoer van een recent wachtwoord, waarna het beheerteam via rapportages kan bevestigen dat hergebruik feitelijk is geblokkeerd.

Vereisten

Een succesvolle implementatie van wachtwoordgeschiedenis begint met een robuuste technische basis. Werkplekken moeten draaien op ondersteunde Windows 10 of 11 Enterprise builds met de laatste kwaliteitsupdates, omdat verouderde versies de beleidsinstelling PasswordHistorySize niet altijd consistent interpreteren. Devices moeten zijn geregistreerd in Azure AD of hybride gekoppeld aan on-premises Active Directory, zodat Intune of GPO’s de instelling kunnen pushen zonder conflicten. Daarnaast is betrouwbare netwerkconnectiviteit vereist richting Microsoft Endpoint Manager, aangezien remediatiescripts anders niet worden uitgevoerd. De beheerorganisatie moet beschikken over geautoriseerde serviceaccounts met het Intune-rolpakket Endpoint Security Manager en de Active Directory-rol Domain Admin, zodat zowel cloud- als on-premises componenten kunnen worden aangepast.

Naast platformeisen gelden identiteits- en beveiligingsvereisten. Multi-factor authenticatie is verplicht voor elke beheerder die wachtwoordbeleid wijzigt, zodat kwaadwillenden niet via gestolen sessies wijzigingen kunnen aanbrengen. Credential Guard en BitLocker moeten zijn ingeschakeld op beheerderswerkstations om de kans op credential harvesting te minimaliseren. Voor hybride organisaties is een betrouwbare synchronisatie tussen Azure AD Connect en de on-premises directory noodzakelijk; inconsistenties kunnen ertoe leiden dat apparaten de nieuwe policy pas laat ontvangen. Verder dient het certificaatlandschap op orde te zijn zodat PowerShell-scripts die via Intune worden gedistribueerd digitaal kunnen worden ondertekend en gecontroleerd.

Organisatorisch moet de CISO het wachtwoordbeleid opnemen in het informatiebeveiligingsplan en expliciet verwijzen naar de Nederlandse Baseline voor Veilige Cloud. Het wijzigingsverzoek moet langs het Change Advisory Board en voorzien zijn van een risicoanalyse waarin de impact op gebruikers, kritieke applicaties en servicedeskvolume staat beschreven. Voorafgaand aan de invoering dient een communicatiestrategie klaar te liggen waarin HR, communicatie en IT gezamenlijk uitleggen waarom wachtwoordgeschiedenis noodzakelijk is en hoe medewerkers ondersteuning krijgen. In deze communicatie horen tijdige reminders voor afdelingen die veel gedeelde accounts gebruiken, zoals meldkamers of buitendienstteams.

Daarnaast zijn procesmatige waarborgen nodig. Service Level Agreements moeten aangeven hoe snel een afwijkende policy wordt hersteld en wie verantwoordelijk is voor escalaties. Er moet een procedure bestaan om uitzonderingen tijdelijk toe te staan voor systemen die technisch nog niet met 24 historische wachtwoorden overweg kunnen; deze uitzonderingen krijgen een einddatum en vereisen goedkeuring van de proceseigenaar Identiteit en Toegangsbeheer. De interne auditdienst moet inzicht hebben in het volledige proces zodat tijdens controles kan worden vastgesteld dat de vereisten daadwerkelijk worden nageleefd en dat er geen schaduwpaden ontstaan.

Tot slot behoren ondersteunende tools tot de vereisten. Er moeten dashboards beschikbaar zijn in Intune, Microsoft Sentinel of Power BI waarin compliancepercentages zichtbaar zijn. Documentmanagementsystemen moeten ingericht zijn om beleidsdocumenten, changerapporten en trainingsmateriaal minimaal zeven jaar te bewaren. Maak tevens afspraken over hoe scripts in de repository worden versiebeheerd en getest; bij voorkeur via een DevSecOps-pijplijn waarin code reviews, statische analyse en gesigneerde releases verplicht zijn. Pas wanneer al deze technische, organisatorische en documentatievereisten aantoonbaar zijn geborgd, kan de maatregel betrouwbaar worden uitgerold.

Implementatie

De implementatie bestaat uit vijf nauw samenhangende sporen die technische configuratie, adoptie en borging combineren. Start met een nulmeting: verzamel via Intune Device Configuration de huidige waarde van PasswordHistorySize en exporteer het lokale beveiligingsbeleid van een representatieve set endpoints. Deze gegevens worden opgeslagen in het auditdossier en vormen de referentie voor verbeteringen. Documenteer tegelijkertijd welke applicaties mogelijk afhankelijk zijn van statische wachtwoorden, zodat hiervoor tijdig alternatieven kunnen worden ingevoerd. Richt vervolgens een Intune remediatiepakket in met het script `code/intune/account-policies/password-history-afgedwongen.ps1`, stel de detectieschema in op elke twaalf uur en activeer logging naar zowel het Windows-eventlog als Microsoft Sentinel. Zo ontstaat direct inzicht in de mate waarin apparaten succesvol zijn bijgewerkt.

In het tweede spoor configureert het Endpoint Security-team een Account Protection-profiel. Kies voor een dedicated profiel dat uitsluitend de parameter PasswordHistorySize bevat, zodat eventuele toekomstige wijzigingen eenvoudig te traceren zijn. Gebruik Azure AD-groepen per organisatieonderdeel en rol het profiel gefaseerd uit: eerst een pilotgroep met maximaal vijf procent van de apparaten, daarna een bredere acceptatiegroep en tot slot de gehele productieomgeving. Tijdens elke fase wordt een rollbackplan paraat gehouden waarbij het profiel tijdelijk wordt uitgeschakeld en de remediatiescripttaak pauzeert, zodat kritieke processen onverstoord doorlopen. Voor on-premises servers wordt een gelijkwaardige instelling opgenomen in een dedicated Group Policy Object met enforced linking, zodat lagere beleidslagen de waarde niet kunnen overschrijven.

Het derde spoor draait om automatisering en kwaliteitsborging. Leg het remediatiescript vast in een Git-repository, voer code reviews uit en publiseer een gesigneerde release. Configureer een DevOps-pijplijn die het script lint, test en vervolgens naar Intune uploadt via Microsoft Graph. Zo is er een herhaalbaar proces dat voldoet aan de eisen van de Baseline Veilig Ontwikkelen. Tegelijkertijd wordt een Azure Automation-runbook ingericht dat wekelijks controleert of de Intune-policy nog de juiste waarde bevat en of alle doelgroepen nog steeds correct gekoppeld zijn. Afwijkingen leiden automatisch tot een incident in het ITSM-systeem.

Het vierde spoor betreft adoptie en communicatie. Ontwikkel samen met communicatieadviseurs een informatiepakket dat uitlegt waarom wachtwoordgeschiedenis cruciaal is, welke voordelen het biedt en hoe medewerkers veilig nieuwe wachtwoorden kunnen bedenken. Dit pakket omvat intranetartikelen, korte video-instructies en een FAQ voor de servicedesk. Tijdens de pilot wordt feedback verzameld en verwerkt, zodat de landelijke uitrol soepel verloopt. Voor functies met hoge beschikbaarheid, zoals meldkamers en verkeerscentrales, wordt vooraf getest of processen niet worden verstoord; indien nodig wordt een beperkte lijst met noodaccounts opgesteld die onder streng toezicht blijft staan.

Het laatste spoor richt zich op acceptatietests en overdracht naar beheer. Organiseer een formele testronde waarin wordt gecontroleerd of apparaten met verschillende builds, talen en beleidslagen allemaal de waarde 24 ontvangen en behouden. Laat functioneel beheer toetsen of rapportages en dashboards de juiste gegevens tonen. Documenteer de bevindingen, onderteken het acceptatieverslag en archiveer het in het kwaliteitsmanagementsysteem. Pas na deze stap wordt de maatregel officieel in beheer genomen en worden de operationele draaiboeken bijgewerkt. Door deze gestructureerde aanpak is de implementatie reproduceerbaar, auditproof en afgestemd op de eisen van Nederlandse overheidsorganisaties.

Gebruik PowerShell-script password-history-afgedwongen.ps1 (functie Invoke-Remediation) – Automatiseert het afdwingen van PasswordHistorySize = 24 en registreert de wijziging in het eventlog als bewijs voor compliance-audits..

monitoring

Monitoring richt zich op drie lagen: technische configuratie, gebruikersgedrag en procesmatige opvolging. Begin met het inzetten van het script `code/intune/account-policies/password-history-enforced.ps1` als detectiecomponent binnen Intune remediaties. Het script leest de registerwaarde PasswordHistorySize, vergelijkt deze met het beleidsdoel en retourneert de status naar Intune. De uitvoer wordt tevens gelogd in het Windows-eventlog en via een aangepaste Azure Monitor-agent doorgestuurd naar Microsoft Sentinel. Hierdoor ontstaat een historisch overzicht waarmee auditors eenvoudig kunnen aantonen dat apparaten gedurende de hele bewakingsperiode compliant waren. Bouw bovenop deze gegevens een Sentinel-workbook dat het percentage conforme apparaten per organisatieonderdeel toont, aangevuld met trendgrafieken voor Mean Time To Remediate (MTTR) en de spreiding van foutcodes.

Vervolgens wordt gedragsmonitoring ingericht. Creëer KQL-query’s die Azure AD sign-in logs analyseren op herhaalde mislukte wachtwoordwijzigingen binnen een tijdsvenster van vijftien minuten. Combineer dit met data uit Microsoft Defender for Identity om te detecteren of dezelfde gebruikersaccount op meerdere systemen probeert in te loggen met identieke wachtwoorden, wat kan duiden op geautomatiseerde scripts. Rapporteer deze bevindingen wekelijks aan de SOC-analisten zodat zij verdachte patronen vroegtijdig kunnen onderzoeken. Indien de organisatie Privileged Access Workstations gebruikt, voeg dan een aanvullende controle toe die verzekert dat beheerdersaccounts nooit buiten deze werkstations wachtwoorden wijzigen; afwijkingen worden automatisch geëscaleerd naar de CISO.

De derde laag bestaat uit procesmonitoring. Ontwikkel in Power BI een dashboard dat servicedeskregistraties rond wachtwoordverzoeken, uitzonderingen en escalaties bundelt. Een plotselinge stijging kan wijzen op onvoldoende communicatie, verouderde handleidingen of technische blokkades. Koppel dit dashboard aan het ITSM-systeem zodat openstaande tickets met hoge prioriteit zichtbaar blijven totdat het herstel is bevestigd. Zorg er tevens voor dat de interne auditdienst maandelijks een steekproef uitvoert op deze gegevens om te controleren of procedures daadwerkelijk worden gevolgd en gedocumenteerd.

Een structurele kwaliteitscontrole wordt uitgevoerd door een kwartaalrapportage waarin Intune, Sentinel en Power BI-cijfers samenkomen. Dit rapport beschrijft het compliancepercentage, toont welke organisatorische eenheden uitzonderingen hebben aangevraagd en welke corrigerende maatregelen zijn genomen. De rapportage wordt besproken in het Security Governance Board-overleg, waarna besluiten worden vastgelegd en gecommuniceerd. Daarnaast voert het beheerteam een geautomatiseerde Graph API-check uit die de configuratie van het Intune-profiel vergelijkt met de beoogde instellingen; eventuele wijzigingen door onbevoegden worden direct gesignaleerd en als incident geregistreerd.

Tot slot wordt monitoring gekoppeld aan continu verbeteren. Lessons learned uit incidenten vloeien terug naar het beleid en worden opgenomen in de kennisbank. Ook wordt een tabletop-oefening georganiseerd waarin SOC, servicedesk en identity engineers een scenario doorlopen waarbij wachtwoordgeschiedenis onverwacht is uitgeschakeld. Deze oefening test of de monitoringketen snel genoeg alarmeert en of herstelacties bekend zijn. Door deze meerlagige aanpak ontstaat een sluitende bewakingscyclus die technische configuratie, menselijk gedrag en governance met elkaar verbindt.

Gebruik PowerShell-script password-history-enforced.ps1 (functie Invoke-Monitoring) – Geeft een nalevingsstatus terug aan Intune zodat afwijkingen onmiddellijk zichtbaar worden in het beheerportaal..

Compliance en Auditing

Deze maatregel ondersteunt meerdere compliancekaders tegelijk en vereist een geïntegreerde auditstrategie. Het CIS Windows Benchmark controle 1.1.1 schrijft expliciet voor dat minimaal vierentwintig voorgaande wachtwoorden moeten worden onthouden. Door de instelling centraal via Intune af te dwingen en resultaten via remediatierapporten vast te leggen ontstaat objectief bewijs dat aan dit controlepunt wordt voldaan. Bewaar de configuratieprofielen, scriptversies en exporten van Intune-rapportages in een digitaal kladblok dat auditors kunnen inzien. Noteer daarin ook de data waarop uitzonderingen zijn verleend en wanneer zij opnieuw zijn beoordeeld. Op deze manier kan de auditor makkelijk vaststellen dat afwijkingen tijdelijk en gecontroleerd waren.

Binnen de Baseline Informatiebeveiliging Overheid valt wachtwoordgeschiedenis onder maatregel 09.04.03. De BIO eist niet alleen technische maatregelen, maar ook procesmatige borging. Documenteer daarom welke rollen verantwoordelijk zijn voor beheer, welke procedures gelden bij incidenten en hoe vaak het beleid wordt geëvalueerd. Het is raadzaam om per kwartaal een BIO-conformiteitsrapport te genereren waarin het compliancepercentage, de lijst met afwijkingen en de genomen herstelacties worden vermeld. Voeg ook de communicatie richting eindgebruikers toe, omdat de BIO vraagt om bewustwording van maatregelen die de dagelijkse werkwijze kunnen beïnvloeden. Voor Rijksorganisaties verdient het aanbeveling om het rapport te koppelen aan de verplichte ENSIA-verantwoording zodat geen dubbel werk ontstaat.

ISO 27001 Annex A.9.4.3 legt de nadruk op veilige logische toegang. Om aan te tonen dat de maatregel volledig is geïmplementeerd, dient de organisatie een gedocumenteerd wachtwoordbeleid te bezitten dat verwijst naar de technische configuratie in Intune en GPO’s. Daarnaast vraagt de norm om regelmatig bewijs dat de maatregel effectief blijft. Bewaar daarom screenshots van Intune-profielen, exports van Sentinel-dashboards en goedgekeurde changeverzoeken. Tijdens de externe audit kan hiermee worden aangetoond dat beleid, implementatie en monitoring naadloos op elkaar aansluiten. Vergeet niet om ook de resultaten van tabletop-oefeningen en incidentevaluaties toe te voegen; auditors zien daarin hoe de organisatie reageert wanneer wachtwoordgeschiedenis per ongeluk wordt uitgeschakeld.

Vanuit AVG-perspectief draagt de maatregel bij aan artikel 32 (passende technische en organisatorische maatregelen). Leg in het verwerkingsregister vast dat unieke wachtwoorden worden afgedwongen en koppel hieraan de risicoanalyse die is uitgevoerd voorafgaand aan de implementatie. Dit toont aan dat de organisatie bewust heeft gekozen voor een maatregel die past bij de gevoeligheid van de verwerkte gegevens. Houd bovendien bij welke systemen dienstbaar zijn aan strafvorderlijke gegevens of bijzondere persoonsgegevens; voor deze systemen moet extra worden aangetoond dat wachtwoordgeschiedenis daadwerkelijk actief is.

Tot slot moeten auditbewijzen duurzaam worden beheerd. Stel een bewaartermijn van minimaal zeven jaar in overeenkomstig het archiefbesluit en zorg dat documenten geclassificeerd worden als intern of vertrouwelijk. Gebruik een digitaal ondertekeningsproces voor belangrijke besluiten, zodat later valt te verifiëren wie akkoord gaf. Door deze uitgebreide documentatie- en rapportageketen ontstaat een transparant spoor dat externe en interne auditors vertrouwen geeft dat de organisatie daadwerkelijk voldoet aan CIS, BIO, ISO 27001 en de AVG.

Remediatie

Wanneer een apparaat of beleidsobject afwijkt van de gewenste configuratie moet het herstelproces gestructureerd verlopen en gericht zijn op zowel technische als organisatorische oorzaken. Stap één bestaat uit triage: open het Intune-rapport, noteer de foutcode en controleer of het betreffende device recent beleid heeft ontvangen. Indien het apparaat offline was, plan een her-evaluatie zodra het verbinding maakt. Was het apparaat wel online, onderzoek dan of er lokale beheerderswijzigingen zijn uitgevoerd of dat een ander GPO de instelling overschrijft. Documenteer deze eerste bevindingen direct in het ITSM-systeem zodat de audittrail intact blijft.

Stap twee is geautomatiseerd herstel. Voer het remediatiescript on-demand uit via Intune of, indien het apparaat onbereikbaar is, via een remote PowerShell-sessie zodra het online komt. Het script schrijft de registerwaarde `PasswordHistorySize` terug naar 24, controleert of de wijziging is gelukt en logt het resultaat in zowel het eventlog als in een centrale Sentinel-table. Hierdoor kan later exact worden achterhaald wanneer en door wie de correctie plaatsvond. Na uitvoering valideren beheerders de werking door een testaccount te gebruiken; de poging om een oud wachtwoord te hergebruiken moet worden geweigerd en dit wordt als bewijs opgeslagen.

Stap drie omvat root cause analyse. Onderzoek of er conflicterende GPO’s bestaan, of bepaalde OU’s buiten scope zijn gevallen of dat er sprake is van verouderde golden images zonder actuele policy. Controleer eveneens of uitzonderingen zijn verlopen zonder dat de policy opnieuw is toegepast. Indien de afwijking voortkomt uit menselijke fout, bespreek dan of aanvullende controles of training nodig zijn. Resultaten van de analyse worden opgenomen in de incidentrapportage die vervolgens wordt gedeeld met de CISO en de eigenaar van Identiteit en Toegangsbeheer.

Stap vier betreft structurele maatregelen. Indien blijkt dat lokale administrators wijzigingen blijven doorvoeren, overweeg dan Just-In-Time privileges of het verwijderen van lokale beheerdersrechten. Wanneer oude images de oorzaak zijn, plan een herbouw of voer een post-deployment script uit dat wachtwoordgeschiedenis direct corrigeert. Documenteer deze verbetermaatregelen in het verbeterregister en wijs duidelijke deadlines en verantwoordelijken toe. Zorg ook dat lessons learned worden meegenomen in de eerstvolgende security-architectuursessie zodat dezelfde fout niet terugkeert.

Stap vijf is herbevestiging en communicatie. Laat monitoring opnieuw draaien om te bevestigen dat het apparaat duurzaam compliant is en voeg de output toe aan het auditdossier. Informeer betrokken proceseigenaren dat het incident is opgelost en geef aan welke preventieve acties zijn getroffen. Werk ten slotte de kennisbank en runbooks bij met de nieuwe inzichten, zodat future engineers exact weten hoe vergelijkbare situaties moeten worden opgelost. Door deze aanpak is remediatie niet alleen een technische actie, maar een integraal onderdeel van continue verbetering en governance.

Gebruik PowerShell-script password-history-enforced.ps1 (functie Invoke-Remediation) – Herstelt niet-conforme systemen automatisch en logt de wijziging voor controle achteraf..

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Intune Account Policy: Password History Enforced .DESCRIPTION CIS - Password history moet minimaal 24 wachtwoorden onthouden. .NOTES Filename: password-history-enforced.ps1|Author: Nederlandse Baseline voor Veilige Cloud|SecurityPolicy: PasswordHistorySize|Expected: >= 24 #> #Requires -Version 5.1 #Requires -RunAsAdministrator [CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert) $ErrorActionPreference = 'Stop'; $PolicyName = "PasswordHistorySize"; $ExpectedMin = 24 function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) } function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "password-history-enforced.ps1"; PolicyName = $PolicyName; IsCompliant = $false; CurrentValue = $null; ExpectedValue = ">= $ExpectedMin"; Details = @() }; function Invoke-Revert { Write-Host "Revert via Group Policy" } try { $secedit = secedit /export /cfg "$env:TEMP\secedit.txt" 2>&1; $content = Get-Content "$env:TEMP\secedit.txt"; $line = $content | Where-Object { $_ -match "^$PolicyName\s*=\s*(.+)" }; if ($line -match "=\s*(\d+)") { $r.CurrentValue = $matches[1]; if ([int]$r.CurrentValue -ge $ExpectedMin) { $r.IsCompliant = $true; $r.Details += "Password history: $($r.CurrentValue) wachtwoorden" }else { $r.Details += "Password history te laag: $($r.CurrentValue)" } }else { $r.Details += "Niet geconfigureerd" } }catch { $r.Details += "Error: $($_.Exception.Message)" }finally { Remove-Item "$env:TEMP\secedit.txt" -ErrorAction SilentlyContinue }; return $r } function Invoke-Remediation { $tempFile = "$env:TEMP\secedit_config.inf"; function Invoke-Revert { Write-Host "Revert via Group Policy" } try { $config = "[Unicode]`r`nUnicode=yes`r`n[Version]`r`nsignature=`"`$CHICAGO`$`"`r`nRevision=1`r`n[System Access]`r`n$PolicyName = $ExpectedMin`r`n"; Set-Content -Path $tempFile -Value $config -Encoding Unicode; secedit /configure /db "$env:TEMP\secedit.sdb" /cfg $tempFile /areas SECURITYPOLICY | Out-Null; Write-Host "Password history ingesteld op $ExpectedMin wachtwoorden" -ForegroundColor Green }finally { Remove-Item $tempFile -ErrorAction SilentlyContinue; Remove-Item "$env:TEMP\secedit.sdb" -ErrorAction SilentlyContinue } } function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r } function Invoke-Revert { Write-Host "Revert via Group Policy" } try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }

Risico zonder implementatie

Risico zonder implementatie
Medium: Zonder afdwingbare wachtwoordgeschiedenis kunnen gebruikers direct terugvallen op bekende combinaties, blijven gecompromitteerde referenties bruikbaar en voldoet de organisatie niet aan CIS Windows Benchmark, BIO 09.04 en ISO 27001 A.9.4.3; dit vergroot de kans op accountovername en leidt bij incidenten aantoonbaar tot bestuurlijke aansprakelijkheid.

Management Samenvatting

Wijs PasswordHistorySize vast op 24 via Intune Endpoint Security of lokale beveiligingsinstellingen, monitor dagelijks met het bijbehorende PowerShell-script en leg alle rapportages vast als auditbewijs zodat credentialre-use effectief wordt gestopt.