💼 Management Samenvatting
Het uitschakelen van LAN Manager hash-opslag vormt een kritieke beveiligingsmaatregel om te voorkomen dat verouderde en extreem zwakke wachtwoord-hashing algoritmes worden gebruikt. Deze maatregel is essentieel voor organisaties die streven naar een robuuste beveiligingsarchitectuur waarin alleen moderne en veilige authenticatiemethoden worden toegepast.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
1u (tech: 0.5u)
Van toepassing op:
✓ Windows 10
✓ Windows 11
✓ Windows server
✓ Windows 11
✓ Windows server
LAN Manager hashes vertegenwoordigen een verouderd en extreem zwak wachtwoord-hashing algoritme dat dateert uit de jaren tachtig. Deze hashes hebben fundamentele beveiligingszwakheden die ze uiterst kwetsbaar maken voor aanvallen. Ten eerste ondersteunen LM hashes alleen wachtwoorden tot maximaal veertien tekens, waarbij langere wachtwoorden worden afgekapt. Ten tweede zijn LM hashes hoofdletterongevoelig, wat betekent dat alle hoofdletters en kleine letters op dezelfde manier worden behandeld, waardoor de zoekruimte voor aanvallen aanzienlijk wordt verkleind. Ten derde worden wachtwoorden opgesplitst in twee blokken van zeven tekens, waarbij elk blok afzonderlijk wordt gehasht. Deze opdeling maakt het mogelijk om elk blok onafhankelijk aan te vallen, waardoor de complexiteit van brute-force aanvallen exponentieel wordt verminderd. Moderne Windows-systemen gebruiken NTLM en NTLMv2 als standaard authenticatiemethoden, die aanzienlijk veiliger zijn dan LM hashes. De opslag van LM hashes wordt alleen nog ondersteund voor achterwaartse compatibiliteit met zeer oude systemen en applicaties. Voor hedendaagse organisaties is deze compatibiliteit echter niet meer nodig en vormt het een aanzienlijk beveiligingsrisico. Door LM hash-opslag uit te schakelen, voorkomen organisaties rainbow table-aanvallen die specifiek gericht zijn op LM hashes. Deze aanvallen maken gebruik van vooraf berekende hash-tabellen die het mogelijk maken om LM hashes binnen seconden te kraken, zelfs zonder brute-force methoden. Het risico is bijzonder hoog omdat aanvallers die toegang krijgen tot de Security Account Manager-database of Active Directory-backups direct alle LM hashes kunnen extraheren en kraken, waardoor alle bijbehorende wachtwoorden worden gecompromitteerd.
PowerShell Modules Vereist
Primary API: Intune/GPO
Connection:
Required Modules:
Connection:
N/ARequired Modules:
Implementatie
Door het NoLMHash-beleid in te schakelen, wordt Windows geconfigureerd om uitsluitend NTLMv2 hashes op te slaan en geen LM hashes meer te genereren of te bewaren. Wanneer gebruikers hun wachtwoord wijzigen, worden eventuele oude LM hashes automatisch verwijderd uit het systeem. Deze configuratie zorgt ervoor dat alleen moderne en veilige wachtwoord-hashing methoden worden gebruikt, waardoor de beveiligingspostuur van de organisatie aanzienlijk wordt verbeterd. De technische implementatie werkt op het besturingssysteemniveau en kan niet worden omzeild door gebruikers zonder administratorrechten, wat het een effectieve en duurzame beveiligingsmaatregel maakt.
Implementatie
De implementatie van het uitschakelen van LAN Manager hash-opslag vereist een zorgvuldige en gestructureerde aanpak die begint met een grondige analyse van de huidige omgeving en mogelijke afhankelijkheden. Organisaties moeten eerst een uitgebreide inventarisatie uitvoeren om te identificeren of er nog legacy-systemen of applicaties in gebruik zijn die afhankelijk zijn van LM hash-authenticatie. Deze inventarisatie is cruciaal omdat het uitschakelen van LM hash-opslag kan leiden tot authenticatiefouten voor systemen die nog steeds LM hashes verwachten, wat kan resulteren in verstoring van bedrijfskritieke processen. De inventarisatiefase moet alle Windows-apparaten omvatten, inclusief werkstations, servers en domeincontrollers, omdat LM hash-opslag op elk van deze systemen kan voorkomen. Organisaties moeten controleren of er applicaties zijn die gebruik maken van verouderde authenticatieprotocollen die mogelijk afhankelijk zijn van LM hashes. Deze controle kan worden uitgevoerd door middel van netwerkmonitoring om authenticatiepogingen te analyseren, applicatie-inventarisatie om te identificeren welke software wordt gebruikt, en overleg met applicatie-eigenaren om te begrijpen welke authenticatiemethoden worden ondersteund. Het is belangrijk om te begrijpen welke bedrijfsprocessen mogelijk worden beïnvloed voordat de configuratie wordt geactiveerd, zodat alternatieve oplossingen kunnen worden geïdentificeerd of legacy-systemen kunnen worden gemoderniseerd. Deze inventarisatiefase vereist typisch 2 tot 4 weken, afhankelijk van de grootte van de organisatie en de complexiteit van de applicatielandschap. Tijdens deze fase moeten organisaties ook communiceren met eindgebruikers en applicatie-eigenaren om te begrijpen hoe zij deze systemen gebruiken en welke functionaliteiten zij als kritiek beschouwen voor hun dagelijkse werkzaamheden. Deze dialoog is van fundamenteel belang omdat het helpt om verborgen afhankelijkheden te ontdekken die mogelijk niet zichtbaar zijn in technische inventarisaties. Gebruikers kunnen bijvoorbeeld specifieke workflows gebruiken die afhankelijk zijn van legacy-authenticatie voor taken die op het eerste gezicht niet kritiek lijken, maar wel essentieel zijn voor hun productiviteit. Door actief te communiceren met gebruikers kunnen organisaties deze verborgen afhankelijkheden identificeren en tijdig alternatieve oplossingen ontwikkelen. Dit zorgt ervoor dat de implementatie soepeler verloopt en de gebruikersproductiviteit wordt behouden.
Na de inventarisatiefase kunnen organisaties overgaan tot de technische implementatie van het uitschakelen van LM hash-opslag. De technische implementatie verloopt via het configureren van een registerwaarde of Group Policy-instelling op Windows-apparaten. Specifiek moet het netwerkbeveiligingsbeleid "Netwerkbeveiliging: LAN Manager hash-waarde niet opslaan bij volgende wachtwoordwijziging" worden ingeschakeld. Deze configuratie kan worden toegepast via verschillende methoden, waaronder Microsoft Intune-beleid voor moderne cloud-gebaseerde beheeromgevingen, Group Policy Objects (GPO) voor organisaties die nog steeds gebruik maken van on-premises Active Directory-infrastructuur, of PowerShell-scripts die centraal worden uitgerold via System Center Configuration Manager (SCCM) of andere centrale beheertools. De keuze voor een specifieke implementatiemethode hangt af van meerdere factoren, waaronder de huidige infrastructuur, de beschikbare beheerresources, en de voorkeuren van de IT-afdeling. Voor organisaties die al gebruik maken van Microsoft Intune als primair beheerplatform, is de aanbevolen aanpak het creëren van een aangepast configuratieprofiel of het gebruik van een beveiligingsbeleid dat specifiek is geconfigureerd voor het uitschakelen van LM hash-opslag. Het configuratieprofiel in Microsoft Intune biedt flexibiliteit bij het toewijzen van de beveiligingsmaatregel aan specifieke doelgroepen. Het profiel kan worden toegewezen aan specifieke apparaatgroepen, zoals alle laptops in de verkoopafdeling, of aan gebruikersgroepen, zoals alle medewerkers in de financiële afdeling. Deze granulariteit maakt gefaseerde implementatie mogelijk, waarbij organisaties de beveiligingsmaatregel eerst implementeren op een beperkte groep testapparaten voordat deze wordt uitgerold naar de volledige organisatie. De implementatie begint typisch met een pilotgroep van 10 tot 20 testapparaten die representatief zijn voor de organisatie, waarbij zowel gebruikers uit verschillende afdelingen als verschillende apparaattypen worden betrokken. Tijdens deze pilotfase, die typisch 1 tot 2 weken duurt, moeten organisaties nauwlettend monitoren of er authenticatiefouten optreden, of gebruikers nog steeds toegang hebben tot alle benodigde functionaliteiten, en of de configuratie daadwerkelijk werkt zoals bedoeld. Dit omvat het testen van verschillende scenario's, zoals wachtwoordwijzigingen, authenticatiepogingen met verschillende applicaties, en het verifiëren dat legitieme authenticatie nog steeds functioneert. Alleen na succesvolle validatie in de pilotfase moet de implementatie worden uitgebreid naar grotere groepen apparaten, met uiteindelijk volledige organisatie-brede implementatie.
Voor organisaties die gebruik maken van Group Policy, kan de configuratie worden toegepast via Computer Configuration onder Policies, Windows Settings, Security Settings, Local Policies, Security Options. De specifieke policy-instelling is "Network security: Do not store LAN Manager hash value on next password change" en moet worden ingesteld op "Enabled". Deze configuratie wordt automatisch toegepast op alle domein-apparaten die onder de betreffende Organizational Unit vallen, wat het een effectieve methode maakt voor organisaties met een traditionele Active Directory-infrastructuur. Het is belangrijk om te zorgen voor een goede Group Policy-verwerking en om te verifiëren dat de policy correct wordt toegepast op alle doelapparaten. Organisaties moeten ook rekening houden met de replicatietijd van Group Policy-wijzigingen en ervoor zorgen dat alle domeincontrollers de bijgewerkte policy hebben ontvangen voordat ze verwachten dat de configuratie actief is op alle apparaten. Dit vereist vaak een wachttijd van 15 tot 90 minuten, afhankelijk van de replicatieconfiguratie en de grootte van de Active Directory-omgeving. Bovendien moeten organisaties ervoor zorgen dat de Group Policy-verwerking correct werkt op alle doelapparaten, wat kan worden geverifieerd door middel van Group Policy-resultaten of door het uitvoeren van gpupdate-commando's op testapparaten. Tijdens de implementatiefase is effectieve communicatie met eindgebruikers en applicatie-eigenaren essentieel voor het succes van de beveiligingsmaatregel. Gebruikers moeten tijdig worden geïnformeerd over de geplande wijziging, de achterliggende redenen voor de implementatie, en de verwachte impact op hun dagelijkse werkzaamheden. Deze communicatie moet plaatsvinden minimaal 2 weken voordat de configuratie wordt geactiveerd, zodat gebruikers voldoende tijd hebben om zich voor te bereiden en eventuele problemen te melden. De communicatiestrategie moet duidelijk uitleggen waarom deze beveiligingsmaatregel wordt geïmplementeerd, bijvoorbeeld door te benadrukken dat het helpt om de organisatie te beschermen tegen cyberdreigingen, dat het zorgt voor moderne en veilige wachtwoordbeveiliging, en dat het bijdraagt aan het naleven van nalevingsvereisten. Gebruikers moeten begrijpen dat deze maatregel bijdraagt aan de algehele beveiliging van de organisatie en hen helpt beschermen tegen potentiële wachtwoordcompromittering. Bovendien moeten organisaties duidelijk communiceren dat gebruikers mogelijk worden gevraagd om hun wachtwoord opnieuw in te stellen om ervoor te zorgen dat oude LM hashes worden verwijderd, vooral voor accounts met verhoogde rechten zoals administrator-accounts. Applicatie-eigenaren moeten worden geïnformeerd over de wijziging en moeten worden gevraagd om te testen of hun applicaties nog steeds correct functioneren na de implementatie, vooral als deze applicaties gebruik maken van verouderde authenticatiemethoden.
Organisaties moeten ook een duidelijk en toegankelijk proces hebben voor het aanvragen van uitzonderingen, mocht dit nodig zijn voor specifieke bedrijfsprocessen die legitiem afhankelijk zijn van LM hash-authenticatie. Dit uitzonderingsproces moet een gestructureerde aanvraagprocedure omvatten waarbij gebruikers of afdelingshoofden uitleggen waarom een specifieke uitzondering essentieel is voor hun werkzaamheden, welke alternatieve oplossingen zijn overwogen, en waarom deze alternatieven niet geschikt zijn. Alle uitzonderingsaanvragen moeten worden beoordeeld door de beveiligingsafdeling in samenwerking met de IT-afdeling, waarbij wordt geëvalueerd of de gevraagde uitzondering gerechtvaardigd is en of er acceptabele alternatieve oplossingen beschikbaar zijn. Goedgekeurde uitzonderingen moeten worden gedocumenteerd met details over de reden voor de uitzondering, de duur van de uitzondering, en eventuele aanvullende beveiligingsmaatregelen die zijn geïmplementeerd om de risico's te mitigeren. Bovendien moeten uitzonderingen regelmatig worden geëvalueerd, bij voorkeur elk kwartaal, om te bepalen of ze nog steeds noodzakelijk zijn of dat er inmiddels geschikte alternatieve oplossingen beschikbaar zijn. Dit voorkomt dat tijdelijke uitzonderingen permanent worden zonder goede rechtvaardiging. Na de implementatie is het belangrijk om de configuratie te verifiëren op alle doelapparaten om ervoor te zorgen dat de beveiligingsmaatregel correct is toegepast. Deze verificatie kan worden uitgevoerd door middel van verschillende methoden, afhankelijk van de gebruikte implementatiemethode. Voor Microsoft Intune kan nalevingsrapportage worden gebruikt om automatisch te verifiëren welke apparaten voldoen aan de configuratievereisten en welke apparaten aandacht vereisen. Deze rapportage biedt realtime inzicht in de configuratiestatus van alle beheerde apparaten en identificeert automatisch apparaten waar de configuratie ontbreekt of is gewijzigd. Voor organisaties die gebruik maken van Group Policy kunnen Group Policy-resultaten worden gebruikt om te verifiëren dat de configuratie correct is toegepast, terwijl voor PowerShell-script-gebaseerde implementaties verificatiescripts kunnen worden uitgevoerd die controleren of de policy-instelling correct is geactiveerd. Organisaties moeten ervoor zorgen dat de policy-instelling correct is geactiveerd op alle beheerde apparaten en dat er geen uitzonderingen zijn die de beveiligingsmaatregel kunnen ondermijnen, behalve die welke expliciet zijn goedgekeurd via het uitzonderingsproces.
De verificatie moet worden uitgevoerd op verschillende momenten na de implementatie, niet alleen direct na de initiële rollout. Organisaties moeten een proces hebben voor het periodiek controleren van de configuratiestatus, bij voorkeur wekelijks gedurende de eerste maand na implementatie en daarna maandelijks, om ervoor te zorgen dat de beveiligingsmaatregel actief blijft op alle beheerde apparaten. Dit helpt om te identificeren of er apparaten zijn waar de configuratie onbedoeld is gewijzigd, bijvoorbeeld door lokale administrators of door malware, of waar de implementatie niet succesvol is geweest. Bovendien is dit proces vooral belangrijk bij nieuwe apparaten die worden toegevoegd aan de omgeving, omdat deze automatisch de juiste configuratie moeten ontvangen voordat ze in productie worden genomen. Organisaties moeten ervoor zorgen dat hun onboarding-proces voor nieuwe apparaten de toepassing van deze beveiligingsconfiguratie omvat, zodat nieuwe apparaten vanaf het moment dat ze worden toegevoegd aan de omgeving beschermd zijn tegen LM hash-opslag. Dit vereist vaak de automatisering van configuratie-toepassing tijdens het onboarding-proces, zodat IT-beheerteams niet handmatig hoeven te interveniëren voor elk nieuw apparaat. Bovendien moeten organisaties ervoor zorgen dat wanneer gebruikers hun wachtwoord wijzigen, de oude LM hashes daadwerkelijk worden verwijderd. Dit kan worden geverifieerd door het controleren van de Security Account Manager-database of Active Directory-attributes na een wachtwoordwijziging. Organisaties kunnen gespecialiseerde scripts of tools gebruiken om te controleren of er nog LM hashes aanwezig zijn in de database, wat helpt om te bevestigen dat de beveiligingsmaatregel effectief is en dat er geen omzeilingen plaatsvinden. Deze verificatie is vooral belangrijk voor accounts met verhoogde rechten, zoals administrator-accounts, omdat deze accounts een hoger beveiligingsrisico vormen als hun wachtwoorden worden gecompromitteerd. Het regelmatig controleren van de hash-opslag helpt om ervoor te zorgen dat alle oude LM hashes worden verwijderd en dat alleen moderne NTLMv2 hashes worden gebruikt voor alle gebruikersaccounts.
Gebruik PowerShell-script network-security-do-not-store-lan-manager-hash-value-on-next-password-change-is-set-to-enabled.ps1 (functie Invoke-Remediation) – Automatische implementatie van het uitschakelen van LAN Manager hash-opslag via PowerShell-script.
Monitoring
Effectieve monitoring van het uitschakelen van LAN Manager hash-opslag vereist een continue en gestructureerde controle op zowel de configuratiestatus als eventuele pogingen tot omzeiling van de beveiligingsmaatregel. Organisaties moeten een uitgebreide monitoringstrategie implementeren die zowel proactieve als reactieve elementen bevat om ervoor te zorgen dat de beveiligingsmaatregel effectief blijft en dat beveiligingsincidenten tijdig worden gedetecteerd. Proactieve monitoring richt zich op het verifiëren dat de beveiligingsconfiguratie actief blijft op alle beheerde apparaten en dat er geen onbedoelde wijzigingen zijn aangebracht aan de configuratie. Dit omvat regelmatige controles van de policy-instelling, verificatie dat alle nieuwe apparaten automatisch de juiste configuratie ontvangen, en het valideren dat bestaande apparaten nog steeds voldoen aan de configuratievereisten. Reactieve monitoring concentreert zich op het detecteren van pogingen om LM hashes te gebruiken, het identificeren van pogingen tot omzeiling van de beveiligingsmaatregel, en het analyseren van eventuele beveiligingsincidenten die verband houden met LM hash-opslag. Deze tweeledige aanpak zorgt ervoor dat organisaties niet alleen kunnen reageren op problemen wanneer deze zich voordoen, maar ook preventief kunnen optreden door regelmatig te controleren of de beveiligingsconfiguratie nog steeds correct is toegepast en of er tekenen zijn van mogelijke beveiligingsdreigingen. Proactieve monitoring helpt om problemen te identificeren voordat ze tot beveiligingsincidenten leiden, terwijl reactieve monitoring essentieel is voor het detecteren van mogelijke beveiligingsdreigingen of pogingen tot omzeiling van de beveiligingsmaatregelen.
De primaire monitoringmethode bestaat uit het regelmatig controleren van de policy-instelling "Network security: Do not store LAN Manager hash value on next password change" op alle Windows-apparaten in de omgeving. Deze instelling moet consistent op "Enabled" staan op alle beheerde apparaten om ervoor te zorgen dat LM hash-opslag daadwerkelijk is uitgeschakeld en dat gebruikers niet in staat zijn om deze functionaliteit te activeren of te omzeilen. Organisaties kunnen deze monitoring automatiseren door middel van nalevingsbeleid in Microsoft Intune, waarbij apparaten die niet voldoen aan de vereiste configuratie automatisch worden geïdentificeerd en gemeld aan IT-beheerteams. Deze geautomatiseerde monitoring is essentieel voor grote organisaties met honderden of duizenden apparaten, omdat handmatige controle van alle apparaten niet praktisch haalbaar is en te veel tijd en resources zou vereisen. De nalevingsrapportage in Microsoft Intune biedt organisaties een overzichtelijk dashboard waarop ze direct kunnen zien welke apparaten voldoen aan de vereiste configuratie, welke apparaten aandacht vereisen, en wat de nalevingspercentages zijn voor verschillende apparaatgroepen of afdelingen. Dit maakt het mogelijk om snel te reageren op afwijkingen en ervoor te zorgen dat de beveiligingsmaatregel effectief blijft op alle beheerde apparaten. Organisaties moeten deze nalevingsrapportage regelmatig controleren, bij voorkeur dagelijks gedurende de eerste weken na implementatie en daarna wekelijks, om ervoor te zorgen dat eventuele problemen snel worden gedetecteerd en aangepakt. Deze regelmatige controle helpt om trends te identificeren, zoals een toename van afwijkingen na een specifieke gebeurtenis, wat kan wijzen op de noodzaak voor aanvullende gebruikerseducatie of het aanscherpen van beveiligingsbeleid.
Naast het monitoren van de configuratiestatus is het belangrijk om te controleren of er daadwerkelijk geen LM hashes meer worden opgeslagen in de Security Account Manager-database of Active Directory. Dit kan worden gedaan door middel van gespecialiseerde scripts of tools die de hash-waarden analyseren en identificeren of er nog LM hashes aanwezig zijn. Organisaties moeten regelmatig controleren of nieuwe wachtwoordwijzigingen resulteren in de opslag van alleen NTLMv2 hashes en geen LM hashes meer genereren. Deze verificatie is belangrijk omdat het niet alleen bevestigt dat de configuratie correct is toegepast, maar ook dat het systeem daadwerkelijk geen LM hashes meer opslaat, zelfs niet als er pogingen worden gedaan om deze te genereren. Het monitoren van de daadwerkelijke hash-opslag is een kritieke controle die helpt om te verifiëren dat de beveiligingsmaatregel effectief is en dat er geen omzeilingen plaatsvinden. Windows-gebeurtenislogboeken bevatten relevante informatie over wachtwoordwijzigingen, systeemconfiguratiewijzigingen, en beveiligingsgebeurtenissen die kunnen wijzen op ongeautoriseerde activiteit of pogingen tot omzeiling. Organisaties moeten deze logs regelmatig analyseren op tekenen van ongeautoriseerde activiteit, waarbij beveiligingsteams specifiek letten op gebeurtenislogvermeldingen die wijzen op pogingen om LM hashes te genereren of op registratiewijzigingen die kunnen wijzen op pogingen om de policy-instelling te wijzigen. Deze loganalyse is belangrijk omdat het niet alleen helpt om te identificeren wanneer gebruikers of systemen proberen LM hashes te gebruiken, maar ook om patronen te herkennen die kunnen wijzen op mogelijke beveiligingsdreigingen of geautomatiseerde aanvallen. Bijvoorbeeld, als meerdere apparaten binnen een korte tijdspanne pogingen doen om LM hashes te genereren, kan dit wijzen op een gecoördineerde aanval of een malware-infectie die probeert de beveiligingsmaatregel te omzeilen door LM hashes te gebruiken als een manier om wachtwoorden te compromitteren zonder detectie door traditionele beveiligingsoplossingen.
Voor grotere organisaties met complexe IT-omgevingen is het sterk aanbevolen om een gecentraliseerde monitoringoplossing te implementeren die nalevingsinformatie verzamelt van alle beheerde apparaten en deze combineert met andere beveiligingsgegevens voor een holistisch beeld van de beveiligingsstatus. Microsoft Intune biedt ingebouwde rapportagefunctionaliteiten die kunnen worden gebruikt om de nalevingsstatus te visualiseren, trends te identificeren over tijd, en gedetailleerde rapporten te genereren voor verschillende doelgroepen, zoals directie, IT-beheerteams, of nalevingsauditors. Deze rapportagefunctionaliteiten maken het mogelijk om nalevingsstatistieken te bekijken per apparaatgroep, per afdeling, of per geografische locatie, wat helpt om gebieden te identificeren waar aanvullende aandacht of training nodig is. Daarnaast kunnen organisaties gebruik maken van Microsoft Endpoint Manager-rapportage of aangepaste dashboards die zijn geïntegreerd met hun bestaande beveiligingsinformatie- en gebeurtenisbeheersystemen (SIEM), zoals Microsoft Sentinel, Splunk, of IBM QRadar. Deze gecentraliseerde aanpak maakt het mogelijk om nalevingsinformatie van alle apparaten op één centrale locatie te verzamelen en te analyseren, wat het beheer en de monitoring aanzienlijk vereenvoudigt en zorgt voor consistente rapportage en analyse. De integratie met SIEM-systemen biedt aanvullende voordelen door de nalevingsinformatie te combineren met andere beveiligingsgegevens, zoals antiviruswaarschuwingen, firewall-logs, en identiteitsverificatiegebeurtenissen, om een completer en meer contextueel beeld te krijgen van de beveiligingsstatus van de omgeving. Dit helpt om correlaties te identificeren tussen verschillende beveiligingsgebeurtenissen, bijvoorbeeld wanneer een apparaat met een gewijzigde configuratie ook verdachte netwerkactiviteit vertoont, wat kan wijzen op een beveiligingsincident of gecompromitteerd apparaat. Bovendien kunnen SIEM-systemen geavanceerde analyse uitvoeren om anomalieën te detecteren, zoals ongebruikelijke patronen in configuratiewijzigingen of pogingen om LM hashes te gebruiken op momenten of locaties die niet overeenkomen met normale gebruikspatronen. Deze geavanceerde analyse helpt beveiligingsteams om potentiële beveiligingsdreigingen vroegtijdig te detecteren en proactief te reageren voordat er schade kan worden aangericht aan de organisatie of haar gegevens.
Het monitoren van deze beveiligingsmaatregel moet een integraal onderdeel zijn van de reguliere beveiligingsaudits en nalevingscontroles die organisaties uitvoeren. Tijdens deze controles, die bij voorkeur elk kwartaal worden uitgevoerd, moeten organisaties verifiëren dat de configuratie correct is toegepast op alle beheerde apparaten, dat er geen uitzonderingen zijn gemaakt zonder goede rechtvaardiging of documentatie, en dat eventuele wijzigingen aan de configuratie zijn gedocumenteerd en goedgekeurd volgens de standaard wijzigingsbeheerprocessen van de organisatie. Deze regelmatige audits zijn essentieel om ervoor te zorgen dat de beveiligingsmaatregel effectief blijft en dat eventuele problemen of afwijkingen tijdig worden geïdentificeerd en aangepakt voordat ze kunnen leiden tot beveiligingsincidenten of nalevingsproblemen. Tijdens audits moeten organisaties niet alleen controleren of de technische configuratie correct is, maar ook of de processen en procedures rondom de beveiligingsmaatregel nog steeds adequaat zijn en of ze voldoen aan de huidige beveiligings- en nalevingsvereisten. Dit omvat het controleren van documentatie om ervoor te zorgen dat deze bijgewerkt is, het verifiëren van toegangsrechten om te bevestigen dat alleen geautoriseerd personeel wijzigingen kan aanbrengen, en het beoordelen van de effectiviteit van de monitoring- en remediatieprocessen om te identificeren of er verbeteringen nodig zijn. Door deze regelmatige controles kunnen organisaties ervoor zorgen dat hun beveiligingsmaatregelen actueel blijven, effectief blijven in het beschermen van hun omgeving tegen beveiligingsdreigingen, en blijven voldoen aan nalevingsvereisten zoals AVG, NIS2, of ISO 27001. Organisaties moeten ook een honderd procent dekking nastreven, wat betekent dat alle Windows-apparaten binnen de omgeving deze configuratie moeten hebben. Elke uitzondering vormt een potentieel beveiligingsrisico en moet worden gerechtvaardigd en regelmatig worden geëvalueerd om te bepalen of deze nog steeds noodzakelijk is of dat er inmiddels geschikte alternatieve oplossingen beschikbaar zijn. De belangrijkste indicator voor succesvolle implementatie en effectieve monitoring is de policy-instelling "Network security: Do not store LAN Manager hash value on next password change" die consistent op "Enabled" staat in het registerpad HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Network op alle beheerde apparaten. Deze waarde kan worden geverifieerd via verschillende methoden, waaronder PowerShell-scripts die automatisch worden uitgevoerd, Group Policy-resultaten die beschikbaar zijn via Group Policy Management Console, of Microsoft Intune nalevingsrapportage die realtime inzicht biedt in de configuratiestatus van alle beheerde apparaten. Daarnaast moeten organisaties regelmatig controleren of er geen LM hashes meer worden opgeslagen in de Security Account Manager-database of Active Directory, wat bevestigt dat de beveiligingsmaatregel daadwerkelijk effectief is en dat er geen omzeilingen plaatsvinden. Organisaties moeten ervoor zorgen dat deze verificatie regelmatig plaatsvindt en dat alle afwijkingen worden gedocumenteerd, geanalyseerd, en indien nodig gecorrigeerd via de geëigende remediatieprocessen.
Gebruik PowerShell-script network-security-do-not-store-lan-manager-hash-value-on-next-password-change-is-set-to-enabled.ps1 (functie Invoke-Monitoring) – Automatische verificatie van de configuratiestatus voor het uitschakelen van LAN Manager hash-opslag.
Compliance en Auditing
Het uitschakelen van LAN Manager hash-opslag is een kritieke beveiligingsmaatregel die direct verband houdt met verschillende nalevings- en auditvereisten voor Nederlandse overheidsorganisaties en bedrijven. Deze maatregel draagt bij aan het voldoen aan internationale beveiligingsstandaarden en nationale regelgeving die eisen stellen aan wachtwoordbeveiliging en authenticatiemethoden. Organisaties moeten begrijpen hoe deze technische configuratie past binnen hun bredere nalevingsstrategie en welke specifieke controles en audits nodig zijn om te verifiëren dat de maatregel correct is geïmplementeerd en effectief blijft. Het uitschakelen van LM hash-opslag is niet alleen een technische beveiligingsmaatregel, maar ook een fundamentele vereiste voor het voldoen aan moderne beveiligingsstandaarden en nalevingsregelgeving. Organisaties die deze maatregel niet implementeren, lopen niet alleen een verhoogd beveiligingsrisico, maar kunnen ook problemen ondervinden tijdens externe audits en certificeringsprocessen. Daarom is het essentieel dat organisaties deze maatregel implementeren en kunnen aantonen dat deze actief is en effectief wordt beheerd en gemonitord. Tijdens nalevingsaudits zullen auditoren specifiek controleren of organisaties moderne en veilige wachtwoord-hashing methoden gebruiken en of verouderde en zwakke methoden zoals LM hashes zijn uitgeschakeld. Organisaties die kunnen aantonen dat ze deze maatregel hebben geïmplementeerd en actief monitoren, zullen beter scoren tijdens audits en kunnen dit gebruiken als bewijs van hun inzet voor informatiebeveiliging.
De CIS Windows Benchmarks, ontwikkeld door het Center for Internet Security, bevatten specifieke aanbevelingen voor wachtwoordbeveiliging die het uitschakelen van LM hash-opslag vereisen. Deze benchmarks worden wereldwijd erkend als best practices voor Windows-beveiliging en worden vaak gebruikt als basis voor beveiligingsaudits en nalevingsevaluaties. De CIS Windows Benchmark voor wachtwoordbeveiliging benadrukt het belang van het gebruik van moderne en veilige wachtwoord-hashing methoden en het vermijden van verouderde algoritmes zoals LM hashes. Organisaties die streven naar CIS-naleving moeten deze maatregel implementeren en kunnen dit gebruiken als bewijs tijdens externe audits. De implementatie van deze maatregel helpt organisaties om te voldoen aan de CIS Level 1 controles, die de basisbeveiligingsmaatregelen vormen die door alle organisaties moeten worden geïmplementeerd. CIS Level 1 controles zijn ontworpen om een basisniveau van beveiliging te bieden zonder de functionaliteit van systemen significant te beïnvloeden, wat betekent dat deze controles relatief eenvoudig te implementeren zijn en minimale impact hebben op gebruikers en bedrijfsprocessen. Het uitschakelen van LM hash-opslag is een typisch voorbeeld van een CIS Level 1 controle die eenvoudig te implementeren is maar een aanzienlijke beveiligingsverbetering biedt. Tijdens CIS-audits zullen auditoren controleren of deze maatregel is geïmplementeerd door de policy-instelling te verifiëren en door te controleren of er geen LM hashes worden opgeslagen in de Security Account Manager-database. Organisaties die kunnen aantonen dat ze deze controle hebben geïmplementeerd en actief monitoren, zullen voldoen aan de CIS-vereisten voor wachtwoordbeveiliging.
De Baseline Informatiebeveiliging Overheid (BIO) bevat specifieke controles voor sterke authenticatie, waaronder controle 09.04.03 die betrekking heeft op sterke wachtwoord-hashing. De BIO is de Nederlandse standaard voor informatiebeveiliging in de publieke sector en is verplicht voor alle overheidsorganisaties. Deze standaard vereist dat organisaties moderne en veilige authenticatiemethoden gebruiken en verouderde en zwakke methoden uitschakelen. Het uitschakelen van LM hash-opslag is een directe implementatie van deze BIO-controle en helpt organisaties om te voldoen aan hun verplichtingen onder deze standaard. Tijdens BIO-audits moeten organisaties kunnen aantonen dat deze configuratie actief is op alle relevante systemen en dat er processen zijn om te monitoren en te handhaven dat de configuratie correct blijft. Organisaties moeten ook documentatie bijhouden die aantoont wanneer de maatregel is geïmplementeerd, wie verantwoordelijk is voor het onderhoud, en hoe de naleving wordt gemonitord. De BIO-controle 09.04.03 vereist specifiek dat organisaties sterke cryptografische methoden gebruiken voor wachtwoordopslag en dat verouderde en zwakke methoden zoals LM hashes worden uitgeschakeld. Deze controle is gebaseerd op het principe dat wachtwoorden moeten worden opgeslagen met behulp van moderne en veilige hashing-algoritmes die bestand zijn tegen moderne aanvalstechnieken. Het gebruik van LM hashes, die binnen seconden kunnen worden gekraakt met behulp van rainbow tables, voldoet niet aan deze vereiste en moet daarom worden uitgeschakeld. Tijdens BIO-audits zullen auditoren controleren of organisaties deze controle hebben geïmplementeerd door de configuratie te verifiëren en door te controleren of er adequate monitoring- en handhavingsprocessen zijn. Organisaties die kunnen aantonen dat ze deze controle hebben geïmplementeerd en actief monitoren, zullen voldoen aan de BIO-vereisten voor sterke authenticatie.
De ISO 27001 standaard voor informatiebeveiligingsmanagement bevat controle A.9.4.3 die betrekking heeft op het gebruik van cryptografische controles voor authenticatie. Deze controle vereist dat organisaties sterke cryptografische methoden gebruiken voor wachtwoordopslag en authenticatie. Het uitschakelen van LM hash-opslag en het gebruik van alleen NTLMv2 hashes is een directe implementatie van deze ISO 27001-controle. Organisaties die gecertificeerd zijn of streven naar ISO 27001-certificering moeten deze maatregel implementeren en kunnen dit gebruiken als bewijs van naleving tijdens certificeringsaudits. De ISO 27001-auditor zal controleren of de organisatie effectieve cryptografische controles heeft geïmplementeerd en of deze controles regelmatig worden geëvalueerd en bijgewerkt. Het hebben van een actief beleid dat LM hash-opslag uitschakelt en het kunnen aantonen van monitoring en handhaving van dit beleid is essentieel voor ISO 27001-naleving. ISO 27001-controle A.9.4.3 vereist specifiek dat organisaties cryptografische controles gebruiken om de vertrouwelijkheid, authenticiteit en integriteit van informatie te beschermen. Het gebruik van zwakke wachtwoord-hashing methoden zoals LM hashes voldoet niet aan deze vereiste omdat deze methoden niet voldoende bescherming bieden tegen moderne aanvalstechnieken. Tijdens ISO 27001-audits zullen auditoren controleren of organisaties sterke cryptografische methoden gebruiken voor wachtwoordopslag en of verouderde en zwakke methoden zijn uitgeschakeld. Organisaties die kunnen aantonen dat ze moderne en veilige wachtwoord-hashing methoden gebruiken en dat verouderde methoden zijn uitgeschakeld, zullen voldoen aan de ISO 27001-vereisten voor cryptografische controles. Bovendien vereist ISO 27001 dat organisaties regelmatig hun cryptografische controles evalueren en bijwerken om ervoor te zorgen dat ze effectief blijven tegen nieuwe bedreigingen. Dit betekent dat organisaties niet alleen moeten controleren of LM hash-opslag is uitgeschakeld, maar ook moeten monitoren of deze configuratie actief blijft en of er nieuwe bedreigingen zijn die aanvullende maatregelen vereisen.
Voor Nederlandse organisaties die onder de Algemene Verordening Gegevensbescherming (AVG) vallen, draagt het uitschakelen van LM hash-opslag bij aan het voldoen aan de vereisten voor technische en organisatorische maatregelen voor gegevensbescherming. Artikel 32 van de AVG vereist dat organisaties passende technische maatregelen nemen om persoonsgegevens te beschermen. Het gebruik van zwakke wachtwoord-hashing methoden zoals LM hashes kan worden beschouwd als een tekortkoming in deze technische maatregelen, vooral omdat het het risico op ongeautoriseerde toegang tot persoonsgegevens verhoogt. Door moderne en veilige wachtwoord-hashing methoden te gebruiken, tonen organisaties aan dat ze passende technische maatregelen hebben genomen om gegevens te beschermen. Dit is vooral belangrijk voor organisaties die persoonsgegevens verwerken, omdat een datalek als gevolg van zwakke wachtwoordbeveiliging kan leiden tot aanzienlijke boetes en reputatieschade. De AVG vereist dat organisaties technische en organisatorische maatregelen implementeren die geschikt zijn voor het risico dat de verwerking van persoonsgegevens met zich meebrengt. Het gebruik van zwakke wachtwoord-hashing methoden zoals LM hashes verhoogt het risico op ongeautoriseerde toegang tot persoonsgegevens aanzienlijk, omdat deze hashes binnen seconden kunnen worden gekraakt. Dit betekent dat organisaties die LM hashes gebruiken mogelijk niet voldoen aan de AVG-vereisten voor passende technische maatregelen. Tijdens AVG-audits of inspecties door de Autoriteit Persoonsgegevens kunnen organisaties worden gevraagd om aan te tonen welke technische maatregelen ze hebben genomen om persoonsgegevens te beschermen. Organisaties die kunnen aantonen dat ze moderne en veilige wachtwoord-hashing methoden gebruiken en dat verouderde methoden zijn uitgeschakeld, zullen beter kunnen aantonen dat ze voldoen aan de AVG-vereisten voor technische maatregelen. Bovendien kan het gebruik van zwakke wachtwoordbeveiliging leiden tot datalekken, wat kan resulteren in meldingsplichten onder de AVG en mogelijk aanzienlijke boetes. Door moderne en veilige wachtwoordbeveiliging te gebruiken, kunnen organisaties het risico op datalekken verminderen en hun naleving van de AVG verbeteren.
Tijdens nalevingsaudits moeten organisaties kunnen aantonen dat de configuratie correct is geïmplementeerd en actief blijft. Dit vereist uitgebreide documentatie, inclusief beleidsdocumenten die de vereiste configuratie specificeren, implementatieplannen die aantonen hoe de configuratie is toegepast, en monitoringrapporten die bevestigen dat de configuratie actief blijft op alle relevante systemen. Organisaties moeten ook processen hebben voor het periodiek controleren en verifiëren van de configuratie, en voor het reageren op afwijkingen. Deze documentatie en processen zijn essentieel voor het succesvol doorstaan van nalevingsaudits en het aantonen van continue naleving van beveiligingsstandaarden. Auditoren zullen niet alleen controleren of de technische configuratie correct is, maar ook of er adequate processen zijn om de configuratie te handhaven en te monitoren. Organisaties moeten daarom zorgen voor complete documentatie en goed gedefinieerde processen die aantonen dat de beveiligingsmaatregel effectief wordt beheerd en gehandhaafd. Tijdens audits zullen auditoren verschillende aspecten van de implementatie controleren, waaronder de technische configuratie, de monitoringprocessen, de remediatieprocessen, en de documentatie. Organisaties die kunnen aantonen dat ze een complete en goed gedocumenteerde implementatie hebben, zullen beter scoren tijdens audits en kunnen dit gebruiken als bewijs van hun inzet voor informatiebeveiliging. Bovendien is goede documentatie essentieel voor het continu verbeteren van beveiligingsprocessen, omdat het organisaties helpt om trends te identificeren, problemen te herkennen, en hun beveiligingsmaatregelen te optimaliseren. Organisaties moeten daarom zorgen voor regelmatige updates van hun documentatie en moeten ervoor zorgen dat alle relevante informatie wordt vastgelegd, inclusief configuratiewijzigingen, monitoringresultaten, en remediatieacties.
Remediatie
Wanneer monitoring aangeeft dat de configuratie voor het uitschakelen van LAN Manager hash-opslag niet correct is toegepast of is gewijzigd, moet onmiddellijk remediatie worden uitgevoerd om de beveiligingsintegriteit te herstellen en te voorkomen dat de afwijking leidt tot beveiligingsincidenten. Remediatieprocessen moeten worden geautomatiseerd waar mogelijk om ervoor te zorgen dat afwijkingen snel worden gecorrigeerd zonder handmatige interventie, wat de beveiligingseffectiviteit aanzienlijk verhoogt en de operationele belasting voor IT-beheerteams vermindert. Geautomatiseerde remediatie is vooral belangrijk in grote organisaties waar handmatige interventie voor elke afwijking niet praktisch haalbaar is en waar de schaal van de omgeving vereist dat problemen snel worden opgelost voordat ze kunnen escaleren tot beveiligingsincidenten. Door automatische remediatie te implementeren, kunnen organisaties ervoor zorgen dat afwijkingen binnen minuten worden gecorrigeerd, in plaats van uren of dagen die nodig zijn voor handmatige interventie, wat het beveiligingsrisico aanzienlijk vermindert en ervoor zorgt dat de beveiligingsconfiguratie consistent blijft op alle beheerde apparaten. Bovendien maakt geautomatiseerde remediatie het mogelijk om continu te reageren op afwijkingen, zonder dat IT-beheerteams permanent beschikbaar hoeven te zijn, wat vooral belangrijk is voor organisaties met internationale operaties of apparaten die buiten normale kantooruren worden gebruikt. Deze continue beschikbaarheid van remediatie zorgt ervoor dat beveiligingsafwijkingen snel worden gecorrigeerd, ongeacht het tijdstip waarop ze worden gedetecteerd, wat de algehele beveiligingspostuur van de organisatie aanzienlijk verbetert.
De primaire remediatieactie bestaat uit het opnieuw inschakelen van het netwerkbeveiligingsbeleid "Network security: Do not store LAN Manager hash value on next password change" op apparaten waar deze instelling is uitgeschakeld of ontbreekt, waardoor de beveiligingsconfiguratie wordt hersteld naar de vereiste staat. Voor apparaten die worden beheerd via Microsoft Intune kan dit automatisch worden gedaan door middel van nalevingsbeleid met automatische remediatie, waarbij het systeem automatisch detecteert wanneer een apparaat niet voldoet aan de configuratievereisten en onmiddellijk corrigerende acties onderneemt. Wanneer een apparaat wordt gedetecteerd dat niet voldoet aan de vereiste configuratie, kan Intune automatisch een remediatiescript uitvoeren dat de policy-instelling corrigeert zonder dat handmatige interventie nodig is. Deze automatische remediatie werkt door middel van nalevingsbeleid dat is geconfigureerd om specifieke configuratievereisten te controleren en automatisch corrigerende acties uit te voeren wanneer afwijkingen worden gedetecteerd, waarbij het systeem regelmatig de configuratiestatus controleert en onmiddellijk reageert op eventuele wijzigingen. Het remediatiescript dat wordt uitgevoerd, controleert eerst de huidige waarde van de policy-instelling en stelt deze vervolgens in op de vereiste waarde als deze afwijkt, waarna de configuratie opnieuw wordt geverifieerd om te bevestigen dat de correctie succesvol is geweest. Dit proces zorgt ervoor dat afwijkingen snel worden gecorrigeerd zonder dat handmatige interventie nodig is, wat de beveiligingseffectiviteit aanzienlijk verhoogt en ervoor zorgt dat apparaten consistent blijven voldoen aan de beveiligingsvereisten. Voor organisaties die gebruik maken van Group Policy kan remediatie worden uitgevoerd door de Group Policy opnieuw toe te passen of door handmatig de policy-instelling te corrigeren via Group Policy Management Console. In gevallen waar automatische remediatie niet mogelijk is of niet succesvol is geweest, moeten IT-beheerteams handmatige interventie uitvoeren om de configuratie te herstellen en te voorkomen dat de afwijking leidt tot beveiligingsproblemen.
Het handmatige remediatieproces begint met het identificeren van de oorzaak van de afwijking, wat essentieel is om te bepalen welke aanvullende maatregelen nodig zijn om te voorkomen dat het probleem opnieuw optreedt en om te begrijpen of de afwijking het gevolg is van een technisch probleem, een beveiligingsincident, of een opzettelijke actie. Mogelijke oorzaken kunnen zijn: lokale administratorwijzigingen waarbij gebruikers met administratorrechten de configuratie hebben gewijzigd, conflicterende Group Policy-instellingen die de configuratie overschrijven, of malware die de configuratie heeft gewijzigd als onderdeel van een aanval. Na het identificeren van de oorzaak moet de configuratie worden hersteld naar de vereiste staat en moeten aanvullende maatregelen worden genomen om te voorkomen dat de afwijking opnieuw optreedt, waarbij organisaties moeten overwegen om aanvullende beveiligingscontroles te implementeren of bestaande processen aan te passen. Bijvoorbeeld, als de afwijking is veroorzaakt door een lokale administrator die de configuratie heeft gewijzigd, moeten organisaties overwegen om de lokale administratorrechten te beperken, aanvullende monitoring te implementeren op apparaten waar dit probleem zich voordoet, of gebruikers te trainen over het belang van beveiligingsconfiguraties. Als de afwijking is veroorzaakt door malware, moeten organisaties een volledige beveiligingsscan uitvoeren om te controleren of er andere beveiligingsproblemen zijn, ervoor zorgen dat de malware volledig is verwijderd, en onderzoeken hoe de malware de configuratie heeft kunnen wijzigen om toekomstige incidenten te voorkomen. Deze diepgaande analyse is essentieel om te voorkomen dat het probleem opnieuw optreedt en om de algehele beveiligingspostuur van de organisatie te verbeteren.
Voor apparaten waar de configuratie herhaaldelijk wordt gewijzigd, moeten organisaties een diepgaandere analyse uitvoeren om de onderliggende oorzaak te identificeren en passende maatregelen te nemen om het probleem permanent op te lossen. Herhaaldelijke afwijkingen kunnen verschillende oorzaken hebben, waaronder opzettelijke omzeiling door gebruikers die proberen beveiligingsmaatregelen te omzeilen, onvoldoende beveiligingscontroles die het mogelijk maken om configuraties te wijzigen, of technische problemen met de configuratie-implementatie die ervoor zorgen dat wijzigingen niet persistent zijn. Dit kan wijzen op een poging tot opzettelijke omzeiling van beveiligingsmaatregelen, wat mogelijk een disciplinaire actie vereist in overeenstemming met het beveiligingsbeleid van de organisatie, of op een fundamenteel probleem met de beveiligingsarchitectuur dat moet worden aangepakt. Organisaties moeten daarom een systematische aanpak volgen om de oorzaak te identificeren en passende maatregelen te nemen, waarbij ze moeten overwegen om aanvullende beveiligingscontroles te implementeren, zoals het beperken van lokale administratorrechten, het implementeren van aanvullende monitoring op specifieke apparaten, of het toepassen van strengere beveiligingsbeleidsregels op specifieke apparaten of gebruikers. In sommige gevallen kan het nodig zijn om disciplinaire maatregelen te nemen tegen gebruikers die opzettelijk proberen beveiligingsmaatregelen te omzeilen, vooral als dit herhaaldelijk gebeurt of als het een beveiligingsrisico vormt voor de organisatie, waarbij organisaties moeten werken met HR-afdelingen om passende acties te ondernemen in overeenstemming met het arbeidsrecht en het beveiligingsbeleid. Deze systematische aanpak helpt om ervoor te zorgen dat beveiligingsafwijkingen niet alleen worden gecorrigeerd, maar ook dat de onderliggende oorzaken worden aangepakt om toekomstige problemen te voorkomen.
Naast het herstellen van de configuratie moeten organisaties ook controleren of er LM hashes zijn opgeslagen op apparaten waar de configuratie niet correct was. Wanneer gebruikers hun wachtwoord wijzigen na het herstellen van de configuratie, worden oude LM hashes automatisch verwijderd. Echter, voor apparaten waar de configuratie langere tijd niet correct was, kunnen er nog steeds LM hashes aanwezig zijn in de Security Account Manager-database of Active Directory. Organisaties moeten overwegen om gebruikers te vragen hun wachtwoord opnieuw in te stellen om ervoor te zorgen dat alle oude LM hashes worden verwijderd. Dit is vooral belangrijk voor accounts met verhoogde rechten, zoals administrator-accounts, omdat deze accounts een hoger beveiligingsrisico vormen als hun wachtwoorden worden gecompromitteerd. Het forceren van wachtwoordwijzigingen voor deze accounts helpt om ervoor te zorgen dat alle oude LM hashes worden verwijderd en dat alleen moderne NTLMv2 hashes worden gebruikt. Organisaties kunnen dit proces automatiseren door middel van Group Policy-instellingen die gebruikers dwingen om hun wachtwoord te wijzigen bij de volgende aanmelding, of door middel van PowerShell-scripts die automatisch wachtwoordwijzigingen forceren voor accounts waar LM hashes zijn gedetecteerd. Deze geautomatiseerde aanpak zorgt ervoor dat alle oude LM hashes worden verwijderd zonder dat handmatige interventie nodig is, wat de beveiligingseffectiviteit aanzienlijk verhoogt en ervoor zorgt dat alle accounts gebruik maken van moderne en veilige wachtwoord-hashing methoden. Bovendien moeten organisaties regelmatig controleren of er nog LM hashes aanwezig zijn in de Security Account Manager-database of Active Directory, wat helpt om te verifiëren dat de beveiligingsmaatregel effectief is en dat er geen omzeilingen plaatsvinden.
Remediatieprocessen moeten worden gedocumenteerd en geaudit om ervoor te zorgen dat organisaties kunnen leren van incidenten, trends kunnen identificeren, en hun beveiligingsprocessen continu kunnen verbeteren. Elke remediatieactie moet worden vastgelegd met uitgebreide informatie over wanneer de afwijking is gedetecteerd, welke acties zijn ondernomen om deze te corrigeren, wat de oorzaak was, en welke maatregelen zijn genomen om te voorkomen dat het probleem opnieuw optreedt. Deze documentatie is essentieel voor nalevingsdoeleinden, omdat auditors willen zien dat organisaties effectieve processen hebben voor het detecteren en corrigeren van beveiligingsafwijkingen, en helpt organisaties om trends te identificeren en hun beveiligingsprocessen continu te verbeteren. Bovendien moet na elke remediatieactie worden geverifieerd dat de configuratie correct is hersteld en dat er geen verdere afwijkingen zijn, waarbij organisaties moeten controleren of de remediatie succesvol is geweest en of er aanvullende maatregelen nodig zijn. Goede documentatie maakt het mogelijk om patronen te herkennen in afwijkingen en om te identificeren welke apparaten of gebruikers vaker problemen hebben, wat kan helpen om proactieve maatregelen te nemen om toekomstige problemen te voorkomen en om gerichte training of aanvullende beveiligingscontroles te implementeren waar nodig. Organisaties moeten daarom een gestructureerd proces hebben voor het documenteren van alle remediatieacties, inclusief de details van de afwijking, de genomen corrigerende acties, de verificatie dat de remediatie succesvol is geweest, en eventuele follow-up acties die nodig zijn om te voorkomen dat het probleem opnieuw optreedt. Deze documentatie moet regelmatig worden geaudit om ervoor te zorgen dat de processen effectief zijn en dat organisaties kunnen leren van eerdere incidenten om hun beveiligingsprocessen continu te verbeteren. Bovendien is deze documentatie essentieel voor nalevingsaudits, omdat auditors willen zien dat organisaties effectieve processen hebben voor het detecteren en corrigeren van beveiligingsafwijkingen en dat deze processen regelmatig worden geëvalueerd en verbeterd.
Gebruik PowerShell-script network-security-do-not-store-lan-manager-hash-value-on-next-password-change-is-set-to-enabled.ps1 (functie Invoke-Remediation) – Automatische remediatie van afwijkingen in de configuratie voor het uitschakelen van LAN Manager hash-opslag.
Compliance & Frameworks
- CIS M365: Control Password Security (L1) - No LM hash opslag
- BIO: 09.04.03 - Strong password hashing
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Intune Security: Do Not Store LAN Manager Hash
.DESCRIPTION
CIS - LAN Manager hash moet niet opgeslagen worden (weak encryption).
.NOTES
Filename: network-security-do-not-store-lan-manager-hash-value-on-next-password-change-is-set-to-enabled.ps1|Author: Nederlandse Baseline voor Veilige Cloud|SecurityPolicy: NoLMHash|Expected: 1
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $PolicyName = "NoLMHash"; $ExpectedValue = 1
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance {
$r = [PSCustomObject]@{ScriptName = "no-lm-hash.ps1"; PolicyName = $PolicyName; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; function Invoke-Revert { Write-Host "Revert via Group Policy" }
try { $secedit = secedit /export /cfg "$env:TEMP\secedit.txt" 2>&1; $content = Get-Content "$env:TEMP\secedit.txt"; $line = $content | Where-Object { $_ -match "^$PolicyName\s*=\s*(.+)" }; if ($line -match "=\s*(\d+)") { $r.CurrentValue = $matches[1]; if ([int]$r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "LM hash storage disabled" }else { $r.Details += "LM hash storage enabled - RISK" } }else { $r.Details += "Niet geconfigureerd" } }catch { $r.Details += "Error: $($_.Exception.Message)" }finally { Remove-Item "$env:TEMP\secedit.txt" -ErrorAction SilentlyContinue }; return $r
}
function Invoke-Remediation {
$tempFile = "$env:TEMP\secedit_config.inf"; function Invoke-Revert { Write-Host "Revert via Group Policy" }
try { $config = "[Unicode]`r`nUnicode=yes`r`n[Version]`r`nsignature=`"`$CHICAGO`$`"`r`nRevision=1`r`n[System Access]`r`n$PolicyName = $ExpectedValue`r`n"; Set-Content -Path $tempFile -Value $config -Encoding Unicode; secedit /configure /db "$env:TEMP\secedit.sdb" /cfg $tempFile /areas SECURITYPOLICY | Out-Null; Write-Host "LM hash storage disabled" -ForegroundColor Green }finally { Remove-Item $tempFile -ErrorAction SilentlyContinue; Remove-Item "$env:TEMP\secedit.sdb" -ErrorAction SilentlyContinue }
}
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { Write-Host "Revert via Group Policy" }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
High: Kritiek hoog risico. LM hashes kunnen binnen seconden worden gekraakt. Rainbow table-aanvallen zijn triviaal uit te voeren. Alle wachtwoorden worden gecompromitteerd als LM hashes worden opgeslagen. Deze functie moet worden uitgeschakeld.
Management Samenvatting
Kritiek: Schakel LM hash-opslag uit. Gebruik uitsluitend NTLM/NTLMv2. Honderd procent dekking vereist. Implementatie: 30 minuten tot 1 uur.
- Implementatietijd: 1 uur
- FTE required: 0.01 FTE