💼 Management Samenvatting
Account Logon Audit Credential Validatie is een essentiële beveiligingscontrole die alle authenticatiepogingen registreert, zowel succesvolle als mislukte, waardoor organisaties inzicht krijgen in wie toegang probeert te krijgen tot hun systemen en wanneer verdachte activiteiten plaatsvinden.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
7/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Windows
Credential stuffing-aanvallen, brute force-pogingen en ongeautoriseerde toegangspogingen vormen een constante bedreiging voor organisaties. Zonder adequate audit logging van authenticatiegebeurtenissen kunnen beveiligingsteams deze aanvallen niet detecteren, analyseren of reageren. Moderne aanvallers gebruiken geautomatiseerde tools om duizenden inlogpogingen per minuut uit te voeren met gestolen of gelekte inloggegevens. Zonder logging van zowel succesvolle als mislukte authenticatiepogingen kunnen organisaties niet identificeren wanneer een account is gecompromitteerd, wanneer een aanval plaatsvindt, of welke accounts het meest worden getarget. Account Logon Audit Credential Validatie registreert elke authenticatiepoging met details zoals gebruikersnaam, tijdstip, bron-IP-adres, en of de poging succesvol was of niet. Deze informatie is cruciaal voor security operations centers om bedreigingen te detecteren, incidenten te onderzoeken, en compliance-vereisten te vervullen. Zonder deze logging kunnen organisaties niet voldoen aan BIO 16.01, ISO 27001 A.12.4.1, of andere auditvereisten die Nederlandse overheidsorganisaties moeten naleven.
PowerShell Modules Vereist
Primary API: Graph
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
Deze controle configureert Account Logon Audit Credential Validatie om zowel succesvolle als mislukte authenticatiepogingen te registreren via Microsoft Intune apparaatconfiguratiebeleid. De technische implementatie werkt door het Windows-beleid voor accountlogoncontrole in te schakelen, waarbij het systeem elke keer dat een gebruiker probeert in te loggen een gebeurtenis registreert in het Windows Security Event Log. De controle registreert gebeurtenissen wanneer gebruikers zich authenticeren bij lokale accounts, domeinaccounts, of wanneer credentials worden gevalideerd voor netwerktoegang. Elke gebeurtenis bevat kritieke informatie zoals de gebruikersnaam, het tijdstip van de poging, het bron-IP-adres of computernaam, het type authenticatiemethode dat werd gebruikt, en of de authenticatie succesvol was of mislukte. Deze informatie wordt opgeslagen in het Security Event Log onder Event ID 4776 voor Kerberos-authenticatie en Event ID 4624 voor succesvolle logons. Mislukte pogingen worden geregistreerd onder Event ID 4625. De implementatie gebeurt via Intune door een apparaatconfiguratiebeleid te maken dat de Group Policy-instelling Audit Account Logon Events configureert op zowel Success als Failure. Dit zorgt ervoor dat alle authenticatiepogingen worden vastgelegd, ongeacht of ze succesvol zijn of niet, wat essentieel is voor complete security visibility en compliance.
Vereisten
Voor de implementatie van Account Logon Audit Credential Validatie zijn verschillende technische en organisatorische vereisten van toepassing. Deze vereisten zorgen ervoor dat de audit logging correct functioneert en dat organisaties optimaal kunnen profiteren van de beveiligingsinformatie die wordt gegenereerd. Het is essentieel om alle vereisten te verifiëren voordat met de implementatie wordt begonnen, omdat ontbrekende componenten kunnen leiden tot incomplete logging of volledige uitval van de auditfunctionaliteit.
De primaire technische vereiste betreft de beschikbaarheid van Microsoft Intune voor het beheer van Windows-apparaten. Organisaties moeten beschikken over een geldige Intune-licentie, zoals Microsoft 365 E3 of E5, of een specifieke Intune-licentie voor device management. Zonder Intune kunnen organisaties deze controle niet centraal implementeren en beheren, wat leidt tot inconsistente configuraties en complianceproblemen. Daarnaast zijn Endpoint Administrator-rechten in Intune noodzakelijk om apparaatconfiguratiebeleid te kunnen maken, configureren en toewijzen aan apparaten of groepen. Zonder deze rechten kunnen beheerders geen auditbeleid implementeren.
Windows-apparaten moeten lid zijn van Azure Active Directory of hybride Azure AD joined zijn om door Intune te kunnen worden beheerd. Apparaten die alleen on-premises zijn geregistreerd of niet zijn geregistreerd, kunnen niet worden beheerd via Intune en vereisen alternatieve implementatiemethoden zoals Group Policy. Voor hybride omgevingen is het belangrijk om te verifiëren dat apparaten correct zijn geregistreerd en dat de Intune-beleidssynchronisatie correct functioneert. Apparaten moeten Windows 10 versie 1709 of hoger draaien, of Windows 11, omdat oudere versies mogelijk niet alle auditfunctionaliteiten ondersteunen die nodig zijn voor complete credential validatie logging.
De Windows Security Event Log moet voldoende ruimte hebben om auditgebeurtenissen op te slaan. Standaard heeft het Security Event Log een maximale grootte van 20 MB, wat onvoldoende kan zijn voor organisaties met veel authenticatieactiviteit. Beheerders moeten de loggrootte configureren naar minimaal 100 MB of meer, afhankelijk van het aantal gebruikers en de frequentie van authenticatiepogingen. Daarnaast moet het logbeleid worden geconfigureerd om oude gebeurtenissen te overschrijven wanneer de maximale grootte is bereikt, of om het log te archiveren voordat oude gebeurtenissen worden verwijderd. Zonder adequate logruimte kunnen belangrijke auditgebeurtenissen verloren gaan, wat complianceproblemen kan veroorzaken.
Voor de analyse en monitoring van auditgebeurtenissen is een Security Information and Event Management (SIEM) systeem of log aggregatieoplossing aanbevolen. Hoewel Windows Event Logs lokaal kunnen worden bekeken, is centrale aggregatie essentieel voor het detecteren van patronen over meerdere apparaten, het identificeren van gecoördineerde aanvallen, en het voldoen aan compliancevereisten voor langetermijnopslag van auditgebeurtenissen. Organisaties moeten een SIEM-oplossing implementeren die Windows Event Logs kan verzamelen, zoals Microsoft Sentinel, Splunk, of een andere enterprise SIEM-oplossing. Deze oplossing moet regelmatig worden geconfigureerd om relevante gebeurtenissen te verzamelen en te analyseren.
Organisatorische vereisten omvatten de definitie van procedures voor het reageren op verdachte authenticatiepatronen. Beveiligingsteams moeten weten hoe ze moeten reageren wanneer ze een brute force-aanval detecteren, wanneer een account meerdere mislukte inlogpogingen heeft, of wanneer authenticatiepogingen plaatsvinden buiten normale bedrijfsuren. Deze procedures moeten worden gedocumenteerd en regelmatig worden getest om te verzekeren dat teams effectief kunnen reageren op bedreigingen. Daarnaast moeten organisaties bepalen hoe lang auditgebeurtenissen moeten worden bewaard voor compliance- en forensische doeleinden, wat kan variëren van één jaar tot zeven jaar afhankelijk van de toepasselijke regelgeving.
Implementatie
De implementatie van Account Logon Audit Credential Validatie vereist een gestructureerde aanpak om te verzekeren dat alle apparaten correct zijn geconfigureerd en dat de audit logging consistent werkt over de hele organisatie. De aanbevolen implementatiemethode bestaat uit verschillende fasen die organisaties systematisch doorlopen, waarbij elke fase zorgvuldig wordt gemonitord voordat wordt overgegaan naar de volgende fase.
De primaire implementatiemethode voor Account Logon Audit Credential Validatie is via Microsoft Intune, wat centrale beheer en consistentie over alle apparaten mogelijk maakt. De implementatie begint in het Microsoft Intune-beheercentrum, waar beheerders navigeren naar Apparaten, vervolgens naar Configuratiebeleid, en daar een nieuw beleid aanmaken. Het platform wordt ingesteld op Windows 10 en later, en het profieltype is Beheersjablonen. In de configuratie navigeren beheerders naar Computerconfiguratie, Beleid, Windows-instellingen, Beveiligingsinstellingen, Lokaal beleid, en vervolgens Auditbeleid. Hier selecteren beheerders Account Logon Events en configureren deze op zowel Succes als Falen. Dit zorgt ervoor dat zowel succesvolle als mislukte authenticatiepogingen worden geregistreerd.
Het beleid wordt vervolgens toegewezen aan doelapparaten of groepen. Beheerders kunnen kiezen om het beleid toe te wijzen aan alle apparaten, specifieke groepen zoals alle Windows-apparaten, of aangepaste groepen op basis van organisatorische eenheden of beveiligingsvereisten. Het is aanbevolen om te starten met een pilotgroep bestaande uit IT-apparaten of een selecte groep gebruikers om te verifiëren dat de configuratie correct werkt voordat de volledige deployment plaatsvindt. Na toewijzing monitoren beheerders de deploymentstatus via het Intune-dashboard om te verifiëren dat apparaten het beleid hebben ontvangen en dat er geen configuratiefouten zijn opgetreden.
Voor testomgevingen of on-premises implementaties kan Account Logon Audit Credential Validatie ook lokaal worden geconfigureerd via Group Policy of PowerShell. Via Group Policy navigeren beheerders naar Computer Configuration, Policies, Windows Settings, Security Settings, Local Policies, en Audit Policy. Hier configureren ze Audit account logon events op zowel Success als Failure. Via PowerShell kan dit worden gedaan met de cmdlet auditpol.exe, waarbij de opdracht auditpol /set /category:Logon /success:enable /failure:enable wordt uitgevoerd. De status kan worden gecontroleerd met auditpol /get /category:Logon om te verifiëren dat de instellingen correct zijn toegepast.
Gebruik PowerShell-script account-logon-audit-credential-validatie-is-set-to-success-and-failure.ps1 (functie Invoke-Monitoring) – PowerShell script voor lokale verificatie van Account Logon Audit configuratie.
Na implementatie moeten beheerders verifiëren dat de audit logging daadwerkelijk werkt door het Windows Security Event Log te controleren. Beheerders kunnen inloggen op een testapparaat en vervolgens het Event Viewer openen om te zoeken naar Event ID 4624 voor succesvolle logons en Event ID 4625 voor mislukte logons. Als deze gebeurtenissen worden gegenereerd, functioneert de audit logging correct. Als geen gebeurtenissen worden gegenereerd, moeten beheerders controleren of het Intune-beleid correct is toegepast, of er Group Policy-conflicten zijn, en of de Windows Event Log-service correct functioneert.
Kritieke richtlijnen voor de implementatie omvatten het configureren van adequate logretentie en het instellen van waarschuwingen voor verdachte activiteiten. Beheerders moeten de Security Event Log-grootte configureren naar minimaal 100 MB of meer, afhankelijk van de organisatiegrootte, en het logbeleid instellen op overschrijven van oude gebeurtenissen wanneer de maximale grootte is bereikt. Daarnaast moeten SIEM-systemen worden geconfigureerd om relevante gebeurtenissen te verzamelen en te analyseren, met specifieke aandacht voor patronen die kunnen wijzen op brute force-aanvallen, credential stuffing, of andere kwaadwillende activiteiten. Deze configuratie moet worden gedocumenteerd en regelmatig worden beoordeeld om te verzekeren dat de audit logging effectief blijft functioneren.
Monitoring
Gebruik PowerShell-script account-logon-audit-credential-validation-is-set-to-success-and-failure.ps1 (functie Invoke-Monitoring) – Controleert Account Logon Audit configuratie via auditpol en Event Logs.
Continue monitoring van Account Logon Audit Credential Validatie is essentieel om te verzekeren dat de audit logging effectief functioneert en om tijdig te reageren op potentiële beveiligingsbedreigingen. Monitoring moet op meerdere niveaus plaatsvinden, van technische configuratieverificatie tot analyse van authenticatiepatronen en detectie van verdachte activiteiten. Een goed ingericht monitoringprogramma stelt organisaties in staat om bedreigingen te identificeren, compliance-vereisten te vervullen, en forensische analyses uit te voeren wanneer dat nodig is.
Intune-apparaatcompliance biedt inzicht in de deploymentstatus van het auditbeleid over alle apparaten in de organisatie. Beheerders kunnen via het Intune-dashboard zien welke apparaten het beleid hebben ontvangen, welke apparaten compliant zijn, en welke apparaten mogelijk configuratieproblemen hebben. Deze informatie is cruciaal voor het verzekeren dat alle apparaten de audit logging hebben geïmplementeerd en dat er geen gaten in de dekking zijn. Regelmatige controle van de compliancestatus helpt bij het identificeren van apparaten die mogelijk handmatige interventie vereisen of waar het beleid niet correct is toegepast.
Windows Security Event Logs vormen de primaire bron van gedetailleerde informatie over authenticatiegebeurtenissen. Het Security Event Log bevat alle gebeurtenissen gerelateerd aan account logon events. Event ID 4624 is de meest voorkomende gebeurtenis voor succesvolle logons en bevat informatie zoals gebruikersnaam, tijdstip, bron-IP-adres, en authenticatiemethode. Event ID 4625 wordt gegenereerd voor mislukte logonpogingen en bevat vergelijkbare informatie plus de reden voor het falen, zoals verkeerd wachtwoord, account uitgeschakeld, of account vergrendeld. Deze gebeurtenissen vereisen regelmatige analyse om patronen te identificeren die kunnen wijzen op kwaadwillende activiteiten.
Microsoft Sentinel of andere SIEM-systemen bieden gecentraliseerde aggregatie van auditgebeurtenissen over alle apparaten in de organisatie. Deze gecentraliseerde weergave stelt beveiligingsteams in staat om patronen te identificeren die mogelijk niet zichtbaar zijn wanneer individuele apparaten worden bekeken. Bijvoorbeeld, als meerdere apparaten binnen korte tijd mislukte inlogpogingen ervaren van hetzelfde IP-adres, kan dit wijzen op een brute force-aanval. Als een account succesvol inlogt vanaf meerdere geografische locaties binnen korte tijd, kan dit wijzen op accountcompromittering. De gecentraliseerde dashboards in SIEM-systemen helpen bij het prioriteren van incidenten en het identificeren van trends die aandacht vereisen.
Dagelijks overzicht van mislukte authenticatiepogingen is essentieel voor het detecteren van brute force-aanvallen en credential stuffing-pogingen. Beveiligingsteams moeten dagelijks de gebeurtenissen analyseren om te identificeren welke accounts het vaakst worden getarget, welke IP-adressen de meeste mislukte pogingen genereren, en of er patronen zijn die kunnen wijzen op kwaadwillende activiteit. Plotselinge pieken in mislukte inlogpogingen, vooral buiten normale bedrijfsuren of vanaf onbekende IP-adressen, kunnen wijzen op een actieve aanval. Deze analyse helpt ook bij het identificeren van accounts die mogelijk moeten worden vergrendeld of waarvoor aanvullende beveiligingsmaatregelen nodig zijn.
Automatische waarschuwingen moeten worden geconfigureerd voor verdachte authenticatiepatronen. SIEM-systemen kunnen worden geconfigureerd om waarschuwingen te genereren wanneer een account meerdere mislukte inlogpogingen heeft binnen een korte periode, wanneer inlogpogingen plaatsvinden buiten normale bedrijfsuren, wanneer inlogpogingen plaatsvinden vanaf onbekende of verdachte IP-adressen, of wanneer een account succesvol inlogt vanaf meerdere geografische locaties binnen korte tijd. Deze waarschuwingen moeten worden geconfigureerd met geschikte drempelwaarden om valse positieven te minimaliseren terwijl echte bedreigingen worden gedetecteerd. Beveiligingsteams moeten regelmatig deze waarschuwingen beoordelen en de drempelwaarden aanpassen op basis van waarnemingen.
PowerShell-monitoringquery's bieden beheerders de mogelijkheid om programmatisch de status en configuratie van Account Logon Audit te verifiëren. Een basisstatuscontrole kan worden uitgevoerd met auditpol /get /category:Logon om te verifiëren dat account logon events zijn ingeschakeld voor zowel success als failure. Voor analyse van recente authenticatiegebeurtenissen kan Get-WinEvent worden gebruikt met een filterhashtable die het Security Event Log specificeert, Event ID 4624 of 4625, en een starttijd van de laatste 24 uur of week. Deze query's kunnen worden geautomatiseerd in monitoring scripts die regelmatig worden uitgevoerd om de gezondheid en effectiviteit van de audit logging-implementatie te verifiëren.
Remediatie
Gebruik PowerShell-script account-logon-audit-credential-validation-is-set-to-success-and-failure.ps1 (functie Invoke-Remediation) – Herstelt Account Logon Audit configuratie indien niet correct ingesteld.
Remediatie van problemen met Account Logon Audit Credential Validatie is een kritiek onderdeel van het beheerproces, omdat niet-compliant apparaten gaten in de beveiligingsmonitoring kunnen creëren en complianceproblemen kunnen veroorzaken. Effectieve remediatie vereist een gestructureerde aanpak die begint met het identificeren van de oorzaak van het probleem voordat corrigerende maatregelen worden genomen. Organisaties moeten duidelijke procedures hebben voor verschillende scenario's, van configuratieproblemen tot beveiligingsincidenten.
Voor apparaten waar Account Logon Audit niet compliant is, moet een systematische troubleshootingaanpak worden gevolgd. De eerste stap is het verifiëren van de Intune-beleidstoewijzingsscope om te bevestigen dat het apparaat daadwerkelijk is opgenomen in de doelgroep die het auditbeleid heeft ontvangen. Soms kunnen apparaten per ongeluk worden uitgesloten van beleidstoewijzingen, of kunnen ze zijn verplaatst naar een groep die niet is geconfigureerd voor audit logging. Beheerders moeten de groepslidmaatschap van het apparaat verifiëren en controleren of het beleid correct is toegewezen aan die groep.
Beleidsconflicten kunnen voorkomen wanneer meerdere configuratiebeleidsregels zijn geconfigureerd die mogelijk tegenstrijdige instellingen hebben. Intune evalueert beleidsregels in een specifieke volgorde, en conflicterende instellingen kunnen ertoe leiden dat audit logging niet correct wordt toegepast. Beheerders moeten alle configuratiebeleidsregels controleren die van toepassing zijn op het apparaat en verifiëren dat er geen conflicterende configuraties zijn. In sommige gevallen kan het nodig zijn om beleidsregels te consolideren of de prioriteit van beleidstoewijzingen aan te passen.
Group Policy-conflicten kunnen voorkomen wanneer on-premises Group Policy Objecten Intune-beleidsregels overschrijven. Dit is vooral relevant voor hybride omgevingen waar zowel on-premises Active Directory als Azure AD worden gebruikt. Beheerders moeten controleren of er GPO's zijn geconfigureerd die auditbeleid beheren en die mogelijk conflicteren met Intune-beleidsregels. In dergelijke gevallen moet de GPO worden aangepast of moet de prioriteit van beleidstoepassing worden herzien. Als fallback kan lokale PowerShell-remediatie worden gebruikt met auditpol.exe om audit logging direct op het apparaat in te schakelen, hoewel dit niet de voorkeur heeft omdat het centrale beheer omzeilt.
Een geforceerde Intune-beleidssynchronisatie kan helpen wanneer beleidsregels niet correct zijn toegepast. Gebruikers kunnen dit handmatig doen via Instellingen, Accounts, Toegang tot werk of school, Info, en vervolgens Synchroniseren. Voor beheerders kan dit ook worden geforceerd via Intune of via PowerShell-cmdlets. Soms kunnen beleidsregels vertraging oplopen in de synchronisatie, en een geforceerde sync kan helpen om de configuratie bij te werken. Na synchronisatie moeten beheerders verifiëren dat het beleid correct is toegepast door de Event Logs te controleren of door auditpol.exe uit te voeren om de configuratie te verifiëren.
Wanneer audit logging niet werkt ondanks correcte beleidsconfiguratie, kunnen er problemen zijn met de Windows Event Log-service of de Security Event Log zelf. Beheerders moeten controleren of de Windows Event Log-service actief is en correct functioneert. De service kan worden gecontroleerd met Get-Service EventLog, en indien nodig kan de service worden herstart met Restart-Service EventLog. Daarnaast moeten beheerders controleren of de Security Event Log niet vol is en of er voldoende ruimte is voor nieuwe gebeurtenissen. Als het log vol is, kunnen oude gebeurtenissen worden gearchiveerd of verwijderd om ruimte te maken voor nieuwe gebeurtenissen.
Beveiligingsincidentrespons is kritiek wanneer monitoring verdachte authenticatiepatronen detecteert, zoals brute force-aanvallen of accountcompromittering. In dergelijke scenario's moet onmiddellijk worden gehandeld om verdere schade te voorkomen. Het eerste actie is het identificeren van de getroffen accounts en het bepalen van de omvang van de aanval. Accounts die worden getarget door brute force-aanvallen moeten mogelijk tijdelijk worden vergrendeld of moeten worden geconfigureerd met aanvullende beveiligingsmaatregelen zoals multi-factor authenticatie. IP-adressen die verdachte activiteiten genereren moeten worden geblokkeerd op firewalls of netwerkapparaten om verdere aanvallen te voorkomen.
Het incident moet volledig worden gedocumenteerd met een tijdlijn van gebeurtenissen, indicatoren van compromittering zoals IP-adressen en gebruikersnamen, en alle responsacties die zijn ondernomen. Deze documentatie is essentieel voor post-incident reviews en helpt bij het verbeteren van beveiligingscontroles. Lessons learned moeten worden geïdentificeerd, met name hoe de aanval werd gedetecteerd, hoe effectief de respons was, en welke verbeteringen kunnen worden doorgevoerd om toekomstige incidenten te voorkomen of sneller te detecteren. Deze informatie helpt bij het verbeteren van de beveiligingspostuur en het voorkomen van vergelijkbare incidenten in de toekomst.
Compliance en Auditing
Account Logon Audit Credential Validatie draagt significant bij aan compliance met meerdere beveiligings- en privacyframeworks die relevant zijn voor Nederlandse overheidsorganisaties en bedrijven. De implementatie van deze audit logging helpt organisaties te voldoen aan verplichtingen op het gebied van cybersecurity, gegevensbescherming en risicobeheer. Elk framework heeft specifieke vereisten die door Account Logon Audit worden ondersteund, waardoor de controle een waardevolle investering is voor organisaties die moeten voldoen aan meerdere compliance-standaarden.
BIO 16.01 vereist specifiek gebeurtenissen logging en audittrails voor alle kritieke beveiligingsgebeurtenissen, inclusief authenticatiegebeurtenissen. De Baseline Informatiebeveiliging Overheid (BIO) is het beveiligingskader voor Nederlandse overheidsorganisaties en bevat verplichte controles die moeten worden geïmplementeerd. Account Logon Audit Credential Validatie voldoet direct aan deze vereiste door alle authenticatiepogingen te registreren, zowel succesvolle als mislukte. Overheidsorganisaties die moeten voldoen aan BIO-vereisten moeten deze audit logging implementeren als onderdeel van hun logging- en monitoringstrategie. De implementatie moet worden gedocumenteerd en regelmatig worden geaudit om te verifiëren dat de controle effectief functioneert.
ISO 27001:2022 bevat controle A.12.4.1 die vereist dat organisaties gebeurtenissen loggen en audittrails onderhouden voor alle kritieke systemen en applicaties. Account Logon Audit Credential Validatie ondersteunt deze controle door uitgebreide logging te bieden van alle authenticatiegebeurtenissen, wat essentieel is voor security monitoring, incidentdetectie en forensische analyses. Organisaties die ISO 27001-certificering nastreven of behouden, moeten kunnen aantonen dat zij passende logging hebben geïmplementeerd voor authenticatiegebeurtenissen, en Account Logon Audit is een concrete technische controle die aan deze vereiste voldoet. De auditgebeurtenissen moeten worden bewaard voor de vereiste retentieperiode en moeten toegankelijk zijn voor auditors en beveiligingsteams.
De CIS Microsoft Windows Benchmark bevat specifieke aanbevelingen voor audit logging, waaronder de implementatie van Account Logon Audit voor zowel success als failure. Deze benchmark wordt wereldwijd erkend als een best practice voor Windows-beveiligingsconfiguratie en wordt vaak gebruikt als basis voor security hardening. Organisaties die de CIS Benchmark volgen, moeten Account Logon Audit implementeren om te voldoen aan de aanbevelingen voor audit logging. Dit is vooral relevant voor Nederlandse organisaties die werken met gevoelige gegevens en die moeten aantonen dat zij passende beveiligingsmaatregelen hebben genomen.
NIS2 Artikel 21 vereist dat organisaties passende cybersecurity risicobeheersmaatregelen implementeren, inclusief maatregelen voor security monitoring en incidentdetectie. De NIS2-richtlijn is van toepassing op essentiële en belangrijke entiteiten in de Europese Unie, waaronder veel Nederlandse organisaties in sectoren zoals energie, transport, gezondheidszorg en digitale infrastructuur. Account Logon Audit Credential Validatie is een concrete technische maatregel die organisaties kunnen implementeren om te voldoen aan de NIS2-vereisten voor security monitoring. Organisaties moeten kunnen aantonen dat zij effectieve monitoring hebben geïmplementeerd, en Account Logon Audit biedt meetbare logging van authenticatiegebeurtenissen die essentieel zijn voor bedreigingsdetectie.
GDPR Artikel 32 vereist dat organisaties passende technische maatregelen implementeren om persoonsgegevens te beschermen tegen ongeautoriseerde toegang. Account Logon Audit Credential Validatie ondersteunt deze vereiste door te registreren wie toegang probeert te krijgen tot systemen die persoonsgegevens bevatten, wat essentieel is voor het detecteren van ongeautoriseerde toegangspogingen en het voldoen aan accountability-vereisten. Wanneer organisaties persoonsgegevens verwerken, moeten zij kunnen aantonen dat zij passende beveiligingsmaatregelen hebben genomen, en audit logging van authenticatiegebeurtenissen is een concrete technische maatregel die aan deze vereiste voldoet.
Voor auditdoeleinden moeten organisaties kunnen aantonen dat Account Logon Audit Credential Validatie correct is geïmplementeerd en effectief functioneert. Dit vereist documentatie van de configuratie, regelmatige verificatie van de status, en bewijs van monitoring en incidentrespons wanneer verdachte activiteiten worden gedetecteerd. Auditors zullen waarschijnlijk vragen om screenshots van de Intune-beleidsconfiguratie, compliance-rapporten die aantonen dat apparaten Account Logon Audit hebben ingeschakeld, PowerShell-output die de configuratie verifieert, en analyse van gebeurtenislogboeken die de effectiviteit van de controle aantonen. Organisaties moeten deze documentatie bijhouden en regelmatig beoordelen om te verzekeren dat zij kunnen voldoen aan auditvereisten voor de verschillende frameworks waaraan zij moeten voldoen.
Compliance & Frameworks
- CIS M365: Control 18.9.19.2 (L1) - CIS Security Benchmark aanbevelingen
- BIO: 16.01 - BIO Baseline Informatiebeveiliging Overheid - 16.01 - Gebeurtenissen logging en audittrails
- ISO 27001:2022: A.12.4.1 - ISO 27001:2022 - Gebeurtenissen logging en audittrails
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Intune Audit Logging: Credential Validation Success and Failure
.DESCRIPTION
CIS - Audit credential validation moet Success AND Failure loggen.
.NOTES
Filename: audit-credential-validation.ps1|Author: Nederlandse Baseline voor Veilige Cloud|AuditPol: Credential Validation|Expected: Success and Failure
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $Category = "Credential Validation"; $ExpectedValue = "Success and Failure"
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance {
$r = [PSCustomObject]@{ScriptName = "audit-cred-valid.ps1"; PolicyName = "Audit Credential Validation"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; function Invoke-Revert { auditpol /set /subcategory:"$Category" /success:disable /failure:disable | Out-Null }
try { $audit = auditpol /get /subcategory:"$Category" /r | ConvertFrom-Csv; $setting = $audit.'Inclusion Setting'; $r.CurrentValue = $setting; if ($setting -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Audit: $setting" }else { $r.Details += "Audit: $setting (moet Success and Failure)" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r
}
function Invoke-Remediation { auditpol /set /subcategory:"$Category" /success:enable /failure:enable | Out-Null; Write-Host "Audit Credential Validation: Success and Failure" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { auditpol /set /subcategory:"$Category" /success:disable /failure:disable | Out-Null }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
High: KRITIEK RISICO: Zonder Account Logon Audit Credential Validatie kunnen organisaties niet detecteren wanneer brute force-aanvallen, credential stuffing-pogingen of accountcompromittering plaatsvindt. Zonder logging van authenticatiegebeurtenissen kunnen beveiligingsteams niet identificeren welke accounts worden getarget, welke IP-adressen aanvallen uitvoeren, of wanneer accounts zijn gecompromitteerd. Dit leidt tot ongedetecteerde beveiligingsincidenten, complianceproblemen met BIO 16.01 en ISO 27001 A.12.4.1, en onmogelijkheid om forensische analyses uit te voeren na een incident. Organisaties zonder adequate audit logging kunnen niet voldoen aan NIS2-vereisten voor security monitoring en lopen het risico op boetes en reputatieschade.
Management Samenvatting
Schakel Account Logon Audit Credential Validatie in via Intune apparaatconfiguratiebeleid. Registreert alle authenticatiepogingen, zowel succesvolle als mislukte, in het Windows Security Event Log. Essentieel voor detectie van brute force-aanvallen, credential stuffing, en accountcompromittering. Voldoet aan BIO 16.01, ISO 27001 A.12.4.1, NIS2 artikel 21. Implementatie vereist één tot twee uur inclusief configuratie en verificatie. Kritieke security monitoring controle met hoge prioriteit.
- Implementatietijd: 2 uur
- FTE required: 0.01 FTE