💼 Management Samenvatting
Deze beveiligingsregel waarborgt de correcte configuratie van accountlogon-auditlogging op Windows endpoints, waardoor organisaties inzicht krijgen in alle authenticatiepogingen en kunnen detecteren wanneer onbevoegde toegang wordt geprobeerd.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
7/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Windows
Accountlogon-auditlogging vormt een fundamenteel onderdeel van de Windows-beveiligingsbaseline en beschermt organisaties tegen bekende aanvalsvectoren door het afdwingen van uitgebreide logging van alle authenticatiegebeurtenissen. Zonder deze logging kunnen beveiligingsteams geen inzicht krijgen in mislukte inlogpogingen, brute-force aanvallen, of onbevoegde toegangspogingen tot accounts. Deze instelling is essentieel voor naleving van Nederlandse overheidsnormen zoals de BIO Baseline Informatiebeveiliging Overheid en internationale standaarden zoals ISO 27001.
PowerShell Modules Vereist
Primary API: Graph
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
Deze beveiligingsregel configureert accountlogon-auditlogging zodanig dat zowel geslaagde als mislukte authenticatiepogingen worden vastgelegd via Microsoft Intune apparaatconfiguratiebeleid. Dit omvat het instellen van de auditpolicy voor accountlogon-gebeurtenissen op zowel succesvolle als mislukte pogingen, waardoor beveiligingsteams een volledig beeld krijgen van alle authenticatieactiviteit binnen de organisatie. De implementatie gebeurt via Intune-beleid dat wordt toegepast op alle Windows endpoints binnen de organisatie, conform beveiligingsbest practices voor enterprise-omgevingen.
Vereisten
De implementatie van accountlogon-auditlogging vereist een grondige voorbereiding op zowel technisch als organisatorisch vlak. Deze beveiligingsmaatregel vormt een fundamenteel onderdeel van een robuuste beveiligingsstrategie en vraagt om zorgvuldige planning voordat de daadwerkelijke configuratie kan worden doorgevoerd. Organisaties moeten eerst een duidelijk beeld hebben van hun huidige infrastructuur en de beschikbare middelen om deze beveiligingscontrole effectief te kunnen implementeren en onderhouden. Het technische fundament begint met de beschikbaarheid van Microsoft Intune als Mobile Device Management oplossing. Deze MDM-oplossing vormt de basis voor het centraal beheren en configureren van Windows endpoints binnen de organisatie. Voor het gebruik van Intune is een passende licentieconfiguratie vereist, waarbij doorgaans een Microsoft 365 E3 of E5 licentie nodig is. Alternatief kunnen organisaties beschikken over een vergelijkbare licentie die Intune device management omvat, zoals een Microsoft Intune standalone licentie of een Enterprise Mobility + Security licentie. De licentieconfiguratie bepaalt niet alleen de beschikbaarheid van functionaliteit, maar ook de schaalbaarheid en de mogelijkheden voor geavanceerd beheer. Alle Windows endpoints die onderdeel uitmaken van de organisatie moeten correct zijn geregistreerd in Intune en verbonden zijn met de Azure Active Directory, tegenwoordig bekend als Microsoft Entra ID, tenant van de organisatie. Deze registratie is essentieel omdat het de basis vormt voor het toepassen van beveiligingsbeleid en het monitoren van de nalevingsstatus van endpoints. De endpoints moeten minimaal Windows 10 versie 1809 of Windows 11 ondersteunen voor volledige compatibiliteit met de auditlogging functionaliteit. Oudere versies van Windows kunnen beperkte ondersteuning bieden of vereisen aanvullende configuratiestappen die de complexiteit van de implementatie verhogen. Organisatorisch gezien moet er een duidelijk en gedocumenteerd beleid zijn vastgesteld over welke authenticatiegebeurtenissen moeten worden gelogd en hoe lang deze logs moeten worden bewaard. Dit beleid moet niet alleen technische aspecten omvatten, maar ook de juridische en compliance-vereisten die van toepassing zijn op de organisatie. Voor Nederlandse overheidsorganisaties betekent dit dat het beleid moet aansluiten bij de BIO-normen, specifiek controle 16.01 over gebeurtenissen logging en audittrails. Andere organisaties moeten rekening houden met relevante standaarden zoals ISO 27001, waarbij controle A.12.4.1 specifieke eisen stelt aan logging en monitoring. Het retentiebeleid moet duidelijk definiëren hoe lang logs worden bewaard, welke archiveringsprocedures worden gevolgd, en onder welke omstandigheden logs kunnen worden verwijderd. Technisch personeel dat betrokken is bij de implementatie en het beheer van accountlogon-auditlogging moet beschikken over de juiste Intune-beheerrechten. Dit omvat doorgaans de rol van Intune Administrator of Global Administrator binnen de Microsoft 365 omgeving. Deze rollen bieden de benodigde rechten om apparaatconfiguratiebeleid te kunnen maken, toewijzen en beheren. Daarnaast is het belangrijk dat er voldoende technische expertise beschikbaar is voor het oplossen van problemen en het uitvoeren van regelmatige verificaties. Voor de monitoring en analyse van de gegenereerde auditlogs is het essentieel dat de organisatie beschikt over een Security Information and Event Management oplossing of een vergelijkbare logaggregatie- en analysetool. Deze SIEM-oplossing moet in staat zijn om Windows Security Event Logs te verzamelen van alle endpoints binnen de organisatie en deze te centraliseren voor geavanceerde analyse. De tool moet ondersteuning bieden voor het identificeren van verdachte patronen, het genereren van waarschuwingen bij afwijkende activiteit, en het bieden van inzicht in authenticatietrends over tijd. Zonder een dergelijke oplossing kunnen beveiligingsteams niet effectief reageren op beveiligingsbedreigingen en wordt de waarde van de auditlogging aanzienlijk verminderd. Tot slot moet er een duidelijk en gedocumenteerd proces zijn voor het beheren van de gegenereerde logs. Dit proces moet procedures omvatten voor het archiveren van logs, het beheren van opslagcapaciteit, en het veilig verwijderen van logs na het verstrijken van de bewaartermijn. Het proces moet ook rekening houden met de vereisten voor forensische onderzoeken en compliance-audits, waarbij logs mogelijk langer bewaard moeten worden dan de standaard retentieperiode. De organisatie moet beschikken over voldoende opslagcapaciteit om de gegenereerde auditlogs te kunnen bewaren voor de volledige retentieperiode. Dit vereist een schatting van de hoeveelheid loggegevens die dagelijks wordt gegenereerd en een berekening van de benodigde opslagruimte over de gehele bewaartermijn. Organisaties moeten ook rekening houden met de kosten van logopslag, vooral wanneer logs worden opgeslagen in cloudomgevingen waar opslagkosten kunnen oplopen bij grote volumes. Het is aan te raden om een logretentiebeleid te ontwikkelen dat balans biedt tussen compliance-vereisten en praktische haalbaarheid, waarbij kritieke logs mogelijk langer worden bewaard dan standaard operationele logs.
Implementatie
De implementatie van accountlogon-auditlogging via Microsoft Intune vereist een gestructureerde aanpak waarbij elke stap zorgvuldig wordt uitgevoerd om te garanderen dat de configuratie correct wordt toegepast op alle relevante endpoints binnen de organisatie. Het implementatieproces begint met het aanmaken van een nieuw apparaatconfiguratiebeleid binnen de Intune-beheerconsole, ook wel bekend als het Microsoft Intune admin center. Deze centrale beheeromgeving biedt toegang tot alle configuratiemogelijkheden voor endpoints en vormt het startpunt voor het instellen van beveiligingscontroles. Navigeer naar het Intune admin center en selecteer de optie voor Endpoint security of Device configuration, afhankelijk van de versie van de Intune-interface die door de organisatie wordt gebruikt. De exacte locatie kan variëren tussen verschillende versies van de Intune-interface, maar beide opties bieden toegang tot de benodigde configuratiemogelijkheden. Kies voor het aanmaken van een nieuw beleid en selecteer het profieltype dat geschikt is voor Windows 10 en later endpoints. Het is belangrijk om het juiste profieltype te selecteren omdat dit bepaalt welke configuratie-opties beschikbaar zijn en welke endpoints het beleid kunnen ontvangen. Binnen het beleid moet de categorie voor Audit policies of Security policies worden geselecteerd, waarbij specifiek de instelling voor Account logon events wordt geconfigureerd. Deze instelling vormt de kern van de accountlogon-auditlogging configuratie en bepaalt welke authenticatiegebeurtenissen worden vastgelegd in de Windows Security Event Log. Stel deze instelling in op zowel Success als Failure, zodat alle authenticatiepogingen worden vastgelegd, ongeacht of ze succesvol zijn of niet. Het vastleggen van zowel geslaagde als mislukte authenticatiepogingen is essentieel omdat beide typen gebeurtenissen waardevolle informatie bieden voor beveiligingsteams. Geslaagde authenticaties bieden inzicht in normale gebruikersactiviteit en kunnen helpen bij het identificeren van ongebruikelijke toegangspatronen, terwijl mislukte authenticaties directe indicatoren kunnen zijn van brute-force aanvallen, account takeover pogingen, of andere beveiligingsbedreigingen. Deze combinatie biedt beveiligingsteams het meest complete beeld van authenticatieactiviteit binnen de organisatie en stelt hen in staat om proactief te reageren op potentiële beveiligingsincidenten. Na het configureren van de auditpolicy-instellingen moet het beleid worden toegewezen aan de juiste groepen binnen de organisatie. Deze toewijzing bepaalt welke endpoints het beleid ontvangen en is cruciaal voor het succes van de implementatie. De toewijzing kan gebeuren via Azure AD security groups of Microsoft 365 groups, waarbij alle Windows endpoints die beheerd moeten worden, zijn opgenomen in de toegewezen groepen. Het is belangrijk om ervoor te zorgen dat de groepsstructuur correct is geconfigureerd en dat alle relevante endpoints zijn opgenomen in de juiste groepen. Organisaties moeten ook rekening houden met uitzonderingen, zoals testomgevingen of specifieke endpoints die mogelijk andere configuratievereisten hebben. Het is sterk aan te raden om eerst een pilot uit te voeren met een beperkte groep endpoints voordat het beleid wordt uitgerold naar de volledige organisatie. Deze pilotfase biedt de mogelijkheid om te verifiëren dat de configuratie correct werkt, dat er geen onverwachte impact is op de prestaties of functionaliteit van de endpoints, en dat de auditlogs correct worden gegenereerd en verzameld. Tijdens de pilot moeten endpoints worden gemonitord op eventuele problemen, en de configuratie moet worden aangepast indien nodig. Na succesvolle verificatie tijdens de pilotfase kan het beleid worden uitgerold naar alle relevante endpoints binnen de organisatie. Deze uitrol moet gefaseerd gebeuren, waarbij eerst endpoints in niet-kritieke omgevingen worden geconfigureerd, gevolgd door endpoints in productieomgevingen. Tijdens de implementatie is het belangrijk om continu te monitoren of de endpoints de beleidsconfiguratie correct ontvangen en toepassen. Dit kan worden geverifieerd via de Intune-beheerconsole, waar de nalevingsstatus van elk endpoint zichtbaar is. Endpoints die de configuratie niet correct ontvangen, moeten onmiddellijk worden geïdentificeerd en onderzocht op mogelijke oorzaken zoals netwerkproblemen, licentieproblemen, of configuratiefouten in de Intune-omgeving zelf. Het is essentieel om deze problemen snel op te lossen om te garanderen dat alle endpoints de vereiste beveiligingsconfiguratie hebben. Na de implementatie moet de organisatie een documentatieproces opzetten waarin alle configuratie-instellingen worden vastgelegd, inclusief welke groepen het beleid hebben ontvangen, wanneer de implementatie is voltooid, en welke uitzonderingen zijn gemaakt. Deze documentatie is essentieel voor toekomstige audits en voor het onderhoud van de configuratie. Organisaties moeten ook een terugdraaiprocedure ontwikkelen voor het geval de implementatie onverwachte problemen veroorzaakt, waarbij het beleid kan worden uitgeschakeld of aangepast zonder de beveiligingspostuur van de organisatie te compromitteren.
Gebruik PowerShell-script account-logon-logoff-audit-logon-is-set-to-success-and-failure.ps1 (functie Invoke-Monitoring) – Gebruik het bijbehorende PowerShell-script om de implementatie te monitoren en te verifiëren dat de auditlogging correct is geconfigureerd op alle endpoints..
Bewaking
Effectieve monitoring van accountlogon-auditlogging vormt een kritiek onderdeel van een robuuste beveiligingsstrategie en vereist een gestructureerde, gelaagde aanpak waarbij zowel de technische configuratie als de gegenereerde loggegevens continu worden gecontroleerd en geanalyseerd. Zonder adequate monitoring verliest de auditlogging zijn waarde als beveiligingscontrole, omdat potentiële bedreigingen niet worden gedetecteerd en beveiligingsteams niet kunnen reageren op verdachte activiteit. De eerste en fundamentele monitoringlaag richt zich op het verifiëren dat de auditpolicy correct is geconfigureerd en actief is op alle endpoints binnen de organisatie. Deze configuratiemonitoring is essentieel omdat een endpoint dat niet correct is geconfigureerd geen auditlogs genereert, waardoor er een blinde vlek ontstaat in de beveiligingsmonitoring. De verificatie kan worden uitgevoerd via de Intune-beheerconsole, waar de nalevingsstatus van elk endpoint zichtbaar is in realtime. Deze status geeft aan of een endpoint het beleid heeft ontvangen, of de configuratie correct is toegepast, en of er eventuele fouten zijn opgetreden tijdens het toepassen van het beleid. Endpoints die niet compliant zijn, moeten onmiddellijk worden geïdentificeerd en onderzocht om te bepalen waarom de configuratie niet correct is toegepast. Mogelijke oorzaken kunnen zijn dat het endpoint niet verbonden is met Intune, dat er conflicterende beleidsregels zijn die de configuratie overschrijven, dat het endpoint niet de vereiste Windows-versie ondersteunt, of dat er technische problemen zijn met de Intune MDM-agent. Het is belangrijk om deze problemen systematisch aan te pakken en te documenteren, zodat patronen kunnen worden geïdentificeerd en preventieve maatregelen kunnen worden genomen. De tweede monitoringlaag betreft de daadwerkelijke auditlogs die worden gegenereerd door de endpoints en die waardevolle informatie bevatten over authenticatieactiviteit binnen de organisatie. Deze logs worden opgeslagen in het Windows Security Event Log, een centraal logbestand dat alle beveiligingsgebeurtenissen bevat die zich voordoen op een Windows-systeem. Specifiek voor accountlogon-gebeurtenissen zijn twee belangrijke Event ID's van belang: Event ID 4624 voor geslaagde logons en Event ID 4625 voor mislukte logonpogingen. Beide Event ID's bevatten gedetailleerde informatie over de authenticatiepoging, inclusief het gebruikte account, het tijdstip van de poging, de bronlocatie, en de gebruikte authenticatiemethode. Beveiligingsteams moeten regelmatig en systematisch deze logs analyseren om verdachte patronen te identificeren die kunnen wijzen op beveiligingsbedreigingen. Belangrijke patronen om op te letten zijn onder meer een groot aantal mislukte inlogpogingen van hetzelfde account binnen een korte periode, wat kan wijzen op een brute-force aanval, inlogpogingen buiten normale kantooruren of vanaf onbekende locaties, wat kan wijzen op gecompromitteerde accounts of onbevoegde toegang, en ongebruikelijke authenticatiemethoden of bronnen die afwijken van het normale gebruikersgedrag. Voor effectieve monitoring op schaal is het essentieel dat de organisatie beschikt over een Security Information and Event Management oplossing die de Windows Security Event Logs automatisch verzamelt van alle endpoints binnen de organisatie en deze centraliseert voor geavanceerde analyse. Deze SIEM-oplossing vormt het hart van de beveiligingsmonitoring en stelt beveiligingsteams in staat om grote volumes aan loggegevens efficiënt te analyseren en te correleren. De SIEM-oplossing moet in staat zijn om automatische waarschuwingen te genereren wanneer verdachte patronen worden gedetecteerd, zoals brute-force aanvallen waarbij meerdere mislukte inlogpogingen plaatsvinden, accountovernamepogingen waarbij een account wordt gebruikt vanaf onbekende locaties, of privilege escalation pogingen waarbij gebruikers proberen toegang te krijgen tot accounts met hogere rechten. Deze automatische waarschuwingen moeten worden geconfigureerd met passende drempelwaarden om valse positieven te minimaliseren terwijl echte bedreigingen worden gedetecteerd. Daarnaast moet de SIEM-oplossing uitgebreide dashboards bieden die beveiligingsteams inzicht geven in authenticatietrends over tijd. Deze dashboards moeten informatie bevatten over het aantal geslaagde versus mislukte inlogpogingen, de meest actieve accounts, de geografische spreiding van inlogpogingen, en trends in authenticatieactiviteit die kunnen wijzen op opkomende bedreigingen. Regelmatige reviews van de auditlogs moeten worden uitgevoerd door ervaren beveiligingsanalisten, waarbij specifiek wordt gelet op anomalieën die kunnen wijzen op beveiligingsincidenten. Deze reviews moeten niet alleen reactief zijn, waarbij wordt gereageerd op waarschuwingen, maar ook proactief, waarbij wordt gezocht naar subtiele patronen die mogelijk niet door automatische detectie worden opgepikt. De bevindingen van deze reviews moeten worden gedocumenteerd in een gestructureerd formaat, en belangrijke bevindingen moeten worden gedeeld met relevante stakeholders binnen de organisatie, inclusief het beveiligingsteam, IT-beheer, en indien nodig, het management.
Gebruik PowerShell-script account-logon-logoff-audit-logon-is-set-to-success-and-failure.ps1 (functie Invoke-Monitoring) – Het monitoring-script controleert de configuratie van accountlogon-auditlogging op endpoints en rapporteert de nalevingsstatus..
Remediatie
Wanneer endpoints niet compliant zijn met de accountlogon-auditlogging configuratie, vormt dit een significant beveiligingsrisico omdat deze endpoints geen auditlogs genereren en daardoor een blinde vlek creëren in de beveiligingsmonitoring van de organisatie. Het is daarom essentieel dat er onmiddellijk gerichte remediatiestappen worden ondernomen om de situatie te herstellen en te garanderen dat alle endpoints de vereiste beveiligingsconfiguratie hebben. Het remediatieproces moet systematisch en gedocumenteerd worden uitgevoerd om te zorgen voor consistente resultaten en om lessen te kunnen trekken voor toekomstige implementaties. De eerste en meest cruciale stap in het remediatieproces is het nauwkeurig identificeren van de onderliggende oorzaak van de niet-naleving. Dit kan worden gedaan door de Intune-beheerconsole te raadplegen voor gedetailleerde informatie over waarom een endpoint de configuratie niet heeft ontvangen of toegepast. De Intune-beheerconsole biedt specifieke foutmeldingen en statusinformatie die kunnen helpen bij het identificeren van het probleem. Daarnaast kunnen aanvullende diagnostische tools worden gebruikt, zoals de Intune-beheerconsole logs, Windows Event Logs op het endpoint zelf, of PowerShell-scripts die de configuratiestatus kunnen verifiëren. Veelvoorkomende oorzaken van niet-naleving zijn dat het endpoint niet verbonden is met Intune, waardoor het endpoint geen beleidsconfiguraties kan ontvangen, dat er conflicterende beleidsregels zijn die de accountlogon-auditlogging configuratie overschrijven, of dat het endpoint niet de vereiste Windows-versie ondersteunt die nodig is voor de auditlogging functionaliteit. Andere mogelijke oorzaken kunnen zijn licentieproblemen, netwerkconnectiviteitsproblemen, of problemen met de Intune MDM-agent zelf. Als het endpoint niet verbonden is met Intune, moet de verbinding worden hersteld door te verifiëren dat het endpoint correct is geregistreerd in Azure Active Directory, tegenwoordig bekend als Microsoft Entra ID, en dat de Intune MDM-agent correct functioneert. Deze verificatie kan worden uitgevoerd door de apparaatregistratiestatus te controleren in de Azure AD-beheerconsole en door de Intune MDM-configuratie op het endpoint zelf te inspecteren. Als de registratie niet correct is, kan het nodig zijn om het endpoint opnieuw te registreren in Intune of om de Intune MDM-configuratie opnieuw toe te passen. Dit proces kan variëren afhankelijk van hoe het endpoint oorspronkelijk is geregistreerd, bijvoorbeeld via automatische registratie, groepsbeleid, of handmatige registratie. Als er conflicterende beleidsregels zijn die de accountlogon-auditlogging configuratie overschrijven, moeten deze conflicten worden geïdentificeerd en geëvalueerd om te bepalen welke beleidsregel prioriteit heeft en welke configuratie uiteindelijk moet worden toegepast. Intune gebruikt een hiërarchie van beleidstoewijzingen waarbij sommige beleidsregels prioriteit hebben over andere, en het is belangrijk om deze hiërarchie te begrijpen om te bepalen waarom een specifieke configuratie niet wordt toegepast. In sommige gevallen kan het nodig zijn om de conflicterende beleidsregels aan te passen of te verwijderen om ervoor te zorgen dat de accountlogon-auditlogging configuratie correct wordt toegepast. Dit vereist zorgvuldige coördinatie tussen verschillende teams die verantwoordelijk zijn voor verschillende beleidsregels, om te voorkomen dat andere belangrijke configuraties worden beïnvloed. Als het endpoint niet de vereiste Windows-versie ondersteunt die nodig is voor de auditlogging functionaliteit, moet worden overwogen om het endpoint bij te werken naar een ondersteunde versie. Windows 10 versie 1809 of later, of Windows 11, bieden volledige ondersteuning voor de accountlogon-auditlogging functionaliteit via Intune. Als een update niet onmiddellijk mogelijk is, bijvoorbeeld vanwege compatibiliteitsproblemen met bedrijfskritieke applicaties, moet een alternatieve configuratiemethode worden overwogen die compatibel is met de huidige Windows-versie. Dit kan bijvoorbeeld het gebruik van Groepsbeleid zijn voor endpoints die nog niet kunnen worden bijgewerkt, hoewel dit een tijdelijke oplossing moet zijn totdat het endpoint kan worden bijgewerkt. Na het identificeren en oplossen van de onderliggende oorzaak van de niet-naleving, moet het endpoint opnieuw worden geëvalueerd om te verifiëren dat de configuratie nu correct is toegepast. Deze verificatie kan worden uitgevoerd door het endpoint te forceren om het Intune-beleid opnieuw te synchroniseren via de Intune-beheerconsole of via een PowerShell-opdracht op het endpoint zelf. Alternatief kan worden gewacht tot de volgende automatische synchronisatiecyclus, hoewel dit langer kan duren en daarom niet ideaal is voor kritieke beveiligingsconfiguraties. In sommige gevallen kan het nodig zijn om het endpoint opnieuw op te starten om ervoor te zorgen dat de auditpolicy-instellingen correct worden toegepast en actief worden in het Windows-besturingssysteem. Voor endpoints die blijvend niet-compliant blijven ondanks herhaalde remediatiepogingen, moet een escalatieproces worden gevolgd waarbij het probleem wordt geëscaleerd naar senior technisch personeel of externe ondersteuning. In extreme gevallen, wanneer een endpoint niet kan worden geconfigureerd via Intune en er geen alternatieve configuratiemethode beschikbaar is, moet worden overwogen om het endpoint te isoleren van het netwerk totdat de configuratie correct is toegepast. Deze isolatie kan worden bereikt door het endpoint te verplaatsen naar een geïsoleerd netwerksegment of door netwerktoegang te beperken totdat het probleem is opgelost. Alternatief kunnen aanvullende beveiligingsmaatregelen worden geïmplementeerd die vergelijkbare bescherming bieden, hoewel dit niet ideaal is en alleen als tijdelijke oplossing moet worden gebruikt.
Gebruik PowerShell-script account-logon-logoff-audit-logon-is-set-to-success-and-failure.ps1 (functie Invoke-Remediation) – Het remediatie-script kan automatisch de accountlogon-auditlogging configuratie toepassen op endpoints die niet compliant zijn..
Compliance en Audit
Accountlogon-auditlogging vormt een kritieke vereiste voor compliance met verschillende Nederlandse en internationale beveiligingsstandaarden en is essentieel voor organisaties die hun beveiligingspostuur willen aantonen aan auditors, regelgevers, en andere stakeholders. Zonder adequate accountlogon-auditlogging kunnen organisaties niet voldoen aan de compliance-vereisten die worden gesteld door verschillende normen en standaarden, wat kan leiden tot boetes, reputatieschade, of het verlies van certificeringen. Het is daarom van het grootste belang dat organisaties accountlogon-auditlogging correct implementeren en kunnen aantonen dat deze beveiligingscontrole actief is en effectief functioneert. Voor Nederlandse overheidsorganisaties is accountlogon-auditlogging essentieel voor naleving van de BIO Baseline Informatiebeveiliging Overheid, een normenkader dat specifieke eisen stelt aan de informatiebeveiliging van Nederlandse overheidsorganisaties. Specifiek is accountlogon-auditlogging relevant voor controle 16.01 over gebeurtenissen logging en audittrails, die vereist dat organisaties alle relevante gebeurtenissen loggen, inclusief authenticatiegebeurtenissen, en dat deze logs worden bewaard voor auditdoeleinden. Deze controle is gebaseerd op het principe dat adequate logging essentieel is voor het detecteren van beveiligingsincidenten, het uitvoeren van forensische onderzoeken, en het voldoen aan verantwoordingsplicht. De accountlogon-auditlogging voorziet in deze vereiste door alle authenticatiepogingen vast te leggen, zowel geslaagde als mislukte, waardoor organisaties kunnen aantonen dat zij voldoen aan de loggingvereisten van de BIO-normen. Tijdens BIO-audits moeten organisaties kunnen demonstreren dat de accountlogon-auditlogging correct is geconfigureerd, dat de logs daadwerkelijk worden gegenereerd, en dat deze logs worden bewaard en geanalyseerd volgens het vastgestelde beleid. Voor organisaties die ISO 27001 certificering nastreven, is accountlogon-auditlogging relevant voor controle A.12.4.1 over logging en monitoring, die onderdeel uitmaakt van de informatiebeveiligingsbeheersmaatregelen die worden vereist door deze internationale standaard. ISO 27001 is een wereldwijd erkende standaard voor informatiebeveiligingsmanagement en wordt gebruikt door organisaties in verschillende sectoren om hun beveiligingspostuur te verbeteren en te certificeren. Controle A.12.4.1 vereist dat organisaties gebeurtenissen loggen en monitoren om beveiligingsincidenten te detecteren en te reageren op beveiligingsbedreigingen. De accountlogon-auditlogging biedt de benodigde loggingcapaciteit om te voldoen aan deze ISO 27001-vereiste door een gestructureerde aanpak te bieden voor het vastleggen van authenticatiegebeurtenissen. Tijdens ISO 27001-audits moeten organisaties kunnen aantonen dat zij een adequaat logging- en monitoringprogramma hebben geïmplementeerd, en accountlogon-auditlogging vormt een belangrijk onderdeel van dit programma. Daarnaast is accountlogon-auditlogging relevant voor de CIS Security Benchmark, een reeks aanbevelingen voor het beveiligen van IT-systemen die wordt ontwikkeld door het Center for Internet Security. Specifiek is accountlogon-auditlogging relevant voor aanbeveling 18.9.19.2, die aanbeveelt dat accountlogon-gebeurtenissen worden gelogd voor zowel succesvolle als mislukte pogingen. De CIS Security Benchmark wordt veel gebruikt door organisaties als richtlijn voor het implementeren van beveiligingsbest practices, en het volgen van deze aanbevelingen kan helpen bij het verbeteren van de algehele beveiligingspostuur. Voor auditdoeleinden is het essentieel dat organisaties kunnen aantonen dat de accountlogon-auditlogging correct is geconfigureerd en actief is op alle relevante endpoints binnen de organisatie. Dit vereist dat de configuratie wordt gedocumenteerd in het beveiligingsbeleid van de organisatie, waarbij duidelijk wordt aangegeven welke instellingen zijn geconfigureerd, waarom deze instellingen zijn gekozen, en hoe de configuratie wordt onderhouden. Daarnaast moeten regelmatige verificaties worden uitgevoerd om te bevestigen dat de configuratie correct is toegepast op alle endpoints en dat er geen endpoints zijn die niet compliant zijn. Deze verificaties moeten worden gedocumenteerd en de resultaten moeten beschikbaar zijn voor review door auditors. Auditlogs moeten worden bewaard voor de periode die is vastgesteld in het retentiebeleid van de organisatie, waarbij rekening wordt gehouden met de compliance-vereisten die van toepassing zijn. Doorgaans is minimaal één jaar bewaartermijn vereist voor compliance-doeleinden, hoewel sommige normen of sectoren langere bewaartermijnen kunnen vereisen. De logs moeten beschikbaar zijn voor review door interne of externe auditors, en er moeten procedures zijn voor het veilig delen van logs met auditors zonder de privacy of beveiliging van de organisatie in gevaar te brengen. Organisaties moeten ook kunnen aantonen dat zij de gegenereerde auditlogs daadwerkelijk monitoren en analyseren, en dat zij actie ondernemen wanneer verdachte patronen worden gedetecteerd. Dit kan worden gedaan door documentatie van beveiligingsincident response procedures die beschrijven hoe wordt gereageerd op waarschuwingen die zijn gegenereerd op basis van auditlog-analyse, door dashboards die authenticatietrends tonen en die kunnen worden gedeeld met auditors om te demonstreren dat monitoring actief plaatsvindt, en door rapporten van beveiligingsreviews die regelmatig worden uitgevoerd en die aantonen dat de organisatie proactief bezig is met het analyseren van authenticatieactiviteit. Deze documentatie en rapportage vormen essentieel bewijsmateriaal tijdens audits en kunnen het verschil maken tussen het behalen of niet behalen van een certificering of het voldoen aan compliance-vereisten.
Compliance & Frameworks
- CIS M365: Control 18.9.19.2 (L1) - CIS Security Benchmark aanbevelingen
- BIO: 16.01 - BIO Baseline Informatiebeveiliging Overheid - 16.01 - Gebeurtenissen logging en audittrails
- ISO 27001:2022: A.12.4.1 - ISO 27001:2022 - Gebeurtenissen logging en audittrails
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Intune Audit Logging: Logon Success and Failure
.DESCRIPTION
CIS - Audit logon moet Success AND Failure loggen.
.NOTES
Filename: audit-logon.ps1|Author: Nederlandse Baseline voor Veilige Cloud|AuditPol: Logon|Expected: Success and Failure
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $Category = "Logon"; $ExpectedValue = "Success and Failure"
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance {
$r = [PSCustomObject]@{ScriptName = "audit-logon.ps1"; PolicyName = "Audit Logon"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; function Invoke-Revert { auditpol /set /subcategory:"$Category" /success:disable /failure:disable | Out-Null }
try { $audit = auditpol /get /subcategory:"$Category" /r | ConvertFrom-Csv; $setting = $audit.'Inclusion Setting'; $r.CurrentValue = $setting; if ($setting -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Audit: $setting" }else { $r.Details += "Audit: $setting" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r
}
function Invoke-Remediation { auditpol /set /subcategory:"$Category" /success:enable /failure:enable | Out-Null; Write-Host "Audit Logon: Success and Failure" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { auditpol /set /subcategory:"$Category" /success:disable /failure:disable | Out-Null }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
High: Zonder accountlogon-auditlogging hebben organisaties geen inzicht in authenticatiepogingen, waardoor beveiligingsincidenten zoals brute-force aanvallen of account takeover pogingen niet kunnen worden gedetecteerd. Dit verhoogt het risico op onbevoegde toegang tot systemen en gegevens aanzienlijk.
Management Samenvatting
Schakel accountlogon-auditlogging in voor zowel geslaagde als mislukte authenticatiepogingen om volledige zichtbaarheid te krijgen in alle authenticatieactiviteit en om beveiligingsincidenten tijdig te kunnen detecteren en reageren.
- Implementatietijd: 2 uur
- FTE required: 0.01 FTE