💼 Management Samenvatting
Deze beveiligingsregel waarborgt de correcte configuratie van auditlogging voor authenticatiebeleidswijzigingen op Windows endpoints. Door succesvolle wijzigingen aan authenticatiebeleid te loggen, kunnen organisaties wijzigingen in kritieke beveiligingsinstellingen traceren en analyseren.
Aanbeveling
IMPLEMENTEREN
Risico zonder
High
Risk Score
7/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Windows
Deze instelling is onderdeel van de Windows beveiligingsbaseline en beschermt tegen bekende aanvalsvectoren door het afdwingen van veilige configuraties. Authenticatiebeleidswijzigingen zijn kritieke gebeurtenissen die kunnen wijzen op pogingen tot compromittering of onbevoegde configuratiewijzigingen. Zonder adequate logging van deze gebeurtenissen kunnen beveiligingsteams geen forensisch onderzoek uitvoeren na een incident.
PowerShell Modules Vereist
Primary API: Graph
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
Deze regel configureert de auditlogging voor authenticatiebeleidswijzigingen zodat succesvolle wijzigingen worden vastgelegd via Microsoft Intune apparaatconfiguratiebeleid of nalevingsbeleid. Dit beveiligt Windows endpoints volgens beveiligingsbeste praktijken en zorgt voor volledige traceerbaarheid van wijzigingen aan authenticatie-instellingen. Door deze configuratie te implementeren, kunnen beveiligingsteams wijzigingen aan kritieke authenticatie-instellingen monitoren en analyseren, wat essentieel is voor het detecteren van mogelijke beveiligingsincidenten en het uitvoeren van forensische onderzoeken na een incident.
Vereisten
De implementatie van auditlogging voor authenticatiebeleidswijzigingen vereist een zorgvuldige voorbereiding waarbij organisaties zowel technische als organisatorische aspecten moeten overwegen. Deze voorbereiding is essentieel voor een succesvolle implementatie die daadwerkelijk bijdraagt aan de beveiligingspostuur van de organisatie zonder de bedrijfsvoering te verstoren. Organisaties die deze stap overslaan, lopen het risico dat de implementatie niet volledig wordt uitgerold of dat de gegenereerde logs niet effectief kunnen worden gebruikt voor beveiligingsmonitoring en incidentafhandeling. De technische vereisten vormen de fundering waarop de hele implementatie rust, en het is daarom van cruciaal belang dat alle benodigde componenten aanwezig zijn voordat men begint met de configuratie. Microsoft Intune vormt het centrale platform voor deze implementatie, waarbij organisaties moeten beschikken over de juiste licenties en configuratierechten. De Intune-licenties moeten minimaal Microsoft Intune of Microsoft 365 E3/E5 omvatten, afhankelijk van de gekozen licentieovereenkomst. Deze licenties zijn noodzakelijk omdat zij toegang bieden tot de apparaatconfiguratiefunctionaliteiten die nodig zijn om de auditlogging in te stellen. Organisaties die nog geen Intune-licenties hebben, moeten eerst deze licenties aanschaffen voordat zij kunnen beginnen met de implementatie. Naast de licenties moeten organisaties ook beschikken over de juiste beheerdersrechten binnen Intune om apparaatconfiguratieprofielen te kunnen maken en toe te wijzen aan de relevante apparaatgroepen. Deze rechten zijn meestal beschikbaar voor Intune-beheerders, globale beheerders, of gebruikers met specifieke rollen zoals Apparaatconfiguratiebeheerder. Organisaties moeten controleren of de beoogde beheerders over deze rechten beschikken voordat zij beginnen met de configuratie, omdat het ontbreken van deze rechten de implementatie kan blokkeren. Alle Windows endpoints die onder deze regel vallen, moeten zijn geregistreerd in Microsoft Intune en moeten beschikken over een werkende Intune Management Extension. Deze extensie is verantwoordelijk voor het toepassen van de configuratie-instellingen op de endpoints en vormt daarom een kritieke component van de implementatie. Zonder een werkende extensie zullen de configuratie-instellingen niet worden toegepast, ongeacht hoe goed de configuratie is opgezet binnen de Intune-beheerportal. Organisaties moeten daarom eerst verifiëren dat alle relevante endpoints correct zijn geregistreerd en dat de Intune Management Extension correct is geïnstalleerd en geconfigureerd. Deze verificatie kan worden uitgevoerd via de Intune-beheerportal, waarbij beheerders kunnen controleren welke apparaten zijn geregistreerd en wat de status is van de Intune Management Extension. Apparaten die niet correct zijn geregistreerd of waarvan de extensie niet correct functioneert, moeten eerst worden gerepareerd voordat de auditlogging kan worden geïmplementeerd. De Windows-versie van de endpoints vormt een andere belangrijke technische vereiste, waarbij organisaties moeten zorgen dat alle relevante apparaten minimaal Windows 10 versie 1809 of hoger draaien. Oudere versies van Windows ondersteunen mogelijk niet alle benodigde auditlogging-functionaliteiten, wat betekent dat de implementatie niet volledig zal werken op deze apparaten. Organisaties met oudere Windows-versies moeten overwegen om deze apparaten eerst te upgraden naar een ondersteunde versie, of moeten accepteren dat de auditlogging mogelijk niet volledig werkt op deze apparaten. De organisatorische vereisten zijn even belangrijk als de technische vereisten, omdat zij bepalen of de organisatie daadwerkelijk in staat is om de gegenereerde logs effectief te gebruiken. Beveiligingsteams en IT-beheerders moeten begrijpen welke impact deze auditlogging heeft op de beschikbare opslagcapaciteit en loganalyse-infrastructuur, zodat zij kunnen plannen voor de benodigde resources. De Windows Security Event Log moet voldoende capaciteit hebben om de extra auditgebeurtenissen op te slaan, waarbij organisaties moeten overwegen om de standaard loggrootte te verhogen van de standaard 20 MB naar minimaal 100 MB of meer. Deze verhoging is noodzakelijk omdat de standaard loggrootte snel vol raakt wanneer auditlogging wordt ingeschakeld, wat betekent dat nieuwe gebeurtenissen niet meer kunnen worden vastgelegd wanneer de log vol is. Organisaties met veel endpoints of hoge volumes aan beveiligingsgebeurtenissen moeten overwegen om de loggrootte nog verder te verhogen, mogelijk naar 500 MB of zelfs 1 GB, afhankelijk van hun specifieke omstandigheden. Het verhogen van de loggrootte alleen is echter niet voldoende, omdat organisaties ook een proces moeten hebben voor het regelmatig analyseren en archiveren van deze logs. Zonder een dergelijk proces zullen de logs uiteindelijk vol raken, ongeacht hoe groot zij zijn gemaakt. Organisaties moeten daarom een gestructureerd proces ontwikkelen waarbij logs regelmatig worden geanalyseerd op verdachte activiteiten, worden gearchiveerd naar langetermijnopslag, en worden verwijderd wanneer de bewaartermijn is verstreken. Dit proces moet worden gedocumenteerd en moet worden geïntegreerd in het algemene logbeheerbeleid van de organisatie. Effectieve monitoring van authenticatiebeleidswijzigingen vereist dat beveiligingsanalisten getraind zijn in het herkennen van verdachte patronen in deze auditlogs. Deze training is essentieel omdat ongetrainde analisten mogelijk belangrijke signalen missen of juist te veel tijd besteden aan het onderzoeken van onschuldige gebeurtenissen. De training moet onder meer omvatten hoe men ongebruikelijke wijzigingen identificeert, zoals wijzigingen buiten normale kantooruren of wijzigingen door gebruikersaccounts die normaal gesproken geen rechten hebben voor dergelijke configuratiewijzigingen. Daarnaast moeten analisten leren hoe zij de context van wijzigingen begrijpen, bijvoorbeeld door te kijken naar andere beveiligingsgebeurtenissen die rond dezelfde tijd hebben plaatsgevonden. Deze contextuele analyse is belangrijk omdat individuele gebeurtenissen mogelijk niet verdacht lijken, maar in combinatie met andere gebeurtenissen wel kunnen wijzen op een beveiligingsincident. Organisaties moeten ook beschikken over een Security Information and Event Management-systeem, ook wel SIEM genoemd, of een logaggregatieplatform om de gegenereerde auditlogs centraal te verzamelen, analyseren en bewaren. Deze centrale verzameling is essentieel omdat het beveiligingsteams in staat stelt om patronen te identificeren die mogelijk niet zichtbaar zijn wanneer men alleen naar individuele endpoints kijkt. Populaire SIEM-oplossingen die geschikt zijn voor deze taak omvatten Microsoft Sentinel, Splunk, QRadar, of andere enterprise SIEM-oplossingen die Windows Event Logs kunnen verzamelen en analyseren. Het SIEM-systeem moet geconfigureerd zijn om automatisch de relevante gebeurtenisidentificatienummers te verzamelen, waarbij specifiek aandacht moet worden besteed aan gebeurtenisidentificatienummer 4739 voor wijzigingen aan accountbeleid en gebeurtenisidentificatienummer 4816 voor wijzigingen aan authenticatiebeleid. Deze gebeurtenisidentificatienummers zijn specifiek ontworpen om wijzigingen aan authenticatiebeleid vast te leggen en bevatten gedetailleerde informatie over wie de wijziging heeft doorgevoerd, wanneer deze heeft plaatsgevonden, en wat de specifieke wijziging was. Organisaties moeten ook overwegen om automatische waarschuwingen te configureren binnen het SIEM-systeem voor verdachte authenticatiebeleidswijzigingen. Deze waarschuwingen kunnen worden geconfigureerd om te activeren wanneer bepaalde voorwaarden worden voldaan, zoals wijzigingen buiten normale kantooruren, wijzigingen door onbevoegde gebruikersaccounts, of een plotselinge toename in het aantal wijzigingen. Deze automatische waarschuwingen zijn belangrijk omdat zij beveiligingsteams onmiddellijk informeren wanneer verdachte activiteiten worden gedetecteerd, zodat zij snel kunnen reageren en mogelijke beveiligingsincidenten kunnen voorkomen of beperken. De implementatie van deze auditlogging vereist een grondige voorbereiding waarbij organisaties moeten nadenken over de schaalbaarheid van hun oplossing. In grote organisaties met duizenden endpoints kan het volume aan auditgebeurtenissen aanzienlijk zijn, wat betekent dat de loginfrastructuur moet worden ontworpen om deze volumes aan te kunnen. Organisaties moeten overwegen om logaggregatie te implementeren waarbij logs van meerdere endpoints worden verzameld in een centrale locatie. Deze gecentraliseerde aanpak vereenvoudigt niet alleen de analyse, maar vermindert ook de opslagvereisten op individuele endpoints. De centrale verzameling van logs maakt het ook mogelijk om geavanceerde analyses uit te voeren waarbij patronen worden geïdentificeerd die mogelijk niet zichtbaar zijn wanneer men alleen naar individuele endpoints kijkt. Deze gecentraliseerde aanpak is bijzonder belangrijk voor het detecteren van gecoördineerde aanvallen waarbij meerdere endpoints betrokken zijn, of voor het identificeren van insider threats waarbij een gebruiker wijzigingen aanbrengt aan meerdere systemen. Door authenticatiebeleidswijzigingen te correleren met andere beveiligingsgebeurtenissen kunnen beveiligingsteams complexe aanvallen identificeren die anders onopgemerkt zouden blijven. Organisaties moeten ook nadenken over de beveiliging van de auditlogs zelf, omdat deze logs vaak gevoelige informatie bevatten over de configuratie en beveiligingsinstellingen van het systeem. De logs moeten worden beschermd tegen onbevoegde toegang, wijziging of verwijdering, waarbij organisaties moeten overwegen om de logs te archiveren naar een beveiligde, onveranderlijke opslagomgeving die voldoet aan de vereisten voor logintegriteit en beveiliging. Deze archivering is essentieel omdat auditlogs vaak worden gebruikt als bewijs tijdens forensische onderzoeken en rechtszaken, en de integriteit van deze logs moet kunnen worden gegarandeerd. Bovendien moeten organisaties ervoor zorgen dat de auditlogs worden bewaard volgens de vereiste bewaartermijnen, waarbij een minimale bewaartermijn van één jaar wordt aanbevolen voor compliance doeleinden, hoewel sommige organisaties kunnen kiezen voor langere bewaartermijnen afhankelijk van hun specifieke vereisten en de aard van de gegevens die zij verwerken.
Implementatie
Gebruik PowerShell-script audit-authentication-policy-change-is-set-to-include-success.ps1 (functie Invoke-Monitoring) – De implementatie van auditlogging voor authenticatiebeleidswijzigingen vormt een kritieke stap in het versterken van de beveiligingspostuur van een organisatie. Dit proces vereist een gestructureerde aanpak waarbij beheerders zorgvuldig een apparaatconfiguratieprofiel configureren binnen Microsoft Intune, het centrale platform voor apparaatbeheer in moderne IT-omgevingen. Het implementatieproces begint met het aanmaken van een nieuw apparaatconfiguratieprofiel binnen de Intune-beheerportal. Beheerders navigeren naar de sectie Apparaten en kiezen vervolgens voor Configuratieprofielen. Binnen deze interface selecteren beheerders de optie Profiel maken, wat hen naar een configuratiewizard leidt die stapsgewijs door het proces leidt. De eerste stap in deze wizard betreft het selecteren van het juiste platform, waarbij beheerders Windows 10 en later moeten kiezen als doelplatform voor deze configuratie. Deze keuze is essentieel omdat de auditlogging functionaliteit specifiek is geoptimaliseerd voor moderne Windows-versies en mogelijk niet volledig wordt ondersteund op oudere besturingssystemen. Na het selecteren van het platform moeten beheerders het profieltype kiezen, waarbij zij Endpointbeveiliging selecteren als het juiste profieltype voor beveiligingsgerelateerde configuraties. Deze keuze zorgt ervoor dat de configuratie wordt toegepast op het juiste niveau binnen de Windows-beveiligingsarchitectuur en dat de instellingen correct worden geïnterpreteerd door het besturingssysteem. Binnen de Endpointbeveiliging configuratie moeten beheerders vervolgens de categorie Security Audit Policies selecteren, wat hen toegang geeft tot de verschillende auditlogging configuratie-opties die beschikbaar zijn binnen Windows. Deze categorie bevat alle configuratie-opties voor het loggen van beveiligingsgebeurtenissen, waarbij elke subcategorie betrekking heeft op een specifiek type beveiligingsgebeurtenis. Voor de implementatie van auditlogging voor authenticatiebeleidswijzigingen moeten beheerders de specifieke subcategorie voor Authentication Policy Change configureren, waarbij zij de instelling moeten aanpassen zodat deze is ingesteld op Succes. Deze configuratie zorgt ervoor dat alleen succesvolle wijzigingen aan authenticatiebeleid worden vastgelegd in de Security Event Log, wat een bewuste keuze is gebaseerd op beveiligingsbest practices. Het loggen van alleen succesvolle wijzigingen is belangrijk omdat mislukte pogingen tot wijziging doorgaans al worden vastgelegd door andere auditcategorieën, zoals de auditlogging voor accountbeheer of systeemtoegang. Succesvolle wijzigingen vertegenwoordigen echter de meest kritieke gebeurtenissen omdat deze daadwerkelijk de beveiligingsconfiguratie van het systeem hebben gewijzigd en daarom directe monitoring vereisen. Door alleen succesvolle wijzigingen te loggen, vermindert men ook het volume aan loggebeurtenissen aanzienlijk, wat de prestaties van het systeem ten goede komt en de analyse van de logs vereenvoudigt. Een lager volume aan loggebeurtenissen betekent dat beveiligingsanalisten zich kunnen focussen op de meest relevante gebeurtenissen zonder overweldigd te worden door een overvloed aan minder kritieke informatie. Na het configureren van het profiel met de juiste instellingen moet dit profiel worden toegewezen aan alle relevante apparaatgroepen binnen de organisatie. Deze toewijzing is een kritieke stap omdat een profiel dat niet is toegewezen aan apparaten geen effect heeft op de beveiligingsconfiguratie. Organisaties moeten ervoor zorgen dat alle Windows endpoints die authenticatiebeleid gebruiken worden gedekt door deze configuratie, waarbij geen enkel apparaat mag worden overgeslagen omdat dit gaten in de beveiligingsdekking zou creëren. De toewijzing kan plaatsvinden aan specifieke apparaatgroepen, gebruikersgroepen, of een combinatie van beide, afhankelijk van de organisatiestructuur en de gewenste implementatiestrategie. Organisaties die een op apparaten gebaseerde toewijzing gebruiken, kunnen specifieke apparaatgroepen maken die alle relevante endpoints bevatten, terwijl organisaties die een op gebruikers gebaseerde aanpak prefereren, kunnen kiezen voor toewijzing aan gebruikersgroepen waarbij de configuratie wordt toegepast op alle apparaten die door deze gebruikers worden gebruikt. De implementatie moet altijd worden getest op een beperkte set apparaten voordat deze wordt uitgerold naar de volledige organisatie, waarbij beheerders moeten verifiëren dat de configuratie correct wordt toegepast en dat de auditlogging daadwerkelijk gebeurtenissen vastlegt wanneer wijzigingen worden doorgevoerd. Deze testfase is essentieel omdat het beheerders in staat stelt om eventuele problemen te identificeren en op te lossen voordat de configuratie wordt toegepast op alle endpoints, wat het risico op verstoring van de bedrijfsvoering minimaliseert. De testfase moet minimaal één week duren om voldoende gegevens te verzamelen en te verifiëren dat het systeem correct functioneert onder verschillende omstandigheden. Tijdens deze testperiode moeten beheerders verschillende scenario's testen, zoals het doorvoeren van wijzigingen aan authenticatiebeleid tijdens verschillende tijden van de dag, het testen op verschillende typen endpoints, en het verifiëren dat de gebeurtenissen correct worden vastgelegd in de Security Event Log. Tijdens de implementatie moeten beheerders ook controleren of de Windows Security Event Log voldoende capaciteit heeft om de extra gebeurtenissen op te slaan, en indien nodig de loggrootte aanpassen via Group Policy of lokale instellingen. De standaard loggrootte van 20 MB is meestal onvoldoende voor productieomgevingen, vooral in organisaties met veel endpoints of hoge volumes aan beveiligingsgebeurtenissen. Organisaties moeten overwegen om de loggrootte te verhogen naar minimaal 100 MB of meer, afhankelijk van het aantal endpoints en de verwachte gebeurtenisvolumes. Een grotere loggrootte zorgt ervoor dat gebeurtenissen niet verloren gaan wanneer de log vol raakt, wat essentieel is voor effectieve beveiligingsmonitoring en forensische onderzoeken. Het PowerShell-script dat beschikbaar is voor deze implementatie kan worden gebruikt om de configuratie te valideren en te verifiëren dat de instelling correct is toegepast op alle doelapparaten. Dit script voert een uitgebreide controle uit van de huidige configuratie-instellingen en rapporteert welke apparaten correct zijn geconfigureerd en welke apparaten nog aandacht vereisen. Het script genereert een gedetailleerd rapport dat beheerders kunnen gebruiken om de implementatiestatus te monitoren en eventuele problemen te identificeren. Beheerders moeten dit script regelmatig uitvoeren om ervoor te zorgen dat de configuratie consistent blijft en dat nieuwe apparaten ook correct worden geconfigureerd wanneer zij worden toegevoegd aan de organisatie. De implementatie van auditlogging voor authenticatiebeleidswijzigingen vereist een gefaseerde aanpak waarbij organisaties eerst een pilot uitvoeren op een beperkte set apparaten voordat zij de configuratie uitrollen naar de volledige organisatie. Deze gefaseerde aanpak maakt het mogelijk om eventuele problemen te identificeren en op te lossen voordat de configuratie wordt toegepast op alle endpoints, wat het risico op verstoring van de bedrijfsvoering minimaliseert. Tijdens de pilotfase moeten beheerders nauwlettend monitoren of de configuratie correct wordt toegepast en of de auditlogging daadwerkelijk gebeurtenissen vastlegt wanneer wijzigingen worden doorgevoerd aan het authenticatiebeleid. Deze monitoring moet worden uitgevoerd door het genereren van testwijzigingen aan het authenticatiebeleid en te verifiëren dat deze wijzigingen correct worden vastgelegd in de Security Event Log met de juiste gebeurtenisidentificatienummers. Beheerders moeten ook controleren of de configuratie correct wordt toegepast op verschillende typen endpoints, zoals desktop computers, laptops, en servers, omdat verschillende endpointtypen mogelijk verschillende configuratievereisten hebben of verschillende gedragingen kunnen vertonen bij het toepassen van de configuratie. Na een succesvolle pilotfase kan de configuratie worden uitgerold naar de volledige organisatie, waarbij beheerders ervoor moeten zorgen dat alle relevante apparaatgroepen correct zijn geconfigureerd en dat alle endpoints zijn opgenomen in de implementatie. Tijdens de uitrol moeten beheerders regelmatig controleren of de configuratie correct wordt toegepast en of er geen problemen zijn met de implementatie. Deze controles moeten worden uitgevoerd met behulp van het beschikbare PowerShell-script, dat automatisch kan worden uitgevoerd via een geplande taak of via Microsoft Intune compliance policies. De automatische uitvoering van deze controles is bijzonder nuttig omdat het ervoor zorgt dat eventuele problemen snel worden geïdentificeerd en opgelost, zonder dat handmatige interventie vereist is. Deze automatisering vermindert ook de werklast voor beheerders en zorgt ervoor dat de configuratie consistent wordt gecontroleerd op alle endpoints. Organisaties moeten ook een proces hebben voor het documenteren van de implementatie, waarbij wordt vastgelegd welke configuratie-instellingen zijn toegepast, wanneer de implementatie heeft plaatsgevonden, en welke apparaten zijn geconfigureerd. Deze documentatie is nuttig voor het bijhouden van de implementatiestatus en voor het uitvoeren van audits en compliance controles. Goede documentatie maakt het ook mogelijk om de implementatie te repliceren in andere omgevingen of om nieuwe teamleden snel op te leiden in de configuratieprocessen..
Bewaking
Gebruik PowerShell-script audit-authentication-policy-change-is-set-to-include-success.ps1 (functie Invoke-Monitoring) – Effectieve bewaking van authenticatiebeleidswijzigingen vormt de kern van een proactieve beveiligingsstrategie waarbij beveiligingsteams continu de gegenereerde auditlogs analyseren op verdachte activiteiten. Dit bewakingsproces is geen eenmalige taak, maar een continu proces dat constante aandacht vereist en moet worden geïntegreerd in de dagelijkse operaties van het beveiligingsoperatiecentrum. Zonder effectieve bewaking heeft de implementatie van auditlogging weinig waarde, omdat de gegenereerde logs niet worden gebruikt om beveiligingsincidenten te detecteren en te voorkomen. Het bewakingsproces begint met het verzamelen van alle relevante beveiligingsgebeurtenislogboekvermeldingen die betrekking hebben op authenticatiebeleidswijzigingen, waarbij specifiek wordt gekeken naar gebeurtenisidentificatienummer 4739 voor wijzigingen aan accountbeleid en gebeurtenisidentificatienummer 4816 voor wijzigingen aan authenticatiebeleid. Deze gebeurtenisidentificatienummers zijn specifiek ontworpen om wijzigingen aan authenticatiebeleid vast te leggen en bevatten gedetailleerde informatie over wie de wijziging heeft doorgevoerd, wanneer deze heeft plaatsgevonden, en wat de specifieke wijziging was. Deze informatie is essentieel voor het begrijpen van de context van wijzigingen en voor het identificeren van verdachte activiteiten. Organisaties moeten ervoor zorgen dat deze gebeurtenisidentificatienummers correct worden verzameld en geanalyseerd, waarbij beheerders moeten verifiëren dat de auditlogging daadwerkelijk deze gebeurtenissen genereert wanneer wijzigingen worden doorgevoerd. Deze verificatie kan worden uitgevoerd door het genereren van testwijzigingen en te controleren of deze correct worden vastgelegd in het beveiligingsgebeurtenislogboek. Deze logs moeten centraal worden verzameld via een beveiligingsinformatie- en gebeurtenisbeheersysteem of logaggregatieplatform, zodat beveiligingsanalisten een geconsolideerd overzicht hebben van alle authenticatiebeleidswijzigingen binnen de organisatie. De centrale verzameling van logs is essentieel omdat het beveiligingsteams in staat stelt om patronen te identificeren die mogelijk niet zichtbaar zijn wanneer men alleen naar individuele endpoints kijkt. Deze patronen kunnen wijzen op gecoördineerde aanvallen waarbij meerdere endpoints betrokken zijn, of op insider threats waarbij een gebruiker wijzigingen aanbrengt aan meerdere systemen. Het beveiligingsinformatie- en gebeurtenisbeheersysteem moet geconfigureerd zijn om automatisch deze logs te verzamelen, te normaliseren, en te correleren met andere beveiligingsgebeurtenissen om een compleet beeld te krijgen van de beveiligingssituatie. Deze correlatie is belangrijk omdat individuele gebeurtenissen mogelijk niet verdacht lijken, maar in combinatie met andere gebeurtenissen wel kunnen wijzen op een beveiligingsincident. De bewaking moet zich richten op het identificeren van ongebruikelijke patronen die kunnen wijzen op mogelijke beveiligingsincidenten. Deze patronen omvatten wijzigingen buiten normale kantooruren, wijzigingen door gebruikersaccounts die normaal gesproken geen rechten hebben voor dergelijke configuratiewijzigingen, of een plotselinge toename in het aantal wijzigingen. Deze patronen kunnen wijzen op mogelijke beveiligingsincidenten, zoals gecompromitteerde accounts, insider threats, of externe aanvallen die proberen de authenticatie-instellingen te wijzigen om toegang te verkrijgen tot het systeem. Beveiligingsteams moeten ook alert zijn op wijzigingen die plaatsvinden kort na andere verdachte activiteiten, zoals mislukte inlogpogingen of ongebruikelijke netwerkactiviteit, omdat deze correlaties kunnen wijzen op gecoördineerde aanvallen of geavanceerde persistent threats. Deze correlatie-analyse vereist geavanceerde functionaliteiten van beveiligingsinformatie- en gebeurtenisbeheersystemen die in staat zijn om gebeurtenissen uit verschillende bronnen te correleren en patronen te identificeren die wijzen op geavanceerde aanvallen. Het beschikbare PowerShell-script kan worden gebruikt om periodiek de configuratie te controleren en te verifiëren dat de auditlogging nog steeds correct is geconfigureerd op alle endpoints. Dit script kan automatisch worden uitgevoerd via een geplande taak of via Microsoft Intune compliance policies, wat zorgt voor consistente bewaking zonder handmatige interventie. Deze periodieke controles zijn essentieel omdat configuraties kunnen worden gewijzigd door lokale beheerders, groepsbeleid conflicten, of andere factoren die de auditlogging kunnen uitschakelen of wijzigen. Zonder deze controles kunnen endpoints ongemerkt hun auditlogging verliezen, wat gaten creëert in de beveiligingsdekking. Daarnaast moeten organisaties dashboards en rapporten opzetten die real-time inzicht geven in authenticatiebeleidswijzigingen, waarbij automatische waarschuwingen worden gegenereerd voor kritieke wijzigingen. Deze dashboards moeten onder meer weergeven hoeveel wijzigingen er zijn doorgevoerd in een bepaalde periode, welke gebruikers de meeste wijzigingen hebben doorgevoerd, en of er ongebruikelijke patronen zijn geïdentificeerd. Deze visuele weergave maakt het mogelijk voor beveiligingsteams om snel trends te identificeren en te reageren op verdachte activiteiten. De automatische waarschuwingen moeten worden geconfigureerd om beveiligingsteams onmiddellijk te informeren wanneer verdachte activiteiten worden gedetecteerd, zodat zij snel kunnen reageren en mogelijke beveiligingsincidenten kunnen voorkomen of beperken. Deze waarschuwingen moeten worden geconfigureerd met de juiste prioriteitsniveaus, zodat kritieke waarschuwingen onmiddellijk worden geëscaleerd naar de juiste personen. Deze bewaking moet worden geïntegreerd in het algemene beveiligingsoperatiecentrum proces, waarbij beveiligingsanalisten getraind zijn in het herkennen en escaleren van verdachte authenticatiebeleidswijzigingen. De analisten van het beveiligingsoperatiecentrum moeten begrijpen welke wijzigingen normaal zijn en welke wijzigingen verdacht zijn, en zij moeten weten hoe zij moeten reageren wanneer verdachte activiteiten worden gedetecteerd. Deze training is essentieel omdat ongetrainde analisten mogelijk belangrijke signalen missen of juist te veel tijd besteden aan het onderzoeken van onschuldige gebeurtenissen. Organisaties moeten ook regelmatig reviews uitvoeren van de bewakingsprocessen om ervoor te zorgen dat deze effectief blijven en dat nieuwe bedreigingen worden geïdentificeerd en aangepakt. Deze reviews moeten worden uitgevoerd door ervaren beveiligingsprofessionals die in staat zijn om de effectiviteit van de bewakingsprocessen te evalueren en verbeteringen voor te stellen. De effectiviteit van de bewaking hangt af van de kwaliteit van de geconfigureerde waarschuwingen en de snelheid waarmee beveiligingsteams kunnen reageren op gedetecteerde bedreigingen. Organisaties moeten daarom investeren in het ontwikkelen van geavanceerde waarschuwingsregels die gebruik maken van machine learning en gedragsanalyse om verdachte patronen te identificeren die mogelijk niet zichtbaar zijn bij traditionele regelgebaseerde bewaking. Deze geavanceerde bewakingstechnieken kunnen helpen bij het identificeren van subtiele aanvallen waarbij aanvallers proberen hun activiteiten te verbergen door kleine, geleidelijke wijzigingen aan te brengen die individueel niet verdacht lijken, maar in combinatie wel kunnen wijzen op een geavanceerde aanval. Deze technieken vereisen geavanceerde functionaliteiten van beveiligingsinformatie- en gebeurtenisbeheersystemen en gespecialiseerde expertise, maar kunnen aanzienlijke waarde toevoegen aan de beveiligingsbewaking. De bewaking moet ook worden geïntegreerd met andere beveiligingssystemen, zoals endpoint detection and response systemen en netwerkbeveiligingsoplossingen, om een compleet beeld te krijgen van de beveiligingssituatie. Deze integratie maakt het mogelijk om authenticatiebeleidswijzigingen te correleren met andere beveiligingsgebeurtenissen, wat kan helpen bij het identificeren van gecoördineerde aanvallen waarbij meerdere systemen betrokken zijn. Deze geïntegreerde aanpak vereist dat verschillende beveiligingssystemen kunnen communiceren en gegevens kunnen delen, wat vaak de implementatie van standaard protocollen en API's vereist. Organisaties moeten regelmatig de effectiviteit van hun bewakingsprocessen evalueren door het analyseren van gedetecteerde incidenten en het identificeren van verbeterpunten in de bewakingsconfiguratie. Deze evaluaties moeten worden gebruikt om de bewakingsprocessen continu te verbeteren en om ervoor te zorgen dat nieuwe bedreigingen snel worden geïdentificeerd en aangepakt. Deze continue verbetering is essentieel omdat het bedreigingslandschap constant verandert en nieuwe aanvallen vereisen nieuwe bewakingstechnieken..
Remediatie
Gebruik PowerShell-script audit-authentication-policy-change-is-set-to-include-success.ps1 (functie Invoke-Remediation) – Wanneer monitoring aangeeft dat de auditlogging voor authenticatiebeleidswijzigingen niet correct is geconfigureerd of niet actief is op bepaalde endpoints, moet onmiddellijk worden overgegaan tot remediatie om ervoor te zorgen dat de beveiligingspostuur van de organisatie niet wordt aangetast door ontbrekende of incorrecte configuraties. Deze remediatie is essentieel omdat endpoints zonder correct geconfigureerde auditlogging gaten creëren in de beveiligingsdekking, waardoor beveiligingsteams geen inzicht hebben in wijzigingen aan authenticatiebeleid op deze systemen. Zonder deze inzicht kunnen beveiligingsincidenten ongemerkt plaatsvinden, wat de organisatie blootstelt aan aanzienlijke risico's. Het remediatieproces begint met het identificeren van alle endpoints waar de auditlogging ontbreekt of incorrect is geconfigureerd, waarbij gebruik wordt gemaakt van het beschikbare PowerShell-script om de huidige configuratiestatus te bepalen. Dit script moet regelmatig worden uitgevoerd, bij voorkeur dagelijks of wekelijks, om ervoor te zorgen dat alle endpoints correct zijn geconfigureerd en dat nieuwe endpoints ook direct worden geïdentificeerd wanneer zij niet voldoen aan de vereisten. Deze regelmatige controles zijn essentieel omdat configuraties kunnen worden gewijzigd door lokale beheerders, Group Policy conflicten, of andere factoren die de auditlogging kunnen uitschakelen of wijzigen. Het script genereert een rapport dat aangeeft welke endpoints correct zijn geconfigureerd, welke endpoints aandacht vereisen, en wat de specifieke problemen zijn die moeten worden opgelost. Dit rapport vormt de basis voor het remediatieproces en moet worden gebruikt om prioriteiten te stellen voor welke endpoints eerst moeten worden gerepareerd. Voor endpoints waar de auditlogging ontbreekt, moet het Microsoft Intune apparaatconfiguratieprofiel opnieuw worden toegewezen, waarbij beheerders controleren of de endpoints correct zijn geregistreerd in Intune en of de Intune Management Extension correct functioneert. De Intune Management Extension is verantwoordelijk voor het toepassen van de configuratie-instellingen op de endpoints, en als deze extensie niet correct functioneert, zullen de configuratie-instellingen niet worden toegepast. Beheerders moeten controleren of de extensie is geïnstalleerd, of deze de nieuwste versie heeft, en of deze correct communiceert met de Intune-service. Deze verificatie kan worden uitgevoerd via de Intune-beheerportal, waarbij beheerders kunnen controleren welke apparaten zijn geregistreerd en wat de status is van de Intune Management Extension. In gevallen waar de configuratie wel is toegewezen maar niet correct wordt toegepast, kan het nodig zijn om de Group Policy Object configuratie, ook wel GPO genoemd, te controleren, omdat lokale GPO-instellingen de Intune-configuratie kunnen overschrijven. Dit is een veelvoorkomend probleem in hybride omgevingen waar zowel Intune als on-premises Group Policy worden gebruikt, en beheerders moeten ervoor zorgen dat de configuratieprioriteiten correct zijn ingesteld zodat Intune-instellingen niet worden overschreven door lokale GPO-instellingen. Deze prioriteitsconfiguratie is essentieel voor het waarborgen van consistente configuraties in hybride omgevingen. Het remediatiescript kan worden gebruikt om de auditlogging direct te configureren via lokale Group Policy of registerinstellingen, waarbij de instelling wordt aangepast zodat succesvolle authenticatiebeleidswijzigingen worden gelogd. Dit script moet worden uitgevoerd met beheerdersrechten en moet de juiste registerwaarden instellen om ervoor te zorgen dat de auditlogging correct wordt geconfigureerd. Het script moet ook worden getest voordat het wordt gebruikt in productieomgevingen om ervoor te zorgen dat het correct functioneert en geen onbedoelde wijzigingen aanbrengt aan andere configuratie-instellingen. Deze testfase is essentieel omdat ongeteste scripts kunnen leiden tot onverwachte problemen die de bedrijfsvoering kunnen verstoren. Na het uitvoeren van de remediatie moet worden geverifieerd dat de configuratie correct is toegepast door het genereren van een testwijziging aan het authenticatiebeleid en te controleren of deze gebeurtenis correct wordt vastgelegd in de Security Event Log. Deze verificatie is essentieel omdat het beheerders in staat stelt om te bevestigen dat de remediatie succesvol was en dat de auditlogging daadwerkelijk gebeurtenissen vastlegt. Zonder deze verificatie kunnen beheerders niet zeker zijn dat de remediatie daadwerkelijk heeft gewerkt, wat kan leiden tot valse gevoelens van beveiliging. Organisaties moeten een gestandaardiseerd testproces hebben dat wordt uitgevoerd na elke remediatie om ervoor te zorgen dat de configuratie correct functioneert. Dit gestandaardiseerde proces zorgt ervoor dat alle remediaties op dezelfde manier worden geverifieerd, wat de consistentie en betrouwbaarheid van het remediatieproces verbetert. Organisaties moeten ook een proces hebben voor het periodiek controleren van de auditlogging configuratie op alle endpoints, waarbij automatische remediatie wordt uitgevoerd wanneer afwijkingen worden gedetecteerd. Dit kan worden geautomatiseerd via Intune compliance policies die automatisch de configuratie herstellen wanneer deze niet voldoet aan de gedefinieerde baseline. Deze automatische remediatie is bijzonder nuttig omdat het ervoor zorgt dat endpoints automatisch worden hersteld wanneer configuraties worden gewijzigd, zonder dat handmatige interventie vereist is. Deze automatisering vermindert ook de werklast voor beheerders en zorgt ervoor dat problemen snel worden opgelost zonder dat de beveiligingspostuur van de organisatie wordt aangetast. De compliance policies moeten worden geconfigureerd om regelmatig te controleren of de configuratie correct is, en om automatisch herstelacties uit te voeren wanneer afwijkingen worden gedetecteerd. Deze regelmatige controles zorgen ervoor dat problemen snel worden geïdentificeerd en opgelost, wat de beveiligingspostuur van de organisatie verbetert. Organisaties moeten ook een proces hebben voor het documenteren van remediatieacties, waarbij wordt vastgelegd welke endpoints zijn gerepareerd, wanneer de remediatie heeft plaatsgevonden, en wat de oorzaak was van het probleem. Deze documentatie is nuttig voor het identificeren van terugkerende problemen en het verbeteren van de configuratieprocessen. Door terugkerende problemen te identificeren, kunnen organisaties onderliggende configuratieproblemen aanpakken die leiden tot herhaalde remediaties. Het remediatieproces moet worden geïntegreerd in het algemene change management proces van de organisatie, waarbij alle wijzigingen aan beveiligingsconfiguraties worden gedocumenteerd en goedgekeurd voordat zij worden doorgevoerd. Deze integratie zorgt ervoor dat remediatieacties worden uitgevoerd volgens de gestandaardiseerde processen van de organisatie en dat alle wijzigingen traceerbaar zijn voor audit doeleinden. Deze traceerbaarheid is essentieel voor compliance doeleinden en voor het uitvoeren van forensische onderzoeken na beveiligingsincidenten. Organisaties moeten ook een escalatieproces hebben voor gevallen waarin automatische remediatie niet succesvol is, waarbij beheerders worden geïnformeerd wanneer handmatige interventie vereist is. Dit escalatieproces moet duidelijk gedefinieerd zijn en moet worden getest om ervoor te zorgen dat beheerders snel kunnen reageren wanneer problemen worden gedetecteerd. Deze snelle respons is essentieel omdat endpoints zonder correct geconfigureerde auditlogging gaten creëren in de beveiligingsdekking die kunnen worden uitgebuit door aanvallers. De effectiviteit van het remediatieproces moet regelmatig worden geëvalueerd door het analyseren van de tijd die nodig is om problemen op te lossen en door het identificeren van terugkerende problemen die mogelijk wijzen op onderliggende configuratieproblemen. Deze evaluaties moeten worden gebruikt om het remediatieproces continu te verbeteren en om ervoor te zorgen dat problemen snel worden opgelost zonder dat de beveiligingspostuur van de organisatie wordt aangetast. Deze continue verbetering is essentieel omdat de IT-omgeving constant verandert en nieuwe problemen kunnen ontstaan die nieuwe remediatieaanpakken vereisen..
Compliance en Naleving
De implementatie van auditlogging voor authenticatiebeleidswijzigingen is essentieel voor het voldoen aan verschillende compliance- en auditingvereisten die van toepassing zijn op Nederlandse overheidsorganisaties. Deze vereisten zijn zowel nationaal als internationaal van aard en omvatten verschillende aspecten van informatiebeveiliging en gegevensbescherming. Compliance met deze vereisten is niet alleen een wettelijke verplichting, maar ook een belangrijke indicator van de volwassenheid van de informatiebeveiligingsprocessen van een organisatie. Organisaties die niet voldoen aan deze vereisten lopen het risico op boetes, reputatieschade, en het verlies van vertrouwen van stakeholders en partners. De BIO Baseline Informatiebeveiliging Overheid vereist specifiek dat organisaties gebeurtenissen loggen en audittrails onderhouden, waarbij controle 16.01 expliciet verwijst naar de noodzaak van logging van beveiligingsgebeurtenissen. Deze controle is onderdeel van het BIO-beveiligingskader dat is ontwikkeld voor Nederlandse overheidsorganisaties en dat specifieke eisen stelt aan de manier waarop organisaties hun informatiebeveiliging moeten inrichten. Het BIO-kader is gebaseerd op internationale standaarden zoals ISO 27001 en is aangepast aan de specifieke behoeften van Nederlandse overheidsorganisaties. Door authenticatiebeleidswijzigingen te loggen, kunnen organisaties aantonen dat zij voldoen aan deze vereiste en kunnen auditors verifiëren dat wijzigingen aan kritieke beveiligingsinstellingen traceerbaar zijn, wat essentieel is voor het behalen van een positieve auditbevinding. Tijdens externe audits zullen auditors specifiek vragen naar de configuratie van auditlogging en zullen zij willen zien dat de logs daadwerkelijk worden gegenereerd en bewaard volgens de vereiste bewaartermijnen. Deze audits worden uitgevoerd door onafhankelijke auditors die de configuratie en implementatie van de auditlogging evalueren op basis van de vereisten van het BIO-kader. De ISO 27001:2022 standaard vereist in controle A.12.4.1 dat organisaties logging en monitoring implementeren voor informatiebeveiligingsgebeurtenissen, waarbij authenticatiebeleidswijzigingen als kritieke gebeurtenissen worden beschouwd die monitoring vereisen. Deze controle maakt deel uit van de ISO 27001-certificering die veel Nederlandse organisaties nastreven om hun informatiebeveiligingsmanagement te demonstreren aan stakeholders en partners. ISO 27001 is een internationaal erkende standaard voor informatiebeveiligingsmanagement en wordt door veel organisaties gebruikt als basis voor hun beveiligingsimplementaties. Organisaties die ISO 27001-gecertificeerd willen worden, moeten kunnen aantonen dat zij effectieve logging en monitoring hebben geïmplementeerd voor alle kritieke beveiligingsgebeurtenissen, waarbij authenticatiebeleidswijzigingen expliciet worden genoemd als een van deze kritieke gebeurtenissen. Deze certificering vereist dat organisaties een informatiebeveiligingsmanagementsysteem implementeren dat voldoet aan alle vereisten van de standaard, waarbij auditlogging een essentieel onderdeel is van dit systeem. Daarnaast vereist de CIS Security Benchmark in controle 18.9.19.2 specifiek dat organisaties auditlogging configureren voor beleidswijzigingen, waarbij deze controle als Level 1 wordt geclassificeerd en daarom als essentieel wordt beschouwd voor basisbeveiliging. De CIS Security Benchmark is een internationaal erkende standaard voor beveiligingsconfiguraties en wordt door veel organisaties gebruikt als basis voor hun beveiligingsimplementaties. Level 1 controles worden beschouwd als de meest kritieke controles die alle organisaties moeten implementeren, ongeacht hun grootte of complexiteit, en het niet implementeren van deze controles wordt beschouwd als een significant beveiligingsrisico. Deze controles zijn ontworpen om basisbeveiliging te waarborgen en vormen de fundering waarop meer geavanceerde beveiligingsmaatregelen kunnen worden gebouwd. Voor Nederlandse organisaties die onder de AVG vallen, is het loggen van authenticatiebeleidswijzigingen belangrijk omdat deze wijzigingen invloed kunnen hebben op hoe persoonsgegevens worden beschermd en wie toegang heeft tot deze gegevens. De Algemene Verordening Gegevensbescherming vereist dat organisaties passende technische en organisatorische maatregelen nemen om persoonsgegevens te beschermen, waarbij logging van wijzigingen aan beveiligingsinstellingen wordt beschouwd als een van deze maatregelen. Wanneer authenticatiebeleid wordt gewijzigd, kan dit directe gevolgen hebben voor wie toegang heeft tot persoonsgegevens, en organisaties moeten kunnen aantonen dat deze wijzigingen zijn gelogd en kunnen worden gecontroleerd. Deze traceerbaarheid is essentieel voor het voldoen aan de AVG-vereisten en voor het kunnen reageren op verzoeken van betrokkenen over hoe hun persoonsgegevens worden beschermd. Organisaties moeten ervoor zorgen dat de gegenereerde auditlogs worden bewaard volgens de vereiste bewaartermijnen, waarbij een minimale bewaartermijn van één jaar wordt aanbevolen voor compliance doeleinden, hoewel sommige organisaties kunnen kiezen voor langere bewaartermijnen afhankelijk van hun specifieke vereisten en de aard van de gegevens die zij verwerken. De bewaartermijnen moeten worden vastgelegd in het informatiebeveiligingsbeleid van de organisatie en moeten consistent zijn met de vereisten van de verschillende compliance-frameworks waaraan de organisatie moet voldoen. Deze bewaartermijnen zijn belangrijk omdat auditlogs vaak worden gebruikt als bewijs tijdens forensische onderzoeken en rechtszaken, en de beschikbaarheid van deze logs is essentieel voor het kunnen uitvoeren van dergelijke onderzoeken. Tijdens externe audits moeten organisaties kunnen aantonen dat de auditlogging correct is geconfigureerd en actief is op alle relevante endpoints, waarbij het beschikbare PowerShell-script kan worden gebruikt om de configuratiestatus te rapporteren. Dit script genereert een rapport dat auditors kunnen gebruiken om te verifiëren dat de configuratie correct is geïmplementeerd en dat alle endpoints voldoen aan de vereisten. Deze rapportage is essentieel voor het demonstreren van compliance en voor het behalen van een positieve auditbevinding. De auditlogs zelf moeten worden beschermd tegen wijziging of verwijdering, waarbij organisaties moeten overwegen om de logs te archiveren naar een beveiligde, onveranderlijke opslagomgeving die voldoet aan de vereisten voor logintegriteit en beveiliging. Deze archivering is essentieel omdat auditlogs vaak worden gebruikt als bewijs tijdens forensische onderzoeken en rechtszaken, en de integriteit van deze logs moet kunnen worden gegarandeerd. De integriteit van auditlogs is cruciaal omdat gewijzigde of verwijderde logs hun bewijswaarde verliezen en niet kunnen worden gebruikt tijdens rechtszaken of forensische onderzoeken. Compliance-teams moeten regelmatig de effectiviteit van de auditlogging evalueren en ervoor zorgen dat de gegenereerde logs daadwerkelijk worden gebruikt voor beveiligingsmonitoring en incident response doeleinden, waarbij deze evaluaties moeten worden gedocumenteerd en moeten worden gebruikt om de loggingprocessen continu te verbeteren. Deze evaluaties zijn belangrijk omdat zij helpen bij het identificeren van verbeterpunten in de loggingprocessen en bij het waarborgen dat de auditlogging daadwerkelijk bijdraagt aan de beveiligingspostuur van de organisatie. De compliance met verschillende frameworks vereist dat organisaties kunnen aantonen dat hun auditlogging voldoet aan de specifieke eisen van elk framework, waarbij auditors zullen vragen naar de configuratie, de bewaartermijnen, en de manier waarop de logs worden gebruikt voor beveiligingsmonitoring. Organisaties moeten daarom een gestructureerde aanpak hebben voor het beheren van compliance waarbij alle relevante documentatie wordt bijgehouden en regelmatig wordt geëvalueerd om ervoor te zorgen dat de organisatie blijft voldoen aan de vereisten. Deze aanpak moet ook voorzien in regelmatige interne audits waarbij de configuratie wordt gecontroleerd en waarbij wordt geverifieerd dat de auditlogging daadwerkelijk gebeurtenissen vastlegt zoals verwacht. De resultaten van deze interne audits moeten worden gedocumenteerd en moeten worden gebruikt om eventuele problemen te identificeren en op te lossen voordat externe audits plaatsvinden. Deze proactieve aanpak helpt bij het voorkomen van negatieve auditbevindingen en bij het waarborgen van continue compliance. Organisaties moeten ook overwegen om certificeringen te behalen voor hun informatiebeveiligingsmanagement, waarbij auditlogging een essentieel onderdeel is van de certificeringsprocessen. Deze certificeringen kunnen helpen bij het demonstreren van de volwassenheid van de informatiebeveiligingsprocessen van de organisatie en kunnen bijdragen aan het vertrouwen van stakeholders en partners in de beveiligingsmaatregelen van de organisatie. Deze certificeringen vereisen dat organisaties kunnen aantonen dat hun informatiebeveiligingsprocessen voldoen aan de vereisten van de betreffende standaarden, waarbij auditlogging een essentieel onderdeel is van deze processen.
Compliance & Frameworks
- CIS M365: Control 18.9.19.2 (L1) - CIS Security Benchmark aanbevelingen
- BIO: 16.01 - BIO Baseline Informatiebeveiliging Overheid - 16.01 - Gebeurtenissen logging en audittrails
- ISO 27001:2022: A.12.4.1 - ISO 27001:2022 - Gebeurtenissen logging en audittrails
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Intune Audit Logging: Authentication Policy Change Success
.DESCRIPTION
CIS - Audit authentication policy change moet Success loggen.
.NOTES
Filename: audit-auth-policy.ps1|Author: Nederlandse Baseline voor Veilige Cloud|AuditPol: Authentication Policy Change|Expected: Success
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $Category = "Authentication Policy Change"; $ExpectedValue = "Success"
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance {
$r = [PSCustomObject]@{ScriptName = "audit-auth-policy.ps1"; PolicyName = "Audit Auth Policy Change"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; function Invoke-Revert { auditpol /set /subcategory:"$Category" /success:disable | Out-Null }
try { $audit = auditpol /get /subcategory:"$Category" /r | ConvertFrom-Csv; $setting = $audit.'Inclusion Setting'; $r.CurrentValue = $setting; if ($setting -match $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Audit: $setting" }else { $r.Details += "Audit: $setting" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r
}
function Invoke-Remediation { auditpol /set /subcategory:"$Category" /success:enable | Out-Null; Write-Host "Audit Auth Policy Change: Success" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { auditpol /set /subcategory:"$Category" /success:disable | Out-Null }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
High: Geen tracking van authenticatiebeleidswijzigingen mogelijk, waardoor beveiligingsteams geen inzicht hebben in wijzigingen aan kritieke beveiligingsinstellingen en forensisch onderzoek na incidenten wordt bemoeilijkt.
Management Samenvatting
Schakel auditlogging in voor authenticatiebeleidswijzigingen om volledige traceerbaarheid te waarborgen van wijzigingen aan kritieke beveiligingsinstellingen.
- Implementatietijd: 2 uur
- FTE required: 0.01 FTE