💼 Management Samenvatting
Deze beveiligingsmaatregel waarborgt de correcte configuratie van auditlogging voor autorisatiebeleidwijzigingen op Windows endpoints.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
7/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Windows
Deze instelling is onderdeel van de Windows-beveiligingsbaseline en beschermt tegen bekende aanvalsvectoren door het afdwingen van veilige configuraties. Door wijzigingen aan autorisatiebeleid te loggen, kunnen organisaties onbevoegde toegang en beleidswijzigingen detecteren en onderzoeken.
PowerShell Modules Vereist
Primary API: Graph
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
Deze maatregel configureert auditlogging voor autorisatiebeleidwijzigingen via Microsoft Intune apparaatconfiguratiebeleid of compliance policies om Windows endpoints te beveiligen volgens beveiligingsbest practices. Het systeem registreert alle succesvolle wijzigingen aan autorisatiebeleid, waardoor security teams kunnen monitoren wie welke wijzigingen heeft doorgevoerd en wanneer deze hebben plaatsgevonden.
Vereisten
De implementatie van auditlogging voor autorisatiebeleidwijzigingen vereist een grondige voorbereiding op zowel technisch als organisatorisch vlak. Organisaties moeten beschikken over een complete Microsoft Intune-omgeving die functioneert als Mobile Device Management (MDM) oplossing voor alle Windows endpoints binnen de organisatie. Dit fundamentale vereiste betekent dat elke Windows-workstation en -server die beheerd moet worden, eerst moet worden ingeschreven in Microsoft Intune en vervolgens beheerd wordt via apparaatconfiguratiebeleidsregels. De licentievereisten voor Microsoft Intune zijn cruciaal voor het succes van deze implementatie. In de meeste gevallen vereist volledige functionaliteit Microsoft 365 E3 of E5 licenties, die naast Intune ook toegang bieden tot andere beveiligings- en compliance-functies die essentieel zijn voor een complete beveiligingsstrategie. Organisaties die alleen over basislicenties beschikken, zullen beperkt zijn in hun mogelijkheden om geavanceerde auditlogging-configuraties te implementeren en te beheren. Beheerdersrechten vormen een ander kritisch aspect van de vereisten. De organisatie moet beschikken over beheerders met de juiste rollen binnen Microsoft 365 om apparaatconfiguratiebeleid te kunnen maken, toewijzen en beheren. De rol van Intune Service Administrator of Global Administrator is doorgaans vereist voor het configureren van deze geavanceerde beveiligingsinstellingen. Zonder deze rechten kunnen beheerders geen nieuwe beleidsregels aanmaken of bestaande configuraties aanpassen, wat de implementatie volledig blokkeert. Vanuit technisch perspectief zijn de vereisten voor de Windows endpoints zelf eveneens specifiek. Moderne MDM-beheer vereist dat endpoints draaien op Windows 10 versie 1809 of hoger, of op Windows 11. Deze versievereisten zijn niet willekeurig gekozen, maar zijn gebaseerd op de ondersteuning voor moderne beheerprotocollen en auditlogging-functies die alleen beschikbaar zijn in nieuwere versies van het besturingssysteem. Oudere versies van Windows, zoals Windows 7 of vroege versies van Windows 10, ondersteunen mogelijk niet alle geavanceerde auditlogging-functies die via Intune kunnen worden geconfigureerd, wat betekent dat organisaties mogelijk moeten upgraden voordat zij deze beveiligingsmaatregel kunnen implementeren. Netwerkconnectiviteit vormt een andere essentiële technische vereiste. De organisatie moet beschikken over een betrouwbare en veilige verbinding tussen alle Windows endpoints en Microsoft Intune. Dit betekent dat netwerkconnectiviteit naar Microsoft-cloudservices correct moet zijn geconfigureerd, waarbij eventuele firewallregels of proxy-instellingen zijn ingesteld om communicatie tussen endpoints en de Intune-service mogelijk te maken. Organisaties met strikte netwerkbeveiliging moeten mogelijk specifieke firewallregels configureren om Intune-communicatie toe te staan zonder de algehele beveiligingspostuur te compromitteren. Vanuit organisatorisch perspectief zijn de vereisten even belangrijk als de technische aspecten. Er moet duidelijkheid bestaan over wie verantwoordelijk is voor het beheer van auditlogging-instellingen en wie toegang heeft tot de gegenereerde auditlogs. Deze verantwoordelijkheidsverdeling is cruciaal voor zowel operationele effectiviteit als compliance-doeleinden. De betrokkenheid van IT-beheerders is essentieel voor de technische configuratie en het dagelijkse beheer, terwijl security officers verantwoordelijk zijn voor het monitoren en analyseren van beveiligingsgebeurtenissen die in de logs worden vastgelegd. Deze samenwerking tussen verschillende teams zorgt ervoor dat auditlogging niet alleen technisch correct wordt geïmplementeerd, maar ook daadwerkelijk wordt gebruikt voor beveiligingsdoeleinden. Tot slot moet de organisatie beschikken over een duidelijk logretentiebeleid en een geschikte logopslagoplossing. Auditlogs bevatten gevoelige informatie over beveiligingsgebeurtenissen en moeten worden bewaard voor compliance-doeleinden, forensisch onderzoek en langetermijnanalyse. Dit kan betekenen dat er integratie nodig is met een Security Information and Event Management (SIEM) systeem of een centrale logopslagoplossing die geschikt is voor het bewaren en analyseren van grote hoeveelheden logdata. Het logretentiebeleid moet duidelijk definiëren hoe lang logs worden bewaard, wie toegang heeft tot historische logs, en hoe logs worden beschermd tegen ongeautoriseerde toegang of wijziging.
Implementatie
De implementatie van auditlogging voor autorisatiebeleidwijzigingen vereist een gestructureerde aanpak die begint met een grondige inventarisatie van de huidige configuratiestatus binnen de organisatie. Voordat nieuwe instellingen worden geconfigureerd, is het essentieel om een compleet beeld te krijgen van welke Windows endpoints momenteel al auditlogging hebben ingeschakeld voor autorisatiebeleidwijzigingen en welke endpoints nog configuratie vereisen. Deze inventarisatiefase is cruciaal omdat het organisaties in staat stelt om de omvang van de implementatie te begrijpen en eventuele bestaande configuraties te identificeren die mogelijk conflicteren met de nieuwe instellingen. Het beschikbare PowerShell-script vormt een waardevol hulpmiddel tijdens deze fase, omdat het de huidige configuratiestatus van alle beheerde Windows endpoints kan monitoren en rapporteren. Het script analyseert systematisch elke endpoint en controleert of de auditlogging voor autorisatiebeleidwijzigingen correct is geconfigureerd volgens de gewenste standaarden. Deze analyse levert niet alleen inzicht op in de huidige staat, maar identificeert ook eventuele configuratiedrift waarbij endpoints onbedoeld zijn teruggevallen naar een niet-geconfigureerde staat. Na het verkrijgen van dit inzicht kan de daadwerkelijke configuratie worden uitgevoerd via Microsoft Intune. De implementatie verloopt via de Intune-beheerportal, waar beheerders een nieuw apparaatconfiguratiebeleid aanmaken dat specifiek is ontworpen voor Windows 10 en later. Binnen dit beleid wordt de audit policy instelling geconfigureerd om succesvolle wijzigingen aan autorisatiebeleid te loggen, wat betekent dat het systeem alle geslaagde pogingen tot wijziging van autorisatie-instellingen zal vastleggen in de Windows Event Log. Deze configuratie is specifiek gericht op het vastleggen van succesvolle wijzigingen, omdat deze vaak indicatief zijn voor zowel legitieme beheeractiviteiten als potentiële beveiligingsincidenten. Het beleid wordt vervolgens toegewezen aan de relevante groepen endpoints, waarbij organisaties strategisch kunnen kiezen voor een gefaseerde implementatie. Deze gefaseerde aanpak is aan te raden omdat het organisaties in staat stelt om eerst een testgroep te configureren en te valideren voordat de volledige organisatie wordt uitgerold. Tijdens deze testfase kunnen beheerders verifiëren dat de configuratie correct werkt, dat endpoints de instellingen ontvangen, en dat auditlogs daadwerkelijk worden gegenereerd wanneer autorisatiebeleid wordt gewijzigd. Deze validatie is essentieel om problemen vroegtijdig te identificeren en op te lossen voordat de implementatie wordt uitgebreid naar de volledige organisatie. Tijdens de implementatie is het belangrijk om continu te verifiëren dat endpoints de nieuwe configuratie daadwerkelijk ontvangen en toepassen. Dit kan worden gemonitord via de Intune-beheerportal, waar de compliance-status van endpoints kan worden gecontroleerd. Deze compliance-rapportage toont welke endpoints de configuratie hebben ontvangen en correct hebben toegepast, en welke endpoints nog configuratie vereisen of problemen ondervinden. Endpoints die de configuratie niet correct ontvangen, vereisen systematische troubleshooting waarbij wordt gecontroleerd of de endpoints correct zijn ingeschreven in Intune, of er netwerkproblemen zijn die communicatie met de Intune-service blokkeren, en of de endpoints de vereiste Windows-versie hebben om de configuratie te ondersteunen. Deze troubleshooting is essentieel omdat non-compliance kan wijzen op onderliggende problemen die moeten worden opgelost voordat de implementatie als succesvol kan worden beschouwd. Na succesvolle implementatie moeten de gegenereerde auditlogs worden geïntegreerd in het bestaande security monitoring framework van de organisatie. Deze integratie is cruciaal omdat auditlogs alleen waardevol zijn wanneer zij daadwerkelijk worden gebruikt voor beveiligingsdoeleinden. Security teams moeten toegang hebben tot de logs en moeten in staat zijn om deze te analyseren op zoek naar verdachte patronen of indicatoren van compromittering. Dit vereist vaak integratie met een Security Information and Event Management (SIEM) systeem, waardoor geavanceerde correlatie en alerting mogelijk wordt. Binnen het SIEM-systeem kunnen regels worden geconfigureerd die automatisch waarschuwingen genereren wanneer specifieke verdachte activiteiten worden gedetecteerd, zoals wijzigingen aan autorisatiebeleid buiten normale werkuren of door onbekende accounts. Deze proactieve monitoring stelt security teams in staat om snel te reageren op potentiële beveiligingsincidenten voordat deze kunnen escaleren tot volledige compromittering van het systeem.
Gebruik PowerShell-script audit-authorization-policy-change-is-set-to-include-success.ps1 (functie Invoke-Monitoring) – Monitoren.
Monitoring
Effectieve monitoring van auditlogging voor autorisatiebeleidwijzigingen vormt de hoeksteen van een succesvolle beveiligingsstrategie en vereist een gestructureerde, meerdimensionale aanpak waarbij zowel de technische configuratie als de gegenereerde loggegevens continu worden gecontroleerd en geanalyseerd. Deze monitoring is niet eenmalig, maar een continu proces dat organisaties in staat stelt om proactief te reageren op beveiligingsincidenten en compliance-vereisten te blijven voldoen. De technische monitoring vormt de eerste laag van dit proces en richt zich op het verifiëren dat de auditlogging-configuratie daadwerkelijk actief is op alle beoogde endpoints. Deze verificatie is essentieel omdat configuraties kunnen veranderen door verschillende factoren, zoals software-updates, handmatige wijzigingen door beheerders, of conflicterende Group Policy Objecten (GPO's) die Intune-configuraties overschrijven. Het beschikbare PowerShell-script biedt een geautomatiseerde methode om de configuratiestatus van endpoints te controleren en te rapporteren welke endpoints compliant zijn en welke nog configuratie vereisen. Regelmatige uitvoering van dit script, bijvoorbeeld wekelijks of maandelijks als onderdeel van een gestructureerd monitoringproces, zorgt ervoor dat eventuele configuratiedrift wordt gedetecteerd waarbij endpoints onbedoeld terugvallen naar een niet-geconfigureerde staat. Deze detectie is cruciaal omdat non-compliance kan wijzen op onderliggende problemen die moeten worden aangepakt, zoals problemen met Intune-inschrijving, netwerkconnectiviteit, of conflicterende beheerconfiguraties. Naast technische monitoring is het monitoren van de daadwerkelijke auditlogs cruciaal voor beveiligingsdoeleinden. De gegenereerde logs bevatten een schat aan waardevolle informatie over wie autorisatiebeleid heeft gewijzigd, wanneer deze wijzigingen hebben plaatsgevonden, welke specifieke wijzigingen zijn doorgevoerd, en vanuit welke bron deze wijzigingen zijn geïnitieerd. Deze informatie is essentieel voor zowel reactieve incident response als proactieve threat hunting, waarbij security teams actief zoeken naar indicatoren van compromittering voordat deze tot volledige incidenten escaleren. Security teams moeten deze logs regelmatig analyseren op zoek naar verdachte patronen die kunnen wijzen op beveiligingsincidenten. Deze patronen omvatten wijzigingen buiten kantooruren wanneer normale beheeractiviteiten niet worden verwacht, wijzigingen door onbekende accounts die niet zijn geautoriseerd voor dergelijke activiteiten, of ongebruikelijk frequente wijzigingen aan autorisatiebeleid die kunnen wijzen op geautomatiseerde aanvallen of gecompromitteerde accounts. Daarnaast kunnen wijzigingen door accounts met verhoogde rechten buiten normale werkuren een indicatie zijn van privilege escalation-aanvallen of insider threats. Voor effectieve logmonitoring is het sterk aan te raden om de auditlogs te integreren in een Security Information and Event Management (SIEM) systeem, waardoor geavanceerde correlatie en alerting mogelijk wordt. Deze integratie transformeert passieve logging in actieve beveiligingsmonitoring, waarbij het SIEM-systeem automatisch patronen detecteert die voor menselijke analisten moeilijk te identificeren zouden zijn in grote hoeveelheden logdata. Binnen het SIEM-systeem kunnen regels worden geconfigureerd die automatisch waarschuwingen genereren wanneer specifieke verdachte activiteiten worden gedetecteerd, zoals wijzigingen aan autorisatiebeleid door accounts met verhoogde rechten buiten normale werkuren, of wanneer meerdere wijzigingen in korte tijd worden gedetecteerd die kunnen wijzen op geautomatiseerde aanvallen. Deze geautomatiseerde alerting stelt security teams in staat om snel te reageren op potentiële beveiligingsincidenten voordat deze kunnen escaleren. Daarnaast moeten security teams periodieke reviews uitvoeren waarbij wordt gecontroleerd of alle verwachte wijzigingen aan autorisatiebeleid daadwerkelijk zijn gelogd en of er geen gaps zijn in de logging. Deze reviews zijn essentieel omdat zij niet alleen verifiëren dat de logging correct functioneert, maar ook helpen bij het identificeren van eventuele technische problemen die kunnen leiden tot ontbrekende logs. Dit vereist nauwe samenwerking tussen IT-beheerders die wijzigingen doorvoeren en security officers die de logs analyseren, zodat verwachte wijzigingen kunnen worden gecorreleerd met de daadwerkelijk gelogde gebeurtenissen. Deze correlatie helpt bij het identificeren van eventuele ontbrekende logs of technische problemen die moeten worden opgelost om de integriteit van de auditlogging te waarborgen.
Gebruik PowerShell-script audit-authorization-policy-change-is-set-to-include-success.ps1 (functie Invoke-Monitoring) – Controleren.
Remediatie
Wanneer monitoring aangeeft dat endpoints niet compliant zijn met de auditlogging-configuratie voor autorisatiebeleidwijzigingen, moet er een gestructureerde en systematische remediatieaanpak worden gevolgd die niet alleen de onmiddellijke non-compliance aanpakt, maar ook de onderliggende oorzaken identificeert en oplost om herhaling te voorkomen. Deze remediatieaanpak is essentieel omdat non-compliance niet alleen betekent dat de beveiligingsmaatregel niet actief is, maar ook dat de organisatie kwetsbaar is voor beveiligingsincidenten die niet kunnen worden gedetecteerd of onderzocht zonder adequate auditlogging. De eerste stap in het remediatieproces is het grondig identificeren van de onderliggende oorzaak van de non-compliance. Deze identificatie is cruciaal omdat verschillende oorzaken verschillende remediatiestrategieën vereisen, en het toepassen van de verkeerde strategie kan leiden tot verdere problemen of tijdelijke oplossingen die niet duurzaam zijn. Non-compliance kan verschillende redenen hebben, elk met hun eigen specifieke aanpak. Endpoints die de configuratie niet hebben ontvangen vanwege netwerkproblemen vereisen een andere aanpak dan endpoints waarbij de configuratie handmatig is gewijzigd of verwijderd. Endpoints die zijn toegevoegd aan de organisatie nadat het beleid is geconfigureerd, kunnen simpelweg een synchronisatie vereisen, terwijl endpoints met conflicterende configuraties mogelijk dieper onderzoek vereisen. Voor endpoints die de configuratie niet hebben ontvangen vanwege netwerkproblemen of synchronisatieproblemen, kan het helpen om de Intune-sync te forceren vanuit de Intune-beheerportal. Deze geforceerde synchronisatie dwingt endpoints om onmiddellijk opnieuw te synchroniseren met de Intune-service en de configuratie opnieuw te ontvangen. Deze aanpak is vaak effectief voor endpoints die simpelweg niet hebben gesynchroniseerd sinds het beleid is geconfigureerd, of voor endpoints waarbij tijdelijke netwerkproblemen de configuratieoverdracht hebben geblokkeerd. Echter, als geforceerde synchronisatie niet werkt, moet er dieper onderzoek worden gedaan naar de onderliggende netwerkproblemen, zoals firewallregels die Intune-communicatie blokkeren, proxy-instellingen die niet correct zijn geconfigureerd, of netwerksegmentatie die endpoints isoleert van de Intune-service. In gevallen waarbij endpoints handmatig zijn geconfigureerd of waarbij de configuratie is gewijzigd door lokale beheerders of andere processen, kan het beschikbare PowerShell-remediatiescript worden gebruikt om de configuratie automatisch te herstellen naar de gewenste staat. Dit script controleert de huidige configuratie van elke endpoint en past deze aan indien nodig, waardoor endpoints weer compliant worden gemaakt volgens de organisatorische standaarden. Het script is ontworpen om veilig te werken en alleen wijzigingen aan te brengen wanneer deze nodig zijn, waardoor het risico op onbedoelde configuratiewijzigingen wordt geminimaliseerd. Voor endpoints die persistent non-compliant blijven ondanks herhaalde pogingen tot remediatie, is het belangrijk om dieper onderzoek te doen naar de onderliggende oorzaken. Deze persistentie kan wijzen op systematische problemen die een meer uitgebreide aanpak vereisen. Mogelijke oorzaken omvatten problemen met de Intune-inschrijving zelf, waarbij endpoints mogelijk niet correct zijn ingeschreven of waarbij de inschrijving is verlopen of is verwijderd. In dergelijke gevallen moet de Intune-inschrijving opnieuw worden uitgevoerd voordat de auditlogging-configuratie kan worden toegepast. Een andere mogelijke oorzaak is de aanwezigheid van conflicterende Group Policy Objecten (GPO's) die de Intune-configuratie overschrijven. In hybride omgevingen waar zowel Intune als traditionele Group Policy worden gebruikt, kunnen GPO's Intune-configuraties overschrijven, wat betekent dat zelfs wanneer Intune de configuratie correct toepast, deze onmiddellijk wordt overschreven door een GPO. In dergelijke gevallen moet er worden samengewerkt met de Group Policy-beheerders om de conflicterende GPO's te identificeren en aan te passen, of om de prioriteit van Intune-configuraties te verhogen zodat deze niet worden overschreven. Technische problemen met de endpoints zelf kunnen ook leiden tot persistent non-compliance. Deze problemen omvatten beschadigde Windows-registers, corrupte systeembestanden, of incompatibele software die interfereert met auditlogging-configuraties. In dergelijke gevallen moet er worden samengewerkt met de endpoint-beheerders om de onderliggende technische problemen op te lossen, wat mogelijk systeemherstel of software-updates vereist voordat de auditlogging-configuratie opnieuw kan worden toegepast. Na succesvolle remediatie is het belangrijk om te verifiëren dat de configuratie daadwerkelijk actief is en dat auditlogs worden gegenereerd. Deze verificatie is essentieel omdat het niet alleen bevestigt dat de remediatie succesvol was, maar ook dat de beveiligingsmaatregel daadwerkelijk functioneert zoals bedoeld. Deze verificatie kan worden uitgevoerd door een gecontroleerde testwijziging aan autorisatiebeleid uit te voeren en te verifiëren dat deze wijziging wordt gelogd in de Windows Event Log. Deze testwijziging moet worden uitgevoerd in een gecontroleerde omgeving en moet onmiddellijk worden teruggedraaid om de beveiligingspostuur niet te compromitteren. Daarnaast moet de monitoring worden voortgezet om te voorkomen dat endpoints opnieuw non-compliant worden, wat kan wijzen op systematische problemen die een bredere aanpak vereisen. Deze continue monitoring helpt bij het identificeren van patronen in non-compliance die kunnen wijzen op onderliggende organisatorische of technische problemen die moeten worden aangepakt op een hoger niveau dan individuele endpoint-remediatie.
Gebruik PowerShell-script audit-authorization-policy-change-is-set-to-include-success.ps1 (functie Invoke-Remediation) – Herstellen.
Compliance en Auditing
Auditlogging voor autorisatiebeleidwijzigingen speelt een cruciale en onmisbare rol in het voldoen aan verschillende compliance- en beveiligingsstandaarden die van toepassing zijn op Nederlandse overheidsorganisaties. Deze maatregel vormt niet alleen een technische beveiligingscontrole, maar ook een fundamentale vereiste voor accountability, traceerbaarheid en forensisch onderzoek die essentieel zijn voor moderne informatiebeveiliging. Vanuit het perspectief van de BIO Baseline Informatiebeveiliging Overheid is deze maatregel direct gerelateerd aan controle 16.01, die expliciet vereist dat organisaties gebeurtenissen loggen en audittrails onderhouden voor alle relevante beveiligingsgebeurtenissen. Deze controle is niet optioneel, maar een verplichte vereiste voor alle Nederlandse overheidsorganisaties die moeten voldoen aan de BIO-normen. Door wijzigingen aan autorisatiebeleid te loggen, kunnen organisaties aantonen dat zij voldoen aan deze fundamentele vereiste om alle relevante beveiligingsgebeurtenissen te registreren en te kunnen reconstrueren wie welke wijzigingen heeft doorgevoerd, wanneer deze wijzigingen hebben plaatsgevonden, en vanuit welke bron deze wijzigingen zijn geïnitieerd. Deze traceerbaarheid is essentieel voor zowel interne audits als externe compliance-controles waarbij moet worden aangetoond dat de organisatie adequate logging en monitoring heeft geïmplementeerd en dat deze maatregelen daadwerkelijk functioneren zoals bedoeld. Tijdens externe audits kunnen auditors vragen om bewijs dat de auditlogging correct is geconfigureerd, dat logs daadwerkelijk worden gegenereerd, en dat deze logs worden gebruikt voor beveiligingsmonitoring en incident response. Zonder adequate auditlogging kunnen organisaties niet voldoen aan deze vereisten, wat kan leiden tot negatieve auditbevindingen en mogelijke compliance-sancties. Vanuit ISO 27001:2022 perspectief valt deze maatregel onder controle A.12.4.1, die specifiek betrekking heeft op logging en monitoring van beveiligingsgebeurtenissen. Deze controle vereist dat organisaties een logging- en monitoringstrategie implementeren die alle relevante beveiligingsgebeurtenissen vastlegt, inclusief wijzigingen aan beveiligingsconfiguraties zoals autorisatiebeleid. De implementatie van auditlogging voor autorisatiebeleidwijzigingen draagt direct bij aan het voldoen aan deze controle door ervoor te zorgen dat alle wijzigingen aan kritieke beveiligingsconfiguraties worden geregistreerd en kunnen worden gemonitord. Deze registratie is essentieel omdat autorisatiebeleidwijzigingen directe gevolgen kunnen hebben voor de beveiligingspostuur van de organisatie, en zonder adequate logging kunnen organisaties niet aantonen dat zij voldoen aan de ISO 27001-vereisten voor logging en monitoring. Daarnaast is deze maatregel zeer relevant vanuit AVG-perspectief, waarbij organisaties moeten kunnen aantonen wie toegang heeft gehad tot persoonsgegevens en welke wijzigingen zijn doorgevoerd aan toegangsrechten. De Algemene Verordening Gegevensbescherming vereist dat organisaties accountability kunnen demonstreren, wat betekent dat zij moeten kunnen aantonen wie welke acties heeft ondernomen met betrekking tot persoonsgegevens. Wanneer autorisatiebeleid wordt gewijzigd, kan dit directe gevolgen hebben voor wie toegang heeft tot persoonsgegevens, en het is daarom essentieel dat deze wijzigingen worden gelogd voor accountability-doeleinden. Zonder adequate auditlogging kunnen organisaties niet voldoen aan de AVG-vereisten voor accountability, wat kan leiden tot boetes en andere sancties van de Autoriteit Persoonsgegevens. Voor compliance en auditing is het belangrijk dat organisaties niet alleen de technische configuratie implementeren, maar ook adequate documentatie onderhouden die beschrijft hoe de auditlogging is geconfigureerd, wie toegang heeft tot de logs, hoe lang logs worden bewaard volgens het logretentiebeleid, en hoe logs worden beschermd tegen ongeautoriseerde toegang of wijziging. Deze documentatie is essentieel omdat auditors niet alleen willen zien dat de technische configuratie correct is, maar ook willen begrijpen hoe de organisatie de auditlogging beheert en beschermt. De documentatie moet regelmatig worden bijgewerkt om ervoor te zorgen dat deze accuraat blijft en moet beschikbaar zijn voor zowel interne als externe auditors. Deze documentatie moet ook beschrijven hoe de organisatie omgaat met logretentie, logopslag, en logvernietiging, wat belangrijk is voor zowel compliance-doeleinden als voor het beheren van de kosten en complexiteit van logopslag. Daarnaast moeten organisaties kunnen aantonen dat zij de gegenereerde logs daadwerkelijk monitoren en analyseren, wat betekent dat er processen moeten zijn voor regelmatige logreviews en dat er procedures zijn voor het reageren op verdachte activiteiten die in de logs worden gedetecteerd. Deze processen zijn essentieel omdat logging alleen waardevol is wanneer de logs daadwerkelijk worden gebruikt voor beveiligingsdoeleinden. Tijdens externe audits moeten organisaties kunnen demonstreren dat deze processen bestaan en dat zij daadwerkelijk worden uitgevoerd, wat betekent dat er bewijs moet zijn van logreviews, incident response-activiteiten die zijn gebaseerd op loganalyse, en verbeteringen die zijn doorgevoerd op basis van bevindingen uit loganalyse. Tijdens externe audits moet de organisatie kunnen demonstreren dat de auditlogging correct functioneert door voorbeelden te tonen van gelogde gebeurtenissen en door aan te tonen dat er adequate monitoring en analyse plaatsvindt van de gegenereerde logs. Deze demonstratie is essentieel omdat auditors niet alleen willen zien dat de configuratie correct is, maar ook willen verifiëren dat de logging daadwerkelijk functioneert en dat de organisatie de logs gebruikt voor beveiligingsdoeleinden. Deze demonstratie kan worden uitgevoerd door voorbeelden te tonen van gelogde autorisatiebeleidwijzigingen, door te laten zien hoe deze logs worden geanalyseerd, en door te demonstreren hoe waarschuwingen worden gegenereerd op basis van verdachte activiteiten in de logs.
Compliance & Frameworks
- CIS M365: Control 18.9.19.2 (L1) - CIS Security Benchmark aanbevelingen
- BIO: 16.01 - BIO Baseline Informatiebeveiliging Overheid - 16.01 - Gebeurtenissen logging en audittrails
- ISO 27001:2022: A.12.4.1 - ISO 27001:2022 - Gebeurtenissen logging en audittrails
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Intune Audit Logging: Authorization Policy Change Success
.DESCRIPTION
CIS - Audit authorization policy change moet Success loggen.
.NOTES
Filename: audit-authz-policy.ps1|Author: Nederlandse Baseline voor Veilige Cloud|AuditPol: Authorization Policy Change|Expected: Success
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $Category = "Authorization Policy Change"; $ExpectedValue = "Success"
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance {
$r = [PSCustomObject]@{ScriptName = "audit-authz-policy.ps1"; PolicyName = "Audit AuthZ Policy Change"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; function Invoke-Revert { auditpol /set /subcategory:"$Category" /success:disable | Out-Null }
try { $audit = auditpol /get /subcategory:"$Category" /r | ConvertFrom-Csv; $setting = $audit.'Inclusion Setting'; $r.CurrentValue = $setting; if ($setting -match $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Audit: $setting" }else { $r.Details += "Audit: $setting" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r
}
function Invoke-Remediation { auditpol /set /subcategory:"$Category" /success:enable | Out-Null; Write-Host "Audit AuthZ Policy Change: Success" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { auditpol /set /subcategory:"$Category" /success:disable | Out-Null }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
High: Zonder auditlogging voor autorisatiebeleidwijzigingen kunnen organisaties niet detecteren wanneer en door wie wijzigingen aan autorisatiebeleid zijn doorgevoerd, wat het risico verhoogt op onbevoegde toegang en maakt forensisch onderzoek onmogelijk.
Management Samenvatting
Schakel auditlogging in voor autorisatiebeleidwijzigingen om wijzigingen aan beveiligingsconfiguraties te kunnen monitoren en te voldoen aan compliance-vereisten.
- Implementatietijd: 2 uur
- FTE required: 0.01 FTE