💼 Management Samenvatting
Deze beveiligingsregel waarborgt de correcte configuratie van audit logging voor logon- en logoff-gebeurtenissen op Windows endpoints, waardoor volledige traceerbaarheid van authenticatie-activiteiten wordt gegarandeerd.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
7/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Windows
Deze instelling is onderdeel van de Windows beveiligingsbaseline en beschermt tegen bekende aanvalsvectoren door het afdwingen van uitgebreide logging van alle authenticatiegebeurtenissen. Zonder deze audit logging kunnen beveiligingsteams geen inzicht krijgen in verdachte inlogpogingen, ongeautoriseerde toegang of pogingen tot accountovername, wat de detectie en respons op beveiligingsincidenten ernstig belemmert.
PowerShell Modules Vereist
Primary API: Graph
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
Deze regel configureert de audit policy voor 'Other Logon/Logoff Events' op zowel succesvolle als mislukte gebeurtenissen via Microsoft Intune apparaatconfiguratiebeleid of compliance policies. Dit zorgt ervoor dat alle logon- en logoff-gebeurtenissen, inclusief Remote Desktop-verbindingen, VPN-verbindingen en andere authenticatiemethoden, worden vastgelegd in de Windows Security Event Log, waardoor organisaties voldoen aan beveiligingsbest practices en compliance-vereisten zoals de BIO Baseline Informatiebeveiliging Overheid.
Vereisten
Voor de implementatie van deze audit policy zijn verschillende technische en organisatorische vereisten van toepassing. Ten eerste is Microsoft Intune vereist als Mobile Device Management (MDM) oplossing, waarbij de organisatie beschikt over een geldige Microsoft 365 licentie die Intune omvat, zoals Microsoft 365 E3, E5 of een vergelijkbare licentie. De Windows endpoints moeten zijn ingeschreven in Microsoft Intune via device configuratiebeleidsregels, wat betekent dat de apparaten moeten zijn geregistreerd en beheerd via het Intune-beheerportaal. Daarnaast is het essentieel dat de organisatie beschikt over de juiste beheerdersrechten binnen Microsoft Intune, specifiek de rol van Intune Service Administrator of Global Administrator, om apparaatconfiguratiebeleidsregels te kunnen maken, toewijzen en beheren. Vanuit technisch perspectief moeten de Windows endpoints minimaal Windows 10 versie 1809 of hoger draaien, of Windows 11, omdat oudere versies mogelijk niet alle audit policy instellingen ondersteunen die via Intune kunnen worden geconfigureerd. De endpoints moeten bovendien verbonden zijn met het internet of toegang hebben tot de Microsoft Intune service endpoints om configuratiewijzigingen te kunnen ontvangen en door te voeren. Vanuit organisatorisch oogpunt is het belangrijk dat de IT-afdeling of security team beschikt over documentatie van de huidige audit policy configuratie, zodat wijzigingen kunnen worden gecontroleerd en gevalideerd voordat ze worden geïmplementeerd. Daarnaast moet er een proces zijn voor het testen van configuratiewijzigingen in een testomgeving voordat deze worden uitgerold naar productieomgevingen, om te voorkomen dat audit logging onbedoeld wordt uitgeschakeld of gewijzigd. Tot slot is het raadzaam om te beschikken over een Security Information and Event Management (SIEM) oplossing of log aggregatie tool die de Windows Event Logs kan verzamelen en analyseren, omdat de audit logs alleen waardevol zijn wanneer ze daadwerkelijk worden gemonitord en geanalyseerd op verdachte activiteiten.
Implementatie
De implementatie van de audit policy voor 'Other Logon/Logoff Events' vereist een gestructureerde aanpak waarbij verschillende stappen worden doorlopen om ervoor te zorgen dat de configuratie correct wordt toegepast op alle Windows endpoints binnen de organisatie. De implementatie begint met het voorbereiden van de Intune-omgeving, waarbij de beheerder inlogt op het Microsoft Endpoint Manager admin center en navigeert naar de sectie voor apparaatconfiguratie. Vervolgens wordt een nieuw apparaatconfiguratieprofiel aangemaakt, waarbij het profieltype wordt ingesteld op 'Windows 10 en later' en het profiel wordt geconfigureerd als 'Beveiligingsbeleid voor eindpunten'. Binnen dit profiel wordt de audit policy sectie geopend, waar specifiek de instelling voor 'Audit Other Logon/Logoff Events' wordt geconfigureerd. Deze instelling moet worden ingesteld op 'Zowel geslaagde als mislukte gebeurtenissen', wat betekent dat zowel succesvolle als mislukte logon- en logoff-gebeurtenissen worden vastgelegd in de Windows Security Event Log. Na het configureren van de instelling wordt het profiel opgeslagen en toegewezen aan de relevante groepen van Windows endpoints, waarbij gebruik wordt gemaakt van Azure AD-groepen of Intune-apparaatgroepen om de juiste apparaten te targeten. Het is belangrijk om te beginnen met een pilotgroep van testapparaten voordat de configuratie wordt uitgerold naar alle endpoints, zodat eventuele problemen kunnen worden geïdentificeerd en opgelost voordat de volledige implementatie plaatsvindt. Na de toewijzing duurt het doorgaans enkele minuten tot enkele uren voordat de configuratie is doorgevoerd op de endpoints, afhankelijk van de synchronisatiefrequentie tussen de endpoints en de Intune-service. Om te verifiëren dat de configuratie correct is toegepast, kan gebruik worden gemaakt van het PowerShell-script dat beschikbaar is in de code repository, specifiek de functie voor monitoring die controleert of de audit policy correct is geconfigureerd op de endpoints. Daarnaast kunnen beheerders handmatig controleren door lokaal in te loggen op een endpoint en de Group Policy Editor of PowerShell te gebruiken om de huidige audit policy instellingen te bekijken. Na verificatie kan de configuratie worden uitgerold naar de volledige productieomgeving, waarbij continue monitoring essentieel is om te zorgen dat de configuratie actief blijft en niet wordt overschreven door andere beleidsregels of handmatige wijzigingen.
Gebruik PowerShell-script audit-other-logon-logoff-events-is-set-to-success-and-failure.ps1 (functie Invoke-Monitoring) – Monitoren.
Monitoring
Effectieve monitoring van de audit policy voor 'Other Logon/Logoff Events' is essentieel om te zorgen dat de configuratie actief blijft en dat de gegenereerde audit logs daadwerkelijk worden gebruikt voor beveiligingsdoeleinden. Monitoring omvat verschillende aspecten, waaronder het controleren van de configuratiestatus van de audit policy op endpoints, het verzamelen en analyseren van de gegenereerde audit logs, en het detecteren van verdachte activiteiten die mogelijk wijzen op beveiligingsincidenten. Vanuit technisch perspectief moet de monitoring beginnen met het regelmatig controleren van de configuratiestatus van de audit policy op alle Windows endpoints binnen de organisatie. Dit kan worden gedaan met behulp van het PowerShell-script dat beschikbaar is in de code repository, waarbij de monitoring functie automatisch alle endpoints controleert en rapporteert welke apparaten de juiste configuratie hebben en welke mogelijk afwijken van de verwachte instellingen. Deze controle moet minimaal wekelijks worden uitgevoerd, of vaker indien de organisatie een hogere beveiligingsstandaard hanteert, om te zorgen dat eventuele wijzigingen in de configuratie snel worden gedetecteerd. Naast het controleren van de configuratie zelf, is het belangrijk om te monitoren of de audit logs daadwerkelijk worden gegenereerd en verzameld. Dit betekent dat de Windows Event Logs moeten worden gecontroleerd op de aanwezigheid van Event ID 4624 (succesvolle logon) en Event ID 4625 (mislukte logon) voor 'Other Logon/Logoff Events', waarbij wordt gecontroleerd of deze events regelmatig worden gegenereerd wanneer gebruikers inloggen of uitloggen via Remote Desktop, VPN of andere authenticatiemethoden. De verzamelde audit logs moeten vervolgens worden geanalyseerd op verdachte patronen, zoals meerdere mislukte inlogpogingen van hetzelfde account, inlogpogingen buiten normale kantooruren, of inlogpogingen vanaf onbekende locaties of IP-adressen. Voor deze analyse is het raadzaam om gebruik te maken van een SIEM-oplossing zoals Microsoft Sentinel, Azure Sentinel, of een andere log aggregatie tool die de Windows Event Logs kan verzamelen, normaliseren en analyseren op basis van vooraf gedefinieerde regels en machine learning modellen. De SIEM-oplossing kan automatisch waarschuwingen genereren wanneer verdachte activiteiten worden gedetecteerd, waardoor beveiligingsteams snel kunnen reageren op potentiële beveiligingsincidenten. Daarnaast moet er een proces zijn voor het regelmatig reviewen van de audit logs door beveiligingsanalisten, waarbij wordt gekeken naar trends en patronen die mogelijk wijzen op geavanceerde persistent threats of andere beveiligingsrisico's die niet automatisch worden gedetecteerd door de SIEM-oplossing. Tot slot is het belangrijk om regelmatig te rapporteren over de status van de audit logging, waarbij wordt gedocumenteerd hoeveel events worden gegenereerd, hoeveel endpoints correct zijn geconfigureerd, en welke incidenten zijn gedetecteerd op basis van de audit logs, zodat management en stakeholders inzicht hebben in de effectiviteit van de audit logging implementatie.
Gebruik PowerShell-script audit-other-logon-logoff-events-is-set-to-success-and-failure.ps1 (functie Invoke-Monitoring) – Controleren.
Remediatie
Wanneer monitoring aangeeft dat de audit policy voor 'Other Logon/Logoff Events' niet correct is geconfigureerd op een of meer endpoints, is het belangrijk om snel te reageren en de configuratie te herstellen om te voorkomen dat er een beveiligingslek ontstaat waarbij authenticatiegebeurtenissen niet worden vastgelegd. De remediatieprocedure begint met het identificeren van de oorzaak van de afwijking, waarbij wordt onderzocht of de configuratie nooit correct is toegepast, of dat deze later is gewijzigd door een andere policy, handmatige wijziging, of een technisch probleem. Als de configuratie nooit correct is toegepast, kan dit wijzen op een probleem met de Intune-synchronisatie, waarbij de endpoint niet correct communiceert met de Intune-service, of dat de endpoint niet is toegewezen aan de juiste groep binnen Intune. In dit geval moet eerst worden gecontroleerd of de endpoint daadwerkelijk is ingeschreven in Intune en of deze is toegewezen aan de juiste Azure AD-groep of Intune-apparaatgroep die het apparaatconfiguratieprofiel ontvangt. Als de endpoint niet is toegewezen, moet deze worden toegevoegd aan de juiste groep, waarna de Intune-synchronisatie moet worden geforceerd door de endpoint handmatig te laten synchroniseren met Intune, of door te wachten op de volgende automatische synchronisatiecyclus. Als de configuratie later is gewijzigd, kan dit wijzen op een conflict met een andere apparaatconfiguratieprofiel, een Group Policy Object (GPO) die de audit policy overschrijft, of een handmatige wijziging door een lokale beheerder. In dit geval moet eerst worden onderzocht welke andere policies of configuraties mogelijk conflicteren met de Intune-configuratie, waarbij de prioriteit van policies moet worden gecontroleerd om te zorgen dat de Intune-configuratie de hoogste prioriteit heeft. Als er een GPO-conflict is, moet de GPO worden aangepast of verwijderd, of moet worden overwogen om de audit policy configuratie over te brengen naar Intune in plaats van GPO, zodat er een centrale beheeromgeving is. Voor handmatige wijzigingen moet worden onderzocht wie de wijziging heeft doorgevoerd en waarom, waarbij eventueel aanvullende beveiligingsmaatregelen moeten worden geïmplementeerd om te voorkomen dat lokale beheerders de audit policy kunnen wijzigen zonder autorisatie. Na het identificeren en oplossen van de oorzaak, kan de remediatie worden uitgevoerd met behulp van het PowerShell-script dat beschikbaar is in de code repository, waarbij de remediatie functie automatisch de audit policy configuratie herstelt op de betreffende endpoints. Het script controleert eerst de huidige configuratie, past vervolgens de audit policy aan naar de gewenste instelling (zowel geslaagde als mislukte gebeurtenissen), en verifieert ten slotte dat de wijziging correct is doorgevoerd. Na de remediatie moet de configuratie opnieuw worden gemonitord om te zorgen dat de wijziging persistent is en niet opnieuw wordt overschreven. Als de remediatie niet succesvol is, of als de configuratie herhaaldelijk wordt gewijzigd, moet een diepgaandere analyse worden uitgevoerd om de onderliggende oorzaak te identificeren, waarbij mogelijk aanvullende beveiligingsmaatregelen of configuratiewijzigingen nodig zijn om te zorgen dat de audit policy correct blijft geconfigureerd.
Gebruik PowerShell-script audit-other-logon-logoff-events-is-set-to-success-and-failure.ps1 (functie Invoke-Remediation) – Herstellen.
Compliance en Auditing
De implementatie van audit logging voor 'Other Logon/Logoff Events' is niet alleen een technische beveiligingsmaatregel, maar ook een essentiële vereiste voor compliance met verschillende Nederlandse en internationale beveiligingsstandaarden en regelgeving. Vanuit compliance-perspectief moet de organisatie kunnen aantonen dat zij beschikt over uitgebreide logging van authenticatiegebeurtenissen, zodat bij een audit of beveiligingsincident kan worden onderzocht wie wanneer toegang heeft gehad tot systemen en data. Voor Nederlandse overheidsorganisaties is de BIO Baseline Informatiebeveiliging Overheid van toepassing, specifiek controle 16.01 die vereist dat organisaties gebeurtenissen loggen en audittrails onderhouden voor alle kritieke systemen en applicaties. Deze controle vereist dat organisaties kunnen aantonen dat zij alle relevante gebeurtenissen vastleggen, inclusief authenticatiegebeurtenissen, en dat deze logs worden bewaard voor een bepaalde periode (doorgaans minimaal één jaar) en beschermd zijn tegen wijziging of verwijdering. De audit policy voor 'Other Logon/Logoff Events' draagt direct bij aan het voldoen aan deze vereiste, omdat het zorgt voor uitgebreide logging van alle authenticatiegebeurtenissen, inclusief Remote Desktop-verbindingen, VPN-verbindingen en andere authenticatiemethoden die mogelijk niet worden vastgelegd door de standaard logon audit policy. Naast de BIO Baseline is ook ISO 27001:2022 van toepassing, specifiek controle A.12.4.1 die vereist dat organisaties gebeurtenissen loggen en audittrails onderhouden. Deze controle vereist dat organisaties een loggingbeleid hebben dat definieert welke gebeurtenissen worden vastgelegd, hoe lang logs worden bewaard, en hoe logs worden beveiligd tegen wijziging of verwijdering. De implementatie van de audit policy moet daarom worden ondersteund door een formeel loggingbeleid dat documenteert welke audit policies zijn geïmplementeerd, waarom deze zijn geïmplementeerd, en hoe de gegenereerde logs worden gebruikt voor beveiligingsdoeleinden. Daarnaast is de Algemene Verordening Gegevensbescherming (AVG) van toepassing, waarbij organisaties moeten kunnen aantonen dat zij passende technische en organisatorische maatregelen hebben genomen om persoonsgegevens te beschermen. Uitgebreide audit logging is een belangrijke technische maatregel die bijdraagt aan het voldoen aan deze vereiste, omdat het organisaties in staat stelt om te detecteren wanneer onbevoegde personen toegang hebben gehad tot persoonsgegevens, of wanneer persoonsgegevens onterecht zijn geraadpleegd of gewijzigd. Voor compliance-doeleinden is het belangrijk om regelmatig te documenteren dat de audit policy correct is geconfigureerd op alle endpoints, waarbij wordt vastgelegd wanneer de configuratie is gecontroleerd, welke endpoints zijn gecontroleerd, en of er afwijkingen zijn gevonden. Deze documentatie moet worden bewaard als audit evidence, zodat bij een externe audit kan worden aangetoond dat de organisatie actief werkt aan het voldoen aan compliance-vereisten. Daarnaast moeten de gegenereerde audit logs zelf worden bewaard voor de vereiste bewaarperiode (minimaal één jaar volgens de BIO Baseline), waarbij moet worden gecontroleerd dat logs niet worden gewijzigd of verwijderd voordat de bewaarperiode is verstreken. Tot slot is het belangrijk om regelmatig compliance-rapportages op te stellen die documenteren hoe de audit logging bijdraagt aan het voldoen aan verschillende compliance-vereisten, waarbij wordt uitgelegd welke gebeurtenissen worden vastgelegd, hoe logs worden beveiligd, en hoe logs worden gebruikt voor beveiligingsdoeleinden, zodat management en stakeholders inzicht hebben in de compliance-status van de organisatie.
Compliance & Frameworks
- CIS M365: Control 18.9.19.2 (L1) - CIS Security Benchmark aanbevelingen
- BIO: 16.01 - BIO Baseline Informatiebeveiliging Overheid - 16.01 - Gebeurtenissen logging en audittrails
- ISO 27001:2022: A.12.4.1 - ISO 27001:2022 - Gebeurtenissen logging en audittrails
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Intune Audit Logging: Other Logon/Logoff Events
.DESCRIPTION
CIS - Audit other logon/logoff events Success and Failure.
.NOTES
Filename: audit-other-logon.ps1|Author: Nederlandse Baseline voor Veilige Cloud|AuditPol: Other Logon/Logoff Events|Expected: Success and Failure
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $Category = "Other Logon/Logoff Events"; $ExpectedValue = "Success and Failure"
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance {
$r = [PSCustomObject]@{ScriptName = "other-logon.ps1"; PolicyName = "Audit Other Logon"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; function Invoke-Revert { auditpol /set /subcategory:"$Category" /success:disable /failure:disable | Out-Null }
try { $audit = auditpol /get /subcategory:"$Category" /r | ConvertFrom-Csv; $setting = $audit.'Inclusion Setting'; $r.CurrentValue = $setting; if ($setting -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Audit: $setting" }else { $r.Details += "Audit: $setting" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r
}
function Invoke-Remediation { auditpol /set /subcategory:"$Category" /success:enable /failure:enable | Out-Null; Write-Host "Audit Other Logon: Success and Failure" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { auditpol /set /subcategory:"$Category" /success:disable /failure:disable | Out-Null }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
High: Zonder deze audit logging kunnen beveiligingsteams geen inzicht krijgen in verdachte inlogpogingen, ongeautoriseerde toegang of pogingen tot accountovername, wat de detectie en respons op beveiligingsincidenten ernstig belemmert en kan leiden tot niet-naleving van compliance-vereisten zoals de BIO Baseline en ISO 27001.
Management Samenvatting
Schakel in audit logging.
- Implementatietijd: 2 uur
- FTE required: 0.01 FTE