💼 Management Samenvatting
Deze maatregel borgt dat Windows-eindpunten elke succesvolle speciale aanmelding registreren, zodat forensisch onderzoek en nalevingsrapportages altijd over volledige logboekdata beschikken.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
7/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Windows
Aanvallen op beheerders- en serviceaccounts richten zich vaak op het onzichtbaar blijven; zonder betrouwbare auditregistratie lopen organisaties het risico dat misbruik pas laat wordt ontdekt en reconstructies falen.
PowerShell Modules Vereist
Primary API: Graph
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
De instelling configureert via Microsoft Intune en onderliggende Windows audit policies dat het onderdeel Special Logon standaard successen vastlegt, inclusief governance rondom uitrol, validatie en bewijsvoering volgens de Nederlandse Baseline voor Veilige Cloud.
Vereisten
Het borgen van audit logging voor speciale aanmeldingen vraagt om meer dan alleen een vinkje in het beleid. Organisaties moeten aantoonbaar beschikken over een actuele Windows Security Baseline die als referentie dient voor de gewenste instellingen, inclusief een goedgekeurde configuratiebibliotheek waar wijzigingen formeel worden vastgelegd. Daarnaast is een helder risicobeeld nodig waarin beschreven staat welke dreigingsscenario's relevant zijn voor beheerdersaccounts, service-accounts en noodaccounts en waarom het registreren van succesvolle speciale logons essentieel is voor het reconstrueren van incidenten. Zonder deze context degradeert de instelling tot een technisch detail dat weinig draagvlak geniet, waardoor beleidsverval op de loer ligt. Veranker daarom de maatregel expliciet in het organisatiebrede beveiligingsplan en wijs een verantwoordelijke eigenaar aan die jaarlijks evalueert of de dreigingsbeelden nog actueel zijn. Op organisatorisch niveau zijn duidelijke rollen en verantwoordelijkheden vereist. De CISO stelt kaders, maar de Intune-beheerder, Windows Platform Owner en SOC-analist dragen de praktische uitvoering. Zij hebben elk specifieke bevoegdheden nodig: het beheerteam moet wijzigingen in configuratieprofielen kunnen doorvoeren, het SOC-team moet toegang krijgen tot Log Analytics of een SIEM, en auditors moeten lees- en exportrechten krijgen. Deze rollen worden bekrachtigd via Role Based Access Control in Intune en Microsoft Entra ID, inclusief periodieke herbeoordeling van privileges. Een formeel changeproces met minimaal vier-ogenprincipe en een goedgekeurd test- en uitrolplan voorkomt dat afwijkende instellingen ongemerkt in productie belanden. Neem opleidingsplannen en awareness-sessies op in de jaarlijkse planning zodat nieuwe teamleden dezelfde kwaliteitslat hanteren. Technisch zijn een Microsoft Intune-licentie, Windows 10 of 11 Enterprise of Education, en een betrouwbare verbinding met de Microsoft Graph API noodzakelijk. Devices moeten hybrid Azure AD joined of Azure AD joined zijn en compliant rapporteren, zodat policies consistent worden afgedwongen. Verder is een Log Analytics workspace of vergelijkbaar opslagplatform vereist om de audit events met event ID 4964 structureel te verzamelen. Zorg dat netwerk- en firewallregels toestaan dat endpoints hun auditlogboeken kunnen doorsturen naar de ingestelde agent, en dat retentie-instellingen minimaal overeenkomen met de wettelijke bewaartermijn uit de BIO. Documenteer welke versies van Windows worden ondersteund, welke Intune-profielen of Configuration Service Providers worden ingezet en hoe uitzonderingen worden afgehandeld, bijvoorbeeld voor OT-apparatuur of geïsoleerde labomgevingen. Controleer vooraf of koppelingen met Microsoft Sentinel, Splunk of andere SIEM-oplossingen de extra logvolumes aankunnen. Tot slot zijn ondersteunende middelen essentieel: een up-to-date draaiboek waarin de configuratie-instellingen, validatiestappen, rollback-procedures en escalatieroutes staan beschreven; trainingsmateriaal voor beheerders en security-analisten zodat zij de betekenis van de extra auditgegevens begrijpen; en een communicatieplan richting proceseigenaren dat uitlegt welke persoonsgegevens worden vastgelegd en hoe deze worden beschermd conform AVG-artikel 32. Reserveer tijd in de capaciteitsplanning voor periodieke reviews, omdat audit policies evolueren zodra Microsoft nieuwe beveiligingsaanbevelingen publiceert. Definieer KPI's, zoals het percentage apparaten dat de policy toepast en het aantal incidenten waarbij auditdata beschikbaar was, zodat bestuurders inzicht krijgen in de effectiviteit van de investering. Pas als al deze organisatorische, technische en documentatievereisten aantoonbaar aanwezig zijn, kan de instelling duurzaam worden uitgerold.
Implementatie
Implementatie start met een grondige inventarisatie van bestaande audit policies op alle beheerde endpoints. Gebruik Microsoft Graph of lokale AuditPol.exe-exporten (bijvoorbeeld AuditPol.exe /get /category:*) om te controleren welke instellingen reeds actief zijn en documenteer afwijkingen. Analyseer tegelijkertijd de resultaten van een recente privilege access review om vast te stellen welke accounts onder de categorie speciale aanmelding vallen. Deze voorbereiding voorkomt dat het nieuwe Intune-profiel per ongeluk andere auditcategorieën overschrijft of dat uitzonderingsgroepen worden vergeten. Leg de beslissingen vast in het wijzigingsdossier, inclusief de rationale waarom Audit Special Logon zowel succes- als foutcondities moet registreren. Door vooraf een checklist te definiëren kan het CAB snel beoordelen of de implementatie volledig is doordacht. Daarna definieer je in Intune een nieuw apparaatconfiguratieprofiel op basis van het Windows Security Baseline of het type custom OMA-URI-policy. Kies voor het platform Windows 10 en later, selecteer het configuratiegebied Endpoint Protection en activeer onder Audit Policy dezelfde waardes als in de baseline. Wanneer een custom policy nodig is, gebruik je de OMA-URI ./Device/Vendor/MSFT/Policy/Config/Audit/Policy/IncludeSpecialLogonSuccess met waarde true, eventueel aangevuld met aanvullende subcategorieën voor foutcondities. Koppel het profiel aan een dynamische groep met alle Tier-0 en Tier-1 systemen, maar sluit gevoelige testomgevingen uit totdat validatie is afgerond. Zorg dat versiebeheer wordt toegepast zodat elke wijziging aan het profiel traceerbaar blijft en stel notificaties in wanneer iemand het profiel probeert te bewerken buiten het change-venster. Voordat het profiel breed wordt uitgerold, voer je een gefaseerde validatie uit. Begin met een kleine pilotgroep, forceer een synchronisatie via de Intune-bedrijfsportal of het commando dsregcmd /sync, en controleer na dertig minuten of de instelling is toegepast door AuditPol /get /subcategory:Special Logon te draaien. Laat een tweede persoon de resultaten bevestigen en voer ten minste één gesimuleerd scenario uit waarbij een beheerder zich meldt via Remote Desktop, PowerShell Remoting of een JIT-verbinding vanuit Privileged Identity Management. De succesvolle login moet zichtbaar worden in het Windows Event Log onder Security, event ID 4964, en de log moet worden doorgestuurd naar Log Analytics of Microsoft Sentinel. Documenteer screenshots of loguitvoer als bewijslast en bevestig dat andere auditcategorieën niet onbedoeld zijn gewijzigd. Leg de testresultaten vast in het CAB-verslag zodat audits later kunnen aantonen dat de wijziging gecontroleerd is uitgevoerd. Zodra de validatie slaagt, plan je de gefaseerde uitrol in change windows met duidelijke communicatie naar beheerteams en eindgebruikersvertegenwoordigers. Maak gebruik van het script code/intune/audit-logging/audit-special-logon-is-set-to-include-success.ps1 om de configuratie geautomatiseerd te verifiëren en bij afwijkingen automatisch correcties uit te voeren. Integreer het script in de bestaande CI/CD-pijplijn of gebruik het binnen Azure Automation zodat iedere nieuwe device-registratie direct wordt gecontroleerd. Beschrijf in het runbook hoe het script lokaal kan worden gedraaid met debuginstellingen en welke parameters zijn toegestaan, zodat beheerders consistent werken. Sluit af met een lessons-learned-sessie en een bijgewerkte configuratiestandaard in het kennisportaal, zodat toekomstige projecten dezelfde aanpak kunnen herhalen zonder opnieuw het wiel uit te vinden. Communiceer de afgeronde uitrol richting CISO en auditteam, inclusief de datum waarop honderd procent dekking is bereikt.
Gebruik PowerShell-script audit-special-logon-is-set-to-include-success.ps1 (functie Invoke-Monitoring) – Monitoren.
monitoring
Monitoring van deze instelling richt zich op het continu aantonen dat alle relevante systemen succesvolle speciale logons registreren en dat de data bruikbaar is voor detecties. Start met het inrichten van een Log Analytics workspace of SIEM-usecase waarin event ID 4964 minimaal dertien maanden wordt bewaard, gelijk aan de BIO-eis voor kritieke logboeken. Beschrijf in het usecasedocument welke hypothesen je wilt toetsen, bijvoorbeeld het plotseling toenemen van speciale aanmeldingen buiten kantooruren of vanaf niet-beheerde locaties. Een goed begrip van normale patronen is noodzakelijk om ruis te beperken, dus verzamel minimaal een maand referentiedata voordat drempels definitief worden ingesteld. Neem in de dataclassificatie op dat deze logs gevoelige informatie kunnen bevatten over beheerdersidentiteiten en behandel ze daarom als intern vertrouwelijk. Koppel vervolgens diagnostische instellingen of de Windows Monitoring Agent zodat de Security-eventlog realtime wordt verzonden naar de centrale opslag. Definieer Kusto-query's die controleren of elk apparaat in de scope minimaal één keer per dag een heartbeat en relevante audit events aanlevert. Stel waarschuwingen in die afgaan wanneer een apparaat gedurende vierentwintig uur geen event ID 4964 heeft verstuurd, want dat kan duiden op een uitgeschakelde audit policy of een geblokkeerde log forwarding route. Voeg aanvullende signalen toe, zoals meldingen wanneer plotseling meerdere speciale logons plaatsvinden vanaf dezelfde bronhost of wanneer een aanmelding wordt uitgevoerd buiten het goedgekeurde changewindow. Documenteer de alertparameters, notificatiekanalen en escalatieroutes in het SOC-handboek en zorg dat deze jaarlijks worden getest. Breid de monitoring uit met gedragsanalyses. Maak dashboards waarop beheerdersaccounts, noodaccounts en service-accounts afzonderlijk worden weergegeven, inclusief geografische herkomst, gebruikte authenticatiemethoden en correlatie met ticketnummers. Combineer de auditdata met Microsoft Entra ID sign-in logs, Defender for Endpoint signalen en Privileged Identity Management-activiteiten, zodat analisten directe context krijgen. Gebruik hunting-query's om patronen te detecteren die kunnen wijzen op pass-the-hash, golden ticket of andere laterale bewegingsscenario's. Leg ook vast hoe false positives worden gemarkeerd en welke criteria worden gebruikt om een incident te sluiten of juist op te schalen naar een forensisch onderzoek. Door lessons learned te registreren in het knowledge management-systeem blijft de kwaliteit van de detecties hoog. Om de kwaliteit van de monitoring voortdurend te verbeteren, automatiseer je de controles met het script audit-special-logon-is-set-to-include-success.ps1 in de modus Invoke-Monitoring. Het script kan via Graph API of Log Analytics API valideren of apparaten nog steeds voldoen en de resultaten opnemen in een Power BI-rapportage. Plan een wekelijks overleg tussen het Intune-team en het SOC waarin afwijkingen worden besproken, lessons learned worden vastgelegd en eventuele aanpassingen aan de query's worden goedgekeurd. Voeg prestatie-indicatoren toe, zoals het percentage apparaten met recente events en de gemiddelde tijd tussen detectie en triage, zodat bestuurders inzicht krijgen in de effectiviteit van de monitoring. Deze governance borgt dat de monitoring niet alleen technisch functioneert, maar ook aansluit bij de bredere detectiestrategie van de organisatie. Evalueer ieder kwartaal of nieuwe Microsoft-adviezen of wijzigingen in de BIO aanvullende controledoelen vereisen.
Gebruik PowerShell-script audit-special-logon-is-set-to-include-success.ps1 (functie Invoke-Monitoring) – Controleren.
Remediatie
Een gedegen remediatieproces begint zodra monitoring een afwijking detecteert, bijvoorbeeld wanneer een apparaat geen succesvolle speciale logons rapporteert. Het SOC opent direct een incident in het ticketsysteem, koppelt het aan het relevante change- of probleemrecord en classificeert de impact op basis van het aantal getroffen systemen. De eerste stap is het valideren of het signaal legitiem is door het auditpolicy-profiel te controleren in Intune en de lokale status op het apparaat te vergelijken. Documenteer ondertussen alle bevindingen zodat later kan worden aangetoond dat de organisatie aantoonbaar in controle is. Indien de afwijking zich beperkt tot één apparaat, overweeg dan een snelle herconfiguratie buiten het reguliere changewindow op basis van een vooraf goedgekeurde standaardwijziging en leg ook vast welke uitzonderingen zijn gemaakt. Wanneer blijkt dat meerdere apparaten zijn geraakt, start het remediatieteam een rootcauseanalyse. Mogelijke oorzaken zijn een mislukte policy-deployment, een conflict met een on-premises Group Policy, of een recente update die auditinstellingen heeft teruggezet. Gebruik het script audit-special-logon-is-set-to-include-success.ps1 in de modus Invoke-Remediation om de correcte waarden opnieuw te pushen en de resultaten te loggen. Het script moet altijd getest worden met lokale debuginstellingen voordat het op schaal wordt ingezet, zodat onverwachte foutmeldingen tijdig worden onderschept. Leg in het runbook uit welke parameters gebruikt mogen worden, hoe foutcodes geïnterpreteerd worden en wanneer een herstart vereist is. Houd rekening met onderhoudsvensters van bedrijfskritische applicaties zodat herstelwerkzaamheden geen verstoring veroorzaken. Naast de technische herstelacties hoort er een communicatiestroom richting stakeholders te zijn. Informeer de CISO en de proceseigenaren van kritieke systemen zodra blijkt dat auditlogs tijdelijk onvolledig zijn, omdat dit gevolgen kan hebben voor forensische onderzoeken of compliance-audits. Documenteer welke periodes ontbreken en zet aanvullende containmentmaatregelen klaar, bijvoorbeeld het tijdelijk verhogen van monitoring op identiteitsbeheersystemen. Indien blijkt dat een kwaadwillende actor doelbewust audit logging heeft uitgeschakeld, schakel dan onmiddellijk het Computer Security Incident Response Team in en volg het forensische draaiboek. Bewaar alle relevante bewijsstukken in een afgeschermde opslag, betrek juridische adviseurs waar nodig en houd rekening met de keten van bewaring. Na voltooiing van de remediatiefase vindt een formele evaluatie plaats. Controleer of alle apparaten weer conforme instellingen hebben en verzamel bewijs in de vorm van AuditPol-exports, Intune-compliance rapportages en SIEM-dashboards. Werk de configuration management database bij zodat toekomstige audits direct zien dat het issue is opgelost. Documenteer lessons learned, zoals de noodzaak van aanvullende health-checks of een aangescherpte change control op baseline-profielen, en vertaal deze naar concrete verbeteracties met eigenaars en deadlines. Monitor de opvolging van deze acties via het reguliere risicoregister en sluit het incident pas wanneer alle maatregelen zijn afgerond en geverifieerd.
Gebruik PowerShell-script audit-special-logon-is-set-to-include-success.ps1 (functie Invoke-Remediation) – Herstellen.
Compliance en Auditing
De naleving van deze maatregel moet aantoonbaar aansluiten op zowel internationale als Nederlandse kaders. Voor CIS Control 18.9.19.2 wordt verwacht dat organisaties kunnen laten zien dat de auditcategorie Special Logon consequent is ingeschakeld op alle relevante endpoints en dat wijzigingen via een gecontroleerd proces verlopen. Documenteer daarom per configuratieprofiel wanneer het is aangemaakt, wie het heeft goedgekeurd en welke wijzigingsverzoeken zijn afgehandeld. Voeg screenshots van Intune-profielen, exports van Graph API-calls en resultaten van geautomatiseerde controles toe aan het auditdossier. Hiermee bewijs je dat de technische inrichting overeenkomt met de richtlijnen van de Nederlandse Baseline voor Veilige Cloud en dat beheerdersactiviteiten herleidbaar zijn. Ook de BIO stelt eisen aan gebeurtenisregistratie, onder meer in controle 16.01. Deze schrijft voor dat beveiligingsrelevante gebeurtenissen volledig, tijdig en manipulatierobust moeten worden vastgelegd. Beschrijf in je beleid hoe de extra auditlogs worden beschermd tegen ongeautoriseerde wijziging, welke toegangsrechten gelden voor SOC-analisten, en hoe versleuteling en retentie zijn geregeld in Log Analytics of het gekozen SIEM. Neem procedures op voor periodieke steekproeven waarbij auditors controleren of logboeken integraal aanwezig zijn en of correlatie naar identiteiten mogelijk is. Koppel deze procedures aan het interne auditplan zodat ze minimaal jaarlijks worden uitgevoerd en aangetoond kan worden dat de logketen betrouwbaar is. ISO 27001:2022 control A.12.4.1 vereist eveneens een aantoonbaar beheerste loggingomgeving. Toon aan dat het loggingproces onderdeel is van de ISMS-cyclus door risicoanalyses, maatregelen en evaluaties te koppelen aan de PDCA-structuur. Leg uit hoe incidenten rondom audit logging worden opgenomen in de managementreview en hoe corrigerende maatregelen worden opgevolgd. Besteed aandacht aan privacy-aspecten: organiseer een Data Protection Impact Assessment wanneer de logs persoonsgegevens zoals gebruikersnamen of machine-identificaties bevatten, en leg vast hoe toegangslogs kunnen worden verstrekt bij AVG-inzageverzoeken zonder dat de integriteit van het systeem in gevaar komt. Versterk de compliancepositie door heldere audit evidence te verzamelen. Bewaar policy-documenten, change requests, bewijs van succesvolle Intune-deployments, resultaten van het monitoringsscript en exports van event ID 4964 in een centraal dossier met versiebeheer. Gebruik checklists die inspecteurs kunnen afvinken, zodat direct zichtbaar is dat alle controles zijn aangetoond. Stem de bewijsvoering af met zowel interne als externe auditors en betrek leveranciers wanneer zij onderdelen van de loggingketen beheren. Door deze transparante werkwijze wordt naleving niet alleen een verplichting, maar ook een stuurinstrument waarmee bestuurders real-time inzicht krijgen in de volwassenheid van hun audit logging. Evalueer ieder jaar of nieuwe wet- en regelgeving aanvullende documentatie vereist en actualiseer het dossier proactief.
Compliance & Frameworks
- CIS M365: Control 18.9.19.2 (L1) - CIS Security Benchmark aanbevelingen
- BIO: 16.01 - BIO Baseline Informatiebeveiliging Overheid - 16.01 - Gebeurtenissen logging en audittrails
- ISO 27001:2022: A.12.4.1 - ISO 27001:2022 - Gebeurtenissen logging en audittrails
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Intune Audit Logging: Special Logon Success
.DESCRIPTION
CIS - Audit special logon (elevated) Success.
.NOTES
Filename: audit-special-logon.ps1|Author: Nederlandse Baseline voor Veilige Cloud|AuditPol: Special Logon|Expected: Success
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $Category = "Special Logon"; $ExpectedValue = "Success"
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance {
$r = [PSCustomObject]@{ScriptName = "special-logon.ps1"; PolicyName = "Special Logon"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; function Invoke-Revert { auditpol /set /subcategory:"$Category" /success:disable | Out-Null }
try { $audit = auditpol /get /subcategory:"$Category" /r | ConvertFrom-Csv; $setting = $audit.'Inclusion Setting'; $r.CurrentValue = $setting; if ($setting -match $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Audit: $setting" }else { $r.Details += "Audit: $setting" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r
}
function Invoke-Remediation { auditpol /set /subcategory:"$Category" /success:enable | Out-Null; Write-Host "Special Logon: Success" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { auditpol /set /subcategory:"$Category" /success:disable | Out-Null }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
High: Zonder registratie van succesvolle speciale aanmeldingen ontbreekt forensische bewijsvoering, worden privilege-escalaties te laat ontdekt en kan niet worden voldaan aan BIO- en CIS-controles.
Management Samenvatting
Activeer en beheer auditlogging voor Special Logon via Intune met volledige governance en bewijsvoering.
- Implementatietijd: 2 uur
- FTE required: 0.01 FTE