💼 Management Samenvatting
Deze maatregel zorgt ervoor dat Windows endpoints binnen de Nederlandse Baseline voor Veilige Cloud een uniform auditprofiel gebruiken, zodat beveiligingsteams een volledig beeld houden van kritieke systeemgebeurtenissen en forensisch bewijs.
Aanbeveling
Implementeer het beleid en borg de beheerprocessen zodat auditlogging permanent actief blijft.
Risico zonder
High
Risk Score
7/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Windows
Door OneSettings auditing verplicht te activeren wordt elke wijziging aan beveiligingsinstellingen vastgelegd en kunnen organisaties aantonen dat zij voldoen aan BIO 16.01, CIS 18.9.19.2 en ISO 27001 A.12.4.1. De instelling verkleint het risico op ongeziene privilege-escapades, misbruik van lokale beheeraccounts en het verdwijnen van logboeken bij incidenten.
PowerShell Modules Vereist
Primary API: Graph
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
Het Intune configuratieprofiel zet de relevante OneSettings sleutels voor auditing geforceerd aan, koppelt ze aan beheerde apparaten en valideert continu of de beleidsstatus behouden blijft, zodat Windows werkplekken en beheersystemen altijd de vereiste loggegevens blijven produceren.
Vereisten
Om auditing in Windows via Intune betrouwbaar te activeren is een solide fundament nodig waarin beleidskaders, beheerprocessen en technische randvoorwaarden op elkaar aansluiten. Organisaties moeten eerst vastleggen welke compliance doelstellingen zij willen ondersteunen, bijvoorbeeld BIO 16.01, CIS 18.9.19.2 en ISO 27001 A.12.4.1. Vanuit dat kader worden de scope, betrokken businessunits en de minimale loggingseisen bepaald. Een formeel besluit van de CISO en de proceseigenaar van logging voorkomt dat de configuratie later ter discussie wordt gesteld en borgt dat budget en capaciteit beschikbaar blijven. Technisch gezien is een Microsoft Intune tenant vereist met Endpoint Security licenties die audit- en complianceprofielen ondersteunen, plus Windows 10 en Windows 11 Enterprise apparaten met een uniforme patchstand. Elk apparaat moet hybride of Azure AD joined zijn en beschikken over een betrouwbare verbinding met Microsoft Update en de Intune service. Daarnaast is het noodzakelijk dat Microsoft Defender for Endpoint of een vergelijkbare EDR-oplossing aanwezig is zodat auditlogboeken direct aan detectieregels kunnen worden gevoed. Voor omgevingen met netwerksegmentatie moeten firewallregels zijn gedocumenteerd die uitgaand verkeer naar de Intune MDM service toestaan. De functionele vereisten omvatten een duidelijke rolverdeling. Minimaal zijn een Intune Security Administrator, een Intune Reader voor onafhankelijke controle en een vertegenwoordiger van het SOC nodig. RBAC-groepen moeten beperken dat alleen bevoegde beheerders het auditprofiel mogen wijzigen. Change management moet de instelling opnemen als fast track wijziging met vooraf gedefinieerde goedkeuringscriteria. Het is verstandig om production readiness reviews uit te voeren waarin het securityteam bevestigt dat waarschuwingen, runbooks en escalatieprocedures zijn bijgewerkt op basis van de nieuwe auditgegevens. Aan de telemetriezijde dienen organisaties Microsoft Sentinel, Defender XDR of een ander SIEM in te richten dat de Windows eventlogs van Intune beheerde endpoints ontvangt. Hiervoor zijn diagnostische kanalen en data connectors noodzakelijk, inclusief retentiebeleid dat aansluit op de AVG en organisatiebrede archiefregels. Documenteer hoe logbronnen worden gevalideerd, hoe scheidingen tussen vertrouwelijkheidsniveaus worden aangebracht en hoe referentiegegevens zoals assettags en kritieke applicaties worden toegevoegd aan de logrecords. Zonder deze context is het moeilijk om auditdata daadwerkelijk te gebruiken voor forensisch onderzoek. Een andere vereiste is de beschikbaarheid van een representatieve test- of pilotomgeving. Hierin moeten minimaal drie apparaatprofielen aanwezig zijn: werkplekken voor kantoorautomatisering, privileged admin werkplekken en eventueel servers waarop Intune policies worden toegepast. De pilot moet scripts bevatten die het configuratieprofiel toepassen, logniveaus inspecteren en conflicten met bestaande hardening signaleren. Elke testresultaat moet worden vastgelegd in een testrapportage inclusief screenshots uit Intune, eventlogvoorbeelden en een risicoanalyse van gevonden issues. Pas na formele acceptatie mag de productie-uitrol starten. Tot slot zijn documentatie en bewustwording cruciale randvoorwaarden. Beveiligingsarchitecten moeten beschrijven hoe deze auditinstelling samenwerkt met andere controles zoals PowerShell script block logging en privileged access workstations. Service managers moeten runbooks bijwerken zodat helpdesks weten wat te doen wanneer gebruikers onverwachte logboeken of prestatie-impact melden. Trainingen voor beheerders en SOC-analisten moeten uitleggen hoe de nieuwe logtypes worden geïnterpreteerd, welke foutcodes relevant zijn en hoe een afwijking wordt geëscaleerd. Door deze organisatorische vereisten expliciet te borgen voorkomt men dat de technische configuratie verwatert of wordt uitgeschakeld tijdens incidenten.
Implementeeratie
Gebruik PowerShell-script Schakel in-onesettings-auditing-is-set-to-enabled.ps1 (functie Invoke-Monitoring) – De implementatie start met het script Schakel in-onesettings-auditing-is-set-to-enabled.ps1 dat fungeert als een gestandaardiseerd draaiboek voor Intune beheerders. Het script verzamelt eerst tenantinformatie, controleert of de vereiste Microsoft Graph permissies aanwezig zijn en valideert of de gebruikte account de rol van Intune Security Administrator of Policy and Profile Manager heeft. Daarna wordt een snapshot gemaakt van bestaande auditingprofielen zodat eventuele regressies later eenvoudig kunnen worden teruggedraaid. Deze voorbereidingsfase zorgt ervoor dat de wijziging altijd herleidbaar en reproduceerbaar is, zelfs wanneer meerdere beheerteams parallel werken.
Vervolgens maakt het script een configuratieprofiel aan op basis van het Windows 10 custom profile model. De JSON payload definieert de OneSettings sleutels die de auditingcomponent inschakelen, inclusief het vastzetten van logcategorieën en het forceren van betrouwbare kanaalinstellingen die kernevenementen registreren. Tijdens dit proces worden dynamische devicegroepen opgezocht die alle Windows endpoints met het label Baselines Audit bevatten, zodat alleen gekwalificeerde systemen het beleid ontvangen. Indien groepen ontbreken, maakt het script optioneel een tijdelijke groep inclusief query aan zodat het deploymentteam meteen over een doelpopulatie beschikt.
De implementatiestap bevat ingebouwde kwaliteitscontroles. Voordat het profiel naar productie wordt gepusht voert het script een dry run uit waarbij de policy via Graph wordt aangemaakt met de status assignment pending. Hiermee kan de beheerder nog wijzigingen aanbrengen zonder dat apparaten worden geraakt. Pas na een expliciete bevestiging vanuit de PowerShell prompt worden de assignments ingeschakeld. Elke actie wordt gelogd in zowel de console als een JSON logbestand dat in het change request kan worden toegevoegd. Dit logbestand bevat onder meer policy id's, gekozen devicegroepen en tijdstempels, waardoor auditors precies zien wanneer welke stap is uitgevoerd.
Tijdens de uitrol worden health checks opgestart. Het script controleert iedere vijf minuten of Intune de policy in de status pending of succeeded rapporteert en geeft waarschuwingen als apparaten langer dan een uur geen status terugleveren. De beheerder krijgt suggesties om bijvoorbeeld de Intune Management Extension te herstarten of een synchronisatie uit te voeren via remote actions. Door deze feedbacklus kan de implementatie versneld worden afgerond zonder handmatig alle apparaten in de portal te openen.
Een essentieel onderdeel is de integratie met runbooks en change management. Het script ondersteunt parameters waarmee een change id of referentienummer wordt meegegeven, zodat de uitvoer automatisch naar het centrale ticketingsysteem kan worden geüpload. Ook kan een communicatietemplate worden gegenereerd die via Teams of e-mail naar beheerdersgroepen wordt gestuurd met daarin planning, gevolgen en rollback instructies. Hierdoor sluit de technische implementatie naadloos aan op de organisatorische verantwoordelijkheden. Voor organisaties die met DevSecOps teams werken kan dezelfde module vanuit Azure DevOps of GitHub Actions worden aangeroepen, zodat configuratiewijzigingen onderdeel worden van de releasepijplijn en automatisch worden voorzien van kwaliteitscontroles.
Na succesvolle implementatie biedt het script een samenvattende rapportage. Hierin staan de toegepaste OneSettings keys, de lijst met toegewezen devices en de eerste tien apparaten die bevestigen dat auditing is ingeschakeld. Deze rapportage vormt het startpunt voor de monitoringfase en kan direct met het SOC worden gedeeld. Door het gehele proces met dit script te orkestreren ontstaat een herhaalbare, schaalbare en aantoonbaar gecontroleerde implementatie die aansluit bij de eisen van de Nederlandse Baseline voor Veilige Cloud..
monitoring
Gebruik PowerShell-script enable-onesettings-auditing-is-set-to-enabled.ps1 (functie Invoke-Monitoring) – Monitoring begint zodra de policy is uitgerold en richt zich op het voortdurend aantonen dat OneSettings auditing actief blijft. Het script enable-onesettings-auditing-is-set-to-enabled.ps1 verzamelt periodiek apparaatstatussen via Graph beta endpoints en vergelijkt die met de verwachte configuratiewaarden. Elk apparaat rapporteert welke auditcategorieën actief zijn, of eventlogstorages de juiste limieten hebben en of recente synchronisaties gelukt zijn. Het script schrijft deze gegevens naar een beveiligde storageaccount of Log Analytics workspace zodat zowel het SOC als het platformteam inzicht krijgt in compliancetrends zonder handmatige exports te hoeven draaien.
Een belangrijk onderdeel van monitoring is het combineren van configuratiegegevens met operationele signalen. Het script verrijkt elke status met gegevens uit Defender for Endpoint, waaronder de laatste sensorversie, openstaande waarschuwingen en eventuele tamper alerts. Hierdoor kan direct worden gezien of een foutieve auditingstatus samenhangt met malware, lokale policywijzigingen of beheeracties. Wanneer apparaten gedurende drie opeenvolgende polls niet voldoen aan de baseline wordt een adaptieve kaart naar Microsoft Teams gestuurd met daarin de risicobeoordeling, de eigenaar van het apparaat en voorgestelde vervolgacties. Dit verkleint de doorlooptijd tussen detectie en herstel aanzienlijk.
Voor auditors en compliance officers genereert het script maandelijkse samenvattingen. Hierin staan percentages compliant apparaten per organisatieonderdeel, trends in foutcodes en de status van archivering. De rapportages bevatten bovendien een overzicht van alle uitzonderingen die tijdelijk zijn goedgekeurd, inclusief looptijd en verantwoordelijke leidinggevende. Hierdoor kan tijdens audits snel worden aangetoond dat afwijkingen gecontroleerd en tijdelijk van aard zijn. De rapportages worden voorzien van digitale handtekeningen zodat duidelijk is dat er niet met de gegevens is gemanipuleerd.
Monitoring beperkt zich niet tot technische signalen; ook gebruikerservaring is belangrijk. Daarom integreert het script met Microsoft 365 service health data om te zien of er storingen zijn die logverzameling kunnen hinderen. Bij prestatieproblemen of volle schijven adviseert het script automatisch om logrotation of archivering te versnellen en stuurt het instructies naar het lokale supportteam. Deze instructies zijn afgestemd op Nederlandse servicedesks en verwijzen naar runbooks waarin staat hoe logboekgroottes worden gecontroleerd via PowerShell of Intune Remote Help.
Daarnaast levert het script dashboards die in Power BI of Sentinel workbooks kunnen worden geladen. Deze visualisaties tonen heatmaps per regio, laten zien welke afdelingen herstelacties open hebben staan en vergelijken de auditdekking met kritieke bedrijfsprocessen. Door KPI's zoals tijd tot detectie van afwijkende instellingen en percentage systemen met recente loguploads standaard te tonen, krijgen CISO's en lijnmanagers een gedeelde taal om voortgang te bespreken. Wanneer KPI's onder vooraf ingestelde drempels zakken wordt automatisch een verbeterplan aangemaakt in Planner of Azure Boards.
Omdat lessons learned snel verloren gaan publiceert het script na elke cyclus een knowledgebase artikel waarin de belangrijkste bevindingen, gebruikte query's en toegepaste automation runbooks worden gedocumenteerd. Deze artikelen worden gekoppeld aan het SOC handboek zodat nieuwe analisten direct zien welke correlatieregels beschikbaar zijn en hoe escalaties verlopen. Dit versnelt onboarding en zorgt ervoor dat expertise rond auditlogging breed wordt gedeeld binnen de organisatie.
Tot slot borgt het script dat alle ruwe gegevens veilig worden opgeslagen. Iedere monitoringrun levert een json- en csv-bestand op die in een afgesloten SharePoint bibliotheek worden geplaatst. Het script controleert of de bewaartermijnen overeenkomen met de AVG richtlijnen en stuurt waarschuwingsmails als records dreigen te verlopen. Door deze continue toezichtcyclus ontstaat een aantoonbare keten van controle, van configuratie tot rapportage, waardoor bestuurders vertrouwen houden dat auditlogging daadwerkelijk actief is en blijft..
Remediatie
Gebruik PowerShell-script enable-onesettings-auditing-is-set-to-enabled.ps1 (functie Invoke-Remediation) – Remediatie draait om het herstellen van systemen die afwijken van de baseline en vereist een gestructureerde aanpak. Het script enable-onesettings-auditing-is-set-to-enabled.ps1 bevat een herstelmodus waarin het eerst volledige inventarisaties uitvoert. De module haalt alle apparaten op die in monitoring als non compliant zijn aangemerkt, controleert of zij bereikbaar zijn en bepaalt welk herstelpad geschikt is. Voor standaardwerkplekken betekent dit het opnieuw pushen van het Intune profiel met verhoogde prioriteit, terwijl privileged admin werkplekken een extra goedkeuringsstap doorlopen zodat kritieke beheersessies niet onverwacht worden onderbroken.
Wanneer een apparaat aantoonbaar buiten beheer is geraakt voert het script correctieve acties uit op het systeem zelf. Via de Intune Management Extension wordt een PowerShell payload gestart die lokale policies reset, relevante registrywaarden forceert en services herstart die auditlogboeken versturen. Elk herstelcommando wordt voorzien van logging, inclusief de originele waarde, de nieuwe ingestelde waarde en de gebruiker die het proces heeft gefiatteerd. Hierdoor kan achteraf altijd worden geverifieerd of de herstelactie zorgvuldig en conform beveiligingsbeleid is uitgevoerd.
Het script voorziet in verschillende escalatiepaden. Als een apparaat ondanks twee herstelpogingen niet reageert wordt automatisch een incident aangemaakt in het ITSM systeem met categorie Security Configuration Drift. Het ticket bevat diagnoseresultaten, verzamelde logbestanden en een voorstel voor onsite ondersteuning of herinstallatie. Voor hoogrisicosystemen kan een automatische netwerkisolatie via Defender for Endpoint worden gestart totdat een beheerder bevestigt dat auditing weer actief is. Zo voorkomen we dat systemen zonder logging operationeel blijven.
Communicatie is tijdens remediatie cruciaal. Het script verstuurt statusupdates naar zowel de eigenaar van het apparaat als het SOC, inclusief geplande acties en verwachte impact. Wanneer gebruikers hinder kunnen ondervinden wordt een klantvriendelijke uitleg meegestuurd waarin staat waarom logging verplicht is en welke stappen worden uitgevoerd. Dit verhoogt begrip en voorkomt dat gebruikers herstelacties voortijdig annuleren. Tegelijkertijd ontvangen lijnmanagers een samenvattend overzicht zodat zij capaciteit kunnen vrijmaken voor lokale ondersteuning.
Elke remediatiecyclus wordt afgesloten met kwaliteitscontrole. Het script voert validatiecommando's uit die eventlogs uitlezen, lokale policies vergelijken met de referentieconfiguratie en een proefgeneratie van auditrecords uitvoeren. De resultaten worden opgeslagen als bewijsstuk in het change record en gedeeld met auditors. Indien tijdens de validatie nieuwe issues aan het licht komen kan het script automatisch een vervolgactie plannen, bijvoorbeeld het schedulen van een herstart of het vervangen van foutieve drivers die logging blokkeren.
Daarnaast stimuleert het script root cause analyse. Bij elke herstelactie wordt gevraagd naar een categorie voor de oorzaak, variërend van menselijke fout en verouderde software tot ongeautoriseerde tooling. Deze metadata vloeit door naar Power BI dashboarding zodat trends zichtbaar worden. Wanneer bijvoorbeeld blijkt dat een specifieke softwareversie herhaaldelijk auditing uitschakelt kan het pakket worden opgenomen in het vulnerability management programma. Op die manier leidt remediatie tot structurele verbeteringen in plaats van louter symptoombestrijding.
Tot slot voorziet het script in kennisborging. Alle acties worden als stap voor stapverslag opgeslagen in een beveiligde SharePoint bibliotheek met versiebeheer, aangevuld met screenshots en logfragmenten. Nieuwe beheerders kunnen deze dossiers gebruiken om best practices te leren en om toekomstige herstelacties sneller af te ronden. Door deze geautomatiseerde en gedocumenteerde herstelstroom te volgen blijft auditlogging niet alleen technisch actief maar ook organisatorisch geborgd. De combinatie van Intune, PowerShell en ITSM integraties zorgt ervoor dat elk afwijkingstraject traceerbaar is en dat bestuurders realtime inzicht krijgen in risico's en herstelvoortgang..
Compliance en Auditing
Het nalevingskader voor deze instelling verbindt de technische auditconfiguratie rechtstreeks met de wettelijke verplichtingen die gelden voor Nederlandse overheden en vitale leveranciers. Door OneSettings auditing te activeren kunnen organisaties aantonen dat zij volgens BIO 16.01 en ISO 27001 A.12.4.1 continu inzicht hebben in systeemgebeurtenissen. Het beleid moet beschrijven welke gebeurtenissen minimaal worden opgeslagen, hoe authenticatiepogingen, privilege escalaties en configuratiewijzigingen worden gelogd en hoe lang die gegevens worden bewaard. Door deze kaders vast te leggen ontstaat een duidelijke link tussen de controlestap en de toetsingscriteria van interne en externe auditors. Compliance vraagt bovendien om een gedetailleerde beschrijving van rollen en verantwoordelijkheden. Het is essentieel dat het beleid benoemt wie eigenaar is van de auditconfiguratie, wie de monitoring uitvoert en wie herstelacties autoriseert. Deze rolverdeling dient te worden bekrachtigd in een mandaat van de CISO zodat bevoegdheden niet ter discussie staan. Binnen de context van de Nederlandse Baseline voor Veilige Cloud betekent dit dat lijnmanagers verplicht zijn wijzigingen in auditinstellingen vooraf te laten goedkeuren en dat uitzonderingen alleen tijdelijk en met expliciete compensatiemaatregelen mogen worden toegestaan. Ook moet de documentatie ingaan op gegevensbescherming. Auditlogboeken bevatten vaak persoonsgegevens zoals gebruikersnamen of apparaatidentificaties. Daarom hoort het beleid AVG maatregelen te benoemen, waaronder minimale retentietermijnen, procedures voor inzageverzoeken en de manier waarop logbestanden worden geanonimiseerd wanneer zij worden gebruikt voor trainingen of externe onderzoeken. Door encryptie van logtransport en rolgebaseerde toegang tot SIEM systemen op te nemen in de beleidsparagrafen tonen organisaties aan dat zij vertrouwelijkheid en integriteit waarborgen. Auditeerbaarheid staat of valt met bewijsvoering. Het beleid moet voorschrijven dat elke wijziging aan auditinstellingen wordt geregistreerd in het change management systeem, inclusief goedkeuringen, testresultaten en rollbackplannen. Daarnaast hoort er een standaard te zijn voor het verzamelen van auditbewijs: exports uit Intune met policy statussen, rapportages uit Sentinel of een andere SIEM en screenshots van eventloginstellingen op representatieve apparaten. Door deze bewijsstukken periodiek te vernieuwen kunnen auditors zonder vertraging toetsen of de controle werkt zoals beschreven. Het nalevingshoofdstuk hoort verder de koppeling te leggen met ketenpartners. Veel overheidsorganisaties werken met uitbestede werkplekbeheerders of shared service centers. Het beleid moet expliciet maken hoe contractuele afspraken in SLA's en DPIA's vastleggen dat de dienstverlener de auditinginstelling niet mag wijzigen zonder toestemming. Tevens moeten rapportagecycli worden afgestemd zodat leveranciers maandelijks een bewijsset opleveren die aansluit op interne formats. Dit voorkomt discussies tijdens accountantscontroles en versnelt certificeringsaudits. Organisaties doen er goed aan een jaarlijkse onafhankelijke toets uit te voeren, bijvoorbeeld door Internal Audit of een externe partij, om verificatie te doen van zowel de configuratie als de effectiviteit van de logging. Het beleid hoort te beschrijven hoe dergelijke reviews worden gepland, welke steekproeven worden genomen en hoe bevindingen worden opgevolgd. Door expliciet te eisen dat verbetermaatregelen binnen vastgestelde termijnen worden afgerond blijft de auditketen continu verbeteren. Tot slot moet de documentatie beschrijven hoe continue verbetering plaatsvindt. Dit omvat jaarlijkse herzieningen van het beleid, lessons learned na incidenten en KPI's die aantonen of auditlogging volwassen is. Denk aan indicatoren zoals het percentage apparaten met actuele logging, de tijd tot herstel en het aantal goedgekeurde uitzonderingen. Door deze indicatoren te koppelen aan de governancecyclus blijft de organisatie aantoonbaar in control en sluit de technische maatregel perfect aan op de strategische compliance doelstellingen.
Compliance & Frameworks
- CIS M365: Control 18.9.19.2 (L1) - CIS Security Benchmark aanbevelingen
- BIO: 16.01 - BIO Baseline Informatiebeveiliging Overheid - 16.01 - Gebeurtenissen logging en audittrails
- ISO 27001:2022: A.12.4.1 - ISO 27001:2022 - Gebeurtenissen logging en audittrails
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Intune Audit Logging: OneSettings Auditing Enabled
.DESCRIPTION
CIS - OneSettings auditing voor cloud-connected settings.
.NOTES
Filename: audit-onesettings.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Feature: OneSettings|Expected: Auditing Enabled
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\CloudContent"; $RegName = "DisableWindowsConsumerFeatures"; $ExpectedValue = 1
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance {
$r = [PSCustomObject]@{ScriptName = "onesettings.ps1"; PolicyName = "OneSettings Auditing"; IsCompliant = $false; CurrentValue = $null; Details = @() }; function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (Test-Path $RegPath) { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue; if ($v) { $r.IsCompliant = $true; $r.Details += "OneSettings configured" }else { $r.Details += "Niet geconfigureerd" } }else { $r.Details += "Niet geconfigureerd" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r
}
function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "OneSettings auditing configured" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
High: Zonder deze controle ontbreken forensische gegevens, blijven privilege misbruiken onzichtbaar en kan de organisatie geen naleving aantonen tijdens BIO of ISO audits.
Management Samenvatting
Forceer OneSettings auditing via Intune, controleer de status continu en herstel afwijkingen direct.
- Implementatietijd: 2 uur
- FTE required: 0.01 FTE