Object Access Audit Detailed File Share Ingesteld Op Inclusief Mislukte Pogingen

Deze instelling is onderdeel van de Windows security baseline en beschermt tegen bekende aanvalsvectoren door het afdwingen van uitgebreide audit logging configuraties. Het vastleggen van mislukte toegangspogingen tot bestandsdelings is essentieel voor het detecteren van verdachte activiteiten, zoals herhaalde pogingen tot ongeautoriseerde toegang of reconnaissance activiteiten door aanvallers.

Implementatie

Deze regel configureert object access audit detailed file share om ingesteld te worden op inclusief mislukte pogingen via Microsoft Intune apparaatconfiguratiebeleid of compliance policies om Windows endpoints te beveiligen volgens beveiligingsbest practices. Hierdoor worden alle toegangspogingen tot bestandsdelings, ongeacht of ze succesvol zijn of niet, vastgelegd in de Windows Security Event Log voor analyse door security teams.

Vereisten

De vereisten voor een robuuste configuratie van audit logging rondom gedetailleerde bestandsdeling op Windows endpoints zijn omvangrijker dan vaak wordt aangenomen en beginnen met een solide licentiepositie. Elke organisatie moet beschikken over Microsoft Intune via Microsoft 365 E3, E5 of een gelijkwaardige Enterprise Mobility + Security suite, omdat alleen dan de benodigde apparaatconfiguratieprofielen kunnen worden uitgerold en centraal gemonitord. Tegelijkertijd moet de tenant-inrichting volwassen genoeg zijn om verschillende managementrollen te scheiden: een Intune-beheerteam dat profielen bouwt, een security governance-team dat de beleidskaders opstelt en een compliancefunctie die de naleving toetst. Zonder duidelijke rolverdeling ontstaan blinde vlekken in verantwoordelijkheid, waardoor audit policies gemakkelijk kunnen verzwakken bij wijzigingen in projectteams of leveranciers. Minstens zo belangrijk zijn de technische randvoorwaarden op de endpoints zelf. De apparaten moeten draaien op ondersteunde edities van Windows 10 of Windows 11 die Advanced Audit Policy Configuration ondersteunen. Apparaten die zijn gekoppeld aan oudere on-premises domeinen dienen hybride te zijn geregistreerd, zodat Intune-instellingen daadwerkelijk prioriteit krijgen boven klassieke Group Policy Objects. In veel Nederlandse overheidsomgevingen is bovendien nog sprake van variatie in hardwaregeneraties, waardoor het essentieel is om vooraf te toetsen of netwerkdrivers en antivirusoplossingen geen latency toevoegen bij verhoogd logvolume. Deze toetsing hoort thuis in een formeel testplan en moet aantonen dat de toegenomen hoeveelheid 5145-events geen impact heeft op kritieke werkprocessen, bijvoorbeeld bij rechercheteams of burgerzakenbalies. De vereisten reiken verder dan techniek. Er moet een vastgesteld audit logging beleid zijn waarin expliciet staat welke bestandsdeling-activiteiten worden gezien als veiligheidsmaatregel, hoe lang de logs worden bewaard en wie toegang heeft tot deze gegevensstromen. Voor instellingen binnen de rijksoverheid betekent dit dat de beleidsstukken moeten verwijzen naar de Baseline Informatiebeveiliging Overheid (BIO) en de onderliggende objectieve controles, zodat auditors kunnen herleiden waarom bepaalde instellingen verplicht zijn gesteld. Het beleid moet eveneens beschrijven welke uitzonderingen mogelijk zijn, bijvoorbeeld voor testomgevingen of geïsoleerde OT-netwerken, en welke procedure wordt gevolgd om zulke uitzonderingen tijdelijk toe te staan zonder dat de organisatie de regie verliest. Daarnaast is er een operationele voorwaarde: de beschikbaarheid van een Security Information and Event Management-oplossing of een gelijkwaardig logplatform. Deze infrastructuur moet real-time analyses én langdurige opslag faciliteren, gezien de wettelijke retentie-eisen die oplopen tot meerdere jaren wanneer strafrechtelijke onderzoeksplichten van kracht zijn. Het platform moet in staat zijn correlaties te leggen tussen mislukte bestandsdelingspogingen, authenticatiegegevens en netwerklogs, zodat analisten binnen minuten inzicht hebben in een mogelijke aanvalsketen. Zonder deze correlatiemogelijkheid blijft het verzamelen van 5145-events een papieren maatregel zonder tastbare beveiligingswaarde. Tot slot vereist dit thema een volwassen change- en releaseproces. Elke wijziging aan audit policies moet worden geregistreerd, getest in een gecontroleerde pilotgroep en gedocumenteerd met terugvalscenario's. Het beheerteam moet beschikken over geautomatiseerde validatiescripts, zodat na iedere wijziging kan worden aangetoond dat de instelling daadwerkelijk actief is op een representatieve steekproef van apparaten. Deze governance- en kwaliteitsborgingsvereisten vormen samen het fundament waarop de technische configuratie kan rusten en garanderen dat de organisatie duurzaam aan de Nederlandse Baseline voor Veilige Cloud blijft voldoen. Een vaak onderschat vereiste is de beschikbaarheid van deskundige medewerkers. Beveiligingsspecialisten moeten de betekenis van event ID 5145 kunnen duiden, servicedesks moeten gebruikersvragen over plotselinge blokkeringsmeldingen kunnen beantwoorden en architecten moeten begrijpen hoe deze logging samenhangt met bredere Zero Trust-principes. Daarom hoort training onderdeel te zijn van de randvoorwaarden: nieuwe medewerkers volgen een onboardingmodule over audit logging, terwijl ervaren beheerders jaarlijks worden bijgepraat over wijzigingen in Microsoft-diensten. Door kennis als structureel vereiste te beschouwen, voorkomt de organisatie dat de maatregel na verloop van tijd verwatert. Ten slotte moeten leveranciers- en contractafspraken worden herzien. Wanneer externe IT-partners beheer uitvoeren op werkplekken of fileservers, moet in de contracttekst worden vastgelegd dat zij auditinstellingen niet mogen wijzigen zonder voorafgaande goedkeuring en dat zij noodzakelijke logbestanden tijdig aanleveren voor onderzoeken. Dit borgt dat de technische vereisten niet enkel intern worden gedragen, maar door de volledige keten worden nageleefd.

Implementatie

Een zorgvuldige implementatie van deze auditpolicy begint met een heldere blauwdruk waarin wordt vastgelegd welke generaties Windows-apparaten worden meegenomen, welke pilotscenario's noodzakelijk zijn en hoe de organisatie omgaat met uitzonderingen. Binnen het Intune Admin Center wordt een nieuw platformprofiel aangemaakt op basis van de catalogusinstellingen voor Windows 10 en hoger. Daarin wordt de categorie Audit instellen gekozen, waarna de subcategorie Object Access zichtbaar wordt en de instelling Audit Detailed File Share kan worden geconfigureerd op Succes en Mislukt. Voordat het profiel wordt opgeslagen, is het verstandig de geavanceerde configuratie te exporteren naar JSON zodat wijzigingen later eenvoudig kunnen worden getraceerd in het wijzigingsregister. Na het opstellen van het profiel volgt de pilotfase. Kies een representatieve groep apparaten waarin zowel laptops, werkstations als eventuele VDI-omgevingen zijn opgenomen. Zorg dat deze apparaten gekoppeld zijn aan een aparte Azure AD-groep zodat toewijzing en terugdraaiing geen invloed hebben op productiegebruikers. Tijdens de pilot wordt een testscript gebruikt dat meerdere bestandsdelingspogingen uitvoert, waaronder opzettelijk mislukte verbindingen met gedeelde mappen. Binnen Event Viewer moeten hierdoor direct 5145-events verschijnen. Parallel controleert het SIEM-team of dezelfde gebeurtenissen binnen enkele minuten in het centrale dashboard terechtkomen. Het resultaat van deze pilot wordt vastgelegd in een testrapport waarmee het beveiligingsmanagement akkoord geeft voor de brede uitrol. De uitrol verloopt gefaseerd. Eerst ontvangen de apparaten van hoog-risicoteams, zoals onderzoeksafdelingen of financiële controllers, de policy. Vervolgens rolt men per organisatie-eenheid verder uit, waarbij elke fase wordt afgesloten met een compliance-check in Intune. Automatisering speelt hierbij een belangrijke rol. Met behulp van het aangeleverde PowerShell-script worden configuratieprofielen via Microsoft Graph aangemaakt, gelabeld met een uniforme naamgeving en automatisch gekoppeld aan dynamische devicegroepen op basis van attributen zoals trusttype, OS-versie en fysieke locatie. Het script registreert iedere wijziging in een logbestand zodat auditors achteraf exact kunnen reconstrueren wanneer welke groep is toegevoegd. Hierdoor wordt ook de vereiste segregation of duties geborgd, omdat wijzigingen altijd terug te voeren zijn op een geautoriseerde beheerder. Gedurende de implementatie moet men aandacht hebben voor conflictbeheersing. Organisaties die nog Group Policy Objects inzetten, activeren de Intune-instelling "MDM Wins over GPO" zodat de cloudconfiguratie leidend wordt. Als dit niet mogelijk is, worden de instellingen gespiegeld binnen een centraal GPO en wordt een change freeze ingesteld voor lokale beheerders die anders eigen audit policies zouden kunnen aanpassen. Ook endpointbeveiligingstools zoals EDR-platforms moeten worden geïnformeerd over het verhoogde logvolume, zodat hun agenten niet ten onrechte events blokkeren. Deze afstemming ligt vast in een implementatiegovernanceplan dat exact omschrijft wie welke validaties uitvoert. Tot slot volgt de validatiefase. Binnen zowel Intune als de SIEM-oplossing wordt een set query's opgesteld die dagelijks controleert of er apparaten zijn die langer dan 24 uur geen 5145-event hebben geproduceerd. Deze query's vormen het formele bewijs dat de implementatie daadwerkelijk effect sorteert. Pas wanneer gedurende twee opeenvolgende weken geen afwijkingen meer optreden, markeert de projectorganisatie de uitrol als voltooid en wordt de verantwoordelijkheid overgedragen aan het lijnbeheer, inclusief duidelijke runbooks voor incidenten en wijzigingsverzoeken. Hoewel Intune het primaire platform vormt, moet de implementatie ook worden gespiegeld naar crisis- en herstelprocessen. In het calamiteitenplan beschrijft men hoe de auditinstelling wordt hersteld wanneer het beheerplatform tijdelijk onbeschikbaar is, bijvoorbeeld door een Azure-storing. Dit kan betekenen dat een export van het configuratieprofiel veilig wordt opgeslagen in een offline kluis en dat PowerShell-scripts klaarstaan om instellingen handmatig via lokale beleidsinstellingen te forceren. Door ook deze noodscenario's vooraf uit te werken en periodiek te testen, blijft de organisatie zelfs onder extreme omstandigheden voldoen aan de Nederlandse Baseline voor Veilige Cloud.

Gebruik PowerShell-script object-access-audit-detailed-file-share-is-set-to-include-failure.ps1 (functie Invoke-Monitoring) – Automatische implementatie via PowerShell script.

Monitoring

Monitoring van gedetailleerde bestandsdelingslogs vraagt om een samenspel tussen techniek, processen en menselijk inzicht. De eerste laag bestaat uit configuratiebewaking: dagelijks wordt via Microsoft Graph of het Intune Admin Center gecontroleerd of de beleidsstatus per apparaat nog steeds "in compliance" aangeeft dat de instelling actief is. Deze controle wordt verrijkt met een PowerShell-runbook dat steekproeven uitvoert met AuditPol en de uitkomsten wegschrijft naar een beveiligd opslagaccount. Zo ontstaat een continu dossier waarin is vastgelegd dat de instelling niet alleen theoretisch is toegewezen, maar daadwerkelijk op apparaatniveau actief blijft, zelfs na Windows-updates of handmatige registrywijzigingen. Een tweede laag is gericht op het logvolume zelf. Door dashboards in het SIEM te bouwen die het aantal 5145-events per uur, per locatie en per bronapplicatie tonen, wordt direct zichtbaar wanneer zich afwijkingen voordoen. Een plotselinge daling kan wijzen op een mislukte policy-synchronisatie, terwijl een piek kan duiden op een brute-force aanval of een foutief geconfigureerde back-upapplicatie die duizenden keren per minuut een share probeert te benaderen. Het SOC-team definieert daarom drempelwaarden die rekening houden met piekbelasting, bijvoorbeeld in de belastingperiode bij de Belastingdienst of tijdens verkiezingen, zodat alleen werkelijk afwijkende patronen een alert genereren. De inhoudelijke analyse vormt de derde laag. Analisten koppelen mislukte toegangspogingen aan identiteiten, Conditional Access logs en netwerkverkeer om snel te bepalen of het gaat om legitieme misconfiguraties of om voorbodes van datadiefstal. Hierbij horen playbooks waarin is beschreven hoe men omgaat met scenario's zoals "Externe leverancier probeert buiten afgesproken onderhoudsvenster gedeelde map te openen" of "Gebruiker die net is offboarded zoekt nog naar oude share". Deze playbooks beschrijven niet alleen de technische stappen, maar ook de communicatie richting proceseigenaren en CISO, zodat elke melding dezelfde zorgvuldigheid kent. Een volwassen monitoringproces houdt ook rekening met data-opslag en privacy. Omdat mislukte bestandsdelingspogingen vaak persoonsgegevens bevatten, moet het logplatform zijn ingericht met strikte toegangsrechten. Alleen SOC-analisten en geautoriseerde auditors krijgen volledige inzage; anderen werken met geanonimiseerde datasets. Tevens wordt vastgelegd hoe lang de ruwe data beschikbaar blijven, hoe deze worden gearchiveerd en op welke manier vernietiging plaatsvindt zodra de retentieperiode is verstreken. Daarmee kunnen organisaties bij privacy-audits aantonen dat proportionaliteit en noodzakelijkheid zijn geborgd. Tot slot wordt monitoring verankerd in rapportages. Elke maand ontvangt het bestuur een samenvatting met daarin het percentage apparaten met volledige logging, het aantal security-incidenten dat dankzij deze instelling is gedetecteerd en de status van lopende verbeteracties. Tijdens interne audits wordt dit rapport aangevuld met steekproefresultaten en bewijsbestanden. Door monitoring op deze manier te structureren, ontwikkelt de organisatie een continue feedbacklus die afwijkingen vroegtijdig signaleert, processen verfijnt en het vertrouwen vergroot dat de Nederlandse Baseline voor Veilige Cloud daadwerkelijk wordt nageleefd. Om de volwassenheid verder te verhogen worden de dashboards gekoppeld aan automatisering. Wanneer een drempel wordt overschreden, start automatisch een Logic App die een incidentticket, een SOC-alert en een notificatie aan de proceseigenaar genereert. Deze keten zorgt ervoor dat monitoring geen reactieve bezigheid is, maar een continu verbetermechanisme waarin technische signalen direct leiden tot bestuurlijke acties.

Gebruik PowerShell-script object-access-audit-detailed-file-share-is-set-to-include-failure.ps1 (functie Invoke-Monitoring) – Automatische compliance monitoring via PowerShell script.

Remediatie

Een effectief remediatieproces begint met snelle triage zodra monitoring aangeeft dat een apparaat geen recente 5145-events heeft of wanneer Intune meldt dat de beleidsinstelling ontbreekt. Het SOC-team stuurt dan een geautomatiseerde query naar Microsoft Graph om de huidige configuratiestatus van het bewuste apparaat op te halen. Tegelijkertijd start een Intune Proactive Remediation package dat lokaal controleert of de Audit Detailed File Share instelling overeenkomt met de baseline. Dit script legt de bevindingen vast in zowel het apparaatlogboek als in een centrale Azure Table, zodat trends zichtbaar blijven. Wanneer blijkt dat de instelling daadwerkelijk ontbreekt, wordt eerst een geforceerde synchronisatie uitgevoerd inclusief een herstart van de Intune Management Extension, omdat hiermee het merendeel van de incidenten direct wordt opgelost. Indien de afwijking blijft bestaan, volgt stap twee: conflictanalyse. Het remediatieteam onderzoekt of een Group Policy of een lokaal script dezelfde auditinstelling overschrijft. Via de tooling Resultant Set of Policy en registry snapshots wordt vastgesteld welke bron leidend is. Vindt men een conflicterend GPO, dan wordt dit binnen het changeproces aangepast of uitgeschakeld, waarna men opnieuw valideert of Intune de controle kan overnemen. In situaties waarin een applicatie of legacy-agent de auditinstellingen wijzigt, wordt met de leverancier afgestemd of de functionaliteit kan worden aangepast. Zo niet, dan beschrijft men een uitzonderingsdossier waarin staat hoe het betreffende systeem alsnog wordt afgedekt, bijvoorbeeld door agentbased logging op hostniveau. Wanneer technische maatregelen onvoldoende resultaat bieden, schakelt men over op herinschrijving. Het apparaat wordt tijdelijk uit Azure AD verwijderd, waarna een gecontroleerde rejoin en Intune-registratie plaatsvindt. Deze procedure gaat gepaard met duidelijke communicatie naar de gebruiker, inclusief instructies over dataverliesbeperking en verwachte impact. Na voltooiing wordt een uitgebreide validatieset uitgevoerd: AuditPol-rapportage, eventlogcontrole, SIEM-verificatie en Intune compliance status. Pas als al deze stappen succesvol zijn, wordt het incident afgesloten. De remediatieaanpak bevat ook een escalatiepad naar het security governance board wanneer apparaten langer dan drie werkdagen non-compliant blijven. Dit board beslist of aanvullende maatregelen nodig zijn, zoals het tijdelijk afkoppelen van het apparaat van gevoelige netwerken of het intrekken van administratieve rechten. Door deze escalatielijnen vooraf te documenteren, voorkomt de organisatie dat non-compliance sluipenderwijs normaal wordt. Tot slot wordt iedere remediatiecase geëvalueerd. Lessons learned worden verwerkt in het Intune-beleidsontwerp, in training voor servicedeskmedewerkers en in de documentatie van het PowerShell-remediatiescript. Op die manier groeit het proces naar een voorspelbaar en aantoonbaar mechanisme dat niet alleen incidenten oplost, maar structureel bijdraagt aan de volwassenheidseisen van de Nederlandse Baseline voor Veilige Cloud. Deze evaluaties worden jaarlijks gebundeld in een trendrapport zodat bestuurders inzicht houden in de resterende risico's en de benodigde investeringen.

Gebruik PowerShell-script object-access-audit-detailed-file-share-is-set-to-include-failure.ps1 (functie Invoke-Remediation) – Automatische remediatie van non-compliance via PowerShell script.

Compliance en naleving

Deze instelling vormt een directe invulling van meerdere normenkaders waarop Nederlandse overheids- en uitvoeringsorganisaties worden beoordeeld. In de CIS Microsoft Windows Benchmark verwijst controle 18.9.19.2 expliciet naar het verplicht loggen van zowel geslaagde als mislukte bestandsdelingspogingen. Door deze instelling af te dwingen via Intune kan tijdens audits aantoonbaar worden gemaakt dat de controle automatisch en uniform is geïmplementeerd, zonder afhankelijk te zijn van handmatige stappen van beheerders. Documenteer hierbij steeds de versie van het configuratieprofiel, de doelgroepen en de datum van laatste wijziging, zodat auditors de herleidbaarheid van de maatregel kunnen vaststellen. Binnen de BIO valt deze maatregel onder hoofdstuk 16, waarin logging, monitoring en forensische sporen centraal staan. Het loggen van mislukte toegangspogingen tot netwerkshares is essentieel om incidenten achteraf te reconstrueren en om bij de Autoriteit Persoonsgegevens te kunnen aantonen welke gegevens mogelijk zijn ingezien. Organisaties dienen daarom niet alleen de technische instelling te beschrijven, maar ook de procedure voor het opvragen van deze logs bij datalekonderzoek. Door de procedure vast te leggen in het securitymanagementsysteem kan tijdens een BIO-audit snel worden aangetoond dat zowel proces- als systeemmaatregelen aanwezig zijn. ISO 27001:2022 benadrukt in controles A.12.4.1 en A.12.4.3 dat logbestanden voldoende detail moeten bevatten en dat deze regelmatig moeten worden beoordeeld. Het opnemen van event ID 5145 in dashboards en rapportages toont aan dat de organisatie dit detailniveau beheerst. Bovendien helpt de configuratie bij het voldoen aan artikel 32 van de AVG, aangezien kan worden aangetoond dat toegang tot persoonsgegevens in gedeelde mappen wordt bewaakt en dat pogingen tot ongeautoriseerde toegang worden vastgelegd en beoordeeld. Zorg ervoor dat privacy officers worden meegenomen in het beheerproces zodat de relatie met registers van verwerkingsactiviteiten duidelijk is. Vanuit governanceperspectief vereist naleving ook dat er een formele toetsingscyclus bestaat. Minimaal eenmaal per jaar wordt beoordeeld of de instelling nog aansluit bij actuele dreigingen en of nieuwe technische mogelijkheden, zoals Microsoft Purview Audit, extra eisen stellen. De resultaten van deze toets worden opgenomen in de managementreview, zodat bestuurders expliciet akkoord geven op de voortzetting of uitbreiding van de maatregel. Eventuele afwijkingen of uitzonderingen worden geregistreerd in een risicolog, inclusief compensatiemaatregelen en einddatum. Ten slotte moet de organisatie aandacht besteden aan bewijsvoering en communicatie. Voor iedere auditronde wordt een pakket samengesteld met Intune-exporten, screenshots van SIEM-alerts, voorbeelden van 5145-events en rapportages over retentie en integriteit van de logopslag. Tijdens awarenesssessies wordt uitgelegd waarom deze logging belangrijk is en hoe medewerkers verantwoord omgaan met gedeelde mappen. Door technische bewijsvoering te koppelen aan heldere communicatie ontstaat vertrouwen dat de Nederlandse Baseline voor Veilige Cloud niet alleen beleidsmatig, maar ook operationeel wordt nageleefd.

Compliance & Frameworks

• CIS M365: Control 18.9.19.2 (L1) - CIS Security Benchmark aanbevelingen
• BIO: 16.01 - BIO Baseline Informatiebeveiliging Overheid - 16.01 - Gebeurtenissen logging en audittrails
• ISO 27001:2022: A.12.4.1 - ISO 27001:2022 - Gebeurtenissen logging en audittrails

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

Risico zonder implementatie

Management Samenvatting

Schakel in audit logging.

• Implementatietijd: 2 uur
• FTE required: 0.01 FTE