💼 Management Samenvatting
Deze beveiligingsmaatregel waarborgt de correcte configuratie van auditering voor het IPsec-stuurprogramma op Windows-endpoints, waardoor organisaties volledige zichtbaarheid krijgen over alle IPsec-gerelateerde gebeurtenissen.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
7/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Windows
IPsec-versleuteling vormt een kritieke beveiligingslaag voor netwerkcommunicatie, met name voor verbindingen tussen overheidsorganisaties en gevoelige systemen. Zonder adequate auditing kunnen beveiligingsincidenten, misconfiguraties en potentiële aanvallen op IPsec-verbindingen onopgemerkt blijven. Deze instelling maakt onderdeel uit van de Windows-beveiligingsbaseline en beschermt tegen bekende aanvalsvectoren door het afdwingen van veilige configuraties en het genereren van auditlogs voor zowel succesvolle als mislukte IPsec-operaties. Voor Nederlandse overheidsorganisaties is dit van cruciaal belang voor compliance met BIO-norm 16.01 voor gebeurtenissenlogging en audittrails, waarbij volledige traceerbaarheid van netwerkbeveiligingsgebeurtenissen vereist is.
PowerShell Modules Vereist
Primary API: Graph
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
Deze maatregel configureert de Windows-auditbeleidsinstelling voor het IPsec-stuurprogramma via Microsoft Intune-apparaatconfiguratiebeleid of compliancebeleid. Specifiek wordt de auditcategorie voor IPsec-driver-events ingesteld op het registreren van zowel succesvolle als mislukte gebeurtenissen. Dit betekent dat alle IPsec-stuurprogrammaactiviteiten, inclusief verbindingspogingen, verificaties, sleuteluitwisselingen en andere cryptografische operaties, worden vastgelegd in de Windows-beveiligingslogboeken. De configuratie wordt centraal beheerd via Microsoft Intune, waardoor organisaties consistent auditbeleid kunnen toepassen op alle Windows-endpoints binnen hun omgeving, in overeenstemming met beveiligingsbest practices en compliancevereisten.
Vereisten
Voor het implementeren van IPsec-driver auditing op Windows-endpoints zijn verschillende technische en organisatorische vereisten van toepassing die organisaties moeten vervullen voordat zij deze beveiligingsmaatregel kunnen activeren. De primaire vereiste betreft de beschikbaarheid van Microsoft Intune als apparaatbeheerplatform binnen de organisatie. Microsoft Intune vormt het centrale beheerpunt voor alle Windows-apparaatconfiguratiebeleidsregels en is essentieel voor de distributie en handhaving van auditbeleidsinstellingen op endpoints. Organisaties die nog geen Microsoft Intune hebben geïmplementeerd, dienen eerst deze service in te richten als onderdeel van hun Microsoft 365-omgeving, waarbij aandacht moet worden besteed aan licentievereisten en de benodigde beheerdersrechten.
Een tweede kritieke vereiste betreft de Windows-versies en -edities die ondersteuning bieden voor deze specifieke auditbeleidsinstelling. IPsec-driver auditing is beschikbaar op Windows 10 en Windows 11-professionele en enterprise-edities, evenals op Windows Server-versies vanaf Windows Server 2016. Organisaties die nog werken met verouderde Windows-versies zoals Windows 7 of Windows 8.1 moeten eerst een upgrade traject uitvoeren, aangezien deze besturingssystemen geen ondersteuning bieden voor moderne Intune-beheerfunctionaliteit en mogelijk niet alle vereiste auditbeleidsinstellingen ondersteunen. Voor overheidsorganisaties is dit vaak onderdeel van een breder moderniseringstraject dat al dan niet in uitvoering is.
Qua beheerdersrechten heeft de organisatie een Intune-beheerder of globale beheerder nodig met de juiste machtigingen om apparaatconfiguratiebeleidsregels te maken en toe te wijzen. Daarnaast moet de organisatie ervoor zorgen dat alle doelapparaten correct zijn geregistreerd in Microsoft Intune via Azure Active Directory-join of Hybrid Azure AD-join, afhankelijk van de bestaande infrastructuur. Apparaten die niet correct zijn geregistreerd ontvangen geen beleidsinstellingen en blijven dus ongeconfigureerd, wat een beveiligingsrisico vormt voor de gehele organisatie.
Vanuit een netwerkperspectief is het belangrijk dat endpoints toegang hebben tot de Microsoft Intune-service en Azure Active Directory voor het ontvangen van beleidsinstellingen. Organisaties met beperkte netwerktoegang of firewalls moeten ervoor zorgen dat de benodigde Microsoft 365-endpoints correct zijn geconfigureerd. Bovendien moet rekening worden gehouden met de gevolgen van auditlogging op schijfruimte, aangezien uitgebreide IPsec-auditing kan leiden tot aanzienlijke groei van beveiligingslogboeken. Organisaties dienen logbehoudbeleid en logrotatie te configureren om te voorkomen dat logbestanden onbeheersbaar groot worden en schijfruimteproblemen veroorzaken op endpoints.
Implementatie
De implementatie van IPsec-driver auditing via Microsoft Intune vereist een gestructureerde aanpak waarbij eerst de huidige status van de auditconfiguratie wordt geanalyseerd, vervolgens het beleid wordt geconfigureerd en tot slot wordt geverifieerd dat de instelling correct is toegepast op alle doelapparaten. De implementatie begint met het maken van een nieuw apparaatconfiguratiebeleid in Microsoft Intune, specifiek gericht op Windows 10 en Windows 11-apparaten. Organisaties kunnen kiezen tussen het gebruik van de gebruikersinterface in het Microsoft Endpoint Manager Admin Center of het gebruik van PowerShell-scripts voor geautomatiseerde implementatie bij grote aantallen apparaten.
In het Microsoft Endpoint Manager Admin Center navigeert de beheerder naar Apparaten, gevolgd door Configuratiebeleid en Apparaatconfiguratie. Hier selecteert de beheerder Beleid maken en kiest voor Windows 10 en later als platform. Voor het profieltype wordt Systeem geselecteerd, waarna de beheerder doorgaat naar de sectie Beheersjablonen. In deze sectie wordt gezocht naar de categorie Lokale beveiligingsbeleidsinstellingen of Auditbeleidsinstellingen, waar vervolgens de specifieke instelling voor IPsec-driver auditing kan worden geconfigureerd. De instelling moet worden ingesteld op Succes en Mislukking, wat betekent dat zowel geslaagde als gefaalde IPsec-operaties worden vastgelegd in de beveiligingslogboeken.
Voor organisaties die werken met grote aantallen apparaten of die consistentie willen waarborgen via geautomatiseerde processen, biedt PowerShell de mogelijkheid om deze configuratie programmatisch toe te passen. De Microsoft Graph API biedt endpoints voor het beheren van Intune-apparaatconfiguratiebeleidsregels, waardoor organisaties scripts kunnen ontwikkelen die de auditinstellingen centraal configureren en distribueren. Dergelijke scripts zijn met name waardevol voor organisaties die werken volgens Infrastructure as Code-principes of die regelmatig nieuwe apparaten inrichten waarbij consistentie van beveiligingsconfiguraties essentieel is.
Na het maken van het beleid moet dit worden toegewezen aan de juiste groepen apparaten of gebruikers. Organisaties dienen een testimplementatie uit te voeren op een beperkte groep apparaten voordat het beleid wordt uitgerold naar de volledige omgeving. Deze gefaseerde aanpak maakt het mogelijk om te verifiëren dat de auditinstellingen correct worden toegepast zonder negatieve gevolgen voor de werking van IPsec-verbindingen. De testfase moet minimaal één week duren, waarbij aandacht wordt besteed aan eventuele prestatie-impact, logbestandsgroei en de correcte registratie van IPsec-gebeurtenissen in de beveiligingslogboeken.
Gebruik PowerShell-script system-audit-i-psec-driver-is-set-to-success-and-failure.ps1 (functie Invoke-Monitoring) – Het PowerShell-script voor het monitoren van de IPsec-driver auditconfiguratie controleert of de instelling correct is toegepast en genereert rapporten over de compliance-status van endpoints binnen de organisatie..
Na de implementatie is het belangrijk om regelmatig te controleren of het beleid actief blijft op alle apparaten en of er geen conflicten zijn met andere apparaatconfiguratiebeleidsregels. Apparaten die het beleid niet correct ontvangen kunnen worden geïdentificeerd via de Intune-compliance-rapportage, waarna beheerders actie kunnen ondernemen om deze apparaten opnieuw te synchroniseren of handmatig te configureren indien nodig. Organisaties moeten ook een proces hebben voor het afhandelen van uitzonderingen, bijvoorbeeld voor gespecialiseerde systemen met specifieke IPsec-configuraties die mogelijk niet compatibel zijn met de standaard auditinstellingen.
Monitoring
Effectieve monitoring van IPsec-driver auditing vereist een gestructureerde aanpak waarbij organisaties regelmatig controleren of de auditinstellingen actief blijven op alle endpoints, of er auditgebeurtenissen worden gegenereerd zoals verwacht, en of er geen problemen zijn met logbestandsgroei of prestatie-impact. Monitoring vormt een kritiek onderdeel van het beveiligingsbeheer, omdat onjuiste configuraties of uitval van auditfunctionaliteit kunnen leiden tot blinde vlekken in de beveiligingsmonitoring en kunnen resulteren in niet-opgemerkte beveiligingsincidenten. Organisaties moeten daarom een combinatie van technische monitoringtools en procesmatige controles implementeren om de effectiviteit van IPsec-driver auditing te waarborgen.
De primaire monitoringactiviteit betreft het controleren van de compliance-status van apparaten via Microsoft Intune. Het Endpoint Manager Admin Center biedt gedetailleerde rapportage over welke apparaten het IPsec-driver auditbeleid hebben ontvangen en correct hebben toegepast, en welke apparaten mogelijk non-compliant zijn. Beheerders dienen wekelijks deze rapporten te raadplegen en actie te ondernemen voor apparaten die het beleid niet correct hebben toegepast. Non-compliance kan verschillende oorzaken hebben, zoals verbindingsproblemen tussen het apparaat en Microsoft Intune, conflicten met andere apparaatconfiguratiebeleidsregels, of technische problemen op het apparaat zelf die de toepassing van het beleid verhinderen.
Naast compliance-monitoring is het belangrijk om daadwerkelijk te verifiëren dat IPsec-auditgebeurtenissen worden vastgelegd in de Windows-beveiligingslogboeken. Dit kan worden gedaan door het beveiligingslogboek te controleren op gebeurtenissen met event ID's die gerelateerd zijn aan IPsec-operaties. Organisaties kunnen gebruikmaken van Windows Event Forwarding of SIEM-systemen om deze gebeurtenissen centraal te verzamelen en analyseren, waardoor een vollediger beeld ontstaat van IPsec-activiteiten binnen de organisatie. Regelmatige verificatie dat auditgebeurtenissen daadwerkelijk worden gegenereerd is essentieel, omdat een beleid dat correct is toegepast technisch gezien nog steeds niet functioneel kan zijn als er bijvoorbeeld problemen zijn met de IPsec-service zelf of met logboekconfiguraties.
Gebruik PowerShell-script system-audit-i-psec-driver-is-set-to-success-and-failure.ps1 (functie Invoke-Monitoring) – Het PowerShell-script controleert automatisch de configuratiestatus van IPsec-driver auditing op alle beheerde endpoints en genereert gedetailleerde rapporten over compliance en eventuele configuratiefouten die aandacht vereisen..
Monitoring moet ook aandacht besteden aan de impact van uitgebreide auditing op systeemprestaties en schijfruimte. IPsec-driver auditing kan leiden tot aanzienlijke volumes aan logdata, vooral in omgevingen met veel IPsec-verbindingen. Organisaties moeten daarom logrotatiebeleid configureren en monitoren of logbestanden niet onbeheersbaar groot worden. Daarnaast moeten beheerders alert zijn op eventuele prestatieproblemen die kunnen ontstaan door uitgebreide logging, hoewel moderne Windows-versies geoptimaliseerd zijn om dergelijke impact te minimaliseren. Monitoring van logbestandsgroei kan worden geautomatiseerd via PowerShell-scripts die de grootte van beveiligingslogboeken controleren en waarschuwingen genereren wanneer deze een bepaalde drempelwaarde naderen.
Voor Nederlandse overheidsorganisaties heeft monitoring ook een compliance-aspect, aangezien BIO-norm 16.01 vereist dat gebeurtenissenlogging en audittrails regelmatig worden gecontroleerd en dat er procesmatige garanties zijn dat logging correct functioneert. Organisaties dienen daarom niet alleen technische monitoring uit te voeren, maar ook periodiek te verifiëren dat hun monitoringprocessen zelf effectief zijn en dat eventuele afwijkingen tijdig worden opgemerkt en gecorrigeerd. Dit kan worden gedaan via interne audits of externe verificaties waarbij wordt gecontroleerd of de monitoringactiviteiten daadwerkelijk worden uitgevoerd zoals beschreven in het beveiligingsbeleid en of de gegenereerde rapporten correct worden geïnterpreteerd en gebruikt voor beveiligingsbeslissingen.
Remediatie
Wanneer monitoring activiteiten aantonen dat IPsec-driver auditing niet correct is geconfigureerd op bepaalde endpoints, of wanneer apparaten non-compliant zijn met het ingestelde auditbeleid, moeten organisaties een gestructureerd remediatieproces uitvoeren om de configuratie te herstellen en te waarborgen dat alle apparaten weer voldoen aan de beveiligingsvereisten. Remediatie is essentieel om te voorkomen dat endpoints zonder adequate auditing blijven functioneren, wat kan leiden tot onopgemerkte beveiligingsincidenten en complianceproblemen. Het remediatieproces moet snel en efficiënt zijn, maar tegelijkertijd voldoende controle bevatten om te voorkomen dat automatische remediatie onbedoelde negatieve gevolgen heeft voor de werking van endpoints of IPsec-verbindingen.
De eerste stap in het remediatieproces is het analyseren van de oorzaak van de non-compliance. Verschillende factoren kunnen ervoor zorgen dat een apparaat het IPsec-driver auditbeleid niet correct toepast. Apparaten die recent zijn toegevoegd aan de organisatie of die voor het eerst verbinding maken met Microsoft Intune kunnen nog geen beleidsinstellingen hebben ontvangen, in welk geval een eenvoudige synchronisatie voldoende kan zijn om het probleem op te lossen. Apparaten met verbindingsproblemen tussen het apparaat en Microsoft Intune-service vereisen netwerk- of configuratiediagnostiek om de onderliggende oorzaak te identificeren en te verhelpen voordat remediatie kan worden uitgevoerd.
Voor apparaten waar sprake is van een configuratiefout of waar het beleid niet correct is toegepast, kan handmatige remediatie nodig zijn via groepsbeleid of lokale beveiligingsinstellingen. Echter, de voorkeur gaat uit naar automatische remediatie via Microsoft Intune, waarbij het apparaat opnieuw wordt gesynchroniseerd met de Intune-service om het beleid opnieuw te ontvangen en toe te passen. In sommige gevallen kan het nodig zijn om het apparaat opnieuw te registreren in Microsoft Intune, hoewel dit een drastischere maatregel is die alleen moet worden overwogen wanneer andere remediatiemethoden hebben gefaald.
Gebruik PowerShell-script system-audit-i-psec-driver-is-set-to-success-and-failure.ps1 (functie Invoke-Remediation) – Het PowerShell-script voor automatische remediatie probeert de IPsec-driver auditconfiguratie te herstellen op non-compliant endpoints door het apparaat te dwingen opnieuw te synchroniseren met Microsoft Intune of door de configuratie direct toe te passen via lokale beveiligingsinstellingen..
Na het uitvoeren van remediatie-acties is het belangrijk om te verifiëren dat de configuratie daadwerkelijk is hersteld en dat het apparaat nu compliant is met het auditbeleid. Dit kan worden gedaan door opnieuw de compliance-status te controleren in Microsoft Intune en door te verifiëren dat IPsec-auditgebeurtenissen daadwerkelijk worden vastgelegd in de beveiligingslogboeken. Organisaties moeten een proces hebben voor het documenteren van remediatie-acties, inclusief de oorzaak van de non-compliance, de uitgevoerde remediatiestappen en het resultaat van de remediatie. Deze documentatie is waardevol voor het identificeren van patronen in non-compliance en voor het verbeteren van de preventieve maatregelen om toekomstige problemen te voorkomen.
In gevallen waar remediatie niet succesvol is of waar herhaalde non-compliance optreedt, kan het nodig zijn om aanvullende onderzoeken uit te voeren om de onderliggende oorzaak te identificeren. Dit kan bijvoorbeeld het geval zijn wanneer er conflicten zijn tussen verschillende apparaatconfiguratiebeleidsregels, of wanneer er technische problemen zijn met het besturingssysteem zelf die de toepassing van auditbeleidsinstellingen verhinderen. In dergelijke gevallen kan het nodig zijn om contact op te nemen met Microsoft Support of om gespecialiseerde diagnostiek uit te voeren om de exacte oorzaak te identificeren en een passende oplossing te vinden. Organisaties moeten ook een proces hebben voor het afhandelen van uitzonderingen waarbij bepaalde apparaten om legitieme technische of organisatorische redenen niet kunnen voldoen aan de standaard auditconfiguratie, waarbij alternatieve monitoring- of loggingoplossingen kunnen worden geïmplementeerd om toch zichtbaarheid te behouden over IPsec-activiteiten op deze systemen.
Compliance en Auditing
IPsec-driver auditing speelt een cruciale rol in de naleving van verschillende beveiligings- en compliance-frameworks die van toepassing zijn op Nederlandse overheidsorganisaties. Door het vastleggen van alle IPsec-gerelateerde gebeurtenissen, inclusief succesvolle en mislukte operaties, kunnen organisaties aantonen dat zij beschikken over adequate monitoring en logging van netwerkbeveiligingsgebeurtenissen, wat een fundamenteel vereiste is binnen meerdere compliance-standaarden. Compliance gaat verder dan alleen technische configuratie; organisaties moeten ook procesmatige garanties hebben dat de gegenereerde auditlogs correct worden beheerd, beveiligd en gebruikt voor beveiligingsdoeleinden, en dat er adequate procedures zijn voor het analyseren van auditgebeurtenissen en het reageren op potentiële beveiligingsincidenten.
Voor Nederlandse overheidsorganisaties is BIO-norm 16.01 van bijzonder belang, aangezien deze norm specifiek aandacht besteedt aan gebeurtenissenlogging en audittrails. BIO-norm 16.01 vereist dat organisaties alle relevante beveiligingsgebeurtenissen vastleggen, inclusief gebeurtenissen die betrekking hebben op netwerkbeveiliging en cryptografische operaties. IPsec-driver auditing draagt direct bij aan het voldoen aan deze norm door het vastleggen van alle IPsec-gerelateerde activiteiten, waardoor organisaties een volledig beeld hebben van wie wanneer toegang heeft gehad tot beveiligde netwerkverbindingen en welke cryptografische operaties zijn uitgevoerd. Organisaties moeten kunnen aantonen dat zij deze auditlogs regelmatig controleren en analyseren, en dat zij procedures hebben voor het identificeren en escaleren van verdachte activiteiten die kunnen wijzen op beveiligingsincidenten of ongeautoriseerde toegangspogingen.
Binnen het ISO 27001-framework, met name controle A.12.4.1, wordt aandacht besteed aan het logging van gebeurtenissen en het behoud van audittrails. IPsec-driver auditing draagt bij aan deze controle door het vastleggen van cryptografische en netwerkbeveiligingsgebeurtenissen, wat essentieel is voor het kunnen uitvoeren van forensische analyses na beveiligingsincidenten en voor het monitoren van compliance met beveiligingsbeleid. Organisaties die ISO 27001-gecertificeerd zijn of die werken naar ISO 27001-certificering moeten kunnen aantonen dat zij beschikken over adequate logging van alle relevante beveiligingsgebeurtenissen, waarbij IPsec-driver auditing een belangrijk onderdeel vormt van de totale loggingstrategie voor netwerkbeveiliging.
Het CIS Security Benchmark controle 18.9.19.2 specificeert dat Windows-systemen moeten worden geconfigureerd om IPsec-driver gebeurtenissen te auditeren, waarbij zowel succesvolle als mislukte operaties moeten worden vastgelegd. Deze controle maakt onderdeel uit van Level 1-aanbevelingen, wat betekent dat deze als essentieel wordt beschouwd voor alle organisaties, ongeacht hun grootte of complexiteit. Implementatie van IPsec-driver auditing volgens deze controle draagt bij aan de algehele beveiligingspositie van de organisatie en helpt bij het verminderen van het aanvalsoppervlak door vroegtijdige detectie van misconfiguraties, ongeautoriseerde toegangspogingen en andere potentiële beveiligingsproblemen die verband houden met IPsec-verbindingen.
Vanuit een auditperspectief moeten organisaties kunnen aantonen dat zij beleidsdocumentatie hebben waarin is beschreven waarom IPsec-driver auditing is geïmplementeerd, hoe de configuratie is ingesteld en hoe de gegenereerde auditlogs worden beheerd en gebruikt. Deze documentatie vormt een belangrijk onderdeel van audit evidence, waarbij auditors kunnen verifiëren dat de organisatie bewust heeft gekozen voor deze beveiligingsmaatregel en dat er adequate processen zijn voor het beheren en analyseren van de auditlogs. De beleidsdocumentatie moet ook aandacht besteden aan logretentievereisten, waarbij organisaties moeten specificeren hoe lang auditlogs worden bewaard en hoe deze logs worden beschermd tegen ongeautoriseerde toegang of wijziging, wat essentieel is voor het behoud van de integriteit en vertrouwelijkheid van auditgegevens.
Organisaties moeten ook rekening houden met privacywetgeving zoals de AVG bij het beheren van IPsec-auditlogs, aangezien deze logs mogelijk persoonsgegevens bevatten in de vorm van IP-adressen, gebruikersnamen of andere identificerende informatie. Dit betekent dat organisaties procedures moeten hebben voor het beveiligen van auditlogs tegen ongeautoriseerde toegang, voor het respecteren van bewaartermijnen en voor het correct afhandelen van verzoeken om inzage of verwijdering van persoonsgegevens indien van toepassing. De combinatie van beveiligings- en privacyvereisten vereist dat organisaties een geïntegreerde aanpak hebben voor het beheren van auditlogs, waarbij zowel beveiligingsdoeleinden als privacyrechtelijke verplichtingen worden gerespecteerd, wat kan worden bereikt door het implementeren van role-based access controls, encryptie van auditlogs en duidelijke procedures voor logretentie en verwijdering.
Compliance & Frameworks
- CIS M365: Control 18.9.19.2 (L1) - CIS Security Benchmark aanbevelingen
- BIO: 16.01 - BIO Baseline Informatiebeveiliging Overheid - 16.01 - Gebeurtenissen logging en audittrails
- ISO 27001:2022: A.12.4.1 - ISO 27001:2022 - Gebeurtenissen logging en audittrails
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Intune Audit Logging: IPsec Driver Success and Failure
.DESCRIPTION
CIS - Audit IPsec driver Success and Failure.
.NOTES
Filename: audit-ipsec-driver.ps1|Author: Nederlandse Baseline voor Veilige Cloud|AuditPol: IPsec Driver|Expected: Success and Failure
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $Category = "IPsec Driver"; $ExpectedValue = "Success and Failure"
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance {
$r = [PSCustomObject]@{ScriptName = "ipsec-driver.ps1"; PolicyName = "IPsec Driver Audit"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; function Invoke-Revert { auditpol /set /subcategory:"$Category" /success:disable /failure:disable | Out-Null }
try { $audit = auditpol /get /subcategory:"$Category" /r | ConvertFrom-Csv; $setting = $audit.'Inclusion Setting'; $r.CurrentValue = $setting; if ($setting -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Audit: $setting" }else { $r.Details += "Audit: $setting" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r
}
function Invoke-Remediation { auditpol /set /subcategory:"$Category" /success:enable /failure:enable | Out-Null; Write-Host "IPsec Driver: Success and Failure" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { auditpol /set /subcategory:"$Category" /success:disable /failure:disable | Out-Null }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
High: Zonder IPsec-driver auditing ontbreekt zichtbaarheid op netwerkbeveiligingsgebeurtenissen, waardoor beveiligingsincidenten en ongeautoriseerde toegangspogingen onopgemerkt kunnen blijven.
Management Samenvatting
Schakel IPsec-driver auditing in voor volledige zichtbaarheid op alle IPsec-gerelateerde gebeurtenissen en om te voldoen aan compliance-vereisten voor gebeurtenissenlogging en audittrails.
- Implementatietijd: 2 uur
- FTE required: 0.01 FTE