L1 BIO 16.01 ISO A.12.4.1 CIS 18.9.19.2

Hardened UNC-paden Met Wederzijdse Verificatie, Integriteit En Vertrouwelijkheid Voor Alle Netlogon- En SYSVOL-shares

📅 2025-10-30
⏱️ 2 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Deze beveiligingsmaatregel zorgt ervoor dat Windows-eindpunten op een gecontroleerde en uniforme manier omgaan met toegang tot Netlogon- en SYSVOL-shares. Door zogenaamde "hardened UNC-paths" af te dwingen, wordt voorkomen dat verouderde of onbeveiligde protocollen worden gebruikt wanneer domeincontrollers worden benaderd. Dit verkleint direct het risico op misbruik van authenticatie, manipulatie van groepsbeleidsobjecten en ongeautoriseerde wijzigingen in domeinbrede configuraties.

Aanbeveling
IMPLEMENTEREN
Risico zonder
High
Risk Score
7/10
Implementatie
2u (tech: 1u)
Van toepassing op:
Windows

Netlogon- en SYSVOL-shares vormen het hart van een Windows-domeinomgeving: via deze shares worden onder andere groepsbeleid, scripts en configuraties gedistribueerd naar alle aangesloten systemen. Aanvallers proberen deze verbindingen te misbruiken om verkeer af te luisteren, inloggegevens te stelen of beleid te manipuleren. Door hardened UNC-paths verplicht in te schakelen met wederzijdse authenticatie, integriteitscontrole en bescherming van de vertrouwelijkheid, wordt de verbinding tussen cliënt en domeincontroller cryptografisch beschermd. Dit is essentieel voor Nederlandse (semi-)overheidsorganisaties die moeten voldoen aan de BIO, AVG en interne securitybeleidseisen en die een aantoonbaar veilig basisniveau voor hun Windows-omgeving willen realiseren.

PowerShell Modules Vereist
Primary API: Graph
Connection: Connect-MgGraph
Required Modules: Microsoft.Graph.DeviceManagement

Implementatie

Deze configuratie stelt hardened UNC-paths in op "ingeschakeld" met de opties require mutual authentication, require integrity en require privacy voor alle Netlogon- en SYSVOL-shares. Concreet betekent dit dat clients alleen nog verbinding maken met domeincontrollers als de identiteit van de server cryptografisch is gevalideerd, de integriteit van de communicatie wordt gecontroleerd en de gegevensoverdracht versleuteld plaatsvindt. In deze richtlijn wordt beschreven hoe je deze instelling gestandaardiseerd beheert via Microsoft Intune door gebruik te maken van apparaatconfiguratieprofielen of compliance policies. Daarmee zorg je dat alle ingeschreven Windows-apparaten automatisch dezelfde harde beveiligingsconfiguratie toepassen, afwijkingen gesignaleerd worden en beheerders een duidelijk, reproduceerbaar proces hebben om incidenten te voorkomen en aan auditors te laten zien dat deze kritieke beveiligingsmaatregel aantoonbaar is ingericht.

Vereisten

Voor een succesvolle en beheerste implementatie van hardened UNC-paths met vereiste wederzijdse authenticatie, integriteit en vertrouwelijkheid zijn enkele randvoorwaarden noodzakelijk. Allereerst moeten de betrokken Windows-apparaten zijn opgenomen in een beheerde omgeving waarin Microsoft Intune als primaire beheeroplossing wordt gebruikt. De apparaten dienen te zijn ingeschreven (enrolled) in Intune, gekoppeld aan Azure Active Directory en voorzien van een ondersteunde Windows-versie die het configureren van hardened UNC-paths ondersteunt. In de praktijk gaat het hierbij om moderne, up-to-date Windows-clients die regelmatig beveiligingsupdates ontvangen en onderdeel zijn van het domein of hybride zijn gekoppeld. Daarnaast is het van belang dat de organisatie over heldere rollen en verantwoordelijkheden beschikt. Er moeten beheerders zijn met de juiste rechten in zowel Intune als, indien van toepassing, in on-premises Active Directory of een hybride identiteitsscenario. Deze beheerders moeten begrijpen welke afhankelijkheden er bestaan tussen Netlogon, SYSVOL, groepsbeleid en de dagelijkse werking van de werkstations en servers. Zonder dit inzicht bestaat het risico dat een te strikte of verkeerd geteste configuratie operationele verstoringen veroorzaakt, bijvoorbeeld inlogproblemen of fouten bij het toepassen van groepsbeleid. Verder is een goed ingerichte test- en acceptatieomgeving cruciaal. Voordat het beleid organisatiebreed wordt uitgerold, moeten beheerders het configuratieprofiel testen op een representatieve set systemen: verschillende versies van Windows, uiteenlopende netwerksegmenten, diverse typen gebruikers (bijvoorbeeld beheerders, kantoormedewerkers en thuiswerkers) en mogelijke uitzonderingssituaties. In deze testomgeving controleer je of verbindingen met domeincontrollers correct blijven werken, of inlogprocedures soepel verlopen en of logbestanden de gewenste details bevatten voor auditing en foutopsporing. Ook governance en documentatie spelen een belangrijke rol. De organisatie moet beleid vastleggen waarin is beschreven waarom hardened UNC-paths verplicht zijn, welke instellingen precies worden afgedwongen en hoe afwijkingen worden behandeld. Dit beleid moet aansluiten bij bredere informatiebeveiligingskaders, zoals de Baseline Informatiebeveiliging Overheid (BIO) en interne beveiligingsrichtlijnen. Documenteer bovendien welke Intune-profielen worden gebruikt, welke groepen of dynamische queries worden toegepast voor toewijzing en hoe uitzonderingen worden aangevraagd en beoordeeld. Tot slot is een basisniveau van monitoring en incidentrespons vereist. De inrichting van hardened UNC-paths staat niet op zichzelf: bij mislukte verbindingen, foutcodes of herhaalde authenticatieproblemen moet het beheerteam in staat zijn snel te achterhalen wat er gebeurt. Dit vraagt om centrale logverzameling, bijvoorbeeld via Microsoft Defender for Endpoint of een SIEM-oplossing, en duidelijke procedures waarin staat hoe meldingen worden beoordeeld, geëscaleerd en opgelost. Met deze randvoorwaarden in plaats, kan de organisatie de configuratie met vertrouwen uitrollen en borgen dat de maatregel structureel bijdraagt aan een hoger beveiligingsniveau in de gehele Windows-omgeving.

Implementatie

De implementatie van hardened UNC-paths voor alle Netlogon- en SYSVOL-shares begint met een grondige analyse van de huidige omgeving. Breng in kaart welke domeincontrollers actief zijn, welke Windows-clients door Intune worden beheerd en welke uitzonderingen of legacy-systemen mogelijk afhankelijk zijn van verouderde verbindingsmethoden. Op basis van deze analyse ontwerp je een Intune-configuratieprofiel waarin je de UNC-instellingen vastlegt voor de paden \\*\NETLOGON en \\*\SYSVOL. In dit profiel dwing je af dat wederzijdse authenticatie, integriteitscontrole en vertrouwelijkheid verplicht zijn, zodat alleen nog moderne, cryptografisch beschermde verbindingen worden toegestaan. Vervolgens wijs je het profiel eerst toe aan een beperkte pilotgroep met representatieve apparaten uit verschillende organisatieonderdelen. Tijdens deze pilot monitor je nauwgezet of aanmeldingen, groepsbeleidverwerking en scripts zonder fouten blijven werken en controleer je de logbestanden op afwijkend gedrag. Eventuele bevindingen verwerk je in een verbeterde versie van het profiel voordat je de uitrol gefaseerd uitbreidt naar bredere gebruikersgroepen. Gedurende het hele traject leg je beslissingen en wijzigingen vast in change- en releasemanagementdocumentatie, zodat auditors en interne controlefuncties eenvoudig kunnen herleiden welke configuratie op welk moment actief was. Door deze gestructureerde aanpak minimaliseer je het risico op verstoringen en borg je dat hardened UNC-paths op een gecontroleerde, reproduceerbare manier organisatiebreed worden ingevoerd.

Gebruik PowerShell-script hardened-unc-paths-is-set-to-ingeschakeld-with-require-mutual-authentication-require-integrity-and-require-privacy-set-for-all-netlogon-and-sysvol-shares.ps1 (functie Invoke-Monitoring) – Monitoren.

monitoring

Na de uitrol van hardened UNC-paths is continue monitoring noodzakelijk om te borgen dat de maatregel effectief blijft en dat afwijkingen tijdig worden gedetecteerd. Richt daarom centrale logging in op zowel de domeincontrollers als de Windows-clients, zodat gebeurtenissen rond SMB-communicatie, Netlogon-authenticatie en toegang tot SYSVOL zichtbaar worden. Deze loggegevens stuur je bij voorkeur naar een SIEM- of XDR-oplossing waarin je regels configureert die verdachte patronen herkennen, zoals herhaalde mislukte verbindingspogingen, plotselinge wijzigingen in connectiviteitspatronen of foutcodes die wijzen op misconfiguraties. Combineer deze technische signalen met Intune-rapportages over de status van het configuratieprofiel, zodat je precies ziet welke apparaten compliant zijn en waar nalevingsproblemen ontstaan. Voor systemen binnen hoog-risico-domeinen, zoals omgevingen met gevoelige persoonsgegevens of kritieke dienstverlening, kun je aanvullende meldingen instellen die automatisch een ticket aanmaken in het ITSM-systeem zodra afwijkingen worden geconstateerd. Door monitoring op deze manier integraal onderdeel te maken van de maatregel, ontstaat een gesloten controlelus waarin detectie, analyse en opvolging logisch op elkaar aansluiten en de organisatie aantoonbaar grip houdt op de beveiliging van Netlogon- en SYSVOL-shares.

Gebruik PowerShell-script hardened-unc-paths-is-set-to-enabled-with-require-mutual-authentication-require-integrity-and-require-privacy-set-for-all-netlogon-and-sysvol-shares.ps1 (functie Invoke-Monitoring) – Controleren.

Remediatie

Wanneer uit monitoring of audits blijkt dat bepaalde systemen de hardened UNC-configuratie niet of niet volledig toepassen, is een gestructureerde remediatieaanpak nodig. Begin met het bepalen van de impact: gaat het om incidentele afwijkingen op individuele werkplekken of om bredere patronen binnen specifieke apparaatgroepen of locaties. Gebruik vervolgens de rapportagemogelijkheden van Intune om non-compliant apparaten te identificeren en te groeperen, bijvoorbeeld via dynamische apparaatgroepen op basis van compliancestatus of configuratieprofielversie. Voor deze groep kun je een specifiek herstelprofiel inzetten dat de juiste instellingen opnieuw forceert, eventueel gecombineerd met herstartacties of aanvullende controlescripts. Parallel hieraan onderzoek je de onderliggende oorzaken, zoals langdurig offline zijn van apparaten, foutieve handmatige wijzigingen of conflicterende configuratieprofielen. De resultaten van deze analyses vertaal je naar verbeteringen in processen en configuraties, zodat herhaling wordt voorkomen. Documenteer alle herstelacties, inclusief tijdstip, betrokken systemen en uiteindelijke status, in het wijzigings- of incidentdossier. Op deze manier kan de organisatie aantonen dat zij afwijkingen niet alleen detecteert, maar ook aantoonbaar corrigeert en structureel leert van geconstateerde problemen.

Gebruik PowerShell-script hardened-unc-paths-is-set-to-enabled-with-require-mutual-authentication-require-integrity-and-require-privacy-set-for-all-netlogon-and-sysvol-shares.ps1 (functie Invoke-Remediation) – Herstellen.

Compliance en Auditing

De configuratie van hardened UNC-paths is niet alleen een technische maatregel, maar ook een belangrijke bouwsteen voor aantoonbare naleving van Nederlandse en internationale normen. Vanuit de BIO wordt verwacht dat organisaties maatregelen treffen om de vertrouwelijkheid, integriteit en beschikbaarheid van cruciale infrastructuur te beschermen. Netlogon- en SYSVOL-shares spelen een centrale rol bij domeinbrede configuratie en autorisatie, waardoor onvoldoende beveiliging direct kan leiden tot ernstige incidenten en mogelijke overtredingen van wettelijke verplichtingen. Door hardened UNC-paths verplicht in te schakelen met wederzijdse authenticatie, integriteitscontrole en versleuteling, kan de organisatie laten zien dat zij structureel maatregelen neemt tegen bekende netwerk- en authenticatierisico's. Voor compliance met de AVG is vooral het aspect van toegangsbeveiliging relevant. Groepsbeleid en domeinconfiguraties beïnvloeden welke gebruikers en systemen toegang hebben tot persoonsgegevens en welke beveiligingsinstellingen worden afgedwongen. Wanneer een aanvaller de verbinding met domeincontrollers kan manipuleren, bestaat het risico dat beveiligingsinstellingen worden afgezwakt of omzeild, wat rechtstreeks gevolgen heeft voor de bescherming van persoonsgegevens. Met hardened UNC-paths wordt het aanzienlijk lastiger om verkeer tussen clients en domeincontrollers af te luisteren of te wijzigen, wat een belangrijke aanvullende maatregel vormt binnen het geheel van technische en organisatorische beveiligingsmaatregelen zoals bedoeld in AVG artikel 32. Auditors en toezichthouders vragen vaak expliciet om bewijs dat kritieke beveiligingsinstellingen zijn afgedwongen en dat afwijkingen worden gemonitord. Daarom is het essentieel dat de organisatie niet alleen het Intune-beleid zelf archiveert, maar ook kan aantonen dat het beleid daadwerkelijk actief is op relevante systemen. Dit kan door middel van exporten van Intune-profielconfiguraties, rapportages over compliance status, en logbestanden waarin te zien is dat apparaten conform het beleid functioneren. Combineer deze informatie met change- en release-documentatie waarin staat wanneer het hardened UNC-beleid is ingevoerd, welke systemen onder het bereik vallen en hoe uitzonderingen worden beheerd. Een goed ingerichte logging- en auditingketen maakt het daarnaast mogelijk om bij incidenten snel te onderzoeken of misbruik is gemaakt van onbeveiligde UNC-verbindingen. Door logbronnen te koppelen aan een centrale SIEM-oplossing kunnen beheerders trends herkennen, zoals herhaalde verbindingsfouten met domeincontrollers of pogingen om niet-ondersteunde protocollen te gebruiken. Deze inzichten ondersteunen niet alleen reactieve incidentrespons, maar ook proactieve verbeteringen van beleid en configuratie. Tot slot moet compliance rondom hardened UNC-paths worden verankerd in het bredere governanceproces. Dit betekent dat periodieke reviews plaatsvinden waarin wordt gecontroleerd of het Intune-beleid nog aansluit bij actuele dreigingsbeelden, Microsoft-aanbevelingen en interne risicobeoordelingen. Eventuele wijzigingen worden formeel vastgesteld, gecommuniceerd naar relevante stakeholders en gedocumenteerd in beleids- en processtukken. Op deze manier ontstaat een sluitende keten van beleid, technische inrichting, monitoring en verantwoording waarmee de organisatie overtuigend kan aantonen dat zij zorgvuldig omgaat met de beveiliging van haar Windows-domeinomgeving.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Intune Privacy: Hardened UNC Paths .DESCRIPTION CIS - UNC paths (NETLOGON, SYSVOL) moeten hardened met mutual auth, integrity, privacy. .NOTES Filename: hardened-unc-paths.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths|Expected: Configured #> #Requires -Version 5.1 #Requires -RunAsAdministrator [CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert) $ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths" function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) } function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "hardened-unc-paths.ps1"; PolicyName = "Hardened UNC Paths"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = "Configured"; Details = @() }; function Invoke-Revert { Remove-Item -Path $RegPath -Recurse -Force -ErrorAction SilentlyContinue } try { if (Test-Path $RegPath) { $props = Get-ItemProperty -Path $RegPath; $netlogon = $props.'\\*\NETLOGON' -match 'RequireMutualAuthentication=1.*RequireIntegrity=1.*RequirePrivacy=1'; $sysvol = $props.'\\*\SYSVOL' -match 'RequireMutualAuthentication=1.*RequireIntegrity=1.*RequirePrivacy=1'; if ($netlogon -and $sysvol) { $r.IsCompliant = $true; $r.Details += "UNC paths hardened" }else { $r.Details += "Incomplete hardening" } }else { $r.Details += "Niet geconfigureerd" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r } function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; $hardenString = "RequireMutualAuthentication=1,RequireIntegrity=1,RequirePrivacy=1"; Set-ItemProperty -Path $RegPath -Name '\\*\NETLOGON' -Value $hardenString -Type String -Force; Set-ItemProperty -Path $RegPath -Name '\\*\SYSVOL' -Value $hardenString -Type String -Force; Write-Host "UNC paths hardened" -ForegroundColor Green } function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r } function Invoke-Revert { Remove-Item -Path $RegPath -Recurse -Force -ErrorAction SilentlyContinue } try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }

Risico zonder implementatie

Risico zonder implementatie
High: Zonder hardened UNC-paden voor Netlogon- en SYSVOL-shares blijft het mogelijk dat aanvallers verkeer manipuleren, inloggegevens onderscheppen en via misbruik van groepsbeleid het volledige domein compromitteren, wat kan leiden tot langdurige uitval van diensten en ernstige schending van vertrouwelijkheid en integriteit.

Management Samenvatting

Dwing via Intune af dat alle verbindingen met Netlogon- en SYSVOL-shares gebruikmaken van wederzijdse verificatie, integriteitscontrole en versleuteling, zodat domeincommunicatie structureel wordt beschermd tegen misbruik en manipulatie.