💼 Management Samenvatting
De account lockout duur bepaalt hoe lang een gebruikersaccount geblokkeerd blijft nadat de drempelwaarde voor mislukte aanmeldpogingen is bereikt. De aanbeveling voor Nederlandse overheidsorganisaties is minimaal 15 minuten, conform de CIS Benchmark standaard.
Aanbeveling
IMPLEMENT
Risico zonder
Medium
Risk Score
6/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Windows 10
✓ Windows 11
✓ Windows 11
Het instellen van de juiste account lockout duur vereist een zorgvuldige balans tussen beveiliging en gebruiksvriendelijkheid. Een te korte lockout periode van minder dan 5 minuten biedt onvoldoende bescherming tegen brute-force aanvallen, omdat aanvallers simpelweg kunnen wachten en daarna opnieuw kunnen proberen. Dit maakt het mogelijk om systematisch wachtwoorden te raden zonder significante vertraging. Aan de andere kant leidt een te lange lockout periode van meer dan 60 minuten tot gebruikersfrustratie wanneer legitieme gebruikers per ongeluk hun wachtwoord verkeerd intypen. Dit resulteert in een verhoogde belasting van de helpdesk en verminderde productiviteit. De CIS aanbeveling van 15 minuten vormt de optimale balans: het biedt voldoende vertraging om brute-force aanvallen effectief te ontmoedigen, terwijl legitieme gebruikers binnen een redelijke tijd weer toegang krijgen. Een alternatieve benadering is het instellen van 0 minuten, wat betekent dat accounts alleen handmatig door beheerders kunnen worden ontgrendeld. Hoewel dit de hoogste beveiliging biedt, leidt dit tot een aanzienlijk hogere belasting van de helpdesk en is daarom alleen geschikt voor omgevingen met zeer hoge beveiligingseisen.
PowerShell Modules Vereist
Primary API: Microsoft Graph API
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
De account lockout duur configuratie van 15 minuten betekent dat een account automatisch wordt ontgrendeld na 15 minuten. Tijdens de lockout periode kunnen gebruikers niet inloggen, ongeacht of ze het juiste wachtwoord gebruiken. Alle aanmeldpogingen falen automatisch totdat de lockout periode is verstreken of totdat een beheerder het account handmatig ontgrendelt via Active Directory Users and Computers. Deze instelling werkt samen met de account lockout threshold, die bepaalt na hoeveel mislukte pogingen een account wordt geblokkeerd (standaard 5 pogingen), en de account lockout reset counter, die bepaalt hoe lang het systeem wacht voordat de teller voor mislukte pogingen wordt gereset (ook 15 minuten). Deze drie instellingen vormen samen een effectief beveiligingsmechanisme tegen ongeautoriseerde toegangspogingen.
Vereisten
Voor het implementeren van de account lockout duur configuratie zijn verschillende technische en organisatorische vereisten van toepassing. Ten eerste is een actief Microsoft Intune abonnement noodzakelijk, omdat deze beveiligingsinstelling wordt beheerd via de Intune Settings Catalog. Intune biedt de mogelijkheid om beveiligingsbeleid centraal te configureren en te distribueren naar alle Windows-apparaten binnen de organisatie, wat essentieel is voor consistente beveiligingsimplementatie. Daarnaast moeten alle doelapparaten beschikken over Windows 10 of Windows 11 in de Pro of Enterprise editie, aangezien deze edities de benodigde beveiligingsfuncties ondersteunen die vereist zijn voor account lockout beheer. De Home editie van Windows ondersteunt deze geavanceerde beveiligingsinstellingen niet en kan daarom niet worden beheerd via Intune voor dit specifieke beveiligingsdoel. Bovendien moet de account lockout threshold reeds zijn geconfigureerd op 5 mislukte aanmeldpogingen, omdat de lockout duur alleen effectief is wanneer deze samenwerkt met een gedefinieerde drempelwaarde. Zonder een geconfigureerde threshold zal het systeem nooit accounts blokkeren, ongeacht de ingestelde lockout duur. Deze drie vereisten vormen samen de basis voor een succesvolle implementatie van account lockout beveiliging binnen de Microsoft 365 omgeving.
Implementatie
Gebruik PowerShell-script account-lockout-duration.ps1 (functie Invoke-Implementation) – Implementeren.
De implementatie van de account lockout duur configuratie wordt uitgevoerd via de Intune Settings Catalog, een centrale locatie binnen Microsoft Endpoint Manager waar beveiligingsinstellingen kunnen worden geconfigureerd en toegewezen aan apparaten of gebruikersgroepen. Om de configuratie te implementeren, navigeert u naar de Intune admin center en selecteert u Devices, gevolgd door Configuration profiles. Vervolgens maakt u een nieuw profiel aan en kiest u voor de Settings Catalog profieltype. Binnen de Settings Catalog zoekt u naar Security Options en expandeert u deze sectie om toegang te krijgen tot de Account Lockout instellingen. Hier selecteert u Account lockout duration en stelt u de waarde in op 15 minuten. Het is belangrijk om te begrijpen dat deze instelling optimaal functioneert wanneer deze wordt gecombineerd met gerelateerde account lockout beleidsregels. De account lockout threshold moet worden ingesteld op 5 mislukte aanmeldpogingen, wat betekent dat na vijf opeenvolgende mislukte pogingen het account wordt geblokkeerd. Daarnaast moet de account lockout reset counter worden geconfigureerd op 15 minuten, wat bepaalt hoe lang het systeem wacht voordat de teller voor mislukte pogingen wordt gereset. Deze drie instellingen werken samen om een effectief beveiligingsmechanisme te creëren dat brute-force aanvallen ontmoedigt zonder legitieme gebruikers onnodig te hinderen. Na het configureren van het profiel moet dit worden toegewezen aan de relevante gebruikers- of apparaatgroepen binnen de organisatie. Het kan enkele minuten tot uren duren voordat de configuratie is geïmplementeerd op alle doelapparaten, afhankelijk van de synchronisatiefrequentie van Intune.
Compliance
De account lockout duur configuratie van 15 minuten voldoet aan verschillende belangrijke beveiligingsstandaarden en compliance frameworks die relevant zijn voor Nederlandse overheidsorganisaties. De CIS Windows Benchmark Level 1 (L1) specificeert expliciet dat de account lockout duur moet worden ingesteld op minimaal 15 minuten. Deze benchmark wordt wereldwijd erkend als een best practice voor Windows-beveiliging en wordt vaak gebruikt als basis voor beveiligingsaudits. De L1 configuratie is gericht op praktische beveiligingsmaatregelen die kunnen worden geïmplementeerd zonder significante impact op functionaliteit of gebruiksvriendelijkheid. Voor Nederlandse overheidsorganisaties is de Baseline Informatiebeveiliging Overheid (BIO) van cruciaal belang. Binnen het BIO framework valt de account lockout duur configuratie onder controle 09.02.01, die betrekking heeft op toegangsbeheer en authenticatie. Deze controle vereist dat organisaties passende maatregelen treffen om ongeautoriseerde toegang te voorkomen, waarbij account lockout mechanismen een essentieel onderdeel vormen. De 15 minuten lockout duur biedt voldoende bescherming tegen brute-force aanvallen terwijl het tegelijkertijd de operationele impact beperkt. Daarnaast voldoet deze configuratie aan ISO 27001 controle A.9.4.2, die betrekking heeft op toegangscontrole en het beheer van gebruikersrechten. ISO 27001 is een internationaal erkende standaard voor informatiebeveiligingsmanagement en wordt vaak gebruikt door organisaties die hun beveiligingsprocessen willen certificeren. De controle A.9.4.2 vereist dat organisaties passende maatregelen implementeren om ongeautoriseerde toegang te voorkomen, waarbij account lockout mechanismen worden genoemd als een effectieve beveiligingsmaatregel. Voor Nederlandse organisaties die werken met gevoelige overheidsgegevens is het belangrijk om te begrijpen dat deze configuratie ook bijdraagt aan de naleving van de Algemene Verordening Gegevensbescherming (AVG), omdat het helpt bij het beschermen van persoonsgegevens tegen ongeautoriseerde toegang. Door het implementeren van deze account lockout duur configuratie kunnen organisaties aantonen dat zij passende technische en organisatorische maatregelen hebben getroffen om persoonsgegevens te beschermen, zoals vereist door artikel 32 van de AVG.
Monitoring
Gebruik PowerShell-script account-lockout-duration.ps1 (functie Invoke-Monitoring) – Controleren.
Het monitoren van de account lockout duur configuratie is essentieel om te verzekeren dat de beveiligingsinstelling correct is geïmplementeerd en actief blijft op alle doelapparaten. Regelmatige monitoring helpt bij het identificeren van configuratiedrift, waarbij apparaten mogelijk terugvallen naar standaardinstellingen of waarbij nieuwe apparaten de configuratie nog niet hebben ontvangen. Het monitoren kan worden uitgevoerd via verschillende methoden, waaronder het gebruik van PowerShell scripts die verbinding maken met Microsoft Graph API om de configuratiestatus van apparaten te controleren. Deze scripts kunnen worden geautomatiseerd om dagelijks of wekelijks te draaien en rapporten te genereren die aangeven welke apparaten compliant zijn en welke niet. Daarnaast biedt Microsoft Intune ingebouwde rapportagefunctionaliteit via de Endpoint Manager admin center, waar compliance rapporten kunnen worden bekeken die de status van alle configuratieprofielen weergeven. Het is belangrijk om niet alleen te monitoren of de configuratie is toegepast, maar ook om te controleren of de instelling daadwerkelijk effectief is. Dit kan worden gedaan door het analyseren van Windows Event Logs, specifiek de Security log, waar account lockout gebeurtenissen worden vastgelegd. Door deze logs regelmatig te analyseren kunnen beveiligingsteams patronen identificeren die kunnen wijzen op brute-force aanvallen of andere beveiligingsincidenten. Monitoring moet ook aandacht besteden aan de gebruikerservaring, waarbij wordt gecontroleerd of legitieme gebruikers onnodig worden gehinderd door de lockout configuratie. Een plotselinge toename van lockout gebeurtenissen kan wijzen op een probleem met wachtwoordbeleid of gebruikerseducatie, terwijl een afname kan wijzen op een probleem met de configuratie zelf.
Remediatie
Gebruik PowerShell-script account-lockout-duration.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer monitoring aangeeft dat de account lockout duur configuratie niet correct is geïmplementeerd op bepaalde apparaten, moeten remediatiestappen worden ondernomen om de beveiligingspostuur te herstellen. De remediatie kan worden uitgevoerd via geautomatiseerde PowerShell scripts die gebruik maken van Microsoft Graph API om de configuratie opnieuw toe te passen op niet-compliant apparaten. Deze scripts kunnen worden geconfigureerd om automatisch te draaien wanneer niet-compliance wordt gedetecteerd, waardoor de tijd tussen detectie en herstel wordt geminimaliseerd. In gevallen waar automatische remediatie niet mogelijk is, moeten beheerders handmatig ingrijpen door de configuratie opnieuw toe te wijzen aan de betreffende apparaten of gebruikersgroepen. Het is belangrijk om te begrijpen dat remediatie niet alleen betrekking heeft op het herstellen van de configuratie, maar ook op het adresseren van de onderliggende oorzaken van niet-compliance. Apparaten die consistent niet-compliant zijn kunnen wijzen op problemen met de Intune synchronisatie, netwerkconnectiviteit, of apparaatconfiguratie. In dergelijke gevallen moeten beheerders dieper onderzoek doen om de root cause te identificeren en op te lossen. Daarnaast moet remediatie ook aandacht besteden aan het herstellen van de beveiligingspostuur na incidenten waarbij accounts mogelijk zijn gecompromitteerd. In dergelijke scenario's kan het nodig zijn om alle betrokken accounts handmatig te ontgrendelen en te verifiëren dat de lockout configuratie correct functioneert voordat gebruikers weer toegang krijgen. Het is ook belangrijk om gebruikers te informeren over de lockout configuratie en hen te adviseren over wat te doen wanneer hun account wordt geblokkeerd, om onnodige helpdesk tickets te voorkomen.
Compliance & Frameworks
- CIS M365: Control Windows - Lockout duration (L1) -
- BIO: 09.02.01 -
- ISO 27001:2022: A.9.4.2 -
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Intune: Account Lockout Duration (15+ Minutes)
.DESCRIPTION
Implementeert, monitort en herstelt: Intune: Account Lockout Duration (15+ Minutes)
.NOTES
Filename: account-lockout-duration.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
Workload: intune
Category: security-options
#>
#Requires -Version 5.1
[CmdletBinding()]
param()
$ErrorActionPreference = 'Stop'
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Invoke-Implementation - Intune: Account Lockout Duration (15+ Minutes)" -ForegroundColor Cyan
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
try {
Write-Host "
========================================" -ForegroundColor Cyan
Write-Host "Intune: Account Lockout Duration (15+ Minutes) - Monitoring" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
# TODO: Implementeer monitoring logica voor Intune: Account Lockout Duration (15+ Minutes)
Write-Host "[INFO] Monitoring check voor Intune: Account Lockout Duration (15+ Minutes)" -ForegroundColor Yellow
Write-Host "[OK] Monitoring check completed" -ForegroundColor Green
}
catch {
Write-Error "Monitoring failed: $_"
throw
}
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
#>
[CmdletBinding()]
param()
try {
Write-Host "
========================================" -ForegroundColor Cyan
Write-Host "Intune: Account Lockout Duration (15+ Minutes) - Remediation" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
# TODO: Implementeer remediation logica voor Intune: Account Lockout Duration (15+ Minutes)
Write-Host "[INFO] Remediation voor Intune: Account Lockout Duration (15+ Minutes)" -ForegroundColor Yellow
Write-Host "[OK] Remediation completed" -ForegroundColor Green
}
catch {
Write-Error "Remediation failed: $_"
throw
}
}
Risico zonder implementatie
Risico zonder implementatie
Medium: Gemiddeld: Een te korte lockout duur maakt brute-force aanvallen mogelijk doordat aanvallers kunnen wachten en opnieuw kunnen proberen. Een te lange lockout duur leidt tot gebruikersfrustratie en verhoogde helpdesk belasting wanneer legitieme gebruikers per ongeluk hun wachtwoord verkeerd intypen.
Management Samenvatting
Account lockout duur: 15 minuten. Biedt optimale balans tussen beveiliging en gebruiksvriendelijkheid. Werkt samen met lockout threshold van 5 pogingen. Implementatietijd: 1-2 uur.
- Implementatietijd: 2 uur
- FTE required: 0.01 FTE