💼 Management Samenvatting
Schakel Basic Authentication uit voor Windows Remote Management (WinRM) om te voorkomen dat credentials in plaintext over het netwerk worden verzonden.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Windows 10
✓ Windows 11
✓ Windows Server
✓ Windows 11
✓ Windows Server
Basic Authentication in WinRM verzendt gebruikersnaam en wachtwoord als base64-gecodeerde string over het netwerk. Base64 is geen encryptie maar slechts encoding - credentials kunnen triviaal worden gedecodeerd door iedereen die netwerkverkeer kan onderscheppen. Dit vormt een ernstig beveiligingsrisico omdat: credentials kunnen worden onderschept via Man-in-the-Middle aanvallen, network sniffing tools zoals Wireshark credentials direct kunnen decoderen, zelfs over HTTPS is Basic Auth problematisch voor WinRM, moderne authenticatie methoden zoals Kerberos veel veiliger zijn, en compliance frameworks Basic Auth expliciet verbieden. Voor remote management moet altijd moderne authenticatie worden gebruikt.
PowerShell Modules Vereist
Primary API: Microsoft Graph
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
Deze control configureert de registry-instelling HKLM:\SOFTWARE\beleidsregels\Microsoft\Windows\WinRM\Client\AllowBasic op 0 (uitgeschakeld) via Intune Device Configuration. Hierdoor wordt Basic Authentication geblokkeerd voor WinRM client verbindingen en worden beheerders gedwongen om veiligere authenticatie methoden zoals Kerberos of NTLM te gebruiken.
Vereisten
Voordat u Basic Authentication uitschakelt voor Windows Remote Management (WinRM), moet uw organisatie beschikken over de juiste infrastructuur, licenties en configuraties. Deze vereisten zijn essentieel om te waarborgen dat remote management functionaliteit behouden blijft na het uitschakelen van Basic Authentication, en om te voorkomen dat beheerders en geautomatiseerde scripts zonder toegang komen te zitten. Het uitschakelen van Basic Authentication zonder de juiste alternatieven te hebben geconfigureerd kan leiden tot complete verlies van remote management capabilities, wat catastrofaal kan zijn voor organisaties die afhankelijk zijn van remote administration voor hun Windows-omgeving.
De primaire technische vereiste is een actieve Microsoft Intune licentie en een correct geconfigureerde device enrollment. Alle Windows-apparaten die moeten worden beveiligd moeten zijn geregistreerd in Microsoft Intune en moeten een geldige licentie hebben. Dit omvat zowel Windows 10 als Windows 11 client-apparaten, evenals Windows Server 2016 en hoger voor serveromgevingen. Zonder Intune enrollment kunnen device configuration policies niet worden toegepast, wat betekent dat Basic Authentication niet centraal kan worden uitgeschakeld. Organisaties die nog geen Intune hebben geïmplementeerd, moeten eerst een volledige Intune setup uitvoeren, inclusief het configureren van device enrollment methods, het opzetten van compliance policies, en het testen van policy deployment voordat ze deze security control kunnen implementeren.
Voor het configureren van de policy via geautomatiseerde methoden zijn Microsoft Graph PowerShell modules vereist. Specifiek moet de Microsoft.Graph.DeviceManagement module zijn geïnstalleerd en geconfigureerd met de juiste permissions. Deze module stelt beheerders in staat om programmatisch device configuration policies aan te maken, te wijzigen en toe te wijzen aan device groups. De Graph API vereist ook de juiste application permissions of delegated permissions, afhankelijk van of de scripts worden uitgevoerd als service principal of als gebruiker. Beheerders moeten ervoor zorgen dat de Graph API connection correct is geconfigureerd via Connect-MgGraph en dat alle benodigde scopes zijn verleend. Zonder deze modules en permissions kunnen geautomatiseerde deployment scripts niet worden uitgevoerd, wat betekent dat handmatige configuratie via de Intune admin center noodzakelijk is.
Voor domain-joined devices is een correct geconfigureerd Active Directory met Kerberos authenticatie absoluut essentieel. Kerberos is de primaire moderne authenticatie methode voor Windows Remote Management in domain-omgevingen en biedt veel betere beveiliging dan Basic Authentication. Active Directory moet correct zijn geconfigureerd met functionerende domain controllers, geldige Kerberos ticket granting services, en correct geconfigureerde service principal names (SPNs) voor WinRM services. Zonder een werkende Kerberos-configuratie zullen remote management verbindingen falen zodra Basic Authentication is uitgeschakeld, wat betekent dat beheerders geen toegang meer hebben tot remote systems. Organisaties moeten daarom eerst verifiëren dat Kerberos authenticatie correct werkt voor WinRM verbindingen voordat ze Basic Authentication uitschakelen. Dit kan worden getest door handmatig een WinRM verbinding te maken met Kerberos authenticatie en te verifiëren dat deze succesvol is.
Een kritieke vereiste die vaak over het hoofd wordt gezien is het testen van alle bestaande remote management scripts en geautomatiseerde tools die mogelijk Basic Authentication gebruiken. Veel organisaties hebben PowerShell scripts, monitoring tools, configuration management systemen, of backup software die WinRM gebruiken voor remote access. Deze tools kunnen stilzwijgend afhankelijk zijn van Basic Authentication zonder dat dit expliciet is gedocumenteerd. Voordat Basic Authentication wordt uitgeschakeld, moeten alle dergelijke scripts en tools worden geïdentificeerd en getest om te verifiëren dat ze werken met Kerberos of NTLM authenticatie. Scripts die Basic Authentication gebruiken moeten worden aangepast om moderne authenticatie methoden te gebruiken, of moeten worden vervangen door alternatieven die wel moderne authenticatie ondersteunen. Het falen van deze identificatie en testing kan leiden tot het onverwacht falen van kritieke geautomatiseerde processen na het uitschakelen van Basic Authentication.
Alternatieve authenticatie methoden moeten volledig zijn geconfigureerd en getest voordat Basic Authentication wordt uitgeschakeld. Voor domain-joined devices betekent dit dat Kerberos correct moet werken, zoals hierboven beschreven. Voor workgroup computers of devices die niet zijn verbonden met een domain, moet NTLM authenticatie correct zijn geconfigureerd. NTLM is minder veilig dan Kerberos maar nog steeds aanzienlijk veiliger dan Basic Authentication. Organisaties moeten ook overwegen om Certificate-based authenticatie te implementeren voor extra beveiliging, vooral voor high-security omgevingen. Het is essentieel om uitgebreide testing uit te voeren van alle remote management scenario's met de alternatieve authenticatie methoden voordat Basic Authentication wordt uitgeschakeld. Deze testing moet verschillende use cases omvatten, inclusief remote PowerShell sessions, remote command execution, en remote configuration management.
Ten slotte moeten organisaties een rollback plan hebben voor het geval dat het uitschakelen van Basic Authentication onverwachte problemen veroorzaakt. Hoewel dit idealiter niet nodig zou moeten zijn als alle vereisten correct zijn geïmplementeerd, is het belangrijk om een plan te hebben voor het snel herstellen van Basic Authentication indien kritieke systemen zonder remote access komen te zitten. Dit plan moet documenteren hoe de policy kan worden teruggedraaid, welke devices mogelijk handmatige interventie vereisen, en wie verantwoordelijk is voor het uitvoeren van de rollback. Het plan moet ook communicatieprocedures bevatten voor het informeren van stakeholders over eventuele problemen en de verwachte resolutietijd.
Implementatie
Gebruik PowerShell-script allow-basic-authentication-is-set-to-disabled.ps1 (functie Invoke-Remediation) – PowerShell script voor automatische uitschakeling van Basic Auth in WinRM.
De implementatie van het uitschakelen van Basic Authentication voor Windows Remote Management kan worden uitgevoerd via verschillende methoden, afhankelijk van de voorkeur van de organisatie en de beschikbare automatisering. De primaire aanbevolen methode is via Microsoft Intune Device Configuration policies, wat centraal beheer mogelijk maakt en consistentie waarborgt across alle Windows-apparaten in de organisatie. Alternatief kunnen organisaties gebruikmaken van Group Policy Objects (GPO) voor on-premises omgevingen, of directe registry-configuratie via PowerShell scripts voor specifieke use cases. Ongeacht de gekozen methode, is het essentieel om eerst te verifiëren dat alternatieve authenticatie methoden correct functioneren voordat Basic Authentication wordt uitgeschakeld, om te voorkomen dat remote management functionaliteit verloren gaat.
Voor handmatige implementatie via Microsoft Intune begint het proces met het openen van de Microsoft Intune admin center via endpoint.microsoft.com. Beheerders moeten zich aanmelden met een account dat beschikt over de juiste permissions voor het maken en beheren van device configuration policies. Navigeer vervolgens naar de Devices sectie in het linkermenu, selecteer Configuration profiles, en klik op Create profile om een nieuwe device configuration policy aan te maken. Tijdens het aanmaakproces moet het platform worden geselecteerd als Windows 10 en later, wat zowel Windows 10 als Windows 11 client-apparaten en Windows Server 2016 en hoger omvat. Voor het profile type zijn er twee opties: Templates met Device restrictions, of de modernere Settings catalog met Administrative Templates. Beide methoden zijn geschikt, maar de Settings catalog biedt meer granulariteit en is de aanbevolen aanpak voor nieuwe implementaties.
Bij gebruik van de Settings catalog methode, navigeer naar Administrative Templates en zoek naar Windows Components. Vouw deze sectie uit en selecteer Windows Remote Management (WinRM), gevolgd door WinRM Client. In deze sectie bevindt zich de policy setting Sta toe Basic authentication, die moet worden geconfigureerd op Disabled. Deze setting komt overeen met de registry waarde HKLM:\SOFTWARE\beleidsregels\Microsoft\Windows\WinRM\Client\AllowBasic met waarde 0. Het is belangrijk om te begrijpen dat deze policy setting alleen van toepassing is op WinRM client verbindingen, wat betekent dat het apparaat Basic Authentication niet kan gebruiken wanneer het verbinding maakt met andere systemen via WinRM. De server-side WinRM configuratie wordt beheerd via een separate policy setting voor WinRM Service, die ook moet worden geconfigureerd voor complete beveiliging.
Voordat de policy wordt toegewezen aan alle devices, is het absoluut essentieel om eerst een pilot deployment uit te voeren met een kleine groep test devices. Deze pilot groep moet representatief zijn voor de productie-omgeving en moet verschillende scenario's omvatten, zoals domain-joined devices, workgroup computers, laptops die regelmatig off-network zijn, en servers met verschillende workloads. Tijdens de pilot periode moeten beheerders uitgebreide testing uitvoeren van alle remote management functionaliteit, inclusief remote PowerShell sessions, remote command execution, geautomatiseerde scripts die WinRM gebruiken, en monitoring tools die afhankelijk zijn van WinRM. Eventuele problemen die tijdens de pilot worden gedetecteerd moeten worden opgelost voordat de policy wordt uitgerold naar de volledige organisatie. De pilot periode moet minimaal twee weken duren om voldoende tijd te hebben voor het identificeren van edge cases en onverwachte problemen.
Na succesvolle pilot testing kan de policy worden toegewezen aan alle Windows devices in de organisatie. Tijdens de assignment configuratie moeten beheerders ervoor zorgen dat de policy wordt toegewezen aan de juiste device groups, en dat eventuele uitzonderingen correct zijn geconfigureerd. Uitzonderingen moeten minimaal zijn en alleen worden gebruikt voor devices met legitieme business requirements die Basic Authentication vereisen, zoals legacy systemen die niet kunnen worden geüpgraded. Alle uitzonderingen moeten worden gedocumenteerd met een duidelijke business justification en een plan voor het uiteindelijk elimineren van de uitzondering. Na de assignment duurt het typisch 15-30 minuten voordat de policy wordt toegepast op devices, afhankelijk van de Intune sync cycle en device connectivity.
Voor organisaties die Group Policy Objects gebruiken in plaats van of naast Intune, kan dezelfde configuratie worden toegepast via een GPO. De GPO moet worden gekoppeld aan de juiste Organizational Unit (OU) en moet de Administrative Template setting configureren voor Windows Remote Management. De registry waarde die wordt geconfigureerd is identiek aan de Intune policy: HKLM:\SOFTWARE\beleidsregels\Microsoft\Windows\WinRM\Client\AllowBasic met DWORD waarde 0. Het is belangrijk om te begrijpen dat wanneer zowel Intune als GPO dezelfde setting configureren, de GPO setting typisch voorrang heeft op domain-joined devices, tenzij Intune MDM policies zijn geconfigureerd om GPO settings te overschrijven. Organisaties moeten hun policy precedence configuratie controleren om te verifiëren dat de juiste setting wordt toegepast.
Voor directe registry-configuratie via PowerShell scripts kan de registry waarde direct worden aangepast op individuele devices. Het registry pad is HKLM:\SOFTWARE\beleidsregels\Microsoft\Windows\WinRM\Client, de waarde naam is AllowBasic, het type is DWORD, en de data waarde moet 0 zijn om Basic Authentication uit te schakelen. Deze methode is minder aanbevolen voor productie-omgevingen omdat het geen centraal beheer biedt en moeilijker te monitoren is, maar kan nuttig zijn voor testing doeleinden of voor devices die niet kunnen worden beheerd via Intune of GPO. Wanneer deze methode wordt gebruikt, moeten beheerders ervoor zorgen dat de registry wijziging wordt toegepast op alle relevante devices en dat er monitoring is om te verifiëren dat de setting niet wordt teruggedraaid door andere processen.
Een kritieke aandachtspunt tijdens de implementatie is het verifiëren dat Kerberos of NTLM authenticatie correct werkt voor remote management voordat Basic Authentication wordt uitgeschakeld. Voor domain-joined devices moet Kerberos authenticatie worden getest door een remote PowerShell session te starten met expliciete Kerberos authenticatie en te verifiëren dat de verbinding succesvol is. Voor workgroup computers of devices zonder domain connectivity moet NTLM authenticatie worden getest. Het falen van deze verificatie kan leiden tot complete verlies van remote management functionaliteit zodra Basic Authentication is uitgeschakeld, wat betekent dat beheerders fysieke toegang tot devices nodig hebben om problemen op te lossen. Dit kan aanzienlijke operationele impact hebben, vooral voor remote offices of cloud-hosted servers waar fysieke toegang niet direct beschikbaar is.
Na de implementatie moeten beheerders de policy compliance status monitoren via de Intune admin center om te verifiëren dat de policy correct wordt toegepast op alle devices. Devices die niet-compliant zijn moeten worden onderzocht om te bepalen waarom de policy niet wordt toegepast, wat kan variëren van sync problemen tot conflicterende policies of device configuration issues. Eventuele problemen moeten worden opgelost voordat de implementatie als compleet wordt beschouwd. Daarnaast moeten beheerders de helpdesk monitoren voor tickets gerelateerd aan remote management problemen, omdat gebruikers mogelijk problemen ervaren met remote access die verband houden met het uitschakelen van Basic Authentication. Deze tickets moeten worden behandeld als hoge prioriteit omdat ze kunnen wijzen op configuratieproblemen of ontbrekende alternatieve authenticatie setup.
Monitoring
Gebruik PowerShell-script allow-basic-authentication-is-set-to-disabled.ps1 (functie Invoke-Monitoring) – Controleert of Basic Auth correct is uitgeschakeld.
Effectieve monitoring van Basic Authentication uitschakeling voor WinRM is essentieel om te waarborgen dat de security control correct wordt toegepast op alle devices, dat eventuele configuratiefouten tijdig worden gedetecteerd, en dat remote management functionaliteit behouden blijft. Monitoring omvat het continu volgen van policy compliance status, het detecteren van devices waar Basic Authentication nog steeds is ingeschakeld, het monitoren van authentication failures die kunnen wijzen op problemen met alternatieve authenticatie methoden, en het waarborgen dat alle wijzigingen worden gedocumenteerd voor auditdoeleinden. Zonder uitgebreide monitoring kunnen organisaties niet garanderen dat Basic Authentication daadwerkelijk is uitgeschakeld op alle devices, wat kan leiden tot onnodige beveiligingsrisico's.
De primaire monitoring methode is via de Microsoft Intune compliance status voor deze specifieke device configuration policy. Beheerders moeten regelmatig de Intune admin center controleren om te verifiëren dat alle devices compliant zijn met de Basic Authentication disable policy. De compliance status kan worden bekeken via Devices → Configuration profiles → [Policy Name] → Device status, waar een overzicht wordt getoond van alle devices en hun compliance status. Devices die als niet-compliant worden gemarkeerd moeten onmiddellijk worden onderzocht om te bepalen waarom de policy niet wordt toegepast. Mogelijke oorzaken kunnen zijn: devices die niet zijn gesynchroniseerd met Intune, conflicterende policies die de setting overschrijven, devices die offline zijn geweest tijdens policy deployment, of handmatige registry wijzigingen die de policy setting hebben overschreven. Elke niet-compliant device vertegenwoordigt een potentieel beveiligingsrisico en moet worden behandeld als hoge prioriteit.
Naast Intune compliance monitoring moeten beheerders regelmatig de registry waarde op endpoints verifiëren via geautomatiseerde monitoring scripts. Het monitoring script moet de registry waarde HKLM:\SOFTWARE\beleidsregels\Microsoft\Windows\WinRM\Client\AllowBasic controleren en verifiëren dat deze is ingesteld op 0 (uitgeschakeld). Voor devices waar deze waarde niet bestaat of is ingesteld op 1 (ingeschakeld), moet een alert worden gegenereerd zodat beheerders onmiddellijk kunnen ingrijpen. Het monitoring script moet regelmatig worden uitgevoerd, bij voorkeur dagelijks, en moet alle Windows devices in de organisatie controleren. De resultaten moeten worden gelogd in een centrale logging oplossing zoals Azure Log Analytics of een SIEM systeem, zodat trends kunnen worden geanalyseerd en compliance rapportage kan worden gegenereerd voor auditdoeleinden. Het script moet ook historische data bijhouden zodat beheerders kunnen zien wanneer en waarom devices mogelijk zijn teruggedraaid naar een niet-compliant status.
WinRM event logs moeten worden gemonitord voor authentication failures die kunnen wijzen op problemen met alternatieve authenticatie methoden of pogingen tot gebruik van Basic Authentication. De Microsoft-Windows-WinRM-Client event log bevat gedetailleerde informatie over alle WinRM client verbindingen, inclusief de gebruikte authenticatie methode en eventuele failures. Beheerders moeten alert rules configureren die waarschuwen wanneer er authentication failures optreden, vooral wanneer deze failures optreden na het uitschakelen van Basic Authentication, omdat dit kan wijzen dat alternatieve authenticatie methoden niet correct zijn geconfigureerd. Daarnaast moeten event logs worden gemonitord voor eventuele pogingen tot gebruik van Basic Authentication, wat kan wijzen op legacy scripts of tools die nog steeds proberen Basic Authentication te gebruiken. Deze pogingen moeten worden onderzocht en de betreffende scripts of tools moeten worden bijgewerkt om moderne authenticatie methoden te gebruiken.
Helpdesk tickets gerelateerd aan remote management problemen moeten worden gemonitord als een indicator voor mogelijke problemen met de Basic Authentication disable policy. Een toename in tickets over remote access problemen na het implementeren van de policy kan wijzen op configuratieproblemen of ontbrekende alternatieve authenticatie setup. Deze tickets moeten worden behandeld als hoge prioriteit en moeten worden geanalyseerd om te bepalen of ze verband houden met het uitschakelen van Basic Authentication. Als blijkt dat tickets worden veroorzaakt door de policy, moeten beheerders onmiddellijk actie ondernemen om de problemen op te lossen, hetzij door alternatieve authenticatie methoden te configureren, hetzij door tijdelijk uitzonderingen te maken voor specifieke devices terwijl een permanente oplossing wordt geïmplementeerd. Het is belangrijk om deze tickets te gebruiken als feedback mechanisme om de implementatie te verbeteren en om te identificeren welke devices of use cases mogelijk aanvullende configuratie vereisen.
Regelmatige verificatie dat Kerberos of NTLM authenticatie correct werkt is essentieel om te waarborgen dat remote management functionaliteit behouden blijft. Beheerders moeten periodiek testen of remote PowerShell sessions kunnen worden gestart met Kerberos of NTLM authenticatie, en moeten verifiëren dat deze verbindingen succesvol zijn. Voor domain-joined devices moet Kerberos authenticatie worden getest door een remote session te starten en te verifiëren dat de Kerberos ticket correct wordt gebruikt. Voor workgroup computers moet NTLM authenticatie worden getest. Eventuele problemen met alternatieve authenticatie moeten onmiddellijk worden opgelost, omdat deze problemen kunnen leiden tot verlies van remote management functionaliteit. Deze verificatie moet minimaal maandelijks worden uitgevoerd, en vaker voor high-security omgevingen of omgevingen met frequente configuratiewijzigingen.
Voor auditdoeleinden moeten alle monitoring activiteiten worden gedocumenteerd, inclusief compliance status checks, registry verificaties, event log reviews, en helpdesk ticket analyses. Deze documentatie moet worden bewaard voor minimaal zeven jaar om te voldoen aan compliance-vereisten van frameworks zoals AVG, ISO 27001, en de BIO-baseline. De documentatie moet ook trends en patronen bevatten, zodat beheerders kunnen identificeren of er systematische problemen zijn die moeten worden aangepakt. Regelmatige compliance rapportage moet worden gegenereerd voor management en audit teams, waarbij wordt getoond hoeveel devices compliant zijn, welke devices niet-compliant zijn en waarom, en welke acties zijn ondernomen om compliance te verbeteren.
Remediatie
Gebruik PowerShell-script allow-basic-authentication-is-set-to-disabled.ps1 (functie Invoke-Remediation) – Automatische remediatie van Basic Auth configuratie.
Wanneer monitoring detecteert dat devices niet-compliant zijn met de Basic Authentication disable policy, moeten beheerders onmiddellijk actie ondernemen om de configuratie te corrigeren. Remediatie omvat het herstellen van de correcte registry waarde, het oplossen van eventuele configuratieproblemen die hebben geleid tot de niet-compliant status, en het verifiëren dat de remediatie succesvol is geweest. Het is essentieel om snel te reageren op niet-compliant devices omdat elke device waar Basic Authentication nog steeds is ingeschakeld een potentieel beveiligingsrisico vertegenwoordigt. De remediatie processen moeten geautomatiseerd worden waar mogelijk om consistentie te waarborgen en om te voorkomen dat menselijke fouten leiden tot onjuiste configuraties.
De primaire remediatie methode voor niet-compliant devices is het uitvoeren van het remediatie-script op de betreffende devices. Het script moet de registry waarde HKLM:\SOFTWARE\beleidsregels\Microsoft\Windows\WinRM\Client\AllowBasic instellen op 0 (uitgeschakeld) en moet verifiëren dat de wijziging succesvol is toegepast. Het script moet ook logging genereren zodat beheerders kunnen zien welke devices zijn gerepareerd en wanneer. Voor devices die beheerd worden via Intune, kan het script worden uitgevoerd via Intune remediation scripts, wat automatische uitvoering mogelijk maakt wanneer een device als niet-compliant wordt gedetecteerd. Voor devices die niet via Intune kunnen worden beheerd, moet het script handmatig worden uitgevoerd of via een alternatief deployment mechanisme zoals Group Policy startup scripts of Configuration Manager.
Alternatief kan de Intune policy opnieuw worden gepusht naar niet-compliant devices door de policy assignment te vernieuwen of door devices te forceren om opnieuw te synchroniseren met Intune. Dit kan worden gedaan via de Intune admin center door de policy assignment te bewerken en opnieuw op te slaan, of door devices handmatig te forceren om te synchroniseren via de Company Portal app of via een PowerShell command. Deze methode is vooral effectief wanneer de niet-compliant status wordt veroorzaakt door sync problemen of wanneer devices offline zijn geweest tijdens de initiële policy deployment. Na het opnieuw pushen van de policy moeten beheerders de compliance status opnieuw controleren om te verifiëren dat de policy nu correct wordt toegepast.
Na remediatie moet de configuratie worden geverifieerd via monitoring om te bevestigen dat de remediatie succesvol is geweest. Het monitoring script moet opnieuw worden uitgevoerd op de gerepareerde devices om te verifiëren dat de registry waarde nu correct is ingesteld op 0. Daarnaast moeten beheerders testen of remote management functionaliteit nog steeds werkt met alternatieve authenticatie methoden, om te verifiëren dat de remediatie geen onbedoelde gevolgen heeft gehad. Als de verificatie succesvol is, kan het device worden gemarkeerd als compliant. Als de verificatie faalt, moeten beheerders verder onderzoeken om te bepalen waarom de remediatie niet succesvol is geweest, wat kan variëren van permission problemen tot conflicterende policies of system-level issues.
Wanneer remote management faalt na het uitschakelen van Basic Authentication, moeten Kerberos of NTLM issues worden opgelost voordat Basic Authentication opnieuw wordt ingeschakeld. Het is belangrijk om te begrijpen dat het opnieuw inschakelen van Basic Authentication alleen moet worden overwogen als laatste redmiddel en alleen na uitgebreide troubleshooting van alternatieve authenticatie methoden. Beheerders moeten eerst verifiëren dat Active Directory correct is geconfigureerd voor Kerberos authenticatie, dat service principal names (SPNs) correct zijn geconfigureerd voor WinRM services, en dat domain controllers bereikbaar zijn. Voor NTLM authenticatie moeten beheerders verifiëren dat NTLM correct is geconfigureerd en dat er geen netwerkproblemen zijn die NTLM authenticatie blokkeren. Alleen wanneer alle troubleshooting is uitgevoerd en alternatieve authenticatie methoden niet kunnen worden gerepareerd, mag Basic Authentication tijdelijk worden hersteld, en alleen met expliciete management goedkeuring en een plan voor het uiteindelijk elimineren van de uitzondering.
Alle uitzonderingen moeten worden gedocumenteerd met een duidelijke business justification, een beschrijving van waarom alternatieve authenticatie methoden niet kunnen worden gebruikt, en een plan voor het uiteindelijk elimineren van de uitzondering. Uitzonderingen moeten minimaal zijn en alleen worden gebruikt voor devices met legitieme business requirements die Basic Authentication vereisen, zoals legacy systemen die niet kunnen worden geüpgraded of gespecialiseerde applicaties die alleen Basic Authentication ondersteunen. Alle uitzonderingen moeten worden gereviewd door security management en moeten regelmatig worden geëvalueerd om te bepalen of ze nog steeds nodig zijn. Uitzonderingen moeten een expiration date hebben en moeten worden verwijderd zodra ze niet meer nodig zijn. Het is belangrijk om te begrijpen dat elke uitzondering een beveiligingsrisico vertegenwoordigt en dat organisaties moeten streven naar het elimineren van alle uitzonderingen op de langere termijn.
Voor devices die herhaaldelijk niet-compliant worden, moeten beheerders verder onderzoeken om te bepalen waarom de configuratie niet blijft. Mogelijke oorzaken kunnen zijn: conflicterende policies die de setting overschrijven, geautomatiseerde scripts die de registry waarde wijzigen, of malware die de configuratie aanpast. Deze devices moeten worden behandeld als hoge prioriteit omdat ze kunnen wijzen op systematische problemen die moeten worden aangepakt. Beheerders moeten event logs analyseren om te bepalen welke processen of gebruikers de registry waarde wijzigen, en moeten actie ondernemen om deze wijzigingen te voorkomen. Dit kan variëren van het aanpassen van user permissions tot het implementeren van aanvullende security controls die voorkomen dat de registry waarde wordt gewijzigd zonder autorisatie.
Compliance en Auditing
Het uitschakelen van Basic Authentication voor Windows Remote Management is essentieel voor het voldoen aan verschillende compliance-frameworks en regelgevingsvereisten die van toepassing zijn op Nederlandse organisaties, met name in de publieke sector en gereguleerde industrieën. Deze security control helpt organisaties te voldoen aan vereisten voor veilige authenticatie, bescherming van credentials tegen onderschepping, en het gebruik van moderne authenticatie methoden zoals gespecificeerd in internationale standaarden en Nederlandse wetgeving. Zonder het uitschakelen van Basic Authentication kunnen organisaties niet volledig voldoen aan de vereisten van frameworks zoals CIS Microsoft Windows Benchmark, BIO-baseline, ISO 27001, NIS2, en OWASP Top 10, wat kan leiden tot failed audits, compliance-problemen, en potentiële regelgevingssancties.
De CIS Microsoft Windows Benchmark bevat specifieke controles die vereisen dat Basic Authentication wordt uitgeschakeld voor Windows Remote Management. Deze controles zijn geclassificeerd als Level 1, wat betekent dat ze fundamenteel zijn en moeten worden geïmplementeerd in alle omgevingen. De benchmark specificeert dat Basic Authentication een significant beveiligingsrisico vormt omdat credentials in plaintext (base64-gecodeerd) over het netwerk worden verzonden, wat betekent dat iedereen met toegang tot netwerkverkeer deze credentials kan onderscheppen en decoderen. Het niet implementeren van deze controle resulteert in een failed audit finding voor de CIS benchmark, wat kan leiden tot compliance-problemen bij klanten of partners die CIS-compliance vereisen. Voor Nederlandse organisaties die werken met overheidscontracten of gereguleerde sectoren, kan CIS-compliance een vereiste zijn voor het verkrijgen of behouden van contracten.
De Baseline Informatiebeveiliging Overheid (BIO) specificeert in controle 09.04.02 dat organisaties veilige authenticatiemechanismen moeten gebruiken. Deze controle vereist dat authenticatie methoden voldoende sterk zijn om te voorkomen dat credentials kunnen worden onderschept of gestolen via netwerkaanvallen. Basic Authentication voldoet niet aan deze vereiste omdat credentials triviaal kunnen worden gedecodeerd door iedereen die netwerkverkeer kan monitoren. Voor Nederlandse overheidsorganisaties is de BIO-baseline verplicht, en het niet voldoen aan deze vereisten kan leiden tot beveiligingsincidenten, compliance-problemen, en mogelijke handhavingsacties door toezichthouders. Het uitschakelen van Basic Authentication en het gebruik van moderne authenticatie methoden zoals Kerberos is daarom essentieel voor BIO-compliance. Organisaties moeten kunnen aantonen dat Basic Authentication is uitgeschakeld en dat alternatieve veilige authenticatie methoden correct zijn geconfigureerd en functioneren.
ISO 27001 controle A.9.4.2 richt zich op veilige log-on procedures en vereist dat organisaties passende authenticatie methoden implementeren om te voorkomen dat credentials kunnen worden onderschept of gestolen. Deze controle specificeert dat authenticatie methoden moeten beschermen tegen common attack vectors zoals network sniffing, man-in-the-middle aanvallen, en credential theft. Basic Authentication voldoet niet aan deze vereisten omdat het credentials verzendt als base64-gecodeerde strings die triviaal kunnen worden gedecodeerd. ISO 27001 controle A.9.4.3 richt zich op wachtwoordbeheersystemen en vereist dat organisaties ervoor zorgen dat wachtwoorden niet worden blootgesteld tijdens authenticatie processen. Basic Authentication schendt deze vereiste omdat wachtwoorden in encoded vorm over het netwerk worden verzonden. Organisaties die ISO 27001 gecertificeerd zijn of streven naar certificering moeten Basic Authentication uitschakelen om te voldoen aan deze controles. Tijdens ISO 27001 audits zullen auditors controleren of Basic Authentication is uitgeschakeld en of moderne authenticatie methoden worden gebruikt.
De NIS2-richtlijn, die in Nederland is geïmplementeerd via de Wet beveiliging netwerk- en informatiesystemen, vereist in Artikel 21 dat essentiële en belangrijke entiteiten passende maatregelen implementeren voor authenticatie en toegangscontrole. Deze vereiste is met name relevant voor organisaties in kritieke sectoren zoals energie, transport, gezondheidszorg, en financiële dienstverlening. Artikel 21 specificeert dat organisaties moeten kunnen aantonen dat ze sterke authenticatie methoden gebruiken die beschermen tegen common attack vectors. Basic Authentication voldoet niet aan deze vereisten omdat het geen adequate bescherming biedt tegen credential theft via network sniffing. Het niet implementeren van deze controle kan resulteren in niet-naleving van NIS2-vereisten, wat kan leiden tot boetes en andere handhavingsmaatregelen door de Autoriteit Consument en Markt (ACM) of andere toezichthouders. Organisaties moeten kunnen aantonen dat Basic Authentication is uitgeschakeld en dat alternatieve veilige authenticatie methoden worden gebruikt voor alle remote management activiteiten.
OWASP Top 10 A07:2021 richt zich op Identification en Authentication Failures en identificeert zwakke authenticatie methoden als een van de belangrijkste beveiligingsrisico's. Deze categorie specificeert dat authenticatie methoden die credentials in plaintext of encoded vorm verzenden als kwetsbaar moeten worden beschouwd. Basic Authentication valt duidelijk onder deze categorie omdat het credentials verzendt als base64-gecodeerde strings die triviaal kunnen worden gedecodeerd. OWASP raadt aan om moderne authenticatie methoden te gebruiken die credentials niet in plaintext verzenden, zoals Kerberos, NTLM, of certificate-based authenticatie. Voor organisaties die OWASP best practices volgen, is het uitschakelen van Basic Authentication een fundamentele vereiste. Security assessments en penetration tests zullen typisch Basic Authentication identificeren als een kwetsbaarheid die moet worden aangepakt, en het niet uitschakelen kan leiden tot failed security assessments.
Voor auditdoeleinden moeten organisaties kunnen aantonen dat Basic Authentication is uitgeschakeld en dat alternatieve veilige authenticatie methoden correct zijn geconfigureerd. Dit omvat het documenteren van de Intune policy configuratie, het bijhouden van compliance status voor alle devices, het loggen van alle authentication events, en het regelmatig reviewen van remote management activiteiten. Organisaties moeten ook kunnen aantonen dat er procedures zijn voor het monitoren en remediëren van niet-compliant devices, en dat alle uitzonderingen zijn gedocumenteerd en gereviewd. Deze documentatie is essentieel voor het succesvol doorstaan van compliance-audits en voor het aantonen van due diligence bij beveiligingsincidenten. Regelmatige compliance rapportage moet worden gegenereerd voor management en audit teams, waarbij wordt getoond hoeveel devices compliant zijn, welke devices niet-compliant zijn en waarom, en welke acties zijn ondernomen om compliance te verbeteren.
Compliance & Frameworks
- CIS M365: Control Windows Remote Management (L1) - Basic Authentication moet zijn uitgeschakeld voor WinRM
- BIO: 09.04.02 - Gebruik van veilige authenticatiemechanismen
- ISO 27001:2022: A.9.4.2, A.9.4.3 - Veilige log-on procedures en wachtwoordbeheer
- NIS2: Artikel - Authenticatie- en autorisatiemechanismen
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Intune Security Options: Basic Authentication Disabled
.DESCRIPTION
CIS - Basic auth moet disabled (use modern auth).
.NOTES
Filename: basic-auth-disabled.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowBasic|Expected: 0
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WinRM\Client"; $RegName = "AllowBasic"; $ExpectedValue = 0
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance {
$r = [PSCustomObject]@{ScriptName = "basic-auth.ps1"; PolicyName = "Basic Auth"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = "Disabled"; Details = @() }; function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (Test-Path $RegPath) { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue; if ($v -and $v.$RegName -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Basic auth disabled" }else { $r.Details += "Basic auth enabled - RISK" } }else { $r.IsCompliant = $true; $r.Details += "Default" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r
}
function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Basic authentication disabled" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
High: Hoog risico op credential diefstal via network sniffing. Basic Authentication in WinRM verstuurt credentials als base64 strings die triviaal te decoderen zijn. Aanvallers met toegang tot netwerkverkeer kunnen administrative credentials stelen en deze gebruiken voor laterale beweging in het netwerk. Dit kan leiden tot volledige domain compromise.
Management Samenvatting
Schakel Basic Authentication uit voor WinRM om credential diefstal te voorkomen. Gebruik in plaats daarvan Kerberos of NTLM. Verplicht voor BIO 09.04 en CIS benchmark. Implementatie: 1-2 uur inclusief testing van remote management.
- Implementatietijd: 2 uur
- FTE required: 0.02 FTE