💼 Management Samenvatting
Deze beveiligingscontrole waarborgt de correcte configuratie van beveiligingsinstellingen op Windows endpoints door het beheer van opstartstuurprogramma's te reguleren.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
7/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Windows
Deze instelling is onderdeel van de Windows-beveiligingsbaseline en beschermt tegen bekende aanvalsvectoren door het afdwingen van veilige configuraties voor stuurprogramma's die tijdens het opstartproces worden geladen. Aanvallers gebruiken vaak kwaadaardige stuurprogramma's om diep in het systeem door te dringen en persistentie te verkrijgen. Door het initialisatiebeleid voor opstartstuurprogramma's correct te configureren, kunnen organisaties voorkomen dat onbetrouwbare of kwaadaardige stuurprogramma's tijdens het opstartproces worden geladen, wat een kritieke beveiligingslaag vormt tegen geavanceerde persistent threats.
PowerShell Modules Vereist
Primary API: Graph
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
Deze controle configureert het beleid voor initialisatie van opstartstuurprogramma's via Microsoft Intune apparaatconfiguratiebeleid of compliance policies om Windows endpoints te beveiligen volgens beveiligingsbest practices. Het beleid bepaalt welke stuurprogramma's tijdens het opstartproces mogen worden geladen, waarbij onderscheid wordt gemaakt tussen goede, onbekende en slechte stuurprogramma's, met uitzondering voor kritieke systeemstuurprogramma's die essentieel zijn voor de werking van het besturingssysteem.
Vereisten
Voor de implementatie van het beleid voor initialisatie van opstartstuurprogramma's zijn verschillende technische en organisatorische vereisten van toepassing. Ten eerste is een werkende Microsoft Intune-omgeving essentieel, waarbij de organisatie beschikt over de juiste licentieverlening en configuratierechten. Microsoft Intune biedt de mogelijkheid om apparaatconfiguratiebeleidsregels te maken en te implementeren die de beveiligingsinstellingen op Windows endpoints centraal beheren. Deze centrale beheersing is cruciaal voor organisaties die meerdere endpoints moeten beveiligen en consistentie willen waarborgen binnen hun gehele IT-infrastructuur. De Intune-omgeving moet correct zijn geconfigureerd met de benodigde connectiviteit naar Azure Active Directory en de endpoints moeten zijn geregistreerd in het Mobile Device Management (MDM) systeem. Daarnaast is het belangrijk dat de IT-beheerders beschikken over de juiste rollen en rechten binnen Intune om configuratiebeleidsregels te kunnen maken, wijzigen en toewijzen aan apparaten of gebruikersgroepen. Organisatorisch gezien vereist deze implementatie een goed begrip van de huidige stuurprogramma-omgeving binnen de organisatie. IT-teams moeten inzicht hebben in welke stuurprogramma's momenteel worden gebruikt, welke daarvan essentieel zijn voor de bedrijfsvoering, en welke mogelijk risico's vormen. Dit vereist vaak een inventarisatie van bestaande systemen en applicaties die afhankelijk zijn van specifieke stuurprogramma's. Bovendien is communicatie met eindgebruikers belangrijk, omdat wijzigingen in stuurprogramma-beleid kunnen leiden tot situaties waarin bepaalde hardware of functionaliteit niet meer werkt zoals verwacht. Een gestructureerde aanpak met testfases en gefaseerde implementatie kan helpen om problemen te voorkomen en de acceptatie binnen de organisatie te vergroten.
Implementatie
De implementatie van het beleid voor initialisatie van opstartstuurprogramma's begint met een grondige voorbereiding en planning. Het is essentieel om eerst een volledig beeld te krijgen van de huidige omgeving voordat wijzigingen worden doorgevoerd. Dit betekent dat IT-beheerders een inventarisatie moeten maken van alle Windows endpoints binnen de organisatie, inclusief informatie over de versies van het besturingssysteem, geïnstalleerde stuurprogramma's en eventuele specifieke hardwareconfiguraties die afhankelijk zijn van bepaalde stuurprogramma's. Deze inventarisatie helpt bij het identificeren van potentiële problemen voordat het beleid wordt geïmplementeerd en stelt beheerders in staat om uitzonderingen te definiëren voor kritieke stuurprogramma's die essentieel zijn voor de bedrijfsvoering. De daadwerkelijke implementatie verloopt via Microsoft Intune, waarbij een nieuw apparaatconfiguratiebeleid wordt aangemaakt. Binnen Intune navigeren beheerders naar de sectie voor apparaatconfiguratie en selecteren ze de optie om een nieuw beleid te maken. Het beleidstype dat wordt gekozen is Windows 10 en later, en binnen de beschikbare instellingen wordt gezocht naar de beveiligingsopties, specifiek naar het beleid voor initialisatie van opstartstuurprogramma's. Deze instelling maakt het mogelijk om te bepalen welke stuurprogramma's tijdens het opstartproces mogen worden geladen. De aanbevolen configuratie is om het beleid in te schakelen voor goede, onbekende en slechte stuurprogramma's, maar met uitzondering voor kritieke stuurprogramma's. Deze uitzondering is belangrijk omdat bepaalde systeemstuurprogramma's absoluut noodzakelijk zijn voor de basisfunctionaliteit van Windows en het blokkeren daarvan zou leiden tot systeeminstabiliteit of zelfs het onbruikbaar worden van het besturingssysteem. Na het configureren van de instellingen moet het beleid worden toegewezen aan de juiste groepen. Dit kan gebeuren op basis van gebruikersgroepen of apparaatgroepen, afhankelijk van de organisatorische structuur en de gewenste implementatiestrategie. Een gefaseerde aanpak wordt sterk aanbevolen, waarbij het beleid eerst wordt toegepast op een testgroep met beperkte apparaten. Deze testfase maakt het mogelijk om te verifiëren dat het beleid correct werkt en geen onbedoelde gevolgen heeft voor de functionaliteit van systemen of applicaties. Tijdens de testfase moeten beheerders nauwlettend monitoren of er problemen optreden, zoals apparaten die niet correct opstarten, hardware die niet meer werkt, of applicaties die niet meer functioneren zoals verwacht. Als er problemen worden geïdentificeerd, kunnen deze worden opgelost door het aanpassen van het beleid of door het toevoegen van uitzonderingen voor specifieke stuurprogramma's. Na een succesvolle testfase kan het beleid geleidelijk worden uitgerold naar de rest van de organisatie, waarbij continue monitoring essentieel blijft om eventuele problemen snel te kunnen identificeren en oplossen.
Gebruik PowerShell-script boot-start-driver-initialization-policy-is-set-to-ingeschakeld-good-unknown-and-bad-but-critical.ps1 (functie Invoke-Monitoring) – Monitoren.
Monitoring
Effectieve monitoring van het beleid voor initialisatie van opstartstuurprogramma's is cruciaal om te waarborgen dat de beveiligingsmaatregelen correct functioneren en om tijdig te kunnen reageren op eventuele problemen of beveiligingsincidenten. Monitoring omvat verschillende aspecten, waaronder het controleren van de compliance status van endpoints, het analyseren van gebeurtenissen in Windows-logboeken, en het bijhouden van wijzigingen in stuurprogramma-configuraties. Binnen Microsoft Intune kunnen beheerders de compliance status van apparaten monitoren via het compliance dashboard. Dit dashboard toont welke apparaten voldoen aan het geconfigureerde beleid en welke apparaten niet-compliant zijn, inclusief de specifieke redenen voor non-compliance. Regelmatige controle van dit dashboard stelt beheerders in staat om snel te identificeren welke endpoints mogelijk problemen ondervinden met het beleid of waar het beleid niet correct is toegepast. Naast de compliance monitoring in Intune is het belangrijk om Windows-gebeurtenislogboeken te analyseren voor relevante gebeurtenissen. Het Windows-gebeurtenislogboek bevat informatie over pogingen om stuurprogramma's te laden tijdens het opstartproces, inclusief details over welke stuurprogramma's succesvol zijn geladen, welke zijn geblokkeerd, en de redenen voor eventuele blokkades. Deze informatie is waardevol voor het begrijpen van het gedrag van het systeem en het identificeren van potentiële beveiligingsproblemen of configuratiefouten. Beheerders moeten specifiek letten op gebeurtenissen die wijzen op pogingen om kwaadaardige of onbetrouwbare stuurprogramma's te laden, evenals op gebeurtenissen die kunnen duiden op problemen met legitieme stuurprogramma's die ten onrechte worden geblokkeerd. Geautomatiseerde monitoring tools kunnen helpen bij het efficiënt analyseren van grote hoeveelheden logdata en het genereren van waarschuwingen wanneer verdachte activiteiten worden gedetecteerd. Microsoft Defender for Endpoint en andere security information and event management (SIEM) systemen kunnen worden geconfigureerd om specifieke gebeurtenissen te monitoren en automatisch alerts te genereren wanneer bepaalde voorwaarden worden gedetecteerd. Deze geautomatiseerde monitoring verhoogt de effectiviteit van de beveiligingsmaatregelen en stelt security teams in staat om sneller te reageren op potentiële bedreigingen. Daarnaast is het belangrijk om regelmatig te controleren of het beleid nog steeds actief is en correct is geconfigureerd op alle endpoints. Wijzigingen in de organisatiestructuur, zoals het toevoegen van nieuwe apparaten of het wijzigen van groepslidmaatschappen, kunnen ertoe leiden dat sommige apparaten niet langer onder het beleid vallen of dat het beleid op onverwachte wijze wordt toegepast. Periodieke audits van de beleidsconfiguratie en de toewijzingen helpen om te waarborgen dat alle relevante endpoints correct zijn beveiligd en dat het beleid consistent wordt toegepast binnen de gehele organisatie.
Gebruik PowerShell-script boot-start-driver-initialization-policy-is-set-to-enabled-good-unknown-and-bad-but-critical.ps1 (functie Invoke-Monitoring) – Controleren.
Remediatie
Wanneer monitoring aangeeft dat endpoints niet-compliant zijn met het beleid voor initialisatie van opstartstuurprogramma's, is het belangrijk om snel en effectief te kunnen reageren om de beveiligingspostuur te herstellen. Remediatieprocessen moeten worden gedefinieerd en gedocumenteerd voordat problemen zich voordoen, zodat beheerders weten hoe ze moeten handelen wanneer non-compliance wordt gedetecteerd. Het remediatieproces begint met het identificeren van de oorzaak van de non-compliance. Dit kan verschillende redenen hebben, zoals een apparaat dat niet correct is geregistreerd in Intune, een beleid dat niet correct is toegepast, of een configuratiefout in het beleid zelf. Door de specifieke reden voor non-compliance te identificeren, kunnen beheerders de juiste remediatiestappen ondernemen. In veel gevallen kan non-compliance worden opgelost door het apparaat opnieuw te synchroniseren met Intune, waardoor het beleid opnieuw wordt toegepast. Dit kan worden gedaan via de Intune-console door handmatig een synchronisatie te triggeren, of door de gebruiker te vragen om het apparaat opnieuw op te starten, wat automatisch een synchronisatie initieert. Als het probleem aanhoudt, kan het nodig zijn om het beleid opnieuw toe te wijzen aan het apparaat of de gebruikersgroep, of om te controleren of er conflicterende beleidsregels zijn die de implementatie van dit beleid blokkeren. In sommige gevallen kan het nodig zijn om het beleid zelf aan te passen, bijvoorbeeld door uitzonderingen toe te voegen voor specifieke stuurprogramma's die essentieel zijn voor bepaalde systemen maar die ten onrechte worden geblokkeerd. Wanneer legitieme stuurprogramma's worden geblokkeerd, moet eerst worden geverifieerd dat deze stuurprogramma's inderdaad veilig zijn en noodzakelijk voor de bedrijfsvoering. Dit kan worden gedaan door de stuurprogramma's te verifiëren tegen bekende goede bronnen, zoals de hardwarefabrikant of Microsoft's stuurprogramma-catalogus. Als een stuurprogramma legitiem en veilig is, maar toch wordt geblokkeerd, kan het nodig zijn om het beleid aan te passen om dit specifieke stuurprogramma toe te staan, of om het stuurprogramma bij te werken naar een versie die als veilig wordt erkend door het systeem. Voor kwaadaardige of verdachte stuurprogramma's die worden gedetecteerd, is het belangrijk om onmiddellijk actie te ondernemen. Deze stuurprogramma's moeten worden verwijderd van het systeem, en er moet een onderzoek worden gestart om te begrijpen hoe deze stuurprogramma's op het systeem zijn gekomen en of er sprake is van een beveiligingsincident. In dergelijke gevallen moeten de standaard incident response procedures worden gevolgd, inclusief het isoleren van het aangetaste systeem, het verzamelen van forensische bewijzen, en het melden van het incident aan de juiste partijen binnen de organisatie. Geautomatiseerde remediatie kan helpen om veelvoorkomende problemen snel op te lossen zonder handmatige interventie. Intune biedt mogelijkheden voor geautomatiseerde remediatie via scripts die kunnen worden uitgevoerd wanneer non-compliance wordt gedetecteerd. Deze scripts kunnen bijvoorbeeld automatisch proberen om het beleid opnieuw toe te passen, of om specifieke configuratiewijzigingen door te voeren die nodig zijn om compliance te bereiken. Het gebruik van geautomatiseerde remediatie verhoogt de efficiëntie van het beheerproces en zorgt ervoor dat problemen sneller worden opgelost, wat de algehele beveiligingspostuur van de organisatie verbetert.
Gebruik PowerShell-script boot-start-driver-initialization-policy-is-set-to-enabled-good-unknown-and-bad-but-critical.ps1 (functie Invoke-Remediation) – Herstellen.
Compliance en Auditing
Compliance en auditing vormen essentiële onderdelen van een effectief beveiligingsbeheerprogramma, en het beleid voor initialisatie van opstartstuurprogramma's speelt een belangrijke rol in het voldoen aan verschillende regelgevings- en standaardvereisten. Organisaties in de Nederlandse publieke sector moeten voldoen aan de Baseline Informatiebeveiliging Overheid (BIO), die specifieke eisen stelt aan logging en audittrails. Het correct configureren en monitoren van stuurprogramma-initialisatiebeleid draagt bij aan het voldoen aan deze eisen door te waarborgen dat alle relevante beveiligingsgebeurtenissen worden vastgelegd en kunnen worden geaudit. De BIO controle 16.01 vereist dat organisaties gebeurtenissen loggen en audittrails onderhouden, en het beleid voor opstartstuurprogramma's genereert belangrijke gebeurtenissen die moeten worden vastgelegd voor audit doeleinden. Naast de BIO moeten organisaties ook rekening houden met internationale standaarden zoals ISO 27001:2022, die in controle A.12.4.1 eisen stelt aan logging en monitoring van beveiligingsgebeurtenissen. Het implementeren van dit beleid en het correct monitoren van de gegenereerde gebeurtenissen helpt organisaties om te voldoen aan deze internationale standaard. Voor organisaties die werken met persoonsgegevens is ook de Algemene Verordening Gegevensbescherming (AVG) van belang, hoewel deze primair gericht is op privacybescherming. Het beveiligen van endpoints tegen kwaadaardige stuurprogramma's draagt indirect bij aan het beschermen van persoonsgegevens door te voorkomen dat aanvallers toegang krijgen tot systemen waar persoonsgegevens worden verwerkt. Auditing van het beleid omvat regelmatige controles om te verifiëren dat het beleid correct is geconfigureerd, actief is op alle relevante endpoints, en dat de gegenereerde gebeurtenissen correct worden vastgelegd en bewaard. Deze audits moeten worden uitgevoerd volgens een vastgesteld schema, bijvoorbeeld maandelijks of driemaandelijks, afhankelijk van de risicoprofiel van de organisatie en de vereisten van toepasselijke regelgeving. Tijdens audits moeten beheerders controleren of het beleid nog steeds actief is op alle endpoints, of er wijzigingen zijn aangebracht in de configuratie, en of er incidenten zijn geweest waarbij het beleid heeft geholpen bij het detecteren of voorkomen van beveiligingsproblemen. Documentatie is een cruciaal onderdeel van compliance en auditing. Alle aspecten van het beleid moeten worden gedocumenteerd, inclusief de configuratie-instellingen, de redenen voor specifieke keuzes, eventuele uitzonderingen die zijn gemaakt, en de procedures voor monitoring en remediatie. Deze documentatie moet regelmatig worden bijgewerkt wanneer wijzigingen worden aangebracht in het beleid of de procedures, en moet beschikbaar zijn voor auditors en andere belanghebbenden die inzicht nodig hebben in de beveiligingsmaatregelen van de organisatie. Goede documentatie vergemakkelijkt niet alleen audits, maar helpt ook bij het overdragen van kennis binnen de organisatie en het waarborgen van continuïteit wanneer personeelswisselingen plaatsvinden. Bovendien moet de documentatie duidelijk maken hoe het beleid bijdraagt aan de algehele beveiligingsdoelstellingen van de organisatie en hoe het past binnen het bredere beveiligingsframework. Regelmatige rapportage over de status van het beleid en de compliance-niveaus helpt management en andere belanghebbenden om inzicht te krijgen in de effectiviteit van de beveiligingsmaatregelen en om geïnformeerde beslissingen te kunnen nemen over eventuele aanpassingen of verbeteringen die nodig zijn.
Compliance & Frameworks
- CIS M365: Control 18.9.19.2 (L1) - CIS Security Benchmark aanbevelingen
- BIO: 16.01 - BIO Baseline Informatiebeveiliging Overheid - 16.01 - Gebeurtenissen logging en audittrails
- ISO 27001:2022: A.12.4.1 - ISO 27001:2022 - Gebeurtenissen logging en audittrails
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Intune Security Options: Boot Start Driver Initialization Policy
.DESCRIPTION
CIS - Boot-start drivers: Good, Unknown, Bad but Critical.
.NOTES
Filename: boot-driver-init.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Feature: Driver Security|Expected: Enabled
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SYSTEM\CurrentControlSet\Policies\EarlyLaunch"; $RegName = "DriverLoadPolicy"; $ExpectedValue = 3
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance {
$r = [PSCustomObject]@{ScriptName = "boot-drv.ps1"; PolicyName = "Boot Driver Init"; IsCompliant = $false; CurrentValue = $null; Details = @() }; function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (Test-Path $RegPath) { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue; if ($v -and $v.$RegName -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Good/Unknown/Critical drivers allowed" }else { $r.Details += "Policy: $($v.$RegName)" } }else { $r.Details += "Not configured" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r
}
function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Boot driver init policy configured" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
High: Geen tracking van authenticatiepogingen en beveiligingsgebeurtenissen, waardoor beveiligingsincidenten niet kunnen worden gedetecteerd of onderzocht.
Management Samenvatting
Schakel in audit logging.
- Implementatietijd: 2 uur
- FTE required: 0.01 FTE