BIO 09.04.03 ISO A.9.4.3

Outlook Wachtwoord Onthouden Uitgeschakeld Voor Internet Email

📅 2025-10-30

•

⏱️ 6 minuten lezen

•

🔴 Must-Have

💼 Management Samenvatting

De mogelijkheid om wachtwoorden op te slaan voor internet email accounts (POP3/IMAP) moet worden uitgeschakeld in Outlook om Diefstal van inloggegevens via opgeslagen passwords te voorkomen.

Aanbeveling

IMPLEMENT

Risico zonder

High

Risk Score

7/10

Implementatie

3u (tech: 1u)

Van toepassing op:

✓ Outlook
✓ Microsoft 365 Apps

PASSWORD opslag RISICO'S: Outlook kan credentials opslaan voor POP3/IMAP accounts voor gebruikersgemak. SECURITY PROBLEMS: credentials opgeslagen in Windows credential Manager (weak versleuteling), Disk forensics kunnen passwords recoveren, Malware kan opgeslagen credentials stelen, Shared devices is credential exposure aan andere gebruikers. DISA STIG O365-OU-000001: MANDATORY Schakel uit password opslag. MODERN ALTERNATIVE: OAuth 2.0 voor Gmail/Yahoo (tokens instead of passwords), Azure AD authentication voor bedrijfse-mail (no password opslag needed). ATTACK SCENARIO: Malware scant credential Manager → Extracts POP3/IMAP passwords → Exfiltrates naar command & control → Attacker heeft email access.

PowerShell Modules Vereist

Primary API: Intune / groep beleid
Connection: Registry
Required Modules:

Implementatie

Schakel uit password remember: HKCU:\Software\beleidsregels\Microsoft\Office\16.0\OUTLOOK\Security\disablerememberpasswordinternetemail is 1. EFFECT: Users kunnen NIET 'Remember password' checkbox gebruiken voor internet email accounts, Moeten elke keer password invoeren (tedious maar secure), Alternatieven: gebruiken OAuth waar mogelijk, Transition naar Exchange Online (geen POP3/IMAP passwords).

Vereisten

Outlook (Microsoft 365 Apps)
User communication: kan niet save internet email passwords
Alternative: Encourage transition van POP3/IMAP naar Exchange Online

Implementatie

Gebruik PowerShell-script disable-remember-password-internet-email.ps1 (functie Invoke-Remediation) – Schakel uit password remember functie.

Intune: Outlook Security → Schakel uit remember password internet email is ingeschakeld

monitoring

Gebruik PowerShell-script disable-remember-password-internet-email.ps1 (functie Invoke-Monitoring) – Verifieer disablerememberpasswordinternetemail is 1.

Compliance en Auditing

DISA STIG O365-OU-000001 - MANDATORY
BIO 09.04 - Authentication: Geen password opslag
ISO 27001 A.9.4.3 - wachtwoordbeheer

Remediatie

Gebruik PowerShell-script disable-remember-password-internet-email.ps1 (functie Invoke-Remediation) – Herstellen.

Compliance & Frameworks

BIO: 09.04.03 - wachtwoordbeheer - Geen credential opslag
ISO 27001:2022: A.9.4.3 - wachtwoordbeheer system

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell

# Control: O365-OU-000001 - disable remember password internet email
#Requires -Version 5.1
# DISA STIG Microsoft Office 365 ProPlus v3r3

param(
    [string]$RegistryPath = "HKCU:\Software\Policies\Microsoft\Office\16.0\OUTLOOK\Security",
    [switch]$Monitoring,
    [switch]$Remediation,
    [switch]$Revert,
    [switch]$WhatIf
)

function Invoke-Monitoring {
    Write-Host "Monitoring O365-OU-000001: disable remember password internet email" -ForegroundColor Green
    
    try {
        $valueName = "disablerememberpasswordinternetemail"
        $expectedValue = 1
        
        if (-not (Test-Path $RegistryPath)) {
            Write-Host "  Registry path does not exist: $RegistryPath" -ForegroundColor Red
            return $false
        }
        
        $currentValue = Get-ItemProperty -Path $RegistryPath -Name $valueName -ErrorAction SilentlyContinue
        
        if ($currentValue -and $currentValue.$valueName -eq $expectedValue) {
            Write-Host "  Compliant: Remember password for internet email is disabled" -ForegroundColor Green
            return $true
        }
        else {
            Write-Host "  Non-Compliant: Remember password for internet email not disabled" -ForegroundColor Red
            return $false
        }
    }
    catch {
        Write-Host "  Error during monitoring: $_" -ForegroundColor Red
        return $false
    }
}

function Invoke-Remediation {
    Write-Host "Remediating O365-OU-000001: disable remember password internet email" -ForegroundColor Yellow
    
    try {
        if ($WhatIf) {
            Write-Host "  [WhatIf] Would set registry value" -ForegroundColor Cyan
            return $true
        }
        
        $valueName = "disablerememberpasswordinternetemail"
        $expectedValue = 1
        
        if (-not (Test-Path $RegistryPath)) {
            New-Item -Path $RegistryPath -Force | Out-Null
            Write-Host "  Created registry path: $RegistryPath" -ForegroundColor Green
        }
        
        Set-ItemProperty -Path $RegistryPath -Name $valueName -Value $expectedValue -Type DWord -Force
        Write-Host "  Set $valueName to $expectedValue" -ForegroundColor Green
        
        Start-Sleep -Seconds 1
        return Invoke-Monitoring
    }
    catch {
        Write-Host "  Error during remediation: $_" -ForegroundColor Red
        return $false
    }
}

function Invoke-Revert {
    Write-Host "Reverting O365-OU-000001: disable remember password internet email" -ForegroundColor Yellow
    
    try {
        if ($WhatIf) {
            Write-Host "  [WhatIf] Would remove registry value" -ForegroundColor Cyan
            return $true
        }
        
        $valueName = "disablerememberpasswordinternetemail"
        
        if (Test-Path $RegistryPath) {
            Remove-ItemProperty -Path $RegistryPath -Name $valueName -ErrorAction SilentlyContinue
            Write-Host "  Removed registry value: $valueName" -ForegroundColor Green
        }
        
        return $true
    }
    catch {
        Write-Host "  Error during revert: $_" -ForegroundColor Red
        return $false
    }
}

# Main execution
try {
    if ($Monitoring) {
        $result = Invoke-Monitoring
        exit $(if ($result) { 0 } else { 1 })
    }
    elseif ($Remediation) {
        $result = Invoke-Remediation
        exit $(if ($result) { 0 } else { 1 })
    }
    elseif ($Revert) {
        $result = Invoke-Revert
        exit $(if ($result) { 0 } else { 1 })
    }
    else {
        Write-Host "Usage: [-Monitoring] [-Remediation] [-Revert] [-WhatIf]" -ForegroundColor Yellow
    }
}
catch {
    Write-Host "Script execution error: $_" -ForegroundColor Red
    exit 1
}

Risico zonder implementatie

High: Hoog Diefstal van inloggegevens risico: Opgeslagen POP3/IMAP passwords kunnen worden gestolen via malware of disk forensics. Leidt tot email account compromises.

Management Samenvatting

Schakel uit password opslag voor internet email in Outlook (disablerememberpasswordinternetemail=1). Voorkomt Diefstal van inloggegevens. DISA STIG O365-OU-000001 vereist. Voldoet aan BIO 09.04, ISO 27001 A.9.4.3. Implementatie: 1-3 uur.

Implementatietijd: 3 uur
FTE required: 0.02 FTE

Outlook Wachtwoord Onthouden Uitgeschakeld Voor Internet Email

💼 Management Samenvatting

Implementatie

Vereisten

Implementatie

monitoring

Compliance en Auditing

Remediatie

Compliance & Frameworks

Automation

Risico zonder implementatie

Management Samenvatting

Share artikel