💼 Management Samenvatting
Het gemak van de functie "MFA onthouden op dit apparaat" lijkt aantrekkelijk voor medewerkers die dagelijks meerdere keren inloggen, maar voor organisaties binnen de publieke sector vertegenwoordigt dezelfde functie een aanzienlijke aanvalsvector. Zodra een apparaat wordt vertrouwd, hoeft de gebruiker gedurende veertien tot negentig dagen geen tweede factor meer te leveren en ontstaat een periode waarin alleen een wachtwoord of zelfs een sessietoken voldoende is om toegang te krijgen tot staatsgevoelige gegevens. In een tijd waarin mobiele apparaten veelvuldig worden meegenomen naar vergaderingen, thuiswerkplekken en publieke locaties, neemt de kans toe dat een onbevoegde persoon fysieke toegang krijgt. Wanneer dat gebeurt terwijl de bewaartermijn van de MFA-token nog loopt, kan de aanvaller zich voordoen als de rechtmatige gebruiker zonder alarmsignalen in de SIEM-omgeving te genereren. Deze realiteit dwingt beheerders van Nederlandse overheidsnetwerken om comfortfuncties kritisch te heroverwegen en te beoordelen of het beperkte gebruiksgemak opweegt tegen het regenereren van volledige vertraging bij incidentrespons, reputatieschade en mogelijke AVG-meldingen. Door vanuit deze invalshoek te redeneren wordt MFA-herinnering niet langer gezien als handig en onschuldig, maar als een beleidsbeslissing met strategische impact op de gehele digitale weerbaarheid.
Aanbeveling
OVERWEEG HET UITSCHAKELEN VAN MFA-HERINNERING
Risico zonder
Medium
Risk Score
5/10
Implementatie
1.5u (tech: 0.5u)
Van toepassing op:
✓ Azure
✓ Azure AD
✓ Azure AD
Het actief beheren van MFA-herinnering is van levensbelang voor organisaties die een volwassen risicobeheersingscyclus nastreven. Een persistente token is in feite een tijdelijke uitzondering op het principe van strikte verificatie: het apparaat bewijst één keer dat het betrouwbaar is en krijgt vervolgens meerdere dagen vrijstelling. Dit mechanisme vloekt met het zero trust uitgangspunt dat iedere sessie opnieuw moet worden beoordeeld op betrouwbaarheid. Zodra een overheidsorganisatie te maken heeft met buitengebiedlocaties, hybride werkvormen of ketensamenwerking met externe leveranciers, nemen de variabelen toe en wordt het onmogelijk om blind te vertrouwen op oude beoordelingen. Bovendien is het afvangen van misbruik op basis van logs veel lastiger wanneer MFA-herinnering wijdverspreid wordt ingezet. De logging laat immers een keurige succesvolle aanmelding zien, zonder dat duidelijk wordt dat een verlaten laptop of onversleutelde tablet de bron was. Door de functie uit te schakelen of zeer restrictief toe te passen, wordt elke sessie opnieuw onderworpen aan meervoudige authenticatie, waardoor afwijkend gedrag sneller boven water komt en een aanvaller vaker moet interacteren met beveiligingslagen. Dat verhoogt de kans op detectie aanzienlijk en sluit aan bij de verplichtingen uit BIO en NIS2 om structurele, meerlaagse toegangscontrole toe te passen.
PowerShell Modules Vereist
Primary API: Microsoft Graph API
Connection:
Required Modules: Microsoft.Graph.Identity.SignIns
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.Identity.SignIns
Implementatie
Deze beveiligingscontrole draait om het bewust ontmantelen van langdurige uitzonderingen binnen het aanmeldproces door ofwel MFA-herinnering volledig te verbieden of deze te verankeren in een strikt voorwaardelijk toegangsbeleid. In de meest solide variant betekent dit dat iedere aanmelding, ongeacht apparaat, locatie of netwerk, opnieuw een tweede factor vereist. Dat vergt heldere communicatie richting gebruikers en mogelijk een grotere afhankelijkheid van moderne, frictieloze methoden zoals Windows Hello voor Bedrijven, Authenticator push-berichten of FIDO2-sleutels. Een meer genuanceerde invulling staat incidentele herinnering toe voor apparaten die aantoonbaar voldoen aan Intune-compliancy, BitLocker-versleuteling, Secure Boot en actuele antivirusbeveiliging. In dat scenario wordt de tokenlevensduur bewust kort gehouden en koppelt men de vrijstelling aan de status van het apparaat; zodra een update uitblijft of het apparaat buiten de geografische grenzen komt, vervalt het voorrecht automatisch. De nadruk ligt steeds op het combineren van gebruikerservaring met tastbare waarborgen: het beleid moet afdwingen dat gemak uitsluitend ontstaat wanneer een apparaat technisch wordt afgedwongen binnen beheer, logging en responsprocessen. Organisaties die deze denkwijze omarmen ervaren dat de behoefte aan MFA-herinnering afneemt, omdat wachtwoordloze en contextbewuste verificatie de standaard vormt en de klassieke MFA-uitzondering overbodig maakt.
Vereisten
Een organisatie die MFA-herinnering wil uitschakelen moet eerst inzicht hebben in de volledige identiteitsarchitectuur en de afhankelijkheden die in de loop der jaren rond de legacy-instellingen zijn opgebouwd. Veel omgevingen combineren modern Conditional Access met oudere portalconfiguraties of zelfs applicatiespecifieke uitzonderingen. Het vereiste startpunt is daarom een inventarisatie van alle beleidsregels, service accounts, aangemelde apparaten en applicaties die nog gebruikmaken van de oude MFA-portaalinstellingen. Pas wanneer duidelijk is welke gebruikersgroepen expliciet vrijstellingen hebben, kan veilig worden bepaald welke impact het uitschakelen van de functie zal hebben op bedrijfsprocessen, dienstroosters en 24/7-activiteiten zoals meldkamers of hulpdiensten. Tegelijkertijd moet worden vastgesteld of de juiste licentiemodellen beschikbaar zijn. Voor geavanceerde sessiecontroles is minimaal Azure AD Premium P1 vereist, terwijl risico-gestuurde besluiten zoals Identity Protection een P2-licentie verlangen. Zonder deze licenties ontstaat een scheef beleid dat niet in lijn is met de verwachting van toezichthouders. Naast technische randvoorwaarden spelen organisatorische vereisten een doorslaggevende rol. Het beëindigen van MFA-herinnering betekent voor veel medewerkers dat zij vaker een tweede factor moeten leveren, en de acceptatie van die maatregel valt of staat met transparante communicatie. Het communicatieplan moet uitleggen waarom de wijziging cruciaal is voor de bescherming van staatsgevoelige data, welke voordelen wachtwoordloze alternatieven bieden en welke ondersteuning beschikbaar is bij vragen. Helpdesks, SSC-IT teams en functioneel beheerders moeten vooraf worden getraind, zodat zij gebruikers kunnen begeleiden bij het registreren van Windows Hello voor Bedrijven, het koppelen van FIDO2-sleutels en het veilig beheren van authenticator-apps. Deze trainingsmomenten moeten worden ondersteund met Nederlandstalige handleidingen en eventueel korte instructievideo's die de context koppelen aan BIO- en NIS2-verplichtingen. Ook het beheer van apparaten is een harde voorwaarde. Alleen wanneer Intune-compliancy strikt wordt afgedwongen kan men überhaupt overwegen om een beperkte vorm van herinnering toe te laten op beheerde endpoints. Dat vereist dat alle relevante devices zijn opgenomen in een device compliance policy waarin dwingend wordt gesteld dat BitLocker ingeschakeld is, antivirus niet uitgeschakeld mag worden en besturingssysteemversies binnen ondersteuningsgrenzen blijven. In hybride scenario's waar ConfigMgr, Citrix of VDI wordt gebruikt, moeten aanvullende controles worden ingericht om te voorkomen dat virtuele sessies automatisch als vertrouwd worden gezien. Bovendien vraagt het proces om nauwe samenwerking met security operations omdat zij de telemetrie moeten leveren die aantoont dat het beleid daadwerkelijk effect sorteert. Tot slot moet ieder departement een wijzigingsprocedure volgen die aansluit op de interne governance. Change Advisory Boards verwachten een risicoanalyse, een rollback-plan en testresultaten voordat zij akkoord geven op een wijziging met zo'n brede impact. Dat betekent dat het pilottraject voldoende representatief moet zijn en minimaal enkele weken moet draaien zodat topdrukte, nachtdiensten en applicatieonderhoud voorbij komen. Tijdens de pilot worden de relevante KPI's verzameld: aantal aanmeldingsverzoeken, meldingen van gefaalde aanmeldingen, incidenten door vergeten apparaten en feedback uit gebruikerspanels. Pas wanneer deze gegevens aantonen dat de organisatie de nieuwe werkwijze aankan, is de vereistenfase afgerond en kan de daadwerkelijke implementatie starten.
Implementatie
Gebruik PowerShell-script mfa-remember-disabled.ps1 (functie Invoke-Implementation) – Implementeren.
De implementatiefase start met het uitschakelen van de verouderde MFA-instellingen in het klassieke Azure AD-portaal. Hoewel Microsoft deze pagina's stap voor stap buiten gebruik stelt, zijn ze vaak nog actief in oudere tenants of in omgevingen waar historische configuraties nooit zijn opgeschoond. Het beheerteam logt in op het portal, documenteert de huidige configuratie en zet vervolgens de optie voor "MFA onthouden" uit zodat er geen nieuwe tokens worden uitgegeven. Dit moment moet worden vastgelegd in het wijzigingsdossier zodat achteraf kan worden aangetoond wanneer de legacy-instelling is gedeactiveerd. Zodra deze stap is afgerond, verschuift de focus naar Conditional Access. Het team maakt een nieuw beleid of herijkt bestaande beleidsregels waarin de sessiecontrole "Aanmeldingsfrequentie" wordt ingesteld op "Elke keer" of op maximaal één dag. Deze instelling wordt gekoppeld aan alle gebruikersgroepen die hoog-risico data verwerken, waarbij uitzonderingen alleen worden toegestaan wanneer het management aantoonbaar heeft ingestemd en aanvullende compenserende maatregelen zijn vastgelegd. Daarna volgt het segmenteren van apparaten. In Intune wordt gecontroleerd welke compliance policies actief zijn en welke apparaten voldoen aan BitLocker, Secure Boot en antivirusvereisten. Alleen apparaten die consequent compliant zijn, komen in aanmerking voor een beperkte vorm van MFA-herinnering. Het beheerteam gebruikt dynamische groepen of filters om compliant apparaten te scheiden van persoonlijke BYOD-apparaten. Vervolgens wordt binnen Conditional Access een tweede beleid aangemaakt dat uitsluitend geldt voor deze gefilterde apparaten en waarbij de aanmeldingsfrequentie eventueel wordt verlengd naar drie dagen. Door deze differentiatie blijft het beleid transparant: beheerde endpoints krijgen gecontroleerde verlichting, terwijl onbekende apparaten elke keer een MFA-uitdaging moeten doorlopen. Parallel aan deze configuratiestappen wordt gewerkt aan het moderniseren van de authenticatiemiddelen. Het team activeert FIDO2 en Windows Hello voor Bedrijven, test de provisioning via Intune en valideert of certificaatuitgifte, biometrische opslag en hardware security modules correct functioneren. In pilotgroepen wordt nagegaan of gebruikers naadloos kunnen overschakelen op wachtwoordloze scenario's. Deze pilots zijn cruciaal: ze leveren bewijs dat het wegnemen van herinnering niet leidt tot frustratie omdat gebruikers overstappen op een methode die net zo snel, maar veiliger is. Feedback uit de pilot wordt teruggekoppeld naar het projectteam en gebruikt om handleidingen of supportprocessen bij te schaven. Zodra de technische configuratie staat, volgt de gefaseerde uitrol. Organisaties kiezen er vaak voor om te starten met een klein departement, vervolgens een heel directoraat en uiteindelijk de volledige organisatie. Tijdens elke fase worden metrics verzameld: aantal mislukte aanmeldingen, duur van helpdesksessies, aantal incidenttickets en signalen van verdachte inlogpogingen. Deze data wordt vergeleken met de baseline uit de periode vóór de wijziging. Wanneer blijkt dat het aantal incidenten gelijk blijft of juist daalt, krijgt de CAB groen licht voor de volgende fase. Eventuele problemen, zoals verouderde apparaten die geen moderne authenticatie ondersteunen, worden direct opgepakt en krijgen een eigenaar. De implementatie eindigt niet bij het uitrollen van policies. Nadat MFA-herinnering is uitgeschakeld, moet de organisatie de configuratie borgen via Infrastructure as Code of ten minste via gedocumenteerde scripts. Het PowerShell-script dat bij dit artikel hoort maakt het mogelijk om de instellingen consequent door te voeren in nieuwe tenants, testomgevingen of herstelsituaties. Door het script op te nemen in Azure Automation of GitHub Actions kan het beheerteam regelmatig controleren of instellingen onverhoopt zijn teruggedraaid. Daarmee wordt de beleidskeuze verankerd in herhaalbare processen en blijft de organisatie compliant met de Nederlandse Baseline voor Veilige Cloud.
Compliance en Auditing
Het beperken van MFA-herinnering levert aantoonbare bijdragen aan vrijwel ieder gangbaar normenkader waaroverheidsorganisaties mee te maken hebben. De Baseline Informatiebeveiliging Overheid, en specifiek maatregel 09.04 rondom sessiebeheer, verlangt dat iedere sessie is gebaseerd op actuele authenticatie. Een persistente token van negentig dagen staat haaks op die eis omdat de vertrouwensbeslissing weken eerder werd genomen. Door tokens niet meer te onthouden, toont de organisatie aan dat zij het principe van regelmatige herauthenticatie serieus neemt en dat gestolen apparaten niet ongemerkt toegang houden. Tijdens audits kan de beheerder screenshots overleggen van de Conditional Access sessiecontroles, aangevuld met lograpportages uit Azure AD Sign-in Logs waarin zichtbaar is dat MFA-uitdagingen elke aanmelding vergezellen. Deze bewijslast koppelt direct aan de controlevragen uit BIO-audits. Ook binnen ISO 27001:2022 sluit de maatregel nauw aan op controle A.5.17. Deze controle benadrukt dat authenticatie en sessiebeheer moeten aansluiten op het risiconiveau en dat organisaties mechanismen moeten inbouwen om misbruik van sessies te voorkomen. Het afschaffen van MFA-herinnering is een concrete, meetbare maatregel die laat zien dat het managementrisico rond sessiehijacking actief wordt gemitigeerd. Tijdens certificeringsaudits kan worden aangetoond dat beleid, procedures en technische configuratie op elkaar zijn afgestemd: het informatiebeveiligingsbeleid schrijft permanente MFA voor, de procedure beschrijft hoe Conditional Access wordt beheerd en het operationele bewijs bestaat uit exportbestanden van het PowerShell-script dat de instelling controleert. Daarmee wordt de eis van "operationalisering" ingevuld. De CIS Azure Foundation Benchmark versie 3.0.0 kent nog steeds controle 1.31, ook al wordt deze in sommige documentatie als legacy betiteld. Voor veel inspecties in Nederland blijft deze controle relevant, vooral wanneer een organisatie een auditrapport moet opleveren dat zowel de huidige situatie als het migratiepad van legacy naar modern beschrijft. Door expliciet aan te tonen dat de herinneringsfunctie is uitgeschakeld en dat moderne sessiecontroles worden gebruikt, kan de organisatie de auditor meenemen in het verhaal dat men niet alleen compliant is met de letter van de controle, maar deze zelfs overtreft door contextbewuste policies toe te passen. Verder stelt de NIS2-richtlijn in artikel 21 dat essentiële entiteiten aantoonbaar robuuste authenticatie moeten toepassen. In de guidance van de Europese Commissie wordt herhaaldelijk gewezen op het belang van meervoudige factoren en het beperken van langlopende sessies. Het actief beheren van MFA-herinnering is een kernonderdeel hiervan. Wanneer een toezichthouder zoals de Agentschap Telecom of de Autoriteit Persoonsgegevens inzicht vraagt in de toegepaste maatregelen, kan de organisatie het beleid, de Conditional Access exports en de monitoringrapporten overleggen. Daarmee toont men dat er continu toezicht plaatsvindt op eventuele uitzonderingen en dat deze uitzonderingen altijd zijn gekoppeld aan aanvullende controles, zoals device compliance of Identity Protection. Ten slotte is er de juridische dimensie: de AVG eist dat passende technische en organisatorische maatregelen worden genomen om persoonsgegevens te beschermen. Het verwijderen van MFA-herinnering reduceert de kans dat een verloren apparaat leidt tot een datalek waarvoor een meldplicht geldt. Deze maatregel is dus rechtstreeks te koppelen aan de risicobeoordeling die voorafgaat aan iedere verwerking van persoonsgegevens. Door deze koppeling expliciet te documenteren in het verwerkingsregister en de DPIA, ontstaat een compleet complianceverhaal dat auditors overtuigt.
Monitoring
Monitoring van MFA-herinnering is geen eenmalige controle maar een continu proces waarin identiteitsbeheer, SOC en compliance samenwerken. Het begint met configuratiedriftdetectie. Iedere wijziging aan Conditional Access of de klassieke MFA-portalen moet worden vastgelegd en vergeleken met een baseline. Dit kan via Azure AD Change Logs, maar veel organisaties kiezen ervoor om tevens Infrastructure as Code te gebruiken zodat wijzigingen via pull requests verlopen. Wanneer een beheerder een instelling wijzigt, worden automatisch notificaties gestuurd naar de verantwoordelijke security officer. Zo wordt voorkomen dat een tijdelijke wijziging ongemerkt permanent wordt, iets wat bij crisisbeheersing nog wel eens gebeurt. Naast configuratiedrift moet de organisatie zicht houden op de daadwerkelijke gebruikerservaring. Azure AD Sign-in Logs bevatten velden die aangeven of een sessie de MFA-uitdaging heeft overgeslagen vanwege een herinnering. Door deze gegevens dagelijks te exporteren naar een Log Analytics workspace kunnen dashboards worden opgebouwd waarin per gebruikersgroep zichtbaar is hoeveel sessies zonder MFA zijn verlopen. Zodra het percentage boven een vastgesteld plafond komt, genereert het SIEM-platform een alert die een onderzoekstrack start. Een tweede monitoringslag richt zich op apparaatstatus. Wanneer een apparaat uit Intune-compliance valt, moet ieder gekoppeld token worden ingetrokken. Dit proces kan worden geautomatiseerd door Intune compliance events te koppelen aan Azure AD Identity Protection of aan een Logic App die de API aanroept om de "remembered" status in te trekken. SOC-analisten krijgen meldingen wanneer een niet-beheerd apparaat plotseling voordeel krijgt van de functie. Daarna volgt een controle in Defender for Cloud Apps of er verdachte locaties of netwerken in het spel zijn. Deze samenhang tussen device management en identity monitoring minimaliseert de reactietijd bij verlies of diefstal van hardware. Het derde monitoringsaspect is gericht op gebruikersgedrag. Sommige aanvallers proberen tokens te exporteren of maken gebruik van session replay-aanvallen. Door correlatie te maken tussen Azure AD logs, Defender for Endpoint telemetry en eventueel proxylogs, kan worden vastgesteld of een sessie die zonder MFA is verlopen toch vreemde kenmerken heeft, zoals aanmelding vanaf een nieuw openbaar IP-adres, een browser zonder beheerde extensies of afwijkende tijdstippen. Machine learning-regels in Microsoft Sentinel of Splunk kunnen patronen herkennen waarin een gebruiker zich binnen enkele minuten van verschillende geografische locaties aanmeldt. In dat geval wordt automatisch een playbook gestart dat zowel de gebruiker als het apparaat verplicht om opnieuw MFA te doorlopen en dat het securityteam instrueert om de situatie te beoordelen. Tot slot heeft monitoring ook een rapportagedimensie. Maandelijks worden managementrapportages opgesteld waarin het aantal ingestelde uitzonderingen, het aantal ingetrokken tokens en de naleving van de maximale aanmeldingsfrequentie worden beschreven. Deze rapportages vormen het bewijs richting auditors dat de controle niet alleen technisch is ingericht maar ook operationeel wordt onderhouden. Door de rapportage te koppelen aan de bredere KPI's van het programma Nederlandse Baseline voor Veilige Cloud, blijft MFA-herinnering zichtbaar op de agenda van het bestuur en kan tijdig worden opgeschaald wanneer omstandigheden veranderen, bijvoorbeeld bij een verhoogd dreigingsniveau of nieuwe wetgeving.
Gebruik PowerShell-script mfa-remember-disabled.ps1 (functie Invoke-Monitoring) – Controleren.
Remediatie
Een effectieve remediatiestrategie begint bij duidelijke draaiboeken die exact beschrijven welke stappen worden gezet zodra blijkt dat MFA-herinnering onterecht actief is. Het meest urgente scenario is een verloren of gestolen apparaat waarop nog een geldig token aanwezig is. In dat geval wordt via Azure AD onmiddellijk een sign-in revoke uitgevoerd, gevolgd door het blokkeren van het apparaat in Intune en het afdwingen van een wachtwoordreset. Tegelijkertijd voert het SOC een controle uit op recente aanmeldingen om te zien of het apparaat al is misbruikt. De gebruiker ontvangt instructies om zich uitsluitend via een nieuw, door de organisatie beheerd apparaat aan te melden totdat de forensische controle is afgerond. Wanneer de monitoring uitwijst dat meerdere apparaten betroffen zijn, bijvoorbeeld na een phishingaanval waarbij tokens zijn geëxporteerd, wordt het beleid tijdelijk aangescherpt zodat niemand nog een herinnering kan gebruiken. Deze "global kill switch" is vooraf getest en gedocumenteerd zodat hij in seconden kan worden geactiveerd. Naast incidentgedreven acties omvat remediatie ook het herstellen van configuratiefouten. Het kan voorkomen dat een beheerder per ongeluk een aanmeldingsfrequentie op zeven dagen heeft gezet terwijl het beleid maximaal één dag toestaat. Daarom draait er periodiek een validatiescript dat alle policies vergelijkt met het goedgekeurde sjabloon. Afwijkingen worden automatisch in Azure DevOps geregistreerd, inclusief een takenlijst voor de verantwoordelijke beheerder. Nadat de instelling is gecorrigeerd, wordt een tweede controle uitgevoerd en wordt de wijziging afgesloten met een korte verklaring voor het CAB-dossier. Op die manier blijft er een audittrail bestaan die bewijst dat fouten snel worden herkend en verholpen. Menselijke factoren mogen niet worden onderschat. Sommige gebruikers proberen bewust of onbewust de regels te omzeilen door apparaten tijdelijk aan beheer toe te voegen en daarna weer te verwijderen. Het remediatieplan beschrijft hoe dergelijke gevallen worden behandeld. Eerst volgt een gesprek waarin de risico's worden uitgelegd en waarin alternatieven worden aangeboden, zoals de inzet van FIDO2-sleutels. Bij herhaling wordt het incident geëscaleerd naar leidinggevenden zodat passende maatregelen kunnen worden genomen. Deze aanpak zorgt ervoor dat beleid niet slechts een technisch script is, maar wordt gedragen door de organisatiecultuur. Automatisering versnelt de remediatie aanzienlijk. Het PowerShell-script dat aan deze controle is gekoppeld bevat functies om tokens in bulk in te trekken, Conditional Access policies te vergelijken en rapportages te genereren voor auditors. Door het script periodiek via Azure Automation te draaien, wordt iedere beleidsafwijking binnen enkele minuten zichtbaar. In combinatie met Logic Apps kunnen notificaties naar Teams of e-mail worden verzonden, zodat de verantwoordelijke teams onmiddellijk tot actie overgaan. Daarmee wordt remediatie een voorspelbaar proces met duidelijke doorlooptijden, in plaats van een ad-hocreactie op incidenten.
Gebruik PowerShell-script mfa-remember-disabled.ps1 (functie Invoke-Remediation) – Herstellen.
Compliance & Frameworks
- CIS M365: Control 1.31 (L2) - Zorg ervoor dat MFA-herinnering op de juiste wijze is geconfigureerd
- BIO: 09.04 - BIO: sessie-authenticatie
- ISO 27001:2022: A.5.17 - Authenticatie - sessiebeheer
- NIS2: Artikel - Authenticatiecontroles
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
MFA Remember Disabled
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 1.30
Controleert dat MFA remember feature is uitgeschakeld.
.NOTES
Filename: mfa-remember-disabled.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 1.30
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "MFA Remember Disabled"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer MFA settings:" -ForegroundColor Gray
Write-Host " - Remember MFA on trusted devices = Disabled" -ForegroundColor Gray
Write-Host " - Of CA persistent browser session = Never persistent" -ForegroundColor Gray
Write-Host " - Sign-in frequency configured" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: MFA remember disabled" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer MFA settings:" -ForegroundColor Gray
Write-Host " - Remember MFA on trusted devices = Disabled" -ForegroundColor Gray
Write-Host " - Of CA persistent browser session = Never persistent" -ForegroundColor Gray
Write-Host " - Sign-in frequency configured" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: MFA remember disabled" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
Medium: Een gestolen apparaat met een actieve MFA-token geeft een aanvaller toegang zonder wachtwoord of MFA voor 14-90 dagen, afhankelijk van de token levensduur. Het risico is hoger bij BYOD-apparaten en onbeheerde apparaten die niet voldoen aan organisatorische beveiligingsvereisten. Mitigatie: schakel MFA-herinnering uit of beperk deze tot alleen beveiligde apparaten. Naleving: CIS 1.31. Het risico is gemiddeld - gerelateerd aan scenarios waarbij apparaten worden gestolen.
Management Samenvatting
MFA-herinnering Uitgeschakeld: vereis MFA bij elke aanmelding (schakel de 'MFA onthouden' functie uit) of beperk MFA-herinnering tot alleen beveiligde apparaten. Afweging: beveiliging versus gebruiksgemak. Modern alternatief: wachtwoordloze authenticatie (FIDO2). Activatie: Voorwaardelijke Toegang → Sessiecontroles → Aanmeldingsfrequentie. Verplicht volgens CIS 1.31. Implementatie: 30 minuten. Balans tussen beveiliging en bruikbaarheid.
- Implementatietijd: 1.5 uur
- FTE required: 0.01 FTE