Account Policies
Account Lockout Duration
Account lockout duration is een essentiële beveiligingsmaatregel die brute force-aanvallen voorkomt door gebruikersaccounts tijdelijk te blokkeren na meerdere mislukte inlogpogingen. Deze maatregel vormt een fundamentele verdedigingslaag tegen geautomatiseerde aanvallen waarbij aanvallers systematisch proberen wachtwoorden te raden door middel van herhaalde inlogpogingen.
Account Lockout Reset Counter Configureren
De account lockout reset counter is een essentiële beveiligingsinstelling die bepaalt na hoeveel tijd de teller voor mislukte aanmeldpogingen wordt gereset. Deze maatregel voorkomt dat legitieme gebruikers permanent worden geblokkeerd door onschuldige typefouten en helpt organisaties onderscheid te maken tussen onbedoelde invoerfouten en daadwerkelijke brute-force aanvallen. Een correct geconfigureerde reset counter verbetert zowel de beveiliging als de gebruiksvriendelijkheid van het authenticatiesysteem.
Account Lockout Drempel Na 10 Mislukte Pogingen
Account lockout na 10 mislukte inlogpogingen voorkomt brute force aanvallen op lokale Windows accounts door automatisch accounts te blokkeren na herhaalde foute wachtwoord invoer.
Ingebouwde Administrator Account Disabled
Het ingebouwde Administrator-account (SID-500) bestaat sinds de eerste Windows-versies en is daardoor een geliefd doelwit voor aanvallers die met minimale inspanning maximale rechten willen. Omdat de naam overal hetzelfde is, hoeven criminelen enkel nog het wachtwoord te raden, waarna zij volledige controle over endpoints, lokale services en offline beheertools krijgen. In Nederlandse overheidsomgevingen, waar werkplekken vaak zowel gevoelige persoonsgegevens als stelselverbindingen beheren, kan misbruik direct leiden tot escalatie richting domeincontrollers en identiteitsplatformen. Door het account standaard uit te schakelen en uitsluitend persoonsgebonden beheerdersaccounts te gebruiken, blijft de ketencontrole intact, kunnen acties worden herleid tot individuen en voldoen organisaties aantoonbaar aan de eisen van de Nederlandse Baseline voor Veilige Cloud.
Ingebouwde Gastaccount Uitgeschakeld
Het uitschakelen van de ingebouwde gastaccount voorkomt anonieme, niet-geauthenticeerde toegang tot Windows-systemen zonder verantwoordingsplicht of audittrail, waardoor een aanzienlijk beveiligingsrisico wordt geëlimineerd dat geen legitieme bedrijfswaarde meer heeft in moderne Windows-omgevingen.
Windows LAPS Ingeschakeld
Windows LAPS (Local Administrator Password Solution) rotates local admin passwords automatically, preventing lateral movement via shared local admin credentials.
Wachtwoord Complexiteit Vereisten Afgedwongen
Wachtwoordcomplexiteitsvereisten dwingen sterke wachtwoorden af met een combinatie van hoofdletters, kleine letters, cijfers en speciale tekens, waardoor zwakke en eenvoudig te raden wachtwoorden worden voorkomen.
Password History Afgedwongen
Het afdwingen van wachtwoordgeschiedenis is een bewezen maatregel om hergebruik van referenties te stoppen en vormt een essentieel onderdeel van de Nederlandse Baseline voor Veilige Cloud.
Maximum Wachtwoordleeftijd Geconfigureerd
De maximum wachtwoordleeftijd zorgt ervoor dat wachtwoorden periodiek worden vernieuwd, waarbij een balans wordt gezocht tussen beveiliging door regelmatige rotatie en gebruiksvriendelijkheid door niet te frequent te roteren.
Minimum Wachtwoordleeftijd Geconfigureerd
De minimum wachtwoordleeftijd voorkomt dat gebruikers snelle wachtwoordcycli gebruiken om wachtwoordgeschiedenisvereisten te omzeilen.
Wachtwoord Minimum Lengte 14 Karakters
Een minimum wachtwoordlengte van 14 karakters biedt sterke bescherming tegen brute force aanvallen door de wachtwoordruimte exponentieel te vergroten, waardoor het kraken van wachtwoorden praktisch onmogelijk wordt met huidige computerkracht.