L1 BIO 12.01 ISO A.5.30 CIS 8.3

Microsoft Defender Voor Endpoint: Ransomware Protection Ingericht

📅 2025-01-27
⏱️ 30 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Ransomware is één van de meest ontwrichtende cyberdreigingen voor Nederlandse overheidsorganisaties. Een geslaagde aanval kan in enkele minuten volledige werkplekomgevingen versleutelen, kritieke dienstverlening stilleggen en gevoelige gegevens onbereikbaar maken. Microsoft Defender voor Endpoint biedt een geïntegreerde set ransomwarebeschermingsmaatregelen die, mits goed ingericht, de kans op een geslaagde aanval drastisch verkleinen en de impact van incidenten beperken. Dit artikel beschrijft hoe u Ransomware Protection inricht als integraal onderdeel van uw endpointbeveiligingsstrategie binnen de Nederlandse Baseline voor Veilige Cloud.

Aanbeveling
IMPLEMENT
Risico zonder
Critical
Risk Score
9/10
Implementatie
46u (tech: 30u)
Van toepassing op:
Microsoft 365 E3
Microsoft 365 E5
Microsoft Defender voor Endpoint Plan 1
Microsoft Defender voor Endpoint Plan 2

Overheidsorganisaties verwerken continu vertrouwelijke gegevens zoals basisregistraties, belastinginformatie, zorgdossiers en beleidsdocumenten. Ransomware-aanvallen richten zich juist op deze hoog-waarde omgevingen omdat verstoring direct maatschappelijke en politieke impact heeft. Aanvallers combineren phishing, kwetsbaarheden, misbruik van remote access en laterale beweging om uiteindelijk centrale fileservers, SharePoint-omgevingen en on-premises én cloudgebaseerde werkplekken te versleutelen. Zonder een expliciet ingerichte ransomwarebescherming, inclusief attack surface reduction, controlled folder access en consistente back-up- en herstelprocedures, blijft een organisatie afhankelijk van ad-hoc maatregelen en ‘best effort’-instellingen in individuele producten. Dat leidt tot onduidelijke verantwoordelijkheden, inconsistent beveiligingsniveau tussen afdelingen, en vertraging bij besluitvorming tijdens een incident. Vanuit wet- en regelgeving, zoals NIS2, BIO en de AVG, wordt daarnaast expliciet verwacht dat organisaties aantoonbaar passende technische en organisatorische maatregelen nemen om ransomware-incidenten te voorkomen, tijdig te detecteren en gecontroleerd af te handelen.

PowerShell Modules Vereist
Primary API: Microsoft Defender for Endpoint API, Microsoft Graph Security API
Connection: Connect-MgGraph, Connect-MicrosoftDefender
Required Modules: Microsoft.Graph, Microsoft.Graph.Security

Implementatie

In dit artikel wordt een volledige, praktijkgerichte aanpak beschreven voor het inrichten van Ransomware Protection met Microsoft Defender voor Endpoint. Eerst wordt uitgelegd welke bouwstenen van Defender voor Endpoint direct bijdragen aan ransomwarebescherming, waaronder attack surface reduction regels, controlled folder access, real-time bescherming, cloud-delivered protection en integratie met Microsoft Defender XDR. Vervolgens worden concrete implementatiestappen gegeven voor het configureren van ransomwarebescherming via Group Policy, Intune en PowerShell, inclusief een PowerShell-script dat controleert of de vereiste instellingen actief zijn en waar nodig remediatie uitvoert. Tot slot wordt ingegaan op monitoring, rapportage, oefening en compliance, zodat CISO’s, security officers en beheerteams aantoonbaar kunnen maken dat ransomwarebescherming structureel is geborgd binnen de organisatie en aansluit op bestaande business continuity- en disaster recovery-plannen.

Vereisten voor een robuuste Ransomware Protection configuratie

Een effectieve ransomwarebescherming in Microsoft Defender voor Endpoint begint met heldere randvoorwaarden. Allereerst moeten alle relevante endpoints zijn voorzien van een ondersteunde Windows-versie (Windows 10 1709 of hoger, Windows 11, of Windows Server 2019/2022) en volledig zijn onboarded in Microsoft Defender voor Endpoint. Dat betekent dat de Defender-sensor actief is, telemetrie correct wordt aangeleverd aan de Microsoft 365 Defender portal en dat de organisatie beschikt over de juiste licenties, bijvoorbeeld Microsoft 365 E5 of Defender voor Endpoint Plan 2. Zonder volledige onboarding ontstaat een versnipperd beeld: sommige endpoints profiteren van geavanceerde ransomwarebescherming terwijl andere feitelijk ongecontroleerd blijven en daarmee een aantrekkelijk doel vormen voor aanvallers die van zwakke schakels gebruikmaken om zich verder door het netwerk te bewegen.

Daarnaast moet Microsoft Defender Antivirus op alle endpoints zijn geactiveerd als primaire of passieve antivirus-engine, omdat cruciale ransomwarebeschermingsfuncties – zoals attack surface reduction (ASR)-regels en controlled folder access – rechtstreeks op deze engine voortbouwen. De organisatie moet ook een minimaal basiskader voor identity- en toegangsbeveiliging hebben ingericht, zoals multi-factor authenticatie voor beheerdersaccounts, gecentraliseerde identiteitsadministratie en een strikt scheiding van beheer- en gebruikersaccounts. In de praktijk zien we dat ransomware-incidenten zelden op zichzelf staan; ze volgen vaak op misbruik van zwakke of hergebruikte wachtwoorden, onvoldoende gesegmenteerde netwerken of verouderde remote access-oplossingen. Het inrichten van ransomwarebescherming zonder deze bredere basis is vergelijkbaar met het versterken van de voordeur terwijl ramen en achterdeur open blijven staan.

Organisatorisch vraagt ransomwarebescherming om duidelijke governance en besluitvorming. Bestuur en CISO moeten samen vastleggen welk risiconiveau acceptabel is, welke gegevens en processen prioriteit hebben bij herstel en welke maximale uitvaltijd per dienst is toegestaan. Deze keuzes worden vertaald naar concrete security-eisen, zoals verplichte inzet van controlled folder access op alle werkplekken waar vertrouwelijke documenten worden bewerkt, verplichte attack surface reduction regels voor Office-macro’s en scriptuitvoering, en strikte segmentatie tussen generieke kantoorwerkplekken en beheerders- of ontwikkelomgevingen. Ook moeten rollen en verantwoordelijkheden expliciet zijn vastgelegd: wie beoordeelt uitzonderingsverzoeken als een applicatie wordt geblokkeerd, wie beslist over risicovolle afwijkingen van de standaardconfiguratie en wie is eindverantwoordelijk voor het periodiek testen van back-up- en herstelprocedures.

Tot slot zijn voldoende kennis en capaciteit binnen het beheer- en securityteam cruciaal. Beheerders moeten begrijpen hoe ransomware zich in moderne omgevingen manifesteert, welke indicatoren van compromittering relevant zijn en hoe Defender voor Endpoint-signalen zich verhouden tot logging in bijvoorbeeld SIEM- of SOAR-oplossingen. Training in het analyseren van Defender-alerts, het schrijven van KQL-queries voor Advanced Hunting en het uitvoeren van gesimuleerde ransomware-scenario’s is geen luxe, maar een noodzakelijke randvoorwaarde voor volwassen weerbaarheid. Door deze technische, organisatorische en personele vereisten expliciet te borgen voordat de configuratie wordt uitgerold, voorkomt de organisatie dat ransomwarebescherming verzandt in losse technische instellingen zonder strategische samenhang.

Stapsgewijze implementatie van Ransomware Protection met Defender voor Endpoint

Gebruik PowerShell-script ransomware-protection.ps1 (functie Invoke-Remediation) – PowerShell-script dat controleert of cruciale ransomwarebeschermingsinstellingen zijn geactiveerd en waar nodig configuraties toepast..

De implementatie van Ransomware Protection binnen Microsoft Defender voor Endpoint begint met het vaststellen van een uniforme configuratie voor alle werkplekken. In de basis wordt ransomwarebescherming opgebouwd uit drie technische pijlers: sterke attack surface reduction (ASR)-regels die misbruik van macro’s, scripts en office-documenten beperken, controlled folder access ter bescherming van kritieke mappen tegen ongeautoriseerde schrijf- en versleutelacties, en strikte configuratie van real-time en cloud-delivered protection zodat nieuwe ransomware-varianten snel worden gedetecteerd. Deze pijlers worden zoveel mogelijk centraal geconfigureerd via Group Policy of Microsoft Intune, zodat wijzigingen consistent worden doorgevoerd en eenvoudig kunnen worden gecontroleerd. Het bijbehorende PowerShell-script ondersteunt de uitvoerende beheerder door lokale configuraties te controleren, eventuele afwijkingen te rapporteren en – indien gewenst – direct te herstellen naar de afgesproken baseline.

Voor organisaties met een traditioneel Active Directory-landschap ligt het voor de hand om Group Policy te gebruiken als primair configuratiemechanisme. Binnen de GPO-structuur worden aparte policies gedefinieerd voor ransomwarebescherming, bijvoorbeeld één policy die ASR-regels inschakelt voor Office-, script- en e-mailscenario’s, en een tweede policy die controlled folder access in block-modus zet op alle relevante werkstations. De organisatie definieert daarbij expliciet welke mappen als ‘beschermd’ worden beschouwd, zoals Documenten, Desktop, lokale projectmappen en eventueel specifieke applicatie-directories waar beleidsdocumenten, aanbestedingsdossiers of onderzoeksgegevens worden opgeslagen. Na implementatie van de GPO’s wordt via rapportages gecontroleerd of alle computers de policy succesvol hebben toegepast en worden afwijkingen – bijvoorbeeld laptops die lange tijd offline zijn geweest – actief opgevolgd.

Voor cloud-first of hybride omgevingen is Microsoft Intune vaak de meest efficiënte route. Via Endpoint Security-profielen en Device Configuration-profielen worden dezelfde instellingen uitgerold als in Group Policy, maar dan gericht op cloud-managed endpoints, inclusief thuiswerkplekken en mobiele laptops die zelden verbinding maken met het on-premises netwerk. Binnen Intune worden configuratieprofielen toegewezen aan devicegroepen op basis van risicoprofiel en functie; bijvoorbeeld strengere ransomwarebescherming voor werkplekken van financieel medewerkers, beleidsjuristen of beheerders dan voor generieke shared devices. Intune biedt daarnaast directe feedback over compliance, zodat beheerders in één oogopslag zien welke apparaten niet voldoen aan de baseline en waar aanvullende remediatie noodzakelijk is. Het beschreven PowerShell-script kan via Intune worden ingezet als remediatiescript om endpoints die afwijken automatisch bij te sturen.

Parallel aan de technische implementatie moet de organisatie expliciet aandacht besteden aan uitzonderingen en compatibiliteit. Bepaalde line-of-business applicaties schrijven bijvoorbeeld naar lokale mappen op een manier die door controlled folder access als verdacht kan worden gezien. In plaats van de volledige ransomwarebescherming uit te schakelen, wordt per applicatie beoordeeld of een beperkte uitzondering gerechtvaardigd is. De verantwoordelijke product owner levert daarbij documentatie over het technisch gedrag van de applicatie, waarna security en beheer gezamenlijk beslissen of een uitzondering wordt toegestaan, onder welke voorwaarden en met welke aanvullende monitoringsmaatregelen. Door dit besluitvormingsproces vooraf te structureren en vast te leggen in beleid, voorkomt de organisatie dat onder druk van productie-incidenten tijdelijke uitzonderingen onbedoeld permanent worden en het algehele beschermingsniveau uithollen.

Monitoring, detectie en oefening van ransomware-scenario’s

Gebruik PowerShell-script ransomware-protection.ps1 (functie Invoke-Monitoring) – Voert een lokale configuratiecontrole uit op ransomwarebeschermingsinstellingen en rapporteert de compliance-status..

Ransomwarebescherming is geen eenmalig project maar een continu proces van monitoren, bijsturen en oefenen. In het Microsoft 365 Defender portal krijgen security-analisten een integraal overzicht van ransomware-gerelateerde signalen, zoals verdachte encryptieactiviteiten, massale bestandswijzigingen, misbruik van legitieme tools als PowerShell en PsExec, en pogingen tot het uitschakelen van beveiligingsfunctionaliteit. Deze signalen worden zichtbaar in alerts, incidenten en rapportages binnen Defender XDR. Door duidelijke use cases te definiëren – bijvoorbeeld ‘verdachte massa-encryptie op fileshare’, ‘meervoudige mislukte inlogpogingen gevolgd door scriptuitvoering’ of ‘gelijktijdige elevatie van meerdere accounts’ – kan het SOC gericht dashboards en hunting queries inrichten die specifiek zijn afgestemd op ransomware-dreigingen in de context van de eigen organisatie.

Naast centrale monitoring is lokale verificatie op endpoints belangrijk om configuratie-afwijkingen vroegtijdig te signaleren. Het bijbehorende PowerShell-script kan periodiek of on-demand worden uitgevoerd om te controleren of controlled folder access nog actief is, of kritieke ASR-regels niet per ongeluk zijn uitgeschakeld en of real-time en cloud-delivered protection nog de juiste configuratie hebben. De resultaten kunnen worden gelogd naar een centraal verzamelpunt of via bestaande beheerkanalen worden gerapporteerd aan het beheerteam. Hiermee ontstaat een dubbele waarborg: enerzijds het zicht van het SOC op verdachte gedragingen en anderzijds de zekerheid voor het beheerteam dat de preventieve instellingen op werkplekken daadwerkelijk overeenkomen met de gedefinieerde baseline.

Oefenen is een essentieel maar vaak onderschat onderdeel van ransomwareweerbaarheid. Nederlandse overheidsorganisaties doen er goed aan om minimaal jaarlijks een ransomware-oefening uit te voeren waarbij zowel technische teams als bestuur en communicatieafdeling betrokken zijn. Tijdens zo’n oefening wordt een realistisch scenario gesimuleerd waarin één of meerdere werkplekken tekenen van versleuteling vertonen, alerts in Defender voor Endpoint binnenkomen en escalatie naar het crisisteam noodzakelijk is. Het doel is niet alleen om de technische detectie te toetsen, maar ook om te beoordelen hoe snel besluiten worden genomen over isolatie van systemen, het activeren van back-up- en herstelprocedures, het informeren van burgers en ketenpartners en het voldoen aan wettelijke meldplichten richting toezichthouders zoals de Autoriteit Persoonsgegevens. Door na afloop gestructureerd te evalueren en lessons learned te vertalen naar aanpassingen in configuraties, processen en training, groeit de organisatie stap voor stap naar een hoger volwassenheidsniveau.

Remediatie, herstel en lessen na een ransomware-incident

Gebruik PowerShell-script ransomware-protection.ps1 (functie Invoke-Remediation) – Herstelt ontbrekende of incorrecte ransomwarebeschermingsinstellingen naar de afgesproken basisconfiguratie..

Ondanks een robuuste configuratie kan een organisatie geconfronteerd worden met een geslaagd of gedeeltelijk geslaagd ransomware-incident. In dat geval is een gecontroleerde en gefaseerde remediatie-aanpak essentieel om verdere schade te beperken. De eerste prioriteit ligt bij het isoleren van getroffen systemen, het veiligstellen van forensische data en het voorkomen dat de aanval zich verder verspreidt. Defender voor Endpoint biedt functionaliteit om endpoints direct vanuit het portal te isoleren en om geautomatiseerde of handmatige remediatieacties uit te voeren op basis van gedetecteerde dreigingen. Het in dit artikel beschreven script kan aanvullend worden ingezet om, na afronding van de primaire incidentrespons, endpoints terug te brengen naar een consistente ransomwarebeschermingsbaseline, zodat herinfectie via dezelfde route wordt voorkomen.

Herstel van data en dienstverlening vraagt nauwe afstemming tussen security, infrastructuurbeheer en business continuity management. Idealiter beschikt de organisatie over recent geteste back-ups die offline of immutabel zijn opgeslagen, zodat versleutelde data gecontroleerd kan worden teruggezet zonder het risico dat back-ups zelf zijn aangetast. Tijdens het herstelproces moeten prioriteiten worden gesteld: welke systemen zijn bedrijfskritisch, welke afdelingen moeten als eerste operationeel zijn en welke tijdelijke workarounds zijn acceptabel om essentiële dienstverlening voort te zetten. Tegelijkertijd moet worden voorkomen dat systemen te snel weer in productie worden genomen zonder dat onderliggende kwetsbaarheden zijn verholpen. Het is daarom verstandig om herstel steeds te combineren met een herbeoordeling van configuraties, patchniveaus en toegangsrechten, en waar nodig direct aanvullende maatregelen door te voeren.

Na afloop van een ransomware-incident is een grondige evaluatie onmisbaar. Deze evaluatie richt zich niet alleen op de directe technische oorzaken – zoals een niet-gepatchte kwetsbaarheid of een phishingmail die niet werd herkend – maar ook op onderliggende structurele factoren. Denk aan onvoldoende segmentatie tussen kantoor- en beheernetwerken, gebrek aan training bij sleutelrollen, onduidelijkheid over escalatiepaden of onvoldoende geoefende crisiscommunicatie. De bevindingen worden vertaald naar concrete verbetermaatregelen in beleid, configuraties en processen. Voor de configuratie van Defender voor Endpoint kan dit betekenen dat aanvullende ASR-regels worden geactiveerd, dat uitzonderingen worden aangescherpt of dat meer integratie met SIEM- en SOAR-oplossingen wordt gerealiseerd. Door deze verbeteringen vast te leggen in de governance-structuur en periodiek te toetsen, ontstaat een lerende organisatie waarin ransomware-incidenten, hoe vervelend ook, steeds leiden tot versterking van de weerbaarheid.

Compliance, normenkaders en aantoonbaarheid voor ransomwarebescherming

Ransomwarebescherming raakt direct aan meerdere normenkaders die voor Nederlandse overheidsorganisaties relevant zijn. Binnen de Baseline Informatiebeveiliging Overheid (BIO) sluiten de maatregelen onder meer aan op bepalingen rondom bedrijfscontinuïteit, incidentmanagement en technische beveiligingsmaatregelen voor endpoints en gegevensdragers. NIS2 legt extra nadruk op risicogebaseerd beheer van kritieke diensten, snelle detectie van incidenten en meldplichten richting toezichthouders. De AVG vereist dat organisaties passende technische en organisatorische maatregelen treffen om persoonsgegevens te beschermen tegen ongeoorloofde of onrechtmatige vernietiging, verlies, wijziging of ongeoorloofde verstrekking. Een goed ingericht Ransomware Protection-programma ondersteunt aantoonbaar aan deze verplichtingen door preventieve beveiligingslagen te combineren met detectie, respons en herstel.

Voor audit- en verantwoordingstrajecten is het belangrijk dat ransomwarebescherming niet alleen feitelijk aanwezig is, maar ook goed gedocumenteerd en herleidbaar naar concrete controls. In de praktijk betekent dit dat de organisatie per normenkader vastlegt welke Defender voor Endpoint-instellingen, back-upstrategieën en processen bijdragen aan welke controls of artikelen. Denk aan het koppelen van controlled folder access en ASR-regels aan specifieke BIO-maatregelen voor endpointbeveiliging, het relateren van incidentresponsprocedures aan NIS2-verplichtingen en het beschrijven hoe versleuteling en back-upprocedures bijdragen aan AVG Artikel 32. Door deze mapping expliciet vast te leggen, bijvoorbeeld in een control matrix of verantwoordingdocument, kunnen auditors sneller beoordelen of de gekozen maatregelen proportioneel en effectief zijn.

Tot slot moet de organisatie zorgen voor een duurzaam auditspoor. Dit omvat het bewaren van configuratierapportages uit Defender voor Endpoint en Intune, logging van uitgevoerde scripts en remediatieacties, documentatie van uitgevoerde oefeningen en evaluaties, en verslagen van besluitvorming rondom uitzonderingen en risicobeoordelingen. Door deze informatie centraal te ontsluiten – bijvoorbeeld via een GRC-oplossing of een intern complianceportaal – ontstaat een consistent beeld van de wijze waarop ransomwarebescherming is ingericht en onderhouden. Dit vereenvoudigt niet alleen externe audits, maar helpt ook bestuurders en toezichthouders om gefundeerde besluiten te nemen over investeringen, prioriteiten en de verdere doorontwikkeling van de informatiebeveiligingsstrategie.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Microsoft Defender voor Endpoint: Ransomware Protection Baseline .DESCRIPTION Controleert en configureert kerninstellingen voor ransomwarebescherming op Windows endpoints met behulp van Microsoft Defender Antivirus, waaronder real-time bescherming, cloud-delivered protection, attack surface reduction (ASR)-regels en Controlled Folder Access. Het script kan worden gebruikt voor: - Monitoring: controleren of de gewenste baseline is geconfigureerd - Remediation: afdwingen van de baseline-configuratie .NOTES Filename: ransomware-protection.ps1 Author: Nederlandse Baseline voor Veilige Cloud Created: 2025-01-27 Last Modified: 2025-01-27 Version: 1.0 Related JSON: content/m365/defender-endpoint/ransomware-protection.json .LINK https://github.com/[org]/m365-tenant-best-practise .EXAMPLE .\ransomware-protection.ps1 -Monitoring Controleert of kerninstellingen voor ransomwarebescherming actief zijn. .EXAMPLE .\ransomware-protection.ps1 -Remediation Schakelt ontbrekende instellingen in voor ransomwarebescherming volgens de baseline. #> #Requires -Version 5.1 #Requires -RunAsAdministrator [CmdletBinding()] param( [Parameter()] [switch]$WhatIf, [Parameter()] [switch]$Monitoring, [Parameter()] [switch]$Remediation ) $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' # Baseline configuratie voor ransomwarebescherming $ExpectedRealTimeProtection = $true $ExpectedCloudProtectionLevel = 2 # MAPSReporting: Advanced $ExpectedBlockAtFirstSeen = $true # MAPSEnabled / SubmitSamplesConsent afhankelijk van OS $ExpectedCfaState = 1 # Controlled Folder Access: 0=Uit, 1=Blokkeren, 2=Audit # Subset van relevante ASR-regels gericht op ransomware en schadelijke macro's/scripts $BaselineAsrRules = @{ # Block executable content from email and webmail "D4F940AB-401B-4EFC-AADC-AD5F3C50688A" = "Enabled"; # Block all Office applications from creating child processes "26190899-1602-49E8-8B27-EB1D0A1CE869" = "Enabled"; # Block Office applications from creating executable content "3B576869-A4EC-4529-8536-B80A7769E899" = "Enabled"; # Block Office applications from injecting code into other processes "75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84" = "Enabled"; # Block credential stealing from the Windows local security authority subsystem (lsass.exe) "9E6C4E1F-7D60-472F-BA1A-A39EF669E4B2" = "Enabled"; # Block process creations originating from PSExec and WMI commands "D1E49AAC-8F56-4280-B9BA-993A6D77406C" = "Enabled" } function Test-AdminContext { <# .SYNOPSIS Controleert of het script met administratorrechten draait. #> [CmdletBinding()] param() $principal = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()) if (-not $principal.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator)) { Write-Error "Dit script vereist administratorrechten. Start PowerShell als administrator." return $false } return $true } function Test-RansomwareProtectionConfiguration { <# .SYNOPSIS Controleert de configuratie voor ransomwarebescherming. .OUTPUTS PSCustomObject met compliance-resultaten. #> [CmdletBinding()] param() Write-Verbose "Ophalen van Microsoft Defender voorkeuren..." $result = [PSCustomObject]@{ ScriptName = "ransomware-protection.ps1" PolicyName = "Ransomware Protection Baseline" IsCompliant = $false RealTimeProtection = $null CloudProtectionLevel = $null BlockAtFirstSeen = $null ControlledFolderAccess = $null AsrRules = @() NonCompliantItems = @() } try { $mpPref = Get-MpPreference -ErrorAction Stop $mpStatus = Get-MpComputerStatus -ErrorAction SilentlyContinue $result.RealTimeProtection = $mpStatus.RealTimeProtectionEnabled $result.CloudProtectionLevel = $mpPref.MAPSReporting $result.BlockAtFirstSeen = $mpPref.EnableBlockAtFirstSeen $result.ControlledFolderAccess = $mpPref.EnableControlledFolderAccess foreach ($ruleId in $BaselineAsrRules.Keys) { $desiredState = $BaselineAsrRules[$ruleId] $currentState = $null if ($mpPref.AttackSurfaceReductionRules_Ids -and $mpPref.AttackSurfaceReductionRules_Actions) { for ($i = 0; $i -lt $mpPref.AttackSurfaceReductionRules_Ids.Count; $i++) { if ($mpPref.AttackSurfaceReductionRules_Ids[$i] -eq $ruleId) { $currentState = $mpPref.AttackSurfaceReductionRules_Actions[$i] break } } } $ruleResult = [PSCustomObject]@{ RuleId = $ruleId DesiredState = $desiredState CurrentState = $currentState IsCompliant = $currentState -eq $desiredState } $result.AsrRules += $ruleResult if (-not $ruleResult.IsCompliant) { $result.NonCompliantItems += "ASR-regel $($ruleResult.RuleId) is niet in gewenste staat ($desiredState)." } } if (-not $result.RealTimeProtection) { $result.NonCompliantItems += "Real-time bescherming is niet ingeschakeld." } if ($result.CloudProtectionLevel -lt $ExpectedCloudProtectionLevel) { $result.NonCompliantItems += "Cloud-delivered protection (MAPSReporting) staat niet op aanbevolen niveau." } if (-not $result.BlockAtFirstSeen) { $result.NonCompliantItems += "Block at first sight is niet ingeschakeld." } if ($result.ControlledFolderAccess -ne $ExpectedCfaState) { $result.NonCompliantItems += "Controlled Folder Access staat niet in blokkeren-modus (waarde $ExpectedCfaState)." } if ($result.NonCompliantItems.Count -eq 0) { $result.IsCompliant = $true } } catch { $result.NonCompliantItems += "Fout tijdens configuratiecontrole: $($_.Exception.Message)" Write-Error "Fout tijdens Test-RansomwareProtectionConfiguration: $_" } return $result } function Invoke-Monitoring { <# .SYNOPSIS Rapporteert de status van de ransomwarebeschermingsbaseline. #> [CmdletBinding()] param() Write-Host "" Write-Host "Ransomware Protection – Monitoring" -ForegroundColor Yellow Write-Host "==================================" -ForegroundColor Yellow $status = Test-RansomwareProtectionConfiguration Write-Host "" if ($status.IsCompliant) { Write-Host " Status: ✅ COMPLIANT" -ForegroundColor Green } else { Write-Host " Status: ❌ NON-COMPLIANT" -ForegroundColor Red } Write-Host "" Write-Host " Kerninstellingen:" -ForegroundColor Cyan Write-Host " Real-time bescherming: $($status.RealTimeProtection)" -ForegroundColor White Write-Host " Cloud-delivered protection (MAPSReporting): $($status.CloudProtectionLevel)" -ForegroundColor White Write-Host " Block at first sight: $($status.BlockAtFirstSeen)" -ForegroundColor White Write-Host " Controlled Folder Access (EnableControlledFolderAccess): $($status.ControlledFolderAccess)" -ForegroundColor White Write-Host "" Write-Host " ASR-regels (subset ransomware):" -ForegroundColor Cyan foreach ($rule in $status.AsrRules) { $color = if ($rule.IsCompliant) { 'Green' } else { 'Yellow' } $icon = if ($rule.IsCompliant) { "✅" } else { "⚠️" } Write-Host (" {0} {1} - Desired: {2}, Current: {3}" -f $icon, $rule.RuleId, $rule.DesiredState, ($rule.CurrentState ?? "NotSet")) -ForegroundColor $color } if (-not $status.IsCompliant) { Write-Host "" Write-Host " Niet-compliante onderdelen:" -ForegroundColor Cyan foreach ($item in $status.NonCompliantItems) { Write-Host " - $item" -ForegroundColor Yellow } Write-Host "" Write-Host " Aanbeveling: voer het script opnieuw uit met -Remediation om de baseline toe te passen." -ForegroundColor Yellow exit 1 } Write-Host "" Write-Host "✅ Endpoint voldoet aan de Ransomware Protection baseline." -ForegroundColor Green exit 0 } function Invoke-Remediation { <# .SYNOPSIS Past de baselineconfiguratie voor ransomwarebescherming toe. #> [CmdletBinding()] param() Write-Host "" Write-Host "Ransomware Protection – Remediation" -ForegroundColor Yellow Write-Host "===================================" -ForegroundColor Yellow $status = Test-RansomwareProtectionConfiguration if ($status.IsCompliant) { Write-Host "" Write-Host " De endpoint voldoet al aan de Ransomware Protection baseline. Geen actie vereist." -ForegroundColor Green exit 0 } if ($WhatIf) { Write-Host "" Write-Host " [WhatIf] De volgende wijzigingen zouden worden toegepast:" -ForegroundColor Yellow foreach ($item in $status.NonCompliantItems) { Write-Host " - $item" -ForegroundColor Yellow } exit 0 } try { Write-Host "" Write-Host " Toepassen van baselineconfiguratie..." -ForegroundColor Cyan # Real-time bescherming if (-not $status.RealTimeProtection) { Write-Verbose "Real-time bescherming inschakelen..." Set-MpPreference -DisableRealtimeMonitoring $false } # Cloud-delivered protection if ($status.CloudProtectionLevel -lt $ExpectedCloudProtectionLevel) { Write-Verbose "Cloud-delivered protection op aanbevolen niveau instellen..." Set-MpPreference -MAPSReporting $ExpectedCloudProtectionLevel } # Block at first sight if (-not $status.BlockAtFirstSeen) { Write-Verbose "Block at first sight inschakelen..." Set-MpPreference -EnableBlockAtFirstSeen $true } # Controlled Folder Access if ($status.ControlledFolderAccess -ne $ExpectedCfaState) { Write-Verbose "Controlled Folder Access configureren..." Set-MpPreference -EnableControlledFolderAccess $ExpectedCfaState } # ASR-regels baseline Write-Verbose "Attack Surface Reduction baseline voor ransomware toepassen..." foreach ($ruleId in $BaselineAsrRules.Keys) { $desiredState = $BaselineAsrRules[$ruleId] Set-MpPreference -AttackSurfaceReductionRules_Ids $ruleId -AttackSurfaceReductionRules_Actions $desiredState -Force } Start-Sleep -Seconds 2 $verify = Test-RansomwareProtectionConfiguration if ($verify.IsCompliant) { Write-Host "" Write-Host "✅ Baseline voor ransomwarebescherming is succesvol toegepast." -ForegroundColor Green exit 0 } else { Write-Host "" Write-Host "⚠️ Baseline is toegepast, maar sommige onderdelen zijn nog niet compliant." -ForegroundColor Yellow foreach ($item in $verify.NonCompliantItems) { Write-Host " - $item" -ForegroundColor Yellow } exit 1 } } catch { Write-Error "Fout tijdens het toepassen van de ransomwarebeschermingsbaseline: $_" exit 1 } } # ============================================================================ # MAIN EXECUTION # ============================================================================ try { Write-Host "" Write-Host "========================================" -ForegroundColor Cyan Write-Host "Ransomware Protection Baseline" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan if (-not (Test-AdminContext)) { exit 1 } if ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { Invoke-Remediation } else { # Standaard: korte compliance-indicatie $status = Test-RansomwareProtectionConfiguration Write-Host "" Write-Host " Baseline status:" -ForegroundColor Cyan if ($status.IsCompliant) { Write-Host " ✅ COMPLIANT met Ransomware Protection baseline." -ForegroundColor Green exit 0 } else { Write-Host " ❌ NON-COMPLIANT met Ransomware Protection baseline." -ForegroundColor Red Write-Host " Gebruik -Monitoring voor details of -Remediation om de baseline toe te passen." -ForegroundColor Yellow exit 1 } } } catch { Write-Error "Onverwachte fout in ransomware-protection.ps1: $_" throw } finally { Write-Host "" Write-Host "========================================`n" -ForegroundColor Cyan }

Risico zonder implementatie

Risico zonder implementatie
Critical: Kritiek – Zonder een expliciet ingerichte Ransomware Protection-configuratie in Microsoft Defender voor Endpoint loopt de organisatie een aanzienlijk risico op verstorende ransomware-incidenten, langdurige uitval van kritieke processen, verlies of onbereikbaarheid van persoonsgegevens en zware bestuurlijke en juridische consequenties.

Management Samenvatting

Richt Ransomware Protection in op alle relevante endpoints door attack surface reduction, controlled folder access en cloud-delivered protection centraal te configureren via Group Policy of Intune, ondersteund door monitoring en remediatie met Microsoft Defender voor Endpoint. Combineer deze technische maatregelen met duidelijke governance, geoefende incidentrespons en aantoonbare compliance met BIO, NIS2 en AVG-vereisten om ransomware-risico’s structureel te verkleinen.