💼 Management Samenvatting
Hardening van beheerwerkstations vormt de ruggengraat van iedere beveiligingsarchitectuur waarin Microsoft 365, Azure en hybride workloads worden bestuurd. Nederlandse overheidsorganisaties vertrouwen dagelijks op een klein aantal beheerders dat toegang heeft tot kroonjuwelen zoals DigiD-aansluitingen, BRP-ketens of landelijke registratiesystemen. Zonder streng afgeschermde werkplekken verandert één gecompromitteerde laptop in een directe route naar complete tenant-overname. Dit artikel beschrijft hoe de Nederlandse Baseline voor Veilige Cloud een toekomstbestendig, controleerbaar en aantoonbaar programma voor admin-workstation-hardening neerzet dat naadloos aansluit op BIO, NIS2 en AVG.
Aanbeveling
IMPLEMENT
Risico zonder
Very High
Risk Score
9/10
Implementatie
220u (tech: 140u)
Van toepassing op:
✓ Windows 11 Enterprise
✓ Intune
✓ Microsoft Defender for Endpoint
✓ Entra ID
✓ Azure Arc
✓ Microsoft Sentinel
✓ Intune
✓ Microsoft Defender for Endpoint
✓ Entra ID
✓ Azure Arc
✓ Microsoft Sentinel
Aanvallers richten hun pijlen op beheerders omdat zij weten dat een dienst met meervoudige authenticatie alsnog bezwijkt zodra sessies, tokens of offline referenties van een beheerder worden buitgemaakt. Veel organisaties vertrouwen nog op algemene kantoorwerkplekken en laten mail, browsers en beheertools naast elkaar draaien. Daarmee ontstaat een cocktail van plug-ins, macro’s en supply-chain risico’s die niet te monitoren is. In juridische zin leidt dit tot onverdedigbare situaties: toezichthouders verlangen bewijs dat privileged access met passende maatregelen is beveiligd. Zonder hardening staat de organisatie niet alleen bloot aan ransomware en sabotage, maar ook aan bestuurlijke aansprakelijkheid wanneer blijkt dat beheeracties via onbeveiligde apparaten plaatsvonden.
PowerShell Modules Vereist
Primary API: Microsoft Graph Device Management API, Microsoft Defender for Endpoint API
Connection:
Required Modules: Microsoft.Graph.DeviceManagement, Microsoft.Graph.Beta.DeviceManagement, Defender
Connection:
Connect-MgGraph; Invoke-RestMethod met OAuth token afkomstig van Entra IDRequired Modules: Microsoft.Graph.DeviceManagement, Microsoft.Graph.Beta.DeviceManagement, Defender
Implementatie
De Nederlandse Baseline voor Veilige Cloud biedt een raamwerk waarmee een organisatie de volledige levenscyclus van beheerwerkstations definieert, automatiseert, monitort en auditeert. We behandelen strategische verankering, technische architecturen, operationele processen, remediatiescripts en het leveren van harde bewijslast. Alle onderdelen zijn geschreven voor publieke instellingen met complexe ketens, zodat het resultaat niet alleen een technische configuratie is maar een integraal governance-instrument waarmee CIO’s, CISO’s en lijnmanagers aantoonbaar kunnen sturen.
Strategische verankering, risicobeeld en beleidsafspraken
Een effectief hardeningprogramma begint bij bestuurlijke opdrachtgeverschap. Het college van B&W, het ministerieel CIO-beraad of het bestuur van een zelfstandig bestuursorgaan neemt een formeel besluit dat beheerwerkzaamheden uitsluitend plaatsvinden op gecertificeerde admin-workstations. Dit besluit wordt vastgelegd in het informatiebeveiligingsbeleid en direct gekoppeld aan het risicoregister waarin expliciet staat dat credentialdiefstal op een generieke werkplek tot calamiteiten kan leiden. De Functionaris Gegevensbescherming ziet erop toe dat de registratie van beheerdersactiviteiten rechtmatig is en dat logging uitsluitend plaatsvindt voor beveiligingsdoeleinden. Door beleid, risicobeeld en privacykaders gelijktijdig vast te stellen ontstaat een foutloos mandaat waarmee technische teams veranderingen daadwerkelijk kunnen afdwingen, zelfs wanneer dit weerstand oproept bij beheerders die hun vertrouwde werkwijze moeten loslaten.
Vervolgens bepaalt de organisatie welke kritieke processen afhankelijk zijn van beheeracties en welke rollen daarvoor in aanmerking komen. In een gemeentelijke context gaat het om systemen voor basisregistraties, sociale diensten en geografische informatiesystemen; binnen Rijksdiensten betreft het bijvoorbeeld belastinginning of inspectieplatformen. Voor elk van deze processen definieert de CISO samen met proceseigenaren welke rechtsgronden, wettelijke termijnen en ketenafspraken gelden. Deze analyse vormt de basis voor een tiering-model waarbij beheerders in categorieën worden ingedeeld: van operationele beheerders met beperkte impact tot strategische beheerders met toegang tot productietenants en cryptografische sleutels. Elke categorie krijgt specifieke eisen voor authenticatie, hardware, netwerksegmentatie en logging. Tegelijk wordt vastgelegd hoe uitzonderingen verlopen, welke directieleden moeten tekenen en binnen welke termijn uitzonderingen automatisch vervallen als ze niet opnieuw worden beoordeeld.
Belangrijk is dat hardening alleen werkt wanneer HR, juridische zaken en security operations samenwerken. Nieuwe beheerders doorlopen een streng onboarding-traject waarin betrouwbaarheidsonderzoeken, geheimhoudingsverklaringen en technische trainingen zijn opgenomen. HR borgt dat beëindiging van een dienstverband automatisch leidt tot blokkade van beheeraccounts en innametrajecten voor toegewezen hardware. Juristen zorgen dat contracten met leveranciers dezelfde eisen bevatten: externe beheerders moeten aantoonbaar via een gecertificeerd beheerwerkstation werken dat door de organisatie of een gecertificeerde partner wordt geleverd. In Service Level Agreements worden responstijden vastgelegd voor het leveren van forensische gegevens wanneer er een incident is. Door deze afspraken in de hele keten af te dwingen, wordt hardening geen intern feestje maar een compliance-eis die iedere partner serieus neemt.
Tot slot worden bestuurlijke indicatoren bepaald waarmee het programma kan rapporteren aan raden, staten of commissies. Denk aan het percentage beheerwerkstations dat binnen vijf dagen gepatcht is, het aantal geweigerde aanmeldingen vanwege een niet-goedgekeurd apparaat en de hoeveelheid uitzonderingen die nog openstaat. Deze indicatoren worden toegevoegd aan dashboards die al voor de Baseline worden gebruikt zodat bestuurders in één oogopslag zien hoe volwassen het beheerlandschap is. Zo ontstaat niet alleen een technische maatregel, maar ook een bestuurlijk stuurinstrument dat aansluit op portefeuilles zoals dienstverlening, financiën en digitale weerbaarheid.
Architectuur, configuratiebaseline en gecontroleerde uitrol
Gebruik PowerShell-script admin-workstation-hardening.ps1 (functie Invoke-HardeningAssessment) – Controleert lokaal of configuratiebestanden, Intune-profielen en Defender-telemetrie voldoen aan de ingestelde hardeningbaseline en genereert direct een rapport voor bestuurders..
De technische basis voor admin-workstation-hardening bestaat uit een strikte scheiding tussen beheerfunctionaliteit en kantoorautomatisering. Autopilot en Intune verzorgen een zero-touch provisioning waarbij uitsluitend goedgekeurde hardware wordt geactiveerd. Het image bevat enkel beheertools zoals Windows Admin Center, Azure PowerShell-modules, de Microsoft 365 admin portals en de juiste Remote Server Administration Tools. Browsers draaien in een hardened modus met Application Guard, waarbij downloads naar lokale schijven standaard worden geweigerd. BitLocker gebruikt XTS-AES-256 en slaat sleutels versleuteld op in een aparte Key Vault. Windows Defender Application Control en Credential Guard voorkomen dat ongeautoriseerde binaries of geheugenaanvallen effectief zijn. Elk apparaat wordt toegevoegd aan een dynamische groep in Entra ID die door Conditional Access wordt gebruikt om beheerrollen uitsluitend toe te staan vanaf deze apparaten. Hierdoor kan een aanvaller die een referentie kent maar geen toegang heeft tot de fysieke PAW alsnog geen beheeractie uitvoeren.
Naast lokale configuraties wordt netwerksegmentatie doorgevoerd. Beheerwerkstations verbinden via een geïsoleerde virtuele netwerklaag, bijvoorbeeld een Azure Virtual WAN-secure hub of een on-premises privileged access netwerk. Alleen deze subnetten hebben toegang tot beheerinterfaces van firewalls, Azure Stack HCI-clusters of OT-systemen. TLS-inspectie en strikte uitgaandefilters voorkomen dat niet-geautoriseerde datastromen het netwerk verlaten. Voor offline scenario’s beschikken werkstations over gecontroleerde USB-sticks met Secure Boot-ondersteuning en geverifieerde hashwaarden. Wanneer een beheerder via een jump server werkt, wordt RDP in restricted admin-modus gebruikt en worden sessies opgenomen voor forensische analyse. Dit alles wordt gedocumenteerd in een referentiearchitectuur die onderdeel is van het Baseline-architectuurregister, zodat iedere wijziging traceerbaar blijft.
Het configuratiebeheer is volledig geautomatiseerd. Desired State Configuration, Intune device configuration scripts en GitOps-pipelines draaien synchroon. Iedere wijziging aan policies of scripts doorloopt code review, automatische testen en digitale ondertekening. Pas daarna wordt een release gemarkeerd voor productie, waarbij ring-based deployment voorkomt dat fouten alle werkstations tegelijk raken. Het hardeningscript in deze repository kan in een debug-stand voorbeeldconfiguraties valideren en in productieverbinding maken met Microsoft Graph om actuele compliance-statussen te verzamelen. Hiermee ontstaat een feedbackloop waarbij architecten direct zien of hun beleid daadwerkelijk is uitgerold en of extra instructies nodig zijn. Net als bij kritieke applicaties worden fallback-images en rollback-plannen onderhouden, zodat de organisatie binnen uren kan terugkeren naar een vorige release wanneer een fout wordt ontdekt.
Een aparte aandachtspunt is integratie met identity governance. Privileged Identity Management (PIM) en Just-In-Time toegang zijn alleen effectief wanneer de devicecontext betrouwbaar is. Daarom registreert ieder admin-workstation een uniek hardwarecertificaat dat tijdens PIM-activatie wordt gecontroleerd. Meervoudige authenticatie combineert smartcards of FIDO2-keys met biometrie, waarbij biometrische data lokaal blijft en zelden wordt opgeslagen. Wanneer een beheerder een rol wil activeren maar het apparaat niet voldoet aan de baseline, blokkeert PIM de aanvraag en biedt het script concrete instructies. Zo ontstaat een gesloten keten waarin technische architectuur, identity en beleid elkaar versterken.
Operaties, monitoring en gerichte remediatie
Gebruik PowerShell-script admin-workstation-hardening.ps1 (functie Invoke-HardeningRemediation) – Genereert een concreet stappenplan voor ontbrekende maatregelen, zoals ontbrekende BitLocker-rotaties, verlopen LAPS-accounts of uitstaande Conditional Access-excepties..
Operationeel beheer draait om voorspelbaarheid. Iedere dag worden Intune-rapportages, Defender for Endpoint-signalen en Conditional Access-logs verzameld en vergeleken met de normwaarden. Het PAW-team (of een dedicated admin-workstationteam) beheert een runbook waarin staat hoe compliance wordt gecontroleerd, wanneer apparaten buiten gebruik worden gesteld en hoe vervanging wordt gepland. Een device dat langer dan 48 uur offline is wordt automatisch aangemerkt voor onderzoek: het script schrijft een ticket naar het ITSM-systeem, stuurt een melding via Teams en start een workflow om de locatie van het apparaat te verifiëren. Indien het apparaat vermoedelijk kwijt is, wordt per direct een remote wipe uitgevoerd en worden referenties ingetrokken. Door deze processen te standaardiseren en te oefenen krijgen auditors en bestuurders vertrouwen dat beheerders niet ongestoord buiten de radar kunnen werken.
Monitoring gaat verder dan technische compliance. Het SOC analyseert gedragspatronen: logins buiten kantoortijd, beheeracties vanaf onbekende geografische locaties of plotselinge wijzigingen in lokale groepen. Deze signalen worden via Sentinel notebooks verrijkt met context uit HR-systemen en projectplanningen. Als een beheerder bijvoorbeeld een nachtelijke change moet uitvoeren, wordt een tijdelijke uitzondering geregistreerd zodat gebeurtenissen niet ten onrechte als incident worden gemarkeerd. Het hardeningscript kan lokaal draaien in een debugstand zodat teams kunnen oefenen met sampledata. In productie draait het script volgens een planning via Azure Automation of GitHub Actions. De output bevat een risicokwalificatie, trendvergelijking met vorige weken en concrete aanbevelingen die automatisch naar het risicoregister worden gestuurd. Hierdoor verandert monitoring in een continue dialoog tussen techniek, risicomanagement en bestuur.
Remediatie is gericht op snelheid en documentatie. Wanneer een compliancegat ontstaat, bijvoorbeeld omdat een driverupdate BitLocker tijdelijk uitschakelde, staat in het runbook precies hoe technische teams moeten handelen: herstarten in herstelmodus, sleutel ophalen via Key Vault, policies forceren, controles uitvoeren en vervolgens rapporteren. Het script ondersteunt dit door WhatIf-mogelijkheden te bieden: het toont welke wijzigingen zouden worden doorgevoerd zonder daadwerkelijk instellingen aan te passen, zodat changeboards kunnen beoordelen wat de impact is. Na goedkeuring voert het team dezelfde acties uit zonder WhatIf, waarna automatisch een rapport wordt weggeschreven dat wordt toegevoegd aan het change-dossier. Deze aanpak sluit aan bij de eis van de gebruiker dat scripts lokaal in debugmodus getest moeten kunnen worden voordat productie wordt geraakt.
Voor ketenpartners gelden identieke processen. Leveranciers krijgen periodiek een compliance-rapport op basis van dezelfde scripts, waarin te zien is hoeveel van hun beheerwerkstations voldoen aan de baseline. Contracten verplichten hen om tekortkomingen binnen vijf werkdagen te verhelpen en een herbeoordeling aan te leveren. Zo ontstaat een consistent operationsmodel waarin zowel interne teams als externe partijen dezelfde taal spreken, dezelfde tooling gebruiken en hun verbeterplannen delen.
Audittrail, ketenborging en continue verbetering
De waarde van admin-workstation-hardening staat of valt met aantoonbaarheid. Iedere provisioningactie levert daarom drie bewijsstukken op: een Autopilot-rapport, een Intune-compliance export en een digitaal ondertekend changeverslag. Deze documenten worden centraal opgeslagen in een SharePoint- of Purview-recordsmanagementsite waar retentie en toegangsrechten zijn afgedwongen. Wanneer auditors een steekproef nemen, kunnen zij binnen minuten zien welke policies golden, welke beheerder verantwoordelijk was en welke monitoringresultaten tijdens die periode zijn behaald. Door exportbestanden te voorzien van hashwaarden is later te bewijzen dat er niet met de inhoud is geknoeid. Het hardeningscript schrijft standaard een rapport weg dat zowel technische metrics als juridische context bevat, zodat auditteams niet zelf hoeven te zoeken naar interpretaties van terminologie of verantwoordelijkheden.
Continue verbetering krijgt vorm via een maturity-roadmap. Het PAW-board analyseert elk kwartaal incidentrapportages, lessons learned uit oefeningen en feedback van ketenpartners. Deze inzichten worden vertaald naar wijzigingen in architectuurprincipes, aanvullende detectieregels of aanpassingen in het opleidingsprogramma voor beheerders. Door de roadmap onderdeel te maken van het portfoliomanagement kunnen bestuurders prioriteiten stellen en budget vrijmaken. Tegelijk wordt de relatie gelegd met externe normen: BIO-paragraaf 9 over toegangsbeveiliging, ISO 27001-controles over ontwikkel- en beheeromgevingen en NIS2 artikel 21 over risicobeheer. Het artikel in deze repository beschrijft voor iedere norm welke concrete maatregel beschikbaar is, zodat compliance niet beperkt blijft tot papieren verklaringen maar zichtbaar wordt in scripts, dashboards en rapportages.
Ketenborging betekent dat partners, leveranciers en shared service centra toegang krijgen tot dezelfde kennisbasis. De Nederlandse Baseline voor Veilige Cloud adviseert om een gezamenlijke bibliotheek te onderhouden waarin referentieconfiguraties, forensische handleidingen en tooling worden gedeeld. Door de admin-workstation-hardening hierin op te nemen, zorgen organisaties dat kleinere gemeenten of uitvoeringsorganisaties met minder middelen toch voldoen aan dezelfde norm. Bovendien wordt bij incidenten sneller opgeschaald: zodra één partij een kwetsbaarheid ontdekt, kan via het script en de gedeelde configuratiebestanden direct worden nagegaan of andere partijen dezelfde exposure hebben. Op die manier groeit de kwaliteit van de hele publieke sector en blijft de bewijslast consistent richting Tweede Kamer, Algemene Rekenkamer en Europese toezichthouders.
Tot slot wordt vernietiging van gegevens net zo serieus genomen als opslag. Na afloop van de wettelijke bewaartermijn wordt elk auditbestand gecontroleerd verwijderd waarbij een vernietigingslog met hashwaarden wordt bijgehouden. Dit proces is net als provisioning geautomatiseerd om menselijke fouten te voorkomen. Zo blijft de organisatie in control over de volledige levenscyclus van bewijs en voldoet zij aan zowel de Archiefwet als de AVG. De combinatie van aantoonbare governance, volwassen technische controles en een levend verbeterprogramma maakt admin-workstation-hardening tot een structurele maatregel in plaats van een eenmalig project.
Compliance & Frameworks
- BIO: 9.1, 12.1, 12.6 - Waarborgt strikte toegangsbeveiliging, wijzigingsbeheer en logging voor beheeromgevingen in lijn met de Baseline Informatiebeveiliging Overheid.
- ISO 27001:2022: A.5.17, A.5.19, A.8.16 - Ondersteunt scheiding van beheernetwerken, veilige configuraties en aantoonbare monitoring volgens ISO 27001:2022.
- NIS2: Artikel - Eist passende technische en organisatorische maatregelen voor risicobeheer, incidentrespons en bedrijfscontinuïteit rondom essentiële diensten.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Assesseert en remediëert de hardeningstatus van admin-workstations.
.DESCRIPTION
Dit script hoort bij content/security/admin-workstation-hardening.json binnen het project
"Nederlandse Baseline voor Veilige Cloud". Het controleert lokale configuratiebestanden
en eventuele exporten uit Intune of Defender, genereert een risicobeoordeling en stelt
een remediatieplan op. In DebugMode werkt het script volledig met voorbeelddata zodat
teams veilig kunnen testen zonder verbindingen naar productie-API's.
.NOTES
Filename: admin-workstation-hardening.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Created: 2025-11-27
Version: 1.0
.LINK
https://github.com/microsoft/m365-tenant-best-practise
.EXAMPLE
.\admin-workstation-hardening.ps1 -Assessment -DebugMode
Voert een lokale hardening-assessment uit met voorbeelddata en schrijft een rapport.
.EXAMPLE
.\admin-workstation-hardening.ps1 -Remediation -WhatIf
Toont welke acties zouden worden uitgevoerd om compliance te herstellen zonder wijzigingen te maken.
#>
#Requires -Version 5.1
[CmdletBinding()]
param(
[Parameter(Mandatory = $false)]
[switch]$Assessment,
[Parameter(Mandatory = $false)]
[switch]$Monitoring,
[Parameter(Mandatory = $false)]
[switch]$Remediation,
[Parameter(Mandatory = $false)]
[switch]$DebugMode,
[Parameter(Mandatory = $false)]
[switch]$WhatIf,
[Parameter(Mandatory = $false)]
[string]$ConfigPath = ".\config\admin-workstation-hardening.config.json",
[Parameter(Mandatory = $false)]
[string]$OutputPath = ".\artifacts\admin-workstation-hardening-report.json"
)
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'Continue'
function Write-ScriptBanner {
Write-Host ""
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Admin Workstation Hardening" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host ""
}
function Get-SampleDataset {
[CmdletBinding()]
param()
return [ordered]@{
GeneratedAt = Get-Date
TotalDevices = 36
CompliantDevices = 32
BitLockerIssues = 2
LapsPasswordsOlderThan48Hours = 3
OfflineDevicesOver72Hours = 1
PendingPatchesOverSla = 2
DefenderCriticalAlerts = 0
ConditionalAccessExceptions = 1
LastPolicyReviewDate = (Get-Date).AddDays(-37)
}
}
function Get-ConfigDataset {
[CmdletBinding()]
param()
if (Test-Path -Path $ConfigPath) {
Write-Verbose "Configuratiebestand gevonden op $ConfigPath"
try {
$json = Get-Content -Path $ConfigPath -Raw | ConvertFrom-Json -ErrorAction Stop
return $json
}
catch {
Write-Warning "Kon configuratie niet inlezen. Er wordt teruggevallen op voorbeelddata. Details: $($_.Exception.Message)"
}
}
if (-not $DebugMode) {
Write-Warning "Geen configuratiebestand gevonden. Gebruik DebugMode of lever een exportbestand aan via -ConfigPath."
}
return Get-SampleDataset
}
function Test-AdminWorkstationBaseline {
[CmdletBinding()]
param(
[Parameter(Mandatory = $true)]
$Dataset
)
$complianceRate = if ($Dataset.TotalDevices -gt 0) {
[math]::Round(($Dataset.CompliantDevices / $Dataset.TotalDevices) * 100, 2)
}
else {
0
}
$issues = New-Object System.Collections.Generic.List[string]
if ($complianceRate -lt 95) {
$issues.Add("Compliancepercentage is $complianceRate%, lager dan de norm van 95%.")
}
if ($Dataset.BitLockerIssues -gt 0) {
$issues.Add("Er zijn $($Dataset.BitLockerIssues) apparaten met BitLocker-problemen.")
}
if ($Dataset.LapsPasswordsOlderThan48Hours -gt 0) {
$issues.Add("Er zijn $($Dataset.LapsPasswordsOlderThan48Hours) apparaten waarvan het LAPS-wachtwoord ouder is dan 48 uur.")
}
if ($Dataset.OfflineDevicesOver72Hours -gt 0) {
$issues.Add("Er zijn $($Dataset.OfflineDevicesOver72Hours) apparaten langer dan 72 uur offline.")
}
if ($Dataset.PendingPatchesOverSla -gt 0) {
$issues.Add("$($Dataset.PendingPatchesOverSla) apparaten wachten langer dan de SLA op beveiligingsupdates.")
}
if ($Dataset.ConditionalAccessExceptions -gt 0) {
$issues.Add("$($Dataset.ConditionalAccessExceptions) Conditional Access-uitzonderingen zijn actief. Controleer of deze nog nodig zijn.")
}
if ($Dataset.DefenderCriticalAlerts -gt 0) {
$issues.Add("Microsoft Defender for Endpoint rapporteert $($Dataset.DefenderCriticalAlerts) kritieke alert(s) op admin-workstations.")
}
if ((Get-Date) - $Dataset.LastPolicyReviewDate -gt [TimeSpan]::FromDays(30)) {
$issues.Add("De laatste beleidsreview is ouder dan 30 dagen.")
}
$isCompliant = ($issues.Count -eq 0)
return [pscustomobject]@{
ScriptName = 'admin-workstation-hardening.ps1'
Timestamp = Get-Date
ComplianceRate = $complianceRate
Dataset = $Dataset
Issues = $issues
IsCompliant = $isCompliant
Recommendations = if ($isCompliant) { @("Admin-workstations voldoen aan de ingestelde baseline.") } else { $issues }
}
}
function Invoke-HardeningAssessment {
[CmdletBinding()]
param(
[Parameter(Mandatory = $true)]
$Dataset
)
$result = Test-AdminWorkstationBaseline -Dataset $Dataset
Write-Host "Totaal geregistreerde admin-workstations : $($Dataset.TotalDevices)" -ForegroundColor White
Write-Host "Compliant volgens Intune/Defender : $($Dataset.CompliantDevices)" -ForegroundColor White
Write-Host "Compliancepercentage : $($result.ComplianceRate)% " -ForegroundColor White
Write-Host "BitLocker-issues : $($Dataset.BitLockerIssues)" -ForegroundColor White
Write-Host "LAPS-wachtwoorden >48 uur : $($Dataset.LapsPasswordsOlderThan48Hours)" -ForegroundColor White
Write-Host "Devices >72 uur offline : $($Dataset.OfflineDevicesOver72Hours)" -ForegroundColor White
if ($result.IsCompliant) {
Write-Host "`nResultaat: alle controles zijn op orde." -ForegroundColor Green
}
else {
Write-Host "`nResultaat: er zijn aandachtspunten gevonden." -ForegroundColor Yellow
$result.Recommendations | ForEach-Object { Write-Host " - $_" -ForegroundColor Yellow }
}
return $result
}
function Invoke-HardeningRemediation {
[CmdletBinding()]
param(
[Parameter(Mandatory = $true)]
$AssessmentResult
)
$actions = New-Object System.Collections.Generic.List[string]
if ($AssessmentResult.Issues -match "Compliancepercentage") {
$actions.Add("Forceer Intune-sync op alle admin-workstations en herstart de compliance-evaluatie binnen 30 minuten.")
}
if ($AssessmentResult.Issues -match "BitLocker") {
$actions.Add("Voer een BitLocker-healthcheck uit en roteer recovery-keys via Key Vault.")
}
if ($AssessmentResult.Issues -match "LAPS") {
$actions.Add("Start een geforceerde LAPS-rotatie en controleer of de directory-inschrijvingen up-to-date zijn.")
}
if ($AssessmentResult.Issues -match "offline") {
$actions.Add("Start een onderzoek naar offline apparaten; markeer ontbrekende hardware en blokkeer bijbehorende accounts.")
}
if ($AssessmentResult.Issues -match "updates") {
$actions.Add("Zet Windows Update for Business of Intune quality updates in expedite-modus voor alle niet-conforme apparaten.")
}
if ($AssessmentResult.Issues -match "Conditional Access") {
$actions.Add("Beoordeel de openstaande Conditional Access-uitzonderingen en verwijder tijdelijke regels die hun einddatum hebben bereikt.")
}
if ($AssessmentResult.Issues -match "Defender") {
$actions.Add("Start direct een Defender-forensisch onderzoek en documenteer containment-maatregelen.")
}
if ($AssessmentResult.Issues -match "beleidsreview") {
$actions.Add("Plan een beleidsreview met CISO, architectuur en operations binnen vijf werkdagen.")
}
if ($actions.Count -eq 0) {
Write-Host "Geen remediatie nodig." -ForegroundColor Green
return $AssessmentResult
}
Write-Host "`nRemediatie-advies:" -ForegroundColor Cyan
foreach ($action in $actions) {
if ($WhatIf) {
Write-Host "WhatIf: $action" -ForegroundColor Yellow
}
else {
Write-Host $action -ForegroundColor Gray
}
}
return $AssessmentResult
}
function Save-HardeningReport {
[CmdletBinding()]
param(
[Parameter(Mandatory = $true)]
$Data
)
$directory = Split-Path -Parent $OutputPath
if (-not (Test-Path -Path $directory)) {
New-Item -ItemType Directory -Path $directory -Force | Out-Null
}
$Data | ConvertTo-Json -Depth 6 | Out-File -FilePath $OutputPath -Encoding UTF8
Write-Host "`nRapport opgeslagen in $OutputPath" -ForegroundColor Green
}
Write-ScriptBanner
$dataset = Get-ConfigDataset
try {
if (-not ($Assessment -or $Monitoring -or $Remediation)) {
$Assessment = $true
}
$result = if ($Remediation) {
$assessment = Invoke-HardeningAssessment -Dataset $dataset
Invoke-HardeningRemediation -AssessmentResult $assessment
}
else {
Invoke-HardeningAssessment -Dataset $dataset
}
Save-HardeningReport -Data $result
return $result
}
catch {
Write-Error "Fout tijdens hardening-evaluatie: $_"
exit 1
}
finally {
Write-Host ""
Write-Host "========================================" -ForegroundColor Cyan
}
Risico zonder implementatie
Risico zonder implementatie
Very High: Zonder hardening blijven beheerwerkstations het zwakste schakelpunt en kan een enkele phishingmail of malafide browserextensie leiden tot volledige tenant-overname en verstrekkende juridische gevolgen.
Management Samenvatting
Stel bestuurlijk vast dat alle beheerhandelingen alleen vanaf geharde admin-workstations mogen plaatsvinden, orkestreer Intune-, Defender- en Conditional Access-configuraties via automatisering, gebruik het bijgeleverde script voor beoordeling en remediatie, en leg een volledige audittrail vast om aan BIO, NIS2 en AVG te voldoen.
- Implementatietijd: 220 uur
- FTE required: 0.6 FTE