💼 Management Samenvatting
Privileged Access Workstations (PAW's) vormen de fysieke en logische buffer tussen de kroonjuwelen van een Microsoft 365-tenant en de rest van de kantoorautomatisering. Binnen de Nederlandse Baseline voor Veilige Cloud gelden zij als laatste verdedigingslinie tegen credential-theft, supply-chain-aanvallen en menselijke fouten die in één klik een hele omgeving kunnen compromitteren. Dit artikel biedt bestuurders, CISO's en operations-teams één verhaal om beleid, techniek en bewijslast rond PAW's naadloos aan elkaar te knopen.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
9/10
Implementatie
200u (tech: 120u)
Van toepassing op:
✓ Microsoft 365
✓ Azure
✓ Entra ID
✓ Microsoft Intune
✓ Microsoft Defender for Endpoint
✓ Publieke Sector
✓ Azure
✓ Entra ID
✓ Microsoft Intune
✓ Microsoft Defender for Endpoint
✓ Publieke Sector
Zonder strikt gescheiden beheerwerkplekken worden privileged accounts gebruikt op laptops die ook voor e-mail, browsen en experimentele software dienen. Dat leidt aantoonbaar tot verhoogde kans op token-sessiekaping, malware die inloggegevens meeleest en onduidelijke aansprakelijkheid wanneer beheerders thuis of onderweg configuraties uitvoeren. Audits tonen bovendien dat dossiers regelmatig niet kunnen aantonen op welk apparaat een kritieke wijziging is gedaan, of dat noodaccounts geen fysiek beveiligde werkplek hebben. Daarmee voldoet de organisatie niet aan de BIO-paragrafen over beheerfuncties, noch aan de eisen uit NIS2 artikel 21, en loopt zij het risico dat de Autoriteit Persoonsgegevens of andere toezichthouders direct ingrijpen.
PowerShell Modules Vereist
Primary API: Microsoft Graph DeviceManagement API, Intune PowerShell SDK, Microsoft Defender for Endpoint Advanced Hunting
Connection:
Required Modules: Microsoft.Graph.DeviceManagement, Microsoft.Graph.Authentication, Microsoft.Intune.PowerShellGraphSDK
Connection:
Gebruik Connect-MgGraph -Scopes DeviceManagementConfiguration.Read.All, Connect-MSIntuneGraph en Invoke-AdvancedQuery in Defender; DebugMode draait uitsluitend op lokale voorbeelddata zodat testen nooit langer dan vijftien seconden duren.Required Modules: Microsoft.Graph.DeviceManagement, Microsoft.Graph.Authentication, Microsoft.Intune.PowerShellGraphSDK
Implementatie
Het artikel schetst een volledig raamwerk: van bestuurlijke verankering en risicogestuurde besluitvorming tot hardwareselectie, Intune-configuraties, netwerksegmentatie, operationele monitoring en lifecyclebeheer. Elk hoofdstuk koppelt concrete Nederlandse praktijkgevallen aan technische maatregelen en sluit af met bewijsvereisten zodat auditors binnen één dossier zien hoe besluiten, configuraties en rapportages samenkomen. Het meegeleverde PowerShell-script helpt teams om in DebugMode lokaal te oefenen en in productie automatisch te toetsen of het PAW-programma aan de Baseline voldoet.
Bestuurlijk fundament en risicogestuurde keuzes
Het invoeren van PAW's start aan de bestuurstafel. Colleges van B en W, gedeputeerde staten of de raad van bestuur leggen formeel vast dat iedere beheeractie met hoog privilege uitsluitend plaatsvindt op gecontroleerde werkplekken. Dit besluit verwijst naar de Nederlandse Baseline voor Veilige Cloud, de BIO en de Archiefwet en benoemt waarom gedeelde laptops, VDI-omgevingen zonder fysieke scheiding of BYOD nooit voldoen. Door de beleidslijn als raads- of directiebesluit te publiceren ontstaat bestuurlijke dekking voor aanvullende investeringen, toegangsrestricties en de noodzaak om beheerprocessen tijdelijk stil te leggen wanneer PAW's niet beschikbaar zijn.
Vervolgens wordt het risico verankerd in het enterprise risk management-proces. De CISO kwantificeert de kans op misbruik van privileged accounts, de CIO toont welke primaire processen uitvallen als beheer niet meer betrouwbaar is en de CFO koppelt daar financiële scenario's aan. Hierdoor ontstaat inzicht dat een compromis op een PAW niet slechts een IT-risico is maar direct luchtverkeersleiding, uitkeringen of vergunningverlening kan raken. De uitkomst vertaalt zich in concrete KPI's: maximaal tien minuten tussen detectie en isolatie van een verdachte PAW, een volledig getest herstelplan per kwartaal en borging dat break-glass-accounts nooit buiten het PAW-netwerk actief zijn.
Het governancekader beschrijft expliciet wie welke beslissingen neemt. Het CISO-office definieert architectuurprincipes, de CIO draagt zorg voor budget en lifecycle, de Chief Human Resources Officer borgt screening van beheerders en de privacy officer bewaakt dat logging en gedragscodes in lijn zijn met de AVG. Elke beheerder tekent een mandaat waarin dagelijkse taken, escalatieroutes en sancties bij misbruik zijn benoemd. Door deze documenten te koppelen aan het verwerkingsregister en het opleidingsplan kan een auditor volgen hoe bevoegdheden ontstaan, worden verlengd of worden ingetrokken zodra een medewerker een andere rol krijgt.
Adoptie krijgt aandacht in een communicatie- en opleidingsprogramma dat start voordat de eerste PAW wordt uitgeleverd. Beheerders oefenen scenario's waarin zij thuis een incident moeten oplossen, maar alleen via een PAW die fysiek in een kluis op kantoor ligt. Management leert hoe change boards rekening houden met de beperkte beschikbaarheid van PAW's en hoe spoedwijzigingen worden beoordeeld op legitimiteit. Door oefeningen op te nemen in het HR-leerplatform, inclusief verplichte jaarlijkse hercertificering, ontstaat een cultuur waarin het gebruik van PAW's vanzelfsprekend is en niet wordt gezien als bureaucratische last.
Tot slot behandelt het strategische hoofdstuk de keten. Veel beheertaken zijn uitbesteed aan leveranciers of shared service centra. Contracten bevatten clausules die leveranciers verplichten om gelijkwaardige PAW's te gebruiken, inclusief bewijs van fysieke beveiliging, patchniveaus en identiteitsbeheer. Inkoopvoorwaarden eisen dat leveranciers hun PAW-rapportages delen tijdens kwartaalreviews en dat zij direct worden uitgesloten bij incidenten waarin blijkt dat zij reguliere laptops voor privileged toegang hebben gebruikt. Zo ontstaat een juridisch afdwingbare keten waarin alle partijen dezelfde normen hanteren en waarin governance, financiën en security elkaar versterken.
Architectuur en technische inrichting van PAW's
Gebruik PowerShell-script paw-deployment.ps1 (functie Invoke-PawBaselineReview) – Controleert of hardware-, identiteits- en netwerkcontroles voor PAW's aan de Baseline voldoen en levert een rapport met direct uitvoerbare aanbevelingen..
Technisch gezien begint een PAW met de hardware- en firmwarelaag. Alleen moderne devices met TPM 2.0, Secure Boot, virtualisatieondersteuning en een hardware root-of-trust worden toegelaten. De lifecycle omvat supply-chain-controles, secure imaging en het verplicht schrappen van alle consumentensoftware of browserextensies die niet expliciet zijn goedgekeurd. Elk device krijgt een unieke assettag en wordt geregistreerd in een configuratie-API zodat in dashboards direct zichtbaar is welke serie waar is ingezet en welke firmwareversies actief zijn.
De besturingslaag draait Windows 11 Enterprise met Virtualization Based Security, Credential Guard, HVCI en geforceerde exploit-protection-profielen. Lokale accounts zijn standaard uitgeschakeld behalve een break-glass-account waarvan de aanmeldgegevens fysiek verzegeld zijn. USB, Bluetooth en wifi zijn uitgeschakeld; connectiviteit verloopt via een gescheiden netwerksegment dat uitsluitend naar beheerportalen of bastion hosts routeert. Updates verlopen via Intune en Windows Update for Business rings die speciaal voor PAW's zijn ingericht, zodat patches binnen 48 uur worden beoordeeld en uitgerold.
Identiteiten worden alleen via Conditional Access-beleid toegelaten als ze vanaf het PAW-segment komen, compliant zijn volgens Intune en meervoudige authenticatie met hardware security keys toepassen. Privileged Identity Management zorgt voor just-in-time toewijzingen; zodra de sessie verloopt wordt de verbinding automatisch beëindigd. Secrets zoals break-glass-referenties, offline BitLocker-sleutels of firmwarewachtwoorden worden opgeslagen in een door GSX-goedgekeurd secret management-platform, waardoor identiteiten, devices en netwerken elkaar wederzijds valideren.
Het netwerkontwerp omvat gescheiden VLAN's, firewallregels die uitsluitend naar beheerdoelen wijzen en monitoring via Microsoft Defender for Endpoint, Defender for Identity en Sentinel. Alle acties worden vastgelegd in het privileged access logboek dat onderdeel is van het verwerkingsregister. Met Azure Policy en Graph-queries wordt periodiek gecontroleerd of een beheeractie is uitgevoerd vanaf een geregistreerd PAW; afwijkingen leiden automatisch tot incidentonderzoek. De logging wordt minimaal zeven jaar bewaard om Archiefwet-vereisten voor kritieke besluiten te ondersteunen.
Het artikel koppelt de architectuur aan het PowerShell-script dat in DebugMode synthetische datasets gebruikt en in productie rapportages uit Intune, Defender en Graph samenvoegt. De functie Invoke-PawBaselineReview controleert onder meer het percentage PAW's met Credential Guard, de status van Conditional Access-exclusies en de actualiteit van herstelprocedures. Omdat het script lokale configuratiebestanden accepteert, kunnen organisaties eerst een proefdraai doen in een geïsoleerd lab voordat API-verbindingen worden opgezet.
Operationele borging, monitoring en lifecyclemanagement
Operationele teams organiseren het dagelijks beheer als een discrete dienst. Er is een dedicated PAW-supportlijn, voorraadbeheer dat reserve-apparaten binnen twee uur kan leveren en een changeproces dat elke aanpassing aan het golden image via GitOps en code review laat verlopen. Wanneer beheerafdelingen een nieuw hulpmiddel wensen, wordt dat eerst beoordeeld door security-architecten en privacy officers en pas daarna in de golden image opgenomen. Hierdoor blijft de configuratie uniform, reduceert men drift en kan elke wijziging worden teruggedraaid omdat het buildproces volledig geautomatiseerd is.
Monitoring vindt plaats via een combinatie van Intune-rapportages, Defender for Endpoint queries en dashboards in Power BI. KPI's zoals het aantal actieve PAW's, devices buiten patch-SLA, ongeautoriseerde netwerkverbindingen en PIM-activaties worden dagelijks verzameld. Deze cijfers worden gespiegeld aan de bestuurlijke KPI's uit het risicoregister, waardoor bestuurders, FG en controllers in hetzelfde dashboard zien of het PAW-programma binnen de afgesproken risicobandbreedte blijft. Elke afwijking genereert een taak in het security governance board en krijgt een eigenaar, doeltermijn en bewijslink.
Voor compliance wordt elk kwartaal een auditdossier samengesteld waarin configuratie-exporten, screenshots van BIOS-instellingen, certificaten van fysieke beveiliging en opleidingsregistraties samenkomen. De dossiers voldoen aan Archiefwet- en AVG-eisen doordat gevoelige persoonsgegevens worden geanonimiseerd en doordat het dossier een bewaartermijn kent die overeenkomt met de levensduur van het asset plus zeven jaar. Het dossier bevat ook de besluiten van bestuur en FG zodat zichtbaar is dat beleid, uitvoering en toezicht op elkaar aansluiten.
Lifecyclemanagement omvat jaarlijkse hercertificering van elke beheerder, hardwarevervanging na vier jaar en verplichte tests van noodscenario's zoals het uitvallen van het PAW-netwerk of het verlies van een device tijdens een crisis. Tijdens tabletop-oefeningen demonstreren teams hoe zij de break-glass-procedure activeren, hoe ze een nieuw device vanuit een zero-trust build pipeline in minder dan dertig minuten opleveren en hoe ze bewijs veiligstellen voor forensische onderzoeken. Door deze oefeningen te koppelen aan rapportages uit het script kan men aantonen dat verbeteracties daadwerkelijk zijn opgevolgd.
Gebruik PowerShell-script paw-deployment.ps1 (functie Invoke-PawOperationalInsights) – Genereert binnen vijftien seconden een momentopname van compliance-indicatoren, voorraadniveaus en openstaande verbeteracties, geschikt voor geautomatiseerde dashboards..
Het script bevat de functie Invoke-PawOperationalInsights waarmee teams snel inzicht krijgen in voorraadniveaus, patchachterstanden, uitzonderingen op Conditional Access en openstaande verbeteracties. De uitvoer wordt opgeslagen in JSON zodat deze direct kan worden gekoppeld aan TOPdesk, ServiceNow of Power BI. Door runbooks te instrueren het script dagelijks geautomatiseerd uit te voeren ontstaat een betrouwbaar beveiligingslogboek dat auditors en bestuurders kunnen raadplegen zonder extra handwerk.
Compliance & Frameworks
- BIO: 9.1, 9.3, 12.1, 13.4 - PAW's verankeren functiescheiding, toegangsbeveiliging en beheermaatregelen zoals vereist in de BIO en leveren aantoonbare logging en archivering voor kritieke wijzigingen.
- ISO 27001:2022: A.5.15, A.5.18, A.5.35 - De oplossing ondersteunt ISO/IEC 27001 door privileged accounts te isoleren, beveiligde ontwikkel- en wijzigingsprocessen af te dwingen en evidence voor audits direct beschikbaar te maken.
- NIS2: Artikel - PAW's leveren de vereiste technische en organisatorische maatregelen om misbruik van beheerdersrechten te voorkomen en incidenten snel te detecteren en te melden.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Beoordeelt en monitort de uitrol van Privileged Access Workstations (PAW's).
.DESCRIPTION
Dit script hoort bij content/security/paw-deployment.json van het project
"Nederlandse Baseline voor Veilige Cloud". Het controleert of hardware-, netwerk-
en identiteitscontroles voldoen aan de baseline, maakt een operationele momentopname
en genereert een remediatieplan. In DebugMode werkt het script uitsluitend met
voorbeelddata zodat lokale tests zonder cloudverbinding veilig en binnen vijftien
seconden kunnen worden uitgevoerd.
.NOTES
Filename: paw-deployment.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Created: 2025-11-27
Version: 1.0
.LINK
https://github.com/microsoft/m365-tenant-best-practise
.EXAMPLE
.\paw-deployment.ps1 -Assessment -DebugMode
Voert een baselinebeoordeling uit met voorbeelddata en toont de resultaten op het scherm.
.EXAMPLE
.\paw-deployment.ps1 -Monitoring -OutputPath .\artifacts\paw-monitoring.json
Schrijft een operationele momentopname naar een JSON-bestand.
.EXAMPLE
.\paw-deployment.ps1 -Remediation -WhatIf
Genereert een remediatieplan op basis van de laatst berekende assessment zonder wijzigingen door te voeren.
#>
#Requires -Version 5.1
[CmdletBinding()]
param(
[Parameter(Mandatory = $false)]
[switch]$Assessment,
[Parameter(Mandatory = $false)]
[switch]$Monitoring,
[Parameter(Mandatory = $false)]
[switch]$Remediation,
[Parameter(Mandatory = $false)]
[switch]$DebugMode,
[Parameter(Mandatory = $false)]
[switch]$WhatIf,
[Parameter(Mandatory = $false)]
[string]$ConfigPath = ".\config\paw-deployment.config.json",
[Parameter(Mandatory = $false)]
[string]$OutputPath = ".\artifacts\paw-deployment-report.json"
)
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'SilentlyContinue'
function Write-ScriptBanner {
Write-Host ""
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Privileged Access Workstations" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host ""
}
function Get-SampleDataset {
[CmdletBinding()]
param()
return [ordered]@{
GeneratedAt = Get-Date
TotalWorkstations = 24
CompliantWorkstations = 23
CredentialGuardPercent = 96
FirmwareCompliancePercent = 94
LocalAdminAccounts = 0
PimSessionsOutsidePaw = 1
DevicesWithoutTamperProtection = 2
IsolatedNetworkSegments = 1
BreakGlassStationsTested = 1
LastRecoveryTestDate = (Get-Date).AddDays(-120)
}
}
function Get-ConfigDataset {
[CmdletBinding()]
param()
if (Test-Path -Path $ConfigPath) {
Write-Verbose "Configuratiebestand gevonden op $ConfigPath"
try {
return Get-Content -Path $ConfigPath -Raw | ConvertFrom-Json -ErrorAction Stop
}
catch {
Write-Warning "Kon configuratiebestand niet inlezen. Fout: $($_.Exception.Message). Er wordt teruggevallen op voorbeelddata."
}
}
elseif (-not $DebugMode) {
Write-Warning "Geen configuratiebestand gevonden. Gebruik -DebugMode of lever een export aan via -ConfigPath."
}
return Get-SampleDataset
}
function Test-PawBaseline {
[CmdletBinding()]
param(
[Parameter(Mandatory = $true)]
$Dataset
)
$complianceRate = if ($Dataset.TotalWorkstations -gt 0) {
[math]::Round(($Dataset.CompliantWorkstations / $Dataset.TotalWorkstations) * 100, 2)
}
else {
0
}
$issues = New-Object System.Collections.Generic.List[string]
if ($complianceRate -lt 98) {
$issues.Add("Compliancepercentage is $complianceRate% terwijl de norm 98% bedraagt.")
}
if ($Dataset.CredentialGuardPercent -lt 95) {
$issues.Add("Slechts $($Dataset.CredentialGuardPercent)% van de PAW's heeft Credential Guard ingeschakeld; vereiste niveau is 95%.")
}
if ($Dataset.FirmwareCompliancePercent -lt 95) {
$issues.Add("Firmwarecompliance is $($Dataset.FirmwareCompliancePercent)% en moet minimaal 95% zijn.")
}
if ($Dataset.LocalAdminAccounts -gt 0) {
$issues.Add("$($Dataset.LocalAdminAccounts) lokale administratoraccount(s) aanwezig, terwijl dit nul moet zijn.")
}
if ($Dataset.PimSessionsOutsidePaw -gt 0) {
$issues.Add("$($Dataset.PimSessionsOutsidePaw) PIM-sessie(s) zijn buiten het PAW-segment gestart; onderzoek benodigd.")
}
if ($Dataset.DevicesWithoutTamperProtection -gt 0) {
$issues.Add("$($Dataset.DevicesWithoutTamperProtection) apparaten missen Defender Tamper Protection.")
}
if ($Dataset.IsolatedNetworkSegments -lt 1) {
$issues.Add("Er is geen afzonderlijk netwerksegment voor PAW's geconfigureerd.")
}
if ($Dataset.BreakGlassStationsTested -lt 2) {
$issues.Add("Break-glass-stations zijn onvoldoende getest; minimaal twee tests per kwartaal vereist.")
}
if ((Get-Date) - $Dataset.LastRecoveryTestDate -gt [TimeSpan]::FromDays(90)) {
$issues.Add("Het herstelplan voor PAW's is ouder dan 90 dagen en moet opnieuw worden getest.")
}
$isCompliant = ($issues.Count -eq 0)
return [pscustomobject]@{
ScriptName = 'paw-deployment.ps1'
Timestamp = Get-Date
ComplianceRate = $complianceRate
Dataset = $Dataset
Issues = $issues
IsCompliant = $isCompliant
Recommendations = if ($isCompliant) { @("PAW-implementatie voldoet aan de ingestelde baseline.") } else { $issues }
}
}
function Invoke-PawBaselineReview {
[CmdletBinding()]
param(
[Parameter(Mandatory = $true)]
$Dataset
)
$result = Test-PawBaseline -Dataset $Dataset
Write-Host "Totaal aantal PAW's : $($Dataset.TotalWorkstations)" -ForegroundColor White
Write-Host "Compliant volgens Intune/Defender : $($Dataset.CompliantWorkstations)" -ForegroundColor White
Write-Host "Compliancepercentage : $($result.ComplianceRate)% " -ForegroundColor White
Write-Host "Credential Guard coverage : $($Dataset.CredentialGuardPercent)% " -ForegroundColor White
Write-Host "Firmware compliance : $($Dataset.FirmwareCompliancePercent)% " -ForegroundColor White
Write-Host "PIM-sessies buiten PAW-segment : $($Dataset.PimSessionsOutsidePaw)" -ForegroundColor White
if ($result.IsCompliant) {
Write-Host "`nResultaat: PAW-baseline is op orde." -ForegroundColor Green
}
else {
Write-Host "`nResultaat: er zijn aandachtspunten gevonden:" -ForegroundColor Yellow
$result.Recommendations | ForEach-Object { Write-Host " - $_" -ForegroundColor Yellow }
}
return $result
}
function Invoke-PawOperationalInsights {
[CmdletBinding()]
param(
[Parameter(Mandatory = $true)]
$Dataset
)
return [pscustomobject]@{
ScriptName = 'paw-deployment.ps1'
Timestamp = Get-Date
TotalWorkstations = $Dataset.TotalWorkstations
CompliantWorkstations = $Dataset.CompliantWorkstations
CredentialGuardPercent = $Dataset.CredentialGuardPercent
FirmwareCompliancePercent = $Dataset.FirmwareCompliancePercent
DevicesWithoutTamperProtection= $Dataset.DevicesWithoutTamperProtection
PIMSessionsOutsideSegment = $Dataset.PimSessionsOutsidePaw
BreakGlassStationsTested = $Dataset.BreakGlassStationsTested
LastRecoveryTestDate = $Dataset.LastRecoveryTestDate
Notes = "Gebruik deze dataset in dashboards of monitoring runbooks."
}
}
function Invoke-PawRemediationPlan {
[CmdletBinding()]
param(
[Parameter(Mandatory = $true)]
$AssessmentResult
)
$actions = New-Object System.Collections.Generic.List[string]
foreach ($issue in $AssessmentResult.Issues) {
switch -Wildcard ($issue) {
"*Compliancepercentage*" {
$actions.Add("Forceer Intune-compliancescan op alle PAW's en herzie het golden image binnen 24 uur.")
}
"*Credential Guard*" {
$actions.Add("Controleer Device Configuration-profielen en herstart apparaten zonder Credential Guard.")
}
"*Firmwarecompliance*" {
$actions.Add("Voer een firmware-audit uit en plan een patchvenster met hardwareleveranciers.")
}
"*lokale administrator*" {
$actions.Add("Verwijder alle lokale administratoraccounts via LAPS en bevestig verwijdering met een Intune-rapport.")
}
"*PIM-sessie*" {
$actions.Add("Evalueer Conditional Access-regels en hertrain beheerders zodat PIM enkel vanaf PAW's wordt gebruikt.")
}
"*Tamper Protection*" {
$actions.Add("Activeer Defender Tamper Protection op alle PAW's en blokkeer uitzonderingen via security baselines.")
}
"*netwerksegment*" {
$actions.Add("Implementeer een dedicated PAW-VLAN met firewallregels naar bastion hosts en beheerdomeinen.")
}
"*Break-glass*" {
$actions.Add("Plan direct een tabletop-oefening en documenteer de resultaten in het PAW-auditdossier.")
}
"*herstelplan*" {
$actions.Add("Voer de herstelprocedure opnieuw uit, documenteer lessons learned en werk het risicoregister bij.")
}
default {
$actions.Add("Onderzoek issue: $issue")
}
}
}
if ($actions.Count -eq 0) {
$actions.Add("Geen aanvullende acties vereist; baseline is compliant.")
}
return [pscustomobject]@{
ScriptName = 'paw-deployment.ps1'
Timestamp = Get-Date
WhatIfMode = [bool]$WhatIf
Actions = $actions
}
}
function Write-Report {
[CmdletBinding()]
param(
[Parameter(Mandatory = $true)]
$Result
)
if (-not $OutputPath) {
return
}
$directory = Split-Path -Path $OutputPath -Parent
if ([string]::IsNullOrWhiteSpace($directory)) {
$directory = "."
}
if (-not (Test-Path -Path $directory)) {
New-Item -Path $directory -ItemType Directory -Force | Out-Null
}
try {
$Result | ConvertTo-Json -Depth 5 | Out-File -FilePath $OutputPath -Encoding UTF8
Write-Host "`nRapport weggeschreven naar $OutputPath" -ForegroundColor Green
}
catch {
Write-Warning "Kon rapport niet wegschrijven: $($_.Exception.Message)"
}
}
Write-ScriptBanner
$dataset = if ($DebugMode) {
Write-Host "DebugMode actief: er worden voorbeelddata gebruikt." -ForegroundColor Yellow
Get-SampleDataset
}
else {
Get-ConfigDataset
}
$assessmentResult = $null
if ($Assessment) {
$assessmentResult = Invoke-PawBaselineReview -Dataset $dataset
Write-Report -Result $assessmentResult
}
if ($Monitoring) {
$insights = Invoke-PawOperationalInsights -Dataset $dataset
Write-Host "`nOperationele momentopname opgesteld." -ForegroundColor Cyan
Write-Report -Result $insights
}
if ($Remediation) {
if (-not $assessmentResult) {
$assessmentResult = Test-PawBaseline -Dataset $dataset
}
$plan = Invoke-PawRemediationPlan -AssessmentResult $assessmentResult
if ($WhatIf) {
Write-Host "`nWhatIf-modus actief: acties worden niet automatisch uitgevoerd." -ForegroundColor Yellow
}
$plan.Actions | ForEach-Object { Write-Host " - $_" -ForegroundColor Gray }
Write-Report -Result $plan
}
if (-not ($Assessment -or $Monitoring -or $Remediation)) {
Write-Warning "Geen actieparameter opgegeven. Gebruik -Assessment, -Monitoring of -Remediation."
}
Risico zonder implementatie
Risico zonder implementatie
High: Zonder PAW's blijven privileged accounts blootgesteld aan phishing, malware en onbeheersbare thuiswerkplekken. Een enkel incident kan leiden tot verlies van essentiële diensten en bestuurlijke aansprakelijkheid.
Management Samenvatting
Leg bestuurlijk vast dat privileges alleen via PAW's worden gebruikt, ontwerp een streng gescheiden hardware- en netwerkarchitectuur, monitor dagelijks met het script en borg lifecyclemanagement zodat zowel auditors als bestuurders vertrouwen houden in beheerhandelingen.
- Implementatietijd: 200 uur
- FTE required: 0.5 FTE