๐ผ Management Samenvatting
Deze maatregel beschrijft hoe organisaties de gegevensoverdracht tussen de moderne Edge-browser en het IE-mode proces blokkeren zodat gevoelige informatie binnen de gecontroleerde beveiligingslaag blijft.
Aanbeveling
Schakel het Edge-beleid IEModeDataTransfer op Disabled, verspreid het via Intune en borg dat elke werkplek de blokkade naleeft met duidelijke governance en communicatie.
Risico zonder
Medium
Risk Score
4/10
Implementatie
2u (tech: 1u)
Van toepassing op:
โ Edge
Zonder deze blokkade kunnen gebruikers per ongeluk bestanden, tekst of screenshots vanuit een verouderd IE-venster naar moderne cloudomgevingen slepen, waardoor het beveiligingsniveau van Edge wordt omzeild en de organisatie AVG- en BIO-verplichtingen schendt.
PowerShell Modules Vereist
Primary API: Graph
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
We configureren een centraal Edge-beleid, distribueren het via Intune, documenteren de impact en koppelen het aan monitoring en remediatieprocessen binnen de Nederlandse Baseline voor Veilige Cloud.
Vereisten
Een robuuste uitschakeling van gegevensoverdracht tussen Microsoft Edge en IE-mode vraagt om meer dan het inschakelen van een losse policy. Organisaties moeten eerst begrijpen waarom IE-mode nog steeds nodig is. Dat begint met een volledige inventarisatie van webapplicaties die afhankelijk zijn van de verouderde Trident-engine, inclusief hun proceseigenaren, dataclassificaties en eventuele uitzonderingen die eerder door het CISO-office zijn goedgekeurd. Alleen met zo'n overzicht kan worden bepaald of het blokkeren van drag-and-drop, kopieeren en plakken of bestandoverdracht de continuiteit raakt, en welke processen vooraf gemoderniseerd moeten worden. Verder moeten de uitgangspunten voor gegevensbescherming uit de BIO en het Rijksbrede beveiligingsbeleid worden vertaald naar concrete ontwerpprincipes, zodat alle stakeholders het eens zijn over de noodzaak van strikte scheiding tussen moderne en legacy browsercomponenten. Vervolgens zijn er technische randvoorwaarden. Edge moet centraal worden beheerd via Microsoft Intune of een gelijkwaardig MDM-platform, waarbij apparaten ten minste Windows 10 Enterprise 22H2 of Windows 11 draaien en de Edge-stabiele kanaalversie binnen drie releases van de meest recente build blijft. Azure AD-joined of hybride apparaten moeten in de juiste dynamische groepen zitten zodat het beleid betrouwbaar wordt toegewezen. RBAC binnen Intune moet regelen dat alleen het team Secure Workplace wijzigingen aan de Edge-beleidsprofielen kan doorvoeren, terwijl Change Advisory Board-goedkeuring nodig is voordat een productieprofiel wordt bijgewerkt. Daarnaast moeten beheeraccounts MFA afdwingen, en moet er een Key Vault- of secrets-managementproces bestaan voor eventuele referenties die door scripts worden gebruikt. Telemetrie moet alvast zijn verbonden met Microsoft Defender for Endpoint, zodat het beleid later meetbaar is. Tot slot zijn organisatorische randvoorwaarden essentieel. Gebruikerscommunicatie moet ruim voor de uitrol klaarstaan, inclusief duidelijke uitleg waarom gegevens niet langer van een legacy venster naar een modern tabblad versleept kunnen worden en welke servicedeskprocedures gelden voor uitzonderingsaanvragen. Er moet een gedocumenteerd besluit zijn van de functioneel eigenaar van iedere IE-mode app dat data-isolatie boven gebruiksgemak gaat, inclusief een risicoacceptatie voor het geval bepaalde processen tijdelijk vertragen. Audit- en privacyteams verlangen dat beleidsteksten en configuraties in het centrale configuratie-managementsysteem zijn opgenomen, met versienummers en koppeling naar change-verzoeken. Daarnaast vraagt de operationsafdeling om een rollbackplan en een testset met minimaal vijf representatieve apparaten waarop zowel productielogins als testaccounts kunnen worden gebruikt. Pas wanneer al deze voorwaarden zijn ingevuld, kan het projectteam verantwoord beginnen aan de technische implementatie. Ook op juridisch en contractueel vlak moeten voorwaarden worden ingevuld. Leveranciers die nog ActiveX-componenten of oude browserplug-ins leveren, moeten zwart-op-wit bevestigen dat er geen afhankelijkheid bestaat van cross-window gegevensuitwisseling, of anders een tijdlijn leveren voor modernisering. De privacy officer verwacht dat verwerkingsregisters worden bijgewerkt om expliciet te vermelden dat gegevens niet langer buiten de primaire Edge-context mogen worden gekopieerd. Daarnaast moeten bestaande DPIA's worden herzien om de gewijzigde gegevensstromen vast te leggen en aan te tonen dat het blokkeren van overdracht niet leidt tot nieuwe risico's voor betrokkenen. Het contractmanagementteam borgt ten slotte dat outsourcingpartners dezelfde configuratie toepassen op beheerde werkplekken, zodat de overheid geen openstaande kwetsbaarheden importeert via externe leveranciers. Deze combinatie van technische, organisatorische en juridische vereisten zorgt ervoor dat de uiteindelijke configuratie stap naadloos aansluit bij beleid, governance en compliance-eisen.
Implementatie
Gebruik PowerShell-script ie-mode-data-transfer-disabled.ps1 (functie Invoke-Monitoring) โ De implementatie van het beleid om gegevensoverdracht tussen Edge en IE-mode te blokkeren volgt een strak gecontroleerd stappenplan dat technische configuratie combineert met beheerprocessen. Start met een sandbox die de productie-werkplek spiegelt en waarin zowel Edge versies als IE-mode sites aanwezig zijn. Controleer of het Intune-beleid 'Microsoft Edge baselines - Legacy isolation' bestaat; zo niet, dupliceer een bestaand profiel en noteer het change-nummer. Vervolgens wordt het script ie-mode-data-transfer-disabled.ps1 uit de repository code/edge/compliance voorbereid. Het script valideert of de management verbinding met Microsoft Graph succesvol is via Connect-MgGraph en controleert of het juiste DeviceConfigurationPolicy object is geselecteerd. Tijdens deze stap worden ook alle doelgroepen opgehaald zodat duidelijk is welke apparaten de wijziging ontvangen.
Daarna definieert het projectteam de exacte instellingen. In het Edge ADMX-profiel wordt de policy 'Allow data transfer between Microsoft Edge and Internet Explorer mode' op Disabled gezet. Het script vult dit in door de betreffende OMA-URI te voorzien van waarde 0 en een beschrijving toe te voegen waarin de motivatie voor data-isolatie wordt uitgelegd. Het beleid bevat aanvullende regels die clipboard integratie beperken, rechten voor bestandssystemen dichtzetten en de moderne Edge context verplichten voor downloads. Het team documenteert elke wijziging in het change record, inclusief referenties naar het BIO-controlepunt 05.01.01 en de risicoanalyse waarin mogelijke verstoringen voor legacy applicaties zijn afgewogen.
Daarop volgt een validatiefase waarin technische en functionele teams samen optrekken. De sandbox krijgt zowel het nieuwe beleid als een fallback-profiel waarmee overdracht tijdelijk wordt toegestaan voor diagnostiek. Testers voeren scenario's uit: kopieeren van CRM-gegevens, slepen van rapporten uit IE-mode naar moderne tabbladen en het proberen opslaan van bestanden naar gedeelde locaties. Alle uitkomsten worden vastgelegd in het testrapport, inclusief screenshots en Defender for Endpoint signalen. Bevindingen worden beoordeeld tijdens een go/no-go overleg waarin het CISO-office bevestigt dat de isolatie werkt en dat eventuele rest-risico's kunnen worden geaccepteerd.
Wanneer de validatie slaagt, wordt het beleid geleidelijk uitgerold via een ringmodel: eerst IT, daarna early adopters en uiteindelijk de volledige productie. Voor iedere ring wordt het script opnieuw aangeroepen zodat doelgroepen, beschrijvingen en change-referenties up-to-date blijven. Parallel verzorgt het communicatieteam boodschappen op intranet en in Teams waarin gebruikers precies lezen wat er verandert, welke oude werkwijzen niet meer mogelijk zijn en hoe zij ondersteuning aanvragen. Servicedeskmedewerkers krijgen een kennispakket met scenario's en standaardantwoorden zodat zij kunnen uitleggen hoe alternatieve workflows werken en waarom overschrijvingen van de policy alleen mogelijk zijn via formele uitzonderingsprocessen.
Tot slot wordt de implementatie afgerond met operationele borging. Het script publiceert een eindrapport waarin wordt vastgelegd welke configuratieversie is aangemaakt, welke apparaten compliance hebben gemeld en welke tenants nog follow-up nodig hebben. Alle artefacten zoals Intune-exporten, PowerShell-transcripten en beslisnotulen worden opgeslagen in het centrale dossier. Het beheerteam plant maandelijkse reviews om te controleren of nieuw ingediende IE-mode sites automatisch in de juiste groep terechtkomen en of eventuele wijzigingen aan Edge-versies geen impact hebben op de policy. Hiermee wordt het beleid niet alleen uitgerold maar ook duurzaam ingebed binnen de Nederlandse Baseline voor Veilige Cloud.
Een belangrijke afrondende stap is het actualiseren van ondersteunende processen. De service catalogus krijgt een nieuwe entry voor 'Data-overdracht IE-mode geblokkeerd' waarin de standaard doorlooptijd voor uitzonderingen, de evaluatiecriteria en de verplichte security-checklist zijn uitgewerkt. Het opleidingen-team neemt de wijziging op in het jaarlijkse bewustwordingsprogramma zodat medewerkers begrijpen waarom het beleid onverkort wordt afgedwongen. Door technologie, documentatie en human factors te koppelen ontstaat een complete implementatieketen die voorbereid is op audits en toekomstige strengere eisen..
Monitoring
Gebruik PowerShell-script ie-mode-data-transfer-disabled.ps1 (functie Invoke-Monitoring) โ Monitoring van de instelling die gegevensoverdracht tussen Edge en IE-mode blokkeert draait om het continu aantonen dat apparaten het beleid geladen hebben, gebruikers geen ongewenste paden vinden en auditsporen volledig worden opgeslagen. De basis vormt Microsoft Intune compliance rapportage: dagelijks wordt een export gemaakt van alle apparaten waarop het Edge-beleid is toegepast, inclusief versienummer van het profiel en timestamp van de laatste synchronisatie. Deze gegevens worden gekoppeld aan Azure Monitor zodat dashboards laten zien welke business units binnen 24 uur conform zijn en welke achterlopen. Tegelijkertijd levert het script ie-mode-data-transfer-disabled.ps1 een logbestand op waarin elke wijziging aan de policy wordt vastgelegd. Die logbestanden worden in Sentinel opgeslagen en zijn onderdeel van de audittrail.
Naast configuratiestatus moet ook gebruiksgedrag worden gevolgd. Microsoft Defender for Endpoint kan events genereren wanneer gebruikers proberen bestanden te slepen tussen Edge en IE-mode of wanneer clipboard-acties door de policy worden geblokkeerd. Deze signalen worden verzameld in een aangepaste Advanced Hunting query die dagelijks draait. Het Security Operations Center bekijkt de resultaten om te bepalen of medewerkers alternatieve routes zoeken die mogelijk nieuwe risico's openen. Indien nodig worden awarenessberichten verstuurd met uitleg waarom de blokkade bestaat en welke veilige alternatieven beschikbaar zijn. Tevens wordt gecontroleerd of er geen false positives ontstaan voor applicaties die officieel zijn uitgefaseerd maar nog in een uitzonderingslijst stonden.
Voor een betrouwbare monitoringketen is automatisering essentieel. Een Logic App controleert wekelijks of het beleid nog steeds dezelfde instellingen bevat als beschreven in het configuratiedossier. Bij afwijkingen wordt automatisch een incident in het ITSM-systeem geopend met de melding dat een ongeautoriseerde wijziging is gedetecteerd. Hetzelfde geldt voor apparaten die langer dan 48 uur geen update van Edge policies hebben ontvangen; zij worden in quarantaine gezet middels een compliance actie zodat gevoelige data ondertussen niet kan weglekken. Alle meldingen worden verrijkt met metadata zoals device ownership, dataclassificatie van de gebruikte IE-mode site en eventuele lopende change requests, zodat triage snel verloopt.
Tot slot worden de monitoring-resultaten periodiek besproken met governance- en auditteams. Elk kwartaal levert het beheerteam een rapport aan waarin trends worden beschreven: hoeveel apparaten vielen terug naar een fallback-profiel, hoeveel copy-paste pogingen zijn gestopt, welke applicaties zijn gemoderniseerd en welke lessons learned zijn opgedaan. Dit rapport wordt gekoppeld aan de bredere Nederlandse Baseline voor Veilige Cloud, zodat zichtbaar is hoe deze maatregel bijdraagt aan de overheidsdoelen op het gebied van dataminimalisatie en scheiding van workloads. Door technische telemetrie te combineren met mensgerichte terugkoppeling ontstaat een sluitende controleketen waarin afwijkingen vroegtijdig boven water komen en bewijsvoering altijd beschikbaar is voor audits.
Als laatste stap wordt de monitoring road map gedeeld met leveranciers en ketenpartners die IE-mode nog inzetten. Zij leveren maandelijks bevestigingen van hun eigen configuratiestatus en ontvangen dezelfde dashboards zodat zichtbaar blijft of externe werkplekken synchroon lopen met de rijksoverheid. Hiermee wordt schaduwgebruik snel opgespoord en kan de overheid aantonen dat ook uitbesteedde processen de data-isolatie respecteren. Door monitoring tot buiten de eigen tenant uit te breiden ontstaat een end-to-end zichtlijn op risico's, waardoor de instelling daadwerkelijk een duurzame beveiligingsmaatregel wordt in plaats van een eenmalige toggle..
Remediatie
Gebruik PowerShell-script ie-mode-data-transfer-disabled.ps1 (functie Invoke-Remediation) โ Wanneer monitoring aantoont dat gegevensoverdracht tussen Edge en IE-mode onverwacht weer mogelijk is, moet remediatie razendsnel plaatsvinden om nieuwe lekken te voorkomen. Het proces begint met een triagefase waarin het SOC het exacte symptoom beschrijft: is het beleid niet toegepast, heeft een gebruiker een alternatief kanaal gevonden of is de configuratie bewust uitgezet voor een migratie? Deze stap gebruikt logboeken van Intune, het PowerShell-script en Defender for Endpoint. In dezelfde fase wordt vastgesteld of gevoelige data daadwerkelijk is verplaatst zodat eventuele meldplicht richting FG of toezichthouders tijdig kan worden beoordeeld.
Als duidelijk is welke apparaten of groepen afwijken, voert het beheerteam een herconfiguratie uit. Het script ie-mode-data-transfer-disabled.ps1 bevat een remediemodus waarmee het beleid opnieuw wordt gepubliceerd met geforceerde synchronisatie. Apparaten krijgen een notificatie om direct contact te maken met de MDM-service, waarna het script controleert of de policystatus van 'pending' naar 'success' gaat. Tegelijk wordt een fallback-profiel verwijderd zodat gebruikers niet terugvallen op een minder strikte configuratie. Indien nodig wordt een tijdelijke Conditional Access policy geactiveerd die toegang tot IE-mode sites blokkeert totdat de Edge-instellingen aantoonbaar correct zijn geladen.
Wanneer de root cause in de configuratie zelf zit, bijvoorbeeld doordat een beheerder het beleid heeft gewijzigd, treedt het change-managementproces in werking. De ongeautoriseerde wijziging wordt teruggedraaid op basis van de laatst goedgekeurde export uit het configuratie-archief. Er wordt een post-mortem georganiseerd waarin wordt achterhaald waarom de procescontrole faalde en welke preventieve maatregelen nodig zijn, zoals strengere RBAC, just-in-time toegangsbeheer of aanvullende goedkeuringen voor Edge-profielen. Bevindingen worden vastgelegd in het lessons learned register zodat toekomstige projecten dezelfde fouten vermijden.
Soms blijkt tijdens remediatie dat een legacy applicatie nog niet klaar is voor volledige blokkade. In dat geval wordt een gecontroleerde uitzondering afgegeven. De eigenaar van de applicatie dient via het ITSM-portaal een tijdelijke vrijstelling aan met een harde einddatum, bewijs van compenserende maatregelen en instemming van het CISO-office. Het beleid wordt enkel voor een aparte dynamische groep versoepeld en monitoring wordt verhoogd om misbruik te voorkomen. Zodra de applicatie is gemoderniseerd, vervalt de uitzondering automatisch en wordt de standaardconfiguratie hersteld.
De laatste stap in remediatie is bewijsvoering en communicatie. Alle acties worden gelogd, inclusief wie het script heeft uitgevoerd, welke apparaten zijn hersteld en welke gebruikers zijn geimpact. Het incidentrapport bevat een tijdlijn, impactanalyse en de bevestiging dat de instelling opnieuw actief is. Dit rapport gaat naar het bestuur, de FG en eventuele ketenpartners zodat iedereen weet dat de scheiding tussen Edge en IE-mode is hersteld. Door remediatie te behandelen als een volledig proces, niet slechts een technische ingreep, blijft de maatregel geloofwaardig en aantoonbaar effectief.
Om de cyclus te sluiten wordt elke remediatie zorgvuldig geevalueerd aan de hand van meetpunten. Het team kijkt of detectie snel genoeg plaatsvond, of scripts zonder fouten draaiden en of communicatie richting gebruikers duidelijk was. Waar nodig worden SOP's bijgewerkt, extra automatiseringen ontwikkeld of opleidingen aangescherpt. Deze terugkoppeling zorgt ervoor dat toekomstige incidenten korter duren en dat de organisatie aantoont te leren van verstoringen, precies wat toezichthouders verwachten binnen de Nederlandse Baseline voor Veilige Cloud. Bovendien worden inzichten gedeeld met leveranciers en ketenpartners zodat ook zij hun processen kunnen verbeteren en de gezamenlijke beveiligingsketen sterker wordt..
Compliance en Auditing
De maatregel sluit nauw aan op Nederlandse compliance-eisen omdat het principe van gegevensscheiding rechtstreeks terugkomt in de BIO, de AVG en het Rijksbrede cloudbeleid. Door data-overdracht tussen Edge en IE-mode te blokkeren wordt het vertrouwelijkheidsniveau van gevoelige documenten gehandhaafd wanneer gebruikers toch legacy applicaties moeten gebruiken. Dit ondersteunt BIO-controle 05.01.01 waarin wordt geeist dat organisaties passende maatregelen treffen om ongeautoriseerde gegevensverwerking te voorkomen. Tegelijk helpt het bij AVG artikel 32, omdat het risico op verlies van controle over persoonsgegevens drastisch afneemt zodra het oude IE-proces niet langer kan fungeren als achterdeur. Voor auditors is vooral belangrijk dat de maatregel aantoonbaar is ingebed in beleid en procedures. Daarom verwijst de documentatie naar het securitybeleid voor kantoorautomatisering, de Intune-configuratiehandleiding en het incidentproces voor gegevenslekken. Elk van deze documenten beschrijft hoe de instelling technisch werkt, wie verantwoordelijk is voor beheer en welke controles periodiek worden uitgevoerd. Door deze koppeling kan een auditor eenvoudig nagaan dat de configuratie voldoet aan de eisen van de Baseline Informatiebeveiliging Overheid, het CIO-stelsel en eventuele sectorspecifieke normen zoals de NEN-ISO 27002 voor zorginstellingen of de Wet Open Overheid voor transparantie richting burgers. Daarnaast is er een duidelijke relatie met contractuele verplichtingen. Veel leveranciers leveren nog steeds oplossingen die IE-mode nodig hebben; door de data-overdracht te blokkeren wordt in het contractdossier opgenomen dat de leverancier geen gevoelige informatie buiten de gecontroleerde Edge-context mag verwerken. Dit ondersteunt uitbestedingsrichtlijnen waarin staat dat de opdrachtgever altijd eindverantwoordelijk blijft voor gegevensbescherming. Wanneer auditteams een ketenpartner bezoeken kunnen zij vragen naar het bewijs dat dezelfde Edge-policy actief is, zodat ketenrisico's worden geminimaliseerd. De maatregel draagt bovendien bij aan naleving van logging- en bewijsverplichtingen. Omdat het script en Intune rapportages leveren over implementatiestatus, kan de organisatie laten zien wanneer de policy voor het laatst is bijgewerkt, welke apparaten niet compliant waren en welke remediaties zijn uitgevoerd. Dit sluit aan bij de eis om beveiligingsgebeurtenissen vast te leggen en te kunnen reconstrueren, zoals beschreven in BIO hoofdstuk 12. Mocht er toch een incident ontstaan, dan toont de organisatie aan dat passende maatregelen aanwezig waren en dat eventuele lekken ondanks voorzorg zijn opgetreden, een belangrijk criterium bij toezicht door de Autoriteit Persoonsgegevens. Tot slot maakt de maatregel deel uit van een bredere moderniseringsagenda. De Nederlandse Baseline voor Veilige Cloud schrijft voor dat legacy technologie stapsgewijs wordt uitgefaseerd, maar dat interim-maatregelen nodig zijn zolang volledig moderne alternatieven niet beschikbaar zijn. Door duidelijk te documenteren hoe IE-mode wordt ingeperkt, laat de organisatie zien dat technische schuld actief wordt gemanaged. Daarmee ontstaat vertrouwen bij inspecties, parlementaire vragen en interne audits dat het gebruik van verouderde technieken onder controle is en dat er een routekaart ligt richting volledige afschakeling. Een belangrijk element binnen compliance is educatie. Medewerkers moeten begrijpen dat de blokkade niet alleen technisch relevant is, maar rechtstreeks voortkomt uit wettelijke verplichtingen rond zorgvuldige omgang met rijksdata. Daarom worden in awarenessprogramma's concrete voorbeelden gedeeld van incidenten waarbij data via copy-paste naar niet-goedgekeurde omgevingen weglekte. Door het verband te leggen tussen dagelijkse handelingen en juridische eisen groeit draagvlak, wat auditors terugzien in interviewverslagen en cultuurassessments.
Compliance & Frameworks
- BIO: 05.01.01 - Information security controls
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Edge Policy: IE Mode Data Transfer - Configure IE integration
.DESCRIPTION
CIS Microsoft Edge Benchmark - Control 1.65
Configureert IE integratie niveau voor data transfer tussen Edge en IE mode.
IE mode is nodig voor legacy app compatibiliteit, maar data transfer tussen
Edge en IE mode moet gecontroleerd worden om security boundaries te handhaven.
RATIONALE:
Ongecontroleerde data transfer tussen Edge en IE mode kan:
- Security boundaries omzeilen
- Data leakage veroorzaken tussen security contexts
- Legacy IE kwetsbaarheden bereikbaar maken vanuit Edge
- Compliance issues creรซren
IMPACT:
IE integration wordt geconfigureerd volgens CIS best practices.
.NOTES
Filename: ie-mode-data-transfer-disabled.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 1.65 (Level 1)
Category: Compliance
Registry Path: HKLM:\SOFTWARE\Policies\Microsoft\Edge
Registry Value: ConfigureInternetExplorerIntegration (DWORD)
Expected Value: 2 (IE mode only via site list)
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]
param(
[Parameter()][switch]$WhatIf,
[Parameter()][switch]$Monitoring,
[Parameter()][switch]$Remediation,
[Parameter()][switch]$Revert
)
$ErrorActionPreference = 'Stop'
$RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge"
$RegName = "ConfigureInternetExplorerIntegration"
$ExpectedValue = 2 # 0=None, 1=IEStandalone, 2=IEModeOnly
$PolicyName = "IE Mode Data Transfer Configuration"
function Connect-RequiredServices {
$currentPrincipal = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent())
return $currentPrincipal.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator)
}
function Test-Compliance {
$result = [PSCustomObject]@{
ScriptName = "ie-mode-data-transfer-disabled.ps1"
PolicyName = $PolicyName
CISControl = "1.65"
IsCompliant = $false
CurrentValue = $null
ExpectedValue = $ExpectedValue
Details = @()
}
if (-not (Test-Path $RegPath)) {
$result.Details += "Registry pad bestaat niet"
return $result
}
try {
$regValue = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop
$result.CurrentValue = $regValue.$RegName
if ($result.CurrentValue -eq $ExpectedValue) {
$result.IsCompliant = $true
$result.Details += "IE integration correct geconfigureerd (IE mode only)"
$result.Details += "Data transfer is gecontroleerd"
}
else {
$result.Details += "IE integration niveau: $($result.CurrentValue) (verwacht: $ExpectedValue)"
}
}
catch {
$result.Details += "Policy niet geconfigureerd"
}
return $result
}
function Invoke-Remediation {
if (-not (Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }
Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force
Write-Host "IE integration configured (IE mode only)" -ForegroundColor Green
}
function Invoke-Monitoring {
$result = Test-Compliance
Write-Host "`nPolicy: $($result.PolicyName)" -ForegroundColor Cyan
Write-Host "Status: $(if ($result.IsCompliant) { 'COMPLIANT' } else { 'NON-COMPLIANT' })" -ForegroundColor $(if ($result.IsCompliant) { 'Green' } else { 'Red' })
return $result
}
function Invoke-Revert {
Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue
}
try {
if (-not (Connect-RequiredServices)) { exit 1 }
if ($Monitoring) {
$result = Invoke-Monitoring
exit $(if ($result.IsCompliant) { 0 } else { 1 })
}
elseif ($Remediation) {
if (-not $WhatIf) { Invoke-Remediation }
}
elseif ($Revert) {
Invoke-Revert
}
else {
$result = Test-Compliance
exit $(if ($result.IsCompliant) { 0 } else { 1 })
}
}
catch {
Write-Error $_
exit 1
}
Risico zonder implementatie
Risico zonder implementatie
Medium: Laat u de overdracht openstaan, dan kunnen gebruikers bestanden en gevoelige tekst ongecontroleerd van een kwetsbare IE-engine naar moderne SaaS-diensten slepen, waardoor logging ontbreekt, AVG-artikel 32 wordt geschonden en de kans op datalekken en ongeautoriseerde export naar derde landen stijgt.
Management Samenvatting
Blokkeer elk kanaal waarmee IE-mode bestanden of clipboarddata kan doorgeven aan moderne Edge-tabbladen; distributie loopt via Intune, monitoring via Defender en Sentinel, en remediatie via het script ie-mode-data-transfer-disabled.ps1 zodat legacy functionaliteit beschikbaar blijft maar data geisoleerd blijft.
- Implementatietijd: 2 uur
- FTE required: 0.01 FTE