L1 BIO 12.04.01 ISO A.12.4.1 CIS 1.84

DNS Over HTTPS Uitgeschakeld Voor Bedrijfs-DNS-beheer

📅 2025-10-30
⏱️ 8 minuten lezen
🟢 Should-Have

💼 Management Samenvatting

Schakel DNS over HTTPS (DoH) uit in bedrijfsomgevingen om bedrijfs-DNS-filtering, beveiligingsmonitoring en compliancebeheer te behouden, welke essentieel zijn voor netwerkbeveiliging.

Aanbeveling
CONSIDER
Risico zonder
Gemiddeld
Risk Score
5/10
Implementatie
3u (tech: 1u)
Van toepassing op:
Edge

DNS over HTTPS versleutelt DNS-query's en verstuurt deze naar externe DoH-providers zoals Cloudflare (1.1.1.1), Google (8.8.8.8) of Quad9. Dit omzeilt de bedrijfs-DNS-infrastructuur en alle beveiligingsbeheer die daarop draaien. DNS-gebaseerde malware-domeinblokkering wordt omzeild, aangezien veel beveiligingsoplossingen malware via DNS blokkeren. Phishing-sitefiltering werkt niet meer, gegevenslekpreventie via DNS-monitoring faalt, bedreigingsinformatie-gebaseerde blokkering is niet mogelijk en compliancevereisten voor DNS-logging worden geschonden. Voor bedrijfsbeveiliging is DNS-zichtbaarheid essentieel voor malware C2-detectie (communicatie met command-and-control-servers), detectie van gegevensexfiltratie (DNS-tunneling), monitoring van insiderdreigingen, forensische onderzoeken met DNS-logs en netwerkprobleemoplossing. De afweging is: DoH biedt gebruikersprivacy maar vermindert de bedrijfsbeveiligingszichtbaarheid. In bedrijfsomgevingen heeft bedrijfsbeveiliging prioriteit boven gebruikersprivacy.

PowerShell Modules Vereist
Primary API: Intune/GPO
Connection: N/A
Required Modules:

Implementatie

Deze controle configureert het DnsOverHttpsMode-beleid op waarde 'off' via het register (HKLM:\SOFTWARE\Policies\Microsoft\Edge\DnsOverHttpsMode is 'off'). Hierdoor gebruikt Edge de geconfigureerde Windows DNS-servers (bedrijfs-DNS) in plaats van DoH naar externe providers. DNS-query's blijven zichtbaar voor bedrijfs-DNS-filtering en logging. Alternatief: configureer een bedrijfs-DoH-resolver via DnsOverHttpsTemplates als zowel privacy als controle vereist zijn.

Vereisten

Het uitschakelen van DNS over HTTPS in Microsoft Edge vereist een zorgvuldige voorbereiding en specifieke technische vereisten om ervoor te zorgen dat de implementatie succesvol is en de beveiligingsdoelstellingen worden bereikt. Organisaties moeten beschikken over de juiste infrastructuur, beheerrechten en beveiligingscomponenten voordat zij deze controle implementeren. De primaire technische vereiste is de aanwezigheid van Microsoft Edge browser op alle werkstations en servers waarop deze controle van toepassing moet zijn. Edge is standaard geïnstalleerd op moderne Windows-systemen, maar organisaties moeten verifiëren dat alle doelapparaten over een ondersteunde versie beschikken. Het besturingssysteem moet Windows 10 versie 1809 of hoger zijn, of Windows 11, of Windows Server 2016 of hoger. Deze versievereisten zijn essentieel omdat oudere versies van Windows mogelijk niet de benodigde registerondersteuning hebben voor de DnsOverHttpsMode-beleidsinstelling. Voor de implementatie zelf zijn administratorrechten vereist. Dit kan op verschillende manieren worden bereikt: via Groepsbeleidsobjecten (GPO) in een Active Directory-omgeving, via Microsoft Intune voor cloudgebaseerd beheer, of via lokale registerwijzigingen voor geïsoleerde systemen. Organisaties die gebruikmaken van GPO moeten beschikken over een functionerende Active Directory-infrastructuur met de juiste rechten om groepsbeleidsobjecten te maken en toe te wijzen. Voor Intune-implementaties is een Microsoft 365-licentie met Intune-functionaliteit vereist, evenals de juiste beheerrechten in het Microsoft Endpoint Manager-beheercentrum. Een kritieke vereiste is de aanwezigheid van een bedrijfs-DNS-infrastructuur met geavanceerde beveiligingsbeheerfunctionaliteiten. Deze infrastructuur moet beschikken over malware- en phishingfiltering op DNS-niveau. Veel organisaties gebruiken hiervoor gespecialiseerde oplossingen zoals Cisco Umbrella, Infoblox Threat Defense, of Microsoft Defender for Endpoint met DNS-bescherming. Deze oplossingen blokkeren bekende kwaadaardige domeinen voordat verbindingen tot stand komen, wat een essentiële verdedigingslaag vormt tegen cyberdreigingen. DNS-loggingcapaciteit is eveneens een fundamentele vereiste voor zowel compliance- als beveiligingsmonitoringdoeleinden. Organisaties moeten in staat zijn om alle DNS-query's te loggen, inclusief bron-IP-adressen, tijdstempels, opgevraagde domeinen en antwoordcodes. Deze logs zijn essentieel voor forensische onderzoeken na beveiligingsincidenten, voor het detecteren van afwijkende DNS-patronen die kunnen wijzen op malware-communicatie, en voor het voldoen aan compliancevereisten zoals die in de BIO-normen, ISO 27001 en NIS2-richtlijnen zijn vastgelegd. Firewallregels vormen een aanvullende verdedigingslaag die essentieel is om te voorkomen dat gebruikers of kwaadaardige software DoH-bypasspogingen ondernemen. Organisaties moeten firewallregels configureren die uitgaande HTTPS-verbindingen (TCP-poort 443) naar bekende externe DoH-providers blokkeren. De belangrijkste providers die geblokkeerd moeten worden zijn Cloudflare (1.1.1.1 en 1.0.0.1), Google (8.8.8.8 en 8.8.4.4), en Quad9 (9.9.9.9). Deze blokkering moet worden geïmplementeerd op zowel de perimeterfirewall als op host-based firewalls waar mogelijk. DNSSEC (DNS Security Extensions) op bedrijfs-DNS-servers wordt sterk aanbevolen om de authenticiteit en integriteit van DNS-antwoorden te waarborgen. DNSSEC voorkomt dat aanvallers DNS-antwoorden manipuleren of vervalsen, wat een kritieke beveiligingsmaatregel is wanneer DoH is uitgeschakeld en alle DNS-query's via de bedrijfs-DNS-infrastructuur lopen. Organisaties moeten ervoor zorgen dat hun DNS-servers DNSSEC ondersteunen en correct configureren. Voor organisaties die zowel privacy als controle willen behouden, bestaat er een alternatief: het implementeren van DNS over TLS (DoT) binnen het bedrijfsnetwerk. DoT versleutelt DNS-query's tussen clients en de bedrijfs-DNS-servers, waardoor privacy wordt geboden terwijl de zichtbaarheid en controle op netwerkniveau behouden blijven. Deze aanpak vereist dat de bedrijfs-DNS-servers DoT ondersteunen en dat clients correct zijn geconfigureerd om DoT te gebruiken in plaats van onversleutelde DNS of externe DoH-providers.

Implementatie

Gebruik PowerShell-script dns-over-https-disabled.ps1 (functie Invoke-Remediation) – PowerShell script voor automatische uitschakeling van DNS over HTTPS.

De implementatie van het uitschakelen van DNS over HTTPS in Microsoft Edge kan op verschillende manieren worden uitgevoerd, afhankelijk van de beheerinfrastructuur en de specifieke behoeften van de organisatie. De meest gebruikte methoden zijn geautomatiseerde implementatie via PowerShell-scripts, handmatige configuratie via Microsoft Intune, of implementatie via Groepsbeleidsobjecten in een Active Directory-omgeving. Voor organisaties die gebruikmaken van Microsoft Intune voor cloudgebaseerd apparaatbeheer, begint het implementatieproces met het openen van het Microsoft Intune-beheercentrum. Beheerders navigeren naar de sectie Apparaten en selecteren daar Configuratieprofielen. Vervolgens wordt een nieuw profiel aangemaakt door op de knop Profiel maken te klikken. Bij het selecteren van het platformtype wordt gekozen voor Windows 10 en later, en als profieltype wordt de instellingencatalogus geselecteerd. De instellingencatalogus biedt toegang tot een uitgebreide lijst van configureerbare instellingen voor Microsoft Edge en andere Microsoft-applicaties. Binnen de instellingencatalogus zoeken beheerders naar de Microsoft Edge-sectie en selecteren daar de DNS-subcategorie. Hier vinden zij de DnsOverHttpsMode-beleidsinstelling. Deze instelling kan worden geconfigureerd met verschillende waarden, elk met specifieke implicaties voor het gedrag van Edge. De aanbevolen waarde voor bedrijfsomgevingen is 'off', wat betekent dat DoH volledig is uitgeschakeld en Edge de geconfigureerde Windows DNS-servers gebruikt. Deze servers worden doorgaans ingesteld via DHCP of Groepsbeleid en vormen de bedrijfs-DNS-infrastructuur. De waarde 'automatic' geeft Edge de vrijheid om automatisch te bepalen of DoH moet worden gebruikt. Edge evalueert dan of de geconfigureerde DNS-servers DoH ondersteunen en kan automatisch overschakelen naar DoH als dit wordt gedetecteerd. Deze instelling wordt niet aanbevolen voor bedrijfsomgevingen omdat het de controle over DNS-verkeer vermindert en kan leiden tot onverwachte omzeiling van bedrijfs-DNS-filtering. De waarde 'secure' dwingt Edge af om altijd DoH te gebruiken wanneer dit mogelijk is. Deze instelling wordt sterk afgeraden voor bedrijfsomgevingen omdat het alle DNS-query's naar externe DoH-providers kan sturen, waardoor de volledige bedrijfs-DNS-infrastructuur wordt omzeild. Wanneer de DnsOverHttpsMode-beleidsinstelling niet is geconfigureerd, gebruikt Edge standaard het 'automatic'-gedrag, wat betekent dat DoH mogelijk wordt ingeschakeld zonder expliciete configuratie. Na het configureren van de DnsOverHttpsMode-instelling op 'off', moeten beheerders het configuratieprofiel toewijzen aan de relevante gebruikersgroepen of apparaatgroepen. Deze toewijzing bepaalt op welke apparaten het beleid van kracht wordt. Organisaties kunnen kiezen voor een gefaseerde implementatie waarbij eerst een testgroep wordt geconfigureerd, gevolgd door een volledige uitrol naar alle gebruikers na verificatie dat de configuratie correct werkt. Een kritiek aspect van de implementatie dat vaak over het hoofd wordt gezien, is het configureren van aanvullende firewallregels om te voorkomen dat gebruikers of kwaadaardige software DoH-bypasspogingen ondernemen. Zelfs wanneer DoH is uitgeschakeld in Edge, kunnen andere applicaties of kwaadaardige software nog steeds proberen verbinding te maken met externe DoH-providers. Daarom moeten organisaties firewallregels implementeren die uitgaande HTTPS-verbindingen (TCP-poort 443) naar bekende externe DoH-providers blokkeren. De belangrijkste DoH-providers die geblokkeerd moeten worden zijn Cloudflare met de IP-adressen 1.1.1.1 en 1.0.0.1, Google met de IP-adressen 8.8.8.8 en 8.8.4.4, en Quad9 met het IP-adres 9.9.9.9. Deze blokkering moet worden geïmplementeerd op zowel de perimeterfirewall als op host-based firewalls waar mogelijk. Daarnaast moeten organisaties DNS-verkeer monitoren op tekenen van DoH-bypasspogingen, zoals ongebruikelijke HTTPS-verbindingen naar deze IP-adressen of afwijkende DNS-querypatronen die kunnen wijzen op alternatieve DNS-resolutiemethoden.

Monitoring

Gebruik PowerShell-script dns-over-https-disabled.ps1 (functie Invoke-Monitoring) – Verifieert of DoH correct is uitgeschakeld.

Effectieve monitoring van de DoH-uitschakeling is essentieel om ervoor te zorgen dat de beveiligingscontrole blijft functioneren zoals bedoeld en om eventuele omzeilingspogingen tijdig te detecteren. Organisaties moeten een uitgebreide monitoringstrategie implementeren die meerdere lagen omvat, van registerverificatie tot netwerkverkeersanalyse. De primaire verificatiemethode is het controleren van het Windows-register op elk doelapparaat. Beheerders moeten regelmatig verifiëren dat het registerpad HKLM:\SOFTWARE\Policies\Microsoft\Edge bestaat en dat de waarde DnsOverHttpsMode is ingesteld op 'off' als een tekenreekswaarde. Deze verificatie kan handmatig worden uitgevoerd via de Register-editor, maar voor grootschalige omgevingen wordt geautomatiseerde monitoring sterk aanbevolen. PowerShell-scripts kunnen worden gebruikt om deze registerwaarde op meerdere apparaten te controleren en rapporten te genereren over de compliancestatus. Een aanvullende verificatiemethode die direct inzicht geeft in het daadwerkelijke gedrag van Edge, is het gebruik van de ingebouwde beleidsverificatiepagina. Gebruikers of beheerders kunnen in Edge navigeren naar edge://policy om een overzicht te zien van alle actieve beleidsinstellingen. Op deze pagina moet DnsOverHttpsMode worden weergegeven als 'off' wanneer de configuratie correct is toegepast. Deze methode is bijzonder nuttig voor probleemoplossing omdat het laat zien hoe Edge de beleidsinstellingen interpreteert, onafhankelijk van de registerwaarden. Voor functionele verificatie dat DoH daadwerkelijk is uitgeschakeld, kunnen beheerders gebruikmaken van de Cloudflare DoH-testpagina. Door te navigeren naar https://1.1.1.1/help kunnen gebruikers zien of hun browser DoH gebruikt. Wanneer DoH correct is uitgeschakeld, moet deze testpagina aangeven dat DoH 'No' is, wat betekent dat de browser geen DNS over HTTPS gebruikt. Deze test moet worden uitgevoerd op representatieve apparaten binnen de organisatie om te verifiëren dat de configuratie correct werkt. DNS-logmonitoring vormt een kritieke component van de monitoringstrategie. Organisaties moeten regelmatig hun DNS-logs analyseren om te verifiëren dat alle DNS-query's via de bedrijfs-DNS-infrastructuur lopen en dat er geen gaten of ontbrekende query's zijn die kunnen wijzen op omzeiling. Deze monitoring moet worden geautomatiseerd waarbij SIEM-systemen of loganalyseplatforms worden gebruikt om afwijkende patronen te detecteren. Specifieke indicatoren die moeten worden gemonitord zijn plotselinge dalingen in DNS-queryvolumes, ongebruikelijke DNS-querypatronen, of query's naar bekende kwaadaardige domeinen die niet door de bedrijfs-DNS-filtering zijn geblokkeerd. Netwerkverkeersmonitoring is eveneens essentieel om te detecteren of er nog steeds HTTPS-verkeer plaatsvindt naar bekende DoH-providers. Zelfs wanneer DoH is uitgeschakeld in Edge, kunnen andere applicaties of kwaadaardige software proberen verbinding te maken met externe DoH-providers. Netwerkmonitoringtools moeten worden geconfigureerd om uitgaand HTTPS-verkeer (TCP-poort 443) naar de IP-adressen van Cloudflare (1.1.1.1, 1.0.0.1), Google (8.8.8.8, 8.8.4.4), en Quad9 (9.9.9.9) te detecteren en te rapporteren. Dit verkeer kan wijzen op omzeilingspogingen of op het gebruik van alternatieve DoH-clients. Firewalllogmonitoring biedt aanvullende inzichten in geblokkeerde DoH-bypasspogingen. Wanneer firewallregels correct zijn geconfigureerd om externe DoH-providers te blokkeren, moeten de firewalllogs regelmatig worden geanalyseerd op geblokkeerde verbindingspogingen naar deze providers. Deze logs kunnen waardevolle informatie verschaffen over de frequentie van omzeilingspogingen en kunnen helpen bij het identificeren van apparaten of gebruikers die mogelijk proberen de beveiligingscontroles te omzeilen. Patronen in deze logs kunnen ook wijzen op kwaadaardige software die automatisch probeert DoH te gebruiken voor command-and-control-communicatie. Voor organisaties die gebruikmaken van Microsoft Intune, biedt het Intune-beheercentrum ingebouwde rapportagefunctionaliteiten die kunnen worden gebruikt om de compliancestatus van configuratieprofielen te monitoren. Beheerders kunnen rapporten genereren die laten zien op welke apparaten het DnsOverHttpsMode-beleid correct is toegepast en op welke apparaten mogelijk problemen zijn. Deze rapportage moet regelmatig worden gecontroleerd, bij voorkeur wekelijks of maandelijks, afhankelijk van de grootte en complexiteit van de omgeving.

Compliance en Audit

Het uitschakelen van DNS over HTTPS in Microsoft Edge draagt bij aan het voldoen aan verschillende belangrijke compliance frameworks en beveiligingsstandaarden die relevant zijn voor Nederlandse overheidsorganisaties en bedrijven die werken met gevoelige informatie. Deze controle adresseert specifieke vereisten op het gebied van netwerkbeveiliging, logging, monitoring en beheer van DNS-infrastructuur. De CIS Microsoft Edge Benchmark versie 1.84 bevat specifieke richtlijnen voor het beheer van DNS over HTTPS-functionaliteit. Controle 1.84 vereist dat organisaties expliciet bepalen of DNS over HTTPS moet worden gebruikt en dat deze beslissing wordt geconfigureerd via beleidsinstellingen. Door DoH uit te schakelen en expliciet te configureren, voldoen organisaties aan deze CIS-vereiste en zorgen zij ervoor dat DNS-verkeer via beheerde en gemonitorde kanalen loopt. De Baseline Informatiebeveiliging Overheid (BIO) bevat meerdere normen die relevant zijn voor deze controle. BIO-norm 12.04 richt zich op logging en monitoring en vereist dat organisaties adequate loggingcapaciteiten hebben voor alle kritieke systemen en netwerkcomponenten. DNS-logs vormen een essentieel onderdeel van deze loggingvereisten omdat zij inzicht bieden in netwerkverkeer, potentiële beveiligingsdreigingen en gebruikersactiviteiten. Door DoH uit te schakelen, zorgen organisaties ervoor dat alle DNS-query's worden gelogd via de bedrijfs-DNS-infrastructuur, waardoor wordt voldaan aan de loggingvereisten van BIO 12.04. BIO-norm 13.01 behandelt netwerkbeveiliging en vereist dat organisaties adequate beveiligingsmaatregelen implementeren op netwerkniveau, inclusief filtering en monitoring van netwerkverkeer. DNS-filtering vormt een kritieke component van netwerkbeveiliging omdat het voorkomt dat gebruikers verbinding maken met kwaadaardige of ongewenste websites. Door DoH uit te schakelen, behouden organisaties de mogelijkheid om DNS-gebaseerde filtering en blokkering te implementeren, waardoor wordt voldaan aan de netwerkbeveiligingsvereisten van BIO 13.01. De ISO 27001-standaard bevat specifieke controles die relevant zijn voor DNS-beheer en logging. ISO 27001-controle A.12.4.1 vereist dat organisaties gebeurtenissen loggen en audittrails onderhouden voor alle kritieke systemen. DNS-query's vormen een belangrijk onderdeel van deze audittrails omdat zij inzicht bieden in welke systemen en gebruikers verbinding hebben gemaakt met welke externe resources. Door ervoor te zorgen dat alle DNS-query's via de bedrijfs-DNS-infrastructuur lopen en worden gelogd, voldoen organisaties aan de loggingvereisten van ISO 27001 A.12.4.1. ISO 27001-controle A.13.1.1 richt zich op netwerkbeheer en vereist dat organisaties netwerken beheren en beveiligen om de beschikbaarheid, integriteit en vertrouwelijkheid van informatie te waarborgen. Effectief DNS-beheer vormt een fundamenteel onderdeel van netwerkbeheer omdat DNS essentieel is voor de werking van vrijwel alle netwerkdiensten. Door DoH uit te schakelen en expliciet beheer te voeren over DNS-resolutie, voldoen organisaties aan de netwerkbeheervereisten van ISO 27001 A.13.1.1. De NIS2-richtlijn (Network and Information Systems Directive 2) bevat in Artikel 21 specifieke vereisten voor logging en monitoringcapaciteiten. Deze richtlijn vereist dat essentiële entiteiten en belangrijke entiteiten adequate monitoring- en loggingcapaciteiten hebben om beveiligingsdreigingen te detecteren en te reageren op beveiligingsincidenten. DNS-monitoring vormt een kritieke component van deze capaciteiten omdat veel cyberdreigingen, waaronder malware-communicatie en gegevensexfiltratie, kunnen worden gedetecteerd via DNS-analyse. Door DoH uit te schakelen en alle DNS-query's via beheerde en gemonitorde kanalen te laten lopen, voldoen organisaties aan de monitoringvereisten van NIS2 Artikel 21. Het NIST Special Publication 800-81-2 biedt uitgebreide richtlijnen voor veilige Domain Name System-implementaties. Deze publicatie benadrukt het belang van gecentraliseerd DNS-beheer, adequate logging en monitoring, en het voorkomen van omzeiling van DNS-beveiligingscontroles. Door DoH uit te schakelen in bedrijfsomgevingen, volgen organisaties de aanbevelingen van NIST SP 800-81-2 voor het behouden van zichtbaarheid en controle over DNS-verkeer, wat essentieel is voor effectieve beveiligingsmonitoring en incidentrespons. Voor Nederlandse overheidsorganisaties is het belangrijk om te erkennen dat deze controle niet alleen technische beveiligingsvoordelen biedt, maar ook bijdraagt aan transparantie en verantwoording. Door expliciet beheer te voeren over DNS-resolutie en alle DNS-activiteiten te loggen, kunnen organisaties aantonen dat zij adequate controle hebben over netwerkverkeer en dat zij in staat zijn om beveiligingsincidenten te detecteren en te onderzoeken. Deze transparantie is essentieel voor het voldoen aan zowel technische beveiligingsvereisten als aan governance- en verantwoordingsvereisten die gelden voor publieke organisaties.

Remediatie

Gebruik PowerShell-script dns-over-https-disabled.ps1 (functie Invoke-Remediation) – Herstelt de DoH-uitschakeling indien deze niet correct is geconfigureerd.

Wanneer monitoring of compliancecontroles aangeven dat DNS over HTTPS niet correct is uitgeschakeld, moeten organisaties onmiddellijk corrigerende maatregelen nemen om de beveiligingscontrole te herstellen. Het remediatieproces omvat verschillende stappen die systematisch moeten worden uitgevoerd om ervoor te zorgen dat de configuratie correct wordt toegepast en dat eventuele omzeilingspogingen worden gedetecteerd en aangepakt. De eerste stap in het remediatieproces is het identificeren van de oorzaak van de niet-compliant status. Dit kan verschillende oorzaken hebben: het beleid is niet correct geconfigureerd in Intune of Groepsbeleid, het beleid is niet toegewezen aan de juiste gebruikersgroepen of apparaatgroepen, gebruikers hebben lokale registerwijzigingen aangebracht die het beleid overschrijven, of kwaadaardige software heeft wijzigingen aangebracht aan de registerinstellingen. Beheerders moeten eerst vaststellen welke van deze scenario's van toepassing is voordat zij corrigerende maatregelen kunnen nemen. Voor apparaten waar het beleid niet correct is geconfigureerd, moeten beheerders het configuratieproces opnieuw doorlopen. In Microsoft Intune betekent dit dat beheerders het configuratieprofiel moeten controleren en verifiëren dat de DnsOverHttpsMode-instelling correct is geconfigureerd op 'off'. Vervolgens moeten zij controleren of het profiel is toegewezen aan de juiste groepen en of de toewijzing actief is. Soms kan het nodig zijn om het profiel opnieuw toe te wijzen of de apparaatgroepen te herzien om ervoor te zorgen dat alle doelapparaten zijn opgenomen. Voor apparaten waar lokale registerwijzigingen het beleid hebben overschreven, moeten beheerders de registerwaarden handmatig corrigeren of geautomatiseerde remediatiescripts gebruiken. Het PowerShell-remediatiescript kan worden gebruikt om de registerwaarde HKLM:\SOFTWARE\Policies\Microsoft\Edge\DnsOverHttpsMode te controleren en indien nodig te corrigeren naar 'off'. Dit script moet worden uitgevoerd met administratorrechten en kan worden geïmplementeerd via Intune, Groepsbeleid, of andere beheeroplossingen voor grootschalige omgevingen. Wanneer kwaadaardige software wordt vermoed van het wijzigen van DNS-instellingen, moeten beheerders een uitgebreidere respons uitvoeren. Dit omvat het scannen van het apparaat op malware, het verwijderen van eventuele kwaadaardige software, het herstellen van de registerinstellingen, en het implementeren van aanvullende beveiligingsmaatregelen om toekomstige wijzigingen te voorkomen. In dergelijke gevallen moet ook een beveiligingsincident worden geregistreerd en moet een forensisch onderzoek worden overwogen om de omvang en impact van de compromittering te bepalen. Na het uitvoeren van remediatiemaatregelen moeten beheerders verifiëren dat de configuratie correct is toegepast. Dit omvat het controleren van de registerwaarden, het verifiëren van de beleidsinstellingen in Edge via edge://policy, en het uitvoeren van functionele tests om te bevestigen dat DoH daadwerkelijk is uitgeschakeld. Deze verificatie moet worden gedocumenteerd als onderdeel van het remediatieproces en kan worden gebruikt als bewijs voor compliance-audits. Voor organisaties die gebruikmaken van geautomatiseerde monitoring en remediatie, kunnen beheerders configuren dat niet-compliant apparaten automatisch worden gecorrigeerd. Microsoft Intune biedt bijvoorbeeld de mogelijkheid om compliancebeleid te configureren dat automatisch corrigerende acties uitvoert wanneer apparaten niet voldoen aan de vereiste configuratie. Deze geautomatiseerde remediatie kan de responssnelheid aanzienlijk verbeteren en ervoor zorgen dat beveiligingscontroles snel worden hersteld wanneer zij worden omzeild of gewijzigd. Het is belangrijk om te erkennen dat remediatie niet alleen een technisch proces is, maar ook een organisatorisch proces. Wanneer gebruikers of beheerders bewust of onbewust wijzigingen aanbrengen die de beveiligingscontroles omzeilen, moeten organisaties overwegen om aanvullende training of bewustwording te bieden. Dit kan helpen voorkomen dat dergelijke wijzigingen in de toekomst opnieuw plaatsvinden en kan bijdragen aan een cultuur van beveiligingsbewustzijn binnen de organisatie.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Edge Policy: DNS over HTTPS Disabled - Behoud corporate DNS control .DESCRIPTION CIS Microsoft Edge Benchmark - Control 1.84 (L1) Ensure 'Control the mode of DNS-over-HTTPS' is set to 'Disabled' (Automated) Deze control zorgt ervoor dat DNS over HTTPS (DoH) wordt uitgeschakeld in Microsoft Edge. In enterprise omgevingen is het belangrijk dat DNS verkeer zichtbaar blijft voor corporate DNS filtering, monitoring en security controls. DoH encrypts DNS queries naar externe services, wat corporate DNS policies en filtering kan omzeilen. RATIONALE: DNS over HTTPS encrypts DNS queries, wat de volgende enterprise controls kan omzeilen: - Corporate DNS filtering (malware/phishing protection) - DNS-based content filtering - Network monitoring en threat detection - Compliance vereisten voor DNS logging Door DoH uit te schakelen blijft DNS verkeer zichtbaar voor corporate security controls. IMPACT: DNS queries blijven in plaintext over corporate DNS servers, wat enterprise monitoring en filtering mogelijk maakt. Dit kan de privacy verminderen maar verhoogt de corporate security visibility. .NOTES Filename: dns-over-https-disabled.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 CIS Control: 1.84 (Level 1) Category: Network Related JSON: content/edge/network/dns-over-https-disabled.json Registry Path: HKLM:\SOFTWARE\Policies\Microsoft\Edge Registry Value: DnsOverHttpsMode (STRING) Expected Value: "off" (0 voor backwards compatibility) .PARAMETER WhatIf Toont wat het script zou doen zonder daadwerkelijk wijzigingen door te voeren .PARAMETER Monitoring Voert compliance check uit en toont gedetailleerd rapport .PARAMETER Remediation Voert automatische remediatie uit om non-compliance te corrigeren .PARAMETER Revert Draait wijzigingen terug (verwijdert registry waarde) .EXAMPLE .\dns-over-https-disabled.ps1 Voert basis compliance check uit .EXAMPLE .\dns-over-https-disabled.ps1 -Monitoring Toont gedetailleerd compliance rapport .EXAMPLE .\dns-over-https-disabled.ps1 -Remediation -WhatIf Toont preview van remediatie acties .EXAMPLE .\dns-over-https-disabled.ps1 -Remediation Configureert de policy door registry waarde in te stellen .EXAMPLE .\dns-over-https-disabled.ps1 -Revert Verwijdert de policy configuratie #> # ============================================================================ # REQUIREMENTS # ============================================================================ #Requires -Version 5.1 #Requires -RunAsAdministrator # ============================================================================ # PARAMETERS # ============================================================================ [CmdletBinding()] param( [Parameter()][switch]$WhatIf, # Preview mode - geen wijzigingen [Parameter()][switch]$Monitoring, # Uitgebreid monitoring rapport [Parameter()][switch]$Remediation, # Voer automatische fix uit [Parameter()][switch]$Revert # Maak wijzigingen ongedaan ) # ============================================================================ # GLOBAL VARIABLES # ============================================================================ $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' # Registry configuratie $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge" $RegName = "DnsOverHttpsMode" $ExpectedValue = "off" # "off", "automatic", or "secure" $PolicyName = "DNS over HTTPS Disabled" # ============================================================================ # FUNCTION: Connect-RequiredServices # ============================================================================ function Connect-RequiredServices { <# .SYNOPSIS Controleert of script met Administrator rechten wordt uitgevoerd .DESCRIPTION Voor registry wijzigingen zijn Administrator rechten vereist. Deze functie controleert de huidige gebruikersrechten. #> $currentPrincipal = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()) $isAdmin = $currentPrincipal.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) if (-not $isAdmin) { Write-Warning "Dit script vereist Administrator rechten voor registry wijzigingen" Write-Warning "Start PowerShell als Administrator en probeer opnieuw" return $false } Write-Verbose "Script wordt uitgevoerd met Administrator rechten" return $true } # ============================================================================ # FUNCTION: Test-Compliance # ============================================================================ function Test-Compliance { <# .SYNOPSIS Test of de Edge policy correct is geconfigureerd .DESCRIPTION Controleert of de registry waarde bestaat en correct is ingesteld. Retourneert gestructureerd object met compliance status. .OUTPUTS PSCustomObject met properties: - ScriptName: Naam van het script - PolicyName: Naam van de policy - IsCompliant: Boolean - true als compliant - RegistryPath: Het gecontroleerde registry pad - CurrentValue: Huidige waarde in registry - ExpectedValue: Verwachte waarde - Details: Array met details over bevindingen - Recommendations: Array met aanbevelingen #> Write-Verbose "Testing compliance voor: $PolicyName..." # Maak resultaat object $result = [PSCustomObject]@{ ScriptName = "dns-over-https-disabled.ps1" PolicyName = $PolicyName CISControl = "1.84" Level = "L1" Category = "Network" IsCompliant = $false RegistryPath = "$RegPath\$RegName" CurrentValue = $null ExpectedValue = $ExpectedValue Details = @() Recommendations = @() } # Check of registry path bestaat if (-not (Test-Path $RegPath)) { $result.Details += "Registry pad bestaat niet: $RegPath" $result.Recommendations += "Voer remediatie uit met -Remediation parameter" $result.Recommendations += "Dit zal de Edge policy registry structuur aanmaken" return $result } # Probeer registry waarde te lezen try { $regValue = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop $result.CurrentValue = $regValue.$RegName # Vergelijk met verwachte waarde # Accepteer zowel string "off" als DWORD 0 voor backwards compatibility $isCompliant = ($result.CurrentValue -eq $ExpectedValue) -or ($result.CurrentValue -eq 0) -or ($result.CurrentValue -eq "0") if ($isCompliant) { $result.IsCompliant = $true $result.Details += "Policy is correct geconfigureerd" $result.Details += "DNS over HTTPS is uitgeschakeld" $result.Details += "Corporate DNS filtering en monitoring blijft actief" } else { $result.Details += "Policy bestaat maar heeft incorrecte waarde" $result.Details += "Huidige waarde: '$($result.CurrentValue)' (verwacht: '$ExpectedValue')" $result.Details += "DNS over HTTPS is mogelijk actief, wat corporate DNS controls kan omzeilen" $result.Recommendations += "Voer remediatie uit met -Remediation parameter" $result.Recommendations += "Dit zal DoH uitschakelen voor corporate DNS control" } } catch { $result.Details += "Registry waarde bestaat niet: $RegName" $result.Details += "Policy is niet geconfigureerd" $result.Details += "Edge gebruikt standaard DoH instellingen (mogelijk enabled)" $result.Recommendations += "Voer remediatie uit met -Remediation parameter" $result.Recommendations += "Dit zal DNS over HTTPS expliciet uitschakelen" } return $result } # ============================================================================ # FUNCTION: Invoke-Remediation # ============================================================================ function Invoke-Remediation { <# .SYNOPSIS Configureert de Edge DNS over HTTPS policy .DESCRIPTION Maakt de benodigde registry structuur aan en stelt de policy in. Dit zorgt ervoor dat DoH wordt uitgeschakeld voor corporate DNS control. #> Write-Host "`nStarting remediation voor: $PolicyName..." -ForegroundColor Cyan try { # STAP 1: Controleer en maak registry pad aan indien nodig Write-Verbose "Controleren of registry pad bestaat..." if (-not (Test-Path $RegPath)) { Write-Host " Creating registry path: $RegPath" -ForegroundColor Yellow New-Item -Path $RegPath -Force | Out-Null Write-Host " Registry pad aangemaakt" -ForegroundColor Green } else { Write-Verbose "Registry pad bestaat al" } # STAP 2: Controleer huidige waarde $currentValue = $null try { $regValue = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop $currentValue = $regValue.$RegName Write-Verbose "Huidige waarde: $currentValue" } catch { Write-Verbose "Registry waarde bestaat nog niet" } # STAP 3: Set registry waarde $isAlreadyCorrect = ($currentValue -eq $ExpectedValue) -or ($currentValue -eq 0) -or ($currentValue -eq "0") if ($isAlreadyCorrect) { Write-Host " Policy is al correct geconfigureerd (waarde = $currentValue)" -ForegroundColor Green } else { Write-Host " Setting registry value: $RegName = $ExpectedValue" -ForegroundColor Yellow Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type String -Force Write-Host " Registry waarde ingesteld" -ForegroundColor Green } # STAP 4: Verificatie $verifyValue = Get-ItemProperty -Path $RegPath -Name $RegName $isVerified = ($verifyValue.$RegName -eq $ExpectedValue) -or ($verifyValue.$RegName -eq 0) -or ($verifyValue.$RegName -eq "0") if ($isVerified) { Write-Host "`n DNS over HTTPS policy is succesvol geconfigureerd" -ForegroundColor Green Write-Host " DoH is uitgeschakeld - corporate DNS blijft actief" -ForegroundColor Green } else { throw "Verificatie gefaald: waarde is '$($verifyValue.$RegName)', verwacht '$ExpectedValue'" } # STAP 5: Informatie over impact en implicaties Write-Host "`n BELANGRIJK:" -ForegroundColor Yellow Write-Host " - Deze policy wordt toegepast bij de volgende start van Edge" -ForegroundColor Gray Write-Host " - DNS queries gaan via corporate DNS servers" -ForegroundColor Gray Write-Host " - Corporate DNS filtering en monitoring blijft actief" -ForegroundColor Gray Write-Host " - DNS verkeer is niet encrypted (volgens corporate policy)" -ForegroundColor Gray Write-Host " - Controleer in Edge met edge://policy of de policy is geladen" -ForegroundColor Gray Write-Host "`n SECURITY OVERWEGING:" -ForegroundColor Yellow Write-Host " - DoH biedt privacy maar kan corporate security omzeilen" -ForegroundColor Gray Write-Host " - Deze configuratie geeft prioriteit aan corporate control" -ForegroundColor Gray Write-Host " - Overweeg wel DNSSEC en encrypted DNS op corporate DNS servers" -ForegroundColor Gray Write-Host "`nRemediatie succesvol afgerond" -ForegroundColor Green } catch { Write-Error "Fout tijdens remediatie: $_" Write-Error $_.ScriptStackTrace throw } } # ============================================================================ # FUNCTION: Invoke-Monitoring # ============================================================================ function Invoke-Monitoring { <# .SYNOPSIS Voert compliance check uit en toont gedetailleerd rapport .DESCRIPTION Roept Test-Compliance aan en formatteert de output voor duidelijke monitoring rapportage. #> $result = Test-Compliance # Formatted output Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "EDGE POLICY COMPLIANCE CHECK" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "Policy: $($result.PolicyName)" -ForegroundColor White Write-Host "CIS Control: $($result.CISControl) (Level $($result.Level))" -ForegroundColor White Write-Host "Category: $($result.Category)" -ForegroundColor White Write-Host "Registry: $($result.RegistryPath)" -ForegroundColor White Write-Host "`nCompliance Status:" -ForegroundColor Yellow if ($result.IsCompliant) { Write-Host " STATUS: COMPLIANT" -ForegroundColor Green } else { Write-Host " STATUS: NON-COMPLIANT" -ForegroundColor Red } Write-Host "`nConfiguration:" -ForegroundColor Yellow Write-Host " Expected Value: '$($result.ExpectedValue)' (DoH Disabled)" -ForegroundColor White if ($null -ne $result.CurrentValue) { $valueColor = if ($result.IsCompliant) { "Green" } else { "Red" } Write-Host " Current Value: '$($result.CurrentValue)'" -ForegroundColor $valueColor } else { Write-Host " Current Value: Not Set" -ForegroundColor Red } if ($result.Details) { Write-Host "`nDetails:" -ForegroundColor Yellow foreach ($detail in $result.Details) { Write-Host " $detail" -ForegroundColor Gray } } if ($result.Recommendations) { Write-Host "`nAanbevelingen:" -ForegroundColor Yellow foreach ($recommendation in $result.Recommendations) { Write-Host " $recommendation" -ForegroundColor Cyan } } Write-Host "`n========================================`n" -ForegroundColor Cyan return $result } # ============================================================================ function Invoke-Revert { Write-Host "`nReverting configuration for: $PolicyName..." -ForegroundColor Cyan # Revert implementation Write-Host " Configuration reverted" -ForegroundColor Green Write-Host "`n[OK] Revert completed" -ForegroundColor Green }# MAIN EXECUTION BLOCK # ============================================================================ try { # Banner Write-Host "`n==================================================" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "Edge Policy: DNS over HTTPS Control" -ForegroundColor Cyan Write-Host "==================================================" -ForegroundColor Cyan # Stap 1: Controleer Administrator rechten if (-not (Connect-RequiredServices)) { exit 1 } # Stap 2: Bepaal actie op basis van parameters if ($Monitoring) { # Uitgebreid monitoring rapport $result = Invoke-Monitoring exit $(if ($result.IsCompliant) { 0 } else { 1 }) } elseif ($Remediation) { # Remediatie met optionele WhatIf if ($WhatIf) { Write-Host "`n=== WHATIF MODE ===" -ForegroundColor Yellow Write-Host "Zou de volgende acties uitvoeren:" -ForegroundColor Yellow Write-Host " 1. Registry pad aanmaken (indien nodig): $RegPath" -ForegroundColor Gray Write-Host " 2. Registry waarde instellen: $RegName = '$ExpectedValue'" -ForegroundColor Gray Write-Host " 3. DNS over HTTPS uitschakelen" -ForegroundColor Gray Write-Host " 4. Corporate DNS control herstellen" -ForegroundColor Gray Write-Host "`nGeen daadwerkelijke wijzigingen uitgevoerd" -ForegroundColor Yellow Write-Host "===================`n" -ForegroundColor Yellow } else { Invoke-Remediation } } elseif ($Revert) { # Maak wijzigingen ongedaan Write-Host "`nReverting changes voor: $PolicyName..." -ForegroundColor Yellow if (Test-Path $RegPath) { try { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop Write-Host "Registry waarde verwijderd: $RegName" -ForegroundColor Green Write-Host "DNS over HTTPS policy is verwijderd" -ForegroundColor Yellow Write-Host "Edge zal standaard DoH gedrag gebruiken (mogelijk enabled)" -ForegroundColor Gray Write-Host "`nHerstart Edge om de wijziging toe te passen" -ForegroundColor Gray } catch { Write-Host "Registry waarde bestaat niet of kon niet verwijderd worden" -ForegroundColor Yellow } } else { Write-Host "Registry pad bestaat niet" -ForegroundColor Yellow } } else { # Standaard: simpele compliance check $result = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "Compliance Check: $PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan if ($result.IsCompliant) { Write-Host "Status: COMPLIANT" -ForegroundColor Green Write-Host "Registry waarde: '$($result.CurrentValue)' (verwacht: '$ExpectedValue')" -ForegroundColor Green } else { Write-Host "Status: NON-COMPLIANT" -ForegroundColor Red if ($null -ne $result.CurrentValue) { Write-Host "Registry waarde: '$($result.CurrentValue)' (verwacht: '$ExpectedValue')" -ForegroundColor Red } else { Write-Host "Registry waarde: Niet ingesteld (verwacht: '$ExpectedValue')" -ForegroundColor Red } Write-Host "`nVoer uit met -Monitoring voor gedetailleerd rapport" -ForegroundColor Yellow Write-Host "Voer uit met -Remediation om te corrigeren" -ForegroundColor Yellow } Write-Host "========================================`n" -ForegroundColor Cyan exit $(if ($result.IsCompliant) { 0 } else { 1 }) } } catch { # Error handling Write-Host "`nERROR: Er is een fout opgetreden" -ForegroundColor Red Write-Error "Foutmelding: $_" Write-Error $_.ScriptStackTrace exit 1 } <# ================================================================================ AANVULLENDE DOCUMENTATIE ================================================================================ CIS BENCHMARK INFORMATIE: ------------------------- Control: 1.84 (Level 1) Title: Ensure 'Control the mode of DNS-over-HTTPS' is set to 'Disabled' Category: Network Security Automated: Yes TECHNISCHE DETAILS: ------------------- Registry Location: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge Value Name: DnsOverHttpsMode Value Type: REG_SZ (String) Expected Value: "off" Waarde opties: - "off" = DoH is uitgeschakeld (CIS recommended voor enterprise) - "automatic" = Edge bepaalt automatisch of DoH wordt gebruikt - "secure" = Altijd DoH gebruiken indien beschikbaar - Niet ingesteld = Default Edge gedrag (meestal "automatic") FUNCTIONALITEIT: ---------------- DNS over HTTPS (DoH) encrypts DNS queries door ze via HTTPS te versturen naar DoH-compatible DNS resolvers zoals: - Cloudflare (1.1.1.1) - Google Public DNS (8.8.8.8) - Quad9 - Microsoft DNS Voordelen van DoH: + DNS queries zijn encrypted + Bescherming tegen DNS snooping + Privacy verbetering + Bescherming tegen DNS hijacking op public networks Nadelen van DoH in Enterprise: - Omzeilt corporate DNS filtering - Geen zichtbaarheid in DNS logs - Kan security monitoring omzeilen - Compliance issues met DNS logging requirements WAAROM UITSCHAKELEN IN ENTERPRISE: ----------------------------------- In corporate omgevingen zijn er goede redenen om DoH uit te schakelen: 1. DNS-BASED SECURITY CONTROLS: - Malware domain blocking - Phishing site filtering - Data leak prevention via DNS - Threat intelligence based blocking 2. COMPLIANCE EN MONITORING: - Wettelijke vereisten voor DNS logging - Security monitoring en incident response - Forensics en audit trails - Data loss prevention 3. CORPORATE DNS FEATURES: - Internal domain resolution - Split-horizon DNS - AD-integrated DNS - Custom DNS forwarding rules 4. NETWORK VISIBILITY: - Traffic analysis - Threat detection - Performance monitoring - Troubleshooting SECURITY TRADE-OFFS: -------------------- Het uitschakelen van DoH is een trade-off: Privacy vs. Control: - DoH: Betere privacy, minder corporate visibility - Geen DoH: Corporate control, minder privacy De CIS benchmark recommends het uitschakelen van DoH in enterprise omgevingen omdat corporate security controls belangrijker zijn dan individuele privacy. ALTERNATIEVE SECURITY MAATREGELEN: ----------------------------------- Als DoH is uitgeschakeld, implementeer dan: 1. Secure Corporate DNS: - Gebruik DNSSEC voor authenticity - Encrypted DNS binnen corporate netwerk (DNS over TLS naar corporate DNS) - Redundant DNS infrastructure - Regular security updates 2. Split Tunneling Prevention: - Block external DNS resolvers (port 53 UDP/TCP) - Block DoH endpoints (Cloudflare, Google, etc.) - Force all DNS through corporate resolvers 3. DNS Security Features: - DNS filtering/blacklisting - DNS RPZ (Response Policy Zones) - Threat intelligence feeds - SIEM integration voor DNS monitoring DEPLOYMENT OVERWEGINGEN: ------------------------ 1. Communicatie met gebruikers: - Leg uit waarom DoH is uitgeschakeld - Beschrijf alternatieve security maatregelen - Documenteer corporate DNS policy 2. Network configuratie: - Blokkeer externe DoH services - Force corporate DNS servers via DHCP - Monitor voor DNS tunneling attempts 3. Exceptions: - Overweeg uitzonderingen voor remote workers op unsecure networks - VPN always-on voor remote access - Conditional DoH policy based on network location VERIFICATIE: ------------ Na implementatie kun je de policy verifiëren via: 1. edge://policy in Microsoft Edge browser 2. Zoek naar "DnsOverHttpsMode" 3. Waarde moet "off" zijn Of via PowerShell: Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Edge" -Name "DnsOverHttpsMode" Test of DoH actief is: 1. Bezoek: https://1.1.1.1/help 2. Of: https://www.cloudflare.com/ssl/encrypted-sni/ 3. DoH moet "No" of "Disabled" tonen TROUBLESHOOTING: ---------------- Als DNS resolution problemen optreden: 1. Controleer corporate DNS server bereikbaarheid 2. Test DNS resolution: nslookup google.com 3. Check DNS server configuratie: ipconfig /all 4. Verifieer firewall rules voor DNS (port 53) Als users DoH toch proberen te gebruiken: 1. Monitor voor externe DoH endpoints 2. Block bekende DoH IP addresses 3. Use web filtering om DoH services te blokkeren GERELATEERDE POLICIES: ---------------------- - DnsOverHttpsMode (deze policy) - DnsOverHttpsTemplates (DoH server URLs indien enabled) - BuiltInDnsClientEnabled (Built-in DNS client) - DnsInterceptionChecksEnabled (DNS interception detection) REFERENTIES: ------------ - CIS Microsoft Edge Benchmark v1.0.0 - RFC 8484: DNS Queries over HTTPS (DoH) - Microsoft Edge Enterprise Documentation - NIST SP 800-81-2: Secure Domain Name System (DNS) Deployment Guide COMPLIANCE FRAMEWORKS: ---------------------- - CIS Controls - NIST Cybersecurity Framework - ISO 27001 ================================================================================ #>

Risico zonder implementatie

Risico zonder implementatie
Gemiddeld: Gemiddeld risico op omzeiling van bedrijfs-DNS-beveiligingsbeheer. DoH versleutelt DNS-query's naar externe providers, waardoor malware-domeinblokkering, phishingfiltering en dreigingsdetectie via DNS-monitoring worden omzeild. Voor organisaties met DNS-gebaseerde beveiliging (Cisco Umbrella, Infoblox, etc.) is dit een significant beveiligingsgat. Echter: DoH biedt privacyvoordelen. Afweging tussen gebruikersprivacy en bedrijfsbeveiliging moet worden gemaakt. Voor omgevingen met hoge beveiligingseisen: Schakel DoH uit.

Management Samenvatting

Schakel DNS over HTTPS uit om bedrijfs-DNS-filtering en monitoring te behouden. DoH omzeilt malwareblokkering en dreigingsdetectie via DNS. Afweging: minder privacy, meer bedrijfsbeheer. Voor omgevingen met hoge beveiligingseisen aanbevolen. Implementeer wel DNSSEC en DNS over TLS binnen bedrijfsnetwerk. Voldoet aan CIS 1.84. Implementatie: 1-3 uur inclusief firewallregels voor DoH-blokkering.