BIO 13.01.01 ISO A.13.1.1

QUIC Protocol Beheerd (HTTP/3)

📅 2025-10-30
⏱️ 7 minuten lezen
🟢 Nice-to-Have

💼 Management Samenvatting

QUIC (Quick UDP Internet Connections) is het moderne transportprotocol dat HTTP/3 mogelijk maakt en aanzienlijk betere webprestaties biedt dan het traditionele op TCP gebaseerde HTTP/2, vooral bij slechte netwerkcondities.

Aanbeveling
CONSIDER
Risico zonder
Laag
Risk Score
3/10
Implementatie
2u (tech: 1u)
Van toepassing op:
Edge

QUIC is ontwikkeld door Google en gestandaardiseerd als HTTP/3 om fundamentele beperkingen van TCP aan te pakken. Het protocol biedt aanzienlijke voordelen ten opzichte van traditionele TCP-gebaseerde verbindingen. De belangrijkste voordelen van QUIC en HTTP/3 zijn de snellere verbindingsopbouw via 0-RTT (zero round-trip time), waardoor webpagina's aanzienlijk sneller laden. Daarnaast biedt QUIC betere prestaties bij pakketverlies, omdat het geen head-of-line blocking kent zoals TCP. Het protocol ondersteunt verbeterde multiplexing waarbij meerdere datastromen onafhankelijk kunnen opereren zonder elkaar te blokkeren. QUIC heeft native versleuteling met TLS 1.3 ingebouwd, waarbij versleuteling verplicht is in het protocol zelf. Een uniek kenmerk is connection migration, waarbij verbindingen blijven werken bij IP-adreswijzigingen, wat vooral waardevol is in mobiele scenario's waar gebruikers tussen netwerken wisselen. QUIC is standaard ingeschakeld in moderne browsers en wordt breed gebruikt door grote platforms zoals Google, Facebook en Cloudflare. Echter, sommige bedrijfsomgevingen kunnen het uitschakelen van QUIC vereisen. Dit geldt met name voor organisaties die deep packet inspection (DPI) apparatuur gebruiken die UDP-gebaseerd QUIC-verkeer niet kunnen inspecteren. Verouderde firewalls die UDP-poort 443 blokkeren vormen eveneens een belemmering, aangezien QUIC UDP gebruikt in plaats van TCP. Daarnaast kunnen beveiligingsteams volledige zichtbaarheid op netwerkverkeer vereisen via SSL/TLS-interceptie, wat met QUIC complexer is. Dit vormt een afweging tussen prestaties en bedrijfsbeheer.

PowerShell Modules Vereist
Primary API: Intune/GPO
Connection: N/A
Required Modules:

Implementatie

Deze controle verifieert de QuicAllowed-beleidsconfiguratie via het Windows-register op het pad HKLM:\SOFTWARE\Policies\Microsoft\Edge\QuicAllowed. De mogelijke waarden zijn: 1 voor ingeschakeld (aanbevolen voor prestaties) en 0 voor uitgeschakeld (voor DPI-compatibiliteit). Standaard is QUIC ingeschakeld in Microsoft Edge. Het beleid maakt expliciete controle mogelijk voor organisaties die hun netwerkverkeer willen beheren. Voor organisaties met moderne netwerkinfrastructuur die QUIC-bewuste firewalls hebben, wordt aanbevolen om QUIC ingeschakeld te houden voor optimale prestaties. Voor organisaties met verouderde DPI-apparatuur die QUIC niet ondersteunt, kan het nodig zijn om QUIC uit te schakelen wanneer DPI-vereisten dit noodzakelijk maken. In dergelijke gevallen wordt aanbevolen om een upgrade van de DPI-infrastructuur te plannen voor toekomstige QUIC-ondersteuning.

Vereisten

Voor het effectief beheren van het QUIC-protocol binnen een organisatie zijn verschillende technische en organisatorische vereisten van toepassing. Deze vereisten vormen de basis voor een succesvolle implementatie en beheer van QUIC-beleid binnen Microsoft Edge-omgevingen. De technische vereisten omvatten allereerst de aanwezigheid van Microsoft Edge-browser op alle doelapparaten. Deze browser moet geïnstalleerd zijn en up-to-date zijn om optimale QUIC-ondersteuning te garanderen. Daarnaast is een ondersteund besturingssysteem vereist, waarbij Windows 10, Windows 11 of Windows Server 2016 en hoger de minimale vereisten vormen. Voor de implementatie van QUIC-beleid via Group Policy Objects (GPO) of Microsoft Intune zijn administratorrechten essentieel. Deze rechten zijn nodig om registerinstellingen te wijzigen of beleidsconfiguraties toe te passen op organisatieniveau.

Naast de technische vereisten is een grondige beoordeling van de netwerkinfrastructuur cruciaal. Organisaties moeten evalueren of hun firewallinfrastructuur QUIC-verkeer ondersteunt, met name UDP-poort 443 die door QUIC wordt gebruikt. Traditionele firewalls die alleen TCP-verkeer toestaan op poort 443 zullen QUIC-verbindingen blokkeren, wat resulteert in een terugval naar TCP-gebaseerde verbindingen met verminderde prestaties. Een kritieke overweging betreft de compatibiliteit van deep packet inspection (DPI) apparatuur. Organisaties die DPI gebruiken voor netwerkbeveiliging moeten bepalen of hun huidige DPI-apparatuur QUIC-verkeer kan inspecteren. Verouderde DPI-systemen die alleen TCP-gebaseerd verkeer kunnen analyseren, zullen QUIC-verkeer niet kunnen inspecteren, wat leidt tot verminderde zichtbaarheid op netwerkverkeer.

Voor netwerkmonitoring en beveiligingsanalyse is het belangrijk dat monitoringtools QUIC-verkeer kunnen analyseren. Security Information and Event Management (SIEM) systemen en netwerkanalyseplatforms moeten in staat zijn om HTTP/3-verkeer te decoderen en te loggen voor forensische doeleinden. Organisaties moeten ook een prestatiebaseline vaststellen door webprestaties te meten met en zonder QUIC ingeschakeld. Deze metingen helpen bij het kwantificeren van de impact van QUIC op gebruikerservaring en het maken van weloverwogen beslissingen over de implementatie. De combinatie van deze technische en organisatorische vereisten zorgt voor een solide basis voor het beheer van QUIC binnen de organisatie.

Implementatie

De implementatie van QUIC-protocolbeheer kan op verschillende manieren worden uitgevoerd, afhankelijk van de infrastructuur en beheeromgeving van de organisatie. Voor organisaties die Microsoft Intune gebruiken voor apparaatbeheer, biedt het platform geïntegreerde mogelijkheden voor het configureren van QUIC-beleid. Het beheer van QUIC via Intune kan worden geautomatiseerd met behulp van PowerShell-scripts die de configuratie centraal toepassen op alle doelapparaten binnen de organisatie. Deze geautomatiseerde aanpak zorgt voor consistentie in de configuratie en vermindert de kans op menselijke fouten bij handmatige implementatie. Bovendien maakt centralisatie het mogelijk om wijzigingen snel door te voeren en te monitoren op organisatieniveau, wat essentieel is voor grote omgevingen met honderden of duizenden endpoints.

Gebruik PowerShell-script quic-protocol-managed.ps1 (functie Invoke-Remediation) – PowerShell script voor configuratie van QUIC protocol policy.

Voor handmatige implementatie via Microsoft Intune begint het proces in het Microsoft Intune-beheercentrum. Beheerders navigeren naar de sectie Apparaten, gevolgd door Configuratieprofielen, waar een nieuw profiel kan worden aangemaakt. Bij het selecteren van het platformtype moet Windows 10 en later worden gekozen, met als profieltype Instellingencatalogus. Binnen de instellingencatalogus zoekt de beheerder naar Microsoft Edge, vervolgens naar Netwerk, en selecteert de instelling QuicAllowed. Voor optimale prestaties wordt aanbevolen om QuicAllowed in te stellen op Waar (waarde 1), wat QUIC inschakelt en gebruikers toegang geeft tot de verbeterde webprestaties die het protocol biedt. Echter, wanneer DPI-compatibiliteit vereist is en de organisatie nog geen QUIC-bewuste DPI-apparatuur heeft geïmplementeerd, kan QuicAllowed worden ingesteld op Onwaar (waarde 0) om QUIC uit te schakelen. Na configuratie moet het profiel worden toegewezen aan alle relevante gebruikersgroepen binnen de organisatie om ervoor te zorgen dat de configuratie consistent wordt toegepast.

De besluitvorming voor QUIC-configuratie vereist een gestructureerde aanpak waarbij organisaties verschillende factoren moeten evalueren. De eerste kritieke vraag betreft de ondersteuning van DPI-apparatuur voor QUIC. Als een organisatie DPI-apparatuur heeft die QUIC niet ondersteunt, moet QUIC worden uitgeschakeld door QuicAllowed in te stellen op 0, terwijl tegelijkertijd een upgrade van de DPI-infrastructuur wordt gepland om toekomstige QUIC-ondersteuning mogelijk te maken. Als de DPI-apparatuur wel QUIC ondersteunt, kan QUIC worden ingeschakeld door QuicAllowed in te stellen op 1 voor optimale prestaties. Een tweede belangrijke overweging betreft firewallregels die mogelijk UDP-poort 443 blokkeren. Als dergelijke regels bestaan, moeten deze worden bijgewerkt om UDP-verkeer op poort 443 toe te staan, waarna QUIC kan worden ingeschakeld. Als er geen blokkerende firewallregels zijn, kan QUIC direct worden ingeschakeld. Ten slotte moet het beveiligingsteam bepalen of volledige verkeersinspectie vereist is. Als dit het geval is, moet worden geëvalueerd of een DPI-upgrade voor QUIC-ondersteuning haalbaar is, of dat QUIC tijdelijk moet worden uitgeschakeld totdat de infrastructuur is geüpgraded. Als volledige verkeersinspectie niet vereist is, kan QUIC worden ingeschakeld voor optimale prestaties zonder compromissen op het gebied van beveiligingszichtbaarheid.

Monitoring

Effectieve monitoring van QUIC-gebruik en configuratie is essentieel voor het waarborgen van consistente toepassing van beleid en het identificeren van potentiële problemen in de netwerkinfrastructuur. Het monitoren van QUIC vereist een gelaagde aanpak waarbij zowel de configuratie op endpoints als het daadwerkelijke netwerkverkeer worden gevolgd. Automatische monitoring kan worden uitgevoerd met behulp van PowerShell-scripts die regelmatig de QUIC-configuratie verifiëren op alle beheerde apparaten binnen de organisatie.

Gebruik PowerShell-script quic-protocol-managed.ps1 (functie Invoke-Monitoring) – Verifieert QUIC protocol configuratie.

De primaire configuratiecontrole vindt plaats via het Windows-register op het pad HKLM:\SOFTWARE\Policies\Microsoft\Edge, waarbij de waarde QuicAllowed wordt geverifieerd. Deze waarde moet consistent zijn over alle apparaten binnen de organisatie en moet overeenkomen met het beleid dat is vastgesteld op basis van de DPI- en firewallcapaciteiten. Naast registercontroles is netwerkmonitoring cruciaal voor het begrijpen van daadwerkelijk QUIC-gebruik. Netwerkmonitoringtools moeten UDP-poort 443-verkeer volgen, aangezien QUIC UDP gebruikt in plaats van TCP. Het analyseren van dit verkeer helpt bij het identificeren van apparaten die QUIC gebruiken en het detecteren van mogelijke configuratieproblemen waarbij QUIC-verbindingen worden geblokkeerd.

Browsertelemetrie biedt waardevolle inzichten in het succespercentage van HTTP/3-verbindingen. Moderne browsers verzamelen gegevens over het aantal succesvolle QUIC-verbindingen versus mislukte verbindingen die terugvallen op TCP. Deze metriek helpt bij het identificeren van netwerkproblemen die QUIC-verbindingen verhinderen en biedt inzicht in de effectiviteit van de QUIC-implementatie. Prestatiemetingen vormen een ander belangrijk aspect van monitoring, waarbij paginalaadtijden worden vergeleken met en zonder QUIC ingeschakeld. Deze vergelijking helpt bij het kwantificeren van de daadwerkelijke prestatievoordelen van QUIC en kan worden gebruikt om business cases te ondersteunen voor upgrades van netwerkinfrastructuur. Ten slotte moeten DPI-apparaatlogs worden gemonitord om te bepalen of de apparatuur QUIC-verkeer daadwerkelijk kan inspecteren. Logs die aangeven dat QUIC-verkeer niet wordt geïnspecteerd, kunnen wijzen op de noodzaak van een upgrade of configuratieaanpassing van de DPI-infrastructuur. De combinatie van deze monitoringmethoden zorgt voor volledige zichtbaarheid op QUIC-gebruik en configuratie binnen de organisatie.

Compliance en Auditing

De QUIC-protocolconfiguratie heeft indirecte compliance-impact voor Nederlandse overheidsorganisaties, hoewel er geen directe compliancevereiste bestaat voor het in- of uitschakelen van QUIC zelf. De configuratiebeslissing heeft echter gevolgen voor de naleving van verschillende beveiligingsstandaarden en frameworks die van toepassing zijn op netwerkbeveiliging en monitoring. Organisaties moeten de compliance-implicaties zorgvuldig evalueren bij het maken van beslissingen over QUIC-implementatie.

Binnen het Baseline Informatiebeveiliging Overheid (BIO) framework is controle 13.01 gericht op netwerkbeveiliging. Deze controle vereist dat organisaties passende maatregelen treffen voor netwerkbeveiliging, waarbij DPI-compatibiliteit een belangrijke overweging vormt. Wanneer QUIC wordt gebruikt, moeten organisaties ervoor zorgen dat hun netwerkbeveiligingsmaatregelen, inclusief DPI-apparatuur, in staat zijn om het verkeer te inspecteren en te monitoren. Als DPI-apparatuur QUIC niet ondersteunt, kan dit leiden tot verminderde zichtbaarheid op netwerkverkeer, wat mogelijk in strijd is met de vereisten voor netwerkbeveiliging zoals beschreven in BIO 13.01.

De ISO 27001-standaard bevat controle A.13.1.1 die betrekking heeft op netwerkbeheer. Deze controle vereist dat organisaties netwerkdiensten beheren en beveiligen om de beschikbaarheid, integriteit en vertrouwelijkheid van informatie te waarborgen. De implementatie van QUIC heeft gevolgen voor netwerkbeheer, met name op het gebied van verkeersmonitoring en beveiligingscontroles. Organisaties die ISO 27001 naleven moeten kunnen aantonen dat zij effectief netwerkverkeer kunnen monitoren en beheren, ongeacht het gebruikte transportprotocol. Dit vereist dat netwerkbeheertools en beveiligingssystemen QUIC-verkeer kunnen analyseren en beheren.

De NIS2-richtlijn, zoals geïmplementeerd in Nederlandse wetgeving, bevat Artikel 21 dat betrekking heeft op netwerkbeveiliging en monitoringcapaciteiten. Essentiële en belangrijke entiteiten moeten passende technische en organisatorische maatregelen treffen om netwerkbeveiliging te waarborgen. De monitoringcapaciteit voor netwerkverkeer is cruciaal voor het detecteren en reageren op beveiligingsincidenten. Wanneer QUIC wordt gebruikt zonder adequate monitoringcapaciteiten, kan dit leiden tot verminderde detectie van beveiligingsdreigingen, wat mogelijk in strijd is met de vereisten van NIS2 Artikel 21.

Het NIST Cybersecurity Framework benadrukt het belang van netwerkzichtbaarheid voor de detectie van beveiligingsdreigingen. Het Detect-functiegebied vereist dat organisaties in staat zijn om beveiligingsgebeurtenissen te identificeren en te analyseren. Netwerkzichtbaarheid is essentieel voor effectieve detectie, en het gebruik van QUIC zonder adequate monitoringtools kan deze zichtbaarheid verminderen. Organisaties die het NIST-framework volgen, moeten ervoor zorgen dat hun detectiecapaciteiten QUIC-verkeer kunnen analyseren, of alternatieve monitoringmethoden implementeren wanneer QUIC wordt gebruikt. De combinatie van deze compliance-overwegingen maakt duidelijk dat QUIC-configuratie niet alleen een technische beslissing is, maar ook gevolgen heeft voor de naleving van beveiligingsstandaarden en regelgeving.

Remediatie

Remediatie van QUIC-protocolconfiguratieproblemen vereist een gestructureerde aanpak waarbij afwijkingen van het beleid worden geïdentificeerd en gecorrigeerd. Wanneer monitoringtools afwijkingen detecteren in de QUIC-configuratie, moeten beheerders snel handelen om de configuratie te herstellen naar de gewenste staat. Automatische remediatie kan worden uitgevoerd met behulp van PowerShell-scripts die de configuratie centraal toepassen op alle apparaten waar afwijkingen zijn gedetecteerd.

Gebruik PowerShell-script quic-protocol-managed.ps1 (functie Invoke-Remediation) – Herstellen.

Het remediatieproces begint met de identificatie van apparaten waar de QUIC-configuratie niet overeenkomt met het vastgestelde beleid. Dit kan gebeuren wanneer gebruikers handmatig registerinstellingen hebben gewijzigd, wanneer groepsbeleid niet correct is toegepast, of wanneer nieuwe apparaten zijn toegevoegd aan de organisatie zonder de juiste configuratie. Na identificatie van afwijkingen moet de remediatie worden uitgevoerd door de QuicAllowed-registerwaarde te corrigeren naar de gewenste waarde. Voor organisaties die QUIC hebben ingeschakeld voor prestaties, moet de waarde worden ingesteld op 1. Voor organisaties die QUIC hebben uitgeschakeld voor DPI-compatibiliteit, moet de waarde worden ingesteld op 0. Na remediatie moet de configuratie worden geverifieerd om te bevestigen dat de correctie succesvol is toegepast. Continue monitoring na remediatie helpt bij het identificeren van terugkerende problemen en het waarborgen van consistente configuratie over alle apparaten binnen de organisatie.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Edge Policy: QUIC Protocol Enabled - Modern HTTP/3 protocol support .DESCRIPTION Edge Policy voor QUIC/HTTP/3 protocol Controleert of het QUIC protocol (HTTP/3) is ingeschakeld in Microsoft Edge. QUIC (Quick UDP Internet Connections) is een modern transport protocol dat HTTP/3 mogelijk maakt. Het biedt betere performance dan TCP-based HTTP/2, vooral bij slechte netwerk condities. RATIONALE: QUIC/HTTP/3 voordelen: - Snellere verbindingsopbouw (0-RTT) - Betere performance bij packet loss - Improved multiplexing zonder head-of-line blocking - Native encryption (altijd TLS 1.3) IMPACT: QUIC is standaard enabled in moderne browsers voor betere web performance. Sommige enterprises schakelen het uit voor deep packet inspection compatibility. .NOTES Filename: quic-protocol-managed.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 Category: Network Related JSON: content/edge/network/quic-protocol-managed.json Registry Path: HKLM:\SOFTWARE\Policies\Microsoft\Edge Registry Value: QuicAllowed (DWORD) Expected Value: 1 (Enabled) - Default recommended Policy URL: https://learn.microsoft.com/deployedge/microsoft-edge-policies#quicallowed .PARAMETER WhatIf Toont wat het script zou doen zonder daadwerkelijk wijzigingen door te voeren .PARAMETER Monitoring Voert compliance check uit en toont gedetailleerd rapport .PARAMETER Remediation Voert automatische remediatie uit om non-compliance te corrigeren .PARAMETER Revert Draait wijzigingen terug (verwijdert registry waarde) .EXAMPLE .\quic-protocol-managed.ps1 -Monitoring Toont gedetailleerd compliance rapport #> #Requires -Version 5.1 #Requires -RunAsAdministrator [CmdletBinding()] param( [Parameter()][switch]$WhatIf, [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [Parameter()][switch]$Revert ) $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge" $RegName = "QuicAllowed" $ExpectedValue = 1 # 1 = enabled (recommended), 0 = disabled $PolicyName = "QUIC Protocol Enabled" function Connect-RequiredServices { $currentPrincipal = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()) $isAdmin = $currentPrincipal.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) if (-not $isAdmin) { Write-Warning "Dit script vereist Administrator rechten" return $false } Write-Verbose "Script wordt uitgevoerd met Administrator rechten" return $true } function Test-Compliance { Write-Verbose "Testing compliance voor: $PolicyName..." $result = [PSCustomObject]@{ ScriptName = "quic-protocol-managed.ps1" PolicyName = $PolicyName Category = "Network" IsCompliant = $false RegistryPath = "$RegPath\$RegName" CurrentValue = $null ExpectedValue = $ExpectedValue Details = @() Recommendations = @() } if (-not (Test-Path $RegPath)) { $result.IsCompliant = $true $result.Details += "Registry pad bestaat niet - QUIC enabled by default" $result.Details += "Moderne HTTP/3 performance is actief" return $result } try { $regValue = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop $result.CurrentValue = $regValue.$RegName if ($result.CurrentValue -eq $ExpectedValue) { $result.IsCompliant = $true $result.Details += "QUIC protocol is correct geconfigureerd (enabled)" $result.Details += "HTTP/3 verbeteringen zijn actief" } else { $result.Details += "QUIC is uitgeschakeld - HTTP/3 performance niet beschikbaar" $result.Recommendations += "Overweeg QUIC te enablen voor betere performance" $result.Recommendations += "Voer remediatie uit met -Remediation parameter" } } catch { $result.IsCompliant = $true $result.Details += "QUIC policy niet geconfigureerd - enabled by default" } return $result } function Invoke-Remediation { Write-Host "`nStarting remediation voor: $PolicyName..." -ForegroundColor Cyan try { if (-not (Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null } Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force Write-Host "`n QUIC protocol succesvol ingeschakeld" -ForegroundColor Green Write-Host " HTTP/3 verbeteringen zijn nu actief" -ForegroundColor Green Write-Host "`nRemediatie succesvol afgerond" -ForegroundColor Green } catch { Write-Error "Fout tijdens remediatie: $_" throw } } function Invoke-Revert { Write-Host "`nReverting policy configuration..." -ForegroundColor Cyan try { if (Test-Path $RegPath) { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue Write-Host " Registry waarde verwijderd: $RegName" -ForegroundColor Green } Write-Host "`nRevert succesvol afgerond" -ForegroundColor Green } catch { Write-Error "Fout tijdens revert: <# .SYNOPSIS Edge Policy: QUIC Protocol Enabled - Modern HTTP/3 protocol support .DESCRIPTION Edge Policy voor QUIC/HTTP/3 protocol Controleert of het QUIC protocol (HTTP/3) is ingeschakeld in Microsoft Edge. QUIC (Quick UDP Internet Connections) is een modern transport protocol dat HTTP/3 mogelijk maakt. Het biedt betere performance dan TCP-based HTTP/2, vooral bij slechte netwerk condities. RATIONALE: QUIC/HTTP/3 voordelen: - Snellere verbindingsopbouw (0-RTT) - Betere performance bij packet loss - Improved multiplexing zonder head-of-line blocking - Native encryption (altijd TLS 1.3) IMPACT: QUIC is standaard enabled in moderne browsers voor betere web performance. Sommige enterprises schakelen het uit voor deep packet inspection compatibility. .NOTES Filename: quic-protocol-managed.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 Category: Network Related JSON: content/edge/network/quic-protocol-managed.json Registry Path: HKLM:\SOFTWARE\Policies\Microsoft\Edge Registry Value: QuicAllowed (DWORD) Expected Value: 1 (Enabled) - Default recommended Policy URL: https://learn.microsoft.com/deployedge/microsoft-edge-policies#quicallowed .PARAMETER WhatIf Toont wat het script zou doen zonder daadwerkelijk wijzigingen door te voeren .PARAMETER Monitoring Voert compliance check uit en toont gedetailleerd rapport .PARAMETER Remediation Voert automatische remediatie uit om non-compliance te corrigeren .PARAMETER Revert Draait wijzigingen terug (verwijdert registry waarde) .EXAMPLE .\quic-protocol-managed.ps1 -Monitoring Toont gedetailleerd compliance rapport #> #Requires -Version 5.1 #Requires -RunAsAdministrator [CmdletBinding()] param( [Parameter()][switch]$WhatIf, [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [Parameter()][switch]$Revert ) $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge" $RegName = "QuicAllowed" $ExpectedValue = 1 # 1 = enabled (recommended), 0 = disabled $PolicyName = "QUIC Protocol Enabled" function Connect-RequiredServices { $currentPrincipal = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()) $isAdmin = $currentPrincipal.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) if (-not $isAdmin) { Write-Warning "Dit script vereist Administrator rechten" return $false } Write-Verbose "Script wordt uitgevoerd met Administrator rechten" return $true } function Test-Compliance { Write-Verbose "Testing compliance voor: $PolicyName..." $result = [PSCustomObject]@{ ScriptName = "quic-protocol-managed.ps1" PolicyName = $PolicyName Category = "Network" IsCompliant = $false RegistryPath = "$RegPath\$RegName" CurrentValue = $null ExpectedValue = $ExpectedValue Details = @() Recommendations = @() } if (-not (Test-Path $RegPath)) { $result.IsCompliant = $true $result.Details += "Registry pad bestaat niet - QUIC enabled by default" $result.Details += "Moderne HTTP/3 performance is actief" return $result } try { $regValue = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop $result.CurrentValue = $regValue.$RegName if ($result.CurrentValue -eq $ExpectedValue) { $result.IsCompliant = $true $result.Details += "QUIC protocol is correct geconfigureerd (enabled)" $result.Details += "HTTP/3 verbeteringen zijn actief" } else { $result.Details += "QUIC is uitgeschakeld - HTTP/3 performance niet beschikbaar" $result.Recommendations += "Overweeg QUIC te enablen voor betere performance" $result.Recommendations += "Voer remediatie uit met -Remediation parameter" } } catch { $result.IsCompliant = $true $result.Details += "QUIC policy niet geconfigureerd - enabled by default" } return $result } function Invoke-Remediation { Write-Host "`nStarting remediation voor: $PolicyName..." -ForegroundColor Cyan try { if (-not (Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null } Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force Write-Host "`n QUIC protocol succesvol ingeschakeld" -ForegroundColor Green Write-Host " HTTP/3 verbeteringen zijn nu actief" -ForegroundColor Green Write-Host "`nRemediatie succesvol afgerond" -ForegroundColor Green } catch { Write-Error "Fout tijdens remediatie: $_" throw } } function Invoke-Monitoring { $result = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "EDGE POLICY COMPLIANCE CHECK" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "Policy: $($result.PolicyName)" -ForegroundColor White Write-Host "Registry: $($result.RegistryPath)" -ForegroundColor White if ($result.IsCompliant) { Write-Host "`nStatus: COMPLIANT" -ForegroundColor Green } else { Write-Host "`nStatus: NON-COMPLIANT" -ForegroundColor Red } if ($result.Details) { Write-Host "`nDetails:" -ForegroundColor Yellow foreach ($detail in $result.Details) { Write-Host " $detail" -ForegroundColor Gray } } Write-Host "`n========================================`n" -ForegroundColor Cyan return $result } try { Write-Host "`n==================================================" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "Edge Policy: QUIC/HTTP3 Protocol" -ForegroundColor Cyan Write-Host "==================================================" -ForegroundColor Cyan if (-not (Connect-RequiredServices)) { exit 1 } if ($Monitoring) { $result = Invoke-Monitoring exit $(if ($result.IsCompliant) { 0 } else { 1 }) } elseif ($Remediation) { if ($WhatIf) { Write-Host "`n=== WHATIF MODE ===" -ForegroundColor Yellow Write-Host "Zou QUIC protocol enablen (QuicAllowed = 1)" -ForegroundColor Yellow Write-Host "===================`n" -ForegroundColor Yellow } else { Invoke-Remediation } } elseif ($Revert) { Invoke-Revert } else { $result = Test-Compliance if ($result.IsCompliant) { Write-Host "`nStatus: COMPLIANT" -ForegroundColor Green } else { Write-Host "`nStatus: NON-COMPLIANT" -ForegroundColor Red } exit $(if ($result.IsCompliant) { 0 } else { 1 }) } } catch { Write-Error "Foutmelding: $_" exit 1 } " throw } } function Invoke-Monitoring { $result = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "EDGE POLICY COMPLIANCE CHECK" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "Policy: $($result.PolicyName)" -ForegroundColor White Write-Host "Registry: $($result.RegistryPath)" -ForegroundColor White if ($result.IsCompliant) { Write-Host "`nStatus: COMPLIANT" -ForegroundColor Green } else { Write-Host "`nStatus: NON-COMPLIANT" -ForegroundColor Red } if ($result.Details) { Write-Host "`nDetails:" -ForegroundColor Yellow foreach ($detail in $result.Details) { Write-Host " $detail" -ForegroundColor Gray } } Write-Host "`n========================================`n" -ForegroundColor Cyan return $result } try { Write-Host "`n==================================================" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "Edge Policy: QUIC/HTTP3 Protocol" -ForegroundColor Cyan Write-Host "==================================================" -ForegroundColor Cyan if (-not (Connect-RequiredServices)) { exit 1 } if ($Monitoring) { $result = Invoke-Monitoring exit $(if ($result.IsCompliant) { 0 } else { 1 }) } elseif ($Remediation) { if ($WhatIf) { Write-Host "`n=== WHATIF MODE ===" -ForegroundColor Yellow Write-Host "Zou QUIC protocol enablen (QuicAllowed = 1)" -ForegroundColor Yellow Write-Host "===================`n" -ForegroundColor Yellow } else { Invoke-Remediation } } elseif ($Revert) { Invoke-Revert } else { $result = Test-Compliance if ($result.IsCompliant) { Write-Host "`nStatus: COMPLIANT" -ForegroundColor Green } else { Write-Host "`nStatus: NON-COMPLIANT" -ForegroundColor Red } exit $(if ($result.IsCompliant) { 0 } else { 1 }) } } catch { Write-Error "Foutmelding: $_" exit 1 }

Risico zonder implementatie

Risico zonder implementatie
Laag: Laag risico maar belangrijke afweging tussen prestaties en zichtbaarheid. QUIC ingeschakeld biedt betere webprestaties met sneller laden en betere mobiele ervaring, maar vermindert de DPI-capaciteit. QUIC uitgeschakeld maakt volledige verkeersinspectie mogelijk maar resulteert in langzamere webprestaties. Voor moderne organisaties wordt aanbevolen om QUIC ingeschakeld te houden en de DPI-infrastructuur te upgraden. Voor verouderde beveiligingsinfrastructuur moet QUIC tijdelijk worden uitgeschakeld totdat een DPI-upgrade mogelijk is.

Management Samenvatting

QUIC/HTTP/3 is standaard ingeschakeld in Edge voor betere webprestaties. Aanbevolen: QUIC ingeschakeld houden tenzij DPI-apparatuur QUIC niet ondersteunt. Bij incompatibele DPI: QUIC tijdelijk uitschakelen en DPI-upgrade plannen. Moderne firewalls ondersteunen QUIC. Afweging: prestaties versus diepgaande inspectiecapaciteit. Implementatie: 1-2 uur voor beoordeling en configuratie.