L2 BIO 11.01.01 ISO A.18.1.4 CIS Edge Privacy - Media Devices

Audio Capture Geblokkeerd

📅 2025-10-30
⏱️ 5 minuten lezen
🟢 Should-Have

💼 Management Samenvatting

Het blokkeren van standaard audio-opname (microfoontoegang) in de browser voorkomt ongeautoriseerde audio-opnames en beschermt de gebruikersprivacy tegen afluisteraanvallen.

Aanbeveling
IMPLEMENT
Risico zonder
Medium
Risk Score
6/10
Implementatie
2u (tech: 1u)
Van toepassing op:
Edge

Microfoontoegang via de browser vormt een aanzienlijk privacy- en beveiligingsrisico voor Nederlandse organisaties. Kwaadaardige websites kunnen gesprekken afluisteren zonder dat gebruikers dit doorhebben, omdat het indicatielampje kan worden omzeild. Achtergrondopnames kunnen vertrouwelijke vergaderingen vastleggen, stemherkenning kan worden gebruikt voor gebruikersidentificatie en tracking, en audio-opnames kunnen gevoelige bedrijfsinformatie bevatten die wordt geëxfiltreerd. Bovendien is ultrasone tracking via onhoorbare audiobakens mogelijk. In de praktijk zien we scenario's waarbij gebruikers een gecompromitteerde website bezoeken die stilletjes de microfoon activeert en vergadergesprekken opneemt, malvertising met audio-opnamescripts die omgevingsgeluid verzamelt voor targeting, en spraakassistenten die per ongeluk worden geactiveerd door websites. Voor organisaties met vertrouwelijke besprekingen, handelsgeheimen of nalevingsvereisten is microfoontoegang een beheerde toestemming. Uitzondering: legitieme gebruikssituaties zoals Microsoft Teams, Zoom en andere samenwerkingstools vereisen microfoontoegang en moeten worden toegevoegd aan een toegestane lijst.

PowerShell Modules Vereist
Primary API: Intune/GPO
Connection: N/A
Required Modules:

Implementatie

Deze controle configureert het AudioCaptureAllowed-beleid op waarde 0 (geblokkeerd) via het register (HKLM:\SOFTWARE\Policies\Microsoft\Edge\AudioCaptureAllowed is 0). Als alternatief kunt u DefaultMediaStreamSetting instellen op 2 (Vragen) om per-site prompts te forceren. Voor vertrouwde samenwerkingstools configureert u AudioCaptureAllowedUrls met een toegestane lijst van goedgekeurde domeinen (teams.microsoft.com, zoom.us, enzovoort).

Vereisten

Voor het succesvol implementeren van deze controle zijn verschillende technische en organisatorische vereisten van essentieel belang. Deze vereisten zorgen ervoor dat de implementatie soepel verloopt en dat de beveiligingsmaatregel effectief wordt toegepast zonder de productiviteit van gebruikers onnodig te belemmeren.

Op technisch gebied moet de Microsoft Edge-browser geïnstalleerd zijn op alle doelapparaten. Dit is de primaire browser waarin deze controle wordt geïmplementeerd. Daarnaast is het van belang dat de apparaten draaien op Windows 10 of Windows 11, of op Windows Server 2016 of een nieuwere versie. Deze besturingssystemen ondersteunen de benodigde registerinstellingen en groepsbeleidsobjecten die nodig zijn voor de implementatie van deze privacycontrole.

Voor de daadwerkelijke implementatie zijn administratorrechten vereist. Deze rechten zijn nodig wanneer de controle wordt geïmplementeerd via Groepsbeleidsobjecten (GPO) of Microsoft Intune. Zonder deze rechten kunnen de benodigde registerinstellingen niet worden geconfigureerd op de doelapparaten. Het is belangrijk om te bepalen welke implementatiemethode het beste past bij de organisatie: GPO voor on-premises omgevingen of Intune voor cloudgebaseerde beheeromgevingen.

Een cruciale organisatorische vereiste is het uitvoeren van een grondige inventarisatie van alle webapplicaties die microfoontoegang vereisen voor hun functionaliteit. Dit omvat niet alleen bekende samenwerkingstools zoals Microsoft Teams en Zoom, maar ook minder voor de hand liggende applicaties die mogelijk audio-opname gebruiken voor functionaliteiten zoals spraakherkenning, dictatie of interactieve webtoepassingen. Deze inventarisatie moet worden uitgevoerd in samenwerking met verschillende afdelingen binnen de organisatie om ervoor te zorgen dat geen kritieke applicaties worden over het hoofd gezien.

Op basis van de inventarisatie moet een toegestane lijst worden samengesteld van goedgekeurde samenwerkingstools en andere applicaties die legitiem microfoontoegang nodig hebben. Deze toegestane lijst moet worden gedocumenteerd met een duidelijke zakelijke rechtvaardiging voor elk domein of elke applicatie. Het is belangrijk om regelmatig deze toegestane lijst te evalueren en bij te werken, omdat nieuwe tools kunnen worden geïntroduceerd of bestaande tools mogelijk niet meer nodig zijn.

Tot slot is communicatie met gebruikers een essentiële vereiste. Gebruikers moeten worden geïnformeerd over het blokkeren van microfoontoegang, de redenen hiervoor en welke uitzonderingen zijn gemaakt voor goedgekeurde applicaties. Deze communicatie helpt gebruikers te begrijpen waarom bepaalde websites mogelijk geen toegang hebben tot hun microfoon en voorkomt onnodige supporttickets. Daarnaast moeten gebruikers weten hoe ze een verzoek kunnen indienen voor het toevoegen van een nieuwe applicatie aan de toegestane lijst, inclusief het proces en de criteria die worden gebruikt voor goedkeuring.

Implementatie

De implementatie van audio-opnameblokkering kan worden uitgevoerd via verschillende methoden, afhankelijk van de infrastructuur en beheeromgeving van de organisatie. De meest gebruikte methoden zijn geautomatiseerde implementatie via PowerShell-scripts en handmatige configuratie via Microsoft Intune of Groepsbeleidsobjecten. Elke methode heeft zijn eigen voordelen en is geschikt voor verschillende scenario's.

Gebruik PowerShell-script audio-capture-blocked.ps1 (functie Invoke-Remediation) – PowerShell script voor automatische blokkering van audio-opname.

Voor organisaties die Microsoft Intune gebruiken als hun primaire beheeroplossing, is handmatige implementatie via de Intune-beheerconsole de aanbevolen aanpak. Het proces begint met het openen van het Microsoft Intune-beheercentrum, waar beheerders toegang hebben tot alle configuratie-opties voor hun apparaatbeheer. Vanuit het hoofdmenu navigeert u naar de sectie Apparaten en vervolgens naar Configuratieprofielen. Hier kunt u een nieuw profiel aanmaken door op de knop Profiel maken te klikken.

Bij het configureren van het nieuwe profiel selecteert u Windows 10 en later als platform en kiest u Instellingencatalogus als profieltype. De instellingencatalogus biedt toegang tot een uitgebreide lijst van configureerbare instellingen voor Microsoft Edge en andere Microsoft-producten. Binnen de catalogus zoekt u naar de sectie Microsoft Edge en vervolgens naar de subsectie Privacy. Hier vindt u de instelling AudioCaptureAllowed, die u configureert op de waarde False, wat overeenkomt met de numerieke waarde 0 in het register.

Naast het blokkeren van audio-opname moet u ook de toegestane lijst configureren voor goedgekeurde samenwerkingstools. Dit doet u door de instelling AudioCaptureAllowedUrls te configureren met een lijst van goedgekeurde domeinen. De aanbevolen toegestane lijst voor samenwerkingstools omvat standaard Microsoft Teams via het domein https://teams.microsoft.com en Zoom via het wildcard-domein https://*.zoom.us. Als uw organisatie Google Meet gebruikt, voegt u https://meet.google.com toe aan de lijst. Voor organisaties die Cisco Webex gebruiken, voegt u https://*.webex.com toe. Het is belangrijk om alleen vertrouwde samenwerkingsplatforms toe te voegen met een duidelijke zakelijke rechtvaardiging, omdat elke toevoeging aan de toegestane lijst een potentieel beveiligingsrisico introduceert.

Na het configureren van alle benodigde instellingen wijst u het profiel toe aan alle relevante gebruikersgroepen binnen uw organisatie. Het is aan te raden om eerst een testgroep te selecteren om te verifiëren dat de configuratie correct werkt en dat alle goedgekeurde applicaties nog steeds toegang hebben tot de microfoon. Na succesvolle verificatie kunt u het profiel geleidelijk uitrollen naar de rest van de organisatie. Zorg ervoor dat u de toewijzingen regelmatig controleert en bijwerkt wanneer nieuwe gebruikersgroepen worden toegevoegd of wanneer de organisatiestructuur verandert.

Monitoring

Gebruik PowerShell-script audio-capture-blocked.ps1 (functie Invoke-Monitoring) – Controleert of audio-opname correct is geblokkeerd.

Effectieve monitoring van de audio-opnameblokkering is essentieel om ervoor te zorgen dat de beveiligingsmaatregel correct wordt toegepast en blijft functioneren zoals bedoeld. Monitoring omvat zowel technische verificatie van de configuratie als organisatorische aandacht voor gebruikerservaring en uitzonderingen.

Op technisch niveau moet regelmatig worden gecontroleerd of de registerinstelling correct is geconfigureerd op alle doelapparaten. Het registerpad dat moet worden geverifieerd is HKLM:\SOFTWARE\Policies\Microsoft\Edge, waar de waarde AudioCaptureAllowed moet zijn ingesteld op 0 (DWORD). Deze controle kan worden geautomatiseerd via het monitoring-script, dat op regelmatige basis kan worden uitgevoerd om de naleving te verifiëren. Het script controleert niet alleen de aanwezigheid van de instelling, maar ook of de waarde correct is geconfigureerd en of er geen conflicterende instellingen zijn die de blokkering kunnen omzeilen.

Naast technische verificatie is het belangrijk om gebruikersklachten te monitoren over microfoontoegang in samenwerkingstools. Als gebruikers melden dat ze geen toegang hebben tot hun microfoon in goedgekeurde applicaties zoals Microsoft Teams of Zoom, kan dit duiden op een probleem met de configuratie van de toegestane lijst. Dergelijke klachten moeten snel worden onderzocht en opgelost, omdat ze de productiviteit van gebruikers kunnen beïnvloeden. Het is aan te raden om een gestructureerd proces te hebben voor het behandelen van dergelijke meldingen, inclusief een tijdlijn voor reactie en escalatieprocedures voor urgente gevallen.

Regelmatige verificatie van de URL's in de toegestane lijst is cruciaal om ervoor te zorgen dat alle goedgekeurde samenwerkingstools correct functioneren. Dit omvat het testen van microfoontoegang in elke applicatie die op de toegestane lijst staat, bij voorkeur na elke wijziging aan de configuratie of na belangrijke updates van de browser of de applicaties zelf. Het is belangrijk om te documenteren wanneer deze tests zijn uitgevoerd en wat de resultaten waren, zodat er een audit trail bestaat voor compliance-doeleinden.

Het monitoren van uitzonderingsverzoeken voor nieuwe sites is een belangrijk onderdeel van het beheerproces. Wanneer gebruikers verzoeken indienen om een nieuwe website of applicatie toe te voegen aan de toegestane lijst, moet dit verzoek worden beoordeeld op basis van duidelijke criteria. Deze criteria moeten onder meer omvatten: de zakelijke noodzaak voor microfoontoegang, de beveiligingspostuur van de applicatie, en of er alternatieve oplossingen beschikbaar zijn. Het is belangrijk om een gestructureerd proces te hebben voor het beoordelen en goedkeuren van dergelijke verzoeken, inclusief documentatie van de beslissing en de rechtvaardiging. Regelmatige evaluatie van de toegestane lijst helpt om ervoor te zorgen dat alleen nog steeds relevante applicaties toegang hebben en dat de lijst niet onnodig lang wordt, wat het beveiligingsrisico verhoogt.

Compliance en Auditing

De implementatie van audio-opnameblokkering draagt aanzienlijk bij aan de naleving van verschillende belangrijke beveiligings- en privacyframeworks die relevant zijn voor Nederlandse overheidsorganisaties. Deze controle adresseert specifieke vereisten uit internationale standaarden, Europese regelgeving en Nederlandse baseline-richtlijnen, waardoor organisaties kunnen aantonen dat zij passende technische en organisatorische maatregelen hebben getroffen om persoonsgegevens en privacy te beschermen.

Binnen het CIS Microsoft Edge Benchmark framework valt deze controle onder de categorie Privacy beheer. Het Center for Internet Security heeft specifieke aanbevelingen ontwikkeld voor het beveiligen van Microsoft Edge-browsers, waarbij het blokkeren van standaard microfoontoegang wordt beschouwd als een essentiële privacybeschermingsmaatregel. Door deze controle te implementeren, voldoen organisaties aan de CIS-aanbevelingen voor privacybeheer en kunnen zij hun beveiligingspostuur verbeteren volgens erkende best practices.

De Algemene Verordening Gegevensbescherming (AVG) bevat verschillende artikelen die relevant zijn voor audio capture blokkering. Artikel 5 van de AVG beschrijft de beginselen inzake verwerking van persoonsgegevens, waaronder het beginsel van gegevensminimalisatie. Door microfoontoegang standaard te blokkeren en alleen toe te staan wanneer dit noodzakelijk is voor specifieke, geautoriseerde doeleinden, voldoen organisaties aan het vereiste om alleen die persoonsgegevens te verwerken die strikt noodzakelijk zijn voor het beoogde doel.

AVG Artikel 25, bekend als Privacy door design en privacy door standaardinstellingen, vereist dat organisaties technische en organisatorische maatregelen implementeren die privacybescherming integreren in de verwerking van persoonsgegevens vanaf het ontwerp. Het blokkeren van audio-opname als standaardinstelling is een concrete implementatie van dit beginsel, omdat het ervoor zorgt dat privacybescherming de standaard is en dat gebruikers expliciet toestemming moeten geven voordat hun audio kan worden opgenomen. Dit voorkomt dat persoonsgegevens onbedoeld worden verzameld en verwerkt zonder de kennis of toestemming van de betrokkene.

AVG Artikel 32 verplicht organisaties om passende technische en organisatorische maatregelen te treffen om een beveiligingsniveau te waarborgen dat is afgestemd op het risico. Audio-opnames kunnen gevoelige persoonsgegevens bevatten, waaronder stemkenmerken die als biometrische gegevens kunnen worden beschouwd. Door microfoontoegang te beperken en te controleren, verminderen organisaties het risico op ongeautoriseerde toegang tot of verwerking van deze gevoelige gegevens, waardoor zij voldoen aan de beveiligingsvereisten van Artikel 32.

De Baseline Informatiebeveiliging Overheid (BIO) bevat in norm 11.01 specifieke vereisten voor privacybescherming. Deze norm stelt dat organisaties maatregelen moeten treffen om de privacy van betrokkenen te beschermen, inclusief het beperken van de verzameling en verwerking van persoonsgegevens tot het strikt noodzakelijke. Audio-opnameblokkering is een concrete technische maatregel die bijdraagt aan het voldoen aan deze BIO-norm, vooral voor organisaties die werken met gevoelige informatie of in omgevingen waar privacybescherming van cruciaal belang is.

ISO 27001, de internationale standaard voor informatiebeveiligingsmanagementsystemen, bevat in controle A.18.1.4 specifieke vereisten voor privacy en bescherming van persoonsgegevens. Deze controle vereist dat organisaties procedures en controles implementeren om te voldoen aan privacyvereisten en om de bescherming van persoonsgegevens te waarborgen. Audio capture blokkering is een technische controle die bijdraagt aan het voldoen aan deze ISO 27001-vereiste, vooral wanneer deze wordt geïmplementeerd als onderdeel van een breder privacybeschermingsprogramma.

De NIS2-richtlijn, die van toepassing is op essentiële en belangrijke entiteiten in de Europese Unie, bevat in Artikel 21 specifieke vereisten voor privacymaatregelen. Deze richtlijn vereist dat organisaties passende maatregelen treffen om de privacy van gebruikers te beschermen, vooral in de context van cybersecurity-incidenten en beveiligingsmaatregelen. Door audio capture te blokkeren, voorkomen organisaties dat gevoelige informatie onbedoeld wordt verzameld, wat bijdraagt aan de algehele beveiligings- en privacybescherming die door NIS2 wordt vereist.

Voor auditdoeleinden is het belangrijk om documentatie bij te houden die aantoont dat deze controle correct is geïmplementeerd en wordt gemonitord. Deze documentatie moet screenshots van de Intune-beleidsconfiguratie bevatten, exports van de relevante registerinstellingen, compliance-rapporten van monitoring-scripts, de toegestane lijst met zakelijke rechtvaardigingen voor elke URL, en testrapporten die bevestigen dat goedgekeurde samenwerkingstools correct functioneren. Deze documentatie helpt auditors te verifiëren dat de organisatie voldoet aan de relevante compliance-vereisten en dat passende maatregelen zijn getroffen om privacy en beveiliging te waarborgen.

Remediatie

Gebruik PowerShell-script audio-capture-blocked.ps1 (functie Invoke-Remediation) – Herstelt de audio-opnameblokkering indien deze niet correct is geconfigureerd.

Wanneer monitoring aangeeft dat de audio-opnameblokkering niet correct is geconfigureerd of wanneer de configuratie is gewijzigd of verwijderd, moet remediatie worden uitgevoerd om de beveiligingsmaatregel te herstellen. Het remediatieproces omvat het opnieuw configureren van de registerinstellingen en het verifiëren dat de configuratie correct is toegepast.

Het remediatiescript kan worden gebruikt om automatisch de juiste configuratie te herstellen. Het script controleert eerst de huidige status van de configuratie en past vervolgens de benodigde wijzigingen toe om ervoor te zorgen dat AudioCaptureAllowed is ingesteld op 0 (geblokkeerd). Daarnaast controleert het script of de toegestane lijst correct is geconfigureerd en herstelt deze indien nodig.

Na het uitvoeren van het remediatiescript moet worden geverifieerd dat de configuratie correct is toegepast. Dit kan worden gedaan door het monitoring-script opnieuw uit te voeren of door handmatig de registerinstellingen te controleren. Het is belangrijk om te documenteren wanneer remediatie is uitgevoerd en wat de oorzaak was van de afwijking, zodat toekomstige problemen kunnen worden voorkomen.

In gevallen waar de configuratie herhaaldelijk wordt gewijzigd of verwijderd, kan dit duiden op een dieperliggend probleem, zoals conflicterende groepsbeleidsobjecten of onjuiste Intune-configuraties. In dergelijke gevallen moet een grondigere analyse worden uitgevoerd om de oorzaak te identificeren en op te lossen. Dit kan onder meer omvatten: het controleren van de prioriteit van groepsbeleidsobjecten, het verifiëren van Intune-profieltoewijzingen, en het controleren of er lokale registerwijzigingen worden aangebracht door andere processen of applicaties.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Edge Privacy: Audio Capture Blocked .DESCRIPTION CIS - Audio capture moet restricted worden (privacy). .NOTES Filename: audio-capture-blocked.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Edge\AudioCaptureAllowed|Expected: 0 #> #Requires -Version 5.1 #Requires -RunAsAdministrator [CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert) $ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge"; $RegName = "AudioCaptureAllowed"; $ExpectedValue = 0 function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) } function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "audio-capture-blocked.ps1"; PolicyName = "Audio Capture Blocked"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; if (-not(Test-Path $RegPath)) { $r.Details += "Niet geconfigureerd"; return $r }; try { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop; $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Audio capture blocked" }else { $r.Details += "Audio capture toegestaan" } }catch { $r.Details += "Niet geconfigureerd" }; return $r } function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Audio capture blocked" -ForegroundColor Green } function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r } function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue } try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }

Risico zonder implementatie

Risico zonder implementatie
Medium: Gemiddeld privacy- en beveiligingsrisico door ongeautoriseerde audio-opnames. Kwaadaardige websites kunnen vertrouwelijke gesprekken afluisteren en bedrijfsinformatie verzamelen. Voor organisaties met gevoelige besprekingen (juridisch, directie, onderzoek en ontwikkeling) is microfoontoegang een beheerde toestemming. De AVG vereist privacy door standaardinstellingen - onbeperkte microfoontoegang is een schending.

Management Samenvatting

Blokkeer standaard audio-opname en configureer een toegestane lijst voor vertrouwde samenwerkingstools (Teams, Zoom). Voorkomt afluisteren en voldoet aan AVG privacy door standaardinstellingen. Implementatie: 1-2 uur inclusief configuratie toegestane lijst voor bedrijfstools.