L2 ISO A.8.23 CIS 2.2.1

Bing SafeSearch Geforceerd Ingeschakeld

📅 2025-10-30
⏱️ 4 minuten lezen
🟢 Should-Have

💼 Management Samenvatting

Forceer Bing SafeSearch in Microsoft Edge om ongepaste inhoud en ongeschikte zoekresultaten te filteren in bedrijfsomgevingen.

Aanbeveling
IMPLEMENT
Risico zonder
Low
Risk Score
3/10
Implementatie
0.75u (tech: 0.25u)
Van toepassing op:
Edge

Bing SafeSearch filtert volwassen inhoud, expliciete afbeeldingen en ongeschikte zoekresultaten uit Bing-zoekresultaten. Voor bedrijfsomgevingen zijn er meerdere belangrijke redenen om SafeSearch te forceren. Ten eerste betreft dit juridische naleving: werkgevers hebben een zorgplicht om een vijandige werkomgeving te voorkomen door de toegang tot volwassen inhoud te beperken. Ten tweede hebben HR-beleidsregels betrekking op acceptabel gebruik: beleidsregels voor acceptabel gebruik vereisen vaak dat bedrijfsmiddelen niet worden gebruikt voor ongepaste inhoud. Ten derde gaat het om netwerkbeveiliging: websites met volwassen inhoud vormen statistisch gezien een hoger risico op malware, drive-by downloads en phishingaanvallen. Ten vierde betreft het productiviteit: het filteren van ongepaste inhoud vermindert niet-zakelijk internetgebruik. Zonder geforceerde SafeSearch kunnen gebruikers het filter uitschakelen, wat blootstelling aan ongepaste inhoud mogelijk maakt. Voor organisaties met minderjarigen zoals onderwijsinstellingen, gereguleerde sectoren zoals financiën, gezondheidszorg en overheid, of organisaties met strikt HR-beleid is inhoudsfiltering een nalevingsvereiste. Belangrijk om te weten: SafeSearch is niet perfect. Geavanceerde gebruikers kunnen de filtering omzeilen via VPN's, alternatieve zoekmachines of directe URL's. SafeSearch moet daarom deel uitmaken van een gelaagde beveiligingsaanpak met webfiltering, beleid voor acceptabel gebruik en gebruikersbewustwording.

PowerShell Modules Vereist
Primary API: Intune/GPO
Connection: N/A
Required Modules:

Implementatie

Deze controle configureert ForceBingSafeSearch op waarde 1 via het register (HKLM:\SOFTWARE\Policies\Microsoft\Edge\ForceBingSafeSearch is 1). Dit forceert de Bing-zoekmachine om SafeSearch in strikte modus te gebruiken, waarbij volwassen inhoud wordt gefilterd uit zoekresultaten. Gebruikers kunnen de SafeSearch-instelling niet uitschakelen in de browser. Belangrijk om te weten: dit beïnvloedt alleen Bing-zoekopdrachten. Voor volledige inhoudsfiltering moeten ook ForceGoogleSafeSearch op waarde 1 en ForceYouTubeSafetyMode op waarde 1 worden geconfigureerd, plus een uitgebreide webfilteringoplossing.

Vereisten

Voor de implementatie van geforceerde Bing SafeSearch gelden verschillende technische en organisatorische vereisten die zorgvuldig moeten worden overwogen voordat u begint met de configuratie. Deze vereisten vormen de basis voor een succesvolle implementatie en zorgen ervoor dat de oplossing naadloos integreert in de bestaande IT-infrastructuur en beleidskader van uw organisatie. Laten we de belangrijkste vereisten systematisch doorlopen om een duidelijk beeld te krijgen van wat er nodig is voor een effectieve implementatie. Ten eerste is er de technische vereiste voor de Microsoft Edge-browser. U moet beschikken over Microsoft Edge versie 77 of hoger, aangezien deze versie ondersteuning biedt voor de ForceBingSafeSearch-beleidsinstelling. Deze versie is beschikbaar sinds januari 2020 en is standaard inbegrepen bij moderne Windows-installaties. Het is belangrijk om te controleren of alle doelapparaten deze minimale versie draaien, omdat oudere versies mogelijk niet reageren op de beleidsinstelling, waardoor de beveiliging onvolledig zou zijn. Indien nodig moet u een upgradeplan opstellen om ervoor te zorgen dat alle apparaten de vereiste versie draaien voordat u het beleid implementeert.

De tweede vereiste betreft het besturingssysteem. De implementatie werkt op Windows 10, Windows 11 en Windows Server 2016 of hoger. Deze versies bieden de benodigde ondersteuning voor Group Policy Objects (GPO) en Microsoft Intune-beleidsconfiguratie. Organisaties die nog werken met oudere besturingssystemen zoals Windows 7 of Windows Server 2012 R2 zullen deze functionaliteit niet kunnen gebruiken en moeten overwegen om hun infrastructuur te upgraden. Dit is met name belangrijk voor organisaties die werken met hybride omgevingen waar verschillende Windows-versies naast elkaar bestaan. In dergelijke gevallen moet een gefaseerde implementatiestrategie worden ontwikkeld waarbij prioriteit wordt gegeven aan de modernste systemen, gevolgd door een migratieplan voor oudere systemen.

De derde vereiste is van administratieve aard. U moet beschikken over administratorrechten voor het implementeren van beleidsinstellingen. Dit betekent dat u toegang moet hebben tot Microsoft Intune of Active Directory Group Policy Management Console, afhankelijk van welke methode u kiest voor de implementatie. Voor Intune-implementaties moet u een rol hebben met beleidsconfiguratiebevoegdheden, zoals Intune Administrator of Global Administrator. Voor GPO-implementaties moet u lid zijn van de Domain Admins-groep of specifieke delegaties hebben voor het bewerken van Group Policy Objects. Het is belangrijk om de principes van minimale bevoegdheden toe te passen: verleen alleen de benodigde rechten aan de personen die de implementatie uitvoeren, en herzie deze rechten regelmatig om onnodige toegang te voorkomen.

De vierde vereiste betreft organisatorisch beleid. U moet beschikken over een beleid voor acceptabel gebruik dat expliciet inhoudsfiltering specificeert. Dit beleid moet duidelijk uiteenzetten welke typen inhoud niet zijn toegestaan in de bedrijfsomgeving, waarom inhoudsfiltering wordt toegepast, en wat de gevolgen zijn van het overtreden van dit beleid. Dit beleid dient als juridische basis voor de implementatie en helpt ook bij het creëren van gebruikersbewustwording. Het is essentieel dat dit beleid wordt gecommuniceerd aan alle gebruikers voordat de technische implementatie plaatsvindt, zodat gebruikers begrijpen wat er wordt geïmplementeerd en waarom. Regelmatige herziening en updates van dit beleid zijn ook belangrijk, omdat de digitale omgeving en de daaraan verbonden risico's voortdurend evolueren.

De vijfde vereiste is van technische aard en betreft aanvullende beveiligingsoplossingen. Hoewel Bing SafeSearch een belangrijke eerste verdedigingslinie vormt, is het geen complete oplossing voor inhoudsfiltering. U moet daarom ook beschikken over een uitgebreide webfilteringoplossing zoals een proxy-server of een cloud-gebaseerde filteroplossing. Deze aanvullende oplossingen zorgen ervoor dat ongepaste inhoud ook wordt geblokkeerd wanneer gebruikers direct naar websites navigeren zonder gebruik te maken van een zoekmachine, of wanneer ze gebruikmaken van andere zoekmachines dan Bing. Een gelaagde beveiligingsaanpak waarbij SafeSearch wordt gecombineerd met webfiltering, DNS-filtering en eventueel endpoint-beveiligingsoplossingen zorgt voor een veel robuustere bescherming tegen ongepaste inhoud. Organisaties moeten evalueren welke aanvullende oplossingen het beste passen bij hun infrastructuur en budget.

De zesde en laatste vereiste betreft gebruikersbewustwording. Het is cruciaal dat alle gebruikers op de hoogte zijn van het corporate internetgebruiksbeleid en begrijpen waarom bepaalde restricties worden toegepast. Dit vereist een proactieve communicatiestrategie waarbij gebruikers worden geïnformeerd over het beleid, de redenen daarvoor, en hun verantwoordelijkheden. Trainingen, workshops, intranetartikelen en regelmatige herinneringen kunnen allemaal bijdragen aan verhoogde bewustwording. Het is belangrijk om dit als een continu proces te zien, niet als een eenmalige activiteit, omdat nieuwe medewerkers zich bij de organisatie voegen en bestaande medewerkers mogelijk een opfrisser nodig hebben. Goede gebruikerscommunicatie helpt ook om weerstand tegen de implementatie te verminderen en zorgt ervoor dat gebruikers de beveiligingsmaatregelen beter accepteren en naleven.

Implementatie

Gebruik PowerShell-script bing-safesearch-enabled.ps1 (functie Invoke-Remediation) – PowerShell script voor forceren van Bing SafeSearch.

De implementatie van Bing SafeSearch kan op verschillende manieren worden uitgevoerd, waarbij Microsoft Intune en Group Policy Objects (GPO) de meest gebruikte methoden zijn. Voor cloudgebaseerde omgevingen biedt Microsoft Intune de meest flexibele en schaalbare oplossing. Het implementatieproces begint in het Microsoft Intune Admin Center, waar beheerders navigeren naar de sectie Devices en vervolgens naar Configuration profiles. Hier kunnen nieuwe beleidsprofielen worden aangemaakt die specifiek zijn geconfigureerd voor Windows 10 en hoger. Het is belangrijk om te kiezen voor het Settings catalog-profieltype, omdat dit toegang geeft tot de volledige set Edge-beleidsinstellingen, inclusief ForceBingSafeSearch. Binnen het Settings catalog-profiel zoeken beheerders naar de Microsoft Edge-sectie en selecteren vervolgens de specifieke instelling ForceBingSafeSearch. Deze instelling moet worden geconfigureerd op de waarde True, wat overeenkomt met de registerwaarde 1. Deze configuratie zorgt ervoor dat SafeSearch wordt geforceerd op alle apparaten waarop het beleid wordt toegepast, en gebruikers kunnen deze instelling niet uitschakelen via de browserinterface. Na het configureren van de instelling moet het beleid worden toegewezen aan alle gebruikers of aan specifieke groepen, afhankelijk van de organisatorische behoeften. Het is aan te raden om eerst een testgroep te selecteren om te verifiëren dat de implementatie correct werkt voordat het beleid wordt uitgerold naar de volledige organisatie. Voor volledige inhoudsfiltering is het essentieel om niet alleen Bing SafeSearch te configureren, maar ook aanvullende beveiligingsmaatregelen te implementeren. Ten eerste moet ForceGoogleSafeSearch worden ingesteld op waarde 1 om ook Google-zoekresultaten te filteren, omdat veel gebruikers Google als standaard zoekmachine gebruiken. Ten tweede moet ForceYouTubeSafetyMode worden geconfigureerd op waarde 1 om de beperkte modus op YouTube te activeren, wat expliciete video-inhoud filtert. Deze aanvullende configuraties zorgen ervoor dat ongepaste inhoud wordt geblokkeerd ongeacht welke zoekmachine of videoplatform gebruikers kiezen. Naast deze browsergebaseerde instellingen moeten organisaties ook een webproxy of cloudgebaseerde filteroplossing implementeren voor uitgebreide bescherming. Deze oplossingen analyseren alle webtraffic, niet alleen zoekresultaten, en kunnen ongepaste inhoud blokkeren wanneer gebruikers direct naar websites navigeren via URL's. DNS-filtering vormt een aanvullende laag van bescherming door volwassen contentcategorieën te blokkeren op DNS-niveau, voordat de verbinding überhaupt tot stand komt. Deze gelaagde aanpak zorgt ervoor dat zelfs als een gebruiker de browserfiltering probeert te omzeilen, de netwerklaag nog steeds bescherming biedt. Monitoring van omzeilingspogingen is een kritiek onderdeel van de implementatie. Organisaties moeten regelmatig webfilterlogs analyseren om te detecteren wanneer gebruikers VPN's of proxy-services gebruiken om de filtering te omzeilen. Deze pogingen kunnen wijzen op onvoldoende gebruikersbewustwording of op opzettelijke pogingen om het beleid te overtreden. Door deze activiteiten te monitoren kunnen organisaties proactief ingrijpen door aanvullende training te bieden of, indien nodig, disciplinaire maatregelen te nemen. Het is belangrijk om deze monitoringactiviteiten te documenteren in het beleid voor acceptabel gebruik, zodat gebruikers op de hoogte zijn van de monitoring en de gevolgen van omzeilingspogingen.

Monitoring

Gebruik PowerShell-script bing-safesearch-enabled.ps1 (functie Invoke-Monitoring) – Beheert SafeSearch-afdwinging.

Het monitoren van de implementatie van Bing SafeSearch is een kritiek onderdeel van het beheerproces en zorgt ervoor dat de configuratie correct wordt toegepast en behouden blijft op alle doelapparaten. Effectieve monitoring helpt bij het identificeren van configuratiedrift, het detecteren van omzeilingspogingen, en het waarborgen van naleving van beveiligingsbeleid. Organisaties moeten een systematische monitoringaanpak implementeren die verschillende verificatiemethoden combineert om een volledig beeld te krijgen van de status van de implementatie. Laten we de belangrijkste monitoringactiviteiten uitgebreid bespreken zodat u een robuust monitoringprogramma kunt opzetten.

De eerste en meest directe verificatiemethode betreft het controleren van de registerwaarde op de doelapparaten. U moet verifiëren dat de registerwaarde HKLM:\SOFTWARE\Policies\Microsoft\Edge\ForceBingSafeSearch is ingesteld op waarde 1 op alle doelapparaten. Deze verificatie kan worden uitgevoerd via PowerShell-scripts die automatisch alle apparaten in uw omgeving controleren, of handmatig via de Register-editor op specifieke apparaten. Voor grote omgevingen met honderden of duizenden apparaten is het sterk aanbevolen om geautomatiseerde verificatiescripts te gebruiken die regelmatig worden uitgevoerd, bijvoorbeeld dagelijks of wekelijks, om configuratiedrift tijdig te detecteren. Deze scripts kunnen worden geïntegreerd in uw bestaande monitoring- of configuratiebeheersystemen, zodat u een gecentraliseerd overzicht hebt van de compliance-status van alle apparaten. Wanneer een apparaat niet voldoet aan de vereiste configuratie, moet u onmiddellijk actie ondernemen om de configuratie te herstellen en te onderzoeken waarom de configuratie is gewijzigd.

De tweede verificatiemethode betreft functionele tests om te verifiëren dat de filtering daadwerkelijk werkt zoals bedoeld. U moet regelmatig tests uitvoeren op Bing.com met zoektermen die normaal gesproken volwassen inhoud zouden opleveren, en verifiëren dat de zoekresultaten inderdaad worden gefilterd. Deze tests moeten worden uitgevoerd op een representatieve steekproef van apparaten in uw omgeving, waarbij verschillende gebruikersprofielen en verschillende browsermodi worden getest. Het is belangrijk om te begrijpen dat de filtering mogelijk niet perfect is en dat sommige borderline-inhoud mogelijk nog steeds verschijnt, maar de meeste expliciete inhoud moet worden gefilterd. Wanneer u constateert dat de filtering niet werkt zoals verwacht, moet u onderzoeken of de configuratie correct is toegepast, of er browser-extensies zijn die interfereren met de filtering, of er mogelijk andere configuratieproblemen zijn. Deze functionele tests moeten worden gedocumenteerd en regelmatig worden herhaald, bijvoorbeeld maandelijks of kwartaals, om te verifiëren dat de filtering blijft werken na browser-updates of configuratiewijzigingen.

De derde verificatiemethode betreft het controleren van de Edge-beleidsstatuspagina binnen de browser zelf. Gebruikers kunnen navigeren naar edge://policy/ in de Edge-browser om een overzicht te zien van alle toegepaste beleidsinstellingen, inclusief ForceBingSafeSearch. Deze pagina toont of het beleid is toegepast en wat de huidige waarde is. Deze methode is vooral nuttig voor helpdeskmedewerkers die problemen met individuele gebruikers moeten oplossen, omdat het een snelle manier biedt om te verifiëren of het beleid correct is toegepast op een specifiek apparaat. U kunt gebruikers ook instrueren om deze pagina te controleren wanneer ze vragen hebben over de SafeSearch-instelling, zodat ze zelf kunnen verifiëren dat het beleid actief is. Het is echter belangrijk om te begrijpen dat deze pagina alleen informatie weergeeft en geen garantie biedt dat de filtering daadwerkelijk werkt; daarom moet deze methode worden gecombineerd met functionele tests zoals beschreven in de vorige paragraaf.

De vierde en zeer belangrijke verificatiemethode betreft het monitoren van webfilterlogs om omzeilingspogingen te detecteren. Geavanceerde gebruikers kunnen proberen de SafeSearch-filtering te omzeilen door gebruik te maken van VPN's, proxy-services, of alternatieve zoekmachines. Door regelmatig webfilterlogs te analyseren kunt u detecteren wanneer gebruikers dergelijke methoden gebruiken, wat kan wijzen op opzettelijke pogingen om het beleid te overtreden of op onvoldoende gebruikersbewustwording. Wanneer u omzeilingspogingen detecteert, moet u onderzoeken of deze pogingen legitiem zijn (bijvoorbeeld omdat een gebruiker toegang nodig heeft tot een website die ten onrechte wordt geblokkeerd) of opzettelijk zijn. Voor opzettelijke pogingen moet u passende maatregelen nemen, zoals het bieden van aanvullende training, het herzien van het beleid voor acceptabel gebruik, of in ernstige gevallen het nemen van disciplinaire maatregelen. Het is belangrijk om deze monitoringactiviteiten te documenteren in uw beleid voor acceptabel gebruik, zodat gebruikers op de hoogte zijn van de monitoring en de gevolgen van omzeilingspogingen.

De vijfde en laatste verificatiemethode betreft het volgen van beleidsnaleving via Intune-rapporten voor organisaties die gebruikmaken van Microsoft Intune. Het Intune Admin Center biedt uitgebreide rapportagefunctionaliteit waarmee u kunt zien welke apparaten het beleid hebben ontvangen en toegepast, welke apparaten niet-compliant zijn, en wat de reden is voor non-compliance. Deze rapporten kunnen worden geëxporteerd voor auditdoeleinden en kunnen worden geïntegreerd in uw bestaande compliance-rapportagesystemen. Voor organisaties die moeten voldoen aan strikte compliance-eisen, zoals ISO 27001 of CIS Benchmarks, zijn deze rapporten essentieel om te bewijzen dat de vereiste configuraties zijn geïmplementeerd en worden behouden. Het is aanbevolen om deze rapporten regelmatig te genereren, bijvoorbeeld wekelijks of maandelijks, en te herzien op non-compliance-apparaten die onmiddellijke aandacht vereisen.

Compliance en Auditing

De implementatie van Bing SafeSearch draagt bij aan naleving van verschillende internationale en nationale compliancekaders die relevant zijn voor Nederlandse organisaties. Het CIS Microsoft Edge Benchmark specificeert expliciet dat SafeSearch moet worden afgedwongen als onderdeel van contentfilteringbest practices. Deze benchmark, ontwikkeld door het Center for Internet Security, vormt een erkende standaard voor browserbeveiliging en wordt wereldwijd gebruikt door organisaties die hun cybersecuritypostuur willen verbeteren. Door SafeSearch te forceren voldoen organisaties aan controle 2.2.1 van deze benchmark, wat aantoont dat zij proactief werken aan het beperken van blootstelling aan ongepaste inhoud via zoekmachines. ISO 27001:2022, de internationale standaard voor informatiebeveiligingsmanagement, bevat in controle A.8.23 specifieke vereisten voor webfiltering. Deze controle stelt dat organisaties maatregelen moeten implementeren om ongepaste of schadelijke webcontent te filteren. Bing SafeSearch vormt een belangrijk onderdeel van deze maatregelen, omdat het automatisch volwassen en expliciete inhoud filtert uit zoekresultaten. Voor organisaties die ISO 27001-certificering nastreven of behouden, is de implementatie van SafeSearch een concrete manier om te voldoen aan deze controle. Tijdens ISO 27001-audits kunnen auditors verifiëren dat de organisatie adequate webfiltering heeft geïmplementeerd door te controleren of SafeSearch is geactiveerd en of dit wordt gemonitord. Naleving van het beleid voor acceptabel gebruik is een fundamentele vereiste voor de implementatie van contentfiltering. Dit beleid moet expliciet specificeren dat inhoudsfiltering wordt toegepast en welke categorieën inhoud worden geblokkeerd. Het beleid dient als juridische basis voor de technische implementatie en helpt bij het creëren van gebruikersbewustwording. Wanneer organisaties SafeSearch implementeren zonder een duidelijk beleid voor acceptabel gebruik, kunnen zij juridische uitdagingen ondervinden met betrekking tot privacy en gebruikersrechten. Het is daarom essentieel dat het beleid wordt ontwikkeld in samenwerking met de juridische afdeling en HR, en dat het regelmatig wordt herzien en geüpdatet om rekening te houden met veranderende omstandigheden en nieuwe technologieën. HR-beleidsnaleving en het voorkomen van een vijandige werkomgeving vormen belangrijke overwegingen voor de implementatie van contentfiltering. Werkgevers hebben een zorgplicht om een veilige en respectvolle werkomgeving te creëren voor alle medewerkers. Toegang tot volwassen of expliciete inhoud op de werkplek kan bijdragen aan een vijandige werkomgeving, vooral wanneer deze inhoud zichtbaar is voor andere medewerkers of wanneer het gebruik ervan leidt tot ongemak of intimidatie. Door SafeSearch te forceren, nemen organisaties proactieve maatregelen om dergelijke situaties te voorkomen. Dit is met name belangrijk in gedeelde werkruimten, bij presentaties, of wanneer schermen zichtbaar zijn voor collega's of klanten. Organisaties moeten deze maatregelen combineren met duidelijke HR-beleidsregels die specificeren wat wordt beschouwd als ongepast gebruik van bedrijfsmiddelen en wat de gevolgen zijn van het overtreden van dit beleid. Voor onderwijsinstellingen gelden aanvullende compliancevereisten met betrekking tot contentfiltering. Hoewel de Children's Internet Protection Act (CIPA) een Amerikaanse wet is, hebben Nederlandse onderwijsinstellingen vergelijkbare verplichtingen onder de Nederlandse wetgeving en onderwijscodes. Nederlandse scholen hebben een zorgplicht om leerlingen te beschermen tegen ongepaste inhoud, en dit omvat het filteren van volwassen content via zoekmachines. Voor onderwijsinstellingen die gebruikmaken van Microsoft 365 of andere clouddiensten, is de implementatie van SafeSearch een praktische manier om te voldoen aan deze zorgplicht. Daarnaast kunnen onderwijsinstellingen aanvullende filtering implementeren die specifiek is afgestemd op de leeftijd van de leerlingen, waarbij strengere filters worden toegepast voor jongere leerlingen en meer flexibiliteit wordt geboden voor oudere studenten die legitiem onderzoek doen. Voor gereguleerde sectoren zoals financiën, gezondheidszorg en overheid gelden vaak aanvullende compliancevereisten. Deze sectoren moeten voldoen aan sector specifieke regelgeving die kan vereisen dat organisaties maatregelen nemen om ongepaste inhoud te filteren, vooral wanneer dit kan bijdragen aan reputatieschade of wanneer het gebruik van dergelijke inhoud kan worden geïnterpreteerd als onprofessioneel gedrag. Voor overheidsorganisaties is het belangrijk om te demonstreren dat zij verantwoordelijk omgaan met publieke middelen en dat zij een professionele werkomgeving handhaven. De implementatie van SafeSearch, gecombineerd met andere contentfilteringmaatregelen, helpt deze organisaties om te voldoen aan deze verwachtingen en om transparantie te bieden aan burgers en stakeholders over hoe zij de werkomgeving beheren.

Remediatie

Gebruik PowerShell-script bing-safesearch-enabled.ps1 (functie Invoke-Remediation) – Herstellen.

Wanneer monitoringactiviteiten aangeven dat Bing SafeSearch niet correct is geïmplementeerd of wanneer apparaten non-compliant zijn, moeten beheerders onmiddellijk corrigerende maatregelen nemen. Het remediatieproces begint met het identificeren van de oorzaak van de non-compliance. Dit kan variëren van technische problemen zoals mislukte beleidstoewijzingen tot gebruikers die de instellingen handmatig hebben gewijzigd, of tot apparaten die niet zijn opgenomen in de beleidstoewijzing. Het PowerShell-script dat bij deze controle hoort, kan worden gebruikt om automatisch te herstellen wanneer non-compliance wordt gedetecteerd, waardoor de tijd tussen detectie en herstel wordt geminimaliseerd. Voor apparaten die via Microsoft Intune worden beheerd, begint het remediatieproces met het verifiëren van de beleidstoewijzing. Beheerders moeten controleren of het beleid daadwerkelijk is toegewezen aan de betreffende gebruikers of apparaten, en of er geen conflicterende beleidsregels zijn die de SafeSearch-instelling overschrijven. Wanneer een beleid niet is toegewezen, moet dit onmiddellijk worden gecorrigeerd door het beleid toe te wijzen aan de juiste groepen. Voor conflicterende beleidsregels moeten beheerders de prioriteit van de beleidsregels controleren en ervoor zorgen dat het SafeSearch-beleid de hoogste prioriteit heeft, of dat conflicterende instellingen worden verwijderd of aangepast. Wanneer apparaten het beleid hebben ontvangen maar de instelling niet correct is toegepast, kan dit wijzen op problemen met de beleidsverwerking op het apparaat. In dergelijke gevallen moeten beheerders de Group Policy-client op het apparaat opnieuw laten verwerken door het uitvoeren van de opdracht gpupdate /force, of door het apparaat opnieuw te starten. Voor Intune-beheerde apparaten kan het nodig zijn om het apparaat te synchroniseren met Intune, wat kan worden gedaan via de Intune-portal of door de gebruiker te vragen om de bedrijfsportal-app te openen en handmatig te synchroniseren. Als deze methoden niet werken, kan het nodig zijn om het apparaat opnieuw in te schrijven bij Intune of om de registerinstelling handmatig te corrigeren. Voor apparaten waar gebruikers de SafeSearch-instelling handmatig hebben uitgeschakeld of gewijzigd, moeten beheerders eerst onderzoeken waarom dit mogelijk is gebeurd. Als gebruikers administratorrechten hebben en de registerinstellingen kunnen wijzigen, moet dit worden aangepakt door gebruikersrechten te beperken of door aanvullende Group Policy-instellingen te implementeren die voorkomen dat gebruikers registerinstellingen kunnen wijzigen. Het is belangrijk om te onthouden dat geforceerde beleidsinstellingen normaal gesproken niet door gebruikers kunnen worden gewijzigd, dus als dit mogelijk is, wijst dit op een configuratieprobleem dat moet worden opgelost. In gevallen waar het beleid correct is geïmplementeerd maar SafeSearch niet functioneert zoals verwacht, moeten beheerders functionele tests uitvoeren om te bepalen of het probleem ligt bij de SafeSearch-configuratie zelf of bij andere factoren zoals netwerkfiltering of browserinstellingen. Het kan bijvoorbeeld zijn dat gebruikers een andere zoekmachine gebruiken dan Bing, waardoor SafeSearch niet van toepassing is. In dergelijke gevallen moeten beheerders ervoor zorgen dat ook andere zoekmachines worden gefilterd, zoals eerder beschreven in de implementatiesectie. Daarnaast kunnen browser-extensies of andere software de SafeSearch-functionaliteit beïnvloeden, en deze moeten worden geïdentificeerd en indien nodig worden uitgeschakeld of verwijderd. Het is belangrijk om alle remediatieactiviteiten te documenteren, inclusief wanneer het probleem werd gedetecteerd, wat de oorzaak was, welke corrigerende maatregelen werden genomen, en of de remediatie succesvol was. Deze documentatie helpt bij het identificeren van patronen in non-compliance en kan worden gebruikt om toekomstige problemen te voorkomen door proactieve maatregelen te nemen. Voor organisaties met strikte compliancevereisten is deze documentatie ook essentieel voor auditdoeleinden, omdat het aantoont dat de organisatie proactief werkt aan het handhaven van de vereiste configuraties en dat er adequate processen zijn voor het detecteren en oplossen van problemen.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Edge Privacy: Bing SafeSearch Enabled .DESCRIPTION CIS - Bing SafeSearch moet geforceerd worden. .NOTES Filename: bing-safesearch-enabled.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Edge\ForceBingSafeSearch|Expected: 1 #> #Requires -Version 5.1 #Requires -RunAsAdministrator [CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert) $ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge"; $RegName = "ForceBingSafeSearch"; $ExpectedValue = 1 function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) } function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "bing-safesearch-enabled.ps1"; PolicyName = "Bing SafeSearch"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; if (-not(Test-Path $RegPath)) { $r.Details += "Niet geconfigureerd"; return $r }; try { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop; $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Bing SafeSearch geforceerd" }else { $r.Details += "Bing SafeSearch niet geforceerd" } }catch { $r.Details += "Niet geconfigureerd" }; return $r } function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Bing SafeSearch enabled" -ForegroundColor Green } function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r } function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue } try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }

Risico zonder implementatie

Risico zonder implementatie
Low: Laag beveiligingsrisico maar potentieel HR-nalevingsprobleem. Zonder SafeSearch kunnen ongepaste zoekresultaten leiden tot klachten over een vijandige werkomgeving, schendingen van HR-beleid, en verhoogd malware-risico via websites met volwassen inhoud. Voor onderwijsinstellingen en gereguleerde sectoren is inhoudsfiltering vaak verplicht.

Management Samenvatting

Forceer Bing SafeSearch (ForceBingSafeSearch is 1) voor het filteren van volwassen inhoud. Onderdeel van de handhaving van het beleid voor acceptabel gebruik. Implementatie: 15-30 minuten. Combineer met ForceGoogleSafeSearch en uitgebreide webfiltering.