ISO A.8.15

Automatisch Wissen Van Browsingdata Bij Afsluiten Uitgeschakeld

📅 2025-10-30
⏱️ 5 minuten lezen
🟢 Should-Have

💼 Management Samenvatting

Configureer Edge om bladergegevens niet automatisch te wissen bij afsluiten, zodat forensische audittrails behouden blijven voor beveiligingsincidentonderzoek en nalevingsdoeleinden.

Aanbeveling
IMPLEMENT
Risico zonder
Medium
Risk Score
6/10
Implementatie
1.5u (tech: 0.5u)
Van toepassing op:
Edge

Het automatisch wissen van bladergegevens zoals geschiedenis, cookies en cache bij het afsluiten van de browser lijkt een privacyverbeterende functie, maar voor bedrijfsomgevingen vormt dit een anti-patroon om meerdere belangrijke redenen. Ten eerste is er de forensische waarde: bij beveiligingsincidenten zoals phishingkliks, het downloaden van malware of gegevensexfiltratie is de browsergeschiedenis cruciaal voor incidentrespons en oorzaakanalyse. Zonder deze gegevens kunnen beveiligingsteams niet reconstrueren wat er precies is gebeurd, wanneer het incident plaatsvond en welke stappen de aanvaller heeft ondernomen. Ten tweede zijn er compliance- en auditvereisten: veel regelgevingen vereisen audittrails van gebruikersactiviteiten voor verantwoordingsplicht. Organisaties die moeten voldoen aan normen zoals ISO 27001, SOC 2 of NIS2 hebben deze gegevens nodig om te kunnen aantonen dat zij hun beveiligingsverplichtingen nakomen. Ten derde zijn er gegevenslekpreventie en beveiligingsmonitoring: zonder persistente bladergegevens kunnen beveiligingshulpmiddelen geen gedragsanalyse uitvoeren voor anomaliedetectie. Dit betekent dat verdachte patronen zoals command-and-control-verkeer, verdacht downloadgedrag, bezoeken aan phishingwebsites of gegevensexfiltratie via webmail niet kunnen worden gedetecteerd. Ten vierde is er productiviteitsverlies: gebruikers verliezen legitieme bladwijzers, sessiestatus en workflowcontinuïteit bij elke browserherstart, wat leidt tot frustratie en verminderde efficiëntie. Voor organisaties met Microsoft Defender voor Endpoint, SIEM-integratie of beveiligingsmonitoring is persistente bladergegevens essentieel voor de detectie van beveiligingsdreigingen. Een realistisch scenario illustreert het probleem: een gebruiker klikt op een phishinglink en downloadt malware. Het beveiligingsteam wil het incident onderzoeken, maar de browsergeschiedenis is automatisch gewist. Er is geen forensisch bewijs beschikbaar voor de reconstructie van de incidenttijdlijn. Voor organisaties die compliance moeten aantonen tijdens SOC 2-audits, ISO 27001-audits of regelgevingsonderzoeken is het verlies van auditgegevens een showstopper die kan leiden tot niet-naleving en mogelijke boetes.

PowerShell Modules Vereist
Primary API: Intune/GPO
Connection: N/A
Required Modules:

Implementatie

Deze controle zorgt ervoor dat ClearBrowsingDataOnExit niet wordt geforceerd, wat betekent dat de waarde 0 is of dat het beleid afwezig is. Edge behoudt daardoor browsergeschiedenis, cookies en cache tussen sessies. Voor privacygevoelige rollen zoals directieleden en juridische medewerkers kunnen uitzonderingen worden gemaakt met aparte beleidsregels. Als alternatief kan InPrivate-browsen worden gebruikt voor privacykritieke activiteiten in plaats van globaal automatisch wissen.

Vereisten

Voor de succesvolle implementatie van deze beveiligingscontrole zijn verschillende technische en organisatorische vereisten noodzakelijk. Deze vereisten vormen de basis voor een robuuste beveiligingspostuur waarbij forensische mogelijkheden behouden blijven zonder de privacy van gebruikers onnodig te schenden. De primaire technische vereiste is de aanwezigheid van Microsoft Edge als standaardbrowser binnen de organisatie. Edge moet worden beheerd via Microsoft Intune of Group Policy Objects (GPO) om centrale configuratie en handhaving mogelijk te maken. Zonder centrale beheersing is het niet mogelijk om consistent te garanderen dat het automatisch wissen van browsergeschiedenis is uitgeschakeld voor alle werkstations binnen de organisatie. De browser moet worden geconfigureerd via centrale beleidsregels die voorkomen dat individuele gebruikers de instellingen kunnen wijzigen, omdat dit de beveiligingspostuur van de organisatie zou kunnen compromitteren. Een tweede kritieke vereiste betreft de aanwezigheid van een complianceframework dat expliciete eisen stelt aan audittrails en logging. Organisaties die moeten voldoen aan normen zoals ISO 27001:2022, SOC 2, NIS2 of andere regelgevingskaders hebben specifieke verplichtingen om gebruikersactiviteiten te loggen en te bewaren. Deze frameworks vereisen vaak dat organisaties kunnen aantonen wie, wat, wanneer en waarom heeft gedaan binnen hun systemen. Browsergeschiedenis vormt een essentieel onderdeel van deze audittrails, vooral voor activiteiten die plaatsvinden via webgebaseerde applicaties en clouddiensten. Zonder deze audittrails kunnen organisaties niet voldoen aan hun complianceverplichtingen en lopen ze het risico op boetes of andere sancties. Voor geavanceerde beveiligingsmonitoring is integratie met Endpoint Detection and Response (EDR) systemen of Security Information and Event Management (SIEM) oplossingen een belangrijke vereiste. Deze systemen verzamelen telemetriegegevens van browsers om verdachte activiteiten te detecteren, zoals bezoeken aan phishingwebsites, downloads van malware, of pogingen tot gegevensexfiltratie. Zonder persistente browsergeschiedenis kunnen deze systemen geen gedragsanalyse uitvoeren of incidenten reconstrueren na een beveiligingsinbreuk. Microsoft Defender voor Endpoint, Azure Sentinel, of andere SIEM-oplossingen zijn typische voorbeelden van systemen die afhankelijk zijn van browsertelemetrie voor effectieve dreigingsdetectie. Deze systemen moeten correct worden geconfigureerd om browseractiviteiten te monitoren en te analyseren, en de verzamelde gegevens moeten worden geïntegreerd met andere beveiligingsgegevens voor een complete dreigingsbeeld. Organisaties moeten daarnaast beschikken over gedocumenteerde incidentresponsprocedures die expliciet gebruikmaken van browserforensiek. Deze procedures moeten beschrijven hoe beveiligingsteams browsergeschiedenis kunnen analyseren tijdens een incidentonderzoek, welke tools worden gebruikt voor forensische analyse, en hoe de verzamelde gegevens worden gebruikt voor de reconstructie van incidenttijdlijnen. Zonder deze procedures is het behouden van browsergeschiedenis zinloos, omdat teams niet weten hoe ze de gegevens effectief kunnen gebruiken tijdens een beveiligingsincident. Het beveiligingsteam moet getraind zijn in het analyseren van browsergeschiedenis, het identificeren van verdachte patronen en het reconstrueren van incidenttijdlijnen op basis van browsergegevens. Deze training moet regelmatig worden bijgewerkt om ervoor te zorgen dat teams op de hoogte blijven van de nieuwste technieken en tools voor browserforensiek. Voor privacygevoelige rollen binnen de organisatie, zoals directieleden, juridische medewerkers, of personen die werken met zeer vertrouwelijke informatie, moeten alternatieve privacyoplossingen beschikbaar zijn. InPrivate-modus van Edge biedt een geschikte oplossing waarbij gebruikers kunnen browsen zonder dat geschiedenis wordt opgeslagen, terwijl de standaardinstelling voor de organisatie het behouden van geschiedenis blijft. Deze uitzonderingen moeten worden geconfigureerd via aparte beleidsregels die specifiek zijn gericht op deze rollen, zodat privacybehoeften worden gerespecteerd zonder de algehele beveiligingspostuur te compromitteren. Het is belangrijk om deze uitzonderingen goed te documenteren en regelmatig te evalueren of ze nog steeds noodzakelijk zijn, omdat ze de forensische capaciteiten van de organisatie kunnen beperken.

Implementatie

Gebruik PowerShell-script clear-browsing-data-on-exit-disabled.ps1 (functie Invoke-Monitoring) – Verificatie dat automatisch wissen niet is geforceerd.

De implementatie van deze beveiligingscontrole begint met het verifiëren dat het ClearBrowsingDataOnExit-beleid niet is geconfigureerd of expliciet is ingesteld op de waarde 0. De standaardinstelling van Edge, waarbij browsergeschiedenis behouden blijft tussen sessies, is de correcte configuratie voor bedrijfsomgevingen. Deze standaardinstelling moet worden gehandhaafd en niet worden overschreven door privacybeleid dat bedoeld is voor consumentenomgevingen. Voor organisaties die Microsoft Intune gebruiken voor apparaatbeheer, begint de implementatie met een grondige controle van alle Edge-beleidsregels binnen de Intune-portal. Beheerders moeten navigeren naar de Endpoint Security-sectie en controleren of er een beleid bestaat dat ClearBrowsingDataOnExit inschakelt. Als een dergelijk beleid bestaat, moet dit worden verwijderd of worden aangepast zodat de instelling niet wordt geforceerd. Het is belangrijk om te begrijpen dat het ontbreken van het beleid de gewenste staat is, omdat Edge dan zijn standaardgedrag behoudt waarbij geschiedenis wordt opgeslagen. Beheerders moeten ook controleren of er geen conflicterende beleidsregels zijn die mogelijk de configuratie kunnen overschrijven. Voor organisaties die Group Policy Objects (GPO) gebruiken voor beheer, moet dezelfde controle worden uitgevoerd binnen de Group Policy Management Console. Beheerders moeten controleren of er een GPO bestaat die het registerpad HKLM:\SOFTWARE\Policies\Microsoft\Edge\ClearBrowsingDataOnExit configureert. Als deze registerwaarde bestaat en is ingesteld op 1, moet deze worden verwijderd of worden aangepast naar 0. Het volledig verwijderen van de registerwaarde is de voorkeursmethode, omdat dit Edge toestaat zijn standaardgedrag te gebruiken. Beheerders moeten ook controleren of er geen lokale groepsbeleidsregels zijn die de configuratie kunnen overschrijven. Voor privacygevoelige rollen binnen de organisatie, zoals directieleden, juridische medewerkers of personen die werken met zeer vertrouwelijke informatie, moeten aparte beleidsregels worden gemaakt die InPrivate-modus afdwingen. Deze beleidsregels kunnen worden toegepast via Intune door gebruikers of groepen te targeten op basis van hun rol of afdeling. InPrivate-modus zorgt ervoor dat browsergeschiedenis niet wordt opgeslagen tijdens de sessie, wat privacybehoeften adresseert zonder de algehele beveiligingspostuur te compromitteren. Het is belangrijk om deze uitzonderingen goed te documenteren en regelmatig te evalueren of ze nog steeds noodzakelijk zijn. Een kritiek onderdeel van de implementatie is het configureren van Microsoft Defender voor Endpoint of andere EDR-oplossingen om browsertelemetrie te verzamelen. Deze telemetriegegevens zijn essentieel voor de detectie van beveiligingsdreigingen en voor forensische analyse na een incident. Beheerders moeten ervoor zorgen dat de juiste sensoren zijn geïnstalleerd op alle werkstations en dat de verzamelde gegevens worden doorgestuurd naar de centrale beveiligingsoplossing. Zonder deze telemetrie heeft het behouden van browsergeschiedenis beperkte waarde voor beveiligingsmonitoring. Dit omvat het inschakelen van browserbescherming, het configureren van waarschuwingen voor verdachte browseractiviteiten en het integreren van browsergegevens met de SIEM-oplossing van de organisatie. Na de initiële implementatie moeten beheerders een verificatieproces uitvoeren om te bevestigen dat de configuratie correct is toegepast. Dit kan worden gedaan met behulp van het bijbehorende PowerShell-script dat controleert of het ClearBrowsingDataOnExit-beleid niet is geforceerd. Het script moet worden uitgevoerd op een representatieve steekproef van werkstations om te verifiëren dat de configuratie consistent is toegepast binnen de hele organisatie. De implementatie moet worden gedocumenteerd en gecommuniceerd naar alle betrokken partijen, inclusief het beveiligingsteam, IT-beheerders en privacyofficers, om ervoor te zorgen dat iedereen op de hoogte is van de configuratie en de redenen daarvoor.

Monitoring

Gebruik PowerShell-script clear-browsing-data-on-exit-disabled.ps1 (functie Invoke-Monitoring) – Verifieert dat automatisch wissen uitgeschakeld blijft.

Continue monitoring is essentieel om te garanderen dat de beveiligingscontrole effectief blijft en niet onbedoeld wordt gewijzigd door andere beleidsregels of configuratiewijzigingen. Het monitoringproces moet meerdere aspecten omvatten, van technische verificatie tot compliancecontroles en beveiligingsincidentvalidatie. De primaire monitoringactiviteit betreft de regelmatige verificatie van het registerpad HKLM:\SOFTWARE\Policies\Microsoft\Edge\ClearBrowsingDataOnExit op alle beheerde werkstations. Deze registerwaarde moet ofwel volledig afwezig zijn, ofwel expliciet zijn ingesteld op 0. Elke waarde die niet 0 is, of de aanwezigheid van de waarde wanneer deze niet zou moeten bestaan, duidt op een configuratiefout die onmiddellijk moet worden gecorrigeerd. Het bijbehorende PowerShell-script kan worden geautomatiseerd om regelmatig, bijvoorbeeld wekelijks of maandelijks, alle werkstations te controleren en rapporten te genereren over eventuele afwijkingen. Deze geautomatiseerde controles kunnen worden geïntegreerd met Microsoft Intune-compliancebeleid dat automatisch controleert of de configuratie correct is en waarschuwingen genereert wanneer afwijkingen worden gedetecteerd. Tijdens beveiligingsincidenten moet het monitoringproces verifiëren dat browserforensiek daadwerkelijk beschikbaar is en kan worden gebruikt voor incidentonderzoek. Dit betekent dat beveiligingsteams moeten testen of browsergeschiedenis kan worden opgehaald van werkstations waarop een incident heeft plaatsgevonden, of de verzamelde gegevens compleet zijn, en of de tijdlijn van gebeurtenissen kan worden gereconstrueerd. Als tijdens een incident blijkt dat browsergeschiedenis ontbreekt of onvolledig is, moet dit worden geïdentificeerd als een configuratiefout die onmiddellijk moet worden gecorrigeerd. Regelmatige incidentoefeningen kunnen helpen om deze capaciteiten te valideren voordat een echt incident plaatsvindt. Tijdens deze oefeningen moet worden geverifieerd dat browsergegevens kunnen worden gebruikt om de tijdlijn van een incident te reconstrueren en dat beveiligingsteams getraind zijn in het gebruik van browserforensiek. Compliancecontroles vormen een ander belangrijk onderdeel van het monitoringproces. Organisaties die moeten voldoen aan normen zoals ISO 27001, SOC 2 of NIS2 moeten regelmatig kunnen aantonen dat audittrails worden bewaard en beschikbaar zijn voor auditors. Het monitoringproces moet daarom documentatie bevatten die aantoont dat browsergeschiedenis wordt bewaard, hoe lang deze wordt bewaard, en hoe deze kan worden opgevraagd voor auditdoeleinden. Deze documentatie moet worden bijgewerkt wanneer configuratiewijzigingen worden doorgevoerd en moet beschikbaar zijn voor interne en externe auditors. Audittrailcompliancecontroles moeten regelmatig worden uitgevoerd om te verifiëren dat de organisatie voldoet aan de vereisten van relevante complianceframeworks, inclusief het controleren of browsergeschiedenis wordt bewaard voor de vereiste bewaartermijn en of de integriteit van de gegevens is gewaarborgd. Integratie met SIEM-systemen voor browseractiviteitsmonitoring is essentieel voor proactieve dreigingsdetectie. Het monitoringproces moet verifiëren dat browsertelemetrie correct wordt verzameld en doorgestuurd naar de SIEM-oplossing, dat de verzamelde gegevens worden gebruikt voor gedragsanalyse en anomaliedetectie, en dat beveiligingsteams worden gealarmeerd wanneer verdachte activiteiten worden gedetecteerd. Regelmatige reviews van SIEM-dashboards en waarschuwingen kunnen helpen om te valideren dat de integratie effectief functioneert en dat beveiligingsteams de verzamelde gegevens daadwerkelijk gebruiken voor beveiligingsmonitoring. Dit omvat het controleren van de verbinding tussen Edge en de SIEM-oplossing, het verifiëren dat alle relevante browsergebeurtenissen worden gelogd en het testen van waarschuwingen voor verdachte browseractiviteiten. Het monitoringproces moet ook aandacht besteden aan wijzigingen in Edge-beleidsregels die mogelijk de configuratie kunnen beïnvloeden. Wanneer nieuwe Edge-beleidsregels worden geïmplementeerd, moeten beheerders controleren of deze niet onbedoeld het ClearBrowsingDataOnExit-beleid activeren of andere configuraties overschrijven die van invloed zijn op het behouden van browsergeschiedenis. Change management processen moeten daarom expliciet aandacht besteden aan de impact van Edge-beleidswijzigingen op beveiligingscontroles zoals deze. Regelmatige rapportage over de status van deze monitoringactiviteiten moet worden gedeeld met het beveiligingsteam en het management om transparantie te waarborgen en om ervoor te zorgen dat eventuele problemen snel worden geïdentificeerd en aangepakt.

Compliance en Auditing

Deze beveiligingscontrole draagt direct bij aan de naleving van verschillende belangrijke compliance frameworks en regelgevingsvereisten die van toepassing zijn op Nederlandse overheidsorganisaties en bedrijven die werken met gevoelige informatie. Het behouden van browsergeschiedenis is niet alleen een technische beveiligingsmaatregel, maar ook een verplichting onder verschillende normen en wetten. ISO 27001:2022 controle A.8.15 vereist dat organisaties logging en monitoring implementeren om beveiligingsgebeurtenissen te detecteren, te analyseren en te reageren op beveiligingsincidenten. Deze controle specificeert dat organisaties audittrails moeten bewaren die voldoende detail bevatten om beveiligingsincidenten te onderzoeken en te analyseren. Browsergeschiedenis vormt een essentieel onderdeel van deze audittrails, vooral voor activiteiten die plaatsvinden via webgebaseerde applicaties en clouddiensten. Zonder persistente browsergeschiedenis kunnen organisaties niet voldoen aan de vereisten van controle A.8.15, omdat ze niet in staat zijn om gebruikersactiviteiten te loggen en te monitoren zoals vereist door de norm. Tijdens ISO 27001-audits moeten organisaties kunnen aantonen dat zij beschikken over adequate logging- en monitoringmechanismen, en browsergeschiedenis is een cruciaal onderdeel van deze mechanismen. SOC 2 Type II certificering vereist dat organisaties system logging implementeren voor beveiligingsincidentonderzoek. De Trust Services Criteria, met name de CC6.6 controle die betrekking heeft op logische en fysieke toegangscontroles, vereisen dat organisaties kunnen aantonen wie toegang heeft gehad tot systemen en welke acties zijn ondernomen. Browsergeschiedenis is cruciaal voor het voldoen aan deze vereisten, omdat veel moderne applicaties en diensten via webbrowsers worden benaderd. Tijdens SOC 2-audits moeten organisaties kunnen aantonen dat ze beschikken over complete audittrails van gebruikersactiviteiten, inclusief browsergeschiedenis, om te kunnen voldoen aan de certificeringsvereisten. Het behouden van browsergeschiedenis is essentieel voor het kunnen onderzoeken van beveiligingsincidenten en het kunnen aantonen van due diligence bij incidentrespons. De NIS2-richtlijn, die is geïmplementeerd in Nederlandse wetgeving, vereist in Artikel 21 dat essentiële en belangrijke entiteiten beschikken over incidentdetectie- en responscapaciteiten. Deze capaciteiten omvatten de mogelijkheid om beveiligingsincidenten te detecteren, te analyseren en te reageren op bedreigingen. Browsergeschiedenis is essentieel voor deze capaciteiten, omdat veel beveiligingsincidenten beginnen met gebruikers die op kwaadaardige links klikken, malware downloaden, of toegang krijgen tot gecompromitteerde websites. Zonder browsergeschiedenis kunnen organisaties niet effectief reageren op incidenten of de omvang en impact van een incident bepalen, wat kan leiden tot niet-naleving van de NIS2-vereisten. Nederlandse organisaties die onder de NIS2-richtlijn vallen moeten kunnen aantonen dat zij beschikken over adequate capaciteiten voor het detecteren en reageren op beveiligingsincidenten, en browserforensiek is een cruciaal onderdeel van deze capaciteiten. Forensische paraatheid, hoewel niet altijd expliciet vereist door compliance frameworks, is een best practice die wordt verwacht van organisaties die werken met gevoelige informatie of die onderworpen zijn aan regelgevingsonderzoeken. Forensische paraatheid betekent dat organisaties beschikken over de technische capaciteiten en procedures om beveiligingsincidenten te onderzoeken en forensisch bewijs te verzamelen en te bewaren. Browsergeschiedenis is een kritiek onderdeel van forensisch bewijs, omdat het kan worden gebruikt om de tijdlijn van een incident te reconstrueren, te bepalen welke websites zijn bezocht, welke bestanden zijn gedownload, en welke acties zijn ondernomen door gebruikers of aanvallers. Zonder browsergeschiedenis is forensische paraatheid onvolledig, wat kan leiden tot onvolledige incidentonderzoeken en mogelijke juridische of regelgevingsgevolgen. Voor Nederlandse overheidsorganisaties zijn er aanvullende compliance-overwegingen. De BIO (Baseline Informatiebeveiliging Overheid) vereist dat organisaties beschikken over logging en monitoring capaciteiten, en de Wet open overheid vereist transparantie over hoe organisaties omgaan met informatie en beveiliging. Het behouden van browsergeschiedenis draagt bij aan beide vereisten door te zorgen voor complete audittrails en door te demonstreren dat organisaties proactief werken aan beveiligingsmonitoring en incidentdetectie. Daarnaast moeten organisaties rekening houden met de AVG wanneer zij browsergeschiedenis bewaren. Hoewel het behouden van browsergeschiedenis belangrijk is voor beveiligingsdoeleinden, moeten organisaties ervoor zorgen dat zij voldoen aan de vereisten voor gegevensbescherming, inclusief het informeren van gebruikers over het bewaren van browsergeschiedenis en het implementeren van passende beveiligingsmaatregelen om deze gegevens te beschermen.

Remediatie

Gebruik PowerShell-script clear-browsing-data-on-exit-disabled.ps1 (functie Invoke-Remediation) – Herstellen van de configuratie.

Wanneer monitoring of verificatieprocessen aangeven dat het ClearBrowsingDataOnExit-beleid onbedoeld is geactiveerd of dat browsergeschiedenis niet wordt bewaard zoals verwacht, moet onmiddellijk worden overgegaan tot remediatie om de beveiligingspostuur te herstellen. Het remediatieproces moet systematisch worden uitgevoerd om te zorgen dat alle betrokken werkstations correct worden geconfigureerd en dat de configuratiefout niet opnieuw optreedt. Het eerste stap in het remediatieproces is het identificeren van de oorzaak van de configuratiefout. Dit kan betekenen dat beheerders controleren of er recent Edge-beleidsregels zijn gewijzigd, of er nieuwe GPO's zijn geïmplementeerd die mogelijk de configuratie hebben overschreven, of dat gebruikers handmatig instellingen hebben gewijzigd. Het bijbehorende PowerShell-script kan worden gebruikt om alle werkstations te scannen en te identificeren welke apparaten de configuratiefout vertonen. Deze identificatie is cruciaal omdat het helpt om te bepalen of het probleem wijdverspreid is of beperkt tot specifieke systemen of gebruikersgroepen. Zodra de oorzaak is geïdentificeerd, moet de remediatie worden uitgevoerd door het verwijderen of corrigeren van de configuratie die het probleem veroorzaakt. Voor Intune-beheerde apparaten betekent dit dat beheerders de betreffende Edge-beleidsregels moeten aanpassen of verwijderen in de Intune-beheerconsole. Het beleid moet expliciet worden uitgeschakeld of volledig worden verwijderd om ervoor te zorgen dat Edge zijn standaardgedrag kan gebruiken. Voor GPO-beheerde apparaten moet de registerwaarde worden verwijderd of worden aangepast naar 0. Het volledig verwijderen van de registerwaarde is de voorkeursmethode, omdat dit Edge toestaat zijn standaardgedrag te gebruiken. Het remediatiescript kan worden gebruikt om deze wijzigingen automatisch toe te passen op alle betrokken werkstations, wat de efficiëntie verhoogt en menselijke fouten vermindert. Na de remediatie moet verificatie worden uitgevoerd om te bevestigen dat de configuratie correct is hersteld. Dit betekent dat beheerders moeten controleren of browsergeschiedenis daadwerkelijk wordt bewaard op de gerepareerde werkstations, en dat het registerpad correct is geconfigureerd. Deze verificatie kan worden uitgevoerd met behulp van PowerShell-scripts die het registerpad controleren of via Microsoft Intune-compliancebeleid dat automatisch controleert of de configuratie correct is. Als het beleid lokaal is geconfigureerd op individuele systemen, moeten deze systemen handmatig worden bijgewerkt of moeten de gebruikers worden geïnstrueerd om de configuratie te wijzigen. Het is ook belangrijk om te testen of browsergeschiedenis opnieuw wordt bewaard en of de forensische capaciteiten zijn hersteld. Dit kan worden getest door een testincident te simuleren en te verifiëren dat browsergeschiedenis beschikbaar is voor onderzoek. Preventieve maatregelen moeten worden geïmplementeerd om te voorkomen dat de configuratiefout opnieuw optreedt. Dit kan betekenen dat change management processen worden aangescherpt om Edge-beleidswijzigingen te reviewen voordat ze worden geïmplementeerd, dat monitoring wordt geïntensiveerd om configuratiefouten sneller te detecteren, of dat automatische remediatie wordt geconfigureerd om configuratiefouten automatisch te corrigeren wanneer ze worden gedetecteerd. Daarnaast moet worden gecontroleerd of de SIEM-integratie correct werkt en of browsertelemetrie opnieuw wordt verzameld. De remediatieprocedure moet worden gedocumenteerd en gecommuniceerd naar alle betrokken partijen, inclusief het beveiligingsteam, IT-beheerders en het management. Regelmatige follow-upcontroles moeten worden uitgevoerd om ervoor te zorgen dat het probleem niet opnieuw optreedt en dat de beveiligingspostuur van de organisatie behouden blijft.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Edge Privacy: Clear Browsing Data On Exit Disabled .DESCRIPTION CIS - Clear browsing data on exit configuratie (compliance vs privacy). .NOTES Filename: clear-browsing-data-on-exit-disabled.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Edge\ClearBrowsingDataOnExit|Expected: 0 #> #Requires -Version 5.1 #Requires -RunAsAdministrator [CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert) $ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge"; $RegName = "ClearBrowsingDataOnExit"; $ExpectedValue = 0 function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) } function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "clear-browsing-data-on-exit-disabled.ps1"; PolicyName = "Clear Data On Exit"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; if (-not(Test-Path $RegPath)) { $r.IsCompliant = $true; $r.Details += "Default: geen auto-clear"; return $r }; try { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop; $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Data clear on exit disabled" }else { $r.Details += "Data clear on exit enabled" } }catch { $r.IsCompliant = $true; $r.Details += "Default" }; return $r } function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Clear data on exit disabled" -ForegroundColor Green } function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r } function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue } try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }

Risico zonder implementatie

Risico zonder implementatie
Medium: Hoog operationeel risico door verlies van forensisch bewijs bij beveiligingsincidenten. Gemiddeld compliance-risico doordat audittrailvereisten niet worden nageleefd. Automatisch wissen van bladergegevens verhindert incidentonderzoek, beveiligingsmonitoring en compliance-audits. Voor bedrijfsomgevingen is persistente bladergegevens essentieel voor de detectie van beveiligingsdreigingen en forensiek.

Management Samenvatting

Schakel automatisch wissen van bladergegevens uit (ClearBrowsingDataOnExit is 0) om forensische capaciteiten te behouden. Cruciaal voor incidentrespons en compliance. Voor privacykritieke rollen gebruik uitzonderingen met InPrivate-modus. Implementatie: 30 minuten tot 1 uur.