ISO A.8.15

Automatisch Wissen Van Cached Images Bij Afsluiten Uitgeschakeld

📅 2025-10-30
⏱️ 4 minuten lezen
🟢 Should-Have

💼 Management Samenvatting

Configureer Microsoft Edge zodanig dat gecachte afbeeldingen niet automatisch worden gewist bij het afsluiten van de browser, om forensische mogelijkheden en prestaties te behouden.

Aanbeveling
CONSIDER
Risico zonder
Low
Risk Score
3/10
Implementatie
0.5u (tech: 0.25u)
Van toepassing op:
Edge

Het behouden van gecachte afbeeldingen biedt meerdere voordelen voor bedrijfsomgevingen. Ten eerste heeft dit forensische waarde: bij beveiligingsincidenten kunnen gecachte afbeeldingen bewijs leveren van phishingaanvallen, malware distributiewebsites of gegevensexfiltratie. Screenshots van kwaadaardige websites, phishingpagina's of ongepaste content zijn vaak uitsluitend beschikbaar via de browsercache. Ten tweede verbetert dit de prestaties: het cachen van afbeeldingen vermindert het bandbreedtegebruik en verkort de laadtijden voor regelmatig bezochte websites. Automatisch wissen van de cache vernietigt deze prestatievoordelen. Ten derde ondersteunt dit audit trails: voor complianceonderzoeken kunnen gecachte afbeeldingen bewijsmateriaal leveren. Belangrijk om te weten is dat cachewissen doorgaans wordt beheerd via het bovenliggende beleid ClearBrowsingDataOnExit. Deze specifieke controle voor afbeeldingen is meestal niet nodig wanneer het bovenliggende beleid correct is geconfigureerd.

PowerShell Modules Vereist
Primary API: Intune/GPO
Connection: N/A
Required Modules:

Implementatie

Deze controle zorgt ervoor dat gecachte afbeeldingen behouden blijven tussen browsersessies. In de praktijk wordt dit meestal beheerd via het ClearBrowsingDataOnExit-beleid. Een aparte configuratie uitsluitend voor afbeeldingen is zelden nodig in bedrijfsomgevingen.

Vereisten

Voor de succesvolle implementatie van deze controle zijn verschillende technische en organisatorische vereisten noodzakelijk. Allereerst moet de Microsoft Edge browser geïnstalleerd en geconfigureerd zijn binnen de organisatie. Dit betekent dat alle werkstations waarop medewerkers toegang hebben tot internet, moeten beschikken over een ondersteunde versie van Microsoft Edge die centraal kan worden beheerd via Microsoft Intune of Group Policy Objects. De browser moet bovendien deel uitmaken van een gecentraliseerd beheersysteem, zodat beleidsinstellingen consistent kunnen worden toegepast binnen de gehele organisatie. Ten tweede vereist deze controle een correcte configuratie van het ClearBrowsingDataOnExit-beleid. Dit bovenliggende beleid bepaalt welke browsercachegegevens worden gewist wanneer een gebruiker de browser afsluit. Voor deze specifieke controle moet het beleid zodanig zijn ingesteld dat afbeeldingen niet worden gewist, terwijl andere cachegegevens eventueel wel kunnen worden verwijderd voor privacy- of beveiligingsdoeleinden. Het is belangrijk om te begrijpen dat deze controle meestal niet als aparte instelling nodig is, maar onderdeel uitmaakt van de bredere ClearBrowsingDataOnExit-configuratie. Organisaties moeten daarom eerst het bovenliggende beleid evalueren voordat zij een specifieke instelling voor afbeeldingen implementeren. Een derde vereiste betreft voldoende schijfruimte voor cacheopslag. Gecachte afbeeldingen kunnen aanzienlijke hoeveelheden schijfruimte in beslag nemen, vooral in omgevingen waar medewerkers regelmatig websites bezoeken met veel visuele content. IT-beheerders moeten daarom monitoren of werkstations over voldoende vrije schijfruimte beschikken om browsercache op te slaan zonder dat dit de prestaties van het systeem negatief beïnvloedt. Dit is met name relevant voor organisaties die kiezen voor uitgebreide cacheretentieperiodes voor forensische doeleinden. Ten vierde moeten er forensische procedures aanwezig zijn die gebruikmaken van browsercache. Het behouden van gecachte afbeeldingen heeft alleen waarde wanneer de organisatie ook daadwerkelijk beschikt over processen en tools om deze cachegegevens te analyseren tijdens beveiligingsincidenten of complianceonderzoeken. Dit omvat training van security analisten in het gebruik van forensische tools, documentatie van procedures voor het veilig extraheren van cachegegevens zonder deze te wijzigen, en het hebben van geschikte software voor het analyseren van browsercachebestanden. Zonder deze procedures heeft het behouden van cachegegevens weinig praktische waarde voor de organisatie.

Implementatie

Gebruik PowerShell-script clear-cached-images-on-exit-disabled.ps1 (functie Invoke-Monitoring) – Verificatie van cache configuratie.

De implementatie van deze controle begint met een grondige evaluatie van de huidige ClearBrowsingDataOnExit-beleidsconfiguratie. In de meeste gevallen is een aparte instelling voor afbeeldingen niet nodig, omdat het bovenliggende beleid al de benodigde functionaliteit biedt. IT-beheerders moeten daarom eerst controleren of het ClearBrowsingDataOnExit-beleid correct is geconfigureerd om cachegegevens te behouden, waarbij specifiek wordt gekeken naar de instellingen voor afbeeldingen. Voor organisaties die Microsoft Intune gebruiken voor beheer, kan de configuratie worden toegepast via een Configuration Profile. Het profiel moet worden gekoppeld aan de juiste gebruikersgroepen of apparaten, waarbij rekening wordt gehouden met eventuele uitzonderingen voor specifieke afdelingen of gebruikers met bijzondere privacyvereisten. De implementatie via Intune biedt het voordeel van centrale beheer en automatische synchronisatie, waardoor wijzigingen direct worden doorgevoerd op alle betrokken apparaten. Voor organisaties die Group Policy Objects gebruiken, moet het beleid worden geconfigureerd in de Group Policy Management Console. De instelling bevindt zich onder Computer Configuration of User Configuration, afhankelijk van de gewenste scope. Het is belangrijk om te testen in een testomgeving voordat de configuratie wordt uitgerold naar productie, om te verifiëren dat de instellingen werken zoals verwacht en geen onbedoelde gevolgen hebben voor de gebruikerservaring of beveiliging. Na de implementatie moet worden geverifieerd dat de configuratie correct is toegepast. Dit kan worden gedaan met behulp van het bijbehorende PowerShell-script dat de cacheconfiguratie controleert. Het script verifieert of het ClearBrowsingDataOnExit-beleid correct is ingesteld en of afbeeldingen daadwerkelijk behouden blijven tussen browsersessies. Daarnaast moeten IT-beheerders handmatig testen door een browser te openen, enkele websites met afbeeldingen te bezoeken, de browser te sluiten en vervolgens te controleren of de gecachte afbeeldingen nog steeds aanwezig zijn in de cache. Het is belangrijk om te documenteren welke apparaten en gebruikersgroepen zijn betrokken bij deze configuratie, en om eventuele uitzonderingen of speciale overwegingen vast te leggen. Dit documentatieproces ondersteunt toekomstige audits en complianceverificaties, en helpt bij het oplossen van problemen wanneer deze zich voordoen.

Monitoring

Gebruik PowerShell-script clear-cached-images-on-exit-disabled.ps1 (functie Invoke-Monitoring) – Controleren.

Effectieve monitoring van deze controle vereist een gestructureerde aanpak die verschillende aspecten van de cacheconfiguratie en -opslag omvat. Allereerst moeten IT-beheerders regelmatig verifiëren dat de ClearBrowsingDataOnExit-instellingen correct zijn geconfigureerd en actief blijven op alle betrokken apparaten. Dit kan worden geautomatiseerd met behulp van het bijbehorende PowerShell-script, dat periodiek kan worden uitgevoerd om de configuratiestatus te controleren. Het script controleert of het beleid correct is toegepast en of er geen onbedoelde wijzigingen zijn aangebracht die de functionaliteit kunnen beïnvloeden. Ten tweede is het belangrijk om regelmatig de beschikbare schijfruimte te controleren op werkstations waar browsercache wordt opgeslagen. Gecachte afbeeldingen kunnen na verloop van tijd aanzienlijke hoeveelheden schijfruimte in beslag nemen, vooral wanneer medewerkers regelmatig websites bezoeken met veel visuele content. IT-beheerders moeten daarom monitoringtools implementeren die waarschuwen wanneer de schijfruimte onder een bepaalde drempelwaarde komt, zodat tijdig actie kan worden ondernomen om ruimte vrij te maken of de cacheretentieperiodes aan te passen. Ten derde moeten organisaties monitoren of de forensische mogelijkheden daadwerkelijk functioneren zoals bedoeld. Dit betekent dat security teams periodiek moeten testen of gecachte afbeeldingen toegankelijk zijn voor forensische analyse, en of de procedures voor het extraheren en analyseren van cachegegevens correct worden uitgevoerd. Deze monitoring kan worden gecombineerd met periodieke security drills of incident response oefeningen, waarbij daadwerkelijk gebruik wordt gemaakt van browsercache voor forensische doeleinden. Daarnaast moeten IT-beheerders alert zijn op eventuele wijzigingen in Microsoft Edge die van invloed kunnen zijn op de cachefunctionaliteit. Microsoft brengt regelmatig updates uit voor Edge, en nieuwe versies kunnen wijzigingen bevatten in de manier waarop cache wordt beheerd. Het is daarom belangrijk om release notes te volgen en te testen of updates de cacheconfiguratie niet negatief beïnvloeden. Wanneer wijzigingen worden gedetecteerd, moeten deze worden geëvalueerd en indien nodig moeten configuraties worden aangepast. Tot slot moet de monitoring worden gedocumenteerd in een logboek of monitoringdashboard, zodat trends kunnen worden geïdentificeerd en problemen proactief kunnen worden aangepakt. Deze documentatie is ook waardevol voor compliance audits, waarbij moet worden aangetoond dat de controle daadwerkelijk wordt gemonitord en onderhouden.

Compliance en Auditing

Deze controle draagt bij aan verschillende compliancevereisten en auditingdoeleinden, met name op het gebied van logging en forensische mogelijkheden. De ISO 27001:2022 norm, specifiek controle A.8.15, vereist dat organisaties beschikken over logging- en monitoringmechanismen die forensische analyse mogelijk maken. Door gecachte afbeeldingen te behouden, kunnen organisaties voldoen aan deze vereiste door bewijsmateriaal beschikbaar te houden voor forensische onderzoeken na beveiligingsincidenten. Voor Nederlandse overheidsorganisaties is deze controle ook relevant in het kader van de Baseline Informatiebeveiliging Overheid (BIO). De BIO vereist dat organisaties beschikken over mechanismen voor het detecteren, analyseren en reageren op beveiligingsincidenten. Gecachte afbeeldingen kunnen waardevol bewijsmateriaal leveren tijdens incident response procedures, vooral wanneer deze betrekking hebben op phishingaanvallen, malware distributie of ongeautoriseerde toegang tot websites. Tijdens compliance audits moeten organisaties kunnen aantonen dat de controle daadwerkelijk is geïmplementeerd en wordt gemonitord. Dit betekent dat er documentatie moet zijn van de configuratie, monitoringresultaten en eventuele incidenten waarbij gebruik is gemaakt van gecachte afbeeldingen voor forensische doeleinden. Auditors zullen waarschijnlijk vragen naar de procedures voor het extraheren en analyseren van cachegegevens, en naar de training die security analisten hebben ontvangen voor het gebruik van deze gegevens. Daarnaast moeten organisaties rekening houden met privacywetgeving, zoals de Algemene Verordening Gegevensbescherming (AVG). Hoewel gecachte afbeeldingen technisch gezien persoonsgegevens kunnen bevatten, is het behouden van deze gegevens voor forensische doeleinden meestal gerechtvaardigd op grond van de legitieme belangen van de organisatie voor beveiliging en fraudepreventie. Het is echter belangrijk om dit te documenteren in een verwerkingsregister en om te zorgen voor passende beveiligingsmaatregelen om ongeautoriseerde toegang tot cachegegevens te voorkomen. Voor organisaties die werken met gevoelige informatie of die onderworpen zijn aan specifieke sectorale regelgeving, kunnen aanvullende compliancevereisten van toepassing zijn. Het is daarom belangrijk om de relevante regelgeving te identificeren en te verifiëren dat de implementatie van deze controle voldoet aan alle toepasselijke vereisten. Dit kan betekenen dat er specifieke retentieperiodes moeten worden vastgesteld voor cachegegevens, of dat er aanvullende beveiligingsmaatregelen nodig zijn voor de opslag en toegang tot deze gegevens.

Remediatie

Gebruik PowerShell-script clear-cached-images-on-exit-disabled.ps1 (functie Invoke-Remediation) – Herstellen.

Wanneer monitoring aangeeft dat de controle niet correct is geconfigureerd of niet meer functioneert zoals bedoeld, moeten IT-beheerders direct actie ondernemen om de situatie te herstellen. Het bijbehorende PowerShell-script biedt geautomatiseerde remediatiefunctionaliteit die de configuratie kan herstellen naar de gewenste staat. Het script controleert eerst de huidige configuratie, identificeert eventuele afwijkingen, en past vervolgens de benodigde wijzigingen toe om de controle weer correct te laten functioneren. Voor organisaties die Microsoft Intune gebruiken, kan remediatie worden uitgevoerd door het Configuration Profile opnieuw te synchroniseren of door een nieuw profiel te maken en toe te wijzen aan de betrokken apparaten. Wanneer een profiel niet correct wordt toegepast, kan dit verschillende oorzaken hebben: het apparaat is mogelijk niet correct geregistreerd in Intune, er zijn conflicterende profielen, of het apparaat heeft de configuratie nog niet gesynchroniseerd. IT-beheerders moeten daarom eerst controleren of het apparaat correct is geregistreerd en of er geen conflicterende configuraties zijn, voordat zij overgaan tot het opnieuw toewijzen van het profiel. Voor organisaties die Group Policy Objects gebruiken, kan remediatie worden uitgevoerd door het beleid opnieuw te forceren via de Group Policy Management Console. Dit kan worden gedaan door een gpupdate /force opdracht uit te voeren op de betrokken apparaten, of door het beleid opnieuw te koppelen aan de juiste organisatie-eenheden. Wanneer een beleid niet correct wordt toegepast, kan dit te wijten zijn aan replicatieproblemen tussen domain controllers, conflicterende beleidsregels met een hogere prioriteit, of problemen met de Group Policy client service op het apparaat. Na remediatie moet altijd worden geverifieerd dat de configuratie correct is hersteld. Dit kan worden gedaan door het monitoring script opnieuw uit te voeren, of door handmatig te controleren of de cacheconfiguratie overeenkomt met de gewenste instellingen. Daarnaast moeten IT-beheerders controleren of de remediatie geen onbedoelde gevolgen heeft gehad voor andere configuraties of voor de gebruikerservaring. Wanneer remediatie regelmatig nodig is, kan dit wijzen op een onderliggend probleem met de configuratiemanagement of op wijzigingen die door gebruikers of andere processen worden aangebracht. Het is belangrijk om alle remediatieacties te documenteren, inclusief de oorzaak van het probleem, de genomen stappen om het probleem op te lossen, en de verificatie dat de remediatie succesvol was. Deze documentatie helpt bij het identificeren van patronen en het voorkomen van toekomstige problemen. Daarnaast is deze documentatie waardevol voor compliance audits, waarbij moet worden aangetoond dat de organisatie proactief problemen aanpakt en de controle in goede staat houdt.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Edge Privacy: Clear Cached Images On Exit Disabled .DESCRIPTION CIS - Clear cached images on exit configuration. .NOTES Filename: clear-cached-images-on-exit-disabled.ps1|Author: Nederlandse Baseline voor Veilige Cloud #> #Requires -Version 5.1 #Requires -RunAsAdministrator [CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert) $ErrorActionPreference = 'Stop' function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) } function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "clear-cached-images-on-exit-disabled.ps1"; PolicyName = "Clear Cache On Exit"; IsCompliant = $true; Details = @() }; $r.Details += "Cache beheer via ClearBrowsingDataOnExit"; return $r } function Invoke-Remediation { Write-Host "Cache clear via browsing data policy" -ForegroundColor Green } function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`nCache Clear: COMPLIANT" -ForegroundColor Green; return $r } function Invoke-Revert { Write-Host "No action" } try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit 0 }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit 0 } }catch { Write-Error $_; exit 1 }

Risico zonder implementatie

Risico zonder implementatie
Low: Laag risico - verlies van forensische mogelijkheden voor op afbeeldingen gebaseerd bewijsmateriaal. Prestatie-impact door cachewissen. Wordt doorgaans beheerd via het bovenliggende ClearBrowsingDataOnExit-beleid in de meeste gevallen.

Management Samenvatting

Behoud gecachte afbeeldingen voor forensisch onderzoek en prestaties. Wordt doorgaans beheerd via het bovenliggende ClearBrowsingDataOnExit-beleid. Aparte configuratie zelden nodig. Implementatie: 15-30 minuten.