BIO 14.02.01 ISO A.14.2.9

Crypto Wallet Feature Uitgeschakeld

📅 2025-10-30
⏱️ 4 minuten lezen
🟢 Should-Have

💼 Management Samenvatting

De crypto wallet functionaliteit in Microsoft Edge moet worden uitgeschakeld in enterprise omgevingen om privacy-, beveiligings- en compliance risico's te minimaliseren.

Aanbeveling
CONSIDER
Risico zonder
Low
Risk Score
3/10
Implementatie
1u (tech: 0.5u)
Van toepassing op:
Edge

De crypto wallet functionaliteit in Microsoft Edge introduceert meerdere significante risico's voor enterprise omgevingen die het gebruik van deze feature in zakelijke context onwenselijk maken. Ten eerste bestaat er een privacy risico, waarbij cryptocurrency transacties kunnen worden gevolgd en gemonitord door externe partijen, wat kan leiden tot onbedoelde blootstelling van financiële activiteiten van medewerkers. Ten tweede vormt de functionaliteit een beveiligingsrisico, aangezien wallet sleutels kunnen worden gestolen via browser exploits of malware aanvallen, wat kan resulteren in financieel verlies of verdere compromittering van het systeem. Ten derde kan het gebruik van cryptocurrency conflicteren met financiële regelgeving en bedrijfsbeleid, met name in gereguleerde sectoren zoals de financiële dienstverlening, waar transparantie over financiële transacties vereist is. Ten vierde bestaat er een productiviteitsrisico, waarbij medewerkers mogelijk tijd besteden aan crypto trading tijdens werktijd, wat de productiviteit negatief beïnvloedt. Ten vijfde kan associatie met cryptocurrency in gereguleerde sectoren een reputatierisico vormen voor de organisatie. De functionaliteit is primair ontwikkeld voor consumentengebruik en heeft geen legitieme enterprise use case. Het uitschakelen van deze functionaliteit voorkomt deze risico's en vermindert het aanvalsoppervlak van de browser aanzienlijk.

PowerShell Modules Vereist
Primary API: Intune/GPO
Connection: N/A
Required Modules:

Implementatie

Deze beveiligingscontrole configureert de Edge-beleidsregel CryptoWalletEnabled en stelt deze in op de waarde 0, wat overeenkomt met de status uitgeschakeld. De configuratie wordt uitgevoerd via de registry-instelling HKLM:\SOFTWARE\Policies\Microsoft\Edge\CryptoWalletEnabled. Wanneer deze instelling actief is, wordt de crypto wallet functionaliteit volledig uitgeschakeld op alle apparaten waarop de policy van toepassing is, en zijn gebruikers niet in staat om cryptocurrency wallets te beheren of te gebruiken via Microsoft Edge. Dit voorkomt effectief dat de browser wordt gebruikt voor cryptocurrency transacties op bedrijfssystemen en elimineert de daaraan gerelateerde beveiligings- en compliance risico's.

Vereisten

Voor het succesvol implementeren van deze beveiligingscontrole zijn verschillende technische en organisatorische vereisten noodzakelijk. Deze vereisten vormen de basis voor een effectieve implementatie en zorgen ervoor dat de crypto wallet functionaliteit daadwerkelijk kan worden uitgeschakeld binnen de enterprise omgeving. De primaire technische vereiste betreft de aanwezigheid van Microsoft Edge browser op alle doelapparaten. Microsoft Edge moet geïnstalleerd zijn in een versie die ondersteuning biedt voor group policy management, wat doorgaans het geval is vanaf versie 100 en hoger. Het is belangrijk om te verifiëren dat alle apparaten binnen de organisatie een ondersteunde versie van Edge gebruiken, aangezien oudere versies mogelijk niet reageren op de CryptoWalletEnabled policy instelling. Het besturingssysteem vormt een tweede kritieke vereiste. Alle doelapparaten moeten draaien op Windows 10 versie 1809 of hoger, Windows 11, of Windows Server 2016 en nieuwer. Deze versies bieden de benodigde ondersteuning voor moderne group policy objecten en Intune policy management, wat essentieel is voor de implementatie van deze controle. Organisaties die nog werken met oudere Windows versies dienen eerst een upgrade traject te plannen voordat deze controle kan worden geïmplementeerd. Administratieve rechten vormen een derde essentiële vereiste. De implementatie van deze controle vereist administrator-rechten op het niveau van de IT-infrastructuur. Dit betekent dat de persoon of het team dat verantwoordelijk is voor de implementatie toegang moet hebben tot de group policy management console (voor GPO-implementatie) of de Microsoft Intune admin center (voor cloud-gebaseerde implementatie). Zonder deze rechten is het niet mogelijk om de registry-instellingen te configureren die nodig zijn om de crypto wallet functionaliteit uit te schakelen. Hoewel niet strikt technisch vereist, wordt het sterk aanbevolen om een corporate policy te ontwikkelen die het gebruik van cryptocurrency binnen de organisatie reguleert. Deze policy dient duidelijk te maken waarom de crypto wallet functionaliteit is uitgeschakeld en welke risico's dit voorkomt. Een dergelijke policy biedt niet alleen juridische bescherming, maar helpt ook bij het communiceren van de maatregel naar gebruikers en management. Bovendien ondersteunt een formele policy de compliance met verschillende regelgevingskaders, waaronder de BIO-normen en ISO 27001, die expliciet vereisen dat organisaties beleid documenteren voor beveiligingsmaatregelen.

Implementatie

De implementatie van het uitschakelen van de crypto wallet functionaliteit in Microsoft Edge kan op verschillende manieren worden uitgevoerd, afhankelijk van de infrastructuur en beheermethode die binnen de organisatie wordt gebruikt. Elke methode heeft specifieke voordelen en vereist verschillende technische vaardigheden van het implementatieteam. De meest geautomatiseerde en aanbevolen methode is het gebruik van het beschikbare PowerShell script. Dit script, genaamd cryptowallet-disabled.ps1, biedt een gestandaardiseerde en reproduceerbare manier om de crypto wallet functionaliteit uit te schakelen. Het script maakt gebruik van de Invoke-Remediation functie, die automatisch de benodigde registry-instellingen configureert op alle doelapparaten. Deze aanpak is bijzonder geschikt voor organisaties die al werken met PowerShell-gebaseerde deployment tools of die behoefte hebben aan geautomatiseerde implementatieprocessen. Het script verifieert bovendien automatisch of de instelling correct is toegepast en genereert rapportage over de implementatiestatus, wat waardevol is voor compliance en auditing doeleinden. Voor organisaties die gebruik maken van Microsoft Intune voor device management, biedt de Intune admin center een gebruiksvriendelijke interface voor het configureren van deze controle. De implementatie begint met het openen van het Microsoft Intune admin center, waar beheerders toegang hebben tot alle device management functionaliteiten. Vanuit het admin center navigeert men naar de sectie Devices, waar vervolgens Configuration profiles kan worden geselecteerd. Binnen deze sectie kan een nieuw profiel worden aangemaakt door te klikken op de optie om een nieuw profiel te creëren. Bij het aanmaken van het nieuwe profiel zijn verschillende configuratieopties beschikbaar. Het platform dient te worden ingesteld op Windows 10 en later, wat ervoor zorgt dat het profiel van toepassing is op alle moderne Windows apparaten binnen de organisatie. Het profile type moet worden ingesteld op Templates, waarna Administrative Templates kan worden geselecteerd. Deze template categorie bevat alle beschikbare group policy instellingen die kunnen worden geconfigureerd via Intune, inclusief de Microsoft Edge specifieke policies. Binnen de Administrative Templates moet worden gezocht naar de Microsoft Edge categorie, waar de CryptoWalletEnabled policy kan worden gevonden. Deze policy dient te worden ingesteld op de waarde 0, wat overeenkomt met de status Disabled. Het is belangrijk om te verifiëren dat de juiste policy wordt geselecteerd, aangezien Edge meerdere cryptocurrency-gerelateerde policies kan bevatten. Na het configureren van de policy instelling, moet het profiel worden opgeslagen en toegewezen aan de juiste device groepen of user groepen binnen de organisatie. Een kritieke aandachtspunt bij de implementatie betreft de beschikbaarheid van de crypto wallet feature in verschillende Edge versies. Deze functionaliteit is relatief nieuw geïntroduceerd in Microsoft Edge en is pas beschikbaar vanaf versie 100 en hoger. Organisaties die nog werken met oudere Edge versies zullen merken dat de CryptoWalletEnabled policy mogelijk niet beschikbaar is in hun versie. Het is daarom essentieel om te verifiëren dat alle apparaten binnen de organisatie een Edge versie hebben die minimaal versie 100 is, voordat de implementatie wordt gestart. Indien dit niet het geval is, dient eerst een Edge update traject te worden uitgevoerd voordat deze controle kan worden geïmplementeerd. Na de implementatie is het belangrijk om te verifiëren dat de instelling daadwerkelijk is toegepast op alle doelapparaten. Dit kan worden gedaan door het uitvoeren van het monitoring script of door handmatige verificatie van de registry-instelling op een steekproef van apparaten. De registry locatie die moet worden gecontroleerd is HKLM:\SOFTWARE\Policies\Microsoft\Edge\CryptoWalletEnabled, waar de waarde 0 moet staan om te bevestigen dat de functionaliteit succesvol is uitgeschakeld.

Gebruik PowerShell-script cryptowallet-disabled.ps1 (functie Invoke-Remediation) – PowerShell script voor automatische implementatie van crypto wallet uitschakeling via registry.

Monitoring

Effectieve monitoring van de crypto wallet uitschakeling is essentieel om te verzekeren dat de beveiligingscontrole daadwerkelijk functioneert zoals bedoeld en om eventuele problemen of configuratiefouten tijdig te detecteren. Monitoring moet worden gezien als een continu proces dat regelmatig wordt uitgevoerd, niet als een eenmalige verificatie na implementatie. Het beschikbare PowerShell monitoring script, cryptowallet-disabled.ps1 met de functie Invoke-Monitoring, biedt een geautomatiseerde oplossing voor het continu monitoren van de status van de crypto wallet functionaliteit. Dit script controleert systematisch alle apparaten binnen de organisatie om te verifiëren dat de CryptoWalletEnabled registry-instelling correct is geconfigureerd op de waarde 0. Het script genereert gedetailleerde rapportages die aangeven welke apparaten compliant zijn, welke apparaten mogelijk afwijkingen vertonen, en welke apparaten mogelijk niet kunnen worden bereikt voor verificatie. Deze rapportages zijn waardevol voor zowel operationele doeleinden als voor compliance en auditing. Naast het gebruik van geautomatiseerde monitoring tools, is het belangrijk om regelmatig handmatige verificaties uit te voeren om te bevestigen dat de CryptoWalletEnabled instelling daadwerkelijk is geconfigureerd op de waarde 0. Deze verificatie kan worden uitgevoerd door het controleren van de registry locatie HKLM:\SOFTWARE\Policies\Microsoft\Edge\CryptoWalletEnabled op een representatieve steekproef van apparaten. Het is aanbevolen om deze handmatige verificatie minimaal maandelijks uit te voeren, of vaker indien er wijzigingen zijn aangebracht aan de device management configuratie of indien er signalen zijn dat de instelling mogelijk niet correct wordt toegepast. Monitoring van Edge event logs vormt een tweede belangrijke component van het monitoring proces. Microsoft Edge genereert event log entries wanneer policies worden toegepast of wanneer er problemen optreden met policy configuratie. Het monitoren van deze logs kan helpen bij het identificeren van policy-gerelateerde waarschuwingen of fouten die kunnen duiden op problemen met de implementatie. Specifiek moet worden gelet op event log entries die betrekking hebben op policy parsing errors, policy application failures, of waarschuwingen over ontbrekende of ongeldige policy instellingen. Deze informatie kan waardevol zijn voor het oplossen van problemen en het verzekeren dat de controle correct functioneert op alle apparaten. Gebruikersfeedback verzamelen en analyseren vormt een derde aspect van effectieve monitoring, hoewel de verwachting is dat de impact van het uitschakelen van de crypto wallet functionaliteit minimaal zal zijn voor de meeste gebruikers. De meeste enterprise gebruikers maken geen gebruik van cryptocurrency wallets via hun werkbrowser, waardoor het uitschakelen van deze functionaliteit doorgaans onopgemerkt blijft. Echter, het verzamelen van gebruikersfeedback kan helpen bij het identificeren van edge cases of onverwachte problemen. Indien gebruikers melding maken van problemen of vragen hebben over de crypto wallet functionaliteit, dient dit te worden onderzocht om te verzekeren dat de implementatie correct is en dat er geen onbedoelde neveneffecten zijn. Het is belangrijk om een gestructureerde aanpak te hanteren voor het monitoren van deze controle. Dit betekent dat monitoring activiteiten moeten worden gepland en gedocumenteerd, met duidelijke verantwoordelijkheden voor het uitvoeren van monitoring taken en het analyseren van de resultaten. Monitoring resultaten dienen te worden gedocumenteerd en bewaard voor compliance en auditing doeleinden, met name voor organisaties die moeten voldoen aan BIO-normen of ISO 27001 certificering, waar continue monitoring en verificatie van beveiligingscontroles expliciet worden vereist.

Gebruik PowerShell-script cryptowallet-disabled.ps1 (functie Invoke-Monitoring) – PowerShell script voor continue monitoring van crypto wallet status.

Compliance en Auditing

Het uitschakelen van de crypto wallet functionaliteit in Microsoft Edge draagt bij aan de naleving van verschillende belangrijke beveiligings- en compliance frameworks die relevant zijn voor Nederlandse overheidsorganisaties en enterprise omgevingen. Deze controle ondersteunt specifieke vereisten binnen deze frameworks en helpt organisaties om te voldoen aan hun verplichtingen op het gebied van informatiebeveiliging en regelgeving. Binnen het BIO-framework (Baseline Informatiebeveiliging Overheid) is deze controle direct gerelateerd aan controle 14.02, die betrekking heeft op beveiligingseisen voor informatiesystemen. Specifiek richt deze controle zich op het uitschakelen van onnodige features en functionaliteiten die niet essentieel zijn voor de bedrijfsvoering. De crypto wallet functionaliteit in Microsoft Edge valt duidelijk binnen deze categorie, aangezien deze primair is bedoeld voor consumentengebruik en geen legitiem zakelijk gebruik heeft. Door deze functionaliteit uit te schakelen, vermindert de organisatie het aanvalsoppervlak van de browser en minimaliseert het risico op beveiligingsincidenten die kunnen voortvloeien uit het gebruik van cryptocurrency wallets op bedrijfsapparaten. Dit draagt direct bij aan het voldoen aan de BIO-normen voor het minimaliseren van onnodige risico's en het implementeren van defense-in-depth strategieën. De ISO 27001 standaard, die wereldwijd wordt erkend als de leidende norm voor informatiebeveiligingsmanagement, bevat vergelijkbare vereisten. Specifiek richt controle A.14.2.9 zich op systeemacceptatietesten en vereist dat organisaties niet-noodzakelijke functionaliteit minimaliseren tijdens de acceptatie en configuratie van informatiesystemen. Het uitschakelen van de crypto wallet functionaliteit is een concrete implementatie van dit principe, waarbij organisaties proactief onnodige features uitschakelen om het beveiligingsprofiel van hun systemen te verbeteren. Voor organisaties die ISO 27001 gecertificeerd zijn of streven naar certificering, is het documenteren van deze controle en de onderliggende rationale essentieel voor het aantonen van compliance met deze specifieke controle. Voor organisaties in de financiële sector zijn aanvullende compliance overwegingen van toepassing. Anti-money laundering (AML) en Know Your Customer (KYC) regelgeving vereisen dat financiële instellingen transparantie hebben over alle financiële transacties die plaatsvinden binnen hun organisatie. Het gebruik van cryptocurrency wallets via bedrijfsapparaten kan deze transparantie ondermijnen, aangezien cryptocurrency transacties moeilijker te traceren zijn dan traditionele financiële transacties. Door het uitschakelen van de crypto wallet functionaliteit, voorkomen financiële instellingen dat medewerkers cryptocurrency transacties kunnen uitvoeren via bedrijfsapparaten, wat helpt bij het voldoen aan AML en KYC vereisten. Bovendien helpt deze maatregel bij het voorkomen van potentiële conflicten met corporate governance richtlijnen en intern nalevingsbeleid die het gebruik van cryptocurrency op bedrijfsapparaten kunnen verbieden. Naast deze specifieke framework vereisten, draagt deze controle ook bij aan algemene beveiligingsprincipes zoals het principe van least privilege en defense-in-depth. Door onnodige functionaliteit uit te schakelen, vermindert de organisatie het aantal potentiële aanvalsvectoren en maakt het de beveiligingspositie van de organisatie robuuster. Dit is met name relevant voor organisaties die werken met gevoelige informatie of die onderhevig zijn aan strenge regelgeving, waar elke mogelijke beveiligingsrisico moet worden gemitigeerd. Voor auditing doeleinden is het belangrijk om te documenteren dat deze controle is geïmplementeerd en dat regelmatige verificatie plaatsvindt om te verzekeren dat de controle daadwerkelijk functioneert. Dit omvat het bijhouden van implementatiedata, het documenteren van de configuratie-instellingen, en het bewaren van monitoring rapportages die aantonen dat de controle continu wordt gehandhaafd. Deze documentatie is essentieel voor zowel interne als externe audits en helpt organisaties om te demonstreren dat zij proactief werken aan het verbeteren van hun beveiligingspositie en het voldoen aan relevante compliance vereisten.

Remediatie

In het geval dat de crypto wallet functionaliteit onbedoeld is ingeschakeld of dat de controle niet correct is geïmplementeerd, is het belangrijk om een gestructureerd remediatieproces te hebben dat snel kan worden uitgevoerd om de beveiligingscontrole te herstellen. Remediatie moet worden gezien als een kritieke beveiligingsactiviteit die prioriteit heeft, aangezien een actieve crypto wallet functionaliteit onnodige beveiligingsrisico's introduceert. Het beschikbare PowerShell script, cryptowallet-disabled.ps1 met de functie Invoke-Remediation, biedt een geautomatiseerde oplossing voor het herstellen van de crypto wallet uitschakeling. Dit script controleert eerst de huidige status van de CryptoWalletEnabled registry-instelling en past vervolgens automatisch de benodigde correcties toe om te verzekeren dat de functionaliteit daadwerkelijk is uitgeschakeld. Het script is ontworpen om idempotent te zijn, wat betekent dat het veilig meerdere keren kan worden uitgevoerd zonder ongewenste neveneffecten. Dit maakt het mogelijk om het script regelmatig uit te voeren als onderdeel van een geautomatiseerd remediatieproces, waarbij eventuele configuratiedrift automatisch wordt gecorrigeerd. Voor handmatige remediatie kan de registry-instelling direct worden aangepast via de registry editor of via group policy. De registry locatie die moet worden gecontroleerd en indien nodig aangepast is HKLM:\SOFTWARE\Policies\Microsoft\Edge\CryptoWalletEnabled, waar de waarde moet worden ingesteld op 0 om de functionaliteit uit te schakelen. Het is belangrijk om te verifiëren dat de wijziging daadwerkelijk is toegepast door de registry-instelling opnieuw te controleren na het aanbrengen van de wijziging. Bovendien kan het nodig zijn om Microsoft Edge opnieuw te starten of de gebruiker uit te loggen en opnieuw in te loggen om te verzekeren dat de wijziging wordt toegepast. In gevallen waar de crypto wallet functionaliteit is ingeschakeld via Intune policy configuratie, dient de remediatie te worden uitgevoerd door het corrigeren van de policy instelling binnen het Intune admin center. Dit omvat het navigeren naar het betreffende configuration profile, het verifiëren van de CryptoWalletEnabled policy instelling, en het corrigeren van de instelling indien deze niet correct is geconfigureerd. Na het corrigeren van de policy, moet worden gewacht tot de policy opnieuw wordt toegepast op de doelapparaten, wat doorgaans binnen enkele uren gebeurt, afhankelijk van de Intune sync cyclus. Na het uitvoeren van remediatie activiteiten is het essentieel om te verifiëren dat de remediatie succesvol is geweest. Dit kan worden gedaan door het uitvoeren van het monitoring script of door handmatige verificatie van de registry-instelling op de betreffende apparaten. Het is aanbevolen om een follow-up verificatie uit te voeren binnen 24 uur na de remediatie om te verzekeren dat de wijziging persistent is en niet wordt overschreven door andere configuratieprocessen. Bovendien moet worden onderzocht waarom de controle oorspronkelijk niet correct was geïmplementeerd, om te voorkomen dat hetzelfde probleem opnieuw optreedt in de toekomst.

Gebruik PowerShell-script cryptowallet-disabled.ps1 (functie Invoke-Remediation) – PowerShell script voor automatische remediatie van crypto wallet uitschakeling.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Edge Privacy: Crypto Wallet Disabled .DESCRIPTION CIS - Crypto wallet feature moet disabled in enterprise. .NOTES Filename: cryptowallet-disabled.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Edge\CryptoWalletEnabled|Expected: 0 #> #Requires -Version 5.1 #Requires -RunAsAdministrator [CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert) $ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge"; $RegName = "CryptoWalletEnabled"; $ExpectedValue = 0 function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) } function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "cryptowallet-disabled.ps1"; PolicyName = "Crypto Wallet Disabled"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; if (-not(Test-Path $RegPath)) { $r.IsCompliant = $true; $r.Details += "Default disabled"; return $r }; try { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop; $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Crypto wallet disabled" }else { $r.Details += "Crypto wallet enabled" } }catch { $r.IsCompliant = $true; $r.Details += "Default" }; return $r } function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Crypto wallet disabled" -ForegroundColor Green } function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r } function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue } try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }

Risico zonder implementatie

Risico zonder implementatie
Low: Laag tot medium risico afhankelijk van regelgevingsomgeving. Voor financiële sector en gereguleerde industries is uitschakelen sterk aanbevolen vanwege compliance risico's rond cryptocurrency. Voor andere sectoren is het risico lager maar uitschakelen is nog steeds beste praktijk voor enterprise omgevingen.

Management Samenvatting

Schakel crypto wallet feature uit in Microsoft Edge voor enterprise omgevingen. Voorkomt cryptocurrency-gerelateerde security, privacy en compliance risico's. Geen impact op bedrijfsprocessen. Implementatie: 30-60 minuten. Vooral relevant voor financiële sector.