ISO A.8.15

Browser History Opslaan Blijft Ingeschakeld

📅 2025-10-30
⏱️ 5 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Zorg ervoor dat het opslaan van browsergeschiedenis niet wordt uitgeschakeld, zodat audittrails behouden blijven voor naleving en forensische doeleinden.

Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
1.5u (tech: 0.5u)
Van toepassing op:
Edge

De beleidsinstelling SavingBrowserHistoryDisabled op waarde 0 zorgt ervoor dat Microsoft Edge browsergeschiedenis blijft opslaan. Dit is kritiek voor organisaties om verschillende redenen. Ten eerste zijn forensische mogelijkheden essentieel: bij beveiligingsincidenten is volledige browsergeschiedenis onmisbaar voor het reconstrueren van de tijdlijn van gebeurtenissen. Zonder deze geschiedenis kunnen beveiligingsteams niet achterhalen welke websites zijn bezocht, welke bestanden zijn gedownload of welke acties zijn uitgevoerd tijdens een incident. Ten tweede vereisen regelgevende kaders zoals de AVG, BIO en ISO 27001 audittrails van gebruikersactiviteiten op het web. Deze audittrails zijn nodig om te kunnen aantonen dat organisaties voldoen aan hun verantwoordelijkheden voor gegevensbescherming en informatiebeveiliging. Ten derde is incidentrespons afhankelijk van browsergeschiedenis: zonder geschiedenis kunnen phishingklikken, downloads van malware en gegevensexfiltratie niet worden getraceerd. Dit maakt het onmogelijk om de omvang van een incident te bepalen en passende maatregelen te nemen. Ten vierde vereist handhaving van acceptabel gebruikbeleid traceerbare gebruikersactiviteiten. Organisaties moeten kunnen aantonen dat medewerkers zich houden aan het beleid en kunnen overtredingen documenteren. Het uitschakelen van het opslaan van geschiedenis zou deze forensische mogelijkheden elimineren en nalevingsschendingen creëren. Deze beleidsinstelling zorgt ervoor dat het opslaan van geschiedenis ingeschakeld blijft.

PowerShell Modules Vereist
Primary API: Intune/GPO
Connection: N/A
Required Modules:

Implementatie

Deze controle verifieert dat de beleidsinstelling SavingBrowserHistoryDisabled op waarde 0 staat of afwezig is. Wanneer de beleidsinstelling afwezig is, is de standaardinstelling dat geschiedenis wordt opgeslagen. Browsergeschiedenis wordt opgeslagen voor auditdoeleinden en forensisch onderzoek. Deze controle werkt complementair met de beleidsinstelling AllowDeletingBrowserHistory op waarde 0, die voorkomt dat gebruikers de geschiedenis kunnen verwijderen. Samen zorgen deze beleidsinstellingen voor een complete bescherming van browseractiviteiten voor naleving en forensische doeleinden.

Vereisten

Voor de succesvolle implementatie van browsergeschiedenisbehoud zijn verschillende technische en organisatorische vereisten noodzakelijk. Deze vereisten zorgen ervoor dat de organisatie niet alleen de technische mogelijkheid heeft om geschiedenis op te slaan, maar ook de capaciteit om deze gegevens effectief te beheren, analyseren en gebruiken voor compliance en forensische doeleinden. Het implementeren van browsergeschiedenisbehoud zonder de juiste voorbereiding kan leiden tot onvolledige gegevensverzameling, compliance-problemen en inefficiënte forensische processen. Daarom is het essentieel dat organisaties zorgvuldig alle benodigde componenten identificeren en implementeren voordat zij deze beveiligingscontrole activeren. Een grondige voorbereiding voorkomt dat organisaties achteraf ontdekken dat essentiële infrastructuurcomponenten ontbreken, wat kan resulteren in vertragingen bij de implementatie en mogelijke gaten in de beveiligingsdekking. De primaire technische vereiste is de aanwezigheid van Microsoft Edge browser binnen de organisatie. Microsoft Edge biedt uitgebreide policy-mogelijkheden via Microsoft Intune of Group Policy Objecten (GPO) waarmee het opslaan van browsergeschiedenis kan worden beheerd. Organisaties moeten ervoor zorgen dat alle werkstations en apparaten waarop Edge wordt gebruikt, zijn uitgerust met de nieuwste versie die ondersteuning biedt voor de benodigde policy-instellingen. Oudere versies van Edge kunnen mogelijk niet alle vereiste policy-instellingen ondersteunen, wat kan leiden tot inconsistenties in de implementatie en gaten in de forensische dekking. Het is daarom aanbevolen om een gestandaardiseerde Edge-versie te implementeren binnen de organisatie en regelmatig te controleren of alle apparaten deze versie gebruiken. Daarnaast moeten organisaties ervoor zorgen dat Edge correct is geïnstalleerd en geconfigureerd op alle relevante systemen, inclusief laptops, desktops en eventuele gedeelde werkstations. Het is ook belangrijk om te verifiëren dat alle Edge-installaties regelmatig worden bijgewerkt naar de nieuwste beveiligingspatches, omdat beveiligingslekken in oude versies kunnen worden misbruikt om browsergeschiedenis te omzeilen of te manipuleren. Een tweede kritieke vereiste is het hebben van een gegevensretentiebeleid dat duidelijk definieert hoe lang browsergeschiedenis moet worden bewaard. Dit beleid moet aansluiten bij de compliance-eisen van de organisatie, zoals de Algemene Verordening Gegevensbescherming (AVG) die bepaalt dat persoonsgegevens niet langer mogen worden bewaard dan noodzakelijk, maar ook rekening houdt met forensische en auditvereisten die langere bewaartermijnen kunnen vereisen. Het retentiebeleid moet specifiek zijn over welke soorten browsergeschiedenis worden bewaard, waar deze worden opgeslagen en wie toegang heeft tot deze gegevens. Het beleid moet ook procedures bevatten voor het veilig verwijderen van browsergeschiedenis wanneer de retentieperiode is verstreken, waarbij rekening wordt gehouden met zowel privacy- als forensische vereisten. Organisaties moeten regelmatig het retentiebeleid evalueren en bijwerken om ervoor te zorgen dat het nog steeds voldoet aan de huidige compliance-eisen en organisatorische behoeften. Het beleid moet ook procedures bevatten voor het hanteren van juridische bewaarplichten die langere bewaartermijnen kunnen vereisen, bijvoorbeeld in het kader van lopende rechtszaken of gerechtelijk bevel. In dergelijke gevallen moet het beleid bepalen hoe browsergeschiedenis kan worden bewaard voor juridische doeleinden zonder dat dit leidt tot schending van privacywetgeving. Voldoende opslagcapaciteit is essentieel voor het behoud van browsergeschiedenis. Organisaties moeten berekenen hoeveel opslagruimte nodig is op basis van het aantal gebruikers, de gemiddelde browsergeschiedenis per gebruiker en de gewenste retentieperiode. Browsergeschiedenis kan aanzienlijke hoeveelheden opslagruimte in beslag nemen, vooral wanneer deze gedurende langere perioden wordt bewaard. Een enkele gebruiker kan per dag honderden megabytes aan browsergeschiedenis genereren, afhankelijk van zijn browsegedrag en de soorten websites die worden bezocht. Voor een organisatie met honderden of duizenden gebruikers kan dit snel oplopen tot terabytes aan opslagruimte. Organisaties moeten overwegen om browsergeschiedenis te archiveren naar goedkopere opslagoplossingen voor oudere gegevens, terwijl recente geschiedenis snel toegankelijk blijft voor forensische doeleinden. Het is belangrijk om regelmatig de opslagcapaciteit te monitoren en waarschuwingen te configureren wanneer de beschikbare ruimte onder een bepaalde drempel komt. Organisaties moeten ook overwegen om compressietechnieken toe te passen op oudere browsergeschiedenis om de opslagvereisten te verminderen zonder de forensische waarde te verliezen. Daarnaast moeten organisaties een disaster recovery plan hebben voor browsergeschiedenisopslag, zodat deze gegevens niet verloren gaan bij hardwarestoringen of andere incidenten die de opslag kunnen beïnvloeden. Integratie met Security Information and Event Management (SIEM) systemen of Endpoint Detection and Response (EDR) oplossingen is cruciaal voor gecentraliseerde logging en monitoring van browsertelemetrie. Deze integratie maakt het mogelijk om browsergeschiedenis te correleren met andere beveiligingsgebeurtenissen, waardoor beveiligingsteams een compleet beeld krijgen van gebruikersactiviteiten en potentiële bedreigingen kunnen identificeren. De SIEM-integratie moet realtime of bijna realtime zijn om effectieve incidentdetectie mogelijk te maken. Organisaties moeten ervoor zorgen dat de juiste Windows Event Logs of Edge-specifieke logbestanden worden doorgestuurd naar de SIEM-oplossing en dat de juiste parsing-regels zijn geconfigureerd om browsergeschiedenis correct te interpreteren en te indexeren. Beveiligingsteams moeten worden getraind in het gebruik van deze gegevens voor incidentonderzoek en dreigingsjacht. De SIEM-configuratie moet ook waarschuwingen genereren wanneer verdachte browseractiviteiten worden gedetecteerd, zoals bezoeken aan bekende malafide websites of ongebruikelijke downloadpatronen. Organisaties moeten regelmatig de SIEM-configuratie evalueren en bijwerken om ervoor te zorgen dat deze effectief blijft in het detecteren van nieuwe bedreigingen en aanvalspatronen. Daarnaast moeten organisaties ervoor zorgen dat SIEM-systemen correct zijn geconfigureerd om browsergeschiedenis te indexeren en te doorzoeken, zodat beveiligingsteams snel relevante informatie kunnen vinden tijdens incidentonderzoek. Ten slotte vereist deze controle een acceptabel gebruikbeleid dat duidelijk communiceert aan medewerkers dat hun browseractiviteiten worden gemonitord en opgeslagen. Dit beleid moet transparant zijn over welke gegevens worden verzameld, waarom deze worden verzameld, hoe lang ze worden bewaard en wie toegang heeft tot deze gegevens. Deze transparantie is niet alleen ethisch verantwoord, maar ook vereist onder de AVG en andere privacywetgeving. Het beleid moet medewerkers informeren over hun rechten met betrekking tot de verzamelde gegevens en de procedures voor het indienen van bezwaar of verzoeken tot inzage. Het beleid moet ook duidelijk maken wat de gevolgen zijn van het overtreden van het acceptabel gebruikbeleid en hoe organisaties deze gegevens zullen gebruiken voor handhavingsdoeleinden. Regelmatige training en communicatie over dit beleid zijn essentieel om ervoor te zorgen dat medewerkers begrijpen waarom browsergeschiedenis wordt bewaard en hoe dit bijdraagt aan de beveiliging van de organisatie. Het beleid moet regelmatig worden geëvalueerd en bijgewerkt om ervoor te zorgen dat het nog steeds voldoet aan de huidige privacywetgeving en organisatorische behoeften. Organisaties moeten ook procedures hebben voor het reageren op verzoeken van medewerkers om inzage in hun eigen browsergeschiedenis, wat kan helpen om vertrouwen te bouwen en transparantie te waarborgen.

Implementatie

Gebruik PowerShell-script disable-browser-history-disabled.ps1 (functie Invoke-Monitoring) – Verificatie dat het opslaan van geschiedenis ingeschakeld blijft.

De implementatie van browsergeschiedenisbehoud vereist een systematische aanpak waarbij zowel technische configuratie als organisatorische maatregelen worden toegepast. Het primaire doel is ervoor te zorgen dat de policy-instelling SavingBrowserHistoryDisabled niet is geconfigureerd of expliciet op waarde 0 staat, zodat de standaardinstelling van Microsoft Edge actief blijft waarbij browsergeschiedenis automatisch wordt opgeslagen. Deze standaardinstelling vormt de basis voor alle forensische en compliance-gerelateerde functies die afhankelijk zijn van complete browsergeschiedenis. Een goed geplande implementatie voorkomt configuratiefouten, zorgt voor consistente toepassing op alle systemen en stelt organisaties in staat om snel te profiteren van de beveiligingsvoordelen van browsergeschiedenisbehoud. De eerste stap in de implementatie is het verifiëren van de huidige registry-instelling op elk werkstation binnen de organisatie. De registry-sleutel HKLM:\SOFTWARE\Policies\Microsoft\Edge\SavingBrowserHistoryDisabled moet ofwel afwezig zijn, ofwel expliciet op waarde 0 staan. Wanneer de sleutel afwezig is, gebruikt Edge de standaardinstelling waarbij geschiedenis wordt opgeslagen. Het is echter aanbevolen om de policy expliciet in te stellen op 0 via Intune of Group Policy Objecten (GPO) om te voorkomen dat toekomstige wijzigingen de instelling kunnen beïnvloeden. Deze expliciete configuratie biedt extra zekerheid en maakt het gemakkelijker om de compliance-status te verifiëren tijdens audits. Organisaties kunnen deze verificatie automatiseren met behulp van het bijbehorende PowerShell-script dat regelmatig de registry-waarde controleert en waarschuwingen genereert wanneer de policy onjuist is geconfigureerd. Het is belangrijk om deze verificatie uit te voeren voordat de implementatie begint, zodat organisaties een baseline kunnen vaststellen en eventuele bestaande configuratieproblemen kunnen identificeren en oplossen. Voor organisaties die Microsoft Intune gebruiken voor apparaatbeheer, kan de policy worden geconfigureerd via de Endpoint Manager admin center. Navigeer naar Devices > Configuration profiles en maak een nieuw profiel voor Windows 10 en later platform met het profieltype Administrative Templates. Zoek naar de policy 'SavingBrowserHistoryDisabled' en stel deze in op 'Disabled' of configureer de waarde expliciet op 0. Het is belangrijk om dit profiel toe te wijzen aan alle apparaatgroepen waar Microsoft Edge wordt gebruikt. Organisaties moeten ervoor zorgen dat het profiel correct is geconfigureerd en getest voordat het wordt uitgerold naar productie-omgevingen. Het is aanbevolen om de implementatie gefaseerd uit te voeren, beginnend met een kleine testgroep om te verifiëren dat de configuratie correct werkt en geen onverwachte problemen veroorzaakt. Na succesvolle verificatie kan het profiel worden uitgerold naar de rest van de organisatie. Voor organisaties die on-premises Group Policy gebruiken, kan dezelfde instelling worden geconfigureerd via de Group Policy Management Console door te navigeren naar Computer Configuration > Administrative Templates > Microsoft Edge en de policy 'SavingBrowserHistoryDisabled' te configureren. Na configuratie moet de policy worden toegepast op alle relevante organisatorische eenheden binnen Active Directory. Het is belangrijk om te verifiëren dat de policy correct wordt toegepast door de Group Policy-resultaten te controleren op representatieve werkstations. Een kritiek aspect van de implementatie is de combinatie met aanvullende beveiligingsmaatregelen. De policy SavingBrowserHistoryDisabled moet altijd worden gecombineerd met de policy AllowDeletingBrowserHistory die op waarde 0 staat, zodat gebruikers niet handmatig de opgeslagen geschiedenis kunnen verwijderen. Deze combinatie zorgt voor complete bescherming van browseractiviteiten: niet alleen wordt geschiedenis opgeslagen, maar ook wordt voorkomen dat gebruikers deze kunnen wissen. Zonder deze aanvullende maatregel zou de hele implementatie ineffectief zijn, omdat gebruikers de geschiedenis alsnog handmatig kunnen verwijderen, waardoor de audittrail incompleet wordt. Door beide policies te implementeren via hetzelfde Intune-profiel of dezelfde GPO, zorgt de organisatie voor consistente configuratie op alle werkstations. Organisaties moeten ook overwegen om aanvullende Edge-beveiligingsinstellingen te implementeren, zoals het blokkeren van privé-browsingmodi of het uitschakelen van extensies die geschiedenis kunnen wissen, om de effectiviteit van browsergeschiedenisbehoud verder te vergroten. Naast de technische configuratie moet een gegevensretentiebeleid worden geïmplementeerd dat duidelijk definieert hoe lang browsergeschiedenis moet worden bewaard. Dit beleid moet balanceren tussen compliance-eisen, zoals de AVG die bepaalt dat persoonsgegevens niet langer mogen worden bewaard dan noodzakelijk, en forensische en auditvereisten die langere bewaartermijnen kunnen vereisen. Het retentiebeleid moet specifiek zijn over welke soorten browsergeschiedenis worden bewaard, inclusief bezochte websites, downloadgeschiedenis, zoekopdrachten en formuliergegevens. Daarnaast moet het beleid bepalen waar deze gegevens worden opgeslagen, wie toegang heeft tot deze gegevens en onder welke omstandigheden deze gegevens kunnen worden geraadpleegd. Organisaties moeten ook overwegen om browsergeschiedenis te archiveren naar goedkopere opslagoplossingen voor oudere gegevens, terwijl recente geschiedenis snel toegankelijk blijft voor forensische doeleinden. Het retentiebeleid moet worden geïmplementeerd met behulp van geautomatiseerde processen die ervoor zorgen dat browsergeschiedenis automatisch wordt gearchiveerd of verwijderd wanneer de retentieperiode is verstreken, waarbij rekening wordt gehouden met eventuele juridische bewaarplichten. Integratie met Security Information and Event Management (SIEM) systemen of Endpoint Detection and Response (EDR) oplossingen is essentieel voor gecentraliseerde logging en monitoring van browsertelemetrie. Deze integratie maakt het mogelijk om browsergeschiedenis te correleren met andere beveiligingsgebeurtenissen, waardoor beveiligingsteams een compleet beeld krijgen van gebruikersactiviteiten en potentiële bedreigingen kunnen identificeren. De SIEM-integratie moet realtime of bijna realtime zijn om effectieve incidentdetectie mogelijk te maken. Organisaties moeten ervoor zorgen dat de juiste Windows Event Logs of Edge-specifieke logbestanden worden doorgestuurd naar de SIEM-oplossing en dat de juiste parsing-regels zijn geconfigureerd om browsergeschiedenis correct te interpreteren en te indexeren. Beveiligingsteams moeten worden getraind in het gebruik van deze gegevens voor incidentonderzoek en dreigingsjacht. De SIEM-configuratie moet ook waarschuwingen genereren wanneer verdachte browseractiviteiten worden gedetecteerd, zoals bezoeken aan bekende malafide websites, ongebruikelijke downloadpatronen of pogingen tot gegevensexfiltratie. Organisaties moeten regelmatig de SIEM-configuratie evalueren en bijwerken om ervoor te zorgen dat deze effectief blijft in het detecteren van nieuwe bedreigingen en aanvalspatronen. De implementatie moet worden ondersteund door gedocumenteerde procedures voor het verifiëren van de compliance-status. Deze procedures moeten regelmatig worden uitgevoerd, bij voorkeur maandelijks of na elke significante wijziging in de IT-omgeving. De verificatieprocedure moet controleren of de registry-instelling correct is geconfigureerd op alle relevante werkstations, of de policy correct is toegepast via Intune of GPO, en of er geen werkstations zijn die afwijken van de gewenste configuratie. Eventuele afwijkingen moeten onmiddellijk worden onderzocht en gecorrigeerd. De resultaten van deze verificaties moeten worden gedocumenteerd en beschikbaar zijn voor interne en externe auditors tijdens compliance-audits. Organisaties moeten ook een proces implementeren voor het regelmatig testen van de effectiviteit van browsergeschiedenisbehoud, bijvoorbeeld door te verifiëren dat browsergeschiedenis daadwerkelijk wordt opgeslagen en toegankelijk is voor forensische doeleinden. Deze tests moeten worden uitgevoerd door onafhankelijke partijen of interne auditafdelingen om objectiviteit te waarborgen.

Monitoring

Gebruik PowerShell-script disable-browser-history-disabled.ps1 (functie Invoke-Monitoring) – Kritiek: Controleer - Verifieer dat het opslaan van geschiedenis ingeschakeld is.

Monitoring van browsergeschiedenisbehoud is kritiek om ervoor te zorgen dat de configuratie correct blijft en dat browsergeschiedenis daadwerkelijk wordt opgeslagen. De monitoring moet meerdere aspecten omvatten om een complete controle te bieden en moet continu worden uitgevoerd om ervoor te zorgen dat de beveiligingscontrole effectief blijft. Zonder adequate monitoring kunnen configuratiewijzigingen onopgemerkt blijven, wat kan leiden tot gaten in de forensische dekking en compliance-problemen. Een goed geïmplementeerd monitoringprogramma stelt organisaties in staat om proactief problemen te detecteren en op te lossen voordat ze kritieke gevolgen hebben. De primaire monitoringactiviteit is het regelmatig controleren van de Windows Registry-waarde SavingBrowserHistoryDisabled op de locatie HKLM:\SOFTWARE\Policies\Microsoft\Edge\SavingBrowserHistoryDisabled. Deze waarde moet ofwel afwezig zijn (wat betekent dat de standaardinstelling wordt gebruikt) ofwel expliciet op 0 staan. Wanneer de policy wordt ingesteld op 1, betekent dit dat het opslaan van geschiedenis is uitgeschakeld, wat niet gewenst is. Monitoring moet waarschuwingen genereren wanneer de policy wordt gewijzigd naar 1, zodat beveiligingsteams onmiddellijk kunnen reageren en de configuratie kunnen herstellen. Deze monitoring moet worden geautomatiseerd met behulp van tools zoals PowerShell-scripts, Group Policy monitoring-oplossingen of endpoint management-platforms die regelmatig de registry-waarde controleren. Het is aanbevolen om deze controle minstens dagelijks uit te voeren, of vaker voor kritieke systemen. Organisaties moeten ook een proces implementeren voor het reageren op waarschuwingen, waarbij beveiligingsteams binnen een bepaalde tijdsperiode moeten reageren op gedetecteerde afwijkingen. Naast het monitoren van de registry-waarde moet de monitoring ook verifiëren dat browsergeschiedenisbestanden daadwerkelijk worden aangemaakt. Dit kan worden gedaan door het controleren van de locatie waar Edge browsergeschiedenis opslaat, typisch in de gebruikersprofielmap onder het pad AppData\Local\Microsoft\Edge\User Data\Default\History. De monitoring moet verifiëren dat nieuwe browsergeschiedenisbestanden worden aangemaakt wanneer gebruikers Edge gebruiken en dat deze bestanden de verwachte informatie bevatten. Wanneer browsergeschiedenisbestanden niet worden aangemaakt, kan dit duiden op een probleem met de configuratie of op pogingen van gebruikers om geschiedenis te omzeilen. De monitoring moet ook controleren op tekenen van manipulatie, zoals ongebruikelijke bestandsgrootten, ontbrekende tijdstempels of andere anomalieën die kunnen wijzen op pogingen om browsergeschiedenis te wissen of te wijzigen. Organisaties moeten regelmatig steekproefsgewijs controleren of browsergeschiedenisbestanden daadwerkelijk worden aangemaakt en of ze de verwachte informatie bevatten. SIEM-monitoring voor browsergeschiedenis telemetrie is essentieel voor gecentraliseerde logging en correlatie met andere beveiligingsgebeurtenissen. De SIEM-oplossing moet browsergeschiedenis kunnen ontvangen, opslaan en analyseren, en moet waarschuwingen genereren wanneer verdachte activiteiten worden gedetecteerd. Deze monitoring maakt het mogelijk om browsergeschiedenis te correleren met andere beveiligingsgebeurtenissen, zoals malware-detecties, phishing-pogingen of gegevensexfiltratie, waardoor beveiligingsteams een compleet beeld krijgen van gebruikersactiviteiten en potentiële bedreigingen kunnen identificeren. De SIEM-configuratie moet regelmatig worden geëvalueerd en bijgewerkt om ervoor te zorgen dat deze effectief blijft in het detecteren van nieuwe bedreigingen en aanvalspatronen. Organisaties moeten ook overwegen om machine learning-technieken toe te passen op browsergeschiedenisdata om anomalieën en verdachte patronen automatisch te detecteren die mogelijk niet worden opgemerkt door traditionele regelgebaseerde monitoring. De monitoring moet ook regelmatig controleren of de policy-instellingen consistent zijn geconfigureerd op alle werkstations en apparaten binnen de organisatie. Wanneer policy-instellingen inconsistent zijn, kan dit leiden tot gaten in de forensische dekking, waardoor sommige gebruikersactiviteiten niet kunnen worden getraceerd. Automatische monitoringtools kunnen deze inconsistenties detecteren en waarschuwingen genereren wanneer afwijkingen worden gevonden. Organisaties moeten regelmatig rapporten genereren die de compliance-status van alle werkstations weergeven, inclusief welke systemen correct zijn geconfigureerd en welke afwijkingen vertonen. Deze rapporten moeten worden gedeeld met relevante stakeholders, zoals IT-beheerders, beveiligingsteams en compliance-officers, om ervoor te zorgen dat problemen snel worden geïdentificeerd en opgelost. Het is ook belangrijk om trends te monitoren, zoals of bepaalde afdelingen of gebruikersgroepen vaker configuratieproblemen hebben, wat kan wijzen op systematische problemen die moeten worden aangepakt. Ten slotte moet de monitoring ook de kwaliteit en volledigheid van de opgeslagen browsergeschiedenis controleren. Dit omvat het verifiëren dat browsergeschiedenis de verwachte informatie bevat, zoals bezochte URLs, tijdstempels en andere relevante metadata. Wanneer browsergeschiedenis onvolledig of beschadigd is, kan dit de forensische waarde verminderen en moet dit worden gemeld aan beveiligingsteams voor verdere analyse. De monitoring moet ook controleren op tekenen van dataverlies, zoals ontbrekende tijdperioden in browsergeschiedenis of ongebruikelijke patronen die kunnen wijzen op problemen met de opslag of configuratie. Organisaties moeten regelmatig steekproefsgewijs controleren of browsergeschiedenis volledig en accuraat is, bijvoorbeeld door browsergeschiedenis te vergelijken met andere bronnen van gebruikersactiviteit of door forensische tools te gebruiken om de integriteit van browsergeschiedenisbestanden te verifiëren. Wanneer problemen worden gedetecteerd, moeten deze onmiddellijk worden onderzocht en opgelost om ervoor te zorgen dat browsergeschiedenis betrouwbaar blijft voor forensische en compliance-doeleinden.

Compliance en Auditing

Browsergeschiedenisbehoud vormt een fundamentele pijler voor het voldoen aan verschillende regelgevende kaders en standaarden die van toepassing zijn op Nederlandse organisaties, met name in de publieke sector en gereguleerde industrieën. Deze compliance-eisen vereisen dat organisaties gedetailleerde audittrails kunnen genereren en behouden van alle gebruikersactiviteiten, inclusief webbrowsing. Zonder complete browsergeschiedenis kunnen organisaties niet aantonen dat zij voldoen aan hun verantwoordelijkheden voor gegevensbescherming, informatiebeveiliging en incidentrespons, wat kan leiden tot significante compliance-risico's en potentiële regelgevingssancties. Het niet kunnen voldoen aan deze eisen kan resulteren in aanzienlijke boetes, reputatieschade, verlies van certificeringen en in sommige gevallen zelfs juridische aansprakelijkheid. Daarom is het van cruciaal belang dat organisaties browsergeschiedenisbehoud correct implementeren en onderhouden om te voldoen aan alle relevante regelgevende vereisten en om hun beveiligingspositie te versterken. De ISO 27001:2022 standaard bevat specifieke controles die direct verband houden met browsergeschiedenisbehoud. Controle A.8.15 vereist dat organisaties uitgebreide logging en audittrail-vereisten implementeren voor alle systemen, applicaties en gebruikersactiviteiten. Deze controle specificeert dat organisaties moeten zorgen voor adequate logging die voldoende detail bevat om beveiligingsgebeurtenissen te kunnen detecteren, analyseren en onderzoeken. Browsergeschiedenis vormt een essentieel onderdeel van deze logging-infrastructuur, omdat het een gedetailleerd en tijdgestempeld overzicht biedt van alle gebruikersactiviteiten op het web, inclusief bezochte websites, gedownloade bestanden, uitgevoerde zoekopdrachten en interacties met webapplicaties. Zonder browsergeschiedenis kunnen organisaties niet voldoen aan de vereisten voor complete audittrails, wat resulteert in niet-naleving met ISO 27001 en kan leiden tot mislukte certificeringsaudits of het verlies van bestaande certificeringen. Tijdens ISO 27001-audits kunnen auditors vragen om bewijs van logging en audittrail-implementatie, waarbij browsergeschiedenis een belangrijk onderdeel vormt van dit bewijs. Organisaties moeten kunnen aantonen dat browsergeschiedenis wordt verzameld, opgeslagen en beschermd tegen ongeautoriseerde toegang of wijziging, en dat deze gegevens beschikbaar zijn voor auditdoeleinden. Het is ook belangrijk om te kunnen aantonen dat browsergeschiedenis wordt gebruikt voor het detecteren en onderzoeken van beveiligingsincidenten, wat een essentieel onderdeel is van de ISO 27001-vereisten. ISO 27001:2022 controle A.8.16 vereist dat organisaties proactieve monitoringactiviteiten implementeren om beveiligingsgebeurtenissen tijdig te detecteren en te analyseren. Deze controle specificeert dat organisaties continu moeten monitoren op verdachte activiteiten, ongeautoriseerde toegangspogingen, gegevensexfiltratie en andere beveiligingsincidenten. Browsergeschiedenis is onmisbaar voor deze monitoring, omdat het beveiligingsteams in staat stelt om verdachte webbrowsingactiviteiten te detecteren en te analyseren, zoals bezoeken aan bekende malafide websites, downloads van verdachte bestanden, pogingen tot gegevensexfiltratie via webgebaseerde kanalen, of interacties met phishing-websites. Zonder browsergeschiedenis kunnen organisaties niet effectief monitoren op deze activiteiten, wat kan leiden tot gemiste beveiligingsincidenten, vertraagde incidentrespons en niet-naleving met ISO 27001 monitoring-vereisten. Tijdens ISO 27001-audits kunnen auditors vragen om bewijs van monitoringactiviteiten, waarbij browsergeschiedenis een belangrijk onderdeel vormt van dit bewijs. Organisaties moeten kunnen aantonen dat zij regelmatig browsergeschiedenis analyseren op verdachte activiteiten en dat zij procedures hebben voor het reageren op gedetecteerde bedreigingen. Het is ook belangrijk om te kunnen aantonen dat monitoringtools correct zijn geconfigureerd en dat beveiligingsteams zijn getraind in het gebruik van browsergeschiedenis voor dreigingsdetectie en incidentrespons. De SOC 2 standaard vereist dat organisaties uitgebreide auditlogretentie implementeren voor alle relevante systemen en applicaties. Deze vereiste specificeert dat organisaties audit logs moeten behouden voor een bepaalde periode, typisch minimaal 90 dagen voor algemene logs maar vaak aanzienlijk langer voor forensische doeleinden en compliance-audits. Browsergeschiedenis vormt een essentieel onderdeel van deze audit logs, omdat het een gedetailleerd en onveranderlijk overzicht biedt van gebruikersactiviteiten die kan worden gebruikt voor compliance-verificatie, forensisch onderzoek en incidentanalyse. Organisaties die SOC 2-certificering willen behalen of behouden, moeten ervoor zorgen dat browsergeschiedenis wordt bewaard in overeenstemming met de SOC 2-retentievereisten en dat deze geschiedenis toegankelijk is voor auditors tijdens certificeringsaudits. Tijdens SOC 2-audits kunnen auditors vragen om bewijs van auditlogretentie, waarbij browsergeschiedenis een belangrijk onderdeel vormt van dit bewijs. Organisaties moeten kunnen aantonen dat browsergeschiedenis wordt bewaard voor de vereiste periode en dat deze gegevens beschermd zijn tegen verlies, corruptie of ongeautoriseerde toegang. Het niet behouden van browsergeschiedenis kan resulteren in mislukte SOC 2-audits en het verlies van certificering, wat kan leiden tot verlies van klanten en reputatieschade. De NIS2-richtlijn, die in Nederland is geïmplementeerd via de Wet beveiliging netwerk- en informatiesystemen, vereist in Artikel 21 dat essentiële en belangrijke entiteiten uitgebreide incidentdetectiecapaciteiten implementeren. Deze vereiste specificeert dat organisaties moeten kunnen detecteren wanneer beveiligingsincidenten plaatsvinden, de omvang en impact van incidenten moeten kunnen beoordelen, en snel moeten kunnen reageren op gedetecteerde incidenten. Browsergeschiedenis is essentieel voor incidentdetectie en -respons, omdat het beveiligingsteams in staat stelt om de volledige omvang van een incident te bepalen door de tijdlijn van gebeurtenissen te reconstrueren, alle betrokken gebruikers en systemen te identificeren, en de impact van een incident nauwkeurig te beoordelen. Zonder browsergeschiedenis kunnen organisaties niet effectief detecteren wanneer gebruikers zijn blootgesteld aan phishing-pogingen, malware-downloads of andere beveiligingsbedreigingen, wat kan leiden tot vertraagde incidentrespons, onvolledige incidentcontainment en niet-naleving met NIS2-vereisten. Tijdens NIS2-compliance-controles kunnen toezichthouders vragen om bewijs van incidentdetectiecapaciteiten, waarbij browsergeschiedenis een belangrijk onderdeel vormt van dit bewijs. Dit kan resulteren in boetes en andere handhavingsmaatregelen door de Autoriteit Consument en Markt (ACM) of andere toezichthouders. De Algemene Verordening Gegevensbescherming (AVG) vereist in Artikel 32 dat organisaties passende technische en organisatorische maatregelen implementeren om persoonsgegevens te beveiligen. Voor organisaties die persoonsgegevens verwerken via webbrowsers, betekent dit dat zij moeten kunnen aantonen dat zij passende monitoring- en controlemaatregelen hebben geïmplementeerd om ongeautoriseerde toegang tot persoonsgegevens te voorkomen en dat zij in staat zijn om beveiligingsincidenten te detecteren en te rapporteren. Browsergeschiedenis kan worden gebruikt als bewijs dat organisaties deze maatregelen hebben geïmplementeerd en dat zij in staat zijn om gebruikersactiviteiten te monitoren en te controleren. Tijdens AVG-audits en compliance-controles kunnen organisaties worden gevraagd om bewijs te leveren van hun monitoring- en controlecapaciteiten, waarbij browsergeschiedenis een essentieel onderdeel vormt van dit bewijs. Organisaties moeten kunnen aantonen dat browsergeschiedenis wordt verzameld en gebruikt op een manier die voldoet aan privacywetgeving, zoals de AVG, en dat medewerkers zijn geïnformeerd over het monitoren van browseractiviteiten. Het niet behouden van browsergeschiedenis kan worden geïnterpreteerd als een gebrek aan passende technische maatregelen, wat kan leiden tot AVG-boetes tot 4 procent van de wereldwijde jaaromzet of 20 miljoen euro, afhankelijk van wat hoger is. De Baseline Informatiebeveiliging Overheid (BIO) specificeert in verschillende thema's dat overheidsorganisaties uitgebreide logging en monitoring moeten implementeren om informatiebeveiliging te waarborgen. Browsergeschiedenis vormt een essentieel onderdeel van deze logging-infrastructuur, omdat het overheidsorganisaties in staat stelt om gebruikersactiviteiten te monitoren, beveiligingsincidenten te detecteren en compliance te waarborgen. Voor Nederlandse overheidsorganisaties is de BIO-baseline verplicht, en het niet voldoen aan deze vereisten kan leiden tot beveiligingsincidenten, compliance-problemen en reputatieschade. Browsergeschiedenis kan worden gebruikt tijdens BIO-audits om aan te tonen dat organisaties voldoen aan de vereisten voor logging en monitoring, en kan worden gebruikt voor forensisch onderzoek bij beveiligingsincidenten. Tijdens compliance-audits en regelgevingscontroles kunnen organisaties worden gevraagd om bewijs te leveren van hun monitoring- en controlecapaciteiten. Browsergeschiedenis vormt een essentieel onderdeel van dit bewijs, omdat het aantoont dat organisaties in staat zijn om gebruikersactiviteiten te monitoren, beveiligingsincidenten te detecteren en audittrails te genereren. Organisaties die geen browsergeschiedenis behouden, kunnen niet voldoen aan deze vereisten, wat kan leiden tot mislukte audits, regelgevingssancties en reputatieschade. Het is daarom essentieel dat organisaties browsergeschiedenis behouden en kunnen aantonen dat deze geschiedenis toegankelijk is voor auditors en regelgevers wanneer dit wordt gevraagd.

Remediatie

Gebruik PowerShell-script disable-browser-history-disabled.ps1 (functie Invoke-Remediation) – Herstellen.

Wanneer monitoring detecteert dat browsergeschiedenisopslag is uitgeschakeld of dat er een afwijking is in de configuratie, moet onmiddellijk remediatie worden uitgevoerd om de beveiligingscontrole te herstellen en compliance te waarborgen. Het remediatieproces moet systematisch worden aangepakt om ervoor te zorgen dat de correctie effectief is, dat de impact op gebruikers minimaal is, en dat toekomstige afwijkingen worden voorkomen. De eerste stap in het remediatieproces is het identificeren van de oorzaak van de afwijking. Dit kan verschillende oorzaken hebben: een onopzettelijke configuratiefout door IT-personeel, een wijziging door een gebruiker met verhoogde rechten, een malware-infectie die instellingen probeert te wijzigen om detectie te voorkomen, of een probleem met de policy-deployment via Intune of GPO. Het identificeren van de oorzaak is essentieel om niet alleen de directe afwijking te corrigeren, maar ook om te voorkomen dat het probleem zich opnieuw voordoet. Dit kan worden gedaan door te analyseren wanneer de wijziging heeft plaatsgevonden, welke gebruiker of proces verantwoordelijk was voor de wijziging, en of er sporen zijn van kwaadaardige activiteiten. Na identificatie van de oorzaak moet de configuratie onmiddellijk worden hersteld. Dit gebeurt door de registry-sleutel HKLM:\SOFTWARE\Policies\Microsoft\Edge\SavingBrowserHistoryDisabled expliciet in te stellen op waarde 0, of door de sleutel te verwijderen zodat de standaardinstelling actief wordt. Voor organisaties die Intune gebruiken, moet de policy opnieuw worden geconfigureerd en ge-deployed naar de betreffende device-groep. Voor organisaties die GPO gebruiken, moet de policy opnieuw worden toegepast of geforceerd via gpupdate /force op de betreffende werkstations. Het is belangrijk om te verifiëren dat de wijziging succesvol is toegepast door de registry-instelling opnieuw te controleren na de remediatie. Wanneer de configuratie is hersteld, moet worden gecontroleerd of browsergeschiedenisbestanden opnieuw worden aangemaakt. Dit kan enige tijd duren, afhankelijk van de gebruikersactiviteit, maar binnen een werkdag zouden nieuwe geschiedenisbestanden moeten verschijnen. Als geschiedenisbestanden niet worden aangemaakt na de configuratiewijziging, kan dit wijzen op een dieperliggend probleem, zoals corruptie van het Edge-profiel, diskruimteproblemen, of een andere configuratie-issue die moet worden onderzocht. In dergelijke gevallen kan het nodig zijn om het Edge-profiel te resetten of verdere diagnostiek uit te voeren. Na technische remediatie moet het incident worden gedocumenteerd voor compliance- en leerdoeleinden. De documentatie moet bevatten: de datum en tijd waarop de afwijking werd gedetecteerd, de geïdentificeerde oorzaak, de genomen remediatiestappen, de tijd die nodig was om het probleem op te lossen, en eventuele aanbevelingen om toekomstige incidenten te voorkomen. Deze documentatie moet worden opgeslagen in het incidentregistratiesysteem en kan worden gebruikt tijdens compliance-audits om aan te tonen dat de organisatie proactief problemen detecteert en oplost. Als de afwijking is veroorzaakt door een kwaadaardige activiteit, zoals malware die instellingen wijzigt, moet een uitgebreidere forensische analyse worden uitgevoerd. Dit omvat het onderzoeken van andere wijzigingen die mogelijk zijn gemaakt, het identificeren van de malware-variant, het bepalen van de infectievector, en het implementeren van aanvullende beveiligingsmaatregelen om herinfectie te voorkomen. De browsergeschiedenis zelf kan waardevolle forensische informatie bevatten over de malware-activiteiten en moet worden bewaard voor verdere analyse. Preventieve maatregelen moeten worden geïmplementeerd om te voorkomen dat het probleem zich opnieuw voordoet. Dit kan omvatten: het verharden van toegangsrechten zodat gebruikers de registry-instellingen niet kunnen wijzigen, het implementeren van aanvullende monitoring om configuratiewijzigingen sneller te detecteren, het verbeteren van endpointbeveiliging om malware-infecties te voorkomen, of het herzien van policy-deploymentprocessen om ervoor te zorgen dat wijzigingen correct worden toegepast. Deze preventieve maatregelen moeten worden gedocumenteerd en regelmatig worden geëvalueerd om hun effectiviteit te waarborgen.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Edge Privacy: Disable Browser History (config option) .DESCRIPTION CIS - Browser history moet enabled blijven voor compliance. .NOTES Filename: disable-browser-history-disabled.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Edge\SavingBrowserHistoryDisabled|Expected: 0 #> #Requires -Version 5.1 #Requires -RunAsAdministrator [CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert) $ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge"; $RegName = "SavingBrowserHistoryDisabled"; $ExpectedValue = 0 function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) } function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "disable-browser-history-disabled.ps1"; PolicyName = "History Saving Enabled"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; if (-not(Test-Path $RegPath)) { $r.IsCompliant = $true; $r.Details += "Default: history enabled"; return $r }; try { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop; $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "History saving enabled" }else { $r.Details += "History saving disabled" } }catch { $r.IsCompliant = $true; $r.Details += "Default" }; return $r } function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Browser history saving enabled" -ForegroundColor Green } function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r } function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue } try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }

Risico zonder implementatie

Risico zonder implementatie
High: Kritiek risico - het uitschakelen van het opslaan van geschiedenis elimineert forensische mogelijkheden en creëert compliance-schendingen. Bij beveiligingsincidenten is volledige browsergeschiedenis vereist voor onderzoek. Zonder geschiedenis zijn phishing, malware en gegevensexfiltratie niet traceerbaar.

Management Samenvatting

Kritiek: Verifieer dat het opslaan van geschiedenis ingeschakeld blijft (SavingBrowserHistoryDisabled is 0). Essentieel voor forensisch onderzoek en compliance. Combineer met blokkeren van verwijdering. Implementatie: 30 minuten tot 1 uur.