BIO 11.01.01

Edge Follow Service Uitgeschakeld

📅 2025-10-30
⏱️ 4 minuten lezen
🟢 Should-Have

💼 Management Samenvatting

Schakel Edge Follow Service uit om tracking van gevolgde websites en content creators te voorkomen en de privacy van gebruikers te beschermen.

Aanbeveling
IMPLEMENT
Risico zonder
Low
Risk Score
3/10
Implementatie
0.5u (tech: 0.25u)
Van toepassing op:
Edge

De Edge Follow Service stelt gebruikers in staat om websites en content creators te volgen om updates te ontvangen. Deze functionaliteit synchroniseert gevolgde content via Microsoft services en creëert daarmee een persistente tracking van gebruikersinteresses. Voor enterprise omgevingen brengt dit verschillende risico's met zich mee. Ten eerste vormt het een privacyrisico, omdat het volgen van content een profiel creëert van gebruikersinteresses dat wordt gesynchroniseerd naar de Microsoft cloud. Dit profiel kan worden gebruikt voor gerichte advertenties en gedragsanalyse, wat niet wenselijk is in zakelijke omgevingen. Ten tweede is het een onnodige functionaliteit voor enterprise gebruikers, die deze consumentgerichte 'following' features niet nodig hebben voor hun werkzaamheden. Ten derde vormt het een afleiding, omdat content updates gebruikers kunnen afleiden van hun werkzaamheden. Ten vierde brengt het datagovernance risico's met zich mee, omdat gevolgde sites mogelijk bedrijfsinformatie kunnen lekken of inzicht kunnen geven in de interesses en activiteiten van medewerkers.

PowerShell Modules Vereist
Primary API: Intune/GPO
Connection: N/A
Required Modules:

Implementatie

Door EdgeFollowEnabled in te stellen op 0 wordt de Follow Service uitgeschakeld. Gebruikers kunnen dan geen sites of creators meer volgen en er vindt geen content tracking meer plaats naar Microsoft services. Dit voorkomt dat gebruikersinteresses worden getrackt en gesynchroniseerd, wat de privacy en datagovernance verbetert.

Implementatie

De implementatie van het uitschakelen van de Edge Follow Service kan worden uitgevoerd via Microsoft Intune of via Group Policy Objects (GPO) in een on-premises omgeving. De implementatie is relatief eenvoudig en vereist minimale technische expertise. Het belangrijkste aspect is het instellen van de juiste registry waarde die de Follow Service volledig uitschakelt.

Voor Microsoft Intune omgevingen kan de implementatie worden uitgevoerd via een Configuration Profile. Binnen Intune Admin Center navigeert u naar Devices, vervolgens Configuration Profiles, en selecteert u het Edge profiel of maakt u een nieuw profiel aan. Binnen de Edge policy settings zoekt u naar de instelling 'Allow users to follow websites and content creators' en stelt u deze in op 'Disabled'. Deze instelling correspondeert met de registry waarde EdgeFollowEnabled die wordt ingesteld op 0.

Voor on-premises omgevingen die gebruik maken van Group Policy Objects, moet de registry waarde worden geconfigureerd via een GPO. Navigeer naar Computer Configuration, Policies, Administrative Templates, Microsoft Edge, en zoek naar de policy 'Allow users to follow websites and content creators'. Stel deze policy in op 'Disabled' of configureer de registry waarde HKLM:\SOFTWARE\Policies\Microsoft\Edge\EdgeFollowEnabled direct op 0.

Na het toepassen van de policy instelling moet de wijziging worden gedistribueerd naar alle betrokken endpoints. Voor Intune betekent dit dat het Configuration Profile wordt toegewezen aan de juiste device groups of user groups. Voor GPO betekent dit dat de policy wordt gekoppeld aan de juiste Organizational Units binnen Active Directory. Het kan enkele minuten tot enkele uren duren voordat de wijziging volledig is doorgevoerd op alle endpoints, afhankelijk van de synchronisatie frequentie en de netwerktopologie.

Gebruik PowerShell-script follow-service-disabled.ps1 (functie Invoke-Remediation) – PowerShell script voor geautomatiseerde uitschakeling van Follow Service via registry configuratie.

Het PowerShell script biedt een geautomatiseerde manier om de Follow Service uit te schakelen op individuele machines of via een deployment tool zoals SCCM. Het script controleert eerst of de registry waarde al correct is ingesteld, en past deze alleen aan indien nodig. Dit voorkomt onnodige wijzigingen en zorgt voor idempotentie van de implementatie. Na het uitvoeren van het script wordt de Edge browser automatisch herstart of wordt de gebruiker gevraagd de browser te herstarten om de wijzigingen door te voeren.

Voordat de implementatie wordt uitgevoerd, is het belangrijk om een inventarisatie te maken van alle endpoints die moeten worden geconfigureerd. Dit omvat niet alleen fysieke computers, maar ook virtuele machines, laptops, en andere apparaten waarop Edge wordt gebruikt. Voor hybride omgevingen die zowel Intune als GPO gebruiken, moet worden bepaald welke endpoints via welke methode worden beheerd om dubbele configuratie te voorkomen. Het is ook aan te bevelen om een testgroep te definiëren waarmee de implementatie eerst wordt getest voordat deze wordt uitgerold naar de gehele organisatie.

Tijdens de implementatie moet rekening worden gehouden met de impact op gebruikers. Hoewel het uitschakelen van de Follow Service geen directe impact heeft op de functionele capaciteiten van de browser, kunnen gebruikers die deze functionaliteit hebben gebruikt merken dat zij geen updates meer ontvangen van gevolgde websites. Het is daarom belangrijk om gebruikers vooraf te informeren over deze wijziging en uit te leggen waarom deze maatregel wordt genomen. Communicatie over privacy en datagovernance helpt gebruikers te begrijpen dat deze wijziging deel uitmaakt van de organisatorische inspanningen om privacy te beschermen en compliance te waarborgen.

Na de initiële implementatie is het essentieel om te verifiëren dat de configuratie correct is toegepast op alle endpoints. Dit kan worden gedaan via het monitoring script of via compliance reports in Intune of GPO management tools. Elke endpoint die nog niet de juiste configuratie heeft, moet worden geïdentificeerd en geconfigureerd. Het is ook belangrijk om te documenteren wanneer en hoe de implementatie is uitgevoerd, omdat dit informatie verschaft voor toekomstige audits en compliance verificaties. Regelmatige verificatie na de implementatie zorgt ervoor dat de configuratie actief blijft en dat nieuwe endpoints automatisch de juiste configuratie ontvangen.

Monitoring

Het monitoren van de Edge Follow Service configuratie is essentieel om te verzekeren dat de instelling correct is toegepast en blijft gehandhaafd. Regelmatige controle voorkomt dat gebruikers of andere processen de instelling onbedoeld wijzigen, wat de privacy en datagovernance zou kunnen compromitteren. Monitoring moet worden uitgevoerd op verschillende niveaus: op endpoint niveau om te verifiëren dat de registry waarde correct is ingesteld, op policy niveau om te controleren dat de Intune of GPO configuratie actief is, en op compliance niveau om te rapporteren over de naleving van de organisatorische richtlijnen.

De primaire verificatie methode is het controleren van de registry waarde HKLM:\SOFTWARE\Policies\Microsoft\Edge\EdgeFollowEnabled. Deze waarde moet exact 0 zijn om de Follow Service uit te schakelen. Een waarde van 1 of de afwezigheid van de registry waarde betekent dat de Follow Service is ingeschakeld of niet is geconfigureerd. Het is belangrijk om te controleren dat de registry waarde zich in de Policies pad bevindt, omdat dit aangeeft dat de instelling wordt afgedwongen via policy management en niet kan worden overschreven door gebruikers.

Gebruik PowerShell-script follow-service-disabled.ps1 (functie Invoke-Monitoring) – PowerShell script voor geautomatiseerde verificatie van Follow Service configuratie.

Het PowerShell monitoring script kan worden uitgevoerd via een scheduled task of via een endpoint management tool zoals Microsoft Endpoint Manager of SCCM. Het script controleert de registry waarde en rapporteert de status terug naar het management systeem. Dit maakt het mogelijk om compliance rapporten te genereren en snel afwijkingen te identificeren. Het script kan ook worden geconfigureerd om automatisch remediatie uit te voeren wanneer een afwijking wordt gedetecteerd, waardoor de configuratie automatisch wordt hersteld naar de gewenste staat.

Naast programmatische verificatie kan de configuratie ook handmatig worden geverifieerd via de Edge browser zelf. Door te navigeren naar edge://policy/ in de Edge browser kan de gebruiker of beheerder alle actieve policy instellingen bekijken. De EdgeFollowEnabled policy moet zichtbaar zijn met de waarde '0' of 'Disabled'. Deze methode is vooral nuttig voor troubleshooting wanneer er discrepanties zijn tussen de verwachte configuratie en de daadwerkelijke status op een endpoint.

Voor enterprise omgevingen wordt aanbevolen om monitoring te integreren in het bestaande compliance en security monitoring framework. Dit kan worden gedaan door de monitoring output te koppelen aan een SIEM systeem of compliance dashboard. Regelmatige rapportage over de compliance status helpt organisaties om te voldoen aan audit vereisten en om proactief te reageren op configuratiewijzigingen die mogelijk de beveiligingspostuur beïnvloeden.

Compliance en Auditing

Het uitschakelen van de Edge Follow Service draagt bij aan de naleving van verschillende privacy en beveiligingsstandaarden die relevant zijn voor Nederlandse overheidsorganisaties en enterprise omgevingen. De belangrijkste compliance frameworks die worden ondersteund door deze maatregel zijn de Algemene Verordening Gegevensbescherming (AVG) en de Baseline Informatiebeveiliging Overheid (BIO).

Volgens AVG Artikel 5, het beginsel van gegevensminimalisatie, moeten organisaties ervoor zorgen dat persoonsgegevens toereikend, ter zake dienend en beperkt zijn tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. De Edge Follow Service verzamelt en synchroniseert gegevens over gebruikersinteresses en gevolgde content naar Microsoft cloud services. Deze gegevensverzameling is niet noodzakelijk voor de primaire functionaliteit van de browser in een zakelijke omgeving en vormt daarom een schending van het gegevensminimalisatie beginsel. Door de Follow Service uit te schakelen, minimaliseert de organisatie de hoeveelheid persoonsgegevens die wordt verzameld en verwerkt, wat direct bijdraagt aan AVG compliance.

De Baseline Informatiebeveiliging Overheid (BIO) norm 11.01 richt zich specifiek op privacy en gegevensbescherming. Deze norm vereist dat organisaties passende technische en organisatorische maatregelen nemen om persoonsgegevens te beschermen tegen ongeautoriseerde toegang, verlies of vernietiging. Het uitschakelen van de Follow Service is een technische maatregel die voorkomt dat gebruikersinteresses en browsergedrag worden getrackt en gesynchroniseerd naar externe cloud services. Dit vermindert het risico op ongeautoriseerde toegang tot persoonsgegevens en beperkt de hoeveelheid data die potentieel kan worden gecompromitteerd bij een datalek.

Voor audit doeleinden is het belangrijk om te documenteren dat de Follow Service is uitgeschakeld en om regelmatig te verifiëren dat deze configuratie actief blijft. Auditors zullen willen zien dat de organisatie proactieve maatregelen heeft genomen om gegevensminimalisatie te implementeren en dat er monitoring en verificatie processen zijn om de naleving te waarborgen. Compliance rapporten moeten regelmatig worden gegenereerd om aan te tonen dat de configuratie op alle endpoints correct is toegepast en gehandhaafd.

Naast AVG en BIO compliance, draagt het uitschakelen van de Follow Service ook bij aan algemene privacy best practices en datagovernance principes. Het vermindert de datasporen die worden achtergelaten door gebruikersactiviteiten, wat de privacy van medewerkers beschermt en het risico op profilering en tracking vermindert. Voor organisaties die werken met gevoelige informatie of die onderworpen zijn aan strikte datagovernance vereisten, is het uitschakelen van dergelijke tracking functionaliteiten een essentiële maatregel.

Remediatie

Wanneer monitoring of compliance checks aangeven dat de Edge Follow Service niet correct is uitgeschakeld, moet onmiddellijk remediatie worden uitgevoerd om de configuratie te herstellen naar de gewenste staat. Remediatie kan nodig zijn wanneer de registry waarde onjuist is ingesteld, wanneer de policy configuratie is gewijzigd, of wanneer nieuwe endpoints zijn toegevoegd die nog niet de juiste configuratie hebben ontvangen.

De remediatie procedure begint met het identificeren van de oorzaak van de afwijking. Dit kan zijn dat een gebruiker de registry waarde handmatig heeft gewijzigd, dat een policy update niet correct is doorgevoerd, of dat een nieuwe machine nog niet is geconfigureerd. Zodra de oorzaak is geïdentificeerd, kan de juiste remediatie actie worden ondernomen. Voor de meeste gevallen betekent dit het opnieuw toepassen van de Intune Configuration Profile of GPO policy, of het handmatig instellen van de registry waarde.

Gebruik PowerShell-script follow-service-disabled.ps1 (functie Invoke-Remediation) – PowerShell script voor geautomatiseerde remediatie van Follow Service configuratie.

Het PowerShell remediatie script kan worden gebruikt om automatisch de configuratie te herstellen wanneer een afwijking wordt gedetecteerd. Het script controleert de huidige registry waarde en past deze aan indien deze niet correct is ingesteld. Het script kan worden geconfigureerd om automatisch te worden uitgevoerd wanneer monitoring een afwijking detecteert, of handmatig worden uitgevoerd door een beheerder. Na het uitvoeren van het script moet de Edge browser worden herstart om ervoor te zorgen dat de wijzigingen worden doorgevoerd.

Voor Intune omgevingen kan remediatie ook worden uitgevoerd door het Configuration Profile opnieuw toe te wijzen aan de betreffende device groups. Intune zal automatisch de policy opnieuw toepassen op alle endpoints in de groep. Het kan enkele minuten duren voordat de remediatie volledig is doorgevoerd, afhankelijk van de synchronisatie frequentie. Voor GPO omgevingen kan de policy worden geforceerd om opnieuw te worden toegepast door een gpupdate /force commando uit te voeren op de betreffende endpoints.

Na het uitvoeren van de remediatie moet de configuratie opnieuw worden geverifieerd om te bevestigen dat de Follow Service correct is uitgeschakeld. Dit kan worden gedaan via het monitoring script of handmatig via de edge://policy/ pagina in de Edge browser. Het is ook belangrijk om te onderzoeken waarom de afwijking is opgetreden, zodat preventieve maatregelen kunnen worden genomen om toekomstige afwijkingen te voorkomen. Dit kan bijvoorbeeld betekenen dat gebruikersrechten moeten worden beperkt om te voorkomen dat zij registry waarden kunnen wijzigen, of dat policy configuraties moeten worden beveiligd tegen onbedoelde wijzigingen.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Edge Privacy: Follow Service Disabled .DESCRIPTION CIS - Follow service (content following) moet disabled. .NOTES Filename: follow-service-disabled.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Edge\EdgeFollowEnabled|Expected: 0 #> #Requires -Version 5.1 #Requires -RunAsAdministrator [CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert) $ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge"; $RegName = "EdgeFollowEnabled"; $ExpectedValue = 0 function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) } function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "follow-service-disabled.ps1"; PolicyName = "Follow Service Disabled"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; if (-not(Test-Path $RegPath)) { $r.IsCompliant = $true; $r.Details += "Default disabled"; return $r }; try { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop; $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Follow service disabled" }else { $r.Details += "Follow service enabled" } }catch { $r.IsCompliant = $true; $r.Details += "Default" }; return $r } function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Follow service disabled" -ForegroundColor Green } function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r } function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue } try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }

Risico zonder implementatie

Risico zonder implementatie
Low: Laag privacy risico. De Follow Service volgt gebruikersinteresses via Microsoft cloud services en creëert onnodige datasporen. Dit is een onnodige consumentgerichte functionaliteit voor enterprise omgevingen die de privacy en datagovernance kan compromitteren.

Management Samenvatting

Schakel de Follow Service uit door EdgeFollowEnabled in te stellen op 0 om tracking van gebruikersinteresses te voorkomen. De implementatie duurt ongeveer 15 tot 30 minuten en kan worden uitgevoerd via Intune of GPO.