💼 Management Samenvatting
Het blokkeren van het importeren van opgeslagen wachtwoorden van andere browsers is essentieel om te voorkomen dat zwakke persoonlijke inloggegevens in de zakelijke wachtwoordmanager terechtkomen en om Zero Trust-principes te handhaven. Deze beveiligingsmaatregel voorkomt dat werknemers ongecontroleerde wachtwoorden van persoonlijke browsers importeren naar de zakelijke Edge-browser, wat een significant risico vormt voor de organisatie.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
3u (tech: 1u)
Van toepassing op:
✓ Edge
Het ImportSavedPasswords-beleid is een kritieke beveiligingsmaatregel die onmisbaar is voor moderne enterprise-omgevingen. Wanneer deze functionaliteit wordt toegestaan, kunnen gebruikers wachtwoorden importeren van persoonlijke browsers zoals Chrome, Firefox of Internet Explorer. Dit brengt meerdere ernstige risico's met zich mee die de beveiligingspostuur van de organisatie kunnen ondermijnen. Ten eerste bevatten persoonlijke browsers vaak zwakke wachtwoorden zoals 'Password123!' die niet voldoen aan zakelijke wachtwoordbeleidsregels. Deze wachtwoorden kunnen hergebruikt zijn of zelfs al gecompromitteerd zijn door datalekken, waardoor zij direct een bedreiging vormen wanneer zij in de zakelijke omgeving worden geïmporteerd. Ten tweede omzeilen geïmporteerde wachtwoorden alle validatie- en beveiligingscontroles die zakelijke wachtwoordmanagers bieden, zoals Entra ID wachtwoordbescherming of enterprise vaults. Deze systemen bevatten geavanceerde validatie, complexiteitsvereisten en datalekdetectie, maar geïmporteerde wachtwoorden worden aan deze controles onttrokken. Ten derde ontstaat er een gevaarlijke mix van persoonlijke en zakelijke inloggegevens, wat een audit nachtmerrie creëert en potentiële aanvallen door verwisseling van referenties mogelijk maakt. Ten vierde schendt het importeren van willekeurige wachtwoorden van onbekende kwaliteit de fundamenten van Zero Trust, die vereisen dat alle referenties gevalideerd en goedgekeurd zijn voordat zij toegang krijgen tot zakelijke systemen. Een praktijkvoorbeeld illustreert het probleem: een werknemer heeft een Chrome-wachtwoord voor persoonlijke Amazon-accounts. Het wachtwoord is 'Amazon2020', wat zwak is en mogelijk hergebruikt wordt. Wanneer de werknemer alle Chrome-wachtwoorden importeert naar de zakelijke Edge-browser, komt dit zwakke persoonlijke wachtwoord in de zakelijke browser terecht waar het kan worden gesynchroniseerd via enterprise synchronisatie. Het beveiligingsteam heeft geen zicht op de sterkte van dit wachtwoord of de kwaliteit van de geïmporteerde referenties. Bij een datalekonderzoek is het onduidelijk of het gecompromitteerde wachtwoord door de organisatie was goedgekeurd of dat het een geïmporteerd zwak wachtwoord was. Voor enterprise-omgevingen is de oplossing duidelijk: blokkeer wachtwoordimport volledig. Gebruik uitsluitend goedgekeurde bronnen zoals zakelijke single sign-on (Azure AD/Entra ID), een enterprise wachtwoordmanager (goedgekeurde vault) of wachtwoordloze authenticatie zoals FIDO2 en Windows Hello. Sta nooit toe dat willekeurige wachtwoorden van onbekende kwaliteit worden geïmporteerd.
PowerShell Modules Vereist
Primary API: Intune/GPO
Connection:
Required Modules:
Connection:
N/ARequired Modules:
Implementatie
Het ImportSavedPasswords-beleid met waarde 0 blokkeert volledig het importeren van wachtwoorden. Gebruikers kunnen geen wachtwoorden meer importeren van andere browsers, wat ervoor zorgt dat alle zakelijke referenties uitsluitend afkomstig zijn van goedgekeurde bronnen zoals single sign-on (SSO), enterprise wachtwoordmanagers of wachtwoordloze authenticatie. Deze beveiligingscontrole is niet-onderhandelbaar voor organisaties die Zero Trust-principes willen implementeren en handhaven. De implementatie van dit beleid zorgt ervoor dat alle wachtwoorden die in de zakelijke browser worden gebruikt, voldoen aan de strenge eisen van de organisatie en dat er volledige controle is over de kwaliteit en veiligheid van alle authenticatiemiddelen.
Vereisten
Voordat het ImportSavedPasswords-beleid kan worden geïmplementeerd, moeten organisaties ervoor zorgen dat alle benodigde componenten en infrastructuren aanwezig zijn. De primaire vereiste is de Microsoft Edge-browser, die de basis vormt voor de implementatie van dit beveiligingsbeleid. De browser moet worden beheerd via Microsoft Intune of Group Policy Objecten, wat betekent dat organisaties toegang moeten hebben tot een van deze beheersoplossingen. Bovendien is het essentieel dat er een goed gedefinieerd zakelijk wachtwoordbeleid bestaat dat duidelijk beschrijft welke eisen worden gesteld aan wachtwoorden en hoe referenties moeten worden beheerd. Dit beleid dient als basis voor de uitleg aan gebruikers waarom het importeren van persoonlijke wachtwoorden niet is toegestaan en wat de alternatieven zijn.
Een enterprise wachtwoordmanager of een single sign-on-oplossing zoals Entra ID of een goedgekeurde vault is absoluut noodzakelijk voor het succesvol implementeren van dit beleid. Zonder deze alternatieven zullen gebruikers geen manier hebben om hun wachtwoorden veilig op te slaan en te beheren, wat kan leiden tot het gebruik van onveilige methoden zoals het opschrijven van wachtwoorden of het hergebruiken van zwakke wachtwoorden. De enterprise wachtwoordmanager moet voldoen aan alle zakelijke beveiligingseisen, inclusief encryptie, toegangscontroles, audit logging en datalekdetectie. Single sign-on-oplossingen moeten naadloos integreren met de belangrijkste zakelijke applicaties en diensten, zodat gebruikers gemakkelijk kunnen inloggen zonder persoonlijke wachtwoorden te hoeven gebruiken.
Een wachtwoordloze authenticatiestrategie met Windows Hello of FIDO2-tokens is sterk aanbevolen als aanvulling op het blokkeren van wachtwoordimport. Deze technologieën elimineren de behoefte aan traditionele wachtwoorden voor een groot aantal scenario's, wat de algehele beveiligingspostuur verbetert en de gebruikerservaring vereenvoudigt. Windows Hello biedt biometrische authenticatie en pincodes op Windows-apparaten, terwijl FIDO2-tokens kunnen worden gebruikt op verschillende platforms en apparaten. Organisaties moeten een duidelijke strategie hebben voor het implementeren van deze wachtwoordloze methoden, inclusief een plan voor het uitrollen naar alle gebruikers en het trainen van medewerkers in het gebruik ervan.
Gebruikerstraining over goedgekeurde referentiebeheer is essentieel voor het succes van deze implementatie. Medewerkers moeten begrijpen waarom het importeren van persoonlijke wachtwoorden niet is toegestaan, wat de risico's zijn van het gebruik van zwakke of gecompromitteerde wachtwoorden, en hoe zij hun wachtwoorden veilig kunnen beheren via de goedgekeurde zakelijke tools. De training moet praktische voorbeelden bevatten en duidelijke instructies geven over het gebruik van de enterprise wachtwoordmanager of single sign-on-oplossing. Regelmatige herhaling van deze training is belangrijk om ervoor te zorgen dat alle medewerkers op de hoogte blijven van de beste praktijken voor wachtwoordbeheer.
Naast deze technische en organisatorische vereisten moeten organisaties ook beschikken over monitoring- en compliance-tools die kunnen detecteren wanneer het ImportSavedPasswords-beleid niet correct wordt toegepast. Dit omvat de mogelijkheid om registerwaarden te controleren, compliance-rapporten te genereren en waarschuwingen te configureren voor niet-naleving. De monitoringoplossing moet kunnen schalen naar het aantal endpoints in de organisatie en moet regelmatig worden gecontroleerd om ervoor te zorgen dat alle apparaten compliant blijven. Ten slotte moeten organisaties een duidelijk remediatieproces hebben voor het aanpakken van niet-naleving, inclusief geautomatiseerde herstelacties waar mogelijk en handmatige interventie wanneer nodig.
Implementatie
Gebruik PowerShell-script import-passwords-disabled.ps1 (functie Invoke-Remediation) – Kritiek: PowerShell script voor het blokkeren van wachtwoordimport.
De implementatie van het ImportSavedPasswords-beleid vereist een gestructureerde aanpak waarbij verschillende methoden kunnen worden gebruikt afhankelijk van de infrastructuur en beheertools die binnen de organisatie beschikbaar zijn. Voor organisaties die Microsoft Intune gebruiken voor endpoint management, biedt deze cloudgebaseerde oplossing de meest flexibele en schaalbare methode om het beleid te implementeren. Via het Intune-beheercentrum kunnen beheerders een configuratieprofiel aanmaken voor Windows 10 of nieuwer en vervolgens de instellingencatalogus gebruiken om de specifieke Edge-beleidsinstelling te configureren. Door te zoeken naar 'Microsoft Edge' en vervolgens naar 'ImportSavedPasswords' kunnen beheerders deze instelling vinden en de waarde instellen op False (0), wat het importeren van wachtwoorden volledig blokkeert.
Bij het toewijzen van het beleid is het cruciaal om ervoor te zorgen dat alle gebruikers worden gedekt zonder uitzonderingen. Dit betekent dat het beleid moet worden toegewezen aan alle relevante gebruikersgroepen en dat er geen uitzonderingen mogen worden gemaakt voor individuele gebruikers of afdelingen, omdat dit de beveiligingspostuur zou ondermijnen. Het is essentieel om 100% dekking te verifiëren, wat betekent dat alle beheerde apparaten het beleid moeten hebben ontvangen en toegepast. Dit kan worden geverifieerd via de compliance-rapporten in Intune, die real-time informatie tonen over welke apparaten compliant zijn en welke mogelijk handmatige interventie vereisen.
Voor organisaties die nog steeds gebruik maken van traditionele on-premises Active Directory-omgevingen, biedt Group Policy Management een bewezen en betrouwbare methode om het ImportSavedPasswords-beleid te implementeren. Beheerders kunnen een nieuwe Group Policy Object (GPO) maken of een bestaand GPO aanpassen, en vervolgens navigeren naar de Microsoft Edge-beleidsinstellingen binnen de Group Policy Editor. Hier kunnen zij de ImportSavedPasswords-instelling vinden en deze configureren om het importeren te blokkeren. Deze GPO kan vervolgens worden gekoppeld aan de relevante organisatie-eenheden (OU's) binnen Active Directory, waardoor het beleid automatisch wordt toegepast op alle computers en gebruikers binnen die eenheden. Het voordeel van deze methode is dat het naadloos integreert met bestaande Active Directory-infrastructuren en dat beheerders vertrouwd zijn met de werking van Group Policy Management.
Naast het blokkeren van wachtwoordimport moeten organisaties ook aanvullende wachtwoordbeheercontroles implementeren om ervoor te zorgen dat alle wachtwoorden die in de browser worden gebruikt, voldoen aan de zakelijke beveiligingseisen. Het PasswordManagerEnabled-beleid kan worden gebruikt om de ingebouwde wachtwoordmanager van Edge te controleren op basis van het zakelijke beleid, waardoor organisaties kunnen bepalen hoe wachtwoorden worden opgeslagen en beheerd. Entra ID wachtwoordbescherming biedt geavanceerde validatie en datalekdetectie, waardoor zwakke of gecompromitteerde wachtwoorden worden geblokkeerd voordat zij in de zakelijke omgeving kunnen worden gebruikt. Deze oplossing dwingt complexiteitsvereisten af en detecteert wachtwoorden die zijn gelekt in publieke datalekken, wat een cruciale beveiligingscontrole vormt voor moderne enterprise-omgevingen.
Voorwaardelijke toegang kan worden geconfigureerd om meervoudige authenticatie te vereisen voor toegang tot wachtwoordmanagers en referentieopslag, wat een extra beveiligingslaag biedt tegen onbevoegde toegang. Deze configuratie zorgt ervoor dat zelfs wanneer een aanvaller toegang krijgt tot een wachtwoordmanager, er nog steeds aanvullende verificatiestappen vereist zijn voordat gevoelige referenties kunnen worden bekeken of gebruikt. Wachtwoordloze authenticatie met Windows Hello of FIDO2-tokens moet worden geïmplementeerd waar mogelijk, omdat dit de behoefte aan traditionele wachtwoorden elimineert en de algehele beveiligingspostuur aanzienlijk verbetert. Windows Hello biedt biometrische authenticatie en pincodes op Windows-apparaten, terwijl FIDO2-tokens kunnen worden gebruikt op verschillende platforms en apparaten. Deze wachtwoordloze methoden zijn niet alleen veiliger omdat zij fysieke aanwezigheid vereisen, maar verbeteren ook de gebruikerservaring door het inlogproces te vereenvoudigen en gebruikers te bevrijden van de complexiteit van het onthouden van sterke wachtwoorden. Organisaties moeten een duidelijk implementatieplan hebben voor deze aanvullende beveiligingscontroles, inclusief een gefaseerde uitrolstrategie en gebruikersondersteuning om ervoor te zorgen dat medewerkers deze nieuwe methoden effectief kunnen gebruiken. De implementatie moet gepaard gaan met uitgebreide gebruikerscommunicatie en training om acceptatie en adoptie te bevorderen.
Ongeacht de gekozen implementatiemethode, is het essentieel om een gefaseerde uitrolstrategie te volgen om potentiële verstoringen te minimaliseren en gebruikers voldoende tijd te geven om zich aan te passen aan de nieuwe beveiligingsmaatregelen. Organisaties wordt aangeraden om te beginnen met een pilotgroep bestaande uit IT-personeel en ervaren gebruikers, zodat eventuele problemen kunnen worden geïdentificeerd en opgelost voordat het beleid wordt uitgerold naar de volledige organisatie. Deze pilotgroep dient als testomgeving waar beheerders kunnen valideren dat alle technische configuraties correct werken, dat gebruikers nog steeds toegang hebben tot de zakelijke wachtwoordmanager via goedgekeurde methoden, en dat er geen onverwachte bijwerkingen optreden die de productiviteit kunnen beïnvloeden. Tijdens deze pilotfase moeten beheerders nauwlettend monitoren of het beleid correct wordt toegepast op alle apparaten binnen de pilotgroep, of gebruikers nog steeds toegang hebben tot de zakelijke wachtwoordmanager, en of er onverwachte bijwerkingen optreden die aanvullende configuratie vereisen. Feedback van de pilotgroep is cruciaal voor het identificeren van gebruikerservaringsproblemen en het verfijnen van de implementatie voordat deze wordt uitgerold naar de rest van de organisatie. Na een succesvolle pilotperiode van minimaal twee weken kan het beleid geleidelijk worden uitgerold naar andere afdelingen, waarbij elke fase wordt geëvalueerd voordat wordt overgegaan naar de volgende. Het is belangrijk om gebruikers voldoende vooraf te informeren over de wijzigingen, de redenen achter het beleid uit te leggen, en hen uitgebreid te trainen in het gebruik van de alternatieve wachtwoordbeheermethoden zoals single sign-on of de enterprise wachtwoordmanager. Deze communicatie en training zijn essentieel voor het succes van de implementatie en voor het minimaliseren van weerstand tegen de nieuwe beveiligingsmaatregelen.
Monitoring
Gebruik PowerShell-script import-passwords-disabled.ps1 (functie Invoke-Monitoring) – Kritieke monitoring: Verifieer dat wachtwoordimport is geblokkeerd.
Effectieve monitoring van het ImportSavedPasswords-beleid is absoluut cruciaal om ervoor te zorgen dat de configuratie correct wordt toegepast en gehandhaafd op alle endpoints binnen de organisatie. Monitoring stelt beheerders in staat om snel afwijkingen te detecteren, compliance te verifiëren, en eventuele problemen proactief aan te pakken voordat deze impact hebben op gebruikers of de beveiligingspostuur van de organisatie. Een goed ingericht monitoringproces omvat zowel technische verificatie van de beleidsinstellingen als periodieke audits om te controleren of het beleid nog steeds voldoet aan de organisatorische vereisten en best practices. Gezien de kritieke aard van deze beveiligingscontrole is het aanbevolen om dagelijkse controles uit te voeren, vooral in de eerste weken na implementatie, en daarna regelmatige periodieke controles te handhaven.
De primaire methode om te verifiëren of het ImportSavedPasswords-beleid correct is geïmplementeerd, is door het controleren van de Windows-registerinstellingen op elke endpoint. De specifieke registerwaarde die moet worden geverifieerd bevindt zich in het pad HKLM:\SOFTWARE\Policies\Microsoft\Edge\ImportSavedPasswords en moet de waarde 0 bevatten om aan te geven dat het importeren van wachtwoorden is uitgeschakeld. Deze registerwaarde wordt automatisch ingesteld wanneer het beleid wordt toegepast via Intune of Group Policy, maar kan ook handmatig worden gecontroleerd door beheerders die lokale verificatie willen uitvoeren. Het is belangrijk om te begrijpen dat deze registerwaarde alleen wordt toegepast wanneer het beleid actief is via een beheersoplossing; als het beleid wordt verwijderd of de computer wordt losgekoppeld van het beheersysteem, kan deze waarde verdwijnen of worden overschreven door gebruikersinstellingen.
Organisaties moeten streven naar 100% apparaatcompliance zonder tolerantie voor uitzonderingen, omdat zelfs één niet-compliant apparaat een beveiligingsrisico vormt. Elke schending van het beleid moet onmiddellijk worden geïdentificeerd en aangepakt door middel van geautomatiseerde waarschuwingen die worden geactiveerd zodra een apparaat niet-compliant wordt. Deze waarschuwingen moeten beheerders informeren over welk apparaat betrokken is, wanneer de schending is gedetecteerd, en wat de mogelijke oorzaak is. Bovendien moet er een duidelijk escalatieproces zijn voor herhaaldelijke of systematische schendingen, waarbij de beveiligingsafdeling wordt ingeschakeld om diepgaand onderzoek uit te voeren en passende maatregelen te nemen.
Naast technische verificatie van registerwaarden moeten beheerders ook functionele tests uitvoeren om te controleren of gebruikers daadwerkelijk niet in staat zijn om wachtwoorden te importeren van andere browsers. Dit kan worden geverifieerd door te navigeren naar edge://settings/passwords in de Edge-browser en te controleren of de importoptie uitgeschakeld of niet beschikbaar is. Deze functionele verificatie is belangrijk omdat het bevestigt dat niet alleen de technische configuratie correct is, maar ook dat de gebruikersinterface correct het beleid weerspiegelt en gebruikers niet in staat stelt om het beleid te omzeilen door middel van alternatieve methoden.
Voor organisaties die Microsoft Intune gebruiken, biedt de Intune-beheerconsole ingebouwde rapportage- en compliancefuncties die automatisch de status van het beleid op alle beheerde apparaten weergeven. Beheerders kunnen dashboards raadplegen die real-time informatie tonen over welke apparaten het beleid correct hebben toegepast, welke apparaten niet-compliant zijn, en welke apparaten nog in behandeling zijn voor beleidstoepassing. Deze informatie is cruciaal voor het identificeren van endpoints die mogelijk handmatige interventie vereisen, zoals apparaten die niet regelmatig verbinding maken met het netwerk of apparaten waarop het beleid om technische redenen niet kan worden toegepast. Daarnaast kunnen beheerders geautomatiseerde waarschuwingen configureren die worden geactiveerd wanneer een apparaat niet-compliant wordt, waardoor zij onmiddellijk kunnen reageren op potentiële beveiligingsproblemen.
Het monitoren van Entra ID-aanmeldingen kan waardevolle inzichten opleveren over de adoptie van single sign-on en het gebruik van goedgekeurde authenticatiemethoden. Door het volgen van aanmeldingspatronen kunnen beheerders identificeren of gebruikers overstappen op SSO-oplossingen en of er nog steeds gebruik wordt gemaakt van traditionele wachtwoordgebaseerde authenticatie die mogelijk omzeild moet worden. Het volgen van het gebruik van wachtwoordmanagers kan ook helpen bij het verifiëren dat gebruikers corporate tools gebruiken in plaats van persoonlijke wachtwoordmanagers of onveilige methoden zoals het opschrijven van wachtwoorden. Deze monitoring moet worden gecombineerd met gebruikersondersteuning en training om ervoor te zorgen dat medewerkers begrijpen hoe zij hun wachtwoorden veilig kunnen beheren via de goedgekeurde zakelijke tools.
Voor organisaties die Group Policy gebruiken, kunnen beheerders gebruik maken van Group Policy Results (GPResult) en Group Policy Modeling tools om te verifiëren of het beleid correct wordt toegepast op specifieke computers en gebruikers. Deze tools bieden gedetailleerde informatie over welke GPO's zijn toegepast, welke instellingen actief zijn, en of er conflicten zijn met andere beleidsregels. Bovendien kunnen beheerders PowerShell-scripts gebruiken om op schaal te controleren of de registerwaarde correct is ingesteld op meerdere computers tegelijk, wat bijzonder nuttig is voor grote organisaties met honderden of duizenden endpoints. Regelmatige monitoring, idealiter dagelijks voor kritieke beveiligingscontroles en wekelijks of maandelijks voor andere controles, zorgt ervoor dat het ImportSavedPasswords-beleid consistent wordt gehandhaafd en dat eventuele problemen snel worden geïdentificeerd en opgelost.
Remediatie
Gebruik PowerShell-script import-passwords-disabled.ps1 (functie Invoke-Remediation) – Herstellen van niet-compliant configuraties.
Wanneer monitoringactiviteiten afwijkingen detecteren waarbij het ImportSavedPasswords-beleid niet correct is geïmplementeerd of is gewijzigd, moet er onmiddellijk een remediatieproces worden gestart om de configuratie te herstellen naar de gewenste staat. Niet-naleving van dit beleid vormt een kritiek beveiligingsrisico, omdat het betekent dat gebruikers mogelijk wachtwoorden hebben geïmporteerd van persoonlijke browsers, wat kan leiden tot zwakke of gecompromitteerde referenties in de zakelijke omgeving. Remediatie moet worden beschouwd als een gestructureerd proces dat verschillende stappen omvat, beginnend met de identificatie van de oorzaak van de afwijking, gevolgd door het herstellen van de correcte configuratie, en eindigend met verificatie dat het probleem daadwerkelijk is opgelost. Het is belangrijk om te begrijpen waarom de afwijking is opgetreden, omdat dit kan helpen bij het voorkomen van toekomstige problemen en bij het verbeteren van de beveiligingscontroles.
Voor endpoints die via Microsoft Intune worden beheerd, kan de remediatie vaak automatisch worden uitgevoerd door het opnieuw toepassen van het compliance-beleid. Microsoft Intune biedt de mogelijkheid om automatische remediatieacties te configureren die worden uitgevoerd zodra een niet-naleving wordt gedetecteerd, waardoor het probleem binnen minuten kan worden opgelost zonder handmatige interventie. Deze geautomatiseerde remediatie is bijzonder effectief voor eenmalige of technische problemen, zoals wanneer een apparaat tijdelijk niet verbonden was met het netwerk tijdens het toepassen van het beleid. Wanneer geautomatiseerde remediatie wordt geconfigureerd, moeten beheerders ervoor zorgen dat er waarschuwingen worden gegenereerd voor alle remediatieacties, zodat zij op de hoogte zijn van eventuele problemen en de oorzaken kunnen onderzoeken.
Bij niet-naleving moet er een kritieke escalatie naar de beveiligingsafdeling plaatsvinden, vooral wanneer er aanwijzingen zijn dat wachtwoorden mogelijk zijn geïmporteerd voordat de remediatie werd uitgevoerd. Het beveiligingsteam moet onmiddellijk worden geïnformeerd over het incident, inclusief details over welk apparaat betrokken is, wanneer de schending is gedetecteerd, en of er aanwijzingen zijn dat wachtwoorden zijn geïmporteerd. In ernstige gevallen kan het nodig zijn om het apparaat te isoleren van het netwerk totdat de compliance is hersteld en er een volledig onderzoek is uitgevoerd naar de impact van de schending. Dit voorkomt dat gecompromitteerde referenties verder verspreiden in de zakelijke omgeving en geeft het beveiligingsteam de tijd om de volledige omvang van het probleem te beoordelen.
Een kritieke stap in het remediatieproces is het onderzoeken of wachtwoorden daadwerkelijk zijn geïmporteerd voordat de remediatie werd uitgevoerd. Dit kan worden gedaan door het controleren van de wachtwoordgeschiedenis in de Edge-browser, het analyseren van audit logs, of het interviewen van de gebruiker om te begrijpen wat er is gebeurd. Als er aanwijzingen zijn dat wachtwoorden zijn geïmporteerd, moet er onmiddellijk actie worden ondernomen om alle mogelijk aangetaste accounts te identificeren en geforceerde wachtwoordresets uit te voeren voor alle accounts die mogelijk zijn gecompromitteerd. Dit is een kritieke beveiligingsmaatregel die voorkomt dat geïmporteerde zwakke of gecompromitteerde wachtwoorden worden gebruikt om toegang te krijgen tot zakelijke systemen.
Na het uitvoeren van wachtwoordresets moet er een grondige audit worden uitgevoerd om te verifiëren dat er geen zwakke geïmporteerde wachtwoorden meer in de zakelijke systemen aanwezig zijn. Deze audit moet alle wachtwoordmanagers, referentieopslaglocaties en authenticatiesystemen omvatten om ervoor te zorgen dat alle geïmporteerde referenties zijn verwijderd en vervangen door goedgekeurde zakelijke referenties. De audit moet ook controleren of gebruikers hun wachtwoorden hebben gewijzigd en of zij gebruik maken van de goedgekeurde zakelijke wachtwoordbeheermethoden. Documentatie van het volledige remediatieproces is essentieel voor compliance-doeleinden en voor het leren van incidenten om toekomstige problemen te voorkomen.
Het is belangrijk om te benadrukken dat er geen uitzonderingen mogen worden gemaakt voor dit beleid, omdat de beveiliging van referenties niet-onderhandelbaar is. Zelfs voor executive-level gebruikers of gebruikers met specifieke zakelijke vereisten moet het ImportSavedPasswords-beleid worden toegepast zonder uitzonderingen. Als er legitieme zakelijke vereisten zijn voor wachtwoordimport, moeten deze worden opgelost door het implementeren van goedgekeurde alternatieve methoden zoals single sign-on of enterprise wachtwoordmanagers, in plaats van uitzonderingen te maken op het beleid. Deze aanpak zorgt ervoor dat de beveiligingspostuur van de organisatie consistent blijft en dat alle gebruikers worden beschermd tegen de risico's van geïmporteerde zwakke of gecompromitteerde wachtwoorden.
Voor organisaties die te maken hebben met herhaaldelijke of systematische afwijkingen, kan het nodig zijn om het remediatieproces te automatiseren door gebruik te maken van geavanceerde scripts of tools die automatisch de configuratie herstellen wanneer een niet-naleving wordt gedetecteerd. Deze geautomatiseerde remediatie kan de tijd die nodig is om problemen op te lossen aanzienlijk verkorten en kan helpen bij het handhaven van een consistente configuratie across alle endpoints. Echter, het is belangrijk om te begrijpen waarom de afwijkingen optreden, omdat geautomatiseerde remediatie alleen de symptomen behandelt en niet de onderliggende oorzaak van het probleem aanpakt. Organisaties moeten daarom een balans vinden tussen geautomatiseerde remediatie voor snelle probleemoplossing en onderzoek naar de oorzaken om toekomstige problemen te voorkomen. In sommige gevallen kan herhaaldelijke niet-naleving wijzen op een systematisch probleem zoals onvoldoende gebruikersonderwijs, technische problemen met het beheerssysteem, of zelfs opzettelijke pogingen om het beleid te omzeilen, die allemaal verschillende aanpakken vereisen.
Compliance en Auditing
Het ImportSavedPasswords-beleid speelt een cruciale rol in het voldoen aan verschillende belangrijke compliance-frameworks en beveiligingsstandaarden die essentieel zijn voor moderne enterprise-omgevingen. Deze compliance-vereisten zijn niet alleen belangrijk voor het handhaven van de beveiligingspostuur van de organisatie, maar ook voor het demonstreren van due diligence aan auditors, regelgevers en stakeholders. Organisaties moeten ervoor zorgen dat hun implementatie van dit beleid volledig voldoet aan de vereisten van alle relevante compliance-frameworks die van toepassing zijn op hun sector en geografische locatie.
De CIS Microsoft Edge Benchmark bevat specifieke aanbevelingen voor wachtwoordbeheer die direct verband houden met het blokkeren van wachtwoordimport. Deze benchmark, ontwikkeld door het Center for Internet Security, biedt best practices voor het beveiligen van Microsoft Edge-browsers in enterprise-omgevingen en identificeert het blokkeren van wachtwoordimport als een kritieke beveiligingscontrole. Organisaties die willen voldoen aan de CIS Benchmark moeten ervoor zorgen dat het ImportSavedPasswords-beleid is geïmplementeerd en gehandhaafd op alle beheerde apparaten. Compliance met de CIS Benchmark wordt vaak vereist door auditors en kan helpen bij het demonstreren van een volwassen beveiligingspostuur aan stakeholders en klanten.
Zero Trust Architecture vereist dat alle referenties worden gevalideerd en goedgekeurd voordat zij toegang krijgen tot zakelijke systemen, wat direct verband houdt met het blokkeren van ongecontroleerde wachtwoordimport. In een Zero Trust-model wordt geen enkel apparaat of gebruiker automatisch vertrouwd, en alle authenticatiepogingen moeten worden gevalideerd tegen strikte beveiligingscriteria. Het toestaan van wachtwoordimport van persoonlijke browsers schendt deze fundamenten door ongevalideerde en ongekeurde referenties toe te staan in de zakelijke omgeving. Organisaties die Zero Trust-principes willen implementeren, moeten daarom het ImportSavedPasswords-beleid blokkeren en ervoor zorgen dat alle referenties afkomstig zijn van goedgekeurde bronnen zoals single sign-on-oplossingen of enterprise wachtwoordmanagers die voldoen aan de Zero Trust-vereisten.
ISO 27001:2022 controle A.5.17 vereist organisaties om authenticatie-informatie te beheren en te controleren, inclusief het implementeren van maatregelen om ervoor te zorgen dat alleen goedgekeurde en veilige referenties worden gebruikt. Deze controle vereist dat organisaties processen hebben voor het beheren van wachtwoorden en andere authenticatiegegevens, inclusief het voorkomen van het gebruik van zwakke of gecompromitteerde referenties. Het blokkeren van wachtwoordimport helpt organisaties om te voldoen aan deze controle door te voorkomen dat ongecontroleerde referenties in de zakelijke omgeving terechtkomen. Organisaties die gecertificeerd zijn of willen worden voor ISO 27001 moeten deze controle documenteren en aantonen dat zij effectieve maatregelen hebben geïmplementeerd om authenticatie-informatie te beheren.
NIST SP 800-63B Digital Identity Guidelines bevat gedetailleerde aanbevelingen voor wachtwoordkwaliteit en authenticatiemethoden die essentieel zijn voor het handhaven van sterke beveiliging. Deze richtlijnen vereisen dat wachtwoorden voldoen aan strikte complexiteitsvereisten en dat organisaties maatregelen implementeren om het gebruik van zwakke of gecompromitteerde wachtwoorden te voorkomen. Het blokkeren van wachtwoordimport helpt organisaties om te voldoen aan deze richtlijnen door te voorkomen dat zwakke persoonlijke wachtwoorden in de zakelijke omgeving terechtkomen. Bovendien vereisen de NIST-richtlijnen dat organisaties wachtwoordvalidatie en datalekdetectie implementeren, wat alleen effectief kan zijn wanneer alle wachtwoorden door deze controles worden geleid voordat zij worden gebruikt.
PCI-DSS vereiste 8.2 vereist organisaties om sterke wachtwoordbeleidsregels te implementeren die voldoen aan specifieke complexiteitsvereisten en die het gebruik van zwakke of voorspelbare wachtwoorden voorkomen. Organisaties die creditcardgegevens verwerken moeten voldoen aan deze vereiste, wat betekent dat zij effectieve maatregelen moeten implementeren om ervoor te zorgen dat alle wachtwoorden voldoen aan de PCI-DSS-eisen. Het blokkeren van wachtwoordimport is essentieel voor het voldoen aan deze vereiste, omdat het voorkomt dat zwakke persoonlijke wachtwoorden worden gebruikt in systemen die creditcardgegevens verwerken. Organisaties die niet voldoen aan PCI-DSS-vereisten kunnen worden gestraft met boetes en kunnen hun mogelijkheid verliezen om creditcardbetalingen te accepteren.
SOC 2 Type II-certificering vereist organisaties om effectieve authenticatiebeheer te implementeren als onderdeel van hun beveiligingscontroles. Deze certificering wordt vaak vereist door klanten en partners die willen verifiëren dat organisaties over effectieve beveiligingscontroles beschikken voor het beschermen van gevoelige gegevens. Het blokkeren van wachtwoordimport is een belangrijk onderdeel van effectief authenticatiebeheer, omdat het voorkomt dat ongecontroleerde referenties in de zakelijke omgeving terechtkomen. Organisaties die SOC 2 Type II-certificering willen behalen of behouden moeten aantonen dat zij effectieve maatregelen hebben geïmplementeerd voor het beheren van authenticatie-informatie, inclusief het voorkomen van het gebruik van zwakke of gecompromitteerde wachtwoorden. Regelmatige auditing van de implementatie van het ImportSavedPasswords-beleid en documentatie van compliance met deze frameworks is essentieel voor het succesvol behalen van certificeringen en het demonstreren van due diligence aan auditors en stakeholders.
Compliance & Frameworks
- CIS M365: Control wachtwoordbeheer (L1) - Blokkeer ongevalideerde wachtwoordimport - Kritiek
- ISO 27001:2022: A.5.17 - Authentication information management
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Edge Privacy: Import Passwords Disabled
.DESCRIPTION
CIS - Importeren van passwords moet disabled (security/privacy).
.NOTES
Filename: import-passwords-disabled.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Edge\ImportSavedPasswords|Expected: 0
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge"; $RegName = "ImportSavedPasswords"; $ExpectedValue = 0
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "import-passwords-disabled.ps1"; PolicyName = "Import Passwords Disabled"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; if (-not(Test-Path $RegPath)) { $r.IsCompliant = $true; $r.Details += "Default disabled"; return $r }; try { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop; $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Password import disabled" }else { $r.Details += "Password import enabled - CRITICAL" } }catch { $r.IsCompliant = $true; $r.Details += "Default" }; return $r }
function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Import passwords disabled" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
High: Hoge kritieke beveiligingsrisico. Wachtwoordimport maakt het mogelijk zwakke, gecompromitteerde of hergebruikte persoonlijke referenties in de zakelijke omgeving te brengen, waardoor alle zakelijke wachtwoordbeheer wordt omzeild (complexiteit, datalekdetectie, validatie). Zero Trust-schending door ongeverifieerde referenties. Bij een datalek is het onduidelijk of het gecompromitteerde wachtwoord door de organisatie was goedgekeurd of een geïmporteerd zwak wachtwoord was. Voor enterprise-omgevingen is dit een niet-onderhandelbare beveiligingscontrole. Alle wachtwoorden moeten afkomstig zijn van goedgekeurde bronnen: SSO, enterprise wachtwoordmanager, wachtwoordloze authenticatie. Geen uitzonderingen.
Management Samenvatting
Kritiek: Blokkeer wachtwoordimport (ImportSavedPasswords is 0). Essentieel voor referentiebeveiliging en Zero Trust. Voorkomt zwakke of gecompromitteerde persoonlijke wachtwoorden in de zakelijke omgeving. Gebruik alleen goedgekeurde referentiebronnen: Entra ID SSO, enterprise vault, Windows Hello. 100% dekking vereist. Geen uitzonderingen. Implementatie: 1-3 uur.
- Implementatietijd: 3 uur
- FTE required: 0.02 FTE