💼 Management Samenvatting
Het uitschakelen van zoekmachine-import voorkomt dat Microsoft Edge persoonlijke zoekmachines importeert van andere browsers, waardoor organisaties volledige controle behouden over welke zoekmachines medewerkers gebruiken. Deze maatregel waarborgt dat alleen goedgekeurde bedrijfszoekmachines zoals Bing of Google Enterprise worden gebruikt, wat essentieel is voor het handhaven van beveiligingsstandaarden, privacy-compliance en het voorkomen van ongeautoriseerde data-exfiltratie via onbeheerde zoekmachines.
Aanbeveling
IMPLEMENTEER
Risico zonder
Low
Risk Score
2/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Microsoft Edge
Wanneer zoekmachine-import is ingeschakeld, kunnen medewerkers tijdens de eerste configuratie van Microsoft Edge automatisch hun persoonlijke zoekmachines importeren van andere browsers zoals Google Chrome of Mozilla Firefox. Dit creëert aanzienlijke beveiligings- en compliance-risico's voor organisaties. Persoonlijke browsers gebruiken vaak niet-vertrouwde zoekmachines die privacy-invasief kunnen zijn, zwaar afhankelijk zijn van advertenties, en mogelijk tracking-technologieën gebruiken die niet voldoen aan organisatorische beveiligingsstandaarden. Deze geïmporteerde zoekmachines kunnen bedrijfsgegevens blootstellen aan externe partijen zonder toezicht of controle van de IT-afdeling. Organisaties configureren doorgaans specifieke bedrijfszoekmachines zoals Bing (met Microsoft-integratie en enterprise-beveiligingsfuncties) of Google Enterprise (met SafeSearch afgedwongen en enterprise-controles). Wanneer zoekmachine-import is ingeschakeld, kunnen deze gecontroleerde bedrijfszoekmachines worden vervangen door persoonlijke keuzes van medewerkers, waardoor alle beveiligingscontroles worden omzeild. De enterprise-aanpak vereist dat organisaties een specifieke bedrijfszoekmachine afdwingen via beheerde configuratie en dat import volledig wordt uitgeschakeld om een gecontroleerde omgeving te waarborgen waarin alleen goedgekeurde zoekmachines kunnen worden gebruikt.
PowerShell Modules Vereist
Primary API: Intune / GPO
Connection:
Required Modules:
Connection:
RegistergebaseerdRequired Modules:
Implementatie
Deze maatregel schakelt de importfunctionaliteit voor zoekmachines uit in Microsoft Edge via een Intune-beleid of Group Policy-instelling. Het specifieke beleid dat moet worden geconfigureerd is 'Enable import of search engine data', dat moet worden ingesteld op 'Disabled'. Wanneer dit beleid is uitgeschakeld, importeert Edge geen zoekmachines van andere browsers zoals Chrome of Firefox tijdens de eerste configuratie of wanneer gebruikers handmatig browserdata importeren. Dit betekent dat medewerkers alleen kunnen beschikken over de zoekmachines die expliciet zijn geconfigureerd via bedrijfsbeleid. Organisaties moeten via een apart beleid een specifieke bedrijfszoekmachine afdwingen, zoals Bing of Google Enterprise, om ervoor te zorgen dat medewerkers toegang hebben tot een goedgekeurde zoekmachine terwijl persoonlijke import wordt voorkomen.
Vereisten
Voordat u de import van zoekmachines uitschakelt in Microsoft Edge, moet uw organisatie beschikken over de juiste infrastructuur, licenties en configuratie. Deze vereisten zijn essentieel voor een succesvolle implementatie en om te waarborgen dat medewerkers nog steeds toegang hebben tot functionele zoekmachines terwijl ongeautoriseerde import wordt voorkomen.
De primaire technische vereiste is de aanwezigheid van Microsoft Edge op alle beheerde apparaten. Microsoft Edge moet zijn geïnstalleerd en geconfigureerd als de standaard browser voor de organisatie. Voor Windows-apparaten is Edge standaard geïnstalleerd vanaf Windows 10 versie 20H2 en later, maar voor oudere versies of andere besturingssystemen moet Edge mogelijk handmatig worden geïnstalleerd. Organisaties moeten ervoor zorgen dat alle apparaten dezelfde versie van Edge gebruiken of minimaal een versie die ondersteuning biedt voor de vereiste beleidsinstellingen. Het is belangrijk om te verifiëren dat Edge is geconfigureerd als de standaard browser en dat medewerkers niet kunnen overschakelen naar andere browsers zonder toestemming, omdat dit de effectiviteit van de maatregel zou kunnen ondermijnen.
Een kritieke vereiste is de configuratie van een bedrijfszoekmachine voordat de import wordt uitgeschakeld. Organisaties moeten een specifieke zoekmachine selecteren en configureren die voldoet aan hun beveiligings- en compliance-vereisten. Veel voorkomende keuzes zijn Microsoft Bing (met enterprise-integratie en Microsoft 365-connectiviteit) of Google Enterprise Search (met SafeSearch afgedwongen en enterprise-beveiligingscontroles). De gekozen zoekmachine moet worden geconfigureerd via een apart Intune-beleid of Group Policy-object om ervoor te zorgen dat deze automatisch wordt ingesteld als de standaard zoekmachine voor alle gebruikers. Zonder deze configuratie zouden medewerkers mogelijk geen werkende zoekmachine hebben nadat import is uitgeschakeld, wat de productiviteit zou kunnen beïnvloeden en tot support-vragen zou kunnen leiden.
Voor de implementatie van het beleid is een beheeroplossing vereist. Organisaties kunnen kiezen tussen Microsoft Intune (voor cloud-based device management) of Group Policy Objects (GPO) voor on-premises Active Directory-omgevingen. Microsoft Intune is de aanbevolen oplossing voor moderne hybride en cloud-first organisaties, omdat het centrale beheer biedt voor zowel on-premises als cloud-apparaten. Intune vereist een Microsoft 365 E3 of E5 licentie, of een standalone Intune-licentie. Voor organisaties die nog steeds gebruikmaken van on-premises Active Directory, kunnen Group Policy Objects worden gebruikt via de Microsoft Edge Administrative Templates. Deze templates moeten worden gedownload en geïnstalleerd op de Group Policy Management Console-server. Ongeacht welke oplossing wordt gebruikt, moet de beheerder beschikken over de juiste rechten om beleid te maken en toe te wijzen aan gebruikers of apparaten.
Organisaties moeten een duidelijk beleid hebben gedefinieerd over welke zoekmachines zijn toegestaan en waarom import wordt uitgeschakeld. Dit beleid moet worden gecommuniceerd naar medewerkers voordat de wijziging wordt geïmplementeerd om verwachtingen te beheren en vragen te voorkomen. Het beleid moet ook specificeren of er uitzonderingen zijn voor specifieke gebruikersgroepen of use cases, en hoe deze uitzonderingen worden beheerd. Daarnaast moet er een proces zijn voor het evalueren van nieuwe zoekmachines die mogelijk in de toekomst moeten worden toegevoegd aan de lijst van goedgekeurde opties.
Voor organisaties die gebruikmaken van Microsoft Intune, is het belangrijk om te verifiëren dat alle apparaten correct zijn ingeschreven en dat compliance-beleid is geconfigureerd om te waarborgen dat apparaten voldoen aan de vereisten. Apparaten moeten zijn toegevoegd aan de juiste groepen en moeten beschikken over de benodigde Intune-licenties. Voor hybride omgevingen waarbij zowel Intune als Group Policy worden gebruikt, moet er een duidelijke strategie zijn voor het beheren van beleidsconflicten, omdat beide systemen mogelijk verschillende instellingen proberen toe te passen.
Ten slotte moet er een testomgeving zijn beschikbaar waar de configuratie kan worden gevalideerd voordat deze wordt geïmplementeerd in productie. Deze testomgeving moet representatief zijn voor de productieomgeving en moet verschillende scenario's kunnen simuleren, zoals nieuwe gebruikers die Edge voor het eerst configureren, bestaande gebruikers die proberen data te importeren, en gebruikers die handmatig zoekmachines proberen toe te voegen. Testing helpt bij het identificeren van potentiële problemen en zorgt ervoor dat de implementatie soepel verloopt zonder onverwachte impact op de productiviteit van medewerkers.
Implementatie
De implementatie van deze beveiligingsmaatregel begint met het voorbereiden van de omgeving. Voordat de policy wordt toegepast, moet worden gecontroleerd of alle apparaten de vereiste versie van Microsoft Edge hebben geïnstalleerd. Daarnaast moet de door de organisatie goedgekeurde zoekmachine al zijn geconfigureerd via een aparte policy-instelling. Dit voorkomt dat gebruikers zonder werkende zoekmachine komen te zitten wanneer de importfunctionaliteit wordt uitgeschakeld.
Voor organisaties die Microsoft Intune gebruiken, wordt de implementatie uitgevoerd via de Intune Settings Catalog. Navigeer naar Endpoint Security of Device Configuration en selecteer Profiles. Maak een nieuw profiel aan of bewerk een bestaand profiel dat is toegewezen aan de relevante apparaten of gebruikersgroepen. Selecteer de Settings Catalog als profieltype en zoek naar Microsoft Edge. Binnen de Edge-instellingen, navigeer naar de categorie Importing. Zoek de instelling 'Enable import of search engine data' en stel deze in op Disabled. Sla het profiel op en wijs het toe aan de gewenste groepen apparaten of gebruikers.
Bij gebruik van Group Policy Objects wordt de implementatie uitgevoerd via de Group Policy Management Console. Navigeer naar de gewenste Organizational Unit of maak een nieuwe GPO aan. Open de GPO voor bewerking en navigeer naar Computer Configuration of User Configuration, afhankelijk van of de instelling per apparaat of per gebruiker moet worden toegepast. Ga naar Policies, Administrative Templates, Microsoft Edge en vervolgens naar de sectie Importing. Zoek de policy-instelling 'Enable import of search engine data' en stel deze in op Disabled. Pas de GPO toe op de relevante Organizational Units en forceer een Group Policy update op de werkstations om de wijzigingen direct door te voeren.
Na het toepassen van de policy moet worden gecontroleerd of de instelling daadwerkelijk is geactiveerd op de doelapparaten. Dit kan worden gedaan door de registry te controleren op de waarde van de relevante policy-sleutel, of door gebruik te maken van de monitoring-scripts die beschikbaar zijn voor deze maatregel. Het is aan te raden om eerst een testgroep te gebruiken voordat de policy wordt uitgerold naar de volledige organisatie. Dit maakt het mogelijk om eventuele problemen te identificeren en op te lossen voordat alle gebruikers worden beïnvloed.
Tijdens de implementatie moet er ook aandacht zijn voor communicatie naar gebruikers. Informeer gebruikers over de wijziging en leg uit waarom deze maatregel wordt genomen. Dit helpt om weerstand te verminderen en zorgt ervoor dat gebruikers begrijpen dat dit onderdeel is van de algemene beveiligingsstrategie van de organisatie. Documenteer de implementatie volledig, inclusief de datum waarop de policy is toegepast, welke apparaten of gebruikersgroepen zijn betrokken, en eventuele uitzonderingen die zijn gemaakt.
Na de implementatie moet er een proces zijn voor het beheren van wijzigingen en uitzonderingen. Als er legitieme zakelijke redenen zijn om de importfunctionaliteit tijdelijk in te schakelen voor specifieke gebruikers of apparaten, moet dit worden gedocumenteerd en goedgekeurd volgens het vastgestelde proces. Regelmatige evaluatie van de effectiviteit van de maatregel is belangrijk om te verifiëren dat deze nog steeds voldoet aan de beveiligingsdoelstellingen en dat er geen onbedoelde gevolgen zijn voor de productiviteit van gebruikers.
Compliance
Deze beveiligingsmaatregel draagt bij aan de naleving van verschillende compliance-vereisten, met name de Baseline Informatiebeveiliging Overheid (BIO). Binnen het BIO-framework valt deze maatregel onder controle 12.05, die betrekking heeft op applicatiecontrole. Deze controle vereist dat organisaties maatregelen treffen om te voorkomen dat ongeautoriseerde of onveilige applicaties worden gebruikt binnen de IT-omgeving.
Het uitschakelen van zoekmachine-import is een vorm van applicatiecontrole omdat het voorkomt dat gebruikers onbeheerde zoekmachines gebruiken die mogelijk niet voldoen aan de beveiligingsstandaarden van de organisatie. Door alleen goedgekeurde zoekmachines toe te staan, behoudt de organisatie controle over welke diensten worden gebruikt en kan worden gegarandeerd dat deze diensten voldoen aan de vereisten voor gegevensbescherming, privacy en beveiliging. Dit is met name belangrijk voor overheidsorganisaties die moeten voldoen aan strikte eisen voor gegevensbescherming en privacy.
Naast BIO-naleving draagt deze maatregel ook bij aan de naleving van de Algemene Verordening Gegevensbescherming (AVG). Door alleen goedgekeurde zoekmachines toe te staan die zijn geconfigureerd met passende privacy-instellingen, zoals SafeSearch, kan de organisatie beter controleren welke gegevens worden verzameld en hoe deze worden gebruikt. Dit is met name relevant wanneer gebruikers zoeken naar informatie die mogelijk persoonsgegevens bevat of betrekking heeft op gevoelige onderwerpen.
Voor organisaties die moeten voldoen aan ISO 27001-normen, draagt deze maatregel bij aan verschillende beveiligingscontroles, waaronder controle A.12.6.1 (Management of technical vulnerabilities) en A.12.6.2 (Restrictions on software installation). Door het beperken van de beschikbare zoekmachines tot alleen goedgekeurde opties, vermindert de organisatie het risico op beveiligingslekken die kunnen ontstaan door het gebruik van onbeheerde of onveilige diensten.
Vanuit auditperspectief moet de organisatie kunnen aantonen dat deze maatregel is geïmplementeerd en wordt gehandhaafd. Dit vereist regelmatige monitoring en rapportage over de status van de policy-instellingen. De auditbewijzen moeten worden bewaard gedurende de vereiste bewaartermijn, die voor overheidsorganisaties doorgaans zeven jaar bedraagt. Dit omvat documentatie van de policy-configuratie, monitoringrapporten, en eventuele uitzonderingen of afwijkingen die zijn goedgekeurd.
Bij het implementeren van deze maatregel moet ook rekening worden gehouden met eventuele sector-specifieke compliance-vereisten. Verschillende sectoren kunnen aanvullende eisen hebben voor applicatiecontrole en gegevensbescherming. Het is belangrijk om deze vereisten te identificeren en te verifiëren dat de implementatie van deze maatregel hieraan voldoet. Regelmatige evaluatie en bijwerking van de compliance-status is essentieel om te garanderen dat de organisatie blijft voldoen aan alle relevante regelgeving en normen.
Monitoring
Gebruik PowerShell-script import-search-engine-disabled.ps1 (functie Invoke-Monitoring) – Automatiseert monitoring van zoekmachine-import configuratie en detecteert afwijkingen.
Effectieve monitoring van het uitschakelen van zoekmachine-import is essentieel om te waarborgen dat de beveiligingsmaatregel correct wordt gehandhaafd en dat eventuele afwijkingen tijdig worden gedetecteerd en gecorrigeerd. Monitoring omvat het continu volgen van de policy-status op alle beheerde apparaten, het detecteren van configuratiewijzigingen die kunnen wijzen op pogingen om het beleid te omzeilen, en het verifiëren dat alleen goedgekeurde zoekmachines worden gebruikt. Zonder uitgebreide monitoring kunnen organisaties niet garanderen dat de maatregel effectief is en dat ze voldoen aan compliance-vereisten zoals BIO controle 12.05.
De basis van monitoring wordt gevormd door regelmatige verificatie van de policy-instelling op alle beheerde apparaten. Voor Microsoft Intune-gebeheerde apparaten kan dit worden gedaan via de Endpoint Manager admin center, waar de compliance-status van configuratieprofielen kan worden gemonitord. De compliance-status toont per apparaat of het profiel correct is toegepast en of er eventuele fouten zijn opgetreden tijdens de implementatie. Organisaties moeten wekelijks de compliance-status controleren en onderzoeken waarom apparaten mogelijk niet-compliant zijn. Voor Group Policy-gebaseerde implementaties kan monitoring worden uitgevoerd via Group Policy Results (gpresult) of Group Policy Modeling in de Group Policy Management Console, die laat zien welke policies zijn toegepast op specifieke apparaten of gebruikers.
Een geautomatiseerd monitoring script, zoals het beschikbare PowerShell-script 'import-search-engine-disabled.ps1' met de functie 'Invoke-Monitoring', kan worden gebruikt om de configuratie te controleren op meerdere apparaten tegelijk. Dit script controleert de registry-waarden of Edge-beleidsinstellingen om te verifiëren dat de importfunctionaliteit daadwerkelijk is uitgeschakeld. Het script kan worden uitgevoerd als een geplande taak via Task Scheduler of kan worden geïntegreerd in een groter monitoring- en compliance-rapportagesysteem. Het script moet worden geconfigureerd om regelmatig te draaien, bij voorkeur dagelijks of wekelijks, afhankelijk van de beveiligingsvereisten van de organisatie.
Naast het controleren van de policy-status, moet monitoring ook gericht zijn op het detecteren van ongebruikelijke zoekmachine-activiteit die kan wijzen op pogingen om het beleid te omzeilen. Dit kan worden gedaan door te monitoren welke zoekmachines daadwerkelijk worden gebruikt door medewerkers, bijvoorbeeld via webbrowser-logging of via network monitoring tools die zoekverzoeken kunnen detecteren. Als er ongebruikelijke zoekmachines worden gedetecteerd die niet op de goedgekeurde lijst staan, moet dit worden onderzocht om te bepalen of dit het gevolg is van een mislukte policy-implementatie, handmatige configuratiewijzigingen, of andere oorzaken.
Voor organisaties die gebruikmaken van Microsoft Intune, kunnen compliance policies worden geconfigureerd om automatisch te waarschuwen wanneer apparaten niet voldoen aan de vereisten. Deze compliance policies kunnen worden gekoppeld aan conditional access policies om toegang tot bedrijfsresources te blokkeren voor apparaten die niet-compliant zijn. Dit zorgt voor een proactieve aanpak waarbij niet-compliant apparaten automatisch worden geïdentificeerd en waarbij gebruikers worden aangemoedigd om hun configuratie te corrigeren voordat ze toegang verliezen tot bedrijfsresources.
Rapportage is een belangrijk onderdeel van monitoring. Organisaties moeten regelmatig rapporten genereren die de compliance-status van de maatregel weergeven, inclusief het percentage apparaten dat compliant is, het aantal geconstateerde afwijkingen, en de trends over tijd. Deze rapporten moeten worden gedeeld met relevante stakeholders, zoals het security team, compliance officers, en IT management. De rapporten moeten ook worden gebruikt om trends te identificeren en om het monitoring- en remediatieproces continu te verbeteren.
Voor auditdoeleinden moeten alle monitoring-activiteiten worden gedocumenteerd en bewaard voor de vereiste bewaartermijn, die voor overheidsorganisaties doorgaans zeven jaar bedraagt. Dit omvat logs van monitoring-scripts, compliance-rapporten, en documentatie van eventuele afwijkingen die zijn geconstateerd en hoe deze zijn opgelost. Deze documentatie is essentieel voor het succesvol doorstaan van compliance-audits en voor het aantonen van due diligence bij beveiligingsincidenten.
Ten slotte moet er een proces zijn voor het escaleren van kritieke afwijkingen. Als er een significant aantal apparaten niet-compliant is, of als er aanwijzingen zijn voor opzettelijke pogingen om het beleid te omzeilen, moet dit onmiddellijk worden geëscaleerd naar het security team of IT management. Het escalatieproces moet duidelijke drempels hebben die bepalen wanneer een afwijking als kritiek wordt beschouwd en wie moet worden geïnformeerd. Dit zorgt ervoor dat ernstige problemen snel worden aangepakt en dat de beveiligingsmaatregel effectief blijft.
Remediatie
Wanneer monitoring of andere controles aangeven dat de policy-instelling voor het uitschakelen van zoekmachine-import niet correct is toegepast of dat er afwijkingen zijn geconstateerd, moet er een gestructureerd remediatieproces worden gevolgd om de situatie te corrigeren. Het remediatieproces moet snel en effectief zijn om te voorkomen dat de beveiligingsmaatregel wordt omzeild en om de compliance-status van de organisatie te behouden.
Het eerste stap in het remediatieproces is het identificeren van de oorzaak van de afwijking. Dit kan verschillende redenen hebben, zoals een mislukte policy-implementatie, handmatige wijzigingen door gebruikers, software-updates die de configuratie hebben gewijzigd, of technische problemen met het beheersysteem. Een grondige analyse van de afwijking is essentieel om de juiste remediatie-actie te kunnen bepalen.
Voor apparaten waar de policy-instelling niet correct is toegepast, moet de policy opnieuw worden toegepast via het beheersysteem. In Microsoft Intune kan dit worden gedaan door de policy opnieuw toe te wijzen aan het apparaat of door het apparaat te dwingen om de policy opnieuw te synchroniseren. Voor GPO-gebaseerde implementaties kan dit worden gedaan door het geforceerd uitvoeren van een Group Policy update op het betreffende apparaat. Na het opnieuw toepassen van de policy moet worden geverifieerd dat de instelling correct is geactiveerd.
In gevallen waar handmatige wijzigingen zijn aangebracht door gebruikers, moet naast het herstellen van de configuratie ook worden onderzocht waarom de gebruiker deze wijziging heeft gemaakt. Dit kan wijzen op een gebrek aan begrip van het beleid, ontevredenheid met de goedgekeurde zoekmachine, of opzettelijke pogingen om het beleid te omzeilen. Afhankelijk van de situatie kan dit leiden tot aanvullende gebruikerscommunicatie, training, of in ernstige gevallen tot disciplinaire maatregelen.
Een geautomatiseerd remediatie script, zoals het beschikbare PowerShell-script 'import-search-engine-disabled.ps1' met de functie 'Invoke-Remediation', kan worden gebruikt om de configuratie automatisch te herstellen op apparaten waar afwijkingen zijn geconstateerd. Dit script kan worden uitgevoerd als onderdeel van een geplande remediatie-taak of kan worden getriggerd door het monitoring systeem wanneer een afwijking wordt gedetecteerd. Het gebruik van geautomatiseerde remediatie verhoogt de snelheid van het herstelproces en vermindert de werklast voor het IT-team.
Na het uitvoeren van de remediatie-actie moet worden geverifieerd dat de configuratie correct is hersteld. Dit moet worden gedaan via dezelfde monitoringmethoden die worden gebruikt voor reguliere compliance-controles. De verificatie moet worden uitgevoerd binnen een redelijke termijn na de remediatie, bij voorkeur binnen 24 uur, om te zorgen dat de afwijking daadwerkelijk is opgelost en niet opnieuw optreedt.
Alle remediatie-acties moeten worden gedocumenteerd, inclusief de geconstateerde afwijking, de geïdentificeerde oorzaak, de uitgevoerde remediatie-actie, en het resultaat van de verificatie. Deze documentatie is belangrijk voor trendanalyse, voor het verbeteren van het remediatieproces, en voor compliance-rapportage. De documentatie moet worden bewaard voor de vereiste bewaartermijn en moet beschikbaar zijn voor audits.
Als er regelmatig dezelfde afwijkingen optreden, kan dit wijzen op een systematisch probleem dat moet worden aangepakt. Dit kan bijvoorbeeld betekenen dat de policy-instelling niet correct is geconfigureerd, dat er een technisch probleem is met het beheersysteem, of dat er aanvullende maatregelen nodig zijn om te voorkomen dat gebruikers de configuratie wijzigen. In dergelijke gevallen moet een root cause analysis worden uitgevoerd en moeten structurele oplossingen worden geïmplementeerd.
Het remediatieproces moet worden geïntegreerd in het algemene incident response proces van de organisatie. Dit zorgt ervoor dat remediatie-acties worden uitgevoerd volgens de vastgestelde procedures en dat er goede coördinatie is tussen verschillende teams die betrokken zijn bij het oplossen van beveiligings- en compliance-problemen. Regelmatige evaluatie en verbetering van het remediatieproces is essentieel om ervoor te zorgen dat het effectief blijft en dat de responssnelheid wordt geoptimaliseerd.
Gebruik PowerShell-script import-search-engine-disabled.ps1 (functie Invoke-Remediation) – Herstellen.
Compliance & Frameworks
- BIO: 12.05.01 -
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Edge Privacy: Import Search Engine Disabled
.DESCRIPTION
CIS - Importeren van search engine moet disabled.
.NOTES
Filename: import-search-engine-disabled.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Edge\ImportSearchEngine|Expected: 0
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge"; $RegName = "ImportSearchEngine"; $ExpectedValue = 0
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "import-search-engine-disabled.ps1"; PolicyName = "Import Search Engine Disabled"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; if (-not(Test-Path $RegPath)) { $r.IsCompliant = $true; $r.Details += "Default disabled"; return $r }; try { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop; $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Search engine import disabled" }else { $r.Details += "Search engine import enabled" } }catch { $r.IsCompliant = $true; $r.Details += "Default" }; return $r }
function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Import search engine disabled" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
Low: Laag risico: Zoekmachine-import omzeilt de controle over bedrijfszoekmachines. Wanneer medewerkers persoonlijke zoekmachines kunnen importeren van andere browsers, kunnen ze onbeheerde of onveilige zoekmachines gebruiken die niet voldoen aan organisatorische beveiligingsstandaarden. Dit kan leiden tot privacy-risico's, ongeautoriseerde data-exfiltratie, en compliance-problemen. Hoewel het risico laag is in vergelijking met andere beveiligingsmaatregelen, is het belangrijk om deze controle te behouden om te waarborgen dat alleen goedgekeurde zoekmachines worden gebruikt.
Management Samenvatting
Schakel de import van zoekmachines uit in Microsoft Edge om te voorkomen dat medewerkers persoonlijke zoekmachines importeren van andere browsers. Deze maatregel waarborgt dat alleen goedgekeurde bedrijfszoekmachines zoals Bing of Google Enterprise worden gebruikt, wat essentieel is voor het handhaven van beveiligingsstandaarden en privacy-compliance. De implementatie vereist configuratie via Microsoft Intune of Group Policy en duurt 1-2 uur inclusief planning, configuratie en verificatie. Organisaties moeten ervoor zorgen dat een bedrijfszoekmachine is geconfigureerd voordat import wordt uitgeschakeld om te voorkomen dat medewerkers zonder werkende zoekmachine komen te zitten.
- Implementatietijd: 2 uur
- FTE required: 0.01 FTE