BIO 11.01.01 ISO A.8.11

In-App Ondersteuning Uitgeschakeld

📅 2025-10-30
⏱️ 4 minuten lezen
🟢 Should-Have

💼 Management Samenvatting

Schakel de in-app ondersteuningsfunctie uit om telemetrie naar Microsoft-services te voorkomen en gebruik te maken van bedrijfsondersteuningskanalen.

Aanbeveling
IMPLEMENT
Risico zonder
Low
Risk Score
3/10
Implementatie
0.75u (tech: 0.25u)
Van toepassing op:
Edge

De InAppSupportEnabled-functie stelt gebruikers in staat om direct vanuit de browser contact op te nemen met Microsoft-ondersteuning. Voor bedrijfsomgevingen brengt dit verschillende risico's en uitdagingen met zich mee. Ten eerste betreft het telemetrie: de ondersteuningsfunctie verzamelt diagnostische gegevens en stuurt deze naar Microsoft, wat kan leiden tot onbedoelde gegevensuitwisseling buiten de controle van de organisatie. Deze gegevensuitwisseling kan gevoelige informatie bevatten over het browsergebruik, bezochte websites en configuratie-instellingen, waardoor organisaties controle verliezen over welke informatie wordt gedeeld met externe partijen. Ten tweede gaat het om controle over ondersteuningskanalen: bedrijfsorganisaties hebben eigen helpdesk- en ondersteuningsprocedures die moeten worden gevolgd. Direct contact met Microsoft omzeilt deze bedrijfsondersteuningsstructuur, wat kan leiden tot inconsistenties in ticketbeheer en verlies van zichtbaarheid op ondersteuningsvragen. Dit maakt het voor IT-beheerders moeilijk om een compleet overzicht te krijgen van alle ondersteuningsvragen binnen de organisatie, wat de algehele IT-beheerprocessen kan verstoren. Ten derde speelt privacy een belangrijke rol: ondersteuningsinteracties kunnen gevoelig browser-gedrag blootleggen, zoals welke websites worden bezocht, welke extensies worden gebruikt, en andere browsergerelateerde activiteiten die mogelijk vertrouwelijke informatie bevatten. Deze informatie kan persoonlijke of bedrijfsgevoelige gegevens bevatten die niet buiten de organisatie zouden moeten worden gedeeld zonder passende controles en toestemming. Ten vierde zijn er kostenoverwegingen: bedrijfsondersteuningscontracten moeten worden benut, niet consumentenondersteuning van Microsoft. Bedrijfsondersteuning moet plaatsvinden via beheerde kanalen zoals interne helpdesks, beheerde ondersteuningscontracten en goedgekeurde leveranciers. Door de in-app ondersteuningsfunctie uit te schakelen, zorgt de organisatie ervoor dat alle ondersteuningsvragen via de juiste bedrijfskanalen worden afgehandeld, wat leidt tot betere controle, naleving van regelgeving en kostenbeheersing.

PowerShell Modules Vereist
Primary API: Intune/GPO
Connection: N/A
Required Modules:

Implementatie

InAppSupportEnabled ingesteld op 0 betekent dat de in-app ondersteuning is uitgeschakeld. Gebruikers kunnen niet langer direct Microsoft-ondersteuning benaderen vanuit de browser. Alle ondersteuningsvragen moeten via de bedrijfshelpdesk worden afgehandeld, wat zorgt voor consistente procedures, juiste ticketregistratie en naleving van interne ondersteuningsprocessen. Deze configuratie zorgt ervoor dat alle ondersteuningsinteracties worden vastgelegd in het ticketingsysteem van de organisatie, waardoor volledige traceerbaarheid wordt gegarandeerd en de kwaliteit van de ondersteuning kan worden gemonitord en verbeterd.

Implementatie

De implementatie van het uitschakelen van in-app ondersteuning in Microsoft Edge vereist een gestructureerde aanpak die zowel technische configuratie als organisatorische communicatie omvat. Deze maatregel is essentieel voor bedrijfsorganisaties die volledige controle willen behouden over hun ondersteuningskanalen en telemetriestromen willen beperken. Het implementatieproces begint met een grondige analyse van de huidige ondersteuningsinfrastructuur binnen de organisatie. Beheerders moeten eerst in kaart brengen welke ondersteuningskanalen momenteel beschikbaar zijn, hoe gebruikers gewend zijn om hulp te krijgen, en welke impact het uitschakelen van de in-app functie zal hebben op de gebruikerservaring. Deze analyse vormt de basis voor een succesvolle implementatie die zowel technisch als organisatorisch goed wordt ondersteund. Tijdens deze analyse moeten beheerders ook de verwachte toename in helpdesktickets inschatten en zorgen dat de helpdesk voldoende capaciteit heeft om de extra vragen op te vangen. Bovendien moeten bestaande documentatie en procedures worden geëvalueerd om te bepalen of deze voldoende zijn om gebruikers effectief te helpen met Edge-gerelateerde problemen.

De technische implementatie begint met het configureren van de InAppSupportEnabled-beleidsinstelling via Microsoft Intune of Group Policy Objects (GPO). In Microsoft Intune navigeert de beheerder naar het Edge-beleid en stelt de InAppSupportEnabled-instelling in op False, wat overeenkomt met de waarde 0 in het Windows-register. Deze configuratie zorgt ervoor dat de in-app ondersteuningsfunctie volledig wordt uitgeschakeld op alle beheerde apparaten. Voor organisaties die Group Policy gebruiken, wordt dezelfde instelling geconfigureerd via de Microsoft Edge-beleidsadministratiesjablonen, waarbij de registerwaarde HKLM:\SOFTWARE\Policies\Microsoft\Edge\InAppSupportEnabled wordt ingesteld op 0. Het is belangrijk om te verifiëren dat de beleidsinstelling correct wordt toegepast door middel van testapparaten voordat de configuratie wordt uitgerold naar de volledige organisatie. Beheerders moeten ook rekening houden met verschillende Edge-versies, omdat nieuwe versies mogelijk aanvullende configuratieopties kunnen introduceren die moeten worden overwogen.

Naast de technische configuratie is communicatie naar gebruikers cruciaal voor het succes van deze implementatie. Organisaties moeten gebruikers duidelijk informeren over de beschikbare bedrijfsondersteuningskanalen. Dit omvat het verstrekken van contactgegevens voor de interne helpdesk, uitleg over het ticketingsysteem, en richtlijnen voor het melden van browser-gerelateerde problemen. Deze communicatie kan plaatsvinden via verschillende kanalen zoals e-mail, intranet, of tijdens gebruikersinformatiesessies. Het is belangrijk dat gebruikers begrijpen waarom deze wijziging wordt doorgevoerd en hoe ze effectief ondersteuning kunnen krijgen wanneer dat nodig is. De communicatie moet transparant zijn over de redenen achter deze maatregel, waarbij privacy- en beveiligingsoverwegingen worden uitgelegd op een manier die voor niet-technische gebruikers begrijpelijk is. Organisaties moeten ook proactief zijn in het aanbieden van alternatieve ondersteuningsmethoden, zodat gebruikers niet het gevoel krijgen dat hun toegang tot hulp wordt beperkt, maar eerder dat deze wordt gestroomlijnd via de juiste kanalen. De communicatie moet ook concrete voorbeelden bevatten van hoe gebruikers hulp kunnen krijgen voor veelvoorkomende Edge-problemen, zoals het resetten van de browser, het oplossen van synchronisatieproblemen, of het omgaan met extensieconflicten. Door gebruikers praktische voorbeelden te geven, worden ze beter voorbereid op het gebruik van de bedrijfsondersteuningskanalen.

Documentatie van helpdeskprocedures voor browser-gerelateerde problemen vormt een essentieel onderdeel van de implementatie. Helpdeskmedewerkers moeten worden getraind in het omgaan met Edge-specifieke vragen en moeten toegang hebben tot documentatie over veelvoorkomende problemen en oplossingen. Deze documentatie moet regelmatig worden bijgewerkt om nieuwe Edge-functies en bekende problemen te reflecteren. Bovendien moeten er duidelijke escalatiepaden zijn voor complexe problemen die mogelijk contact met Microsoft-ondersteuning vereisen via de juiste bedrijfskanalen. De helpdeskdocumentatie moet uitgebreide informatie bevatten over veelvoorkomende Edge-problemen, zoals synchronisatieproblemen, extensieconflicten, prestatieproblemen, en configuratievragen. Elke procedure moet stap-voor-stap instructies bevatten die helpdeskmedewerkers kunnen volgen om gebruikers effectief te helpen. Daarnaast moeten er duidelijke richtlijnen zijn voor wanneer een probleem moet worden geëscaleerd naar een hoger niveau of naar Microsoft-ondersteuning via bedrijfskanalen, inclusief welke informatie moet worden verzameld voordat een escalatie plaatsvindt. Deze training moet zowel theoretische als praktische componenten bevatten, waarbij helpdeskmedewerkers de mogelijkheid krijgen om te oefenen met verschillende scenario's. Regelmatige opfriscursussen moeten worden georganiseerd om ervoor te zorgen dat medewerkers op de hoogte blijven van nieuwe Edge-functies, wijzigingen in configuratieopties, en best practices voor ondersteuning. Bovendien moet er een kennisbank worden onderhouden met veelgestelde vragen en oplossingen die zowel helpdeskmedewerkers als gebruikers kunnen raadplegen.

Gebruik PowerShell-script in-app-support-disabled.ps1 (functie Invoke-Remediation) – PowerShell script voor geautomatiseerde uitschakeling van in-app ondersteuning via registerconfiguratie en Intune-beleid.

De implementatie moet worden getest in een pilotomgeving voordat deze wordt uitgerold naar de volledige organisatie. Tijdens de testfase moeten verschillende scenario's worden geëvalueerd, waaronder het verifiëren dat de ondersteuningsfunctie daadwerkelijk is uitgeschakeld, het testen van alternatieve ondersteuningskanalen, en het monitoren van gebruikersfeedback. Na een succesvolle testperiode kan de implementatie worden uitgerold naar productie, waarbij een gefaseerde aanpak wordt aanbevolen om eventuele problemen tijdig te kunnen identificeren en op te lossen. De pilotfase moet minimaal twee weken duren en moet verschillende gebruikersgroepen omvatten, waaronder zowel technische als niet-technische gebruikers. Tijdens deze periode moeten beheerders nauwlettend monitoren of gebruikers problemen ondervinden bij het verkrijgen van ondersteuning via de bedrijfskanalen, en of er een toename is in helpdesktickets. Feedback van pilotgebruikers moet worden verzameld en geanalyseerd om eventuele verbeteringen door te voeren voordat de volledige uitrol plaatsvindt. De gefaseerde uitrol kan worden georganiseerd per afdeling, locatie, of gebruikersgroep, waarbij elke fase minimaal een week duurt om voldoende tijd te hebben voor monitoring en aanpassingen. Tijdens elke fase moeten beheerders niet alleen technische aspecten monitoren, maar ook de gebruikerservaring evalueren om te zorgen dat de overgang naar bedrijfsondersteuningskanalen soepel verloopt. Indien nodig moeten communicatiestrategieën worden aangepast op basis van de feedback die wordt ontvangen tijdens de pilot en gefaseerde uitrol. Deze iteratieve aanpak zorgt ervoor dat eventuele problemen vroegtijdig worden geïdentificeerd en opgelost voordat de implementatie wordt uitgebreid naar de volledige organisatie.

Monitoring en Verificatie

Effectieve monitoring en verificatie van de InAppSupportEnabled-configuratie zijn essentieel om ervoor te zorgen dat de instelling correct wordt toegepast en blijft gehandhaafd op alle beheerde apparaten. Monitoring omvat zowel technische verificatie van de configuratie als het bijhouden van ondersteuningsstatistieken om te bepalen of gebruikers nog steeds proberen de in-app ondersteuning te gebruiken. Een goed ingericht monitoringsysteem stelt organisaties in staat om proactief te reageren op configuratiewijzigingen en trends in ondersteuningsvragen te identificeren, wat bijdraagt aan de algehele effectiviteit van de beveiligingsmaatregel. Het monitoringsproces moet continu zijn en niet beperkt blijven tot eenmalige controles, omdat configuraties kunnen veranderen door verschillende factoren zoals software-updates, handmatige wijzigingen, of conflicterende beleidsinstellingen. Deze continue monitoring maakt deel uit van een bredere strategie voor configuratiemanagement en compliance-verificatie, waarbij organisaties niet alleen reageren op problemen maar ook proactief voorkomen dat configuraties worden gewijzigd. Door regelmatige monitoring kunnen beheerders snel trends identificeren die kunnen wijzen op systematische problemen, zoals gebruikers die regelmatig proberen configuraties te wijzigen of bepaalde afdelingen die vaker problemen ondervinden met de nieuwe ondersteuningsstructuur.

De primaire verificatiemethode is het controleren van de registerwaarde HKLM:\SOFTWARE\Policies\Microsoft\Edge\InAppSupportEnabled, die ingesteld moet zijn op 0 om de functie uit te schakelen. Deze verificatie kan worden uitgevoerd via PowerShell-scripts die regelmatig worden uitgevoerd als onderdeel van compliance-controles. Het script controleert de registerwaarde op alle beheerde apparaten en rapporteert eventuele afwijkingen waarbij de waarde niet op 0 staat. Dergelijke afwijkingen kunnen wijzen op handmatige wijzigingen door gebruikers, conflicterende beleidsinstellingen, of configuratiefouten die moeten worden gecorrigeerd. Het is belangrijk dat deze verificatiescripts robuust zijn en verschillende scenario's kunnen afhandelen, zoals apparaten die tijdelijk offline zijn, apparaten met verschillende Edge-versies, of apparaten met beperkte rechten. De scripts moeten ook gedetailleerde logging bevatten die beheerders in staat stellen om de geschiedenis van configuratiewijzigingen te traceren en patronen te identificeren die kunnen wijzen op systematische problemen.

Gebruik PowerShell-script in-app-support-disabled.ps1 (functie Invoke-Monitoring) – Geautomatiseerde monitoring en verificatie van InAppSupportEnabled-configuratie op alle beheerde apparaten.

Naast registerverificatie moet ook de gebruikersinterface van Edge worden gecontroleerd om te verifiëren dat de ondersteuningsoptie daadwerkelijk is uitgeschakeld. Beheerders kunnen dit handmatig controleren door te navigeren naar edge://settings/help in de browser en te verifiëren dat de optie om contact op te nemen met Microsoft-ondersteuning niet beschikbaar is. Voor geautomatiseerde verificatie kunnen testscripts worden gebruikt die de Edge-interface programmatisch controleren, hoewel dit complexer is vanwege de browseromgeving. Deze functionele verificatie is belangrijk omdat het register mogelijk correct is geconfigureerd, maar de browserinterface nog steeds de ondersteuningsoptie kan tonen als gevolg van caching, versieverschillen, of andere technische factoren. Regelmatige functionele tests moeten worden uitgevoerd op verschillende Edge-versies en verschillende Windows-configuraties om ervoor te zorgen dat de functie consistent is uitgeschakeld ongeacht de omgeving.

Monitoring moet ook het bijhouden van ondersteuningsstatistieken omvatten om trends te identificeren. Helpdeskmedewerkers moeten worden gevraagd om browser-gerelateerde tickets te categoriseren en te rapporteren, zodat organisaties kunnen bepalen of er een toename is in ondersteuningsvragen na het uitschakelen van de in-app functie. Deze statistieken helpen bij het identificeren van eventuele kennislacunes bij gebruikers en kunnen worden gebruikt om aanvullende training of documentatie te ontwikkelen. Bovendien kunnen deze gegevens worden gebruikt om de effectiviteit van de bedrijfsondersteuningskanalen te evalueren en verbeteringen door te voeren waar nodig. Het is belangrijk dat deze statistieken gestructureerd worden verzameld met consistente categorieën, zodat trends over tijd kunnen worden geanalyseerd. Organisaties moeten ook aandacht besteden aan de kwaliteit van de ondersteuning die wordt geboden, niet alleen aan de kwantiteit van tickets, om ervoor te zorgen dat gebruikers effectief worden geholpen en tevreden zijn met de bedrijfsondersteuningskanalen. Deze statistieken moeten worden gereviewd tijdens regelmatige managementbesprekingen om te zorgen dat de ondersteuningskwaliteit hoog blijft en eventuele trends tijdig worden geïdentificeerd. Het monitoren van gebruikerservaring en tevredenheidsscores is ook belangrijk om te begrijpen hoe gebruikers de overgang naar bedrijfsondersteuningskanalen ervaren en of er verbeterpunten zijn die moeten worden aangepakt.

Regelmatige compliance-audits moeten worden uitgevoerd om ervoor te zorgen dat de configuratie consistent blijft over alle apparaten en gebruikersgroepen. Deze audits kunnen deel uitmaken van bredere beveiligings- en compliance-controles en moeten worden gedocumenteerd voor auditdoeleinden. Eventuele afwijkingen moeten worden onderzocht en gecorrigeerd, en de oorzaak moet worden geïdentificeerd om herhaling te voorkomen. Automatiseringsscripts kunnen deze audits vereenvoudigen door regelmatig alle apparaten te scannen en rapporten te genereren voor beheerders en compliance-officers. De auditrapporten moeten gedetailleerde informatie bevatten over de configuratiestatus van elk apparaat, inclusief de datum en tijd van de laatste verificatie, eventuele geïdentificeerde afwijkingen, en de status van eventuele remediatie-acties. Deze rapporten moeten regelmatig worden gereviewd door zowel technische beheerders als compliance-officers om ervoor te zorgen dat de organisatie voldoet aan alle relevante regelgevingsvereisten en interne beleidsregels. Deze audits vormen een belangrijk onderdeel van een continue compliance-strategie waarbij organisaties niet alleen voldoen aan regelgevingsvereisten maar ook proactief risico's identificeren en aanpakken voordat deze leiden tot compliance-problemen. De documentatie van deze audits is essentieel voor zowel interne als externe auditors die de beveiligingspositie van de organisatie moeten evalueren.

Compliance en Naleving

Het uitschakelen van in-app ondersteuning draagt significant bij aan compliance met verschillende privacy- en gegevensbeschermingsregelgeving, met name de Algemene Verordening Gegevensbescherming (AVG). Deze maatregel ondersteunt het principe van gegevensminimalisatie door onnodige telemetrie- en diagnostische gegevensuitwisseling met Microsoft te voorkomen. Organisaties die onder de AVG vallen, moeten ervoor zorgen dat alleen de minimale hoeveelheid persoonsgegevens wordt verzameld en verwerkt die noodzakelijk is voor het beoogde doel. Door de in-app ondersteuning uit te schakelen, beperken organisaties de blootstelling van persoonsgegevens die anders zouden worden gedeeld tijdens ondersteuningsinteracties, wat direct bijdraagt aan het naleven van AVG-vereisten voor gegevensbescherming en privacy. Deze aanpak sluit aan bij het principe dat organisaties moeten voorkomen dat onnodige gegevens worden verzameld en verwerkt, vooral wanneer deze gegevens naar externe partijen worden gestuurd zonder volledige controle over hoe ze worden gebruikt en bewaard. Het principe van gegevensminimalisatie is een fundamenteel onderdeel van de AVG en vereist dat organisaties alleen persoonsgegevens verzamelen die strikt noodzakelijk zijn voor het specifieke doel waarvoor ze worden verwerkt. Door de in-app ondersteuning uit te schakelen, elimineren organisaties een potentiële bron van onnodige gegevensverzameling, wat direct bijdraagt aan AVG-naleving en het verminderen van privacyrisico's.

De AVG vereist dat organisaties passende technische en organisatorische maatregelen nemen om persoonsgegevens te beschermen. Door de in-app ondersteuning uit te schakelen, beperken organisaties de blootstelling van potentiële persoonsgegevens die kunnen worden verzameld tijdens ondersteuningsinteracties. Browser-gedrag, bezochte websites, gebruikte extensies en andere browsergerelateerde informatie kunnen allemaal als persoonsgegevens worden beschouwd wanneer ze tot een individu herleidbaar zijn. Door deze gegevens binnen de organisatie te houden via bedrijfsondersteuningskanalen, behouden organisaties volledige controle over de verwerking en kunnen ze ervoor zorgen dat alle gegevensuitwisseling voldoet aan AVG-vereisten. Deze controle is essentieel voor organisaties die moeten kunnen aantonen dat ze passende maatregelen hebben genomen om persoonsgegevens te beschermen, zoals vereist door AVG Artikel 32. Bovendien stelt deze aanpak organisaties in staat om volledige traceerbaarheid te behouden over welke gegevens worden gedeeld, met wie, en voor welk doel, wat noodzakelijk is voor het naleven van AVG-vereisten voor transparantie en accountability. Deze traceerbaarheid maakt het ook mogelijk voor organisaties om te voldoen aan verzoeken van betrokkenen voor inzage in hun persoonsgegevens, zoals vereist door AVG-artikel 15, omdat alle ondersteuningsinteracties binnen de organisatie worden vastgelegd en beheerd.

Naast AVG-naleving ondersteunt deze maatregel ook naleving van bedrijfsondersteuningsbeleid. Bedrijfsorganisaties hebben vaak strikte procedures voor het afhandelen van ondersteuningsvragen, inclusief vereisten voor ticketregistratie, escalatiepaden, en documentatie. Door gebruikers te verplichten bedrijfsondersteuningskanalen te gebruiken, zorgt de organisatie ervoor dat alle ondersteuningsinteracties worden geregistreerd, getraceerd en beheerd volgens interne beleidsregels. Dit is vooral belangrijk voor organisaties in sterk gereguleerde sectoren zoals de financiële dienstverlening, gezondheidszorg, of overheid, waar volledige traceerbaarheid van ondersteuningsinteracties vereist kan zijn voor compliance-doeleinden. Deze traceerbaarheid maakt het mogelijk voor organisaties om te voldoen aan regelgevingsvereisten voor documentatie en auditing, en stelt management in staat om inzicht te krijgen in veelvoorkomende problemen en trends in ondersteuningsvragen. Bovendien zorgt deze aanpak ervoor dat alle ondersteuningsinteracties worden uitgevoerd volgens goedgekeurde procedures en dat er geen afwijkingen optreden die kunnen leiden tot compliance-problemen of beveiligingsrisico's. In de financiële sector bijvoorbeeld kunnen regelgevers eisen dat alle ondersteuningsinteracties worden gedocumenteerd voor auditdoeleinden, en in de gezondheidszorg kunnen ondersteuningsvragen betrekking hebben op gevoelige patiëntgegevens die moeten worden beschermd volgens specifieke privacyregelgeving. Door alle ondersteuningsinteracties via bedrijfskanalen te laten verlopen, kunnen organisaties ervoor zorgen dat alle vereiste documentatie en traceerbaarheid wordt behouden.

Voor Nederlandse overheidsorganisaties is deze maatregel ook relevant in het kader van de Baseline Informatiebeveiliging Overheid (BIO). De BIO vereist dat organisaties passende maatregelen nemen om informatiebeveiliging te waarborgen, inclusief controle over gegevensuitwisseling met externe partijen. Door de in-app ondersteuning uit te schakelen en gebruik te maken van beheerde ondersteuningskanalen, voldoen organisaties beter aan BIO-vereisten voor gegevensbescherming en controle over informatie-uitwisseling. Bovendien draagt deze aanpak bij aan het principe van 'privacy by design', waarbij privacyoverwegingen worden geïntegreerd in de technische configuratie van systemen. De BIO-normen benadrukken het belang van gegevensbescherming en vereisen dat organisaties passende maatregelen nemen om informatie te beschermen tegen ongeautoriseerde toegang, wijziging, of vernietiging. Door de in-app ondersteuning uit te schakelen, verminderen organisaties het risico op onbedoelde gegevensuitwisseling met externe partijen, wat direct bijdraagt aan het voldoen aan BIO-vereisten. Bovendien stelt deze aanpak organisaties in staat om volledige controle te behouden over welke informatie wordt gedeeld en met wie, wat essentieel is voor het voldoen aan BIO-vereisten voor gegevensbeheer.

Documentatie en auditbewijs zijn essentieel voor compliance-verificatie. Organisaties moeten documenteren dat de InAppSupportEnabled-instelling is geconfigureerd en gehandhaafd, inclusief screenshots van Intune-beleidsconfiguraties, registerverificaties, en bewijs van bedrijfsondersteuningsdocumentatie. Deze documentatie moet worden bewaard voor de vereiste bewaarperiode, zoals gespecificeerd in het auditbewijsbeleid, en moet beschikbaar zijn voor interne en externe audits. Regelmatige compliance-controles moeten worden uitgevoerd om te verifiëren dat de configuratie blijft voldoen aan alle relevante regelgevingsvereisten. Deze documentatie moet niet alleen technische configuratie bevatten maar ook bewijs van organisatorische maatregelen zoals gebruikerstraining, communicatiematerialen, en procedures voor helpdeskmedewerkers. Deze complete documentatie stelt organisaties in staat om tijdens audits aan te tonen dat ze zowel technische als organisatorische maatregelen hebben geïmplementeerd om compliance te waarborgen. Bovendien moet deze documentatie regelmatig worden bijgewerkt om veranderingen in configuratie, procedures, of regelgevingsvereisten te reflecteren, zodat auditbewijs altijd actueel en accuraat is. De documentatie moet gedetailleerd genoeg zijn om auditors in staat te stellen te verifiëren dat de maatregel correct is geïmplementeerd en wordt gehandhaafd, inclusief bewijs van regelmatige verificaties en eventuele remediatie-acties die zijn uitgevoerd.

Remediatie en Herstel

Wanneer wordt vastgesteld dat de InAppSupportEnabled-instelling niet correct is geconfigureerd of handmatig is gewijzigd, moet onmiddellijk remediatie worden uitgevoerd om de beveiligings- en compliance-positie van de organisatie te herstellen. Remediatie omvat zowel het herstellen van de correcte configuratie als het identificeren en aanpakken van de oorzaak van de afwijking. Deze snelle respons is essentieel om te voorkomen dat de afwijking zich verspreidt naar andere apparaten of langdurig aanwezig blijft, wat de beveiligingspositie van de organisatie kan schaden. Het remediatieproces moet gestructureerd zijn met duidelijke stappen en verantwoordelijkheden, zodat beheerders snel en effectief kunnen reageren wanneer afwijkingen worden geïdentificeerd. Bovendien moet het remediatieproces worden gedocumenteerd voor auditdoeleinden en om te leren van incidenten zodat vergelijkbare problemen in de toekomst kunnen worden voorkomen.

Het remediatieproces begint met het opnieuw toepassen van de correcte beleidsconfiguratie. Voor apparaten die via Intune worden beheerd, wordt het Edge-beleid opnieuw toegepast, wat ervoor zorgt dat de InAppSupportEnabled-instelling opnieuw wordt ingesteld op False. Als de afwijking wordt veroorzaakt door een conflicterend lokaal beleid of handmatige registerwijzigingen, moeten deze eerst worden geïdentificeerd en verwijderd voordat het centrale beleid opnieuw wordt toegepast. In sommige gevallen kan het nodig zijn om het apparaat opnieuw te registreren bij Intune of de Group Policy te vernieuwen om ervoor te zorgen dat de configuratie correct wordt toegepast. Tijdens dit proces moeten beheerders ook controleren of er andere conflicterende configuraties zijn die kunnen interfereren met de gewenste instelling. Dit kan het controleren van meerdere beleidslagen omvatten, zoals organisatiebreed beleid versus apparaatspecifiek beleid, of Intune-beleid versus lokale Group Policy-instellingen. Bovendien moet na het herstellen van de configuratie verificatie worden uitgevoerd om te bevestigen dat de instelling correct is toegepast en dat er geen verdere conflicterende configuraties aanwezig zijn.

Gebruik PowerShell-script in-app-support-disabled.ps1 (functie Invoke-Remediation) – Geautomatiseerde remediatie van InAppSupportEnabled-configuratie met verificatie en rapportage.

Na het herstellen van de configuratie moet de oorzaak van de afwijking worden onderzocht. Als de wijziging handmatig is aangebracht door een gebruiker, moet worden bepaald of dit opzettelijk was of het gevolg van onwetendheid. In het geval van opzettelijke wijzigingen moeten organisatorische maatregelen worden overwogen, zoals aanvullende gebruikersvoorlichting of, in ernstige gevallen, disciplinaire maatregelen. Als de wijziging het gevolg was van onwetendheid, moet aanvullende training worden gegeven over het belang van het behouden van beveiligingsconfiguraties. Technische maatregelen zoals het beperken van lokale administratorrechten kunnen ook worden overwogen om te voorkomen dat gebruikers registerinstellingen kunnen wijzigen. Dit onderzoek naar de oorzaak is belangrijk omdat het beheerders in staat stelt om niet alleen de directe afwijking te corrigeren maar ook de onderliggende oorzaken aan te pakken, wat helpt om herhaling te voorkomen. Als er sprake is van een patroon waarbij meerdere gebruikers proberen configuraties te wijzigen, moet dit worden geanalyseerd om te bepalen of er bredere problemen zijn met gebruikerstraining of gebruikerservaring die moeten worden aangepakt. Bovendien moet deze analyse worden gedocumenteerd om te helpen bij het identificeren van trends en patronen die kunnen wijzen op systematische problemen die moeten worden aangepakt op organisatorisch niveau.

Voor afwijkingen die worden veroorzaakt door conflicterende beleidsinstellingen of configuratiefouten, moet een grondige analyse worden uitgevoerd om de bron van het conflict te identificeren. Dit kan het controleren van meerdere beleidslagen omvatten, zoals organisatiebreed beleid versus apparaatspecifiek beleid, of Intune-beleid versus lokale Group Policy-instellingen. Zodra het conflict is geïdentificeerd, moeten de beleidsinstellingen worden aangepast om consistentie te waarborgen, waarbij de beveiligingsvereisten van de organisatie als leidraad worden gebruikt. Deze analyse moet ook rekening houden met de volgorde waarin beleidsinstellingen worden toegepast, omdat latere instellingen eerdere kunnen overschrijven. Beheerders moeten een duidelijke hiërarchie hebben voor beleidsinstellingen en moeten ervoor zorgen dat alle beleidslagen consistent zijn met de gewenste beveiligingsconfiguratie. Bovendien moeten conflicterende beleidsinstellingen worden gedocumenteerd en opgelost op een manier die consistent is met de algehele beveiligingsstrategie van de organisatie, waarbij eventuele compromissen zorgvuldig worden overwogen en gedocumenteerd.

Na remediatie moet verificatie worden uitgevoerd om te bevestigen dat de configuratie correct is hersteld. Dit omvat zowel technische verificatie van de registerwaarde als functionele tests om te verifiëren dat de in-app ondersteuning daadwerkelijk is uitgeschakeld in de browser. Alle remediatie-acties moeten worden gedocumenteerd, inclusief de datum en tijd van de actie, de geïdentificeerde oorzaak, de uitgevoerde stappen, en het resultaat van de verificatie. Deze documentatie is belangrijk voor compliance-doeleinden en helpt bij het identificeren van patronen die kunnen wijzen op systematische problemen die moeten worden aangepakt. Deze verificatie moet niet alleen onmiddellijk na remediatie plaatsvinden maar ook in de periode daarna om te zorgen dat de configuratie blijft gehandhaafd en dat er geen terugval optreedt. Bovendien moet deze documentatie worden gebruikt om te leren van incidenten en om het remediatieproces continu te verbeteren. Door te analyseren welke remediatie-acties het meest effectief zijn, kunnen beheerders hun aanpak verfijnen en ervoor zorgen dat toekomstige remediatie-acties sneller en effectiever kunnen worden uitgevoerd.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Edge Privacy: In-App Support Disabled .DESCRIPTION CIS - In-app support moet disabled (privacy/telemetry). .NOTES Filename: in-app-support-disabled.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Edge\InAppSupportEnabled|Expected: 0 #> #Requires -Version 5.1 #Requires -RunAsAdministrator [CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert) $ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge"; $RegName = "InAppSupportEnabled"; $ExpectedValue = 0 function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) } function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "in-app-support-disabled.ps1"; PolicyName = "In-App Support Disabled"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; if (-not(Test-Path $RegPath)) { $r.IsCompliant = $true; $r.Details += "Default disabled"; return $r }; try { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop; $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "In-app support disabled" }else { $r.Details += "In-app support enabled" } }catch { $r.IsCompliant = $true; $r.Details += "Default" }; return $r } function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "In-app support disabled" -ForegroundColor Green } function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r } function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue } try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }

Risico zonder implementatie

Risico zonder implementatie
Low: Laag privacyrisico via telemetrie. Laag operationeel risico - gebruikers omzeilen bedrijfsondersteuningskanalen.

Management Samenvatting

Schakel in-app ondersteuning uit (InAppSupportEnabled is 0) om telemetrie te reduceren en bedrijfsondersteuning af te dwingen. Implementatie: 15-30 minuten.