BIO 11.01.01

Navigatiefoutoplossing Uitgeschakeld

📅 2025-10-30
⏱️ 4 minuten lezen
🟢 Should-Have

💼 Management Samenvatting

Schakel alternatieve foutpagina's uit om te voorkomen dat mislukte navigatiepogingen naar Google-services worden gestuurd.

Aanbeveling
IMPLEMENT
Risico zonder
Medium
Risk Score
5/10
Implementatie
0.5u (tech: 0.25u)
Van toepassing op:
Edge

De functie AlternateErrorPagesEnabled in Microsoft Edge stuurt mislukte URL's automatisch naar Google-webservices voor suggesties wanneer gebruikers navigatiefouten maken. Dit omvat typfouten, niet-bestaande websites en DNS-fouten. Voor organisaties in de Nederlandse publieke sector brengt deze functionaliteit aanzienlijke privacy- en beveiligingsrisico's met zich mee die directe aandacht vereisen. Het primaire risico betreft URL-lekkage waarbij alle mislukte navigatiepogingen, inclusief interne URL's, typfouten en configuratiefouten, worden verzonden naar externe Google-webservices. Dit proces betekent dat externe partijen systematisch inzicht verkrijgen in de interne netwerkstructuur van de organisatie. Elke mislukte poging om toegang te krijgen tot een interne resource, of dit nu een typfout betreft of een configuratiefout, wordt geregistreerd en geanalyseerd door externe services. Deze informatie kan vervolgens worden gebruikt voor netwerkreconnaissance door potentiële aanvallers die de interne netwerkstructuur willen afleiden uit de verzamelde mislukte URL-patronen. De blootstelling van gevoelige informatie vormt een tweede kritiek risico. Mislukte bedrijfsintranet-URL's en vertrouwelijke projectnamen die in URL's zijn opgenomen, worden onbedoeld naar externe services gestuurd. Dit kan leiden tot significante informatielekken waarbij interne systeemnamen, applicatiestructuren en projectidentificaties zichtbaar worden voor externe partijen. Organisaties die werken met gevoelige projecten of vertrouwelijke informatie lopen het risico dat deze informatie via deze route wordt blootgesteld, zelfs wanneer gebruikers onschuldige navigatiefouten maken. Daarnaast ontstaat er een uitgebreid profiel van gebruikersgedrag doordat alle browsepogingen van gebruikers worden verzonden naar externe services. Dit omvat niet alleen mislukte navigatiepogingen, maar ook patronen in gebruikersgedrag die kunnen worden geanalyseerd om inzicht te krijgen in de werkwijze en interesses van individuele gebruikers of afdelingen. Deze praktijk is in directe strijd met privacyregelgeving zoals de Algemene Verordening Gegevensbescherming (AVG), die vereist dat organisaties dataminimalisatie toepassen en alleen noodzakelijke gegevens verwerken. Voor enterprise-omgevingen en Nederlandse overheidsorganisaties zijn standaard browserfoutpagina's volledig toereikend om gebruikers te informeren over navigatiefouten. Deze standaardpagina's bieden voldoende functionaliteit om gebruikers te helpen begrijpen wat er mis is gegaan zonder dat externe gegevensverwerking noodzakelijk is. Er bestaat geen technische of functionele noodzaak om mislukte URL's naar externe services te sturen, en het uitschakelen van deze functionaliteit verhoogt zowel de privacybescherming als de beveiligingspostuur van de organisatie aanzienlijk. Door deze functie uit te schakelen, voorkomen organisaties onnodige gegevenslekken en verminderen zij het risico op netwerkreconnaissance door externe partijen.

PowerShell Modules Vereist
Primary API: Intune/GPO
Connection: N/A
Required Modules:

Implementatie

Door AlternateErrorPagesEnabled in te stellen op 0 worden alternatieve foutpagina's uitgeschakeld. Mislukte URL's blijven lokaal op het apparaat en worden niet naar Google-webservices verzonden. Gebruikers zien standaard browserfoutpagina's zonder dat er externe service-aanroepen worden gemaakt.

Implementatie

De implementatie van het uitschakelen van alternatieve foutpagina's in Microsoft Edge vormt een fundamentele beveiligingsmaatregel voor Nederlandse overheidsorganisaties die streven naar maximale privacybescherming en informatiebeveiliging. Deze configuratie voorkomt dat gevoelige informatie over interne netwerkstructuren, gebruikersgedrag en organisatorische details onbedoeld naar externe dienstverleners worden verzonden. Het implementeren van deze maatregel is relatief eenvoudig uit te voeren, maar vereist wel een gestructureerde aanpak om te waarborgen dat alle apparaten binnen de organisatie correct worden geconfigureerd. De implementatie kan worden uitgevoerd via twee primaire methoden: Microsoft Intune voor cloud-gebaseerde beheeromgevingen of via Groepsbeleidsobjecten (GPO) voor traditionele on-premises omgevingen. Beide methoden zijn technisch effectief en kunnen volledig worden geautomatiseerd voor consistente toepassing binnen de gehele organisatie. Voor moderne cloud-first organisaties die Microsoft Intune gebruiken, biedt deze aanpak significante voordelen door de mogelijkheid om de configuratie centraal te beheren, te monitoren en automatisch te handhaven zonder directe toegang tot individuele apparaten. Het implementatieproces begint met een grondige inventarisatie van alle Edge-browsers binnen de organisatie. Dit omvat zowel door de organisatie volledig beheerde apparaten als Bring Your Own Device (BYOD) scenario's waarbij Edge wordt gebruikt voor zakelijke doeleinden. Voor BYOD-apparaten is het essentieel om een Mobile Device Management (MDM) oplossing te gebruiken die de Edge-configuratie kan beheren zonder volledige controle over het apparaat te vereisen. Dit maakt het mogelijk om beveiligingsbeleid toe te passen op persoonlijke apparaten die worden gebruikt voor werkdoeleinden, zonder de privacy van de gebruiker onnodig te schenden. De technische implementatie vereist het instellen van de specifieke registerwaarde AlternateErrorPagesEnabled op de waarde 0. Deze registerwaarde bevindt zich in het Windows-register onder het pad HKLM:\SOFTWARE\Policies\Microsoft\Edge en kan worden geconfigureerd via Intune-beleid voor cloud-omgevingen of via een Groepsbeleidsobject voor on-premises omgevingen. Het beschikbare PowerShell-script voor deze configuratie automatiseert het volledige proces en zorgt voor consistente toepassing op alle doelapparaten. Het script voert eerst een controle uit op de huidige configuratiestatus, past de configuratie aan indien deze niet correct is ingesteld, en verifieert vervolgens dat de wijziging succesvol is doorgevoerd. Voor organisaties die werken met hybride omgevingen, waarbij zowel cloud- als on-premises apparaten worden beheerd, is het belangrijk om een uniforme implementatiestrategie te ontwikkelen die beide omgevingen omvat. Dit kan betekenen dat er zowel Intune-beleid als GPO's moeten worden geconfigureerd, waarbij zorgvuldig moet worden gecontroleerd dat er geen conflicterende beleidsregels worden toegepast die de configuratie kunnen overschrijven of ongedaan maken. Na de technische implementatie is het van cruciaal belang om te verifiëren dat de configuratie correct is toegepast op alle doelapparaten. Dit kan worden gedaan door middel van geautomatiseerde compliance-rapportage in Microsoft Intune of via groepsbeleidsrapportage tools voor GPO-gebaseerde implementaties. Deze verificatiestap is essentieel omdat configuratiedrift kan optreden wanneer gebruikers handmatig instellingen wijzigen of wanneer andere beleidsregels de configuratie overschrijven. Organisaties moeten ook proactief gebruikers informeren over de wijziging in browserfunctionaliteit, omdat gebruikers mogelijk gewend zijn aan de suggesties van Google bij navigatiefouten. Deze gebruikerscommunicatie moet uitleggen waarom de wijziging is doorgevoerd, welke voordelen dit biedt voor privacy en beveiliging, en hoe gebruikers kunnen omgaan met de standaard browserfoutpagina's die zij nu zullen zien. De standaard browserfoutpagina's bieden voldoende functionaliteit voor gebruikers om te begrijpen wat er mis is gegaan zonder dat externe services worden geraadpleegd, waardoor de gebruikerservaring niet significant wordt beïnvloed terwijl de privacy en beveiliging aanzienlijk worden verbeterd.

Gebruik PowerShell-script navigation-error-resolution-disabled.ps1 (functie Invoke-Remediation) – PowerShell script voor automatische implementatie.

Monitoring

Effectieve monitoring van de AlternateErrorPagesEnabled-configuratie vormt een kritieke component van een robuust beveiligingsbeheerprogramma voor Nederlandse overheidsorganisaties. Deze monitoring is essentieel om te waarborgen dat de privacy- en beveiligingsmaatregel consistent wordt toegepast binnen de gehele organisatie en blijft functioneren zoals bedoeld. Monitoring helpt niet alleen bij het detecteren van configuratiedrift, waarbij configuraties onbedoeld worden gewijzigd of teruggedraaid, maar ook bij het identificeren van apparaten die mogelijk buiten de beheerde omgeving vallen of die niet correct zijn geconfigureerd tijdens de initiële implementatie. Voor organisaties die Microsoft Intune gebruiken als primair beheerplatform, biedt de ingebouwde compliance-rapportage functionaliteit een geautomatiseerde en gestandaardiseerde manier om de configuratiestatus continu te monitoren. Intune kan regelmatig en automatisch controleren of de registerwaarde AlternateErrorPagesEnabled correct is ingesteld op 0 voor alle beheerde apparaten binnen de organisatie. Deze geautomatiseerde controles worden uitgevoerd volgens een configureerbaar schema, waardoor organisaties kunnen kiezen voor dagelijkse, wekelijkse of maandelijkse verificaties afhankelijk van hun beveiligingsvereisten en organisatorische behoeften. De compliance-rapporten die door Intune worden gegenereerd, bieden gedetailleerd inzicht in welke apparaten volledig voldoen aan het beleid en welke apparaten afwijken van de gewenste configuratie. Deze rapporten categoriseren apparaten op basis van hun compliance-status en bieden IT-beheerders de mogelijkheid om proactief in te grijpen voordat beveiligingsincidenten kunnen optreden. De rapporten bevatten ook historische gegevens, waardoor organisaties trends kunnen identificeren en kunnen begrijpen of bepaalde apparaten of gebruikersgroepen vaker configuratieproblemen ervaren. Voor traditionele on-premises omgevingen die Groepsbeleidsobjecten gebruiken als primair configuratiemechanisme, kunnen organisaties gespecialiseerde groepsbeleidsrapportage tools gebruiken om de configuratiestatus uitgebreid te monitoren. Deze tools bieden gedetailleerd inzicht in welke apparaten het beleid hebben ontvangen, of het beleid correct is toegepast, en of er eventuele conflicten zijn met andere beleidsregels die de configuratie kunnen beïnvloeden. Daarnaast kunnen organisaties aangepaste PowerShell-scripts gebruiken om periodiek de registerwaarde te controleren op alle apparaten binnen het netwerk, wat vooral waardevol is voor grote omgevingen met honderden of duizenden apparaten. De specifieke registerwaarde die gemonitord moet worden is HKLM:\SOFTWARE\Policies\Microsoft\Edge\AlternateErrorPagesEnabled, die consistent ingesteld moet zijn op de waarde 0 om de gewenste beveiligingsconfiguratie te waarborgen. Deze waarde kan worden gecontroleerd via het beschikbare PowerShell-monitoringscript, dat automatisch alle apparaten binnen een gespecificeerd bereik kan scannen en uitgebreide rapportage kan genereren over de configuratiestatus van elk apparaat. Het script kan worden geconfigureerd om te worden uitgevoerd als een geplande taak, waardoor continue monitoring wordt gegarandeerd zonder handmatige interventie. Naast technische monitoring van de configuratiestatus is het belangrijk om gebruikers proactief te informeren over de verwachte werking van de browser na implementatie van deze beveiligingsmaatregel. Gebruikers moeten duidelijk begrijpen dat zij bij navigatiefouten standaard browserfoutpagina's zullen zien in plaats van suggesties van externe services zoals Google. Deze gebruikerscommunicatie voorkomt verwarring en helpt bij het identificeren van mogelijke configuratieproblemen wanneer gebruikers melding maken van onverwachte browserfunctionaliteit of wanneer zij vragen hebben over waarom bepaalde functies niet meer beschikbaar zijn. Organisaties moeten ook regelmatig uitgebreide audits uitvoeren om te verifiëren dat er daadwerkelijk geen netwerkverkeer naar Google-webservices wordt verzonden voor navigatiefouten. Dit kan worden gemonitord via geavanceerde netwerkmonitoring tools die HTTP-verzoeken naar externe services detecteren en analyseren. Deze netwerkmonitoring is vooral belangrijk omdat het niet alleen controleert of de configuratie correct is ingesteld, maar ook of de configuratie daadwerkelijk het beoogde effect heeft. Eventuele verzoeken naar Google-webservices voor navigatiefouten kunnen wijzen op een mislukte configuratie, een omzeiling van het beleid door gebruikers of software, of op technische problemen die aanvullende aandacht vereisen. Voor organisaties met strikte compliance-vereisten, zoals die worden opgelegd door de AVG of de BIO, is het belangrijk om monitoringgegevens te documenteren en te bewaren voor auditdoeleinden. Deze documentatie moet aantonen dat de organisatie proactief controleert of beveiligingsmaatregelen correct worden toegepast en dat er processen zijn om afwijkingen te detecteren en te corrigeren. Regelmatige monitoring en documentatie vormen een essentieel onderdeel van een volwassen informatiebeveiligingsprogramma en dragen bij aan de accountability die wordt vereist door moderne privacy- en beveiligingsregelgeving.

Gebruik PowerShell-script navigation-error-resolution-disabled.ps1 (functie Invoke-Monitoring) – PowerShell script voor geautomatiseerde monitoring.

Compliance en Auditing

Het uitschakelen van alternatieve foutpagina's in Microsoft Edge is direct en fundamenteel gerelateerd aan verschillende kritieke compliance-vereisten voor Nederlandse overheidsorganisaties. Deze beveiligingsmaatregel draagt op meerdere niveaus bij aan het naleven van privacyregelgeving, informatiebeveiligingsstandaarden en governance-vereisten die van toepassing zijn op de publieke sector. Het implementeren van deze maatregel is niet alleen een technische beveiligingskeuze, maar vormt een essentieel onderdeel van een breed compliance-programma dat moet voldoen aan zowel nationale als internationale regelgeving. De Algemene Verordening Gegevensbescherming (AVG), die sinds 2018 van kracht is in de Europese Unie en dus ook in Nederland, vereist dat organisaties het fundamentele beginsel van dataminimalisatie toepassen, zoals vastgelegd in Artikel 5 lid 1 onder c van de verordening. Dit beginsel stelt expliciet dat persoonsgegevens toereikend, ter zake dienend en beperkt moeten zijn tot wat strikt noodzakelijk is voor de specifieke doeleinden waarvoor zij worden verwerkt. Door alternatieve foutpagina's uit te schakelen, voorkomen organisaties dat onnodige en niet-essentiële gegevens over gebruikersgedrag, interne netwerkstructuren, en organisatorische details naar externe services worden verzonden. Dit komt direct en volledig overeen met het dataminimalisatiebeginsel, omdat de standaard browserfoutpagina's volledig voldoende functionaliteit bieden om gebruikers te informeren over navigatiefouten zonder dat externe gegevensverwerking en gegevensoverdracht naar derden noodzakelijk of gerechtvaardigd is. Daarnaast draagt deze maatregel significant bij aan het naleven van Artikel 32 van de AVG, dat expliciet vereist dat organisaties passende technische en organisatorische maatregelen nemen om persoonsgegevens te beveiligen tegen ongeautoriseerde toegang, verlies, vernietiging of wijziging. Het voorkomen van URL-lekkage en het blootstellen van interne netwerkstructuren, systeemnamen en gebruikersgedragspatronen aan externe partijen vormt een belangrijke en concrete beveiligingsmaatregel die volledig past binnen deze wettelijke vereiste. Door deze maatregel te implementeren, demonstreren organisaties dat zij proactief werken aan het waarborgen van de beveiliging van persoonsgegevens en het voorkomen van onnodige gegevensblootstelling. Voor Nederlandse overheidsorganisaties is de Baseline Informatiebeveiliging Overheid (BIO) van toepassing als de primaire normenkader voor informatiebeveiliging. Binnen de BIO is norm 11.01 specifiek gericht op privacybescherming en vereist dat organisaties systematisch maatregelen nemen om de privacy van betrokkenen te waarborgen en onnodige gegevensverwerking te voorkomen. Het uitschakelen van alternatieve foutpagina's voorkomt effectief dat gevoelige informatie over interne systemen, applicatiestructuren, projectnamen en gebruikersgedrag wordt blootgesteld aan externe partijen, wat direct en meetbaar bijdraagt aan het naleven van deze belangrijke BIO-norm. Deze maatregel vormt een concrete invulling van de privacybeschermingsvereisten die de BIO stelt. Voor auditdoeleinden en compliance-verificatie moeten organisaties uitgebreid kunnen aantonen dat de configuratie correct is toegepast, actief wordt gemonitord, en consistent wordt gehandhaafd binnen de gehele organisatie. Dit vereist gedetailleerde documentatie van het beveiligingsbeleid, technisch implementatiebewijs via compliance-rapportage en configuratiemanagement systemen, en regelmatige verificatie dat de configuratie actief blijft en niet wordt teruggedraaid door gebruikers of andere processen. Auditoren zullen tijdens compliance-audits controleren of de registerwaarde AlternateErrorPagesEnabled correct is ingesteld op 0 voor alle relevante apparaten binnen de organisatie, of er effectieve monitoring plaatsvindt om configuratiedrift te detecteren, en of er processen zijn om afwijkingen te corrigeren. Organisaties moeten ook kunnen aantonen dat zij gebruikers proactief hebben geïnformeerd over de wijziging in browserfunctionaliteit en dat deze maatregel een geïntegreerd onderdeel vormt van het algemene privacy- en beveiligingsbeleid van de organisatie. Dit kan worden gedocumenteerd in formele privacybeleidsdocumenten, gebruikerscommunicatie, en trainingmateriaal, wat bijdraagt aan transparantie en accountability. Deze principes zijn fundamenteel belangrijk binnen zowel de AVG als de BIO, en organisaties moeten kunnen demonstreren dat zij gebruikers informeren over hoe hun gegevens worden beschermd en welke maatregelen worden genomen om privacy te waarborgen. Voor organisaties die ook moeten voldoen aan internationale standaarden zoals ISO 27001, draagt deze maatregel bij aan verschillende controleobjectieven, waaronder controle A.9.4.2 (Secure log-on procedures) en controle A.18.1.4 (Privacy and protection of personally identifiable information). Het uitschakelen van alternatieve foutpagina's vormt een concrete technische maatregel die bijdraagt aan het voorkomen van onnodige gegevensoverdracht en het waarborgen van informatiebeveiliging, wat essentieel is voor het behalen en behouden van ISO 27001 certificering.

Remediatie

Wanneer monitoring, compliance-controles of uitgevoerde audits uitwijzen dat de AlternateErrorPagesEnabled-configuratie niet correct is toegepast, is teruggedraaid, of op een andere manier is aangepast waardoor de beveiligingsmaatregel niet meer effectief is, moet er onmiddellijk en systematisch remediatie plaatsvinden om de privacy- en beveiligingsrisico's te mitigeren en te voorkomen dat gevoelige informatie onbedoeld wordt blootgesteld. Remediatie is het gestructureerde proces waarbij niet-conforme configuraties worden geïdentificeerd, geanalyseerd, gecorrigeerd en geverifieerd om te waarborgen dat alle apparaten binnen de organisatie voldoen aan het vastgestelde beveiligingsbeleid en de compliance-vereisten. Het remediatieproces begint met een grondige identificatie en inventarisatie van alle apparaten waarop de configuratie ontbreekt, incorrect is ingesteld, of op een andere manier niet voldoet aan het beveiligingsbeleid. Dit kan worden uitgevoerd via geautomatiseerde compliance-rapportage in Microsoft Intune voor cloud-beheerde omgevingen, of via gespecialiseerde groepsbeleidsrapportage tools voor GPO-gebaseerde omgevingen. Apparaten die afwijken van het beleid moeten niet alleen worden geïdentificeerd, maar ook worden gecategoriseerd op basis van de ernst van de afwijking, de mogelijke blootstelling aan beveiligingsrisico's, de kritikaliteit van het apparaat voor de organisatie, en de snelheid waarmee remediatie moet plaatsvinden. Voor apparaten die worden beheerd via Microsoft Intune, kan remediatie volledig automatisch worden uitgevoerd wanneer een niet-conforme compliance-status wordt gedetecteerd door het systeem. Intune beschikt over ingebouwde automatische remediatie functionaliteit die de registerwaarde automatisch kan corrigeren wanneer een apparaat niet voldoet aan het geconfigureerde beleid. Dit zorgt voor snelle en consistente remediatie zonder handmatige interventie van IT-beheerders, wat vooral belangrijk en efficiënt is voor grote organisaties met honderden of duizenden apparaten die continu moeten worden beheerd. De automatische remediatie kan worden geconfigureerd om onmiddellijk te reageren op configuratieafwijkingen, of om volgens een gepland schema te worden uitgevoerd, afhankelijk van de organisatorische behoeften en beveiligingsvereisten. Voor traditionele on-premises omgevingen of situaties waarin automatische remediatie niet beschikbaar is of niet gewenst is, kan het beschikbare PowerShell-remediatiescript worden gebruikt om handmatig of via geautomatiseerde taken de configuratie te herstellen op niet-conforme apparaten. Het script voert een uitgebreide controle uit op de huidige configuratiestatus, past de configuratie aan indien deze niet correct is ingesteld, en verifieert vervolgens dat de wijziging succesvol is doorgevoerd en dat het apparaat nu voldoet aan het beveiligingsbeleid. Het script kan worden uitgevoerd als een geplande taak op regelmatige basis, of kan worden geactiveerd door monitoring systemen wanneer configuratieafwijkingen worden gedetecteerd. Na de uitvoering van remediatie-acties is het van cruciaal belang om uitgebreid te verifiëren dat de configuratie correct is hersteld en dat het apparaat nu volledig voldoet aan het beveiligingsbeleid. Dit kan worden gedaan door de registerwaarde opnieuw te controleren en te bevestigen dat deze correct is ingesteld op 0, door compliance-rapportage te raadplegen om te verifiëren dat het apparaat nu als compliant wordt gerapporteerd, en door functionele tests uit te voeren om te bevestigen dat de browser daadwerkelijk geen verzoeken meer verzendt naar externe services bij navigatiefouten. Organisaties moeten ook controleren of er geen netwerkverkeer meer naar Google-webservices wordt verzonden voor navigatiefouten, wat kan worden gemonitord via geavanceerde netwerkmonitoring tools die HTTP-verzoeken naar externe services detecteren en analyseren. Voor apparaten die herhaaldelijk of consistent afwijken van het beveiligingsbeleid, moet er een diepgaandere en systematischere analyse plaatsvinden om te begrijpen waarom de configuratie niet blijft staan of waarom deze wordt teruggedraaid. Dit kan wijzen op fundamentele problemen met de implementatiemethode, conflicterende beleidsregels die de configuratie overschrijven, gebruikers of software die handmatig de configuratie wijzigen, of technische problemen met het apparaat of de beheeromgeving. In dergelijke gevallen moeten organisaties de onderliggende oorzaak proactief aanpakken in plaats van alleen de symptomen te behandelen door herhaaldelijk remediatie uit te voeren zonder het fundamentele probleem op te lossen. Organisaties moeten ook een duidelijk gedefinieerd en gedocumenteerd proces hebben voor het omgaan met BYOD-apparaten of andere apparaten die mogelijk niet volledig kunnen worden beheerd via de standaard MDM-oplossingen. Voor deze apparaten kunnen organisaties verschillende strategieën overwegen, waaronder het informeren van gebruikers over de beveiligingsrisico's en hen vragen de configuratie handmatig aan te passen volgens organisatorische richtlijnen, het implementeren van alternatieve beveiligingsmaatregelen zoals netwerkgebaseerde filtering van uitgaand verkeer naar externe services, of het beperken van toegang tot gevoelige systemen en gegevens voor apparaten die niet voldoen aan het beveiligingsbeleid. Deze aanpak waarborgt dat ook niet-beheerde apparaten worden beschermd tegen privacy- en beveiligingsrisico's, terwijl de flexibiliteit voor gebruikers behouden blijft.

Gebruik PowerShell-script navigation-error-resolution-disabled.ps1 (functie Invoke-Remediation) – PowerShell script voor geautomatiseerde remediatie.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Edge Privacy: Navigation Error Resolution Disabled .DESCRIPTION CIS - Navigation error resolution moet disabled (privacy/tracking). .NOTES Filename: navigation-error-resolution-disabled.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Edge\AlternateErrorPagesEnabled|Expected: 0 #> #Requires -Version 5.1 #Requires -RunAsAdministrator [CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert) $ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge"; $RegName = "AlternateErrorPagesEnabled"; $ExpectedValue = 0 function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) } function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "navigation-error-resolution-disabled.ps1"; PolicyName = "Nav Error Resolution Disabled"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; if (-not(Test-Path $RegPath)) { $r.IsCompliant = $true; $r.Details += "Default disabled"; return $r }; try { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop; $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Error pages disabled" }else { $r.Details += "Error pages enabled" } }catch { $r.IsCompliant = $true; $r.Details += "Default" }; return $r } function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Navigation error resolution disabled" -ForegroundColor Green } function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r } function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue } try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }

Risico zonder implementatie

Risico zonder implementatie
Medium: Gemiddeld privacyrisico - mislukte URL's, inclusief interne URL's en vertrouwelijke projectnamen, worden blootgesteld aan Google. Risico op netwerkreconnaissance door externe partijen.

Management Samenvatting

Schakel alternatieve foutpagina's uit (AlternateErrorPagesEnabled ingesteld op 0) om URL-lekkage te voorkomen. Implementatietijd: 15-30 minuten.