💼 Management Samenvatting
Beheer de Edge-wachtwoordbeheerder centraal: schakel deze uit voor Zero Trust- en SSO-omgevingen, of schakel deze in met strikt beheer voor legacy-scenario's.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
7/10
Implementatie
12u (tech: 4u)
Van toepassing op:
✓ Edge
Het PasswordManagerEnabled-beleid vertegenwoordigt een fundamentele strategische beslissing die de basis legt voor de gehele authenticatiestrategie van uw organisatie. Deze keuze bepaalt niet alleen hoe gebruikers hun inloggegevens beheren, maar ook welke beveiligingscontroles beschikbaar zijn en hoe de organisatie omgaat met moderne beveiligingsbedreigingen zoals phishing-aanvallen en credential-based exploits. De beslissing heeft verstrekkende gevolgen voor de beveiligingspostuur, compliance-positie en operationele complexiteit van de organisatie. Er zijn twee fundamenteel verschillende benaderingen mogelijk, elk met specifieke voor- en nadelen die zorgvuldig moeten worden afgewogen tegen de unieke behoeften en beperkingen van uw organisatie. De eerste en aanbevolen optie is het volledig uitschakelen van de browser-wachtwoordbeheerder, wat de voorkeursaanpak is voor organisaties die een Zero Trust-architectuur implementeren of streven naar het implementeren van moderne authenticatiemethoden. In deze aanpak maken gebruikers uitsluitend gebruik van Entra ID SSO voor alle bedrijfsapplicaties, Windows Hello voor biometrische authenticatie op Windows-apparaten, FIDO2-hardwaretokens voor extra beveiligingslagen, en enterprise-wachtwoordkluizen zoals LastPass Enterprise of 1Password Business voor legacy-applicaties die nog geen SSO-ondersteuning bieden. Er wordt expliciet geen gebruik gemaakt van browsergebaseerde wachtwoordopslag, wat betekent dat alle wachtwoordbeheer plaatsvindt via gecentraliseerde, enterprise-grade systemen die uitgebreide beveiligingscontroles, monitoring en auditmogelijkheden bieden. Deze aanpak sluit naadloos aan bij moderne beveiligingsprincipes en ondersteunt de transitie naar een volledig wachtwoordloze omgeving waarin gebruikers niet langer afhankelijk zijn van traditionele wachtwoordauthenticatie. De tweede optie is het inschakelen van de wachtwoordbeheerder met strikt beheer, wat nodig kan zijn voor organisaties die nog niet volledig kunnen overstappen naar een Zero Trust-model vanwege technische beperkingen, legacy-applicaties zonder SSO-ondersteuning, of gefaseerde migratiestrategieën. In dit scenario moet de wachtwoordbeheerder worden gecombineerd met meerdere aanvullende beveiligingsmaatregelen om de inherente risico's te mitigeren, waaronder Entra ID-wachtwoordbescherming voor datalekdetectie, strikte wachtwoordcomplexiteitsvereisten, regelmatige wachtwoordaudits, en geavanceerde monitoring van opgeslagen wachtwoorden. Deze aanpak moet worden beschouwd als een tijdelijke oplossing tijdens een transitieperiode naar volledige SSO-adoptie, niet als een permanente strategie. De rationale voor het uitschakelen van de wachtwoordbeheerder is gebaseerd op vijf kernprincipes die de fundamentele voordelen van moderne authenticatiemethoden demonstreren. Ten eerste ondersteunt deze aanpak de Zero Trust-filosofie volledig, waarbij alle geverifieerde referenties uitsluitend worden beheerd via SSO of de identity provider, wat betekent dat er geen lokale opslag van credentials plaatsvindt zonder enterprise-beheer en uitgebreide monitoring. Ten tweede bieden enterprise-wachtwoordsystemen zoals LastPass Enterprise en 1Password Business uitgebreide datalekmonitoring die continu opgeslagen wachtwoorden vergelijkt met bekende datalekken en gebruikers onmiddellijk waarschuwt wanneer een wachtwoord mogelijk is gecompromitteerd, terwijl browser-kluizen slechts basisfunctionaliteit bieden zonder deze geavanceerde beveiligingsmogelijkheden. Ten derde biedt SSO gecentraliseerde intrekking, rotatie en auditmogelijkheden die het mogelijk maken om onmiddellijk toegang in te trekken wanneer een medewerker de organisatie verlaat of wanneer er een beveiligingsincident wordt gedetecteerd, terwijl browser-kluizen handmatige opruiming vereisen die tijdrovend is en foutgevoelig kan zijn. Ten vierde zijn wachtwoordloze methoden zoals FIDO2 en Windows Hello volledig bestand tegen phishing-aanvallen omdat ze cryptografische authenticatie gebruiken in plaats van wachtwoorden die kunnen worden gestolen, terwijl traditionele wachtwoorden inherent kwetsbaar blijven voor phishing-aanvallen ongeacht hun complexiteit. Ten vijfde bieden enterprise-identitysystemen zoals Entra ID gedetailleerde authenticatielogboeken voor auditdoeleinden die volledige traceerbaarheid bieden van alle authenticatiepogingen, terwijl browser-kluizen beperkte logging bieden die niet voldoet aan de auditvereisten van veel compliance-frameworks. De rationale voor het inschakelen van de wachtwoordbeheerder, indien absoluut noodzakelijk, omvat drie specifieke scenario's waarin deze aanpak tijdelijk acceptabel kan zijn. Het eerste scenario betreft legacy-applicaties zonder SSO-ondersteuning die niet kunnen worden gemoderniseerd of vervangen binnen een redelijke tijdsperiode, waarbij de wachtwoordbeheerder wordt gebruikt als tijdelijke oplossing totdat een permanente oplossing kan worden geïmplementeerd. Het tweede scenario betreft een gefaseerde transitie naar SSO waarbij de wachtwoordbeheerder tijdelijk wordt gebruikt voor applicaties die nog niet zijn gemigreerd naar SSO, met een duidelijk plan en tijdlijn voor volledige migratie. Het derde scenario betreft persoonlijke productiviteitssites waar corporate SSO niet geschikt is vanwege privacy-overwegingen of gebruikersvoorkeuren, hoewel dit scenario zeldzaam is in enterprise-omgevingen. Belangrijk is dat wanneer de wachtwoordbeheerder is ingeschakeld, deze altijd moet worden gecombineerd met aanvullende beveiligingsmaatregelen, waaronder ImportSavedPasswords ingesteld op 0 om te voorkomen dat gebruikers zwakke of gecompromitteerde wachtwoorden importeren vanuit andere browsers of wachtwoordbeheerders, AutofillCreditCardEnabled ingesteld op 0 om te voorkomen dat betalingsgegevens worden opgeslagen in de browser, en adequaat synchronisatiebeheer om te controleren welke gegevens worden gesynchroniseerd tussen apparaten.
PowerShell Modules Vereist
Primary API: Intune/GPO
Connection:
Required Modules:
Connection:
N/ARequired Modules:
Implementatie
Het beslispunt voor dit beleid is of PasswordManagerEnabled wordt ingesteld op 0, wat de voorkeursoptie is voor Zero Trust-omgevingen waarbij gebruik wordt gemaakt van SSO en wachtwoordloze authenticatie, of op 1, wat alleen wordt aanbevolen voor legacy-ondersteuning met strikt beheer en aanvullende beveiligingsmaatregelen. Het standaardscript dat bij dit beleid wordt geleverd stelt de waarde in op 0, wat betekent dat de wachtwoordbeheerder standaard wordt uitgeschakeld tenzij er specifieke zakelijke vereisten zijn die het inschakelen rechtvaardigen.
Implementatie
Gebruik PowerShell-script password-manager-Beheerled.ps1 (functie Invoke-Remediation) – Standaard: Schakel wachtwoordbeheerder uit (Zero Trust-benadering).
De implementatie van het PasswordManagerEnabled-beleid vereist een zorgvuldige afweging tussen beveiligingsdoelstellingen en operationele vereisten. Organisaties moeten kiezen tussen twee fundamenteel verschillende benaderingen, elk met specifieke implementatiestappen en beveiligingsimplicaties. De keuze tussen deze opties bepaalt niet alleen de technische configuratie, maar ook de langetermijnstrategie voor identiteits- en toegangsbeheer binnen de organisatie.
Optie 1: Uitschakelen van de wachtwoordbeheerder (Zero Trust - aanbevolen)
Voor organisaties die een Zero Trust-architectuur implementeren, is het uitschakelen van de browser-wachtwoordbeheerder de aanbevolen aanpak. Deze implementatie begint met het instellen van PasswordManagerEnabled op 0 via Intune-beleid of groepsbeleidsobjecten. Deze technische configuratie vormt echter slechts het begin van een uitgebreide transitie naar moderne authenticatiemethoden. De volgende stap is de implementatie van Entra ID SSO voor alle applicaties binnen de organisatie. Dit vereist een grondige inventarisatie van alle applicaties, het configureren van SAML- of OpenID Connect-integraties, en het testen van de SSO-functionaliteit voor elke applicatie. Organisaties moeten ervoor zorgen dat alle kritieke bedrijfsapplicaties ondersteuning bieden voor Entra ID SSO, en indien nodig moeten legacy-applicaties worden gemoderniseerd of vervangen door SSO-compatibele alternatieven. Deze transitie vereist nauwe samenwerking tussen IT-beheerders, beveiligingsteams en applicatie-eigenaren om ervoor te zorgen dat alle systemen naadloos integreren met de nieuwe authenticatie-infrastructuur. Het proces omvat het identificeren van applicaties die momenteel afhankelijk zijn van lokale wachtwoordopslag, het beoordelen van hun SSO-compatibiliteit, en het ontwikkelen van migratieplannen voor applicaties die nog geen ondersteuning bieden voor moderne authenticatiestandaarden.
Parallel aan de SSO-implementatie moeten organisaties Windows Hello en FIDO2-authenticatie implementeren voor wachtwoordloze toegang. Windows Hello biedt biometrische authenticatie via gezichtsherkenning of vingerafdrukken, terwijl FIDO2-hardwaretokens zoals YubiKeys extra beveiligingslagen bieden voor gevoelige applicaties. Deze technologieën elimineren de noodzaak voor wachtwoorden volledig en bieden superieure beveiliging tegen phishing-aanvallen. De implementatie van wachtwoordloze authenticatie vereist een grondige voorbereiding, inclusief het uitrollen van hardwaretokens waar nodig, het trainen van gebruikers in het gebruik van biometrische authenticatie, en het configureren van fallback-mechanismen voor scenario's waarin biometrische authenticatie niet beschikbaar is. Voor legacy-applicaties die nog geen SSO-ondersteuning bieden, moeten organisaties enterprise-wachtwoordkluizen implementeren zoals LastPass Enterprise of 1Password Business. Deze oplossingen bieden gecentraliseerd beheer, datalekdetectie en geavanceerde beveiligingscontroles die browsergebaseerde wachtwoordbeheerders niet kunnen bieden. Het is cruciaal dat organisaties expliciet verbieden dat gebruikers browsergebaseerde wachtwoordopslag gebruiken, en dit moet worden gehandhaafd via technische controles en gebruikersbeleid. Deze technische controles omvatten het configureren van Group Policy-instellingen die browser-wachtwoordopslag blokkeren, het implementeren van monitoring om te detecteren wanneer gebruikers proberen wachtwoorden op te slaan in browsers, en het regelmatig auditen van apparaten om te verifiëren dat het beleid correct wordt gehandhaafd.
Optie 2: Inschakelen met strikt beheer (Legacy-ondersteuning)
Wanneer organisaties nog niet volledig kunnen overstappen naar een Zero Trust-model, kunnen zij de wachtwoordbeheerder inschakelen met strikt beheer. Deze aanpak vereist PasswordManagerEnabled ingesteld op 1, maar moet worden gecombineerd met meerdere beveiligingsmaatregelen om de risico's te beperken. De eerste en meest kritieke vereiste is de implementatie van Entra ID-wachtwoordbescherming, die datalekdetectie biedt door wachtwoorden te vergelijken met bekende datalekken. Deze service waarschuwt gebruikers en beheerders wanneer een wachtwoord is gecompromitteerd, waardoor snelle reactie mogelijk is. De implementatie van Entra ID-wachtwoordbescherming vereist configuratie in de Azure-portal, waar beheerders kunnen instellen welke wachtwoorden moeten worden gecontroleerd en welke acties moeten worden ondernomen wanneer een gecompromitteerd wachtwoord wordt gedetecteerd. Daarnaast moet ImportSavedPasswords worden ingesteld op 0 om te voorkomen dat gebruikers zwakke of gecompromitteerde wachtwoorden importeren vanuit andere browsers of wachtwoordbeheerders. Deze maatregel voorkomt dat bestaande beveiligingsproblemen worden overgedragen naar de nieuwe omgeving. Organisaties moeten ook gebruikers informeren over waarom het importeren van wachtwoorden is uitgeschakeld en alternatieve methoden bieden voor het beheren van wachtwoorden voor legacy-applicaties, zoals het gebruik van enterprise-wachtwoordkluizen die wel importfunctionaliteit bieden maar met aanvullende beveiligingscontroles.
Organisaties moeten ook strikt wachtwoordbeleid afdwingen via Entra ID, inclusief minimale lengtevereisten, complexiteitsvereisten en verplichte wachtwoordwijzigingen. Deze beleidsregels moeten worden gecombineerd met regelmatige wachtwoordaudits om zwakke, hergebruikte of gecompromitteerde wachtwoorden te identificeren. Beveiligingsteams moeten maandelijks wachtwoordaudits uitvoeren en gebruikers verplichten om gecompromitteerde wachtwoorden onmiddellijk te wijzigen. Deze audits moeten worden geautomatiseerd waar mogelijk, met behulp van tools die wachtwoorden kunnen analyseren op zwakheden, hergebruik en compromittering. Wanneer problemen worden gedetecteerd, moeten gebruikers onmiddellijk worden gewaarschuwd en moeten er processen zijn om ervoor te zorgen dat wachtwoorden worden gewijzigd voordat er misbruik kan plaatsvinden. Belangrijk is dat organisaties die deze optie kiezen, een duidelijk transitieplan naar SSO moeten ontwikkelen. Dit plan moet tijdlijnen, mijlpalen en succescriteria bevatten, en moet regelmatig worden geëvalueerd om ervoor te zorgen dat de organisatie voortgang maakt naar een volledig Zero Trust-model. De wachtwoordbeheerder moet worden beschouwd als een tijdelijke oplossing, niet als een permanente strategie. Het transitieplan moet concrete stappen bevatten voor het migreren van legacy-applicaties naar SSO-compatibele alternatieven, het trainen van gebruikers in nieuwe authenticatiemethoden, en het monitoren van de voortgang om ervoor te zorgen dat de organisatie binnen de gestelde tijdlijn volledig kan overstappen naar een Zero Trust-model.
Monitoring
Gebruik PowerShell-script password-manager-controlled.ps1 (functie Invoke-Monitoring) – Controleren.
Effectieve monitoring van het PasswordManagerEnabled-beleid is essentieel om ervoor te zorgen dat de gekozen strategie correct wordt geïmplementeerd en gehandhaafd. Monitoring moet plaatsvinden op meerdere niveaus: technische configuratieverificatie, gebruikersgedrag-analyse, beveiligingsincidentdetectie en compliance-auditing. Deze gelaagde aanpak zorgt ervoor dat u volledig inzicht heeft in de status van uw wachtwoordbeheerstrategie en snel kunt reageren op afwijkingen of beveiligingsbedreigingen.
De primaire monitoringlocatie is het Windows-register op elk beheerd apparaat, specifiek het pad HKLM:\SOFTWARE\beleidsregels\Microsoft\Edge\PasswordManagerEnabled. Deze registerwaarde moet regelmatig worden gecontroleerd om te verifiëren dat het beleid correct is toegepast en niet is gewijzigd door gebruikers of andere processen. Automatische monitoring via Intune of Group Policy kan worden geconfigureerd om afwijkingen te detecteren en automatisch te herstellen. Daarnaast moeten regelmatige handmatige controles worden uitgevoerd, bij voorkeur wekelijks, om te verifiëren dat de configuratie consistent is op alle apparaten en gebruikersgroepen. Deze monitoring moet worden uitgevoerd door IT-beheerders die toegang hebben tot de registerinstellingen en die kunnen verifiëren dat de configuratie overeenkomt met de organisatiebeleidsregels. Het is belangrijk om een baseline te creëren van de verwachte configuratie en deze regelmatig te vergelijken met de werkelijke configuratie op alle apparaten. Afwijkingen moeten onmiddellijk worden onderzocht om te bepalen of ze het gevolg zijn van onopzettelijke wijzigingen, kwaadaardige activiteiten, of configuratiefouten in het beleidsbeheersysteem.
Wanneer de wachtwoordbeheerder is uitgeschakeld (PasswordManagerEnabled = 0), moet u uitgebreide monitoring uitvoeren op de adoptie van SSO en wachtwoordloze authenticatiemethoden. Dit omvat het bijhouden van het aantal applicaties dat succesvol is geconfigureerd voor SSO, het percentage gebruikers dat regelmatig SSO gebruikt in plaats van individuele authenticatie, en het identificeren van applicaties of gebruikers die nog steeds afhankelijk zijn van traditionele wachtwoordauthenticatie. U moet ook verifiëren dat alle kritieke applicaties toegankelijk zijn via SSO en dat gebruikers geen problemen ondervinden bij het authenticeren. Dit kan worden gemonitord via Entra ID-sign-in logs, die gedetailleerde informatie bieden over authenticatiepogingen, gebruikte methoden en eventuele fouten of blokkades.
Daarnaast moet u monitoren op pogingen om de wachtwoordbeheerder te omzeilen of te herconfigureren. Dit kan gebeuren via registerwijzigingen, het gebruik van niet-beheerde browsers, of het gebruik van persoonlijke apparaten voor werkdoeleinden. Monitoring moet ook plaatsvinden op het gebruik van enterprise-wachtwoordkluizen om te verifiëren dat gebruikers deze daadwerkelijk gebruiken voor legacy-applicaties en dat de kluizen correct zijn geconfigureerd en beveiligd. Regelmatige gebruikersenquêtes kunnen ook waardevolle inzichten bieden in gebruikerservaringen en eventuele uitdagingen bij de adoptie van nieuwe authenticatiemethoden.
Wanneer de wachtwoordbeheerder is ingeschakeld (PasswordManagerEnabled = 1), moet u nog uitgebreidere monitoring uitvoeren vanwege de verhoogde beveiligingsrisico's. Ten eerste moet u regelmatige audits uitvoeren van opgeslagen wachtwoorden om zwakke, hergebruikte of gecompromitteerde wachtwoorden te identificeren. Deze audits moeten worden geautomatiseerd waar mogelijk en moeten gebruikmaken van Entra ID-wachtwoordbescherming en andere tools die wachtwoorden kunnen analyseren op zwakheden. Gevonden problemen moeten onmiddellijk worden geadresseerd, waarbij gebruikers worden gevraagd om hun wachtwoorden te wijzigen en, indien nodig, worden getraind in het creëren van sterke wachtwoorden.
Ten tweede moet u proactieve datalekmonitoring uitvoeren om te detecteren wanneer opgeslagen wachtwoorden mogelijk zijn gecompromitteerd in externe datalekken. Entra ID-wachtwoordbescherming biedt deze functionaliteit, maar u moet ook externe monitoringtools overwegen die een breder scala aan datalekbronnen monitoren. Wanneer een datalek wordt gedetecteerd, moeten gebruikers onmiddellijk worden gewaarschuwd en moeten ze worden gevraagd om hun wachtwoorden te wijzigen, zelfs voordat het wachtwoord daadwerkelijk is gecompromitteerd.
Ten derde moet u zwakke wachtwoorddetectie implementeren die real-time analyse uitvoert van nieuwe wachtwoorden die worden opgeslagen. Dit systeem moet wachtwoorden evalueren op basis van lengte, complexiteit, voorspelbaarheid en vergelijking met bekende zwakke wachtwoordpatronen. Wanneer een zwak wachtwoord wordt gedetecteerd, moet het systeem de gebruiker waarschuwen en, indien mogelijk, voorkomen dat het zwakke wachtwoord wordt opgeslagen totdat een sterker alternatief is gekozen. Deze monitoring moet worden gecombineerd met gebruikerseducatie om het bewustzijn te vergroten over het belang van sterke wachtwoorden en de risico's van zwakke wachtwoorden.
Ongeacht welke optie u heeft gekozen, moet u ook monitoring uitvoeren op authenticatie-incidenten, zoals mislukte inlogpogingen, verdachte activiteiten of pogingen tot ongeautoriseerde toegang. Deze monitoring moet worden geïntegreerd met uw Security Information and Event Management (SIEM) systeem en moet automatische alerting bevatten voor verdachte patronen. Regelmatige reviews van deze logs moeten worden uitgevoerd door security analisten om trends te identificeren en proactief te reageren op opkomende bedreigingen.
Compliance en Auditing
Het beheer van de browser-wachtwoordbeheerder heeft directe implicaties voor compliance met verschillende beveiligings- en privacyframeworks die relevant zijn voor Nederlandse overheidsorganisaties. Een correcte implementatie van dit beleid is essentieel om te voldoen aan de vereisten van deze frameworks en om een sterke compliance-positie te behouden tijdens audits en assessments.
Voor organisaties die een Zero Trust-architectuur implementeren, is het uitschakelen van de browser-wachtwoordbeheerder de voorkeursoptie. Zero Trust-principes vereisen dat alle authenticatie wordt geverifieerd en gecontroleerd via gecentraliseerde identity providers, en dat er geen lokale opslag van credentials plaatsvindt zonder enterprise-beheer. Door de wachtwoordbeheerder uit te schakelen en over te stappen op SSO en wachtwoordloze authenticatie, voldoet u aan deze principes en creëert u een fundament voor een robuuste Zero Trust-implementatie. Deze aanpak ondersteunt ook de Nederlandse overheidsprioriteiten voor digitale veiligheid en sluit aan bij de richtlijnen van het Nationaal Cyber Security Centrum (NCSC) voor moderne authenticatiestrategieën.
ISO 27001:2022 controle A.5.17 behandelt het beheer van authenticatie-informatie en vereist dat organisaties passende maatregelen implementeren om authenticatie-informatie te beveiligen tegen onbevoegde toegang, wijziging of vernietiging. Wanneer u de browser-wachtwoordbeheerder uitschakelt en overstapt op enterprise-authenticatieoplossingen, voldoet u aan deze vereiste door gebruik te maken van systemen die uitgebreide beveiligingscontroles, monitoring en auditmogelijkheden bieden. Wanneer u de wachtwoordbeheerder inschakelt, moet u aanvullende maatregelen implementeren, zoals Entra ID-wachtwoordbescherming en regelmatige audits, om te voldoen aan deze controle. U moet ook documenteren hoe authenticatie-informatie wordt beheerd, wie toegang heeft tot deze informatie, en welke processen zijn geïmplementeerd om de beveiliging te waarborgen.
NIST SP 800-63B Digital Identity Guidelines biedt uitgebreide richtlijnen voor het beheer van digitale identiteiten en authenticatie. Deze richtlijnen benadrukken het belang van sterke authenticatiemethoden, bescherming tegen credential-based aanvallen, en het gebruik van wachtwoordloze authenticatie waar mogelijk. Door de wachtwoordbeheerder uit te schakelen en over te stappen op SSO en wachtwoordloze methoden zoals FIDO2 en Windows Hello, voldoet u aan deze richtlijnen en verhoogt u de algehele beveiligingspostuur van uw organisatie. Wanneer u de wachtwoordbeheerder inschakelt, moet u ervoor zorgen dat alle opgeslagen wachtwoorden voldoen aan de NIST-vereisten voor wachtwoordsterkte en dat u proactieve maatregelen implementeert om credential-based aanvallen te detecteren en te voorkomen.
De CIS (Center for Internet Security) Controls bevatten specifieke aanbevelingen voor credential management die relevant zijn voor dit beleid. Deze controls vereisen dat organisaties gecentraliseerd credential management implementeren, sterke wachtwoordbeleidsregels afdwingen, en regelmatige audits uitvoeren van opgeslagen credentials. Door de wachtwoordbeheerder uit te schakelen en over te stappen op enterprise-authenticatieoplossingen, voldoet u aan deze vereisten door gebruik te maken van systemen die gecentraliseerd beheer en uitgebreide monitoring bieden. Wanneer u de wachtwoordbeheerder inschakelt, moet u aanvullende maatregelen implementeren om te voldoen aan deze controls, inclusief het gebruik van enterprise-wachtwoordkluizen voor legacy-applicaties en het implementeren van strikte wachtwoordbeleidsregels.
Voor Nederlandse overheidsorganisaties zijn ook de BIO-normen (Baseline Informatiebeveiliging Overheid) van cruciaal belang. Deze normen vereisen dat organisaties passende maatregelen implementeren om authenticatie-informatie te beveiligen en dat zij kunnen aantonen dat deze maatregelen effectief zijn. Het uitschakelen van de browser-wachtwoordbeheerder en het gebruik van enterprise-authenticatieoplossingen ondersteunt compliance met deze normen door gebruik te maken van systemen die uitgebreide auditmogelijkheden en bewijs van effectiviteit bieden. U moet ook documenteren hoe uw keuze voor het PasswordManagerEnabled-beleid aansluit bij de BIO-normen en hoe u regelmatig evalueert of deze keuze nog steeds geschikt is voor uw organisatie.
Tijdens compliance-audits moet u kunnen aantonen dat u een weloverwogen beslissing heeft genomen over het PasswordManagerEnabled-beleid, dat u de gekozen optie correct heeft geïmplementeerd, en dat u regelmatige monitoring en evaluatie uitvoert. U moet ook kunnen aantonen dat gebruikers adequaat zijn getraind in het gebruik van de gekozen authenticatiemethoden en dat er processen zijn geïmplementeerd om afwijkingen te detecteren en te corrigeren. Documentatie moet worden bijgehouden van alle configuratiewijzigingen, monitoringresultaten, en incidenten die verband houden met authenticatie, en deze documentatie moet beschikbaar zijn voor auditors wanneer daarom wordt gevraagd.
Remediatie
Gebruik PowerShell-script password-manager-controlled.ps1 (functie Invoke-Remediation) – Herstellen.
Remediatie van problemen met het PasswordManagerEnabled-beleid vereist een systematische aanpak die begint met het identificeren van de oorzaak van de afwijking en eindigt met het herstellen van de gewenste configuratie en het voorkomen van toekomstige problemen. Wanneer een afwijking wordt gedetecteerd, moet u onmiddellijk actie ondernemen om de beveiligingsrisico's te mitigeren en de compliance-positie te herstellen.
Het eerste stap in het remediatieproces is het identificeren van de omvang van het probleem. Dit omvat het bepalen hoeveel apparaten of gebruikers zijn getroffen, of de afwijking opzettelijk of onopzettelijk is veroorzaakt, en wat de potentiële beveiligingsimpact is. U moet ook onderzoeken of er al misbruik heeft plaatsgevonden, bijvoorbeeld door het controleren van authenticatielogboeken op verdachte activiteiten of pogingen tot ongeautoriseerde toegang. Deze informatie is essentieel om de juiste remediatiestrategie te bepalen en om te bepalen of aanvullende beveiligingsmaatregelen nodig zijn. Tijdens deze fase moet u ook contact opnemen met de getroffen gebruikers om te begrijpen wat er is gebeurd en om te bepalen of er sprake is van opzettelijke omzeiling van het beleid of van onopzettelijke configuratiefouten. Het is belangrijk om een volledig beeld te krijgen van de situatie voordat u begint met het herstellen van de configuratie, omdat dit u helpt om de juiste remediatiestappen te bepalen en om te voorkomen dat vergelijkbare problemen in de toekomst optreden.
Zodra de omvang van het probleem is vastgesteld, moet u de configuratie herstellen naar de gewenste staat. Als de wachtwoordbeheerder onbedoeld is ingeschakeld terwijl deze uitgeschakeld had moeten zijn, moet u deze onmiddellijk uitschakelen door PasswordManagerEnabled in te stellen op 0. Als de wachtwoordbeheerder onbedoeld is uitgeschakeld terwijl deze ingeschakeld had moeten zijn, moet u deze inschakelen door PasswordManagerEnabled in te stellen op 1, maar alleen nadat u heeft geverifieerd dat alle vereiste beveiligingsmaatregelen correct zijn geïmplementeerd. De herstelactie moet worden uitgevoerd via Intune of Group Policy om ervoor te zorgen dat de wijziging consistent wordt toegepast op alle getroffen apparaten. Het is belangrijk om de herstelactie te documenteren, inclusief de datum en tijd waarop de actie is uitgevoerd, welke apparaten zijn getroffen, en wie de actie heeft uitgevoerd. Deze documentatie is essentieel voor compliance-doeleinden en voor het begrijpen van de geschiedenis van configuratiewijzigingen binnen de organisatie. Na het uitvoeren van de herstelactie moet u verifiëren dat de wijziging daadwerkelijk is toegepast op alle getroffen apparaten door middel van monitoring en verificatie.
Na het herstellen van de configuratie moet u controleren of er aanvullende acties nodig zijn. Als de wachtwoordbeheerder onbedoeld is ingeschakeld geweest, moet u controleren of er zwakke of gecompromitteerde wachtwoorden zijn opgeslagen en deze indien nodig verwijderen of wijzigen. U moet ook controleren of gebruikers zijn getraind in het gebruik van de juiste authenticatiemethoden en of er aanvullende training nodig is. Als de wachtwoordbeheerder onbedoeld is uitgeschakeld geweest, moet u controleren of gebruikers problemen hebben ondervonden bij het authenticeren en of er aanvullende ondersteuning nodig is.
Ten slotte moet u maatregelen implementeren om te voorkomen dat het probleem opnieuw optreedt. Dit kan het versterken van Group Policy-instellingen omvatten, het implementeren van aanvullende monitoring om afwijkingen sneller te detecteren, of het verbeteren van gebruikerseducatie om te voorkomen dat gebruikers proberen de configuratie te wijzigen. U moet ook de root cause van het probleem onderzoeken om te begrijpen waarom de afwijking is opgetreden en welke systeem- of procesverbeteringen nodig zijn om toekomstige problemen te voorkomen.
Compliance & Frameworks
- CIS M365: Control wachtwoordbeheer (L1) - Gecentraliseerd credentialbeheer
- ISO 27001:2022: A.5.17 - Beheer van authenticatie-informatie
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Edge Privacy: Password Manager Controlled
.DESCRIPTION
CIS - Password manager moet centraal geconfigureerd.
.NOTES
Filename: password-manager-controlled.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Edge\PasswordManagerEnabled|Expected: configured
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge"; $RegName = "PasswordManagerEnabled"; $ExpectedValue = 0
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "password-manager-controlled.ps1"; PolicyName = "Password Manager Controlled"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; if (-not(Test-Path $RegPath)) { $r.Details += "Niet geconfigureerd"; return $r }; try { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop; $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Password manager disabled" }else { $r.Details += "Password manager enabled" } }catch { $r.Details += "Niet geconfigureerd" }; return $r }
function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Password manager disabled" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
High: Dit beleid vertegenwoordigt een fundamentele strategische beslissing die de basis legt voor de gehele authenticatiestrategie van uw organisatie en diepgaande gevolgen heeft voor de beveiligingspostuur en compliance-positie. Indien de wachtwoordbeheerder ongecontroleerd blijft of niet correct wordt geconfigureerd, worden wachtwoorden opgeslagen zonder enterprise-beheer, wat betekent dat er geen datalekdetectie, wachtwoordrotatie of auditmogelijkheden beschikbaar zijn. Dit creëert aanzienlijke beveiligingsrisico's omdat gecompromitteerde wachtwoorden niet worden gedetecteerd, zwakke wachtwoorden niet worden geïdentificeerd, en er geen gecentraliseerde controle is over wie toegang heeft tot welke applicaties. De aanbeveling is om de wachtwoordbeheerder uit te schakelen voor Zero Trust-omgevingen waarbij gebruik wordt gemaakt van SSO en wachtwoordloze authenticatie, wat de meest veilige en moderne aanpak is. Indien de organisatie zakelijk gezien browsergebaseerde wachtwoordopslag vereist vanwege technische beperkingen of legacy-applicaties, moet de wachtwoordbeheerder worden ingeschakeld met strikt beheer, Entra ID-wachtwoordbescherming, regelmatige audits, en een duidelijk transitieplan naar SSO dat concrete tijdlijnen en mijlpalen bevat.
Management Samenvatting
Dit beleid vereist een strategische beslissing over de authenticatiestrategie: schakel de wachtwoordbeheerder uit (PasswordManagerEnabled is 0) voor Zero Trust- en SSO-omgevingen, wat de aanbevolen aanpak is voor moderne beveiligingsarchitecturen. Als alternatief, voor organisaties met legacy-applicaties die nog niet volledig kunnen overstappen naar SSO, kan de wachtwoordbeheerder worden ingeschakeld met Entra ID-wachtwoordbescherming, strikt beheer, en aanvullende beveiligingsmaatregelen. De implementatie vereist ongeveer 12 uur werk voor een complete SSO-transitie, inclusief applicatie-inventarisatie, SSO-configuratie, gebruikersmigratie en testing.
- Implementatietijd: 12 uur
- FTE required: 0.05 FTE