💼 Management Samenvatting
Het uitschakelen van de ingebouwde wachtwoordbeheerder van Edge en het verplichten van enterprise wachtwoordbeheeroplossingen zoals 1Password, LastPass Enterprise, Keeper of Azure AD wachtwoordbescherming biedt centrale beheerfunctionaliteit, handhaving van wachtwoordbeleid, auditmogelijkheden en geavanceerde beveiligingsfuncties die browserwachtwoordbeheerders ontberen.
Aanbeveling
CONSIDER
Risico zonder
Medium
Risk Score
5/10
Implementatie
20u (tech: 8u)
Van toepassing op:
✓ Microsoft Edge
✓ Enterprise Endpoints
✓ Enterprise Endpoints
Browserwachtwoordbeheerders zoals de ingebouwde functionaliteit in Edge, Chrome en Firefox zijn handig voor consumenten, maar hebben fundamentele beperkingen voor gebruik in enterprise-omgevingen die beveiligings- en compliancerisico's creëren. Het belangrijkste probleem is het ontbreken van centrale controle, waardoor IT-afdelingen geen inzicht hebben in welke wachtwoorden door gebruikers zijn opgeslagen. Bovendien bieden browserwachtwoordbeheerders geen mogelijkheid tot handhaving van wachtwoordbeleid, waardoor gebruikers zwakke wachtwoorden kunnen opslaan zonder controles op lengte of complexiteit. Een ander kritiek probleem is het ontbreken van centrale intrekking: wanneer een medewerker de organisatie verlaat, blijven wachtwoorden in de browser achter op het geretourneerde apparaat, wat een aanzienlijk beveiligingsrisico vormt. Daarnaast ontbreekt een audittrail van wachtwoordgebruik, waardoor organisaties niet kunnen vaststellen wie welke credentials heeft gebruikt en wanneer. Browserwachtwoordbeheerders missen ook essentiële beveiligingsfuncties zoals herinneringen voor wachtwoordrotatie, monitoring van datalekken met integratie van diensten zoals HaveIBeenPwned, veilige wachtwoorddeling voor teamaccounts, beheer van bevoorrechte toegang en compliancerapportage. De versleuteling van browserwachtwoorden is inconsistent: wachtwoorden worden lokaal versleuteld met besturingssysteemcredentials, wat bij diefstal van een laptop kan leiden tot blootstelling van credentials. Bovendien synchroniseren veel browsers naar persoonlijke Microsoft-accounts, waardoor zakelijke wachtwoorden in persoonlijke cloudopslag terechtkomen. Browserwachtwoordbeheerders bieden geen bescherming tegen manipulatie, waardoor malware wachtwoorden kan extraheren. Deze beperkingen creëren compliancehiaten voor verschillende normen: de BIO vereist centrale handhaving van wachtwoordbeleid, ISO 27001 vereist volledig levenscyclusbeheer van wachtwoorden inclusief aanmaak, rotatie en buiten gebruik stellen, NIS2 vereist bescherming van bevoorrechte credentials, en de AVG vereist dat credentialopslag als verwerking van persoonsgegevens wordt behandeld. In praktijkscenario's leidt dit tot concrete problemen: wanneer een medewerker vertrekt, blijven wachtwoorden in de browser achter op de geretourneerde laptop, wat problemen oplevert voor credentialopruiming. Bij diefstal van een laptop kan het masterwachtwoord van de browser worden omzeild, waardoor alle credentials worden blootgesteld. Bij een malware-infectie kunnen password stealers browserwachtwoorden extraheren, wat kan leiden tot laterale beweging binnen het netwerk. Enterprise wachtwoordbeheerders elimineren deze risico's door een centrale wachtwoordkluis te bieden met uitgebreide auditing, versleuteling en toegangsbeheer. Ze handhaven wachtwoordbeleid door complexiteit, lengte en rotatie af te dwingen. Ze bieden monitoring van datalekken en waarschuwingen voor gecompromitteerde wachtwoorden. Ze faciliteren veilige delen van wachtwoorden voor team- en serviceaccounts. Ze bieden workflows voor bevoorrechte toegangsbeheer, compliancerapportage voor audits, integratie met zero-trust-architecturen met MFA-handhaving en procedures voor noodtoegang zoals break-glass-accounts.
PowerShell Modules Vereist
Primary API: Intune/GPO
Connection:
Required Modules:
Connection:
N/ARequired Modules:
Implementatie
Deze controle configureert PasswordManagerEnabled op 0 (Uitgeschakeld) via het register op het pad HKLM:\SOFTWARE\beleidsregels\Microsoft\Edge\PasswordManagerEnabled is 0, waardoor de 'Wachtwoord opslaan'-prompts van Edge worden uitgeschakeld en gebruikers geen wachtwoorden meer kunnen opslaan in de browser. Voordat deze controle wordt geïmplementeerd, is het essentieel om eerst een enterprise wachtwoordbeheerder te implementeren. Beschikbare oplossingen zijn onder meer 1Password Business, LastPass Enterprise, Keeper Enterprise, Bitwarden en Azure AD wachtwoordsynchronisatie. Gebruikerstraining over de nieuwe wachtwoordworkflow is cruciaal, evenals een migratieplan voor bestaande in de browser opgeslagen wachtwoorden waarbij wachtwoorden worden geëxporteerd en geïmporteerd naar de enterprise beheerder. Daarnaast moet de compatibiliteit van browser-extensies van de wachtwoordbeheerder worden getest. Een alternatieve aanpak is het gebruik van PasswordManagerEnabled in combinatie met het uitschakelen van synchronisatie door SyncTypesListDisabled in te stellen op wachtwoorden, waardoor lokale wachtwoordopslag wordt toegestaan maar cloudsynchronisatie wordt geblokkeerd. Azure AD automatische wachtwoordinvulling via een browserextensie kan worden gebruikt als enterprise-alternatief. Best practice is om deze controle te combineren met PasswordMonitorAllowed ingesteld op 1 voor lekdetectie, PasswordSharingEnabled ingesteld op 0 om delen via de browser te voorkomen, en EnforceBreachAlertEnabled voor waarschuwingen over gecompromitteerde wachtwoorden.
Vereisten
Voordat de browserwachtwoordbeheerder wordt uitgeschakeld, is het absoluut essentieel dat een enterprise wachtwoordbeheerder volledig is geïmplementeerd en operationeel is. Het uitschakelen van de browserwachtwoordbeheerder zonder een werkend alternatief leidt tot frustratie bij gebruikers, verhoogde helpdeskbelasting en mogelijk tot onveilige praktijken zoals het opslaan van wachtwoorden in onbeveiligde documenten of het hergebruiken van wachtwoorden. Daarom moet de implementatie van een enterprise wachtwoordbeheerder de eerste en meest kritieke stap zijn in dit proces. Er zijn verschillende enterprise wachtwoordbeheeroplossingen beschikbaar die geschikt zijn voor gebruik in Nederlandse overheidsorganisaties. 1Password Business en Teams bieden uitgebreide functionaliteit met sterke beveiliging en goede integratie met Azure AD. LastPass Enterprise is een populaire keuze met brede platformondersteuning en uitgebreide beheerfunctionaliteit. Keeper Enterprise biedt geavanceerde beveiligingsfuncties en sterke compliancemogelijkheden. Bitwarden Teams en Enterprise zijn open-source oplossingen die kosteneffectief zijn en goede beveiliging bieden. Azure AD wachtwoordbescherming biedt beperkte functionaliteit maar kan worden gebruikt als onderdeel van een bredere Microsoft-ecosysteemstrategie. Thycotic Secret Server is een enterprise-oplossing die zich richt op bevoorrechte toegang en secret management, wat geschikt kan zijn voor organisaties met complexe beveiligingsvereisten. Naast de selectie en implementatie van de enterprise wachtwoordbeheerder zelf, moeten browser-extensies van de wachtwoordbeheerder worden geïnstalleerd op alle apparaten waar gebruikers toegang hebben tot webapplicaties. Deze extensies zijn essentieel voor naadloze integratie tussen de wachtwoordbeheerder en de browser, waardoor gebruikers wachtwoorden kunnen invullen zonder handmatige invoer. De extensies moeten worden gedeployed via Intune of een andere centrale beheeroplossing om consistentie te waarborgen. Gebruikerstraining is een kritieke vereiste die niet mag worden onderschat. Gebruikers moeten worden getraind in het gebruik van de nieuwe wachtwoordbeheerder, inclusief het aanmaken van accounts, het genereren van sterke wachtwoorden, het opslaan en ophalen van wachtwoorden, en het delen van wachtwoorden met teamleden waar nodig. Training kan worden aangeboden in verschillende formaten: live trainingssessies, video-tutorials, geschreven handleidingen en interactieve workshops. Het is belangrijk om training aan te bieden voordat de browserwachtwoordbeheerder wordt uitgeschakeld, zodat gebruikers vertrouwd zijn met het nieuwe systeem. Een gedetailleerd migratieplan is essentieel voor de overgang van browserwachtwoorden naar de enterprise wachtwoordbeheerder. Dit plan moet voorzien in het exporteren van bestaande wachtwoorden uit browsers, het veilig overdragen van deze gegevens, en het importeren in de enterprise wachtwoordbeheerder. Het exportproces moet worden uitgevoerd met aandacht voor beveiliging, aangezien wachtwoordbestanden zeer gevoelige informatie bevatten. Na import moeten geëxporteerde bestanden veilig worden verwijderd. Helpdeskmedewerkers moeten worden getraind in het ondersteunen van gebruikers met de nieuwe wachtwoordbeheerder. Dit omvat het oplossen van technische problemen, het beantwoorden van vragen over functionaliteit, en het helpen bij migratieproblemen. Helpdeskmedewerkers moeten toegang hebben tot documentatie en mogelijk tot directe ondersteuning van de leverancier van de wachtwoordbeheerder. Voor de implementatie van de Intune- of GPO-beleidsregels zijn administratorrechten vereist. Deze rechten zijn nodig om beleidsregels te maken, toe te wijzen en te monitoren. Het is belangrijk om te zorgen dat de juiste personen toegang hebben tot deze functionaliteit en dat wijzigingen worden gedocumenteerd en gecontroleerd. Voordat de implementatie organisatiebreed wordt uitgerold, moet een testfase worden uitgevoerd met een pilotgroep, bij voorkeur het IT-team. Deze pilotfase moet minimaal twee tot vier weken duren om voldoende tijd te hebben voor het identificeren en oplossen van problemen. Feedback van de pilotgroep moet worden verzameld en gebruikt om procedures aan te passen voordat de volledige implementatie plaatsvindt.
Implementatie
De implementatie van deze controle verloopt in drie duidelijke stappen, waarbij elke stap zorgvuldig moet worden uitgevoerd om een soepele overgang te waarborgen. De eerste stap is de implementatie van de enterprise wachtwoordbeheerder, wat de meest tijdrovende en kritieke fase is. De tweede stap betreft de migratie van bestaande wachtwoorden uit browsers naar de nieuwe wachtwoordbeheerder. De derde en laatste stap is het uitschakelen van de browserwachtwoordbeheerder via Intune-beleidsregels. De eerste stap begint met de selectie van een geschikte enterprise wachtwoordbeheeroplossing. Hoewel 1Password vaak wordt aanbevolen vanwege zijn uitgebreide functionaliteit en sterke beveiliging, moeten organisaties een keuze maken op basis van hun specifieke behoeften, budget en bestaande infrastructuur. Na selectie moeten browser-extensies worden geïmplementeerd via Intune met behulp van extensie-installatiebeleidsregels. Deze beleidsregels zorgen ervoor dat de extensies automatisch worden geïnstalleerd op alle beheerde apparaten, wat consistentie waarborgt en handmatige installatie voorkomt. Een cruciale configuratiestap is de integratie van single sign-on (SSO) met Azure AD. Deze integratie stelt gebruikers in staat om zich aan te melden bij de wachtwoordbeheerder met hun bestaande Azure AD-referenties, wat de gebruikerservaring verbetert en de beveiliging versterkt door gebruik te maken van bestaande authenticatiemechanismen zoals meervoudige authenticatie. De SSO-configuratie moet worden uitgevoerd in samenwerking met de leverancier van de wachtwoordbeheerder en vereist meestal configuratie in zowel Azure AD als de wachtwoordbeheerder. Gebruikersonboarding is een uitgebreid proces dat verschillende componenten omvat. Training moet worden aangeboden in meerdere formaten om verschillende leerstijlen te accommoderen: live trainingssessies voor interactief leren, quickstart-gidsen voor snelle referentie, en uitgebreide documentatie voor diepgaande informatie. Helpdeskprocedures moeten worden gedocumenteerd en getraind, zodat helpdeskmedewerkers gebruikers effectief kunnen ondersteunen bij problemen of vragen. Voordat de implementatie wordt uitgerold, moet uitgebreide testing worden uitgevoerd om te verifiëren dat de wachtwoordbeheerder correct werkt op alle platforms die binnen de organisatie worden gebruikt, inclusief Windows, macOS en mobiele apparaten. Elke platform heeft zijn eigen specifieke uitdagingen en vereisten, en deze moeten worden geïdentificeerd en opgelost voordat de volledige implementatie plaatsvindt. De pilotfase is een kritieke periode waarin de wachtwoordbeheerder wordt geïmplementeerd bij het IT-team gedurende twee tot vier weken. Deze fase dient meerdere doelen: het identificeren van technische problemen, het verzamelen van gebruikersfeedback, het testen van helpdeskprocedures, en het verfijnen van trainingmateriaal. Feedback uit de pilotfase moet worden gebruikt om procedures aan te passen voordat de organisatiebrede implementatie plaatsvindt. De tweede stap betreft de migratie van bestaande wachtwoorden uit browsers naar de enterprise wachtwoordbeheerder. Dit proces begint met het exporteren van wachtwoorden uit Edge via Instellingen → Wachtwoorden → Exporteren, wat resulteert in een CSV-bestand. Dit exportproces moet worden uitgevoerd met uiterste aandacht voor beveiliging, aangezien wachtwoordbestanden zeer gevoelige informatie bevatten. Het bestand moet worden overgedragen via versleutelde kanalen en alleen worden gebruikt voor importdoeleinden. Na export moeten de wachtwoorden worden geïmporteerd in de enterprise wachtwoordbeheerder via bulkimportfunctionaliteit die door de meeste enterprise-oplossingen wordt ondersteund. Na import moet worden geverifieerd dat een steekproef van wachtwoorden toegankelijk is in de nieuwe beheerder en correct werkt. Dit verificatieproces is essentieel om te zorgen dat de migratie succesvol is geweest en dat gebruikers toegang hebben tot hun wachtwoorden. Na succesvolle import en verificatie moeten alle geëxporteerde CSV-bestanden veilig worden verwijderd om het risico op blootstelling van credentials te minimaliseren. Dit cleanup-proces moet worden gedocumenteerd en geverifieerd om te zorgen dat geen gevoelige gegevens achterblijven op systemen. De derde stap is het uitschakelen van de Edge-wachtwoordbeheerder via Intune. Dit proces begint in het Microsoft Intune-beheercentrum onder Apparaten → Configuratieprofielen. Een nieuw profiel moet worden gemaakt voor het platform Windows 10 en later met het profieltype Instellingencatalogus. Binnen de catalogus moet Microsoft Edge worden geselecteerd, gevolgd door Wachtwoordbeheerder, waar PasswordManagerEnabled moet worden ingesteld op Uitgeschakeld (0). Het profiel moet worden toegewezen aan alle gebruikers, maar alleen na een succesvolle pilotfase. De implementatie moet worden gemonitord via Apparaatconfiguratie → Monitor om te verifiëren dat het beleid correct wordt toegepast op alle apparaten. Gebruikers moeten worden geïnformeerd over de wijziging via e-mail, intranetberichten of andere communicatiekanalen, met uitleg over waarom de wijziging wordt doorgevoerd en hoe ze de nieuwe wachtwoordbeheerder kunnen gebruiken. Voor organisaties die een meer gebalanceerde aanpak willen, zijn er alternatieve opties beschikbaar. Optie 1 is het toestaan van lokale opslag maar het uitschakelen van synchronisatie door SyncTypesListDisabled in te stellen op wachtwoorden. Dit biedt gebruikers de mogelijkheid om wachtwoorden lokaal op te slaan terwijl cloudsynchronisatie wordt voorkomen. Optie 2 is het inschakelen van de wachtwoordbeheerder maar het uitschakelen van automatisch invullen door AutofillAddressEnabled in te stellen op 0, wat gebruikers dwingt om wachtwoorden handmatig te kopiëren en plakken. Optie 3 is het toestaan van de wachtwoordbeheerder maar het afdwingen van lekmonitoring door PasswordMonitorAllowed in te stellen op 1, wat waarschuwingen biedt voor gecompromitteerde wachtwoorden. De keuze tussen deze opties moet worden gebaseerd op de beveiligingspositie van de organisatie en compliancevereisten.
Gebruik PowerShell-script password-manager-disabled.ps1 (functie Invoke-Remediation) – PowerShell script voor disabling van Edge password manager.
Monitoring
Gebruik PowerShell-script password-manager-disabled.ps1 (functie Invoke-Monitoring) – Controleert PasswordManagerEnabled registerwaarde status.
Continue monitoring van deze controle is essentieel om te verifiëren dat het beleid correct wordt toegepast en om eventuele problemen vroegtijdig te identificeren. Monitoring moet worden uitgevoerd op meerdere niveaus: technische verificatie van de beleidsimplementatie, adoptie van de enterprise wachtwoordbeheerder door gebruikers, gebruikerservaring en tevredenheid, en beveiligingsresultaten. Technische monitoring begint met regelmatige controles van de registerwaarde op het pad HKLM:\SOFTWARE\beleidsregels\Microsoft\Edge\PasswordManagerEnabled om te verifiëren dat deze is ingesteld op 0 (Uitgeschakeld). Deze controles kunnen worden geautomatiseerd via PowerShell-scripts of monitoringtools die regelmatig de registerwaarde controleren en waarschuwingen genereren wanneer afwijkingen worden gedetecteerd. Automatische monitoring is bijzonder belangrijk in grote omgevingen waar handmatige controles niet praktisch zijn. Intune-compliance monitoring biedt inzicht in de implementatiestatus van het apparaatconfiguratiebeleid. Het Intune-beheercentrum biedt dashboards die de implementatiestatus per apparaat tonen, inclusief apparaten waar het beleid succesvol is toegepast, apparaten waar implementatie mislukt is, en apparaten waar implementatie nog bezig is. Deze informatie moet regelmatig worden gecontroleerd om te zorgen dat alle apparaten het beleid correct hebben ontvangen en toegepast. Adoptie van de enterprise wachtwoordbeheerder is een kritieke metriek die aangeeft of gebruikers daadwerkelijk gebruik maken van de nieuwe oplossing. De meeste enterprise wachtwoordbeheerders bieden rapportagefunctionaliteit die laat zien hoeveel gebruikers de wachtwoordbeheerder hebben geactiveerd, hoeveel wachtwoorden zijn opgeslagen, en hoe actief gebruikers zijn. Lage adoptiecijfers kunnen wijzen op problemen met training, gebruikerservaring, of technische problemen die moeten worden aangepakt. Helpdesktickets gerelateerd aan wachtwoorden kunnen waardevolle inzichten bieden in de effectiviteit van de implementatie. Een toename van wachtwoordgerelateerde tickets na de implementatie kan wijzen op trainingstekorten, technische problemen, of gebruikersfrustratie. Deze tickets moeten worden geanalyseerd om patronen te identificeren en gerichte verbeteringen door te voeren. Een afname van wachtwoordgerelateerde tickets over tijd kan wijzen op succesvolle adoptie en verbeterde gebruikerservaring. Gebruikerstevredenheid moet worden gemeten via regelmatige enquêtes die vragen naar de gebruikerservaring met de wachtwoordbeheerder, gemak van gebruik, betrouwbaarheid, en algemene tevredenheid. Deze enquêtes moeten worden uitgevoerd na de initiële implementatie en periodiek daarna om trends te identificeren en verbeterpunten te vinden. Feedback uit enquêtes moet worden gebruikt om training te verbeteren, procedures aan te passen, en eventuele technische problemen op te lossen. Beveiligingsincidenten gerelateerd aan credentials moeten worden gemonitord om te bepalen of de implementatie van enterprise wachtwoordbeheer leidt tot een afname van credential-gerelateerde beveiligingsincidenten. Deze monitoring moet worden uitgevoerd in samenwerking met het security operations center (SOC) of de beveiligingsafdeling. Een afname van credential-gerelateerde incidenten kan wijzen op succesvolle beveiligingsverbetering, terwijl een toename kan wijzen op problemen die moeten worden aangepakt. Kwartaalreviews moeten worden uitgevoerd om te evalueren of de enterprise wachtwoordbeheerder waarde levert aan de organisatie. Deze reviews moeten verschillende aspecten omvatten: technische prestaties, gebruikersadoptie, beveiligingsresultaten, kosten, en compliance. De resultaten van deze reviews moeten worden gebruikt om beslissingen te nemen over voortzetting, aanpassing, of eventuele wijzigingen aan de implementatie. Kwartaalreviews bieden ook een gelegenheid om feedback van stakeholders te verzamelen en de strategische richting van wachtwoordbeheer binnen de organisatie te evalueren.
Remediatie
Gebruik PowerShell-script password-manager-disabled.ps1 (functie Invoke-Remediation) – Herstelt de configuratie wanneer Edge-wachtwoordbeheerder nog is ingeschakeld.
Remediatie is nodig wanneer monitoring aangeeft dat apparaten nog steeds de Edge-wachtwoordbeheerder hebben ingeschakeld ondanks de implementatie van het beleid. Dit kan verschillende oorzaken hebben: het beleid is niet correct toegepast, het apparaat is niet in scope van het beleid, of er zijn technische problemen die de beleidstoepassing verhinderen. Remediatie moet systematisch worden uitgevoerd om de onderliggende oorzaak te identificeren en op te lossen. Voor apparaten waar de Edge-wachtwoordbeheerder nog is ingeschakeld, moet eerst worden geverifieerd of de enterprise wachtwoordbeheerder correct is geïmplementeerd. Dit omvat het controleren of de browserextensie van de wachtwoordbeheerder is geïnstalleerd en correct functioneert. Als de extensie ontbreekt of niet werkt, moet deze eerst worden geïnstalleerd of gerepareerd voordat de browserwachtwoordbeheerder wordt uitgeschakeld. Het uitschakelen van de browserwachtwoordbeheerder zonder een werkend alternatief leidt tot gebruikersfrustratie en mogelijke beveiligingsrisico's. Vervolgens moet worden gecontroleerd of de gebruiker een account heeft bij de enterprise wachtwoordbeheerder en of dit account is ingeschreven en geactiveerd. Gebruikers die niet zijn ingeschreven bij de wachtwoordbeheerder kunnen niet gebruik maken van de functionaliteit, wat problemen veroorzaakt wanneer de browserwachtwoordbeheerder wordt uitgeschakeld. Als de gebruiker niet is ingeschreven, moet het inschrijvingsproces worden voltooid voordat verder wordt gegaan met remediatie. Als de migratie van wachtwoorden nog niet is voltooid, moet dit proces eerst worden afgerond. Dit omvat het exporteren van wachtwoorden uit Edge via Instellingen → Wachtwoorden → Exporteren, het veilig overdragen van het exportbestand, en het importeren in de enterprise wachtwoordbeheerder. Het is belangrijk om te zorgen dat alle wachtwoorden zijn gemigreerd voordat de browserwachtwoordbeheerder wordt uitgeschakeld, om te voorkomen dat gebruikers toegang verliezen tot hun accounts. De volgende stap is het verifiëren dat het apparaat zich in de scope van het Intune-beleid bevindt. Dit kan worden gecontroleerd in het Intune-beheercentrum onder Apparaatconfiguratie, waar de toewijzing van het beleid kan worden geverifieerd. Als het apparaat niet in scope is, moet de toewijzing worden aangepast om het apparaat op te nemen. Als het apparaat wel in scope is maar het beleid niet heeft ontvangen, kan een geforceerde synchronisatie worden uitgevoerd via de Company Portal door de optie Synchroniseren te selecteren. Als geforceerde synchronisatie niet werkt, kan een lokale PowerShell-remediatiescript worden uitgevoerd om de registerwaarde direct in te stellen. Dit script moet worden uitgevoerd met administratorrechten en moet de registerwaarde HKLM:\SOFTWARE\beleidsregels\Microsoft\Edge\PasswordManagerEnabled instellen op 0. Na uitvoering van het script moet worden geverifieerd dat de wijziging correct is toegepast en dat de Edge-wachtwoordbeheerder daadwerkelijk is uitgeschakeld. Voor gebruikers die problemen ondervinden met de enterprise wachtwoordbeheerder, moeten verschillende ondersteuningsopties worden overwogen. Aanvullende training kan worden aangeboden in de vorm van één-op-één sessies of video-tutorials die specifiek ingaan op de problemen die de gebruiker ondervindt. Deze training moet praktisch zijn en gericht op het oplossen van concrete problemen die de gebruiker heeft geïdentificeerd. Een snelle referentiegids met stapsgewijze instructies voor het gebruik van de wachtwoordbeheerder kan gebruikers helpen bij het zelf oplossen van veelvoorkomende problemen. Deze gids moet gemakkelijk toegankelijk zijn, bijvoorbeeld via het intranet of als bijlage bij e-mailcommunicatie, en moet worden bijgewerkt op basis van veelgestelde vragen en feedback van gebruikers. Als problemen aanhouden ondanks training en documentatie, kan escalatie naar de helpdesk of de leverancier van de wachtwoordbeheerder nodig zijn. De leverancier kan technische ondersteuning bieden voor complexe problemen of bugs in de software. Helpdeskmedewerkers moeten weten wanneer en hoe ze moeten escaleren naar de leverancier. In zeer zeldzame gevallen kan een tijdelijke uitzondering worden overwogen voor gebruikers die legitieme problemen ondervinden die niet kunnen worden opgelost met standaard ondersteuning. Deze uitzonderingen moeten zeer zeldzaam zijn, goed gedocumenteerd zijn, en alleen worden verleend na grondige evaluatie van de situatie. Tijdelijke uitzonderingen moeten een vervaldatum hebben en regelmatig worden geëvalueerd om te bepalen of ze nog steeds nodig zijn. Als alternatief kan een vereenvoudigde versie van de wachtwoordbeheerder worden overwogen voor gebruikers die moeite hebben met de volledige enterprise-oplossing. Sommige leveranciers bieden gebruiksvriendelijkere varianten die geschikt zijn voor gebruikers met beperkte technische vaardigheden. Deze alternatieven moeten nog steeds voldoen aan de beveiligings- en compliancevereisten van de organisatie, maar kunnen een eenvoudigere gebruikersinterface of beperktere functionaliteit bieden die beter aansluit bij de behoeften van bepaalde gebruikersgroepen.
Compliance en Auditing
Enterprise wachtwoordbeheer is een fundamentele vereiste voor naleving van meerdere belangrijke beveiligings- en compliancekaders die van toepassing zijn op Nederlandse overheidsorganisaties. De implementatie van een gecentraliseerd wachtwoordbeheersysteem met beleidsafdwinging en auditmogelijkheden is niet alleen een best practice, maar een expliciete vereiste in verschillende normen en richtlijnen die organisaties moeten volgen om hun informatiebeveiliging te waarborgen en te voldoen aan wettelijke en regelgevende verplichtingen. De CIS Microsoft Edge Benchmark bevat specifieke aanbevelingen voor wachtwoordbeheer in enterprise-omgevingen. Deze benchmark stelt dat organisaties moeten beschikken over een gecentraliseerd wachtwoordbeheersysteem dat IT-afdelingen in staat stelt om wachtwoorden te beheren, te monitoren en te controleren. Browserwachtwoordbeheerders voldoen niet aan deze vereisten omdat ze geen centrale beheerfunctionaliteit bieden en geen inzicht geven in welke wachtwoorden door welke gebruikers worden gebruikt. Enterprise wachtwoordbeheerders daarentegen bieden uitgebreide beheerfunctionaliteit die voldoet aan de CIS-aanbevelingen door centrale controle, beleidsafdwinging en auditmogelijkheden te bieden. De Baseline Informatiebeveiliging Overheid (BIO) bevat in controle 09.04.03 specifieke vereisten voor wachtwoordbeheersystemen. Deze controle stelt dat organisaties moeten beschikken over een wachtwoordbeheersysteem dat enterprise-functionaliteit biedt, inclusief centrale beleidsafdwinging. Dit betekent dat organisaties niet kunnen vertrouwen op browserwachtwoordbeheerders die geen centrale controle bieden, maar moeten investeren in enterprise-oplossingen die IT-afdelingen in staat stellen om wachtwoordbeleid centraal af te dwingen, wachtwoordrotatie te beheren en toegang tot credentials te controleren. Enterprise wachtwoordbeheerders voldoen aan deze BIO-vereisten door uitgebreide beheerfunctionaliteit te bieden die browserwachtwoordbeheerders ontberen. ISO 27001:2022 bevat in controle A.9.4.3 specifieke vereisten voor wachtwoordbeheersystemen. Deze controle stelt dat organisaties moeten beschikken over een centraal beheerd wachtwoordsysteem dat de volledige levenscyclus van wachtwoorden ondersteunt, van aanmaak tot buiten gebruik stellen. Browserwachtwoordbeheerders voldoen niet aan deze vereisten omdat ze geen centrale beheerfunctionaliteit bieden en geen ondersteuning bieden voor geautomatiseerde wachtwoordrotatie, wachtwoordbeleidsafdwinging of gecentraliseerde toegangscontrole. Enterprise wachtwoordbeheerders daarentegen bieden uitgebreide functionaliteit die voldoet aan ISO 27001-vereisten door centrale beheer, beleidsafdwinging en volledige levenscyclusbeheer te bieden. ISO 27001:2022 controle A.5.17 richt zich specifiek op de bescherming van authenticatie-informatie, waaronder wachtwoorden en andere credentials. Deze controle vereist dat organisaties authenticatie-informatie veilig opslaan met geschikte versleuteling en toegangscontrole. Browserwachtwoordbeheerders gebruiken lokale versleuteling die afhankelijk is van besturingssysteemcredentials, wat een beveiligingsrisico vormt bij diefstal van apparaten. Enterprise wachtwoordbeheerders bieden superieure beveiliging door gebruik te maken van gecentraliseerde versleuteling met dedicated beveiligingsmechanismen die onafhankelijk zijn van lokale apparaatbeveiliging. Bovendien bieden enterprise-oplossingen geavanceerde toegangscontrole en auditmogelijkheden die voldoen aan de ISO 27001-vereisten voor bescherming van authenticatie-informatie. De NIS2-richtlijn, zoals geïmplementeerd in Nederlandse wetgeving, bevat in Artikel 21 specifieke vereisten voor cybersecurity-risicobeheer, inclusief credential management en toegangsbeheer. Deze richtlijn vereist dat organisaties passende technische en organisatorische maatregelen nemen om cybersecurity-risico's te beheren, waaronder het beveiligen van credentials en het beheren van toegang tot systemen en gegevens. Enterprise wachtwoordbeheerders dragen bij aan naleving van NIS2 door gecentraliseerd credential management te bieden met beleidsafdwinging, monitoring en auditmogelijkheden die organisaties in staat stellen om hun cybersecurity-risico's effectief te beheren en te documenteren voor compliance-doeleinden. NIST SP 800-63B bevat uitgebreide richtlijnen voor digitale identiteit en wachtwoordbeheer best practices. Deze publicatie beveelt aan dat organisaties gebruik maken van wachtwoordbeheersystemen die sterke wachtwoorden ondersteunen, wachtwoordrotatie faciliteren en gebruikers helpen bij het beheren van complexe wachtwoorden zonder deze te hoeven onthouden. Enterprise wachtwoordbeheerders voldoen aan deze NIST-aanbevelingen door gebruikers te helpen bij het genereren en beheren van sterke, unieke wachtwoorden voor elk account, terwijl browserwachtwoordbeheerders vaak zwakke wachtwoorden toestaan en geen ondersteuning bieden voor geavanceerde wachtwoordbeleidsafdwinging. De CIS Controls versie 8 bevat in controle 6.3 specifieke vereisten voor meervoudige authenticatie (MFA) voor extern blootgestelde applicaties. Deze controle benadrukt het belang van sterke authenticatie en integratie met enterprise-wachtwoordbeheerders die MFA ondersteunen. Enterprise wachtwoordbeheerders bieden uitgebreide MFA-integratie die voldoet aan deze CIS-vereisten door gebruikers te helpen bij het beheren van sterke wachtwoorden in combinatie met MFA, terwijl browserwachtwoordbeheerders beperkte of geen MFA-ondersteuning bieden. De integratie van enterprise-wachtwoordbeheerders met MFA-systemen draagt bij aan naleving van CIS Controls door een gelaagde beveiligingsaanpak te bieden die voldoet aan de aanbevelingen voor sterke authenticatie. Voor Nederlandse overheidsorganisaties is naleving van deze kaders niet alleen een best practice, maar vaak een wettelijke of contractuele vereiste. Organisaties die niet voldoen aan deze vereisten kunnen worden geconfronteerd met complianceproblemen, auditbevindingen en mogelijk juridische gevolgen. De implementatie van enterprise wachtwoordbeheer is daarom essentieel voor organisaties die serieus omgaan met informatiebeveiliging en compliance. Door te investeren in enterprise-wachtwoordbeheeroplossingen kunnen organisaties niet alleen voldoen aan deze vereisten, maar ook hun algehele beveiligingspostuur verbeteren en het risico op credential-gerelateerde beveiligingsincidenten verminderen.
Compliance & Frameworks
- CIS M365: Control Edge Security - wachtwoordbeheer (L2) - Browserwachtwoordbeheerder uitschakelen, enterprise-wachtwoordbeheerder verplichten
- BIO: 09.04.03 - Wachtwoordbeheersysteem - Enterprise management vereist
- ISO 27001:2022: A.9.4.3, A.5.17 - Wachtwoordbeheersysteem en bescherming van authenticatie-informatie
- NIS2: Artikel - Credentialbeheer en toegangsbeheer
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Edge Privacy: Password Manager Disabled
.DESCRIPTION
CIS - Password manager moet disabled in enterprise (use external password manager).
.NOTES
Filename: password-manager-disabled.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Edge\PasswordManagerEnabled|Expected: 0
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge"; $RegName = "PasswordManagerEnabled"; $ExpectedValue = 0
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "password-manager-disabled.ps1"; PolicyName = "Password Manager Disabled"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; if (-not(Test-Path $RegPath)) { $r.Details += "Niet geconfigureerd"; return $r }; try { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop; $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Password manager disabled" }else { $r.Details += "Password manager enabled" } }catch { $r.Details += "Niet geconfigureerd" }; return $r }
function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Password manager disabled" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
Medium: MEDIUM RISICO: Browserwachtwoordbeheerders missen enterprise-kenmerken zoals centrale controle over credentials, handhaving van wachtwoordbeleid waardoor gebruikers zwakke wachtwoorden kunnen opslaan, ontbreken van een audittrail van credentialgebruik, geen centrale intrekking bij vertrek van medewerkers, geen monitoring van datalekken, en beperkte versleuteling waarbij lokale versleuteling met besturingssysteemcredentials een risico vormt bij diefstal van laptops. Voor compliance met BIO, ISO 27001 en NIS2 zijn enterprise-wachtwoordbeheerders met centrale beheer, beleidsafdwinging en auditing vereist. Browserwachtwoorden bij vertrek van medewerkers vormen een uitdaging voor credentialopruiming.
Management Samenvatting
Schakel de ingebouwde wachtwoordbeheerder van Edge uit door PasswordManagerEnabled in te stellen op 0 en verplicht een enterprise-wachtwoordbeheerder zoals 1Password, LastPass of Keeper. Dit biedt centrale beheer, beleidsafdwinging, audittrail en monitoring van datalekken. VOORWAARDE: implementeer eerst een enterprise-wachtwoordbeheerder voordat de browserwachtwoordbeheerder wordt uitgeschakeld. Voldoet aan BIO 09.04 en ISO 27001 A.9.4.3. Implementatie vereist 8 uur technisch werk en 12 uur organisatorisch werk voor implementatie, training en migratie. AANBEVOLEN voor organisaties met compliancevereisten of meer dan 50 gebruikers.
- Implementatietijd: 20 uur
- FTE required: 0.15 FTE