BIO 11.01.01

Screen Capture Via Browser Geblokkeerd

📅 2025-10-30
⏱️ 5 minuten lezen
🟢 Should-Have

💼 Management Samenvatting

Het blokkeren van schermopnamefunctionaliteit in de browser vormt een essentiële beveiligingsmaatregel die voorkomt dat websites zonder medeweten van gebruikers scherminhoud kunnen vastleggen. Deze technische controle beschermt vertrouwelijke gegevens tegen ongeautoriseerde toegang en voorkomt dat kwaadaardige websites gebruik kunnen maken van browser-API's om scherminhoud te onderscheppen. Voor Nederlandse overheidsorganisaties die werken met gevoelige persoonsgegevens en vertrouwelijke informatie is deze maatregel van cruciaal belang om te voldoen aan privacyregelgeving zoals de Algemene Verordening Gegevensbescherming en de Baseline Informatiebeveiliging Overheid.

Aanbeveling
IMPLEMENT
Risico zonder
Medium
Risk Score
6/10
Implementatie
1.5u (tech: 0.5u)
Van toepassing op:
Edge

Het instellen van ScreenCaptureAllowed op 0 blokkeert websites om de schermopname-API te gebruiken, wat een essentiële beveiligingsmaatregel vormt voor het beperken van verschillende privacy- en beveiligingsrisico's. De belangrijkste bedreiging die door deze maatregel wordt aangepakt, betreft de blootstelling van vertrouwelijke gegevens. Kwaadaardige websites kunnen zonder toestemming van gebruikers scherminhoud vastleggen die vertrouwelijke informatie bevat, zoals persoonsgegevens, financiële informatie of bedrijfsgeheimen. Deze ongeautoriseerde vastlegging vormt een directe schending van privacyregelgeving en kan leiden tot ernstige datalekken. Daarnaast beschermt deze maatregel tegen het kapen van schermdeling, een aanvalstechniek waarbij nep-samenwerkingssites schermdelingsverzoeken kunnen initiëren zonder dat gebruikers zich hiervan bewust zijn. Gebruikers kunnen worden misleid om schermdeling te starten met een kwaadaardige website, waardoor aanvallers toegang krijgen tot alle informatie die op het scherm wordt weergegeven. Een derde belangrijk risico dat wordt gemitigeerd, betreft continue bewaking. Zonder deze beveiligingsmaatregel kunnen websites continu scherminhoud vastleggen zonder dat gebruikers hiervan op de hoogte zijn, wat resulteert in langdurige surveillance van gebruikersactiviteiten. Deze continue monitoring kan worden gebruikt voor het verzamelen van gevoelige informatie over een langere periode, waardoor de impact van een dergelijke inbreuk exponentieel toeneemt. Belangrijk om te weten is dat deze instelling specifiek browser-geïnitieerde schermopname blokkeert via de Web API's. Voor legitieme schermdeling via applicaties zoals Microsoft Teams of Zoom dienen organisaties native desktopapplicaties te gebruiken in plaats van webversies, omdat deze gebruikmaken van besturingssysteemniveau-machtigingen die buiten de browser-API vallen. Als uitzondering kunnen Teams- of Zoom-webapplicaties die schermopname vereisen, worden toegevoegd aan een toegestane URL-lijst via ScreenCaptureAllowedUrls, hoewel het gebruik van native applicaties de voorkeur heeft vanwege betere beveiligingsgaranties.

PowerShell Modules Vereist
Primary API: Intune/GPO
Connection: N/A
Required Modules:

Implementatie

Deze beveiligingsmaatregel werkt door de browser-instelling ScreenCaptureAllowed in te stellen op de waarde 0, waardoor alle websites worden geblokkeerd om gebruik te maken van de schermopname-API die door moderne browsers wordt aangeboden. Deze API maakt het normaal gesproken mogelijk voor websites om via JavaScript toegang te krijgen tot de scherminhoud van gebruikers, wat functioneel is voor legitieme use cases zoals online samenwerkingstools, maar wat ook kan worden misbruikt door kwaadaardige websites. Door deze functionaliteit standaard te blokkeren, voorkomen organisaties dat websites zonder expliciete toestemming scherminhoud kunnen vastleggen. Voor organisaties die legitieme samenwerkingstools via de browser gebruiken, biedt Microsoft Edge de mogelijkheid om via de instelling ScreenCaptureAllowedUrls een lijst met toegestane URL's te configureren. Websites die op deze lijst staan, kunnen nog steeds gebruik maken van de schermopname-API, waardoor organisaties een balans kunnen vinden tussen beveiliging en functionaliteit. Het is echter belangrijk om te benadrukken dat het gebruik van native desktopapplicaties voor samenwerkingstools de voorkeur heeft boven webgebaseerde versies, omdat deze gebruikmaken van besturingssysteemniveau-machtigingen die beter geïntegreerd zijn met de beveiligingsmechanismen van het besturingssysteem en daardoor minder kwetsbaar zijn voor misbruik.

Implementatie

Gebruik PowerShell-script screen-capture-denied.ps1 (functie Invoke-Remediation) – PowerShell script.

De implementatie van schermopnamebeperkingen in Microsoft Edge vereist een gestructureerde en weloverwogen aanpak waarbij organisaties zorgvuldig een balans moeten vinden tussen beveiligingsvereisten en operationele functionaliteit. Deze balans is met name belangrijk voor organisaties die afhankelijk zijn van online samenwerkingstools voor hun dagelijkse werkzaamheden. De primaire configuratie bestaat uit het instellen van de registerwaarde ScreenCaptureAllowed op 0, wat standaard alle browser-geïnitieerde schermopname blokkeert via de Web API's die door moderne browsers worden aangeboden. Deze instelling wordt toegepast via groepsbeleid voor traditionele domeinomgevingen of via Microsoft Intune voor cloud-first organisaties, en zorgt ervoor dat websites geen gebruik kunnen maken van de schermopname-API zonder expliciete toestemming van de organisatie. Het is van cruciaal belang om te begrijpen dat deze instelling specifiek betrekking heeft op browser-geïnitieerde schermopname via de Web API's, wat betekent dat alleen schermopname die wordt geïnitieerd vanuit de browseromgeving wordt geblokkeerd. Native applicaties die gebruikmaken van besturingssysteemniveau-machtigingen worden hierdoor niet beïnvloed, wat betekent dat legitieme samenwerkingstools zoals Microsoft Teams of Zoom wanneer geïnstalleerd als desktopapplicatie volledig blijven functioneren zoals bedoeld zonder enige beperking. Deze technische scheiding tussen browser-API's en besturingssysteemniveau-machtigingen is cruciaal voor het begrijpen van de scope en beperkingen van deze beveiligingsmaatregel, omdat het duidelijk maakt dat deze instelling slechts één laag van bescherming vormt in een bredere beveiligingsstrategie. Organisaties moeten zich bewust zijn van het feit dat deze instelling alleen bescherming biedt tegen browser-gebaseerde aanvallen en geen bescherming biedt tegen andere vormen van schermopname, zoals screenshots gemaakt door malware, door gebruikers zelf via toetsenbordcombinaties, of door andere applicaties die besturingssysteemniveau-machtigingen hebben. Daarom moet deze maatregel worden gezien als onderdeel van een gelaagde beveiligingsaanpak die ook andere controles omvat zoals endpoint detection and response, applicatie-whitelisting, en gebruikersbewustwordingstraining.

Voor organisaties die legitieme samenwerkingstools zoals Microsoft Teams of Zoom via de webbrowser gebruiken, biedt Microsoft Edge de mogelijkheid om een uitzondering te maken via de instelling ScreenCaptureAllowedUrls. Deze toegestane URL-lijst bevat de URL's van goedgekeurde applicaties die schermopnamefunctionaliteit mogen gebruiken ondanks de algemene blokkering. Het is van essentieel belang om deze lijst uiterst zorgvuldig samen te stellen en regelmatig te evalueren, omdat elke toegevoegde URL een potentieel beveiligingsrisico kan vormen en de effectiviteit van de beveiligingsmaatregel kan ondermijnen. Organisaties dienen daarom serieus te overwegen om in plaats daarvan native desktopapplicaties te gebruiken voor schermdeling, omdat deze applicaties gebruikmaken van besturingssysteemniveau-machtigingen en daardoor beter geïntegreerd zijn met de beveiligingsmechanismen van het besturingssysteem. Bovendien bieden desktopapplicaties betere beveiligingsgaranties omdat ze niet afhankelijk zijn van browsergebaseerde API's die mogelijk kwetsbaar zijn voor misbruik door kwaadaardige websites of die kunnen worden geëxploiteerd via cross-site scripting-aanvallen. Wanneer organisaties toch besluiten om webgebaseerde samenwerkingstools toe te staan vanwege operationele vereisten of gebruikersvoorkeuren, moeten ze een strikt en goed gedocumenteerd proces opzetten voor het evalueren en goedkeuren van URL's. Dit proces moet beginnen met een grondige verificatie van de identiteit en betrouwbaarheid van de applicatieleverancier, waarbij organisaties moeten controleren of de leverancier een gerenommeerde partij is met een bewezen track record op het gebied van beveiliging en privacy. Vervolgens moet een uitgebreide beoordeling worden uitgevoerd van de beveiligingsmaatregelen die de applicatie implementeert, waarbij aandacht moet worden besteed aan aspecten zoals encryptie, authenticatie, en gegevensbescherming. Daarnaast moet een zorgvuldige evaluatie worden gedaan van de noodzaak van schermopnamefunctionaliteit voor de specifieke use case, waarbij organisaties moeten overwegen of er alternatieven beschikbaar zijn die dezelfde functionaliteit bieden zonder het gebruik van browsergebaseerde schermopname. Organisaties moeten ook overwegen om gebruikers te trainen in het herkennen van legitieme versus kwaadaardige schermdelingsverzoeken, omdat zelfs goedgekeurde applicaties kunnen worden gecompromitteerd door aanvallers of kunnen worden gebruikt als vector voor social engineering-aanvallen waarbij gebruikers worden misleid om schermdeling te starten met kwaadaardige partijen.

De implementatieprocedure begint met het identificeren van alle gebruikers en apparaten die deze beleidsregel moeten ontvangen. Dit vereist een grondige inventarisatie van de organisatieomgeving, waarbij rekening moet worden gehouden met verschillende gebruikersgroepen en hun specifieke behoeften. Sommige gebruikersgroepen kunnen bijvoorbeeld regelmatig gebruikmaken van samenwerkingstools via de browser, terwijl anderen mogelijk alleen native applicaties gebruiken. Door deze verschillen in kaart te brengen kunnen organisaties een gefaseerde implementatiebenadering volgen, waarbij eerst de meest kritieke gebruikersgroepen worden beschermd en vervolgens geleidelijk de rest van de organisatie wordt toegevoegd. Tijdens deze inventarisatiefase moeten organisaties ook rekening houden met verschillende soorten apparaten en besturingssystemen. Apparaten die worden beheerd via Microsoft Intune kunnen bijvoorbeeld andere configuratiemethoden vereisen dan apparaten die worden beheerd via traditioneel groepsbeleid. Bovendien kunnen verschillende versies van Microsoft Edge verschillende gedragingen vertonen, wat betekent dat organisaties moeten testen of de beleidsregels correct werken op alle versies die binnen de organisatie worden gebruikt. Deze inventarisatie moet ook rekening houden met toekomstige groei en veranderingen in de organisatie, zodat de implementatie flexibel genoeg is om aan te passen aan nieuwe behoeften zonder dat de beveiliging wordt aangetast.

Vervolgens wordt het PowerShell-script uitgevoerd dat de registerinstellingen configureert of wordt de configuratie via Microsoft Intune of groepsbeleid toegepast. Het gebruik van groepsbeleid biedt een gecentraliseerde manier om de instellingen te beheren en te verspreiden naar alle relevante apparaten binnen het organisatienetwerk. Microsoft Intune daarentegen is bijzonder geschikt voor cloud-first organisaties die beheer willen uitvoeren zonder directe netwerkverbinding met apparaten. Beide methoden hebben hun voordelen, en organisaties moeten kiezen op basis van hun specifieke infrastructuur en beheervereisten. Bij het gebruik van groepsbeleid moeten organisaties ervoor zorgen dat de beleidsregels correct zijn gekoppeld aan de juiste organisatie-eenheden en dat de replicatie tussen domeincontrollers correct functioneert. Voor Microsoft Intune moeten organisaties ervoor zorgen dat alle apparaten correct zijn ingeschreven en dat de configuratieprofielen correct zijn toegewezen aan de juiste groepen. In beide gevallen is het belangrijk om te testen of de beleidsregels daadwerkelijk worden toegepast voordat ze worden uitgerold naar de volledige organisatie. Dit kan worden gedaan door eerst een kleine testgroep te selecteren en te verifiëren dat de beleidsregels correct worden toegepast en dat er geen onbedoelde gevolgen zijn voor de functionaliteit van legitieme applicaties.

Na implementatie is het essentieel om te testen of legitieme samenwerkingstools nog steeds functioneren en of kwaadaardige websites daadwerkelijk worden geblokkeerd. Deze testfase moet verschillende scenario's omvatten, waaronder het proberen om schermdeling te starten via goedgekeurde applicaties in de toegestane URL-lijst, het testen of niet-goedgekeurde websites inderdaad worden geblokkeerd, en het verifiëren dat native desktopapplicaties niet worden beïnvloed door de nieuwe beleidsregels. Organisaties moeten ook een proces opzetten voor het beheren van de toegestane URL-lijst, inclusief het evalueren van nieuwe aanvragen voor toevoeging aan de lijst en het periodiek controleren of alle opgenomen URL's nog steeds nodig zijn. Dit proces moet duidelijke criteria bevatten voor het accepteren of afwijzen van aanvragen en moet worden gedocumenteerd voor auditdoeleinden. Tijdens de testfase moeten organisaties ook verschillende browsers en versies testen om ervoor te zorgen dat de beleidsregels consistent werken. Bovendien moeten organisaties testen of de beleidsregels correct blijven werken na updates van Microsoft Edge of het besturingssysteem, omdat updates soms kunnen leiden tot wijzigingen in het gedrag van browser-API's. Het is ook belangrijk om te testen of de beleidsregels correct werken in verschillende netwerkomgevingen, zoals wanneer apparaten verbonden zijn via VPN of wanneer ze zich buiten het bedrijfsnetwerk bevinden. Deze uitgebreide testfase is cruciaal voor het waarborgen van een succesvolle implementatie die zowel beveiliging als functionaliteit biedt.

Bewaking

Gebruik PowerShell-script screen-capture-denied.ps1 (functie Invoke-Monitoring) – Controleren.

Effectieve bewaking van schermopnamebeperkingen vereist een gestructureerde aanpak waarbij organisaties regelmatig controleren of de beleidsregels correct zijn geïmplementeerd en actief blijven. De primaire controle bestaat uit het verifiëren van de registerinstelling in het pad HKLM:\SOFTWARE\Policies\Microsoft\Edge\ScreenCaptureAllowed, die de waarde 0 moet hebben om schermopname te blokkeren. Deze controle kan worden geautomatiseerd via PowerShell-scripts die periodiek worden uitgevoerd, of via Microsoft Intune compliance-beleid dat automatisch afwijkingen detecteert en rapporteert. Automatische bewaking is bijzonder belangrijk omdat handmatige controles tijdrovend zijn en menselijke fouten kunnen bevatten. Door geautomatiseerde controles in te stellen kunnen organisaties ervoor zorgen dat afwijkingen snel worden gedetecteerd en gecorrigeerd voordat ze kunnen leiden tot beveiligingsincidenten. De frequentie van deze controles moet worden afgestemd op het risicoprofiel van de organisatie, waarbij organisaties met hogere beveiligingsvereisten mogelijk dagelijks of zelfs real-time bewaking nodig hebben, terwijl andere organisaties mogelijk kunnen volstaan met wekelijkse of maandelijkse controles. Het is belangrijk om te onthouden dat bewaking niet alleen moet kijken naar de aanwezigheid van de beleidsregels, maar ook naar hun effectiviteit. Dit betekent dat organisaties niet alleen moeten controleren of de registerinstellingen correct zijn, maar ook moeten verifiëren dat de beleidsregels daadwerkelijk voorkomen dat kwaadaardige websites schermopnamefunctionaliteit gebruiken.

Naast het controleren van de registerinstellingen moeten organisaties ook bewaken of gebruikers problemen ondervinden met legitieme samenwerkingstools. Dit kan worden gedaan door middel van servicedesk-tickets te analyseren of door gebruikers te vragen naar hun ervaringen met applicaties zoals Microsoft Teams of Zoom. Als gebruikers regelmatig problemen melden, kan het nodig zijn om de toegestane URL-lijst aan te passen of gebruikers te adviseren om native desktopapplicaties te gebruiken in plaats van webversies. Daarnaast is het belangrijk om te bewaken of er pogingen worden gedaan om de beleidsregels te omzeilen, wat kan wijzen op beveiligingsincidenten of onvoldoende gebruikersbewustzijn. Dergelijke pogingen kunnen bijvoorbeeld worden gedetecteerd door te bewaken op wijzigingen in registerinstellingen of door te analyseren of er ongeautoriseerde pogingen worden gedaan om schermopnamefunctionaliteit te gebruiken via methoden die niet door de browser-API worden afgehandeld. Organisaties moeten ook bewaken op patronen die kunnen wijzen op georganiseerde aanvallen, zoals wanneer meerdere gebruikers tegelijk worden blootgesteld aan kwaadaardige websites die proberen schermopnamefunctionaliteit te gebruiken. Dergelijke patronen kunnen wijzen op phishing-campagnes of andere gecoördineerde aanvallen die gericht zijn op het verkrijgen van toegang tot vertrouwelijke informatie. Door deze patronen te identificeren kunnen organisaties proactief reageren en gebruikers waarschuwen voor potentiële bedreigingen.

Organisaties moeten ook regelmatig de toegestane URL-lijst evalueren om te bepalen of alle opgenomen URL's nog steeds nodig zijn en of er nieuwe applicaties moeten worden toegevoegd. Deze evaluatie moet niet alleen kijken naar het feit of URL's nog in gebruik zijn, maar ook naar de beveiligingsstatus van deze URL's en of ze nog steeds voldoen aan de organisatorische beveiligingsstandaarden. Het kan bijvoorbeeld voorkomen dat een applicatie is overgenomen door een andere organisatie of dat er beveiligingsproblemen zijn ontdekt die het onveilig maken om deze applicatie in de toegestane lijst te behouden. Deze evaluatie kan deel uitmaken van een periodieke beveiligingsaudit waarbij alle browserbeleidsregels worden beoordeeld op effectiviteit en relevantie. Het is aan te raden om minimaal elk kwartaal een dergelijke evaluatie uit te voeren, waarbij ook wordt gekeken naar nieuwe bedreigingen en beveiligingsrisico's die mogelijk aanvullende maatregelen vereisen. Tijdens deze evaluaties moet ook worden nagegaan of er nieuwe samenwerkingstools zijn geïntroduceerd binnen de organisatie die mogelijk moeten worden toegevoegd aan de toegestane lijst, of dat er alternatieven beschikbaar zijn die beter aansluiten bij de beveiligingsvereisten van de organisatie. Tijdens deze evaluaties moeten organisaties ook rekening houden met veranderingen in de beveiligingslandscape, zoals nieuwe kwetsbaarheden die zijn ontdekt in browser-API's of nieuwe aanvalstechnieken die zijn ontwikkeld om beveiligingsmaatregelen te omzeilen. Door regelmatig te evalueren en bij te werken kunnen organisaties ervoor zorgen dat hun beveiligingsmaatregelen effectief blijven in het licht van evoluerende bedreigingen.

Daarnaast moeten organisaties ook bewaken op trends en patronen die kunnen wijzen op bredere beveiligingsproblemen. Als bijvoorbeeld meerdere gebruikers tegelijk problemen melden met schermdeling, kan dit wijzen op een wijziging in een populaire samenwerkingstool of een nieuw type aanval dat gericht is op het omzeilen van schermopnamebeperkingen. Door dergelijke trends te identificeren kunnen organisaties proactief reageren voordat het probleem zich verder verspreidt. Het is ook belangrijk om te bewaken of de bewaking zelf effectief is, door bijvoorbeeld te controleren of alle bewakingstools correct werken en of er geen blinde vlekken zijn in de bewakingsdekking. Dit kan worden gedaan door regelmatig testgevallen uit te voeren waarbij bewust wordt geprobeerd om de beleidsregels te omzeilen, om te verifiëren dat de bewaking deze pogingen daadwerkelijk detecteert. Organisaties moeten ook bewaken op wijzigingen in het gedrag van browsers en applicaties die kunnen wijzen op nieuwe kwetsbaarheden of aanvalstechnieken. Bijvoorbeeld, als een nieuwe versie van Microsoft Edge wordt uitgebracht die wijzigingen bevat in de manier waarop schermopname-API's worden geïmplementeerd, moeten organisaties testen of hun beleidsregels nog steeds effectief zijn en of er aanpassingen nodig zijn. Deze proactieve bewakingsbenadering helpt organisaties om voor te blijven op nieuwe bedreigingen en om ervoor te zorgen dat hun beveiligingsmaatregelen up-to-date blijven met de nieuwste ontwikkelingen in de cybersecurity-landscape.

Compliance en Audit

Het blokkeren van schermopnamefunctionaliteit in browsers draagt direct bij aan de naleving van verschillende privacy- en beveiligingsstandaarden die van toepassing zijn op Nederlandse overheidsorganisaties. De Algemene Verordening Gegevensbescherming (AVG) vereist dat organisaties passende technische en organisatorische maatregelen nemen om persoonsgegevens te beschermen tegen ongeautoriseerde toegang en verwerking. Artikel 32 van de AVG specificeert dat organisaties technische maatregelen moeten implementeren om een passend beveiligingsniveau te waarborgen, rekening houdend met de stand van de techniek en de kosten van implementatie. Door schermopname te blokkeren, voorkomen organisaties dat kwaadaardige websites zonder toestemming persoonsgegevens kunnen vastleggen die op het scherm worden weergegeven, wat een directe schending van de AVG-privacybescherming zou kunnen vormen. Dit is met name relevant omdat veel overheidsorganisaties werken met gevoelige persoonsgegevens die onder strikte privacyregels vallen, en elke ongeautoriseerde vastlegging van dergelijke gegevens kan leiden tot ernstige privacyinbreuken en potentiële boetes van de Autoriteit Persoonsgegevens. De AVG vereist ook dat organisaties kunnen aantonen dat ze passende maatregelen hebben genomen om persoonsgegevens te beschermen, wat betekent dat het implementeren en documenteren van schermopnamebeperkingen een belangrijk onderdeel is van een effectief privacyprogramma. Organisaties moeten kunnen aantonen dat ze hebben geëvalueerd welke risico's er bestaan voor persoonsgegevens en dat ze passende maatregelen hebben genomen om deze risico's te mitigeren, waarbij het blokkeren van browser-geïnitieerde schermopname een concrete technische maatregel is die bijdraagt aan deze compliance-verplichting.

De Baseline Informatiebeveiliging Overheid (BIO) bevat specifieke controles die relevant zijn voor de bescherming van vertrouwelijke gegevens. BIO-controle 11.01.01 richt zich op de bescherming van vertrouwelijke gegevens en vereist dat organisaties maatregelen nemen om te voorkomen dat vertrouwelijke informatie onbedoeld wordt blootgesteld. Het blokkeren van browser-geïnitieerde schermopname is een concrete technische maatregel die bijdraagt aan de naleving van deze controle, omdat het voorkomt dat websites automatisch scherminhoud kunnen vastleggen die mogelijk vertrouwelijke gegevens bevat. Daarnaast draagt deze maatregel ook bij aan BIO-controle 12.01.01, die gericht is op de beveiliging van informatiesystemen. Door schermopname te blokkeren worden informatiesystemen beschermd tegen ongeautoriseerde toegang tot informatie die op het scherm wordt weergegeven, wat een belangrijk aspect is van een effectief beveiligingsprogramma. Voor overheidsorganisaties die werken met geclassificeerde informatie is dit met name relevant, omdat elke onbedoelde blootstelling van dergelijke informatie kan leiden tot ernstige beveiligingsproblemen en potentiële schendingen van vertrouwelijkheidsovereenkomsten. De BIO vereist ook dat organisaties regelmatig evalueren of hun beveiligingsmaatregelen nog steeds effectief zijn en of ze moeten worden bijgewerkt om aan te sluiten bij nieuwe bedreigingen en ontwikkelingen. Dit betekent dat organisaties niet alleen de schermopnamebeperkingen moeten implementeren, maar ook moeten bewaken en evalueren of ze nog steeds effectief zijn in het licht van evoluerende bedreigingen en nieuwe aanvalstechnieken.

Voor auditdoeleinden moeten organisaties documenteren dat de schermopnamebeperkingen correct zijn geïmplementeerd en actief worden bewaakt. Dit omvat het bijhouden van de registerinstellingen, de samenstelling van de toegestane URL-lijst, en eventuele wijzigingen die zijn aangebracht. Deze documentatie moet niet alleen de huidige staat van de configuratie vastleggen, maar ook de historie van wijzigingen en de redenen daarvoor. Auditoren zullen willen verifiëren dat de beleidsregels daadwerkelijk worden toegepast op alle relevante apparaten en dat er een proces bestaat voor het beheren van uitzonderingen. Dit betekent dat organisaties moeten kunnen aantonen dat er een duidelijk gedefinieerd proces bestaat voor het evalueren van aanvragen voor toevoeging aan de toegestane URL-lijst, dat dit proces wordt gevolgd, en dat alle beslissingen worden gedocumenteerd. Organisaties moeten daarom regelmatig compliance-rapporten genereren die aantonen dat de schermopnamebeperkingen actief zijn en dat er geen onbeheerde uitzonderingen bestaan die de beveiliging kunnen ondermijnen. Deze rapporten moeten periodiek worden bijgewerkt en moeten beschikbaar zijn voor zowel interne als externe auditoren. De documentatie moet ook aantonen dat organisaties regelmatig testen of de beleidsregels correct werken en of er afwijkingen zijn die moeten worden gecorrigeerd. Dit omvat het bijhouden van testresultaten, het documenteren van eventuele problemen die zijn geïdentificeerd, en het vastleggen van de stappen die zijn genomen om deze problemen op te lossen. Door uitgebreide documentatie bij te houden kunnen organisaties niet alleen voldoen aan auditvereisten, maar ook hun eigen beveiligingspostuur verbeteren door inzicht te krijgen in hoe effectief hun beveiligingsmaatregelen zijn.

Naast de AVG en BIO moeten organisaties ook rekening houden met andere relevante standaarden en richtlijnen. De ISO/IEC 27001 norm voor informatiebeveiligingsmanagement vereist bijvoorbeeld dat organisaties technische controles implementeren om informatie te beschermen tegen ongeautoriseerde toegang. Het blokkeren van schermopname draagt direct bij aan controle A.9.1.2 (Toegangsrechten), die vereist dat organisaties toegang tot informatie beperken tot geautoriseerde personen. Daarnaast kunnen sectorale richtlijnen aanvullende eisen stellen. Organisaties in de zorgsector moeten bijvoorbeeld voldoen aan de NEN 7510 norm voor informatiebeveiliging in de zorg, terwijl financiële instellingen mogelijk moeten voldoen aan richtlijnen van de Nederlandsche Bank of de Autoriteit Financiële Markten. Het is belangrijk dat organisaties hun compliance-inspanningen afstemmen op alle relevante standaarden en richtlijnen die van toepassing zijn op hun specifieke sector en type organisatie. Organisaties moeten ook rekening houden met internationale standaarden en richtlijnen die mogelijk van toepassing zijn, zoals de NIST Cybersecurity Framework of de CIS Controls, die beide specifieke aanbevelingen bevatten voor het beschermen van informatie tegen ongeautoriseerde toegang. Door hun beveiligingsmaatregelen af te stemmen op meerdere standaarden en richtlijnen kunnen organisaties ervoor zorgen dat ze een holistische benadering volgen die alle aspecten van informatiebeveiliging en privacybescherming omvat. Dit helpt organisaties niet alleen om te voldoen aan compliance-vereisten, maar ook om een robuustere en effectievere beveiligingspostuur te ontwikkelen die bescherming biedt tegen een breed scala aan bedreigingen.

Remediatie

Gebruik PowerShell-script screen-capture-denied.ps1 (functie Invoke-Remediation) – Herstellen.

Wanneer bewaking aangeeft dat de schermopnamebeperkingen niet correct zijn geïmplementeerd of zijn gewijzigd zonder autorisatie, is het van cruciaal belang om snel en effectief te reageren om de beveiligingspostuur van de organisatie te herstellen en te voorkomen dat er verdere beveiligingsrisico's ontstaan. Het remediatieproces vormt een essentieel onderdeel van een effectief beveiligingsprogramma en moet worden uitgevoerd volgens een gestructureerde en gedocumenteerde aanpak. Het proces begint met het identificeren en categoriseren van de apparaten waarop de beleidsregels niet correct zijn toegepast, waarbij het belangrijk is om onderscheid te maken tussen verschillende soorten afwijkingen om de juiste remediatiestrategie te kunnen bepalen. Dit kan worden gedaan via het PowerShell-bewakingsscript dat automatisch afwijkingen detecteert en rapporteert, of via Microsoft Intune compliance-rapportage die automatisch niet-compliant apparaten identificeert en categoriseert op basis van de aard van de afwijking. Het is van essentieel belang om te onderscheiden tussen verschillende soorten afwijkingen, omdat elke categorie een andere aanpak voor remediatie vereist en verschillende niveaus van urgentie heeft. De eerste categorie betreft apparaten waarop de beleidsregels nooit correct zijn geïmplementeerd, wat kan wijzen op problemen met de implementatiemethode, netwerkproblemen die de distributie van beleidsregels hebben verhinderd, of configuratiefouten tijdens de initiële implementatie. De tweede categorie betreft apparaten waarop de beleidsregels zijn gewijzigd of verwijderd na een succesvolle implementatie, wat kan wijzen op onbevoegde wijzigingen door gebruikers of beheerders, of op kwaadaardige activiteit waarbij aanvallers proberen beveiligingsmaatregelen te omzeilen. De derde categorie betreft apparaten waarop onbeheerde wijzigingen zijn aangebracht aan de toegestane URL-lijst, waarbij URL's zijn toegevoegd of verwijderd zonder de juiste autorisatie of documentatie. Elke categorie vereist een andere aanpak voor remediatie, en het is belangrijk om de aard van de afwijking grondig te begrijpen voordat remediatie wordt uitgevoerd, omdat dit helpt bij het bepalen van de juiste remediatiestrategie en bij het identificeren van de onderliggende oorzaak van het probleem. Organisaties moeten ook zorgvuldig rekening houden met de urgentie van de remediatie, waarbij afwijkingen die kunnen leiden tot directe beveiligingsrisico's of die betrekking hebben op apparaten die zeer gevoelige gegevens verwerken prioriteit moeten krijgen boven afwijkingen die minder kritiek zijn of die betrekking hebben op apparaten met minder gevoelige gegevens. Dit betekent dat organisaties een robuust prioriteringssysteem moeten hebben dat bepaalt welke afwijkingen eerst moeten worden aangepakt, gebaseerd op factoren zoals het aantal betrokken apparaten, de gevoeligheid van de gegevens die op deze apparaten worden verwerkt, het potentiële risico dat de afwijking vormt voor de organisatie, en de waarschijnlijkheid dat de afwijking kan worden geëxploiteerd door aanvallers.

Zodra niet-compliant apparaten zijn geïdentificeerd, kan het remediatiescript worden uitgevoerd om de registerinstellingen te herstellen. Het script controleert of ScreenCaptureAllowed correct is ingesteld op 0 en past deze waarde aan indien nodig. Daarnaast wordt gecontroleerd of de toegestane URL-lijst correct is geconfigureerd en of er geen onbeheerde uitzonderingen zijn toegevoegd. Het script moet niet alleen de instellingen herstellen, maar ook loggen welke wijzigingen zijn aangebracht en waarom. Deze logging is essentieel voor auditdoeleinden en kan helpen bij het identificeren van patronen of trends die kunnen wijzen op bredere problemen. Als er wijzigingen zijn gedetecteerd die niet door de organisatie zijn geautoriseerd, moeten deze worden onderzocht om te bepalen of er sprake is van een beveiligingsincident of een onbedoelde configuratiefout. Dergelijke onderzoeken moeten worden uitgevoerd volgens de incident response procedures van de organisatie en moeten worden gedocumenteerd voor toekomstige referentie. Het is belangrijk dat het remediatiescript ook controleert of er andere beveiligingsinstellingen zijn gewijzigd die mogelijk verband houden met de afwijking, omdat aanvallers soms meerdere instellingen tegelijk wijzigen om hun aanval te verbergen of om toegang te behouden zelfs nadat een specifieke instelling is hersteld. Door een holistische benadering te volgen kunnen organisaties ervoor zorgen dat alle gerelateerde beveiligingsproblemen worden aangepakt en niet alleen het meest voor de hand liggende probleem.

Na remediatie is het belangrijk om te verifiëren dat de correcties succesvol zijn toegepast en dat de apparaten nu compliant zijn. Dit kan worden gedaan door het bewakingsscript opnieuw uit te voeren of door te wachten op de volgende compliance-evaluatiecyclus. Het is aan te raden om niet alleen te wachten op de volgende geplande evaluatie, maar om onmiddellijk na remediatie een verificatiecontrole uit te voeren om te bevestigen dat de remediatie succesvol was. Als de remediatie niet succesvol is, moet het probleem verder worden onderzocht om te bepalen waarom de beleidsregels niet konden worden hersteld. Dit kan wijzen op problemen met beheerrechten, conflicterende beleidsregels, of meer ernstige beveiligingsproblemen zoals gecompromitteerde systemen. In dergelijke gevallen moeten organisaties mogelijk aanvullende maatregelen nemen, zoals het isoleren van het apparaat van het netwerk totdat het probleem is opgelost, of het uitvoeren van een diepgaande beveiligingsanalyse om te bepalen of er andere beveiligingsproblemen zijn die moeten worden aangepakt. Organisaties moeten ook overwegen om gebruikers te informeren over de remediatie en waarom deze nodig was, omdat dit kan helpen bij het voorkomen van toekomstige problemen door gebruikers bewust te maken van het belang van beveiligingsmaatregelen en de gevolgen van het omzeilen ervan.

Organisaties moeten ook onderzoeken waarom de beleidsregels niet correct waren geïmplementeerd, om te voorkomen dat het probleem opnieuw optreedt. Dit kan wijzen op problemen met de implementatiemethode, onvoldoende gebruikersmachtigingen, of pogingen om de beveiligingsmaatregelen te omzeilen. Als bijvoorbeeld meerdere apparaten tegelijk afwijkingen vertonen, kan dit wijzen op een probleem met de implementatiemethode zelf, zoals een fout in het groepsbeleid of een probleem met de Intune-configuratie. Als daarentegen individuele apparaten afwijkingen vertonen, kan dit wijzen op lokale wijzigingen door gebruikers of beheerders, wat kan wijzen op onvoldoende bewustwording of training. Door de oorzaak van afwijkingen te identificeren en aan te pakken kunnen organisaties proactief werken aan het voorkomen van toekomstige problemen, wat uiteindelijk leidt tot een robuustere en betrouwbaardere beveiligingspostuur. Organisaties moeten ook overwegen om hun implementatie- en bewakingsprocessen te verbeteren op basis van de lessen die zijn geleerd tijdens het remediatieproces. Dit kan bijvoorbeeld betekenen dat organisaties hun bewakingsfrequentie verhogen, aanvullende controles implementeren om te voorkomen dat gebruikers instellingen kunnen wijzigen, of gebruikers beter trainen in het belang van beveiligingsmaatregelen. Door continu te leren en te verbeteren kunnen organisaties ervoor zorgen dat hun beveiligingsmaatregelen effectief blijven en dat problemen snel worden gedetecteerd en opgelost voordat ze kunnen leiden tot ernstige beveiligingsincidenten.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Edge Privacy: Screen Capture Denied .DESCRIPTION CIS - Screen capture moet denied (privacy). .NOTES Filename: screen-capture-denied.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Edge\ScreenCaptureAllowed|Expected: 0 #> #Requires -Version 5.1 #Requires -RunAsAdministrator [CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert) $ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge"; $RegName = "ScreenCaptureAllowed"; $ExpectedValue = 0 function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) } function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "screen-capture-denied.ps1"; PolicyName = "Screen Capture Denied"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; if (-not(Test-Path $RegPath)) { $r.Details += "Niet geconfigureerd"; return $r }; try { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop; $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Screen capture denied" }else { $r.Details += "Screen capture toegestaan" } }catch { $r.Details += "Niet geconfigureerd" }; return $r } function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Screen capture denied" -ForegroundColor Green } function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r } function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue } try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }

Risico zonder implementatie

Risico zonder implementatie
Medium: Gemiddeld privacyrisico - kwaadaardige websites kunnen scherminhoud vastleggen die vertrouwelijke gegevens bevat. Toegestane URL-lijst nodig voor samenwerkingstools.

Management Samenvatting

Blokkeer schermopname (ScreenCaptureAllowed is 0) en voeg goedgekeurde tools toe aan toegestane URL-lijst. Implementatie: 30 minuten tot 1 uur.