💼 Management Samenvatting
Het uitschakelen van de Share Experience functionaliteit voorkomt ongecontroleerde gegevensoverdracht tussen apparaten via consumentenfuncties zoals Nearby Sharing en delen via Microsoft-account synchronisatie.
Aanbeveling
IMPLEMENTEREN
Risico zonder
Low
Risk Score
3/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Microsoft Edge
De Share Experience functionaliteit in Microsoft Edge vormt een significant privacy- en beveiligingsrisico voor organisaties omdat het ongecontroleerde gegevensoverdracht mogelijk maakt. Deze functie stelt gebruikers in staat om webpagina's en bestanden direct te delen met nabijgelegen apparaten via Windows Share, zonder dat organisaties hier controle over hebben. Bovendien synchroniseert deze functionaliteit gegevens via Microsoft-account koppelingen, wat betekent dat bedrijfsgegevens kunnen worden overgedragen naar persoonlijke apparaten van medewerkers. Dit creëert een reëel risico op datalekken, waarbij vertrouwelijke bedrijfsinformatie onbedoeld op persoonlijke apparaten terechtkomt. Vanuit privacy-perspectief worden gedeelde gegevens via de Microsoft-cloud gerouteerd, wat betekent dat organisaties geen volledige controle hebben over waar hun gegevens naartoe gaan. Voor enterprise-omgevingen is dit onacceptabel, omdat organisaties gegevensoverdracht moeten kunnen beheren en monitoren. Goedgekeurde kanalen zoals OneDrive en Microsoft Teams bieden wel de benodigde controle en auditmogelijkheden. Door de Share Experience functionaliteit uit te schakelen, dwingen organisaties gebruikers om uitsluitend gebruik te maken van gecontroleerde deelkanalen, waardoor datalekken worden voorkomen en compliance met privacywetgeving zoals de AVG wordt gewaarborgd.
PowerShell Modules Vereist
Primary API: Intune / GPO
Connection:
Required Modules:
Connection:
Registry-basedRequired Modules:
Implementatie
Het uitschakelen van de Share Experience functionaliteit wordt gerealiseerd door het Edge-beleid 'Enable share experience' uit te schakelen. Wanneer dit beleid is geactiveerd, wordt de Windows Share-knop in Microsoft Edge volledig uitgeschakeld, waardoor gebruikers niet langer in staat zijn om webpagina's of bestanden te delen met nabijgelegen apparaten. Bovendien wordt cross-device sharing via Microsoft-account synchronisatie geblokkeerd, wat voorkomt dat bedrijfsgegevens onbedoeld op persoonlijke apparaten terechtkomen. Gebruikers kunnen nog steeds gegevens delen via goedgekeurde en gecontroleerde kanalen zoals OneDrive voor bestandsdeling, Microsoft Teams voor collaboratie, en e-mail voor formele communicatie. Deze kanalen bieden organisaties de benodigde controle, monitoring en auditmogelijkheden die essentieel zijn voor compliance en beveiliging in enterprise-omgevingen.
Vereisten
Voor het implementeren van het beleid om de Share Experience functionaliteit uit te schakelen, zijn specifieke technische en organisatorische vereisten noodzakelijk om ervoor te zorgen dat de implementatie succesvol verloopt en de beoogde beveiligingsdoelstellingen worden bereikt. Deze vereisten omvatten zowel technische infrastructuur als organisatorische voorbereidingen die essentieel zijn voor een effectieve implementatie en beheer van het beleid. Vanuit technisch perspectief vormt Microsoft Edge als standaard webbrowser de basis voor deze configuratie, aangezien dit beleid specifiek is ontwikkeld voor deze browseromgeving en niet direct van toepassing is op andere webbrowsers zoals Google Chrome of Mozilla Firefox. De browser moet geïnstalleerd zijn op alle werkstations waarop gegevensbescherming en privacycontrole vereist zijn, wat betekent dat organisaties moeten zorgen voor een consistente Edge-installatie verspreid over alle beheerde apparaten. Bovendien is het essentieel dat de organisatie beschikt over een centraal beheersysteem voor het implementeren van browserbeleid, zodat wijzigingen niet handmatig op elk individueel apparaat hoeven te worden doorgevoerd. Dit kan worden gerealiseerd via Microsoft Intune voor cloud-gebaseerd beheer, wat vooral geschikt is voor moderne organisaties met een hybride of volledig cloud-gebaseerde infrastructuur. Intune biedt de mogelijkheid om Edge-beleid centraal te configureren en automatisch te distribueren naar alle werkstations die zijn geregistreerd in het beheersysteem. Alternatief kan de implementatie plaatsvinden via Group Policy Objects (GPO) voor on-premises Active Directory omgevingen, wat vooral relevant is voor organisaties die nog grotendeels on-premises werken of een hybride infrastructuur hebben waarbij bepaalde apparaten via Active Directory worden beheerd. Beide methoden bieden de mogelijkheid om Edge-beleid centraal te configureren en te distribueren naar alle werkstations binnen de organisatie, waardoor consistentie wordt gewaarborgd en de administratieve last wordt verminderd. Naast de aanwezigheid van een beheersysteem is het ook belangrijk dat de organisatie beschikt over een werkende netwerkverbinding tussen de beheerserver en de werkstations, zodat beleidsupdates tijdig kunnen worden gedistribueerd en geïmplementeerd. Vanuit organisatorisch perspectief moet er duidelijkheid zijn over welke gebruikersgroepen dit beleid nodig hebben en waarom deze maatregel wordt geïmplementeerd. In de meeste gevallen zal dit gelden voor alle gebruikers die toegang hebben tot bedrijfsgegevens, omdat ongecontroleerde gegevensoverdracht een risico vormt ongeacht de functie of afdeling van de gebruiker. Echter kunnen organisaties ervoor kiezen om uitzonderingen te maken voor specifieke afdelingen of gebruikersrollen die legitieme behoeften hebben aan cross-device sharing functionaliteit, bijvoorbeeld voor ontwikkelaars of technische specialisten die regelmatig bestanden moeten delen tussen verschillende ontwikkelomgevingen. Dergelijke uitzonderingen moeten echter zorgvuldig worden overwogen en gedocumenteerd, omdat zij kunnen leiden tot beveiligingslekken als niet goed beheerd. Indien uitzonderingen worden gemaakt, moet er een duidelijk proces zijn voor het aanvragen en goedkeuren van dergelijke uitzonderingen, en moeten deze periodiek worden geëvalueerd om te bepalen of zij nog steeds nodig zijn. Daarnaast is het belangrijk dat de IT-afdeling beschikt over de benodigde rechten en toegang tot het beheersysteem om het beleid te kunnen implementeren en te monitoren. Dit betekent dat IT-beheerders beschikken over administratorrechten binnen Microsoft Intune of over de benodigde Group Policy management rechten binnen Active Directory. Bovendien moeten zij beschikken over de technische kennis om Edge-beleid te configureren en te troubleshooten wanneer er problemen optreden. Tot slot moet er een duidelijk communicatieplan zijn om gebruikers te informeren over de wijziging en de alternatieve methoden voor gegevensdeling die beschikbaar blijven, zoals OneDrive voor bestandsdeling, Microsoft Teams voor collaboratie, en e-mail voor formele communicatie. Deze communicatie moet duidelijk maken waarom de Share Experience functionaliteit wordt uitgeschakeld, welke voordelen dit heeft voor beveiliging en privacy, en hoe gebruikers op de juiste manier kunnen blijven samenwerken en bestanden delen via de goedgekeurde kanalen. Goede communicatie voorkomt frustratie bij gebruikers en zorgt ervoor dat zij begrijpen hoe zij hun werk kunnen blijven uitvoeren zonder de Share-functionaliteit.
Implementatie
De implementatie van het beleid om de Share Experience functionaliteit uit te schakelen vereist een gestructureerde aanpak waarbij wordt gekozen voor de juiste implementatiemethode op basis van de infrastructuur van de organisatie. De implementatie kan worden uitgevoerd via Microsoft Intune Settings Catalog voor cloud-gebaseerd beheer, of via Group Policy Objects voor on-premises Active Directory omgevingen. Beide methoden zijn effectief, maar de keuze hangt af van de bestaande IT-infrastructuur en de bevoorkeur van de organisatie voor cloud-gebaseerd of on-premises beheer. Voor organisaties die gebruik maken van Microsoft Intune begint het implementatieproces met het navigeren naar de Microsoft Endpoint Manager admin center, waar beheerders toegang hebben tot alle beheerfunctionaliteiten inclusief de Settings Catalog. De Settings Catalog is een centrale locatie waar alle beschikbare Edge-beleidsinstellingen kunnen worden gevonden en geconfigureerd, wat het implementatieproces vereenvoudigt vergeleken met het handmatig zoeken naar individuele beleidsinstellingen. Binnen de Settings Catalog moet worden gezocht naar de Edge-beleidssectie, specifiek de categorie 'Sharing' of 'Delen', waar alle beleidsinstellingen met betrekking tot delen en synchronisatie zijn gegroepeerd. Deze categorisering maakt het eenvoudig om gerelateerde beleidsinstellingen te vinden en te configureren in één keer. Hier bevindt zich het beleid genaamd 'Enable share experience', dat standaard is ingesteld op 'Not configured' of 'Niet geconfigureerd', wat betekent dat de standaard Edge-instellingen van toepassing zijn. Om de Share Experience functionaliteit uit te schakelen, moet dit beleid worden ingesteld op 'Disabled' of 'Uitgeschakeld'. Deze instelling zorgt ervoor dat de Windows Share-knop volledig wordt verwijderd uit de Edge-interface en dat cross-device sharing via Microsoft-account synchronisatie wordt geblokkeerd. Het is belangrijk om te controleren of er geen andere beleidsinstellingen zijn die dit beleid kunnen overschrijven, aangezien sommige Edge-beleidsinstellingen een hiërarchie hebben waarbij specifieke instellingen algemene instellingen kunnen overschrijven. Na het configureren van het beleid moet het worden toegewezen aan de relevante gebruikersgroepen of apparaten binnen de organisatie. Dit kan worden gedaan door het beleid te koppelen aan bestaande security groups die zijn gedefinieerd in Azure Active Directory, of door het toe te wijzen aan alle apparaten binnen een specifieke scope zoals een bepaalde organisatie-eenheid of een specifiek platform zoals alleen Windows-apparaten. De toewijzing kan ook worden gedaan op basis van dynamische groepen die automatisch gebruikers of apparaten selecteren op basis van bepaalde kenmerken. Voor organisaties die gebruik maken van on-premises Active Directory en Group Policy Objects, kan hetzelfde beleid worden geconfigureerd via de Group Policy Management Console. Deze console biedt een centrale locatie voor het beheer van alle Group Policy Objects binnen de Active Directory omgeving. Het Edge-beleid bevindt zich in het pad Computer Configuration of User Configuration, afhankelijk van de gewenste scope, onder Administrative Templates, Microsoft Edge. Computer Configuration instellingen worden toegepast op alle gebruikers van een apparaat, terwijl User Configuration instellingen alleen worden toegepast op specifieke gebruikers. Voor dit specifieke beleid wordt over het algemeen Computer Configuration aanbevolen, omdat het uitschakelen van de Share Experience functionaliteit een apparaat-brede beveiligingsmaatregel is die voor alle gebruikers van een apparaat moet gelden, ongeacht wie er ingelogd is. Na het configureren van het GPO moet het worden gekoppeld aan de relevante organisatie-eenheden binnen Active Directory, zodat alle apparaten binnen die eenheden het beleid ontvangen. Na het configureren en toewijzen van het beleid, ongeacht of dit via Intune of GPO gebeurt, moeten apparaten worden gesynchroniseerd met het beheersysteem om de wijzigingen te ontvangen. Voor Intune-apparaten gebeurt dit automatisch tijdens de volgende policy sync, die normaal gesproken om de acht uur plaatsvindt, maar beheerders kunnen ook handmatig een sync forceren via de Intune-portal door naar een specifiek apparaat te gaan en de optie 'Sync' te selecteren. Dit is vooral nuttig voor het testen van nieuwe beleidsinstellingen of voor het onmiddellijk toepassen van wijzigingen op kritieke apparaten. Voor GPO-apparaten kan een gpupdate /force commando worden uitgevoerd vanaf het apparaat zelf of via remote management tools om onmiddellijk de nieuwe beleidsinstellingen toe te passen. Het /force argument zorgt ervoor dat alle beleidsinstellingen opnieuw worden toegepast, ook als er geen wijzigingen zijn gedetecteerd, wat nuttig is om zeker te zijn dat het nieuwe beleid correct wordt toegepast. Na implementatie is het belangrijk om te verifiëren dat het beleid correct is toegepast door te controleren of de Share-knop daadwerkelijk is verdwenen uit de Edge-interface op testapparaten. Dit kan worden gedaan door handmatig Edge te openen op een testapparaat en te controleren of de Share-knop niet meer zichtbaar is in de interface. Daarnaast kan worden gecontroleerd of de relevante registry-instellingen correct zijn ingesteld via de registry editor of via PowerShell scripts die de registry-instellingen controleren. Deze verificatie is essentieel om er zeker van te zijn dat de implementatie succesvol is en dat de beveiligingsdoelstellingen worden bereikt.
Compliance
Het uitschakelen van de Share Experience functionaliteit draagt significant bij aan de compliance met belangrijke privacy- en beveiligingswetgeving die van toepassing is op Nederlandse overheidsorganisaties en bedrijven die persoonsgegevens verwerken. Deze compliance-aspecten zijn essentieel voor organisaties die verantwoordelijk zijn voor de bescherming van gevoelige gegevens en die moeten voldoen aan steeds strenger wordende privacy- en beveiligingsregelgeving. Vanuit het perspectief van de Algemene Verordening Gegevensbescherming (AVG) is dit beleid met name relevant voor Artikel 32, dat organisaties verplicht om passende technische en organisatorische maatregelen te treffen om persoonsgegevens te beveiligen tegen ongeautoriseerde toegang, verlies, vernietiging of wijziging. De Share Experience functionaliteit vormt een significant risico omdat het ongecontroleerde gegevensoverdracht mogelijk maakt zonder dat organisaties volledige zichtbaarheid hebben over waar gegevens naartoe gaan of wie toegang heeft tot deze gegevens. Dit kan in strijd zijn met de verplichting om gegevens te beveiligen tegen ongeautoriseerde toegang, verlies of vernietiging, omdat organisaties niet kunnen controleren of gegevens worden overgedragen naar onveilige locaties of naar apparaten die niet voldoen aan de beveiligingsvereisten van de organisatie. Bovendien maakt de functionaliteit het moeilijk om te auditen wie er toegang heeft gehad tot welke gegevens, wat in strijd kan zijn met de accountability-verplichting uit Artikel 5 lid 2 van de AVG. Door deze functionaliteit uit te schakelen en gebruikers te dwingen gebruik te maken van gecontroleerde kanalen zoals OneDrive en Microsoft Teams, kunnen organisaties aantonen dat zij passende maatregelen hebben getroffen om gegevensoverdracht te beheersen en te monitoren. Deze gecontroleerde kanalen bieden volledige auditloggen en toegangscontroles, waardoor organisaties kunnen aantonen wie er toegang heeft gehad tot welke gegevens en wanneer deze toegang heeft plaatsgevonden. Dit is essentieel voor compliance met de AVG, die vereist dat organisaties kunnen aantonen dat zij passende maatregelen hebben getroffen om persoonsgegevens te beschermen. Bovendien draagt dit bij aan de accountability-verplichting uit Artikel 5 lid 2 van de AVG, waarbij organisaties moeten kunnen aantonen dat zij voldoen aan de privacyprincipes. Door gecontroleerde kanalen te gebruiken en ongecontroleerde deelmechanismen uit te schakelen, kunnen organisaties tijdens audits aantonen dat zij actief maatregelen hebben genomen om persoonsgegevens te beschermen en dat zij beschikken over de benodigde controles en monitoring om compliance te waarborgen. Vanuit het perspectief van de Baseline Informatiebeveiliging Overheid (BIO) is dit beleid relevant voor controle 09.02.05, die betrekking heeft op het beheer van gegevensuitwisseling. Deze controle vereist dat organisaties gegevensuitwisseling beheren en controleren, wat betekent dat ongecontroleerde deelmechanismen zoals de Share Experience functionaliteit moeten worden uitgeschakeld of strikt moeten worden beheerd. De controle vereist dat organisaties beschikken over mechanismen om te controleren welke gegevens worden uitgewisseld, met wie deze worden uitgewisseld, en op welke manier deze uitwisseling plaatsvindt. Door alleen goedgekeurde en gecontroleerde kanalen toe te staan, kunnen organisaties voldoen aan de vereisten voor gegevensuitwisselingsbeheer zoals gespecificeerd in de BIO. Deze gecontroleerde kanalen bieden de benodigde functionaliteit voor het monitoren en beheren van gegevensuitwisseling, waardoor organisaties kunnen voldoen aan de compliance-vereisten. Daarnaast draagt dit beleid bij aan de algemene beveiligingsdoelstellingen van de BIO, met name op het gebied van beschikbaarheid, integriteit en vertrouwelijkheid van informatie. Voor organisaties die werken met geclassificeerde informatie of gevoelige persoonsgegevens is het uitschakelen van ongecontroleerde deelmechanismen zelfs een absolute vereiste. Dergelijke organisaties moeten beschikken over strikte controles over gegevensuitwisseling en kunnen zich niet permitteren dat gegevens worden overgedragen via mechanismen die niet volledig worden gecontroleerd en gemonitord. Het uitschakelen van de Share Experience functionaliteit is daarom niet alleen een best practice, maar een noodzakelijke maatregel voor organisaties die werken met gevoelige gegevens. Het beleid helpt organisaties ook om te voldoen aan sectorale wetgeving en richtlijnen, zoals de NEN-ISO/IEC 27001 norm voor informatiebeveiligingsmanagement, die vereist dat organisaties toegangscontroles implementeren en gegevensoverdracht beheren. De ISO 27001 norm vereist dat organisaties beschikken over mechanismen om gegevensoverdracht te controleren en te monitoren, wat wordt gerealiseerd door het gebruik van gecontroleerde kanalen en het uitschakelen van ongecontroleerde deelmechanismen. Daarnaast draagt het beleid bij aan compliance met de NIS2-richtlijn, die vereist dat organisaties beschikken over passende beveiligingsmaatregelen om hun netwerken en informatiesystemen te beschermen. Het uitschakelen van ongecontroleerde gegevensoverdracht is een essentiële maatregel om ervoor te zorgen dat gegevens niet onbedoeld worden blootgesteld aan risico's die kunnen leiden tot beveiligingsincidenten. Door regelmatig te monitoren of het beleid correct is geïmplementeerd en te documenteren dat de Share Experience functionaliteit is uitgeschakeld, kunnen organisaties tijdens audits aantonen dat zij voldoen aan deze compliance-vereisten. Deze documentatie moet duidelijk maken waarom het beleid is geïmplementeerd, hoe het is geïmplementeerd, en hoe organisaties controleren dat het beleid correct wordt toegepast. Dit is essentieel voor zowel interne audits als externe compliance verificaties door toezichthouders of certificeringsinstanties.
Monitoring
Effectieve monitoring van het Share Experience beleid is essentieel om te verzekeren dat de functionaliteit daadwerkelijk is uitgeschakeld op alle werkstations binnen de organisatie en om te detecteren wanneer het beleid onbedoeld wordt gewijzigd of omzeild. Monitoring moet worden uitgevoerd op regelmatige basis, bij voorkeur wekelijks of maandelijks, afhankelijk van de risicoprofiel van de organisatie en de frequentie van wijzigingen in de IT-omgeving. Het monitoringproces begint met het verzamelen van informatie over de huidige status van het Edge-beleid op alle beheerde apparaten. Dit kan worden gerealiseerd via geautomatiseerde scripts die de registry-instellingen of Intune-compliance status controleren. Het PowerShell-script share-experience-disabled.ps1 met de functie Invoke-Monitoring biedt een gestandaardiseerde methode om te controleren of het beleid correct is geïmplementeerd. Het script controleert de relevante registry-keys of Intune-configuratie-instellingen en rapporteert de status per apparaat. Beheerders moeten deze monitoringresultaten analyseren om te identificeren welke apparaten mogelijk niet voldoen aan het beleid, wat kan wijzen op configuratiefouten, policy conflicts, of pogingen om het beleid te omzeilen. Naast technische monitoring is het ook belangrijk om gebruikersgedrag te monitoren, bijvoorbeeld door te controleren of er nog steeds pogingen worden gedaan om de Share-functionaliteit te gebruiken, wat kan worden gedetecteerd via event logs of gebruikersrapportages. Monitoringresultaten moeten worden gedocumenteerd en opgeslagen voor auditdoeleinden, zodat organisaties kunnen aantonen dat zij actief controleren op compliance met het beleid. Wanneer afwijkingen worden gedetecteerd, moeten deze onmiddellijk worden geëscaleerd naar de IT-beveiligingsafdeling voor verdere analyse en eventuele remediatie.
Gebruik PowerShell-script share-experience-disabled.ps1 (functie Invoke-Monitoring) – Automatische controle van de Share Experience beleidsstatus op alle beheerde apparaten.
Voor organisaties die gebruik maken van Microsoft Intune biedt het compliance dashboard aanvullende monitoring mogelijkheden. Het dashboard toont de compliance status van alle apparaten en geeft inzicht in welke apparaten mogelijk niet voldoen aan het geconfigureerde beleid. Beheerders kunnen hierdoor snel identificeren welke apparaten aandacht vereisen en kunnen automatische alerts configureren die worden getriggerd wanneer een apparaat niet meer compliant is. Deze geautomatiseerde monitoring vermindert de administratieve last en zorgt ervoor dat afwijkingen snel worden gedetecteerd en aangepakt. Voor organisaties met een hybride omgeving, waarbij zowel Intune als Group Policy worden gebruikt, is het belangrijk om beide systemen te monitoren om een volledig beeld te krijgen van de compliance status binnen de organisatie.
Naast technische monitoring via scripts en dashboards is het ook belangrijk om periodieke handmatige verificaties uit te voeren. Dit kan worden gedaan door steekproefsgewijs werkstations te controleren en te verifiëren dat de Share-knop daadwerkelijk is verdwenen uit de Edge-interface. Deze handmatige controles helpen om te valideren dat de technische monitoring correct werkt en bieden een extra beveiligingslaag. Bovendien kunnen gebruikers worden gevraagd om te rapporteren wanneer zij onverwacht de Share-functionaliteit kunnen gebruiken, wat kan wijzen op een configuratiefout of een omzeiling van het beleid. Het is belangrijk dat gebruikers weten hoe zij dergelijke bevindingen moeten melden, zodat potentiële beveiligingsproblemen snel kunnen worden geïdentificeerd en opgelost.
Remediatie
Wanneer monitoring aangeeft dat het Share Experience beleid niet correct is geïmplementeerd op bepaalde apparaten, moet onmiddellijk remediatie worden uitgevoerd om het beveiligingsrisico te verkleinen en compliance te herstellen. Het remediatieproces begint met het identificeren van de oorzaak van de afwijking, wat kan variëren van eenvoudige configuratiefouten tot complexere problemen zoals policy conflicts of onbedoelde wijzigingen door gebruikers of andere beheertools. Voor apparaten die via Microsoft Intune worden beheerd, kan remediatie worden uitgevoerd door het beleid opnieuw toe te wijzen aan het betreffende apparaat of door een handmatige policy sync te forceren via de Intune-portal. In sommige gevallen kan het nodig zijn om het apparaat opnieuw te registreren of de Intune-agent opnieuw te installeren als er problemen zijn met de policy delivery. Voor apparaten die via Group Policy Objects worden beheerd, kan remediatie worden uitgevoerd door het gpupdate /force commando uit te voeren op het betreffende apparaat, of door te controleren of het GPO correct is gekoppeld aan de organisatie-eenheid waar het apparaat zich bevindt. Het PowerShell-script share-experience-disabled.ps1 met de functie Invoke-Remediation biedt een geautomatiseerde methode om het beleid opnieuw toe te passen op apparaten die niet voldoen aan de vereisten. Het script controleert eerst de huidige status, identificeert de afwijking, en past vervolgens de benodigde registry-instellingen of Intune-configuraties aan om het beleid opnieuw te activeren. Na remediatie moet altijd verificatie worden uitgevoerd om te bevestigen dat het beleid correct is toegepast en dat de Share Experience functionaliteit daadwerkelijk is uitgeschakeld. Dit kan worden gedaan door opnieuw het monitoring-script uit te voeren of door handmatig te controleren of de Share-knop is verdwenen uit de Edge-interface. Als remediatie niet succesvol is, moet een diepgaandere analyse worden uitgevoerd om te identificeren of er onderliggende problemen zijn, zoals conflicterende beleidsregels, corrupte registry-instellingen, of problemen met de Edge-installatie zelf. In dergelijke gevallen kan het nodig zijn om Edge opnieuw te installeren of contact op te nemen met Microsoft Support voor verdere assistentie. Alle remediatie-acties moeten worden gedocumenteerd, inclusief de datum, het betreffende apparaat, de uitgevoerde acties, en het resultaat, zodat organisaties een audit trail hebben van alle wijzigingen die zijn doorgevoerd om compliance te herstellen.
Gebruik PowerShell-script share-experience-disabled.ps1 (functie Invoke-Remediation) – Automatische herstelacties om het Share Experience beleid opnieuw toe te passen op niet-compliant apparaten.
In gevallen waar geautomatiseerde remediatie niet succesvol is, moeten beheerders overgaan tot handmatige interventie. Dit begint met een grondige analyse van de oorzaak van de afwijking. Mogelijke oorzaken kunnen zijn: conflicterende beleidsregels die het Share Experience beleid overschrijven, lokale wijzigingen door gebruikers met administratorrechten, corrupte registry-instellingen, of problemen met de Edge-browserinstallatie zelf. Voor handmatige remediatie moeten beheerders eerst de relevante registry-keys controleren en indien nodig handmatig aanpassen. De registry-key voor het Share Experience beleid bevindt zich in het Edge-beleidspad en moet worden ingesteld op de waarde die overeenkomt met 'Disabled'. Na handmatige aanpassing moet Edge opnieuw worden gestart om ervoor te zorgen dat de wijzigingen worden toegepast. Het is belangrijk om na handmatige remediatie altijd verificatie uit te voeren om te bevestigen dat het beleid correct is toegepast.
Voor organisaties met een groot aantal apparaten is het aan te raden om een gestructureerd remediatieproces te implementeren met duidelijke escalatieprocedures. Wanneer een apparaat niet compliant is, moet eerst geautomatiseerde remediatie worden geprobeerd. Als dit niet succesvol is binnen een bepaalde tijdsperiode, bijvoorbeeld 24 uur, moet het probleem worden geëscaleerd naar een beheerder voor handmatige interventie. Voor kritieke apparaten of apparaten met toegang tot gevoelige gegevens kan een snellere escalatie worden toegepast. Alle remediatie-acties moeten worden gedocumenteerd in een ticketing systeem of beheerplatform, zodat er een volledige audit trail is van alle acties die zijn ondernomen om compliance te herstellen. Deze documentatie is essentieel voor zowel interne audits als externe compliance verificaties.
Compliance & Frameworks
- BIO: 09.02.05 -
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Edge Privacy: Share Experience Disabled
.DESCRIPTION
CIS - Windows share experience moet disabled (privacy).
.NOTES
Filename: share-experience-disabled.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Edge\ConfigureShare|Expected: 0
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge"; $RegName = "ConfigureShare"; $ExpectedValue = 0
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "share-experience-disabled.ps1"; PolicyName = "Share Experience Disabled"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; if (-not(Test-Path $RegPath)) { $r.IsCompliant = $true; $r.Details += "Default disabled"; return $r }; try { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop; $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Share disabled" }else { $r.Details += "Share enabled" } }catch { $r.IsCompliant = $true; $r.Details += "Default" }; return $r }
function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Share experience disabled" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
Low: Laag: Share Experience functionaliteit maakt ongecontroleerde gegevensoverdracht tussen apparaten mogelijk.
Management Samenvatting
Schakel Edge Share Experience uit. Alleen gecontroleerde gegevensdeling toegestaan (OneDrive/Teams). Implementatietijd: 1-2 uur.
- Implementatietijd: 2 uur
- FTE required: 0.01 FTE