BIO 11.01.01 ISO A.8.11

Suggest Similar Pages Uitgeschakeld

📅 2025-11-17
⏱️ 3 minuten lezen
🟢 Should-Have

💼 Management Samenvatting

Microsoft Edge bevat de functie Suggest Similar Pages, waarmee de browser automatisch websites aanbeveelt die lijken op eerder bezochte pagina's. In een publieke organisatie betekent dat onnodige uitwisseling van surfgedrag met externe diensten. Door de functie standaard uit te schakelen, blijft het webgebruik van medewerkers voorspelbaar, privacyvriendelijk en in lijn met de uitgangspunten van de Nederlandse Baseline voor Veilige Cloud.

Aanbeveling
IMPLEMENTEREN
Risico zonder
Low
Risk Score
4/10
Implementatie
0.5u (tech: 0.25u)
Van toepassing op:
Edge

De instelling RelatedWebsiteSetsEnabled staat Microsoft toe om verschillende domeinen te groeperen en daarbij cookies, sessiegegevens en gebruiksstatistieken te delen. Voor commerciële aanbieders levert dat gemak op, maar in een overheidscontext vormt het een direct risico op cross-site tracking, gebrek aan transparantie richting burgers en een vergroot aanvalsoppervlak voor kwaadwillenden. Door de functie uit te schakelen, verdwijnen onzichtbare datastromen naar derde partijen, worden logging en forensisch onderzoek eenvoudiger en kan de organisatie aantonen dat zij gegevensminimalisatie en de BIO-eisen rond privacybescherming serieus toepast.

PowerShell Modules Vereist
Primary API: Intune/GPO
Connection: N/A
Required Modules:

Implementatie

De maatregel configureert de beleidsinstelling RelatedWebsiteSetsEnabled via Intune, Group Policy of een vergelijkbare beheeroplossing naar waarde 0. Daarmee blokkeert Edge elke poging om gerelateerde websitesets te activeren en wordt de optie voor eindgebruikers onbeschikbaar. De instelling wordt afgedwongen via de registersleutel HKLM:\SOFTWARE\Policies\Microsoft\Edge\RelatedWebsiteSetsEnabled en maakt onderdeel uit van het centrale werkplekbeveiligingsprofiel, zodat nieuwe én bestaande apparaten automatisch conform blijven.

Implementatie

Het invoeren van een Edge-privacybeleid start met een bestuurlijk besluit waarin privacy officers, de CISO en werkplekbeheer expliciet vastleggen dat Suggest Similar Pages niet gewenst is. Tijdens deze voorbereidende fase worden alle relevante beleidsdocumenten, DPIA's en change-aanvragen samengebracht, zodat duidelijk is welke wettelijke en organisatorische argumenten het uitschakelen ondersteunen. Door meteen een overzicht te maken van alle tenant- en domeinomgevingen, inclusief shared workstations en specialistische labs, ontstaat een volledig beeld van de scope. Dat voorkomt dat later alsnog een aparte configuratie moet worden gemaakt omdat een groep apparaten buiten de oorspronkelijke planning viel. Na de bestuurlijke bevestiging volgt de configuratieontwerp-fase. Hierin wordt bekeken welke Intune-profielen, Configuration Manager-baselines en Group Policies reeds bestaan voor Edge. Dubbele policies worden samengevoegd en conflictregels geïdentificeerd, zodat er uiteindelijk één leidende instelling overblijft. Om regressies te voorkomen, wordt een regressietabel opgesteld waarin staat welke webapplicaties mogelijk afhankelijk waren van gedeelde sessies. Deze tabel helpt om de juiste testscenario's te kiezen en voorkomt dat functioneel beheerders pas tijdens de uitrol ontdekken dat een specifieke portal extra aandacht nodig heeft. Voor de feitelijke configuratie gebruiken Intune-beheerders een instellingen-catalogusprofiel voor Windows 10 en hoger. Daarin wordt onder Microsoft Edge → Privacy en services de instelling Allow Related Website Sets op Disabled gezet. In on-premises omgevingen gebeurt hetzelfde via een nieuw GPO dat het Edge ADMX-bestand gebruikt en onder Computer Configuration → Administrative Templates → Microsoft Edge → Web content dezelfde waarde afdwingt. Beide configuraties krijgen een duidelijk versienummer en worden gekoppeld aan scope tags of beveiligingsfilters, zodat productie, pilot en testomgevingen afzonderlijk kunnen worden aangestuurd. Het referentiescript `code/edge/privacy/suggest-similar-pages-disabled.ps1` fungeert als vangnet en validatiemechanisme. Het script leest de huidige registrywaarde uit, maakt de sleutelstructuur aan indien nodig, schrijft de DWORD 0 en legt het resultaat vast in zowel het lokale eventlog als een centrale Log Analytics workspace. Omdat het script idempotent is, kan het veilig periodiek worden uitgevoerd via Intune Remediations, Configuration Manager of een geautomatiseerde taak in Azure Automation. Beheerders documenteren welke parameters gebruikt moeten worden, hoe logging werkt en hoe fouten worden geëscaleerd naar het tweedelijnsteam. Testen vindt in drie lagen plaats. Eerst wordt in een afgesloten lab gecontroleerd of Edge direct na het toepassen van het beleid geen gerelateerde pagina's meer toont en of netwerkverkeer naar de suggestieservice stopt. Daarna volgt een pilot met vertegenwoordigers uit beleidsteams, security operations en servicedesk. Zij registreren bevindingen in een gedeeld testrapport en geven aan of er functionele gevolgen zijn. Tot slot wordt de uitrol gefaseerd opgeschaald naar alle productieapparaten, waarbij de changekalender en communicatieplanning worden gebruikt om gebruikers op tijd te informeren. Na de technische uitrol wordt de maatregel geborgd. De CMDB bevat een record met verwijzing naar het beleid, het script en de verantwoordelijke eigenaar. Runbooks beschrijven hoe nieuwe apparaten moeten worden aangesloten en hoe uitzonderingen mogen worden aangevraagd. Tegelijkertijd wordt een set succesindicatoren ingericht, zoals het percentage compliant apparaten, het aantal remediaties per week en het aantal privacy-incidenten waarbij browsertracking een rol speelde. Door deze indicatoren maandelijks te bespreken in het security-governanceoverleg blijft de maatregel actueel en wordt tijdig bijgestuurd wanneer Edge nieuwe functies introduceert die dezelfde doelstelling kunnen ondermijnen.

Gebruik PowerShell-script suggest-similar-pages-disabled.ps1 (functie Invoke-Remediation) – Automatiseringsscript voor distributie en validatie.

Monitoring

Monitoring van dit privacybeleid begint met het continu meten van configuratiecompliance. De monitoringfunctie in het referentiescript leest dagelijks de waarde van HKLM:\SOFTWARE\Policies\Microsoft\Edge\RelatedWebsiteSetsEnabled en vergelijkt deze met de normwaarde 0. De resultaten worden naar Log Analytics of een ander centraal platform gestuurd, zodat Microsoft Sentinel of een vergelijkbare SIEM-oplossing automatisch queries kan draaien en afwijkingen kan signaleren. Door de rapportage te koppelen aan device compliance in Intune ontstaat een integraal overzicht waarin meteen zichtbaar is welke apparaten het beleid ontvangen, welke het beleid toepassen en waar aanvullende actie nodig is. Naast configuratiemetingen richt monitoring zich op feitelijk gedrag van de browser. Proxy- en firewallrapporten worden verrijkt met indicatoren voor bekende Suggest Similar Pages-endpoints. Wanneer ondanks de uitgeschakelde policy toch verkeer naar deze endpoints wordt gezien, wordt dit onmiddellijk gelogd als kritisch signaal. Hetzelfde geldt voor telemetry uit Microsoft Defender for Endpoint, waarin per applicatie zichtbaar is welke hostnamen worden benaderd. Door deze gedragsgegevens te combineren met de configuratiestatus kunnen beheerders onderscheid maken tussen ontbrekende policies, gebruikers die een niet-ondersteunde browserversie draaien of mogelijk kwaadwillende processen die instellingen overschrijven. Een derde monitoringlaag focust op gebruikerservaring en servicedeskdata. Incidenten rond 'gerelateerde pagina's' of privacywaarschuwingen krijgen een aparte categorisatie in het ticketsysteem. Elk ticket wordt geanalyseerd op oorzaak, impact en benodigde opvolging. Bevindingen worden gebundeld in een maandelijkse rapportage aan het privacy governance board, zodat duidelijk is of er structurele knelpunten spelen of dat gebruikers juist tevreden zijn over de betere voorspelbaarheid van het surfgedrag. Deze feedbackloop helpt ook bij het aanscherpen van communicatie en trainingsmateriaal. Monitoring omvat bovendien formele audit- en compliancebewijzen. Elk kwartaal voert de werkplekafdeling een steekproef uit waarbij een representatieve set endpoints handmatig wordt onderzocht. De resultaten worden vastgelegd in het auditdossier inclusief screenshots van de Edge-instellingen, export van de relevante registry-sleutel en verwijzingen naar de logbestanden van de automatiseringsscripts. De Functionaris Gegevensbescherming en interne audit ontvangen deze rapporten, zodat zij onafhankelijk kunnen bevestigen dat de maatregel blijft functioneren zoals beschreven in de Nederlandse Baseline voor Veilige Cloud. Tot slot wordt monitoring gezien als een continu verbeterproces. Tijdens security- en privacyoverleggen worden trendgrafieken besproken, zoals het aantal noodzakelijke remediaties per maand of de reductie van tracking-gerelateerde incidenten. Op basis van deze inzichten worden indicatoren en drempelwaarden bijgesteld, nieuwe detectieregels toegevoegd en waar nodig aanvullende maatregelen voorgesteld. Door monitoring te verankeren in zowel operationele runbooks als strategische dashboards blijft de organisatie aantoonbaar in control over deze Edge-instelling en kan zij snel reageren zodra Microsoft nieuwe functies of beleidsinstellingen introduceert die invloed hebben op het onderliggende doel: het minimaliseren van ongewenste datadeling tussen websites. Naast de technische pijlers is er een duidelijke taakverdeling nodig. Het SOC beheert de SIEM-queries, werkplekbeheer bewaakt de Intune-rapportages, privacy officers beoordelen de auditresultaten en de servicedesk verwerkt gebruikerssignalen. In een gezamenlijke maandelijkse sessie worden alle bevindingen samengebracht en worden verbeteracties toegewezen met een deadline en eigenaar. Deze governanceborging zorgt ervoor dat monitoring geen vrijblijvende activiteit is, maar een integraal onderdeel vormt van de structurele privacyverbetering binnen de organisatie.

Gebruik PowerShell-script suggest-similar-pages-disabled.ps1 (functie Invoke-Monitoring) – Automatische statuscontrole en rapportage.

Remediatie

Remediatie start zodra monitoring of een audit aantoont dat een apparaat de waarde van RelatedWebsiteSetsEnabled niet op 0 heeft staan. De eerste stap is het verzamelen van forensische informatie: wanneer is de afwijking ontstaan, welke gebruiker was ingelogd en ontving het apparaat recent nog een Intune- of GPO-update? Deze vragen worden vastgelegd in het incidentrecord, samen met logbestanden en eventuele netwerkindicatoren. Op basis hiervan bepaalt het beheerteam of het gaat om een incidentele fout, een structureel probleem in het distributieproces of een bewuste wijziging door een lokale beheerder. Daarna wordt het PowerShell-remediatiescript gestart. Het script controleert of de sleutelstructuur aanwezig is, zet zo nodig de juiste ACL's, schrijft de DWORD 0 en registreert het resultaat in het Windows Event Log en in Log Analytics. Door het script als remediation in Intune te koppelen, kunnen tientallen apparaten tegelijk worden hersteld zonder handmatige handelingen. Tegelijkertijd wordt gecontroleerd of het betrokken configuratieprofiel of GPO nog actief is; ontbreekt dat, dan wordt het profiel opnieuw toegewezen of wordt de GPO-link hersteld. Voor apparaten die langdurig offline zijn geweest, wordt een geforceerde synchronisatie gepland zodra zij weer verbinding maken met het bedrijfsnetwerk of via VPN. Wanneer de oorzaak dieper ligt dan een gemiste policy, wordt een governancepad gevolgd. Als een afdeling bewust een uitzondering heeft aangevraagd, wordt gecontroleerd of die aanvraag daadwerkelijk is goedgekeurd, een einddatum heeft en welke compenserende maatregelen zijn vastgesteld. Ontbreekt die documentatie, dan wordt de uitzondering ingetrokken en moeten gebruikers aantonen waarom de functionaliteit nodig is. Eventueel kan een tijdelijke sandbox worden ingericht waarin de betreffende applicatie kan blijven functioneren terwijl de leverancier werkt aan een privacyvriendelijke oplossing. Communicatie is essentieel om herhaling te voorkomen. Gebruikers van getroffen apparaten ontvangen een korte uitleg over de herstelactie, inclusief instructies om Edge opnieuw te starten en contact op te nemen met de servicedesk bij aanhoudende problemen. De servicedesk wordt voorzien van een kennisartikel waarin exacte stappen, loglocaties en escalatiecriteria staan beschreven. Hierdoor kunnen eerste- en tweedelijnsteams consistent handelen en hoeft het kernteam alleen nog complexe gevallen op te pakken. Na elke herstelactie volgt een dubbele verificatie. Het apparaat wordt opnieuw gescand via de geautomatiseerde monitoring én er wordt handmatig in Edge gecontroleerd of de optie voor het voorstellen van vergelijkbare pagina's niet beschikbaar is. De resultaten worden gekoppeld aan het incident, inclusief tijdstempels en betrokken medewerkers. Bovendien worden trends geanalyseerd: wanneer meerdere apparaten dezelfde afwijking tonen, wordt onderzocht of een bepaald image, softwarepakket of gebruikersgroep de gemeenschappelijke factor is. Structurele oorzaken leiden tot verbeteracties, zoals het aanpassen van het golden image, het herzien van lokale administratorrechten of het toevoegen van extra controlepunten in het changeproces. Zo wordt remediatie niet alleen een herstelactie, maar ook een motor voor continue verbetering. Om de effectiviteit van remediatie zichtbaar te maken, rapporteert het team maandelijks over het aantal herstelde apparaten, doorlooptijden en terugkerende oorzaken. Deze statistieken worden gedeeld met het privacy governance board en vormen input voor strategische besluiten, bijvoorbeeld om het aantal lokale beheerders verder te beperken of aanvullende detecties in te richten. Door remediatie te koppelen aan meetbare indicatoren ontstaat inzicht in de volwassenheid van het beheerproces en kan gericht worden geïnvesteerd in de onderdelen die de meeste impact hebben op privacybescherming.

Gebruik PowerShell-script suggest-similar-pages-disabled.ps1 (functie Invoke-Remediation) – Herstel via PowerShell-remediatie.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Edge Privacy: Suggest Similar Pages Disabled .DESCRIPTION CIS - Similar pages suggestions moet disabled (privacy/tracking). .NOTES Filename: suggest-similar-pages-disabled.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Edge\RelatedWebsiteSetsEnabled|Expected: 0 #> #Requires -Version 5.1 #Requires -RunAsAdministrator [CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert) $ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge"; $RegName = "RelatedWebsiteSetsEnabled"; $ExpectedValue = 0 function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) } function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "suggest-similar-pages-disabled.ps1"; PolicyName = "Similar Pages Disabled"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; if (-not(Test-Path $RegPath)) { $r.IsCompliant = $true; $r.Details += "Default disabled"; return $r }; try { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop; $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Similar pages disabled" }else { $r.Details += "Similar pages enabled" } }catch { $r.IsCompliant = $true; $r.Details += "Default" }; return $r } function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Similar pages suggestions disabled" -ForegroundColor Green } function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r } function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue } try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }

Risico zonder implementatie

Risico zonder implementatie
Low: Laat men Suggest Similar Pages actief, dan kunnen gerelateerde websites onzichtbaar gegevens delen, waardoor privacyverplichtingen onder de AVG en BIO moeilijk aantoonbaar worden nageleefd en het aanvalsoppervlak groeit.

Management Samenvatting

Zet RelatedWebsiteSetsEnabled organisatiebreed op 0 zodat Edge geen vergelijkbare pagina's voorstelt, elimineer daarmee stille datastromen naar derde partijen en borg de maatregel via Intune, GPO en het aangeleverde PowerShell-script.