πΌ Management Samenvatting
Het blokkeren van alle third-party cookies in Microsoft Edge (Strict tracking prevention mode) voorkomt cross-site tracking volledig en biedt maximale privacy-bescherming voor gebruikers. Deze stricte modus kan echter enkele websites met embedded content of specifieke SSO-implementaties verstoren, wat testing vereist voordat enterprise-wide deployment.
Aanbeveling
CONDITIONAL (after testing)
Risico zonder
Low
Risk Score
3/10
Implementatie
7u (tech: 2u)
Van toepassing op:
β Microsoft Edge
Third-party cookies zijn de primaire technologie die wordt gebruikt voor cross-site tracking waarbij advertentienetwerken en trackers gebruikersactiviteit over meerdere websites volgen om gedetailleerde gebruikersprofielen op te bouwen. Het mechanisme werkt als volgt: een first-party cookie wordt gezet door de website die je bezoekt (bijvoorbeeld example.com zet een cookie voor session management), maar een third-party cookie wordt gezet door een externe partij die content embed op die website (bijvoorbeeld example.com embed een tracker.com tracking pixel of advertentie, waarna tracker.com een cookie zet in de browser terwijl je op example.com bent). Deze third-party cookies persisteren terwijl je naar andere websites navigeert: als tracker.com ook is ge-embed op news.com, shopping.com, en blog.com, kan tracker.com exact tracken welke sites je bezoekt, hoe lang je er blijft, wat je clicks, en welke producten je bekijkt, wat resulteert in detailed behavioral profiles die worden verkocht voor targeted advertising of potentieel worden misbruikt. Microsoft Edge biedt drie tracking prevention levels: Basic mode blokkeert zeer weinig en is inadequaat voor privacy, Balanced mode (default) blokkeert known trackers volgens een lijst maar unknown trackers kunnen nog steeds functioneren wat partial protection biedt, en Strict mode (deze maatregel) blokkeert ALLE third-party cookies zonder uitzondering wat maximum privacy garandeert maar potentieel site functionality kan breken. De trade-off is dat sommige legitimate use cases zoals bepaalde Single Sign-On implementaties die third-party cookies gebruiken voor cross-domain authentication, embedded social media content zoals YouTube videos of Twitter feeds, en embedded payment processors mogelijk niet correct functioneren, hoewel in corporate environments deze scenarios relatief zeldzaam zijn omdat moderne SSO-implementaties eerste-party cookies of token-based flows gebruiken.
PowerShell Modules Vereist
Primary API: Intune / GPO
Connection:
Required Modules:
Connection:
Registry-basedRequired Modules:
Implementatie
Deze maatregel configureert Microsoft Edge voor Strict tracking prevention mode waarbij de TrackingPrevention policy wordt ingesteld op 2, wat alle third-party cookies blokkeert zonder uitzonderingen. De implementatie gebeurt via Microsoft Intune door een Configuration Profile aan te maken via Settings Catalog waarin de Edge-policy 'Enable tracking prevention' wordt gezocht en ingesteld op 'Strict', of via Group Policy door de Microsoft Edge Administrative Templates te gebruiken en 'Enable tracking prevention' te configureren naar Strict mode (value 2). De effecten van deze configuratie zijn dat cross-site tracking volledig wordt geblokkeerd waarbij geen enkel advertentienetwerk of tracker gebruikersactiviteit over websites heen kan volgen, user profiling onmogelijk wordt gemaakt wat privacy significantly verbetert, maar potentieel SSO-flows kunnen breken die afhankelijk zijn van third-party cookies (modern SSO zoals SAML, OAuth 2.0 en OpenID Connect gebruiken meestal geen third-party cookies maar older implementations mogelijk wel), en embedded content zoals social media widgets mogelijk niet functioneert. Extensie testing is kritiek waarbij een pilot group de strict mode gebruikt en rapporteert welke business-critical websites breken, gevolgd door het aanmaken van exceptions via de CookiesAllowedForUrls policy voor specific sites die legitimately third-party cookies vereisen. Monitoring gebeurt door user feedback te verzamelen over broken sites en deze systematisch te troubleshooten. De implementation kost 2 uur technisch werk voor policy deployment plus 5 uur organizational work voor testing en user communication. Deze strict privacy mode is vooral relevant voor organisaties in government, legal of healthcare sectors met very high privacy requirements, maar voor most corporate environments is Balanced mode vaak voldoende. Deze maatregel ondersteunt AVG Artikel 32 privacy requirements en BIO 11.01.05.
Vereisten
- Microsoft Edge
- Testing: Verify SSO/business apps work (some use third-party cookies)
- Exceptions: Allow-list specific sites if needed
- Intune of GPO
Implementatie
PHASE 1: Test Strict mode (pilot group). PHASE 2: Intune Settings Catalog: Edge β TrackingPrevention: 2 (Strict). PHASE 3: Monitor site breakage β add exceptions (CookiesAllowedForUrls).
Compliance
AVG Art. 32 (Privacy), BIO 11.01, ePrivacy Directive.
Monitoring
Gebruik PowerShell-script third-party-cookies-blocked-full.ps1 (functie Invoke-Monitoring) β Controleren.
Remediatie
Gebruik PowerShell-script third-party-cookies-blocked-full.ps1 (functie Invoke-Remediation) β Herstellen.
Compliance & Frameworks
- BIO: 11.01.05 -
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Edge Privacy: Third-Party Cookies Full Block
.DESCRIPTION
CIS - Volledige third-party cookie blocking.
.NOTES
Filename: third-party-cookies-blocked-full.ps1|Author: Nederlandse Baseline voor Veilige Cloud
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "third-party-cookies-blocked-full.ps1"; PolicyName = "3rd Party Cookies Full"; IsCompliant = $true; Details = @() }; $r.Details += "Via BlockThirdPartyCookies policy"; return $r }
function Invoke-Remediation { Write-Host "Cookies via main policy" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n3rd Party Cookies Full: COMPLIANT" -ForegroundColor Green; return $r }
function Invoke-Revert { Write-Host "No action" }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit 0 }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit 0 } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
Low: Low: Third-party cookies = tracking (maar Balanced mode = sufficient for most).
Management Samenvatting
Block ALL third-party cookies (Strict). Maximum privacy. May break sites (SSO). Testing required. Implementatie: 2-7 uur.
- Implementatietijd: 7 uur
- FTE required: 0.02 FTE