L1 BIO 13.01.01 ISO A.12.6.1 CIS Beveiligingscontroles

Asset Delivery Service Uitgeschakeld

📅 2025-10-30
⏱️ 2 minuten lezen
🟢 Should-Have

💼 Management Samenvatting

Het uitschakelen van de Asset Delivery Service vormt een belangrijke beveiligingsmaatregel voor Nederlandse overheidsorganisaties die Microsoft Edge gebruiken. Deze service kan onbedoeld gegevens verzenden naar externe servers, wat een potentieel beveiligingsrisico vormt voor organisaties die werken met gevoelige informatie. Door deze service uit te schakelen, behouden organisaties volledige controle over welke gegevens de organisatieomgeving verlaten en voorkomen zij onbedoelde gegevensuitwisseling met externe partijen.

Aanbeveling
CONSIDER
Risico zonder
Low
Risk Score
2/10
Implementatie
2u (tech: 1u)
Van toepassing op:
Edge

De Asset Delivery Service in Microsoft Edge is ontworpen om bepaalde browsercomponenten en updates automatisch te downloaden van Microsoft-servers. Hoewel dit op het eerste gezicht onschuldig lijkt, kan deze service onbedoeld gevoelige informatie verzenden, zoals systeeminformatie, browserconfiguraties of gebruikersgegevens. Voor Nederlandse overheidsorganisaties die werken met vertrouwelijke informatie en persoonsgegevens vormt dit een significant beveiligingsrisico. Bovendien kan deze service worden misbruikt door kwaadwillenden als aanvalsvector, waarbij zij proberen de service te compromitteren om toegang te krijgen tot organisatiegegevens. Door de Asset Delivery Service uit te schakelen, elimineren organisaties deze potentiële aanvalsvector en behouden zij volledige controle over welke gegevens de organisatieomgeving verlaten. Deze maatregel is met name belangrijk voor organisaties die werken binnen streng gereguleerde omgevingen waar elke vorm van externe gegevensuitwisseling moet worden gecontroleerd en geautoriseerd.

PowerShell Modules Vereist
Primary API: Graph
Connection: Connect-MgGraph
Required Modules: Microsoft.Graph.DeviceManagement

Implementatie

De implementatie van deze beveiligingsmaatregel wordt gerealiseerd door de Asset Delivery Service uit te schakelen via Microsoft Intune apparaatconfiguratiebeleidsregels. Deze configuratie kan centraal worden toegepast via het Microsoft Endpoint Manager-portaal, waarbij de beheerder de specifieke Edge-beleidsinstelling configureert om de Asset Delivery Service te blokkeren. De configuratie wordt automatisch toegepast op alle beheerde apparaten binnen de organisatie, waardoor handmatige configuratie op individuele systemen overbodig wordt. Voor organisaties die nog werken met traditionele Active Directory-omgevingen, kan deze configuratie ook worden toegepast via Groepsbeleidsobjecten, waarbij de registerwaarde wordt ingesteld via het registerpad HKLM:\SOFTWARE\Policies\Microsoft\Edge.

Vereisten

Het uitschakelen van de Asset Delivery Service in Microsoft Edge vereist een zorgvuldige voorbereiding waarbij zowel technische als organisatorische aspecten in overweging moeten worden genomen. Voordat de implementatie kan beginnen, moeten organisaties een grondige inventarisatie uitvoeren van hun huidige IT-infrastructuur en de beschikbare beheermogelijkheden evalueren. Deze voorbereidingsfase is essentieel om te waarborgen dat de configuratie succesvol wordt toegepast zonder verstoring van de dagelijkse bedrijfsvoering. De primaire technische voorwaarde voor deze implementatie betreft de aanwezigheid van een compatibele versie van Microsoft Edge op alle doelwerkstations. Moderne versies van Microsoft Edge, vanaf versie 77 en hoger, bieden volledige ondersteuning voor het beheer van de Asset Delivery Service via beleidsinstellingen. Organisaties die nog werken met oudere Edge-versies moeten eerst een upgrade traject doorlopen voordat zij deze beveiligingsmaatregel kunnen implementeren. Deze upgrade dient zorgvuldig te worden gepland om te voorkomen dat bestaande workflows worden verstoord of dat gebruikers tijdelijk worden beperkt in hun browserfunctionaliteiten. Een uitgebreide voorbereiding omvat het testen van applicatiecompatibiliteit, het informeren van gebruikers over aankomende wijzigingen, en het opstellen van een gedetailleerd uitrolplan dat rekening houdt met verschillende gebruikersgroepen en afdelingen binnen de organisatie. Naast de browservereisten vormt een gecentraliseerd beheersysteem een cruciale voorwaarde voor efficiënte implementatie op organisatiebrede schaal. Het handmatig configureren van individuele werkstations is niet alleen tijdrovend en arbeidsintensief, maar introduceert ook aanzienlijke risico's op configuratiefouten en inconsistenties tussen systemen. Een gecentraliseerd beheersysteem stelt organisaties in staat om configuratiewijzigingen vanuit een centrale locatie uit te voeren en automatisch te distribueren naar alle relevante systemen, waardoor consistentie wordt gewaarborgd en de kans op menselijke fouten wordt geminimaliseerd. Voor organisaties die werken met Microsoft Intune als beheerplatform is een actieve licentie voor Microsoft Endpoint Manager vereist. Dit cloud-gebaseerde platform biedt uitgebreide mogelijkheden voor apparaatbeheer en beleidsconfiguratie, waardoor beheerders Edge-configuraties centraal kunnen beheren vanuit een enkele beheerconsole. De cloud-gebaseerde architectuur van Intune maakt snelle configuratiewijzigingen mogelijk en zorgt voor automatische synchronisatie met alle beheerde apparaten, ongeacht hun fysieke locatie. Dit is met name voordelig voor organisaties met gedistribueerde werklocaties of medewerkers die regelmatig op afstand werken. Organisaties die werken met traditionele on-premises infrastructuur hebben een goed geconfigureerde Active Directory Domain Services-omgeving nodig met de mogelijkheid om Groepsbeleidsobjecten te implementeren. Deze aanpak vereist dat de Active Directory-infrastructuur beschikt over de juiste organisatie-eenheden en beveiligingsgroepen om beleidsregels effectief toe te passen op specifieke gebruikers en apparaten. Beheerders moeten beschikken over de juiste bevoegdheden om registerinstellingen te kunnen wijzigen op doelcomputers, waarbij lokale beheerdersrechten of domeinbeheerdersrechten vereist zijn afhankelijk van de gekozen implementatiemethode. Deze bevoegdheden zijn essentieel omdat de configuratie vereist dat registerwaarden worden aangepast op systeemniveau, wat niet mogelijk is met standaard gebruikersrechten. Een robuust monitoring- en verificatieproces vormt een integraal onderdeel van de implementatievereisten. Organisaties moeten beschikken over adequate monitoringtools die kunnen verifiëren dat de Asset Delivery Service daadwerkelijk is uitgeschakeld op alle relevante systemen. Deze tools moeten regelmatig worden ingezet om de nalevingsstatus te controleren en afwijkingen tijdig te detecteren. Regelmatige verificatie is cruciaal om te waarborgen dat de configuratie blijft bestaan en niet wordt overschreven door software-updates, gebruikersinterventies of andere configuratiewijzigingen tijdens de normale bedrijfsvoering. Organisatorische vereisten zijn minstens zo belangrijk als technische vereisten en zijn essentieel voor een soepele implementatie. Wanneer de Asset Delivery Service wordt uitgeschakeld, kunnen bepaalde browserfunctionaliteiten anders werken of beperkt zijn, wat vragen of verwarring bij gebruikers kan veroorzaken. Organisaties moeten daarom een doordachte communicatiestrategie ontwikkelen om gebruikers te informeren over de wijziging en de achterliggende beveiligingsredenen uit te leggen. Deze communicatie moet duidelijk maken dat de maatregel bijdraagt aan de algehele beveiliging van de organisatie en niet bedoeld is om gebruikersfunctionaliteit te beperken, maar om volledige controle te behouden over welke gegevens de organisatieomgeving verlaten. Voor grotere organisaties met complexe infrastructuur is een gefaseerde implementatiebenadering sterk aan te bevelen. Een pilotfase met een beperkte groep gebruikers maakt het mogelijk om de configuratie te testen en eventuele problemen of onvoorziene gevolgen te identificeren voordat de implementatie wordt uitgerold naar de volledige organisatie. Deze gefaseerde aanpak minimaliseert het risico op grootschalige problemen en biedt gelegenheid om de implementatiestrategie aan te passen op basis van praktijkervaringen. Tijdens de voorbereidingsfase moeten organisaties een uitgebreide inventarisatie uitvoeren van alle systemen waarop Microsoft Edge is geïnstalleerd. Deze inventarisatie moet gedetailleerde informatie bevatten over het aantal werkstations, de gebruikte Edge-versies, de beschikbare beheerinfrastructuur, en de verschillende gebruikersgroepen die mogelijk verschillende configuraties of implementatiestrategieën vereisen. Voor organisaties met meerdere locaties, afdelingen of verschillende beheeromgevingen kan het nodig zijn om verschillende implementatiestrategieën te ontwikkelen die rekening houden met lokale omstandigheden, technische beperkingen en organisatorische vereisten. Alle betrokken IT-medewerkers moeten voldoende worden getraind in het gebruik van de gekozen beheerinfrastructuur en in de specifieke aspecten van het implementeren en monitoren van deze beveiligingsmaatregel. Deze training moet zowel technische aspecten omvatten, zoals het configureren van beleidsregels en het uitvoeren van verificaties, als organisatorische aspecten, zoals gebruikerscommunicatie en ondersteuning, zodat IT-medewerkers volledig voorbereid zijn op alle aspecten van de implementatie. Ten slotte moeten organisaties een duidelijk terugdraaiactieplan ontwikkelen voor scenario's waarin de implementatie onverwachte problemen veroorzaakt of negatieve gevolgen heeft voor de bedrijfsvoering. Dit plan moet gedetailleerd beschrijven hoe de oorspronkelijke configuratie kan worden hersteld, welke stappen moeten worden genomen om gebruikers te informeren over eventuele wijzigingen, en hoe eventuele problemen kunnen worden opgelost zonder de algehele beveiligingspostuur van de organisatie in gevaar te brengen. Door deze voorbereidingen zorgvuldig uit te voeren, kunnen organisaties een succesvolle en naadloze implementatie van deze belangrijke beveiligingsmaatregel realiseren.

Implementatie

Gebruik PowerShell-script asset-delivery-service-disabled.ps1 (functie Invoke-Remediation) – Script voor uitschakeling Asset Delivery Service.

De implementatie van deze beveiligingsmaatregel vereist een gestructureerde aanpak die zorgvuldig wordt uitgevoerd om te waarborgen dat alle systemen correct worden geconfigureerd zonder verstoring van de bedrijfsvoering. De implementatiemethode wordt gekozen op basis van de beschikbare beheerinfrastructuur binnen de organisatie en de specifieke behoeften en mogelijkheden. De meest efficiënte en aanbevolen methode voor moderne organisaties is via Microsoft Intune, het cloud-gebaseerde apparaatbeheerplatform van Microsoft dat speciaal is ontworpen voor hedendaagse hybride en cloud-gebaseerde IT-omgevingen. Deze implementatie begint met het aanmaken van een nieuw apparaatconfiguratieprofiel binnen Microsoft Intune of het aanpassen van een bestaand profiel dat al wordt gebruikt voor andere Edge-configuraties. Binnen het Edge-beleid navigeert de beheerder naar de beveiligings- en privacysectie en zoekt naar de specifieke beleidsinstelling voor de Asset Delivery Service. Deze instelling wordt vervolgens geconfigureerd op de waarde Uitgeschakeld, wat overeenkomt met de registerwaarde die de service volledig blokkeert. Het profiel wordt toegewezen aan de gewenste gebruikersgroepen of apparaatgroepen, waarbij zorgvuldig moet worden overwogen welke groepen deze configuratie moeten ontvangen en of er uitzonderingen nodig zijn voor specifieke gebruikers of afdelingen. De configuratie wordt automatisch gesynchroniseerd met alle apparaten die lid zijn van de toegewezen groepen tijdens de volgende synchronisatiecyclus, of onmiddellijk indien een geforceerde synchronisatie wordt uitgevoerd. Het voordeel van deze cloud-gebaseerde aanpak is dat nieuwe apparaten die later worden toegevoegd aan de organisatie automatisch de juiste configuratie ontvangen zonder aanvullende handmatige interventie, waardoor de nalevingsstatus constant hoog blijft en de werklast voor IT-beheerders aanzienlijk wordt verminderd. Bovendien biedt Intune de mogelijkheid om automatische remediatie in te stellen, waardoor systemen die niet compliant zijn automatisch worden hersteld zonder handmatige interventie, wat de nalevingsstatus verder verbetert en zorgt voor een proactieve beveiligingsaanpak. Voor organisaties die nog werken met traditionele Active Directory omgevingen zonder cloud-gebaseerde beheeroplossingen, kan de implementatie worden uitgevoerd via Groepsbeleidsobjecten, wat een bewezen en betrouwbare methode is voor het beheren van configuraties in on-premises omgevingen. Deze implementatie begint met het openen van de Groepsbeleidsbeheerconsole op een Windows Server met de Groepsbeleidsbeheerfunctie geïnstalleerd. De beheerder maakt een nieuw Groepsbeleidsobject aan of selecteert een bestaand Groepsbeleidsobject dat geschikt is voor Edge-beleidsinstellingen, waarbij logische naamgeving belangrijk is om duidelijkheid te verschaffen over het doel van het beleid. Binnen dit Groepsbeleidsobject navigeert de beheerder naar de registerinstellingen en voegt een nieuwe registerwaarde toe via voorkeursinstellingen, waarbij het registerpad HKLM:\SOFTWARE\Policies\Microsoft\Edge wordt gebruikt en de waarde voor de Asset Delivery Service wordt ingesteld om de service uit te schakelen. Na het configureren van deze instelling wordt het Groepsbeleidsobject gekoppeld aan de relevante organisatie-eenheden binnen Active Directory, waarbij zorgvuldig moet worden overwogen welke organisatie-eenheden deze configuratie moeten ontvangen en of er uitzonderingen nodig zijn. Het is cruciaal om te controleren of er geen conflicterende Groepsbeleidsobjecten zijn die deze instelling kunnen overschrijven, omdat meerdere Groepsbeleidsobjecten kunnen worden toegepast op dezelfde organisatie-eenheid en de verwerkingsvolgorde van belang is. De beheerder moet ervoor zorgen dat deze specifieke instelling de juiste prioriteit heeft, zodat deze niet wordt overschreven door andere beleidsregels. Na het toepassen van het Groepsbeleidsobject moeten beheerders wachten op de volgende groepsbeleidsvernieuwing of een geforceerde vernieuwing uitvoeren om de configuratie onmiddellijk toe te passen. Voor organisaties met een hybride omgeving kunnen beide methoden naast elkaar worden gebruikt, waarbij Intune wordt gebruikt voor moderne apparaten die zijn geregistreerd in de cloud en Groepsbeleidsobjecten voor traditionele werkstations die nog steeds worden beheerd via Active Directory. Deze hybride aanpak maakt het mogelijk om de voordelen van beide methoden te benutten en zorgt ervoor dat alle apparaten binnen de organisatie de juiste configuratie ontvangen, ongeacht hun beheermethode. Ongeacht de gekozen implementatiemethode is het essentieel om eerst een testimplementatie uit te voeren op een beperkte groep gebruikers of apparaten. Deze testperiode stelt beheerders in staat om te verifiëren dat de configuratie correct werkt en geen onbedoelde gevolgen heeft voor de gebruikerservaring of de bedrijfsvoering. Tijdens deze testfase moeten beheerders de impact op gebruikers monitoren, eventuele problemen documenteren, en indien nodig aanpassingen maken voordat de implementatie wordt uitgerold naar de volledige organisatie. Na een succesvolle testperiode kan de implementatie worden uitgerold naar de volledige organisatie, waarbij een gefaseerde aanpak wordt aanbevolen om het risico op grootschalige problemen te minimaliseren. Tijdens de implementatie moeten beheerders ook proactief communiceren met gebruikers over deze wijziging, zodat zij begrijpen waarom de Asset Delivery Service is uitgeschakeld en wat de gevolgen zijn voor hun dagelijkse werkzaamheden. Deze communicatie kan worden gedaan via e-mail, intranetberichten of tijdens teamvergaderingen, en moet duidelijk uitleggen wat de achterliggende beveiligingsredenen zijn en hoe deze maatregel bijdraagt aan de algehele beveiliging van de organisatie. Het is belangrijk dat gebruikers begrijpen dat deze maatregel niet bedoeld is om hun functionaliteit te beperken, maar om ervoor te zorgen dat de organisatie volledige controle behoudt over welke gegevens de organisatieomgeving verlaten en om potentiële beveiligingsrisico's te elimineren. Na de implementatie is verificatie cruciaal om te waarborgen dat de configuratie daadwerkelijk is toegepast op alle systemen. Dit kan worden gedaan door handmatig de registerwaarde te controleren op een representatief aantal systemen of door gebruik te maken van monitoringtools die automatisch de nalevingsstatus controleren en rapporteren over systemen die niet compliant zijn. Beheerders moeten ook een proces opzetten voor het documenteren van de implementatie, inclusief welke systemen zijn geconfigureerd, wanneer de implementatie heeft plaatsgevonden, en wie verantwoordelijk was voor de implementatie. Deze documentatie is essentieel voor audittoeleinden en toekomstige referentie, en moet worden bijgewerkt wanneer wijzigingen worden aangebracht aan de configuratie of wanneer nieuwe systemen worden toegevoegd aan de organisatie. Door deze gestructureerde implementatieaanpak te volgen, kunnen organisaties een succesvolle en duurzame implementatie van deze belangrijke beveiligingsmaatregel realiseren.

Monitoring

Gebruik PowerShell-script asset-delivery-service-disabled.ps1 (functie Invoke-Monitoring) – Beheert Asset Delivery Service status.

Het monitoren van deze beveiligingsmaatregel vormt een kritiek onderdeel van het beheerproces en is essentieel om te waarborgen dat de configuratie daadwerkelijk wordt gehandhaafd op alle relevante systemen binnen de organisatie. Effectieve monitoring stelt organisaties in staat om afwijkingen tijdig te detecteren en corrigerende maatregelen te nemen voordat deze afwijkingen leiden tot beveiligingsproblemen. Monitoring moet worden uitgevoerd op regelmatige basis, waarbij de frequentie wordt bepaald door de grootte van de organisatie, de gevoeligheid van de omgeving, en de beschikbare middelen. Voor kleine organisaties met minder dan honderd werkstations kan wekelijkse monitoring voldoende zijn, terwijl grote organisaties met duizenden systemen mogelijk dagelijkse of zelfs realtime monitoring nodig hebben. Voor organisaties die werken met zeer gevoelige informatie of binnen een streng gereguleerde omgeving, zoals de Nederlandse overheid, kan dagelijkse monitoring noodzakelijk zijn om te voldoen aan compliance-vereisten en om te waarborgen dat eventuele afwijkingen onmiddellijk worden gedetecteerd en aangepakt. Het ontwikkelen van een effectief monitoringproces begint met het definiëren van de monitoringfrequentie en de drempelwaarden voor afwijkingen. Deze drempelwaarden moeten rekening houden met de gevoeligheid van de omgeving en de risico's die gepaard gaan met niet-compliant systemen. Organisaties die werken met zeer gevoelige informatie, zoals persoonsgegevens of bedrijfsgeheimen, moeten een hogere monitoringfrequentie overwegen om ervoor te zorgen dat eventuele afwijkingen snel worden gedetecteerd en aangepakt voordat deze kunnen worden uitgebuit door kwaadwillenden. Het monitoringproces zelf omvat het verifiëren van de registerwaarde voor de Asset Delivery Service op alle werkstations om te controleren of deze correct is ingesteld om de service uit te schakelen. Dit proces kan worden geautomatiseerd via PowerShell-scripts die de registerwaarde uitlezen op alle systemen binnen de organisatie. Het monitoringscript controleert of de waarde bestaat en of deze correct is ingesteld volgens de beoogde configuratie. Systemen waar de waarde ontbreekt of een andere waarde heeft dan de beoogde configuratie, worden geïdentificeerd als niet-compliant en moeten worden hersteld via het remediatieproces. Deze scripts moeten niet alleen de registerwaarde controleren, maar ook informatie verzamelen over het systeem, zoals de computernaam, de gebruikersnaam, de datum en tijd van de controle, en de huidige waarde van de registerinstelling. Deze informatie is belangrijk voor het identificeren van patronen en trends in niet-compliant systemen en voor het ontwikkelen van gerichte corrigerende maatregelen. Het is belangrijk dat deze scripts regelmatig worden uitgevoerd via geplande taken of via remote execution tools, en dat de resultaten worden opgeslagen in een centrale locatie voor analyse en rapportage. Deze gecentraliseerde opslag maakt het mogelijk om historische trends te analyseren en patronen te identificeren die kunnen wijzen op systematische problemen binnen de organisatie. Voor organisaties die Microsoft Intune gebruiken, biedt de Intune-portal uitgebreide monitoringmogelijkheden die verder gaan dan alleen het controleren van de nalevingsstatus. De portal biedt een overzicht van alle apparaten en hun nalevingsstatus ten aanzien van de geconfigureerde beleidsregels, waardoor beheerders snel kunnen zien welke apparaten compliant zijn en welke niet. Apparaten die niet compliant zijn, worden automatisch geïdentificeerd en kunnen worden hersteld via de remediatiefunctionaliteit van Intune, wat de responstijd aanzienlijk verkort en de werklast voor IT-beheerders vermindert. De Intune-portal biedt ook gedetailleerde informatie over wanneer apparaten voor het laatst zijn gecontroleerd, wanneer de configuratie voor het laatst is toegepast, en of er problemen zijn met de configuratie-implementatie. Deze informatie kan worden gebruikt om problemen te identificeren met de configuratie-implementatie zelf, niet alleen met de nalevingsstatus, en om proactieve maatregelen te nemen om deze problemen op te lossen. Bovendien biedt Intune de mogelijkheid om compliancerapporten te genereren die kunnen worden gebruikt voor audittoeleinden. Deze rapporten bevatten gedetailleerde informatie over de nalevingsstatus van alle apparaten, inclusief historische trends en patronen die kunnen helpen bij het identificeren van systematische problemen binnen de organisatie. Voor organisaties die gebruik maken van Groepsbeleidsobjecten, kan monitoring worden uitgevoerd met behulp van tools zoals Groepsbeleidsresultaten of door het uitvoeren van PowerShell-scripts die de registerwaarde controleren op alle systemen binnen het domein. Deze scripts kunnen worden uitgevoerd via geplande taken op een centrale server of via remote execution tools zoals PowerShell Remoting, waardoor beheerders monitoring kunnen uitvoeren zonder fysieke toegang tot elk systeem. Het is belangrijk dat deze scripts regelmatig worden uitgevoerd en dat de resultaten worden opgeslagen in een centrale locatie voor analyse en rapportage, zodat beheerders een compleet beeld hebben van de nalevingsstatus binnen de organisatie. Daarnaast moeten organisaties een proces hebben voor het documenteren en rapporteren van de nalevingsstatus aan relevante stakeholders, zoals de Chief Information Security Officer, security officer of IT-manager. Deze rapportages moeten informatie bevatten over het percentage compliant systemen, eventuele afwijkingen die zijn geconstateerd, en de genomen acties om deze afwijkingen te herstellen. Deze rapportages moeten regelmatig worden bijgewerkt en beschikbaar zijn voor interne en externe audits, zodat organisaties kunnen aantonen dat zij actief werken aan het handhaven van hun beveiligingsmaatregelen. Voor organisaties die werken binnen een gereguleerde omgeving, zoals de Nederlandse overheid, kan deze monitoring ook worden gebruikt als auditbewijs om aan te tonen dat de organisatie actief werkt aan het beschermen van beveiliging en het voorkomen van onbedoelde gegevensuitwisseling via de Asset Delivery Service. Het is belangrijk dat alle monitoringactiviteiten worden gedocumenteerd, inclusief de datum en tijd van de monitoring, de resultaten, en eventuele genomen acties. Deze documentatie moet worden bewaard voor de vereiste bewaartermijn, zoals gespecificeerd in de auditvereisten van de organisatie, zodat deze beschikbaar is voor toekomstige audits en verificaties. Bovendien moeten organisaties overwegen om automatische waarschuwingen in te stellen voor wanneer systemen niet-compliant worden, zodat beheerders onmiddellijk kunnen reageren op afwijkingen en corrigerende maatregelen kunnen nemen voordat deze afwijkingen leiden tot beveiligingsproblemen. Ongeacht de gebruikte monitoringmethode, is het essentieel dat organisaties een proces hebben voor het analyseren van monitoringresultaten en het identificeren van trends en patronen. Dit proces moet regelmatig worden uitgevoerd om te identificeren of er systematische problemen zijn die moeten worden aangepakt, zoals gebruikers die regelmatig de configuratie wijzigen of systemen die niet correct worden geconfigureerd tijdens de initiële implementatie. Deze analyse moet ook worden gebruikt om de effectiviteit van de monitoring zelf te evalueren en om verbeteringen aan te brengen waar nodig, waardoor het monitoringproces continue wordt geoptimaliseerd en de nalevingsstatus wordt verbeterd. Door een grondig en systematisch monitoringproces te implementeren, kunnen organisaties waarborgen dat hun beveiligingsmaatregel effectief wordt gehandhaafd en dat eventuele afwijkingen tijdig worden gedetecteerd en aangepakt.

Remediatie

Gebruik PowerShell-script asset-delivery-service-disabled.ps1 (functie Invoke-Remediation) – Herstellen.

Wanneer monitoring aangeeft dat een systeem niet compliant is met deze beveiligingsmaatregel, moet onmiddellijk remediatie worden uitgevoerd om de configuratie te herstellen en de beveiliging te waarborgen. Het remediatieproces vormt een kritiek onderdeel van het beheerproces en moet worden uitgevoerd volgens een gestructureerde aanpak om te waarborgen dat alle stappen correct worden uitgevoerd en dat er geen belangrijke stappen worden overgeslagen. Het proces begint met het identificeren van het niet-compliant systeem en het verzamelen van informatie over de huidige configuratie. Deze informatie moet worden gedocumenteerd voordat de remediatie wordt uitgevoerd, zodat er een baseline is voor vergelijking na de remediatie en zodat beheerders de oorspronkelijke staat kunnen begrijpen indien er problemen optreden tijdens het remediatieproces. Vervolgens moet de oorzaak van de afwijking worden geïdentificeerd door het analyseren van de beschikbare informatie, zoals monitoringslogs, systeemlogs, of informatie van gebruikers. Mogelijke oorzaken kunnen zijn dat de beleidsregel niet correct is toegepast tijdens de initiële implementatie, dat een gebruiker met lokale beheerdersrechten de instelling handmatig heeft gewijzigd, of dat een software-update of herinstallatie de configuratie heeft overschreven. Andere mogelijke oorzaken kunnen zijn dat het Groepsbeleidsobject niet correct is toegepast, dat er een conflict is met andere beleidsregels, of dat er een probleem is met de synchronisatie tussen Intune en het apparaat. Door de oorzaak te identificeren, kunnen beheerders de juiste remediatiemethode kiezen en aanvullende maatregelen nemen om te voorkomen dat de afwijking opnieuw optreedt. Zodra de oorzaak is geïdentificeerd, kan de remediatie worden uitgevoerd. Voor systemen die worden beheerd via Microsoft Intune, is de automatische remediatiefunctionaliteit vaak de meest efficiënte methode. Deze functionaliteit kan worden geconfigureerd om automatisch te worden uitgevoerd wanneer een niet-compliant apparaat wordt gedetecteerd, of om te worden uitgevoerd op een geplande basis. De automatische remediatie zorgt ervoor dat de configuratie wordt hersteld zonder handmatige interventie, wat tijd bespaart, de kans op menselijke fouten vermindert, en zorgt voor een snelle reactie op afwijkingen. Deze automatische aanpak is met name effectief voor organisaties met grote aantallen apparaten waar handmatige interventie niet praktisch is. Voor systemen die worden beheerd via Groepsbeleidsobjecten, kan de remediatie worden uitgevoerd door het Groepsbeleidsobject opnieuw toe te passen op het betreffende systeem. Dit kan worden gedaan door een geforceerde groepsbeleidsvernieuwing uit te voeren of door het systeem opnieuw op te starten. Als het Groepsbeleidsobject niet correct wordt toegepast, kan het nodig zijn om de Groepsbeleidsobjectconfiguratie te controleren en eventuele problemen op te lossen, zoals conflicten met andere Groepsbeleidsobjecten of problemen met de configuratie zelf. In sommige gevallen kan het nodig zijn om handmatig de registerwaarde in te stellen via een PowerShell-script. Het remediatiescript dat beschikbaar is voor deze maatregel kan worden gebruikt om de configuratie automatisch te herstellen op systemen die niet compliant zijn. Dit script kan worden uitgevoerd lokaal op het systeem of via een remote execution tool, waardoor beheerders efficiënt remediatie kunnen uitvoeren zonder fysieke toegang tot elk systeem. Het is belangrijk dat dit script correct wordt uitgevoerd en dat de configuratie wordt geverifieerd na de uitvoering om te waarborgen dat de remediatie succesvol is geweest. Na de remediatie moet de configuratie worden geverifieerd om te controleren of de remediatie succesvol is geweest. Deze verificatie moet worden uitgevoerd binnen een redelijke tijdsperiode na de remediatie, bij voorkeur binnen 24 uur, om te waarborgen dat de configuratie correct is hersteld en dat het systeem nu compliant is. De verificatie moet dezelfde methoden gebruiken als de reguliere monitoring, zoals het controleren van de registerwaarde of het gebruik van monitoringtools, om consistentie te waarborgen en om te verifiëren dat de configuratie daadwerkelijk is hersteld. Als de verificatie aangeeft dat het systeem nog steeds niet compliant is, moet het remediatieproces opnieuw worden uitgevoerd met aanvullende stappen om de onderliggende oorzaak aan te pakken. Voor systemen waar de afwijking regelmatig terugkeert, moet een dieper onderzoek worden uitgevoerd om de onderliggende oorzaak te identificeren en aan te pakken. Dit kan betekenen dat aanvullende beveiligingsmaatregelen nodig zijn, zoals het beperken van lokale beheerdersrechten of het implementeren van aanvullende monitoring om te detecteren wanneer de configuratie wordt gewijzigd. In sommige gevallen kan het nodig zijn om gebruikers te trainen over het belang van deze maatregel en waarom zij de configuratie niet moeten wijzigen, zodat gebruikers begrijpen dat deze maatregel bijdraagt aan de algehele beveiliging van de organisatie en niet bedoeld is om hun functionaliteit te beperken. Het is belangrijk dat alle remediatieacties worden gedocumenteerd, inclusief de datum, tijd, oorzaak van de afwijking, uitgevoerde acties, en het resultaat van de verificatie. Deze documentatie is belangrijk voor audittoeleinden en voor het identificeren van trends die kunnen wijzen op systematische problemen die moeten worden aangepakt. Door deze documentatie bij te houden, kunnen organisaties patronen identificeren in niet-compliant systemen en gerichte maatregelen ontwikkelen om deze problemen te voorkomen. Bovendien moeten organisaties een escalatieproces hebben voor wanneer remediatie niet succesvol is of wanneer afwijkingen regelmatig terugkeren, zodat senior beheerders of security officers kunnen worden betrokken bij het oplossen van complexere problemen. Dit escalatieproces zorgt ervoor dat moeilijkere problemen de juiste aandacht krijgen en dat de expertise van senior medewerkers wordt benut wanneer standaard remediatiemethoden niet effectief zijn. Door een gestructureerd en grondig remediatieproces te implementeren, kunnen organisaties waarborgen dat niet-compliant systemen snel worden hersteld en dat de algehele nalevingsstatus hoog blijft.

Compliance en Toetsing

Compliance en auditing vormen cruciale aspecten van het beheer van de Asset Delivery Service configuratie binnen Nederlandse overheidsorganisaties en zijn essentieel voor het waarborgen van naleving van verschillende regelgevende kaders. Het uitschakelen van deze service moet worden gedocumenteerd en geauditeerd om te voldoen aan de eisen van verschillende compliance frameworks en regelgevende kaders die van toepassing zijn op de publieke sector. Nederlandse overheidsorganisaties moeten voldoen aan een breed scala aan wettelijke en regulatoire vereisten, waaronder de Algemene Verordening Gegevensbescherming (AVG), de Baseline Informatiebeveiliging Overheid (BIO), de ISO 27001 standaard voor informatiebeveiligingsmanagement, en specifieke sectorale richtlijnen die van toepassing zijn op overheidsinstellingen. Deze compliance-vereisten stellen strenge eisen aan de manier waarop organisaties hun beveiligingsmaatregelen documenteren, implementeren, monitoren en auditoren, waardoor een grondige en systematische aanpak van compliance en auditing essentieel is voor het waarborgen van naleving van deze kaders. Beleidsdocumentatie vormt de basis van een effectief compliance- en audittraject, omdat het de juridische, technische en organisatorische fundamenten vastlegt waarop de beveiligingsmaatregel is gebaseerd. Organisaties moeten een uitgebreid beleidsdocument ontwikkelen dat duidelijk uiteenzet waarom het uitschakelen van de Asset Delivery Service noodzakelijk is, hoe deze maatregel bijdraagt aan de algehele beveiligingsdoelstellingen van de organisatie, en welke specifieke risico's worden gemitigeerd door deze configuratie. Het beleidsdocument moet tevens duidelijk maken wie verantwoordelijk is voor de implementatie en handhaving van deze maatregel, welke processen worden gevolgd om ervoor te zorgen dat de configuratie blijft bestaan, en welke stappen worden ondernomen wanneer de configuratie onverhoopt wordt gewijzigd of ongeldig gemaakt. Deze documentatie moet worden goedgekeurd door de relevante managementlagen binnen de organisatie, inclusief de Chief Information Security Officer of de functionaris gegevensbescherming, om te waarborgen dat de maatregel is afgestemd op de strategische beveiligingsdoelstellingen van de organisatie en dat voldoende middelen zijn toegewezen voor de implementatie en handhaving ervan. Naast het beleidsdocument is technische documentatie onmisbaar voor een volledig compliance- en audittraject, omdat het de specifieke configuratie-instellingen vastlegt die zijn toegepast om de Asset Delivery Service uit te schakelen. Deze technische documentatie moet gedetailleerde informatie bevatten over de gebruikte beheerinfrastructuur, de specifieke beleidsinstellingen die zijn geconfigureerd, de apparaten en gebruikers waarvoor de configuratie van toepassing is, en de wijze waarop de configuratie wordt toegepast en gesynchroniseerd met de beheerde systemen. Voor organisaties die Microsoft Intune gebruiken, moet de documentatie duidelijk maken welke specifieke apparaatconfiguratiebeleidsregel is geconfigureerd, welke waarden zijn ingesteld voor de relevante Edge-beleidsinstellingen, en hoe deze configuratie is gekoppeld aan de betreffende gebruikers- of apparaatgroepen. Voor organisaties die werken met Active Directory Groepsbeleidsobjecten, moet de documentatie de specifieke registerwaarden en registerpaden bevatten die zijn geconfigureerd, evenals de Groepsbeleidsobjecten die zijn gebruikt om deze configuratie toe te passen. Deze technische documentatie is essentieel voor auditors die de configuratie willen verifiëren en voor IT-medewerkers die de configuratie moeten onderhouden of bijwerken in de toekomst. Het documenteren van de configuratie-instellingen maakt het ook mogelijk om wijzigingen te traceren en te begrijpen wanneer en waarom configuraties zijn aangepast, wat waardevol is voor zowel compliance-doeleinden als voor troubleshooting en probleemoplossing wanneer onverwachte gedragingen optreden. Monitoring- en verificatieprocedures vormen een integraal onderdeel van het compliance- en audittraject, omdat zij ervoor zorgen dat de configuratie daadwerkelijk wordt toegepast en gehandhaafd blijft zoals bedoeld. Organisaties moeten een gestructureerd monitoringproces ontwikkelen dat regelmatig verifieert of de Asset Delivery Service daadwerkelijk is uitgeschakeld op alle relevante systemen, en dit proces moet worden gedocumenteerd als onderdeel van de compliance-documentatie. Het monitoringproces moet duidelijk maken welke tools worden gebruikt om de configuratie te verifiëren, hoe vaak deze verificatie wordt uitgevoerd, wie verantwoordelijk is voor het uitvoeren van deze verificaties, en welke acties worden ondernomen wanneer wordt geconstateerd dat de configuratie niet correct is toegepast of ongeldig is gemaakt. Deze monitoringprocedures moeten worden uitgevoerd op een regelmatige basis, bijvoorbeeld maandelijks of driemaandelijks, afhankelijk van de risicoclassificatie van de organisatie en de compliance-vereisten waaraan moet worden voldaan. Voor organisaties met strenge compliance-vereisten, zoals die werken met zeer gevoelige informatie of die onderworpen zijn aan frequente externe audits, kan een frequenter monitoringproces wenselijk zijn om te waarborgen dat de configuratie altijd correct is toegepast en gehandhaafd blijft. Auditing vormt een kritisch onderdeel van het compliance-traject, omdat het een onafhankelijke verificatie biedt van de effectiviteit van de beveiligingsmaatregel en de naleving van de relevante compliance-frameworks. Nederlandse overheidsorganisaties moeten regelmatig worden geauditeerd door zowel interne auditafdelingen als externe auditors, en deze audits moeten de configuratie van de Asset Delivery Service omvatten om te verifiëren dat de maatregel correct is geïmplementeerd en gehandhaafd. Tijdens audits moeten organisaties kunnen aantonen dat de configuratie daadwerkelijk is toegepast op alle relevante systemen, dat er adequate monitoring- en verificatieprocedures zijn ontwikkeld en uitgevoerd, en dat er passende maatregelen zijn genomen wanneer de configuratie niet correct is toegepast. De auditing-documentatie moet daarom duidelijk maken welke verificaties zijn uitgevoerd, welke resultaten zijn behaald, welke afwijkingen zijn geconstateerd, en welke corrigerende maatregelen zijn genomen om deze afwijkingen te verhelpen. Deze auditevidence moet worden bewaard voor een periode die overeenkomt met de compliance-vereisten waaraan de organisatie moet voldoen, wat meestal betekent dat de documentatie minstens één jaar moet worden bewaard, maar mogelijk langer voor organisaties met specifieke sectorgeregelde vereisten. Voor organisaties die voldoen aan de ISO 27001 standaard, moet de auditevidence aantonen dat de beveiligingsmaatregel bijdraagt aan de verwezenlijking van de specifieke beveiligingsdoelstellingen en controles die zijn vastgelegd in het informatiebeveiligingsmanagement systeem van de organisatie. Dit betekent dat de Asset Delivery Service configuratie moet worden gekoppeld aan specifieke ISO 27001 controles, zoals controle A.12.6.1 voor technisch kwetsbaarheidsbeheer, en dat de organisatie moet kunnen aantonen hoe deze configuratie bijdraagt aan het verwezenlijken van deze controles. Voor organisaties die voldoen aan de BIO, moet de auditevidence aantonen dat de beveiligingsmaatregel bijdraagt aan de verwezenlijking van specifieke BIO-maatregelen, zoals maatregel 13.01.01 voor technische beveiligingsmaatregelen, en dat de organisatie voldoet aan de specifieke vereisten die worden gesteld aan de implementatie en handhaving van deze maatregelen. Compliance-rapportage vormt een belangrijk onderdeel van het compliance-traject, omdat het de resultaten van monitoring en auditing communiceert naar de relevante stakeholders binnen de organisatie. Organisaties moeten regelmatig compliance-rapporten ontwikkelen die samenvatten of de Asset Delivery Service configuratie correct is geïmplementeerd en gehandhaafd, welke afwijkingen zijn geconstateerd, welke corrigerende maatregelen zijn genomen, en of er verbeteringen nodig zijn in de implementatie of handhaving van de maatregel. Deze rapporten moeten worden gepresenteerd aan het management, de compliance-afdeling, en andere relevante stakeholders binnen de organisatie, zodat deze partijen op de hoogte zijn van de status van de beveiligingsmaatregel en kunnen bijdragen aan de continue verbetering van de beveiligingspostuur van de organisatie. Het ontwikkelen en onderhouden van een robuust compliance- en audittraject voor de Asset Delivery Service configuratie vereist continue aandacht en investeringen, maar het biedt aanzienlijke voordelen in termen van risicovermindering, regelgevingsnaleving, en vertrouwen van stakeholders. Door een grondige en systematische aanpak te volgen voor beleidsdocumentatie, technische documentatie, monitoring, auditing en rapportage, kunnen organisaties waarborgen dat hun beveiligingsmaatregel effectief is geïmplementeerd en gehandhaafd, en dat zij voldoen aan alle relevante compliance-vereisten waaraan zij onderworpen zijn.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Edge Policy: Asset Delivery Service Disabled - Voorkomt automatische content delivery .DESCRIPTION CIS Microsoft Edge Benchmark - Control 2.2 Schakelt de Asset Delivery Service uit in Edge. Asset Delivery Service is een Microsoft dienst die automatisch content en updates naar Edge stuurt. In enterprise omgevingen moet dit uitgeschakeld worden voor: - Netwerk traffic control - Security control over externe content - Compliance vereisten - Bandwidth management RATIONALE: Automatische content delivery kan: - Ongewenste external content introduceren - Network bandwidth gebruiken - Security controls omzeilen - Compliance issues veroorzaken .NOTES Filename: asset-delivery-service-disabled.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 CIS Control: 2.2 (Level 1) Category: Security Registry Path: HKLM:\SOFTWARE\Policies\Microsoft\Edge Registry Value: AssetDeliveryServiceEnabled (DWORD) Expected Value: 0 (Disabled) #> #Requires -Version 5.1 #Requires -RunAsAdministrator [CmdletBinding()] param( [Parameter()][switch]$WhatIf, [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [Parameter()][switch]$Revert ) $ErrorActionPreference = 'Stop' $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge" $RegName = "AssetDeliveryServiceEnabled" $ExpectedValue = 0 $PolicyName = "Asset Delivery Service Disabled" function Connect-RequiredServices { $currentPrincipal = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()) return $currentPrincipal.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) } function Test-Compliance { $result = [PSCustomObject]@{ ScriptName = "asset-delivery-service-disabled.ps1" PolicyName = $PolicyName CISControl = "2.2" IsCompliant = $false CurrentValue = $null ExpectedValue = $ExpectedValue Details = @() } if (-not (Test-Path $RegPath)) { $result.IsCompliant = $true $result.Details += "Policy niet geconfigureerd - service disabled by default" return $result } try { $regValue = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop $result.CurrentValue = $regValue.$RegName if ($result.CurrentValue -eq $ExpectedValue) { $result.IsCompliant = $true $result.Details += "Asset Delivery Service is uitgeschakeld" } else { $result.Details += "Service is enabled - mogelijk ongewenste content delivery" } } catch { $result.IsCompliant = $true $result.Details += "Policy niet geconfigureerd - disabled by default" } return $result } function Invoke-Remediation { if (-not (Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null } Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force Write-Host "Asset Delivery Service disabled" -ForegroundColor Green } function Invoke-Monitoring { $result = Test-Compliance Write-Host "`nPolicy: $($result.PolicyName)" -ForegroundColor Cyan Write-Host "Status: $(if ($result.IsCompliant) { 'COMPLIANT' } else { 'NON-COMPLIANT' })" -ForegroundColor $(if ($result.IsCompliant) { 'Green' } else { 'Red' }) return $result } function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue } try { if (-not (Connect-RequiredServices)) { exit 1 } if ($Monitoring) { $result = Invoke-Monitoring exit $(if ($result.IsCompliant) { 0 } else { 1 }) } elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } } elseif ($Revert) { Invoke-Revert } else { $result = Test-Compliance exit $(if ($result.IsCompliant) { 0 } else { 1 }) } } catch { Write-Error $_ exit 1 }

Risico zonder implementatie

Risico zonder implementatie
Low: Laag beveiligingsrisico via Asset Delivery Service. De service kan onbedoeld gevoelige informatie verzenden naar externe servers, wat kan leiden tot datalekken of beveiligingsschendingen. Bovendien kan de service worden misbruikt als aanvalsvector door kwaadwillenden.

Management Samenvatting

Schakel de Asset Delivery Service uit voor beveiliging. Implementatie: 30 minuten via Microsoft Intune of Groepsbeleidsobjecten.