Ondersteunde Authenticatieschema's Geconfigureerd

Authenticatie vormt de eerste verdedigingslinie tegen ongeautoriseerde toegang tot organisatieresources en gevoelige informatie. Microsoft Edge ondersteunt standaard een breed scala aan authenticatieschema's, waarvan sommige verouderd zijn of bekende beveiligingskwetsbaarheden bevatten. Zonder specifieke configuratie kan de browser automatisch proberen verschillende authenticatiemethoden te gebruiken, waaronder onveilige protocollen die kunnen worden misbruikt door kwaadwillenden. Voor Nederlandse overheidsorganisaties die werken binnen streng gereguleerde omgevingen en moeten voldoen aan de Baseline Informatiebeveiliging Overheid (BIO) en de Algemene Verordening Gegevensbescherming (AVG), is het van cruciaal belang om alleen goedgekeurde en veilige authenticatiemethoden te gebruiken. Door de ondersteunde authenticatieschema's expliciet te configureren, elimineren organisaties het risico dat onveilige authenticatiemethoden worden gebruikt, wat kan leiden tot beveiligingsincidenten, datalekken of ongeautoriseerde toegang tot gevoelige informatie. Bovendien zorgt deze configuratie ervoor dat alle authenticatiepogingen worden uitgevoerd via goedgekeurde en gecontroleerde methoden, wat essentieel is voor compliance-doeleinden en auditverificatie.

Implementatie

De implementatie van deze beveiligingsmaatregel wordt gerealiseerd door de ondersteunde authenticatieschema's expliciet te configureren via Microsoft Intune apparaatconfiguratiebeleidsregels of via Groepsbeleidsobjecten in traditionele Active Directory-omgevingen. De configuratie beperkt de browser tot het gebruik van vier goedgekeurde authenticatieschema's: basic authentication, digest authentication, NTLM (NT LAN Manager) en negotiate authentication. Deze configuratie wordt toegepast via het registerpad HKLM:\SOFTWARE\Policies\Microsoft\Edge met de waarde SupportedAuthenticationSchemes ingesteld op 'basic,digest,ntlm,negotiate'. Voor organisaties die Microsoft Intune gebruiken, kan deze configuratie centraal worden beheerd via het Microsoft Endpoint Manager-portaal, waarbij de beleidsinstelling automatisch wordt toegepast op alle beheerde apparaten. Voor organisaties die nog werken met traditionele on-premises infrastructuur, kan deze configuratie worden toegepast via Groepsbeleidsobjecten, waarbij de registerwaarde wordt ingesteld via voorkeursinstellingen binnen de Groepsbeleidsbeheerconsole.

Vereisten

Voor de succesvolle implementatie van deze beveiligingsmaatregel zijn verschillende technische en organisatorische vereisten noodzakelijk. De primaire technische vereiste betreft de aanwezigheid van Microsoft Edge op alle werkstations waar deze beleidsregel van toepassing moet zijn. Organisaties moeten ervoor zorgen dat alle gebruikers die werken met gevoelige informatie of binnen beveiligingsgevoelige omgevingen, Microsoft Edge beschikbaar hebben als hun primaire webbrowser of als onderdeel van hun browser-arsenaal. Het is van cruciaal belang dat alle Edge-versies binnen de organisatieomgeving ondersteuning bieden voor deze specifieke beleidsinstelling, omdat oudere versies mogelijk niet compatibel zijn met de vereiste configuratie-instellingen. Moderne versies van Microsoft Edge, vanaf versie 77 en hoger, bieden volledige ondersteuning voor het configureren van ondersteunde authenticatieschema's. Voor organisaties die nog werken met oudere versies, is het raadzaam om eerst een upgrade uit te voeren voordat deze beleidsregel wordt geïmplementeerd. Deze upgrade moet zorgvuldig worden gepland en uitgevoerd om te voorkomen dat bestaande workflows worden verstoord of dat gebruikers tijdelijk zonder toegang tot essentiële browserfunctionaliteiten komen te zitten. Naast de browservereisten is een gecentraliseerd beheersysteem onmisbaar voor een efficiënte implementatie op organisatiebrede schaal. Zonder een dergelijk systeem zou de configuratie handmatig moeten worden uitgevoerd op elk individueel werkstation, wat niet alleen tijdrovend en arbeidsintensief is, maar ook aanzienlijk foutgevoeliger en moeilijker te handhaven op de lange termijn. Een gecentraliseerd beheersysteem maakt het mogelijk om configuratiewijzigingen centraal door te voeren en automatisch te distribueren naar alle relevante systemen, waardoor consistentie wordt gewaarborgd en de kans op configuratiefouten wordt geminimaliseerd. Voor organisaties die kiezen voor Microsoft Intune als beheerplatform, is een actieve licentie voor Microsoft Endpoint Manager vereist. Dit moderne cloud-gebaseerde platform biedt uitgebreide mogelijkheden voor apparaatbeheer en beleidsconfiguratie, waardoor organisaties hun Edge-configuraties centraal kunnen beheren vanuit een enkele beheerconsole. De cloud-gebaseerde architectuur van Intune maakt het mogelijk om configuratiewijzigingen snel door te voeren en automatisch te synchroniseren met alle beheerde apparaten, ongeacht hun fysieke locatie. Organisaties die werken met traditionele on-premises infrastructuur hebben een Active Directory Domain Services-omgeving nodig met de mogelijkheid om Groepsbeleidsobjecten te implementeren. Deze traditionele aanpak vereist dat organisaties beschikken over een goed geconfigureerde Active Directory-infrastructuur met de juiste organisatie-eenheden en beveiligingsgroepen om de beleidsregels effectief te kunnen toepassen op de juiste gebruikers en apparaten. Beheerders moeten beschikken over de juiste bevoegdheden om registerinstellingen te kunnen wijzigen op de doelcomputers, hetgeen betekent dat lokale beheerdersrechten of domeinbeheerdersrechten vereist zijn, afhankelijk van de gekozen implementatiemethode. Deze bevoegdheden zijn essentieel omdat de configuratie vereist dat registerwaarden worden aangepast op systeemniveau, wat niet mogelijk is met standaard gebruikersrechten. Een robuust monitoring- en verificatieproces vormt een essentieel onderdeel van de implementatievereisten, omdat het ervoor zorgt dat de configuratie daadwerkelijk wordt toegepast en gehandhaafd blijft op alle relevante systemen. Organisaties moeten toegang hebben tot monitoringtools die kunnen verifiëren dat de authenticatieschema's daadwerkelijk correct zijn geconfigureerd op alle relevante systemen, en deze tools moeten regelmatig worden gebruikt om de nalevingsstatus te controleren. Deze verificatie moet regelmatig worden uitgevoerd om te waarborgen dat de configuratie blijft bestaan en niet wordt overschreven door software-updates, gebruikersinterventies of andere configuratiewijzigingen die kunnen plaatsvinden tijdens de normale bedrijfsvoering. De organisatorische vereisten zijn minstens zo belangrijk als de technische vereisten, omdat zij ervoor zorgen dat de implementatie soepel verloopt en dat gebruikers de wijzigingen begrijpen en accepteren. Wanneer de authenticatieschema's worden beperkt, kunnen bepaalde webapplicaties mogelijk anders werken of aanvullende configuratie vereisen, wat kan leiden tot vragen of verwarring bij gebruikers. Organisaties moeten daarom gebruikers informeren over deze wijziging en uitleggen waarom deze maatregel belangrijk is voor de beveiliging van de organisatie. Een doordachte communicatiestrategie is essentieel om gebruikers te informeren over de wijziging en de achterliggende redenen, zodat zij begrijpen dat deze maatregel bijdraagt aan de algehele beveiliging van de organisatie. Voor grotere organisaties met complexe infrastructuur kan een gefaseerde implementatiebenadering wenselijk zijn, waarbij eerst een pilot wordt uitgevoerd met een beperkte groep gebruikers om te testen of de configuratie correct werkt en of er onvoorziene problemen optreden. Deze pilotfase maakt het mogelijk om eventuele problemen of onvoorziene gevolgen te identificeren voordat de implementatie wordt uitgerold naar de volledige organisatie, waardoor het risico op grootschalige problemen wordt geminimaliseerd. Tijdens de voorbereidingsfase moeten organisaties een uitgebreide inventarisatie uitvoeren van alle systemen waarop Microsoft Edge is geïnstalleerd, zodat zij een volledig beeld hebben van de omvang van de implementatie en de verschillende configuraties die mogelijk nodig zijn. Deze inventarisatie moet gedetailleerde informatie bevatten over het aantal werkstations, de gebruikte Edge-versies, de beschikbare beheerinfrastructuur en de verschillende gebruikersgroepen die mogelijk verschillende configuraties of implementatiestrategieën vereisen. Voor organisaties met meerdere locaties, afdelingen of verschillende beheeromgevingen kan het nodig zijn om verschillende implementatiestrategieën te ontwikkelen die rekening houden met lokale omstandigheden, technische beperkingen en organisatorische vereisten, zodat de implementatie kan worden aangepast aan de specifieke behoeften van elke afdeling of locatie. Alle betrokken IT-medewerkers moeten voldoende worden getraind in het gebruik van de gekozen beheerinfrastructuur en in de specifieke aspecten van het implementeren en monitoren van deze beveiligingsmaatregel, zodat zij de implementatie effectief kunnen uitvoeren en eventuele problemen kunnen oplossen. Deze training moet zowel technische aspecten omvatten, zoals het configureren van beleidsregels en het uitvoeren van verificaties, als organisatorische aspecten, zoals gebruikerscommunicatie en ondersteuning, zodat IT-medewerkers volledig voorbereid zijn op alle aspecten van de implementatie. Ten slotte moeten organisaties een duidelijk terugdraaiactieplan ontwikkelen voor scenario's waarin de implementatie onverwachte problemen veroorzaakt of negatieve gevolgen heeft voor de bedrijfsvoering, zodat zij snel kunnen reageren en de configuratie kunnen terugdraaien indien nodig. Dit plan moet gedetailleerd beschrijven hoe de oorspronkelijke configuratie kan worden hersteld, welke stappen moeten worden genomen om gebruikers te informeren over eventuele wijzigingen, en hoe eventuele problemen kunnen worden opgelost zonder de algehele beveiligingspostuur van de organisatie in gevaar te brengen.

Implementatie

Gebruik PowerShell-script auth-schemes-configured.ps1 (functie Invoke-Remediation) – Script voor configuratie van ondersteunde authenticatieschema's.

De implementatie van deze beveiligingsmaatregel kan op verschillende manieren worden uitgevoerd, afhankelijk van de beschikbare beheerinfrastructuur binnen de organisatie en de specifieke behoeften van de organisatie. De meest efficiënte en aanbevolen methode is via Microsoft Intune, het moderne apparaatbeheerplatform van Microsoft dat speciaal is ontworpen voor cloud-gebaseerde beheeromgevingen. Binnen Intune navigeert de beheerder naar het Edge-beleid en configureert de instelling voor ondersteunde authenticatieschema's op de waarde 'basic,digest,ntlm,negotiate', wat overeenkomt met de registerwaarde die de browser beperkt tot het gebruik van alleen deze vier goedgekeurde authenticatiemethoden. Deze configuratie kan worden toegepast op specifieke groepen gebruikers of apparaten, waardoor organisaties flexibiliteit hebben in de implementatie en kunnen kiezen voor een gefaseerde aanpak waarbij eerst kritieke systemen worden geconfigureerd voordat de implementatie wordt uitgerold naar de rest van de organisatie. De implementatie via Intune biedt verschillende voordelen die het beheerproces aanzienlijk vereenvoudigen en de kans op configuratiefouten minimaliseren. Deze voordelen omvatten de mogelijkheid om de configuratie centraal te beheren vanuit een enkele beheerconsole, automatische toepassing op nieuwe apparaten die later worden toegevoegd aan de organisatie, en de mogelijkheid om nalevingsstatus te monitoren via de Intune-portal zonder dat aanvullende monitoringtools nodig zijn. Bovendien biedt Intune de mogelijkheid om automatische remediatie in te stellen, waardoor systemen die niet compliant zijn automatisch worden hersteld zonder handmatige interventie, wat de nalevingsstatus aanzienlijk verbetert en de werklast voor IT-beheerders vermindert. Voor organisaties die nog werken met traditionele Active Directory omgevingen zonder cloud-gebaseerde beheeroplossingen, kan de implementatie worden uitgevoerd via Groepsbeleidsobjecten, wat een bewezen en betrouwbare methode is voor het beheren van configuraties in on-premises omgevingen. In dit geval wordt een nieuw Groepsbeleidsobject aangemaakt of een bestaand Groepsbeleidsobject aangepast, waarbij de registerwaarde voor ondersteunde authenticatieschema's wordt ingesteld op de juiste waarde via het registerpad HKLM:\SOFTWARE\Policies\Microsoft\Edge. De registerwaarde SupportedAuthenticationSchemes wordt ingesteld op 'basic,digest,ntlm,negotiate' als een stringwaarde, waarbij de verschillende authenticatieschema's worden gescheiden door komma's. Dit Groepsbeleidsobject wordt vervolgens gekoppeld aan de relevante organisatie-eenheden binnen Active Directory, waardoor de configuratie automatisch wordt toegepast op alle computers die lid zijn van deze organisatie-eenheden. Het is belangrijk om ervoor te zorgen dat het Groepsbeleidsobject correct wordt toegepast en dat de configuratie niet wordt overschreven door andere Groepsbeleidsobjecten of lokale instellingen die mogelijk conflicteren met de gewenste configuratie. Voor organisaties die een hybride omgeving hebben met zowel cloud-gebaseerde als on-premises componenten, kunnen beide methoden naast elkaar worden gebruikt, waarbij Intune wordt gebruikt voor moderne apparaten die zijn geregistreerd in de cloud en Groepsbeleidsobjecten voor traditionele werkstations die nog steeds worden beheerd via Active Directory. Deze hybride aanpak maakt het mogelijk om de voordelen van beide methoden te benutten en zorgt ervoor dat alle apparaten binnen de organisatie de juiste configuratie ontvangen, ongeacht hun beheermethode. Ongeacht de gekozen implementatiemethode, is het belangrijk om eerst een testimplementatie uit te voeren op een beperkte groep gebruikers of apparaten om te verifiëren dat de configuratie correct werkt en geen onbedoelde gevolgen heeft voor de gebruikerservaring of de bedrijfsvoering. Tijdens deze testperiode moeten beheerders de impact op gebruikers monitoren en eventuele problemen documenteren, zodat deze kunnen worden opgelost voordat de implementatie wordt uitgerold naar de volledige organisatie. Specifiek moeten beheerders controleren of webapplicaties die afhankelijk zijn van authenticatie nog steeds correct functioneren met de beperkte set authenticatieschema's, omdat sommige applicaties mogelijk specifieke authenticatiemethoden vereisen die niet zijn opgenomen in de goedgekeurde lijst. Na een succesvolle testperiode kan de implementatie worden uitgerold naar de volledige organisatie, waarbij een gefaseerde aanpak wordt aanbevolen om het risico op grootschalige problemen te minimaliseren. Tijdens de implementatie moeten beheerders ook communiceren met gebruikers over deze wijziging, zodat zij begrijpen waarom de authenticatieschema's zijn beperkt en wat de gevolgen zijn voor hun dagelijkse werkzaamheden. Deze communicatie kan worden gedaan via e-mail, intranetberichten of tijdens teamvergaderingen, en moet duidelijk uitleggen wat de achterliggende redenen zijn voor deze maatregel en hoe deze bijdraagt aan de algehele beveiliging van de organisatie. Het is belangrijk dat gebruikers begrijpen dat deze maatregel niet bedoeld is om hun functionaliteit te beperken, maar om ervoor te zorgen dat alleen veilige en goedgekeurde authenticatiemethoden worden gebruikt voor toegang tot organisatieresources. Bij de implementatie via Microsoft Intune begint het proces met het aanmaken van een nieuw apparaatconfiguratieprofiel of het aanpassen van een bestaand profiel dat al wordt gebruikt voor andere Edge-configuraties. Binnen dit profiel selecteert de beheerder de categorie Microsoft Edge en zoekt naar de specifieke beleidsinstelling voor ondersteunde authenticatieschema's, die zich bevindt in de beveiligings- en privacysectie van de Edge-beleidsinstellingen. De beheerder stelt deze in op de waarde 'basic,digest,ntlm,negotiate' en wijst het profiel toe aan de gewenste gebruikersgroepen of apparaatgroepen, waarbij zorgvuldig moet worden overwogen welke groepen deze configuratie moeten ontvangen en of er uitzonderingen nodig zijn voor specifieke gebruikers of afdelingen. Intune zorgt er vervolgens automatisch voor dat deze configuratie wordt toegepast op alle apparaten die lid zijn van de toegewezen groepen, waarbij de configuratie wordt gesynchroniseerd tijdens de volgende synchronisatiecyclus of onmiddellijk indien een geforceerde synchronisatie wordt uitgevoerd. Het voordeel van deze aanpak is dat nieuwe apparaten die later worden toegevoegd aan de organisatie automatisch de juiste configuratie ontvangen zonder aanvullende handmatige interventie, waardoor de nalevingsstatus op peil blijft en de werklast voor IT-beheerders wordt verminderd. Voor organisaties die gebruik maken van Groepsbeleidsobjecten begint het implementatieproces met het openen van de Groepsbeleidsbeheerconsole, die beschikbaar is op elke Windows Server met de Groepsbeleidsbeheerfunctie geïnstalleerd. De beheerder maakt een nieuw Groepsbeleidsobject aan of selecteert een bestaand Groepsbeleidsobject dat geschikt is voor Edge-beleidsinstellingen, waarbij het belangrijk is om een logische naamgeving te gebruiken die duidelijk maakt wat het doel van het Groepsbeleidsobject is. Binnen dit Groepsbeleidsobject navigeert de beheerder naar de registerinstellingen en voegt een nieuwe registerwaarde toe via de optie voor voorkeursinstellingen, waarbij het registerpad HKLM:\SOFTWARE\Policies\Microsoft\Edge wordt gebruikt en de waarde SupportedAuthenticationSchemes wordt ingesteld op 'basic,digest,ntlm,negotiate' als een stringwaarde. Na het configureren van deze instelling wordt het Groepsbeleidsobject gekoppeld aan de relevante organisatie-eenheden binnen Active Directory, waarbij zorgvuldig moet worden overwogen welke organisatie-eenheden deze configuratie moeten ontvangen en of er uitzonderingen nodig zijn. Het is belangrijk om te controleren of er geen conflicterende Groepsbeleidsobjecten zijn die deze instelling kunnen overschrijven, omdat meerdere Groepsbeleidsobjecten kunnen worden toegepast op dezelfde organisatie-eenheid en de volgorde van toepassing belangrijk is. De beheerder moet ook rekening houden met de verwerkingsvolgorde van Groepsbeleidsobjecten en ervoor zorgen dat deze specifieke instelling de juiste prioriteit heeft, zodat deze niet wordt overschreven door andere beleidsregels. Na het toepassen van het Groepsbeleidsobject moeten beheerders wachten op de volgende groepsbeleidsvernieuwing of een geforceerde vernieuwing uitvoeren om ervoor te zorgen dat de configuratie onmiddellijk wordt toegepast, waarbij een geforceerde vernieuwing kan worden uitgevoerd via de opdrachtprompt of PowerShell op de betreffende computers. Voor beide implementatiemethoden is het cruciaal om na de implementatie te verifiëren dat de configuratie daadwerkelijk is toegepast, omdat configuratiefouten kunnen optreden of de configuratie mogelijk niet correct wordt gesynchroniseerd met alle systemen. Dit kan worden gedaan door handmatig de registerwaarde te controleren op een representatief aantal systemen of door gebruik te maken van monitoringtools die automatisch de nalevingsstatus controleren en rapporteren over systemen die niet compliant zijn. Beheerders moeten ook een proces opzetten voor het documenteren van de implementatie, inclusief welke systemen zijn geconfigureerd, wanneer de implementatie heeft plaatsgevonden, en wie verantwoordelijk was voor de implementatie, zodat deze informatie beschikbaar is voor toekomstige referentie en audittoeleinden. Deze documentatie is belangrijk voor audittoeleinden en voor toekomstige referentie, en moet worden bijgewerkt wanneer wijzigingen worden aangebracht aan de configuratie of wanneer nieuwe systemen worden toegevoegd aan de organisatie.

Monitoring

Gebruik PowerShell-script auth-schemes-configured.ps1 (functie Invoke-Monitoring) – Script voor monitoring van ondersteunde authenticatieschema's.

Effectieve monitoring van deze beveiligingsmaatregel is essentieel om te verzekeren dat de configuratie daadwerkelijk wordt gehandhaafd op alle relevante systemen en om eventuele afwijkingen tijdig te detecteren. Monitoring moet worden uitgevoerd op regelmatige basis, bij voorkeur wekelijks of maandelijks, afhankelijk van de grootte van de organisatie en de gevoeligheid van de omgeving. Voor organisaties die werken met zeer gevoelige informatie of binnen een streng gereguleerde omgeving, kan dagelijkse monitoring noodzakelijk zijn. Het monitoringproces omvat het verifiëren van de registerwaarde voor ondersteunde authenticatieschema's op alle werkstations om te controleren of deze correct is ingesteld op de goedgekeurde waarde 'basic,digest,ntlm,negotiate'. Dit kan worden geautomatiseerd via PowerShell-scripts die de registerwaarde uitlezen op alle systemen binnen de organisatie. Het monitoringscript controleert of de waarde bestaat, of deze correct is ingesteld, en of er geen onbevoegde wijzigingen zijn aangebracht. Systemen waar de waarde ontbreekt, een andere waarde heeft, of is gewijzigd zonder autorisatie, worden geïdentificeerd als niet-compliant en moeten worden hersteld. Het is belangrijk dat deze scripts regelmatig worden uitgevoerd en dat de resultaten worden opgeslagen voor audittoeleinden. Voor organisaties die Microsoft Intune gebruiken, kan de nalevingsstatus worden gemonitord via de Intune-portal, waar een overzicht wordt getoond van alle apparaten en hun nalevingsstatus ten aanzien van de geconfigureerde beleidsregels. Apparaten die niet compliant zijn, worden automatisch geïdentificeerd en kunnen worden hersteld via de remediatiefunctionaliteit van Intune. De Intune-portal biedt ook gedetailleerde rapportages over nalevingstrends, waardoor organisaties kunnen identificeren of er systematische problemen zijn die moeten worden aangepakt. Daarnaast moeten organisaties een proces hebben voor het documenteren en rapporteren van de nalevingsstatus aan relevante stakeholders, zoals de CISO, security officer of IT-manager. Deze rapportages moeten informatie bevatten over het percentage compliant systemen, eventuele afwijkingen en de genomen acties om deze afwijkingen te herstellen. Deze rapportages moeten regelmatig worden bijgewerkt en beschikbaar zijn voor interne en externe audits. Voor organisaties die werken binnen een gereguleerde omgeving, zoals de Nederlandse overheid, kan deze monitoring ook worden gebruikt als auditbewijs om aan te tonen dat de organisatie actief werkt aan het beschermen van beveiliging en het voorkomen van het gebruik van onveilige authenticatiemethoden. Het is belangrijk dat alle monitoringactiviteiten worden gedocumenteerd, inclusief de datum en tijd van de monitoring, de resultaten en eventuele genomen acties. Deze documentatie moet worden bewaard voor de vereiste bewaartermijn, zoals gespecificeerd in de auditvereisten van de organisatie. Bovendien moeten organisaties overwegen om automatische waarschuwingen in te stellen voor wanneer systemen niet-compliant worden, zodat beheerders onmiddellijk kunnen reageren op afwijkingen. Het ontwikkelen van een effectief monitoringproces begint met het definiëren van de monitoringfrequentie en de drempelwaarden voor afwijkingen. Voor kleine organisaties met minder dan honderd werkstations kan wekelijkse monitoring voldoende zijn, terwijl grote organisaties met duizenden systemen mogelijk dagelijkse of zelfs realtime monitoring nodig hebben. De monitoringfrequentie moet ook rekening houden met de gevoeligheid van de omgeving en de risico's die gepaard gaan met niet-compliant systemen. Organisaties die werken met zeer gevoelige informatie, zoals persoonsgegevens of bedrijfsgeheimen, moeten een hogere monitoringfrequentie overwegen om ervoor te zorgen dat eventuele afwijkingen snel worden gedetecteerd en aangepakt. Het monitoringproces zelf kan worden geautomatiseerd met behulp van verschillende tools en technieken. PowerShell-scripts zijn een populaire keuze omdat ze kunnen worden geïntegreerd met bestaande beheerinfrastructuur en kunnen worden uitgevoerd via geplande taken of via remote execution tools. Deze scripts moeten niet alleen de registerwaarde controleren, maar ook informatie verzamelen over het systeem, zoals de computernaam, de gebruikersnaam, de datum en tijd van de controle, en de huidige waarde van de registerinstelling. Deze informatie is belangrijk voor het identificeren van patronen en trends in niet-compliant systemen. Voor organisaties die Microsoft Intune gebruiken, biedt de Intune-portal uitgebreide monitoringmogelijkheden die verder gaan dan alleen het controleren van de nalevingsstatus. De portal biedt gedetailleerde informatie over wanneer apparaten voor het laatst zijn gecontroleerd, wanneer de configuratie voor het laatst is toegepast, en of er problemen zijn met de configuratie-implementatie. Deze informatie kan worden gebruikt om problemen te identificeren met de configuratie-implementatie zelf, niet alleen met de nalevingsstatus. Bovendien biedt Intune de mogelijkheid om compliancerapporten te genereren die kunnen worden gebruikt voor audittoeleinden. Deze rapporten bevatten gedetailleerde informatie over de nalevingsstatus van alle apparaten, inclusief historische trends en patronen. Voor organisaties die gebruik maken van Groepsbeleidsobjecten, kan monitoring worden uitgevoerd met behulp van tools zoals Groepsbeleidsresultaten of door het uitvoeren van PowerShell-scripts die de registerwaarde controleren op alle systemen binnen het domein. Deze scripts kunnen worden uitgevoerd via geplande taken op een centrale server of via remote execution tools zoals PowerShell Remoting. Het is belangrijk dat deze scripts regelmatig worden uitgevoerd en dat de resultaten worden opgeslagen in een centrale locatie voor analyse en rapportage. Ongeacht de gebruikte monitoringmethode, is het essentieel dat organisaties een proces hebben voor het analyseren van monitoringresultaten en het identificeren van trends en patronen. Dit proces moet regelmatig worden uitgevoerd om te identificeren of er systematische problemen zijn die moeten worden aangepakt, zoals gebruikers die regelmatig de configuratie wijzigen of systemen die niet correct worden geconfigureerd tijdens de initiële implementatie. Deze analyse moet ook worden gebruikt om de effectiviteit van de monitoring zelf te evalueren en om verbeteringen aan te brengen waar nodig.

Remediatie

Gebruik PowerShell-script auth-schemes-configured.ps1 (functie Invoke-Remediation) – Script voor remediatie van ondersteunde authenticatieschema's.

Wanneer monitoring aangeeft dat een systeem niet compliant is met deze beveiligingsmaatregel, moet onmiddellijk remediatie worden uitgevoerd om de configuratie te herstellen en de beveiliging te waarborgen. Het remediatieproces begint met het identificeren van de oorzaak van de afwijking. Mogelijke oorzaken kunnen zijn dat de beleidsregel niet correct is toegepast tijdens de initiële implementatie, dat een gebruiker met lokale beheerdersrechten de instelling handmatig heeft gewijzigd, of dat een software-update of herinstallatie de configuratie heeft overschreven. Andere mogelijke oorzaken kunnen zijn dat het Groepsbeleidsobject niet correct is toegepast, dat er een conflict is met andere beleidsregels, of dat er een probleem is met de synchronisatie tussen Intune en het apparaat. Zodra de oorzaak is geïdentificeerd, kan de remediatie worden uitgevoerd. Voor systemen die worden beheerd via Microsoft Intune, kan de remediatie automatisch worden uitgevoerd via de remediatiefunctionaliteit van Intune, waarbij het systeem automatisch wordt geconfigureerd om de juiste registerwaarde in te stellen. Deze automatische remediatie kan worden geconfigureerd om onmiddellijk te worden uitgevoerd wanneer een niet-compliant apparaat wordt gedetecteerd, of op een geplande basis. Voor systemen die worden beheerd via Groepsbeleidsobjecten, kan de remediatie worden uitgevoerd door het Groepsbeleidsobject opnieuw toe te passen op het betreffende systeem, of door handmatig de registerwaarde in te stellen via een PowerShell-script. Het remediatiescript dat beschikbaar is voor deze maatregel kan worden gebruikt om de configuratie automatisch te herstellen op systemen die niet compliant zijn. Dit script kan worden uitgevoerd via een geplande taak of via een remote execution tool. Na de remediatie moet opnieuw worden geverifieerd dat de configuratie correct is toegepast en dat het systeem nu compliant is. Deze verificatie moet worden uitgevoerd binnen een redelijke tijdsperiode na de remediatie, bij voorkeur binnen 24 uur. Voor systemen waar de afwijking regelmatig terugkeert, moet een dieper onderzoek worden uitgevoerd om de onderliggende oorzaak te identificeren en aan te pakken. Dit kan bijvoorbeeld betekenen dat aanvullende beveiligingsmaatregelen nodig zijn om te voorkomen dat gebruikers met lokale beheerdersrechten de configuratie kunnen wijzigen, of dat er een proces moet worden geïmplementeerd om ervoor te zorgen dat software-updates de configuratie niet overschrijven. In sommige gevallen kan het nodig zijn om gebruikers te trainen over het belang van deze maatregel en waarom zij de configuratie niet moeten wijzigen. Het is belangrijk dat alle remediatieacties worden gedocumenteerd, inclusief de datum, tijd, oorzaak van de afwijking, uitgevoerde acties en het resultaat van de verificatie. Deze documentatie kan worden gebruikt voor audittoeleinden en om trends te identificeren die kunnen wijzen op systematische problemen die moeten worden aangepakt. Bovendien moeten organisaties overwegen om een escalatieproces in te stellen voor wanneer remediatie niet succesvol is of wanneer afwijkingen regelmatig terugkeren, zodat senior beheerders of security officers kunnen worden betrokken bij het oplossen van complexere problemen. Het remediatieproces zelf moet worden gestructureerd om ervoor te zorgen dat alle stappen correct worden uitgevoerd en dat er geen belangrijke stappen worden overgeslagen. Het proces begint met het identificeren van het niet-compliant systeem en het verzamelen van informatie over de huidige configuratie. Deze informatie moet worden gedocumenteerd voordat de remediatie wordt uitgevoerd, zodat er een baseline is voor vergelijking na de remediatie. Vervolgens moet de oorzaak van de afwijking worden geïdentificeerd door het analyseren van de beschikbare informatie, zoals monitoringslogs, systeemlogs, of informatie van gebruikers. Zodra de oorzaak is geïdentificeerd, kan de juiste remediatiemethode worden gekozen. Voor systemen die worden beheerd via Microsoft Intune, is de automatische remediatiefunctionaliteit vaak de meest efficiënte methode. Deze functionaliteit kan worden geconfigureerd om automatisch te worden uitgevoerd wanneer een niet-compliant apparaat wordt gedetecteerd, of om te worden uitgevoerd op een geplande basis. De automatische remediatie zorgt ervoor dat de configuratie wordt hersteld zonder handmatige interventie, wat tijd bespaart en de kans op menselijke fouten vermindert. Voor systemen die worden beheerd via Groepsbeleidsobjecten, kan de remediatie worden uitgevoerd door het Groepsbeleidsobject opnieuw toe te passen op het betreffende systeem. Dit kan worden gedaan door een geforceerde groepsbeleidsvernieuwing uit te voeren of door het systeem opnieuw op te starten. Als het Groepsbeleidsobject niet correct wordt toegepast, kan het nodig zijn om de Groepsbeleidsobjectconfiguratie te controleren en eventuele problemen op te lossen. In sommige gevallen kan het nodig zijn om handmatig de registerwaarde in te stellen via een PowerShell-script. Dit script kan worden uitgevoerd lokaal op het systeem of via een remote execution tool. Het is belangrijk dat dit script correct wordt uitgevoerd en dat de configuratie wordt geverifieerd na de uitvoering. Na de remediatie moet de configuratie worden geverifieerd om te controleren of de remediatie succesvol is geweest. Deze verificatie moet worden uitgevoerd binnen een redelijke tijdsperiode na de remediatie, bij voorkeur binnen 24 uur. De verificatie moet dezelfde methoden gebruiken als de reguliere monitoring, zoals het controleren van de registerwaarde of het gebruik van monitoringtools. Als de verificatie aangeeft dat het systeem nog steeds niet compliant is, moet het remediatieproces opnieuw worden uitgevoerd met aanvullende stappen om de onderliggende oorzaak aan te pakken. Voor systemen waar de afwijking regelmatig terugkeert, moet een dieper onderzoek worden uitgevoerd om de onderliggende oorzaak te identificeren en aan te pakken. Dit kan betekenen dat aanvullende beveiligingsmaatregelen nodig zijn, zoals het beperken van lokale beheerdersrechten of het implementeren van aanvullende monitoring. In sommige gevallen kan het nodig zijn om gebruikers te trainen over het belang van deze maatregel en waarom zij de configuratie niet moeten wijzigen. Alle remediatieacties moeten worden gedocumenteerd, inclusief de datum, tijd, oorzaak van de afwijking, uitgevoerde acties en het resultaat van de verificatie. Deze documentatie is belangrijk voor audittoeleinden en voor het identificeren van trends die kunnen wijzen op systematische problemen. Bovendien moeten organisaties een escalatieproces hebben voor wanneer remediatie niet succesvol is of wanneer afwijkingen regelmatig terugkeren, zodat senior beheerders of security officers kunnen worden betrokken bij het oplossen van complexere problemen.

Compliance en Toetsing

Compliance en auditing vormen cruciale aspecten van het beheer van de configuratie van ondersteunde authenticatieschema's binnen Nederlandse overheidsorganisaties. Het configureren van deze instelling moet worden gedocumenteerd en geauditeerd om te voldoen aan de eisen van verschillende compliance frameworks en regelgevende kaders die van toepassing zijn op de publieke sector. Nederlandse overheidsorganisaties moeten voldoen aan een breed scala aan wettelijke en regulatoire vereisten, waaronder de Algemene Verordening Gegevensbescherming (AVG), de Baseline Informatiebeveiliging Overheid (BIO), de ISO 27001 standaard voor informatiebeveiligingsmanagement, en specifieke sectorale richtlijnen die van toepassing zijn op overheidsinstellingen. Deze compliance-vereisten stellen strenge eisen aan de manier waarop organisaties hun beveiligingsmaatregelen documenteren, implementeren, monitoren en auditoren, waardoor een grondige en systematische aanpak van compliance en auditing essentieel is voor het waarborgen van naleving van deze kaders. Beleidsdocumentatie vormt de basis van een effectief compliance- en audittraject, omdat het de juridische, technische en organisatorische fundamenten vastlegt waarop de beveiligingsmaatregel is gebaseerd. Organisaties moeten een uitgebreid beleidsdocument ontwikkelen dat duidelijk uiteenzet waarom het configureren van ondersteunde authenticatieschema's noodzakelijk is, hoe deze maatregel bijdraagt aan de algehele beveiligingsdoelstellingen van de organisatie, en welke specifieke risico's worden gemitigeerd door deze configuratie. Het beleidsdocument moet tevens duidelijk maken wie verantwoordelijk is voor de implementatie en handhaving van deze maatregel, welke processen worden gevolgd om ervoor te zorgen dat de configuratie blijft bestaan, en welke stappen worden ondernomen wanneer de configuratie onverhoopt wordt gewijzigd of ongeldig gemaakt. Deze documentatie moet worden goedgekeurd door de relevante managementlagen binnen de organisatie, inclusief de Chief Information Security Officer (CISO) of de functionaris gegevensbescherming, om te waarborgen dat de maatregel is afgestemd op de strategische beveiligingsdoelstellingen van de organisatie en dat voldoende middelen zijn toegewezen voor de implementatie en handhaving ervan. Naast het beleidsdocument is technische documentatie onmisbaar voor een volledig compliance- en audittraject, omdat het de specifieke configuratie-instellingen vastlegt die zijn toegepast om de ondersteunde authenticatieschema's te configureren. Deze technische documentatie moet gedetailleerde informatie bevatten over de gebruikte beheerinfrastructuur, de specifieke beleidsinstellingen die zijn geconfigureerd, de apparaten en gebruikers waarvoor de configuratie van toepassing is, en de wijze waarop de configuratie wordt toegepast en gesynchroniseerd met de beheerde systemen. Voor organisaties die Microsoft Intune gebruiken, moet de documentatie duidelijk maken welke specifieke apparaatconfiguratiebeleidsregel is geconfigureerd, welke waarden zijn ingesteld voor de relevante Edge-beleidsinstellingen, en hoe deze configuratie is gekoppeld aan de betreffende gebruikers- of apparaatgroepen. Voor organisaties die werken met Active Directory Groepsbeleidsobjecten, moet de documentatie de specifieke registerwaarden en registerpaden bevatten die zijn geconfigureerd, evenals de Groepsbeleidsobjecten die zijn gebruikt om deze configuratie toe te passen. Deze technische documentatie is essentieel voor auditors die de configuratie willen verifiëren en voor IT-medewerkers die de configuratie moeten onderhouden of bijwerken in de toekomst. Het documenteren van de configuratie-instellingen maakt het ook mogelijk om wijzigingen te traceren en te begrijpen wanneer en waarom configuraties zijn aangepast, wat waardevol is voor zowel compliance-doeleinden als voor troubleshooting en probleemoplossing wanneer onverwachte gedragingen optreden. Monitoring- en verificatieprocedures vormen een integraal onderdeel van het compliance- en audittraject, omdat zij ervoor zorgen dat de configuratie daadwerkelijk wordt toegepast en gehandhaafd blijft zoals bedoeld. Organisaties moeten een gestructureerd monitoringproces ontwikkelen dat regelmatig verifieert of de ondersteunde authenticatieschema's daadwerkelijk correct zijn geconfigureerd op alle relevante systemen, en dit proces moet worden gedocumenteerd als onderdeel van de compliance-documentatie. Het monitoringproces moet duidelijk maken welke tools worden gebruikt om de configuratie te verifiëren, hoe vaak deze verificatie wordt uitgevoerd, wie verantwoordelijk is voor het uitvoeren van deze verificaties, en welke acties worden ondernomen wanneer wordt geconstateerd dat de configuratie niet correct is toegepast of ongeldig is gemaakt. Deze monitoringprocedures moeten worden uitgevoerd op een regelmatige basis, bijvoorbeeld maandelijks of driemaandelijks, afhankelijk van de risicoclassificatie van de organisatie en de compliance-vereisten waaraan moet worden voldaan. Voor organisaties met strenge compliance-vereisten, zoals die werken met zeer gevoelige informatie of die onderworpen zijn aan frequente externe audits, kan een frequenter monitoringproces wenselijk zijn om te waarborgen dat de configuratie altijd correct is toegepast en gehandhaafd blijft. Auditing vormt een kritisch onderdeel van het compliance-traject, omdat het een onafhankelijke verificatie biedt van de effectiviteit van de beveiligingsmaatregel en de naleving van de relevante compliance-frameworks. Nederlandse overheidsorganisaties moeten regelmatig worden geauditeerd door zowel interne auditafdelingen als externe auditors, en deze audits moeten de configuratie van de ondersteunde authenticatieschema's omvatten om te verifiëren dat de maatregel correct is geïmplementeerd en gehandhaafd. Tijdens audits moeten organisaties kunnen aantonen dat de configuratie daadwerkelijk is toegepast op alle relevante systemen, dat er adequate monitoring- en verificatieprocedures zijn ontwikkeld en uitgevoerd, en dat er passende maatregelen zijn genomen wanneer de configuratie niet correct is toegepast. De auditing-documentatie moet daarom duidelijk maken welke verificaties zijn uitgevoerd, welke resultaten zijn behaald, welke afwijkingen zijn geconstateerd, en welke corrigerende maatregelen zijn genomen om deze afwijkingen te verhelpen. Deze auditevidence moet worden bewaard voor een periode die overeenkomt met de compliance-vereisten waaraan de organisatie moet voldoen, wat meestal betekent dat de documentatie minstens één jaar moet worden bewaard, maar mogelijk langer voor organisaties met specifieke sectorgeregelde vereisten. Voor organisaties die voldoen aan de ISO 27001 standaard, moet de auditevidence aantonen dat de beveiligingsmaatregel bijdraagt aan de verwezenlijking van de specifieke beveiligingsdoelstellingen en controles die zijn vastgelegd in het informatiebeveiligingsmanagement systeem (ISMS) van de organisatie. Dit betekent dat de configuratie van ondersteunde authenticatieschema's moet worden gekoppeld aan specifieke ISO 27001 controles, zoals controle A.12.6.1 voor technisch kwetsbaarheidsbeheer, en dat de organisatie moet kunnen aantonen hoe deze configuratie bijdraagt aan het verwezenlijken van deze controles. Voor organisaties die voldoen aan de BIO, moet de auditevidence aantonen dat de beveiligingsmaatregel bijdraagt aan de verwezenlijking van specifieke BIO-maatregelen, zoals maatregel 13.01.01 voor technische beveiligingsmaatregelen, en dat de organisatie voldoet aan de specifieke vereisten die worden gesteld aan de implementatie en handhaving van deze maatregelen. Compliance-rapportage vormt een belangrijk onderdeel van het compliance-traject, omdat het de resultaten van monitoring en auditing communiceert naar de relevante stakeholders binnen de organisatie. Organisaties moeten regelmatig compliance-rapporten ontwikkelen die samenvatten of de configuratie van ondersteunde authenticatieschema's correct is geïmplementeerd en gehandhaafd, welke afwijkingen zijn geconstateerd, welke corrigerende maatregelen zijn genomen, en of er verbeteringen nodig zijn in de implementatie of handhaving van de maatregel. Deze rapporten moeten worden gepresenteerd aan het management, de compliance-afdeling, en andere relevante stakeholders binnen de organisatie, zodat deze partijen op de hoogte zijn van de status van de beveiligingsmaatregel en kunnen bijdragen aan de continue verbetering van de beveiligingspostuur van de organisatie. Het ontwikkelen en onderhouden van een robuust compliance- en audittraject voor de configuratie van ondersteunde authenticatieschema's vereist continue aandacht en investeringen, maar het biedt aanzienlijke voordelen in termen van risicovermindering, regelgevingsnaleving, en vertrouwen van stakeholders. Door een grondige en systematische aanpak te volgen voor beleidsdocumentatie, technische documentatie, monitoring, auditing en rapportage, kunnen organisaties waarborgen dat hun beveiligingsmaatregel effectief is geïmplementeerd en gehandhaafd, en dat zij voldoen aan alle relevante compliance-vereisten waaraan zij onderworpen zijn.

Compliance & Frameworks

• CIS M365: Control Beveiligingscontroles (L1) - Beveiligingshardening
• BIO: 13.01.01 - Technische beveiligingsmaatregelen
• ISO 27001:2022: A.12.6.1 - Technisch kwetsbaarheidsbeheer

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

Risico zonder implementatie

Management Samenvatting

Configureer ondersteunde authenticatieschema's in Microsoft Edge om alleen veilige authenticatiemethoden (basic, digest, NTLM, negotiate) toe te staan. Implementatie: 30 minuten via Microsoft Intune of Groepsbeleidsobjecten.

• Implementatietijd: 2 uur
• FTE required: 0.01 FTE