Basic Authenticatie Uitgeschakeld In Edge

Basic Authentication vormt een fundamenteel beveiligingsrisico in moderne IT-omgevingen omdat deze methode gebruikersnaam en wachtwoord verzendt als een base64-gecodeerde string in de HTTP Authorization header. Het is cruciaal om te begrijpen dat base64 geen encryptie is, maar slechts een vorm van encoding die bedoeld is voor data-overdracht, niet voor beveiliging. Deze encoding kan triviaal worden gedecodeerd door iedereen die toegang heeft tot de netwerkpakketten, wat betekent dat inloggegevens in feite in leesbare tekst worden verzonden. Wanneer Basic Authentication over HTTP wordt gebruikt in plaats van HTTPS, kunnen aanvallers via Man-in-the-Middle aanvallen eenvoudig inloggegevens onderscheppen en decoderen zonder enige technische expertise. Zelfs wanneer Basic Auth over HTTPS wordt gebruikt, blijft deze methode problematisch omdat inloggegevens bij elk verzoek worden meegestuurd, wat het aanvalsoppervlak aanzienlijk vergroot en de kans op credential diefstal verhoogt. Moderne authenticatiemethoden zoals OAuth 2.0, OpenID Connect, of Windows Integrated Authentication die gebruik maken van NTLM of Kerberos-protocollen, zijn aanzienlijk veiliger omdat zij tokens gebruiken in plaats van directe credential-transmissie, waardoor het risico op onderschepping drastisch wordt verminderd.

Implementatie

Deze beveiligingsmaatregel zorgt ervoor dat het BasicAuthOverHttpEnabled-beleid is uitgeschakeld via het Windows-register, waarbij de register-waarde HKLM:\SOFTWARE\beleidsregels\Microsoft\Edge\BasicAuthOverHttpEnabled expliciet wordt ingesteld op 0 (DWORD). Deze configuratie zorgt ervoor dat Basic Authentication over HTTP volledig wordt geblokkeerd door Microsoft Edge, waardoor gebruikers worden gedwongen om veiligere authenticatiemethoden te gebruiken die voldoen aan moderne beveiligingsstandaarden en compliance-vereisten.

Vereisten

Voordat organisaties Basic Authentication over HTTP uitschakelen in Microsoft Edge, moeten zij een grondige voorbereiding uitvoeren om te voorkomen dat kritieke bedrijfsprocessen worden verstoord. De implementatie van deze beveiligingsmaatregel vereist niet alleen technische voorbereiding, maar ook een strategische aanpak die rekening houdt met het volledige applicatielandschap van de organisatie. De primaire technische vereiste is de aanwezigheid van de Microsoft Edge browser op alle werkstations en servers binnen de organisatie. Dit lijkt vanzelfsprekend, maar in omgevingen waar nog oudere browsers zoals Internet Explorer of verouderde versies van Edge worden gebruikt, moet eerst een migratieplan worden uitgevoerd. Daarnaast is het essentieel dat alle systemen draaien op Windows 10, Windows 11, of Windows Server 2016 of hoger, omdat oudere besturingssystemen mogelijk niet de benodigde register-ondersteuning bieden voor deze beveiligingsmaatregel. Beheerdersrechten vormen een kritieke vereiste voor de implementatie, ongeacht of de organisatie kiest voor Group Policy Objects (GPO) of Microsoft Intune als beheerplatform. Voor GPO-implementaties moeten beheerders toegang hebben tot de Group Policy Management Console en de mogelijkheid om beleidsregels te koppelen aan de juiste organisatorische eenheden. Bij Intune-implementaties zijn Global Administrator of Intune Administrator rollen vereist, evenals de juiste licentieconfiguratie voor alle betrokken gebruikers en apparaten. Een van de meest cruciale vereisten is het uitvoeren van een uitgebreide inventarisatie van alle applicaties die mogelijk Basic Authentication gebruiken. Deze inventarisatie moet verder gaan dan alleen het identificeren van applicaties die expliciet Basic Auth vereisen. Organisaties moeten ook onderzoeken welke applicaties mogelijk Basic Auth als terugvalmechanisme gebruiken wanneer moderne authenticatiemethoden falen. Dit vereist vaak samenwerking met applicatie-eigenaren, netwerkbeheerders en beveiligingsteams om een volledig beeld te krijgen van de authenticatie-afhankelijkheden. Het ontwikkelen van een migratieplan voor applicaties die nog Basic Authentication vereisen, is essentieel om bedrijfscontinuïteit te waarborgen. Dit plan moet niet alleen technische migratiepaden beschrijven, maar ook tijdlijnen, resource-toewijzing, teststrategieën en terugdraaiprocedures bevatten. Voor elke applicatie die Basic Auth gebruikt, moet worden bepaald of migratie naar moderne authenticatie mogelijk is, welke alternatieve authenticatiemethoden geschikt zijn, en wat de geschatte kosten en tijdsinvestering zijn. Applicaties die niet kunnen worden gemigreerd, vereisen een uitzonderingsbeleid met duidelijke zakelijke rechtvaardiging en tijdelijke risicobeperkende maatregelen. Daarnaast moeten organisaties rekening houden met de impact op gebruikerservaring en communicatie. Gebruikers moeten worden geïnformeerd over de wijzigingen, vooral als zij applicaties gebruiken die Basic Auth vereisen. Applicatiebeheerders moeten worden betrokken bij het planningsproces om te zorgen dat migraties soepel verlopen en dat gebruikers adequate training en ondersteuning ontvangen tijdens de transitieperiode.

Implementatie

De implementatie van Basic Authentication uitschakeling in Microsoft Edge kan worden uitgevoerd via verschillende methoden, elk met specifieke voordelen en overwegingen. De keuze tussen automatische script-gebaseerde implementatie en handmatige configuratie via beheerplatforms hangt af van de organisatorische behoeften, de schaal van de omgeving en de beschikbare expertise binnen het IT-team. Voor organisaties die automatisering en consistentie prioriteren, biedt het PowerShell script basic-auth-disabled.ps1 een robuuste oplossing voor zowel implementatie als monitoring. Het script voert de Invoke-Remediation functie uit, die automatisch de benodigde register-wijzigingen aanbrengt op alle doelapparaten. Deze aanpak is bijzonder geschikt voor grote omgevingen met honderden of duizenden werkstations, omdat het handmatige configuratiefouten elimineert en een gestandaardiseerde implementatie garandeert. Het script kan worden geïntegreerd in bestaande implementatie-tools zoals Microsoft Endpoint Configuration Manager (SCCM), Group Policy startup scripts, of Intune Proactive Remediations, waardoor het naadloos past in moderne IT-beheerprocessen. Voor organisaties die de voorkeur geven aan een visuele, gecentraliseerde aanpak via Microsoft Intune, biedt de handmatige implementatie via het Intune admin center meer controle en zichtbaarheid tijdens het implementatieproces. De implementatie begint met navigatie naar het Microsoft Intune admin center, waar beheerders toegang hebben tot de volledige suite van apparaatbeheer-tools. Vanuit de hoofdnavigatie selecteren beheerders Devices, gevolgd door Configuration profiles, waar nieuwe beleidsprofielen kunnen worden aangemaakt en beheerd. Bij het aanmaken van een nieuw profiel selecteren beheerders Windows 10 en later als platform, wat ervoor zorgt dat het beleid compatibel is met alle moderne Windows-versies. Het profieltype moet worden ingesteld op Templates, gevolgd door Administrative Templates, wat toegang geeft tot de uitgebreide bibliotheek van Microsoft Edge-beleidsregels. Binnen deze bibliotheek navigeren beheerders naar de Microsoft Edge-sectie, waar het BasicAuthOverHttpEnabled-beleid zich bevindt. Dit beleid moet expliciet worden ingesteld op Disabled, wat overeenkomt met de register-waarde 0 (DWORD). Deze configuratie zorgt ervoor dat Edge Basic Authentication over HTTP volledig blokkeert, waardoor gebruikers worden gedwongen om veiligere authenticatiemethoden te gebruiken. Voordat het beleid wordt toegewezen aan alle gebruikersgroepen, is uitgebreide testen essentieel om te voorkomen dat kritieke bedrijfsprocessen worden verstoord. Organisaties moeten een testgroep samenstellen die representatief is voor de volledige gebruikerspopulatie, inclusief gebruikers met verschillende rollen, applicaties en netwerklocaties. Tijdens de testfase moeten beheerders nauwlettend monitoren op authenticatiefouten, gebruikersklachten en applicatieproblemen. Verouderde applicaties die Basic Auth vereisen, moeten worden geïdentificeerd en geëvalueerd op hun vermogen om te functioneren zonder Basic Authentication. Als applicaties niet kunnen functioneren, moeten migratiepaden worden ontwikkeld of uitzonderingen worden geconfigureerd voordat de brede uitrol plaatsvindt. Na succesvolle testen wordt het profiel toegewezen aan alle relevante gebruikersgroepen via de Assignment-sectie van het Intune-profiel. Organisaties kunnen kiezen voor een gefaseerde uitrol, waarbij het beleid eerst wordt toegewezen aan een beperkte groep gebruikers, gevolgd door geleidelijke uitbreiding naar de volledige organisatie. Deze aanpak minimaliseert risico's en stelt beheerders in staat om eventuele problemen snel te identificeren en op te lossen voordat ze wijdverspreid worden. Tijdens de implementatie moeten organisaties verschillende belangrijke overwegingen in acht nemen. Het identificeren van verouderde applicaties die Basic Auth vereisen, is een continu proces dat niet eindigt bij de initiële inventarisatie. Beheerders moeten regelmatig applicatie-inventarissen bijwerken en nieuwe applicaties evalueren op hun authenticatievereisten. Voor applicaties die Basic Auth vereisen, moeten organisaties een migratieplan ontwikkelen naar moderne authenticatiemethoden zoals OAuth 2.0, Security Assertion Markup Language (SAML), of OpenID Connect (OIDC). Deze moderne methoden bieden niet alleen betere beveiliging, maar ook verbeterde gebruikerservaring, eenmalige aanmelding mogelijkheden en betere integratie met identiteitsproviders zoals Azure Active Directory. In gevallen waar migratie naar moderne authenticatie niet onmiddellijk mogelijk is, kunnen organisaties uitzonderingen configureren voor specifieke intranet-sites via het AllowBasicAuthInHttp-beleid. Dit beleid moet echter met uiterste voorzichtigheid worden gebruikt, omdat het de beveiligingsvoordelen van het uitschakelen van Basic Auth gedeeltelijk teniet doet. Elke uitzondering moet worden gedocumenteerd met een duidelijke zakelijke rechtvaardiging, een tijdlijn voor migratie naar moderne authenticatie, en regelmatige herbeoordeling om te bepalen of de uitzondering nog steeds noodzakelijk is. Communicatie naar gebruikers en applicatiebeheerders is cruciaal voor een succesvolle implementatie. Gebruikers moeten worden geïnformeerd over de wijzigingen, de redenen achter de wijzigingen, en wat zij kunnen verwachten tijdens de transitieperiode. Applicatiebeheerders moeten worden betrokken bij het planningsproces en moeten worden voorzien van adequate documentatie en ondersteuning om hun applicaties succesvol te migreren naar moderne authenticatiemethoden. Regelmatige statusupdates en feedbackmechanismen helpen om problemen vroegtijdig te identificeren en op te lossen, waardoor de algehele implementatie soepeler verloopt.

Gebruik PowerShell-script basic-auth-disabled.ps1 (functie Invoke-Remediation) – PowerShell script voor automatische uitschakeling van Basic Auth.

Monitoring

Effectieve monitoring van Basic Authentication uitschakeling in Microsoft Edge vereist een veelzijdige aanpak die verder gaat dan alleen het verifiëren van register-instellingen. Organisaties moeten een uitgebreid monitoringprogramma implementeren dat niet alleen de technische configuratie bewaakt, maar ook de impact op gebruikers, applicaties en beveiligingspostuur evalueert. Het PowerShell monitoring script basic-auth-disabled.ps1 biedt geautomatiseerde verificatie van de Basic Auth configuratie via de Invoke-Monitoring functie. Dit script controleert systematisch of Basic Authentication correct is uitgeschakeld op alle doelapparaten, wat essentieel is voor compliance-verificatie en beveiligingsaudit. Het script kan worden geconfigureerd om regelmatig te draaien, bijvoorbeeld dagelijks of wekelijks, en genereert rapporten die beheerders inzicht geven in de compliance-status van de organisatie. De primaire register-waarde die moet worden gemonitord bevindt zich in het pad HKLM:\SOFTWARE\beleidsregels\Microsoft\Edge, waar de waarde BasicAuthOverHttpEnabled moet zijn ingesteld op 0 (DWORD) om Basic Authentication over HTTP te blokkeren. Deze register-waarde kan worden gecontroleerd via verschillende methoden, waaronder PowerShell scripts, Group Policy reporting tools, of Intune compliance policies. Organisaties moeten ervoor zorgen dat deze waarde consistent is geconfigureerd op alle werkstations en servers, omdat zelfs een enkele niet-conforme machine een beveiligingsrisico kan vormen. Naast het monitoren van de register-configuratie, moeten organisaties authenticatiefouten analyseren die kunnen wijzen op Basic Auth-afhankelijkheid. Wanneer Basic Authentication wordt uitgeschakeld, kunnen applicaties die nog steeds Basic Auth proberen te gebruiken, authenticatiefouten genereren. Deze fouten kunnen worden gedetecteerd via verschillende bronnen, waaronder Windows Event Logs, applicatielogs, en netwerkmonitoring tools. Beheerders moeten regelmatig deze logs analyseren om applicaties te identificeren die mogelijk nog steeds Basic Auth proberen te gebruiken, wat kan wijzen op onvolledige migratie of configuratiefouten in applicaties. Microsoft Edge genereert specifieke logbestanden die informatie bevatten over geblokkeerde Basic Auth pogingen. Deze logs kunnen worden geanalyseerd om inzicht te krijgen in welke websites of applicaties nog steeds proberen Basic Authentication te gebruiken. De Edge-logbestanden bevinden zich typisch in de gebruikersprofielmap onder AppData\Local\Microsoft\Edge\User Data, en bevatten gedetailleerde informatie over authenticatiepogingen, geblokkeerde requests, en gebruikersinteracties. Organisaties kunnen deze logs verzamelen en analyseren via gecentraliseerde logbeheer-tools zoals Azure Sentinel, Splunk, of andere Security Information and Event Management (SIEM) oplossingen. Het volgen van migratie-voortgang van verouderde applicaties is een kritiek onderdeel van het monitoringprogramma. Organisaties moeten een gecentraliseerd register bijhouden van alle applicaties die Basic Auth vereisen, inclusief hun migratiestatus, geplande migratiedata, en eventuele blokkades of uitdagingen. Dit register moet regelmatig worden bijgewerkt en gedeeld met relevante belanghebbenden, waaronder applicatie-eigenaren, beveiligingsteams, en leidinggevenden. Het register helpt organisaties om prioriteiten te stellen, resources toe te wijzen, en ervoor te zorgen dat migraties volgens planning verlopen. Geavanceerde monitoringoplossingen kunnen ook netwerkverkeer analyseren om Basic Auth pogingen te detecteren, zelfs wanneer deze worden geblokkeerd door Edge. Netwerkmonitoring tools kunnen HTTP-requests identificeren die Basic Authentication headers bevatten, wat aanvullende inzichten biedt in applicatiegedrag en authenticatiepatronen. Deze informatie kan worden gebruikt om applicaties te identificeren die mogelijk niet correct zijn geconfigureerd voor moderne authenticatie, of om te verifiëren dat Basic Auth daadwerkelijk is uitgeschakeld en niet wordt gebruikt. Compliance monitoring is een ander belangrijk aspect van het monitoringprogramma. Organisaties moeten regelmatig compliance-rapporten genereren die aantonen dat Basic Authentication correct is uitgeschakeld op alle apparaten. Deze rapporten zijn essentieel voor audits, zowel intern als extern, en helpen organisaties om te voldoen aan verschillende compliance-frameworks zoals CIS Benchmarks, ISO 27001, en BIO-normen. De rapporten moeten gedetailleerde informatie bevatten over de configuratiestatus van alle apparaten, eventuele uitzonderingen, en de rechtvaardiging voor deze uitzonderingen. Gebruikerservaring monitoring is eveneens belangrijk, omdat het uitschakelen van Basic Auth kan leiden tot problemen voor gebruikers die applicaties gebruiken die nog niet zijn gemigreerd. Organisaties moeten gebruikersfeedback verzamelen via helpdesk tickets, gebruikersenquêtes, en directe communicatie met gebruikersgroepen. Deze feedback kan worden gebruikt om problemen vroegtijdig te identificeren, gebruikers te ondersteunen tijdens de transitieperiode, en om te verifiëren dat migraties succesvol zijn uitgevoerd zonder significante impact op productiviteit.

Gebruik PowerShell-script basic-auth-disabled.ps1 (functie Invoke-Monitoring) – Controleert of Basic Auth correct is uitgeschakeld.

Remediatie

Wanneer monitoring tools of compliance checks niet-conforme systemen detecteren waar Basic Authentication nog steeds is ingeschakeld, of wanneer gebruikers authenticatieproblemen melden na de implementatie, moeten organisaties een gestructureerd remediatieproces volgen om deze problemen snel en effectief op te lossen. Voor systemen waar de Basic Auth configuratie niet correct is ingesteld, biedt het PowerShell remediatie script basic-auth-disabled.ps1 een geautomatiseerde oplossing via de Invoke-Remediation functie. Dit script kan worden uitgevoerd op niet-conforme systemen om automatisch de benodigde register-wijzigingen aan te brengen en Basic Authentication uit te schakelen. Het script is bijzonder effectief wanneer het wordt geïntegreerd in geautomatiseerde remediatie-workflows, zoals Intune Proactive Remediations of Configuration Manager compliance baselines, waardoor niet-conforme systemen automatisch worden hersteld zonder handmatige interventie. Het remediatieproces begint met de identificatie van de oorzaak van de niet-conformiteit. In sommige gevallen kan de register-waarde onbedoeld zijn gewijzigd door gebruikers, software-installaties, of andere beheerprocessen. In andere gevallen kan de configuratie nooit correct zijn toegepast, bijvoorbeeld door Group Policy processing problemen of Intune synchronisatiefouten. Beheerders moeten de onderliggende oorzaak identificeren voordat remediatie wordt uitgevoerd, om te voorkomen dat het probleem zich herhaalt. Voor verouderde applicaties die authenticatieproblemen ervaren na het uitschakelen van Basic Auth, moet de remediatie zich richten op het implementeren van moderne authenticatiemethoden. Dit proces vereist samenwerking tussen verschillende teams, waaronder applicatie-eigenaren, ontwikkelaars, en identiteitsbeheer-teams. De eerste stap is het evalueren van de applicatie om te bepalen welke moderne authenticatiemethoden compatibel zijn. Veel applicaties ondersteunen al OAuth 2.0, SAML, of OpenID Connect, maar deze functionaliteit moet mogelijk worden geconfigureerd of geactiveerd. Wanneer applicaties niet onmiddellijk kunnen worden gemigreerd naar moderne authenticatie, kunnen organisaties tijdelijke uitzonderingen configureren voor specifieke intranet-sites via het AllowBasicAuthInHttp-beleid. Deze uitzonderingen moeten echter met uiterste voorzichtigheid worden gebruikt en moeten worden beperkt tot intranet-sites waar geen internetverbinding mogelijk is, waardoor het risico op Man-in-the-Middle aanvallen wordt geminimaliseerd. Elke uitzondering moet worden gedocumenteerd met een duidelijke zakelijke rechtvaardiging die uitlegt waarom migratie naar moderne authenticatie niet onmiddellijk mogelijk is, welke alternatieve beveiligingsmaatregelen zijn geïmplementeerd om het risico te beperken, en een concrete tijdlijn voor volledige migratie. Documentatie van uitzonderingen is essentieel voor compliance en auditing doeleinden. Organisaties moeten een gecentraliseerd register bijhouden van alle uitzonderingen, inclusief de specifieke sites of applicaties die zijn uitgezonderd, de redenen voor de uitzondering, de geplande migratiedatum, en de verantwoordelijke persoon of team. Dit register moet regelmatig worden herzien om te bepalen of uitzonderingen nog steeds noodzakelijk zijn, en om ervoor te zorgen dat migratieplannen worden uitgevoerd volgens planning. Uitzonderingen die langer dan een bepaalde periode actief blijven, moeten worden geëscaleerd naar leidinggevenden voor herbeoordeling. Voor verouderde applicaties die Basic Auth vereisen en niet kunnen worden gemigreerd naar moderne authenticatie, moeten organisaties een uitfaseringplan ontwikkelen. Dit plan moet een tijdlijn bevatten voor het uitfaseren van de applicatie, alternatieve oplossingen voor de functionaliteit die de applicatie biedt, en een migratieplan voor gebruikers en data. Uitfasering kan verschillende vormen aannemen, waaronder volledige vervanging door moderne alternatieven, migratie naar cloud-gebaseerde versies die moderne authenticatie ondersteunen, of isolatie van de applicatie in een beveiligde omgeving met aanvullende beveiligingscontroles. Het remediatieproces moet ook rekening houden met gebruikerservaring en communicatie. Wanneer authenticatieproblemen optreden, moeten gebruikers snel worden geïnformeerd over de oorzaak van het probleem en de verwachte oplossingstijd. Helpdesk teams moeten worden getraind om Basic Auth gerelateerde problemen te herkennen en gebruikers te begeleiden naar alternatieve authenticatiemethoden of tijdelijke oplossingen. Regelmatige statusupdates en duidelijke communicatie helpen om gebruikersfrustratie te minimaliseren en vertrouwen te behouden in het IT-team. Na remediatie moeten organisaties verificatie uitvoeren om te bevestigen dat het probleem is opgelost en dat de configuratie correct is toegepast. Dit omvat het opnieuw uitvoeren van compliance checks, het monitoren van authenticatielogs voor verdere problemen, en het verzamelen van gebruikersfeedback om te verifiëren dat de oplossing effectief is. Het remediatieproces moet worden gedocumenteerd voor toekomstige referentie en om te helpen bij het identificeren van patronen of terugkerende problemen die kunnen wijzen op onderliggende configuratie- of procesproblemen.

Gebruik PowerShell-script basic-auth-disabled.ps1 (functie Invoke-Remediation) – Automatische remediatie voor Basic Auth configuratie.

Compliance en Auditing

Het uitschakelen van Basic Authentication over HTTP in Microsoft Edge is een kritieke beveiligingsmaatregel die direct bijdraagt aan naleving van meerdere belangrijke cybersecurity frameworks en normen. Organisaties in de Nederlandse publieke sector moeten voldoen aan verschillende compliance-vereisten, en deze beveiligingsmaatregel helpt bij het realiseren van deze doelen. De CIS Microsoft Edge Benchmark versie 2.8 specificeert expliciet dat Basic Authentication over HTTP moet worden uitgeschakeld als onderdeel van een uitgebreide browserbeveiligingsstrategie. De Center for Internet Security (CIS) ontwikkelt deze benchmarks op basis van beste praktijken van beveiligingsexperts wereldwijd, en naleving van deze benchmarks wordt algemeen erkend als een indicator van sterke cybersecurity-hygiëne. Organisaties die de CIS benchmarks volgen, demonstreren hun toewijding aan beproefde beveiligingspraktijken en kunnen deze naleving gebruiken als bewijs van zorgvuldigheid bij beveiligingsaudits en risico-assessments. Binnen het Nederlandse Baseline Informatiebeveiliging Overheid (BIO) framework, dat de standaard vormt voor informatiebeveiliging in de Nederlandse publieke sector, adresseert beveiligingsmaatregel 09.04.02 de noodzaak voor veilige authenticatiemechanismen. Basic Authentication over HTTP voldoet niet aan de vereisten voor veilige authenticatie zoals gespecificeerd in deze beveiligingsmaatregel, omdat het inloggegevens in een eenvoudig te decoderen formaat verzendt en kwetsbaar is voor Man-in-the-Middle aanvallen. Door Basic Auth uit te schakelen en te migreren naar moderne authenticatiemethoden, voldoen organisaties aan de BIO-vereisten voor veilige authenticatie en demonstreren zij hun toewijding aan het beschermen van gevoelige overheidsinformatie. De ISO 27001 standaard, die de internationale norm vormt voor informatiebeveiligingsmanagementsystemen, bevat meerdere beveiligingsmaatregelen die relevant zijn voor Basic Authentication uitschakeling. Beveiligingsmaatregel A.9.4.2 richt zich op veilige log-on procedures, waarbij organisaties moeten zorgen dat authenticatiemechanismen voldoende sterk zijn om ongeautoriseerde toegang te voorkomen. Basic Authentication over HTTP voldoet niet aan deze vereisten vanwege de inherente zwakheden in het authenticatiemechanisme. Beveiligingsmaatregel A.9.4.3 betreft wachtwoordbeheersystemen en vereist dat organisaties ervoor zorgen dat wachtwoorden op veilige wijze worden verzonden en opgeslagen. Basic Auth verzendt wachtwoorden in een base64-gecodeerd formaat dat triviaal kan worden gedecodeerd, wat niet voldoet aan de ISO 27001 vereisten voor veilige wachtwoordtransmissie. De Network and Information Systems Directive 2 (NIS2), die van toepassing is op essentiële en belangrijke entiteiten in de Europese Unie, bevat in Artikel 21 specifieke vereisten voor authenticatie- en toegangsbeheer. Deze vereisten stellen dat organisaties passende maatregelen moeten nemen om ervoor te zorgen dat alleen geautoriseerde gebruikers toegang hebben tot systemen en data. Basic Authentication over HTTP vormt een significant beveiligingsrisico dat kan leiden tot ongeautoriseerde toegang, en het uitschakelen van deze authenticatiemethode is daarom essentieel voor NIS2-naleving. Nederlandse organisaties die onder de NIS2-richtlijn vallen, moeten kunnen aantonen dat zij moderne, veilige authenticatiemechanismen gebruiken, en het uitschakelen van Basic Auth is een concrete stap in deze richting. De OWASP Top 10 lijst, die de meest kritieke webapplicatiebeveiligingsrisico's identificeert, bevat in de 2021 versie categorie A07:2021 die zich richt op Identificatie- en Authenticatiefouten. Deze categorie omvat problemen zoals zwakke authenticatiemechanismen, onveilige transmissie van inloggegevens, en onvoldoende bescherming tegen brute force aanvallen. Basic Authentication over HTTP valt direct onder deze categorie, omdat het inloggegevens onveilig verzendt en kwetsbaar is voor verschillende aanvallen. Door Basic Auth uit te schakelen en te migreren naar moderne authenticatiemethoden zoals OAuth 2.0 of OpenID Connect, adresseren organisaties deze OWASP-risico's en verbeteren zij de algehele beveiligingspostuur van hun webapplicaties. Voor auditing doeleinden moeten organisaties kunnen aantonen dat Basic Authentication correct is uitgeschakeld op alle relevante systemen. Dit vereist uitgebreide documentatie, inclusief screenshots van Intune-beleidsconfiguraties, exports van register-instellingen, compliance-rapporten van monitoring scripts, en gedocumenteerde uitzonderingen met zakelijke rechtvaardigingen. Auditors zullen deze documentatie gebruiken om te verifiëren dat de organisatie voldoet aan de verschillende compliance-vereisten en dat er adequate controles zijn geïmplementeerd om Basic Auth te voorkomen. Organisaties moeten ervoor zorgen dat deze documentatie bijgewerkt blijft en regelmatig wordt herzien om te reflecteren op wijzigingen in de omgeving of nieuwe compliance-vereisten. Naast formele compliance-vereisten, draagt het uitschakelen van Basic Authentication ook bij aan het voldoen aan algemene cybersecurity beste praktijken en het verminderen van het algehele aanvalsoppervlak van de organisatie. Door moderne authenticatiemethoden te gebruiken, verbeteren organisaties niet alleen hun beveiligingspostuur, maar ook hun vermogen om te voldoen aan toekomstige compliance-vereisten en aan veranderende bedreigingslandschappen. Deze proactieve aanpak helpt organisaties om voorbereid te zijn op nieuwe regelgeving en beveiligingsstandaarden die in de toekomst kunnen worden geïntroduceerd.

Compliance & Frameworks

• CIS M365: Control 2.8 (L1) - Basic Authentication over HTTP moet zijn uitgeschakeld
• BIO: 09.04.02 - Gebruik van veilige authenticatiemechanismen
• ISO 27001:2022: A.9.4.2, A.9.4.3 - Veilige log-on procedures en wachtwoordbeheersysteem
• NIS2: Artikel - Authenticatie- en autorisatiemechanismen

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

Risico zonder implementatie

Management Samenvatting

Schakel Basic Authentication over HTTP uit om credential diefstal te voorkomen. Migreer naar moderne authenticatie zoals OAuth 2.0 of Windows Integrated Authentication. Implementatie: 2-6 uur, afhankelijk van legacy applicaties. CIS benchmark 2.8.

• Implementatietijd: 6 uur
• FTE required: 0.05 FTE