💼 Management Samenvatting
Deze beveiligingsmaatregel configureert de instelling voor cross-origin basisauthenticatie in Microsoft Edge, waardoor een belangrijke aanvalsvector wordt uitgeschakeld die kan leiden tot diefstal van inloggegevens en ongeautoriseerde toegang tot gevoelige systemen. Cross-origin basisauthenticatie stelt organisaties bloot aan serieuze beveiligingsrisico's waarbij kwaadwillende actoren gebruik kunnen maken van bekende kwetsbaarheden in webauthenticatiemechanismen om ongeautoriseerde toegang te verkrijgen tot bedrijfskritieke systemen en gevoelige informatie. Deze kwetsbaarheid vormt een fundamenteel beveiligingsprobleem in moderne webbrowsers dat directe gevolgen heeft voor de beveiligingspostuur van organisaties die afhankelijk zijn van webgebaseerde applicaties en diensten.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
7/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Edge
Cross-origin basisauthenticatie vormt een significant beveiligingsrisico omdat het authenticatiegegevens kan blootstellen aan kwaadwillende websites via cross-site request forgery aanvallen. Deze kwetsbaarheid ontstaat wanneer een webbrowser authenticatiegegevens automatisch verzendt naar websites die zich in een andere domein bevinden dan de originele website waarop de gebruiker is ingelogd. Aanvallers kunnen hier misbruik van maken door gebruikers te verleiden om kwaadwillende websites te bezoeken die vervolgens automatisch authenticatieverzoeken kunnen uitvoeren naar interne systemen zonder dat de gebruiker dit doorheeft. Door deze functionaliteit uit te schakelen, voorkomt u dat aanvallers gebruik kunnen maken van deze bekende kwetsbaarheid om gebruikersreferenties te stelen of ongeautoriseerde toegang te verkrijgen tot interne systemen en applicaties. Deze maatregel vormt een essentieel onderdeel van een verdediging in diepte strategie die meerdere beveiligingslagen combineert om organisaties te beschermen tegen moderne cyberdreigingen.
PowerShell Modules Vereist
Primary API: Graph
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
Deze beveiligingsmaatregel configureert het Microsoft Edge-beleid via Microsoft Intune apparaatconfiguratiebeleidsregels om cross-origin basisauthenticatie volledig uit te schakelen. Dit beleid zorgt ervoor dat Edge geen basisauthenticatie-verzoeken meer accepteert wanneer deze afkomstig zijn van een andere oorsprong dan de huidige website, waardoor de beveiligingspostuur van de organisatie aanzienlijk wordt verbeterd. De implementatie vindt plaats via een centraal beheerd apparaatconfiguratieprofiel in Microsoft Endpoint Manager, waardoor het mogelijk is om deze belangrijke beveiligingsinstelling consistent toe te passen op alle apparaten binnen de organisatie zonder handmatige configuratie per apparaat. Deze geautomatiseerde aanpak zorgt niet alleen voor consistentie in de beveiligingsconfiguratie, maar vermindert ook de kans op menselijke fouten en vereenvoudigt het beheer van Edge-beveiligingsinstellingen op schaal.
Vereisten
Voor de implementatie van deze beveiligingsmaatregel zijn specifieke technische en organisatorische vereisten noodzakelijk die zorgvuldig moeten worden voorbereid om een succesvolle implementatie te garanderen. Allereerst dient de organisatie te beschikken over Microsoft Intune, het geïntegreerde eindpuntbeheerplatform van Microsoft dat centraal beheer van apparaten en applicaties mogelijk maakt. Binnen Intune moet toegang zijn tot de apparaatconfiguratiebeleidsregels, specifiek voor Microsoft Edge-beleidsinstellingen. Dit vereist dat de beheerder beschikt over de juiste Intune-rollen, zoals Intune-beheerder of globale beheerder, om beleidsregels te kunnen maken, wijzigen en toewijzen aan gebruikersgroepen of apparaatgroepen. Deze rollen zijn essentieel omdat zij de benodigde rechten verlenen om wijzigingen door te voeren in de beveiligingsconfiguratie van organisatiebrede systemen. Zonder de juiste rechten kan de implementatie niet worden uitgevoerd, wat betekent dat de organisatie eerst moet zorgen voor de juiste roltoewijzingen voordat met de implementatie kan worden begonnen. Het is belangrijk om te beseffen dat deze roltoewijzingen niet alleen technisch van aard zijn, maar ook organisatorische implicaties hebben. Beheerders met deze rollen hebben toegang tot gevoelige configuratie-instellingen die de beveiligingspostuur van de gehele organisatie kunnen beïnvloeden. Daarom moet er een duidelijk proces zijn voor het toewijzen en beheren van deze rollen, inclusief regelmatige controle van wie toegang heeft tot welke functies. Naast de technische vereisten is het belangrijk dat de organisatie een duidelijk beeld heeft van de applicaties en systemen die momenteel gebruik maken van basisauthenticatie. Sommige verouderde applicaties of externe systemen kunnen afhankelijk zijn van cross-origin basisauthenticatie voor hun werking. Voordat dit beleid wordt geïmplementeerd, dient een uitgebreide inventarisatie te worden uitgevoerd van alle systemen die mogelijk worden beïnvloed. Deze inventarisatie moet niet alleen de technische systemen omvatten, maar ook de bedrijfsprocessen die afhankelijk zijn van deze systemen. Dit voorkomt dat kritieke bedrijfsprocessen worden verstoord na de implementatie. De inventarisatie moet worden gedocumenteerd en gedeeld met alle relevante stakeholders, zodat iedereen op de hoogte is van de potentiële impact. Bovendien moet er een plan worden opgesteld voor het omgaan met systemen die mogelijk niet meer functioneren na het uitschakelen van cross-origin basisauthenticatie, inclusief alternatieve authenticatiemethoden of migratiepaden naar modernere systemen. Deze voorbereiding is cruciaal omdat het voorkomt dat bedrijfskritieke processen worden verstoord en zorgt ervoor dat er een duidelijk pad is voor het oplossen van eventuele problemen die kunnen ontstaan. Organisatorisch gezien is het essentieel dat de IT-afdeling en beveiligingsfunctionarissen op de hoogte zijn van de impact van deze wijziging. Communicatie naar eindgebruikers is aanbevolen, vooral wanneer er applicaties zijn die mogelijk niet meer functioneren na het uitschakelen van cross-origin basisauthenticatie. Daarnaast moet er een terugdraaiprocedure beschikbaar zijn voor het geval dat onvoorziene problemen optreden na de implementatie. Deze organisatorische voorbereiding is cruciaal voor het succes van de implementatie, omdat het ervoor zorgt dat alle betrokken partijen begrijpen wat er gebeurt en wat de verwachte impact is. Goede communicatie voorkomt verrassingen en zorgt ervoor dat gebruikers weten wat ze kunnen verwachten, wat de acceptatie van de wijziging bevordert en het aantal servicedesk meldingen vermindert. De communicatie moet tijdig plaatsvinden, bij voorkeur minimaal twee weken voor de implementatie, zodat gebruikers en afdelingen de gelegenheid hebben om zich voor te bereiden en eventuele vragen te stellen. Het is ook belangrijk om een duidelijk communicatiekanaal in te richten waar gebruikers vragen kunnen stellen en problemen kunnen melden tijdens en na de implementatie. Vanuit compliance-perspectief sluit deze maatregel aan bij verschillende beveiligingsstandaarden, waaronder de BIO (Baseline Informatiebeveiliging Overheid) norm 13.01.01 voor technische beveiligingsmaatregelen, ISO 27001 controle A.12.6.1 voor technisch kwetsbaarheidsbeheer, en CIS Security Controls Level 1 voor beveiligingsverharding. De implementatie van deze maatregel draagt bij aan de naleving van deze standaarden en versterkt de algehele beveiligingspostuur van de organisatie. Deze compliance-vereisten zijn niet alleen belangrijk voor het voldoen aan regelgeving, maar vormen ook de basis voor een robuuste beveiligingsarchitectuur die bescherming biedt tegen moderne cyberdreigingen. Organisaties die deze standaarden volgen, demonstreren hun toewijding aan informatiebeveiliging en creëren een solide fundament voor verdere beveiligingsinitiatieven. Voor Nederlandse overheidsorganisaties is de BIO-norm bijzonder relevant, omdat deze specifiek is ontwikkeld voor de Nederlandse publieke sector en concrete richtlijnen biedt voor het implementeren van beveiligingsmaatregelen. De ISO 27001 standaard biedt een internationaal erkend kader voor informatiebeveiligingsmanagement, wat belangrijk is voor organisaties die internationaal opereren of samenwerken met internationale partners. De CIS Security Controls bieden praktische, implementeerbare beveiligingsmaatregelen die zijn gebaseerd op best practices uit de industrie en die zijn getest in echte omgevingen.
Implementatie
De implementatie van het beleid om cross-origin basisauthenticatie uit te schakelen in Microsoft Edge verloopt via Microsoft Intune en vereist een gestructureerde aanpak om ervoor te zorgen dat de wijziging correct wordt toegepast zonder onbedoelde gevolgen voor de bedrijfsvoering. De implementatie begint met het maken van een nieuw apparaatconfiguratieprofiel binnen Intune, specifiek gericht op Microsoft Edge-beleidsinstellingen. Dit profiel vormt de basis voor de configuratie en moet zorgvuldig worden opgezet om ervoor te zorgen dat alle benodigde instellingen correct worden toegepast. Het is belangrijk om tijdens het opzetten van het profiel aandacht te besteden aan de naamgeving en beschrijving, zodat andere beheerders later kunnen begrijpen wat het doel van het profiel is en wanneer het is geïmplementeerd. In de Microsoft Endpoint Manager beheercentrum navigeert u naar Apparaten, vervolgens naar Configuratieprofielen, en selecteert u Profiel maken. Kies als platform Windows 10 en later of Windows 11, en selecteer als profieltype Sjablonen, gevolgd door Beheersjablonen. Dit type profiel maakt het mogelijk om gedetailleerde Edge-beleidsinstellingen te configureren die normaal gesproken via Groepsbeleid worden beheerd. De beheersjablonen bieden een uitgebreide set met configuratie-opties die nauw aansluiten bij de traditionele Groepsbeleid-objecten, wat betekent dat organisaties die eerder Groepsbeleid hebben gebruikt, vertrouwd zullen zijn met de beschikbare instellingen. Deze vertrouwdheid maakt de overgang naar cloudgebaseerd beheer eenvoudiger en vermindert de leercurve voor beheerders. Binnen het Beheersjabloon profiel zoekt u naar de Microsoft Edge-beleidsinstellingen en specifiek naar de instelling voor cross-origin basisauthenticatie. Deze instelling bevindt zich onder het pad Microsoft Edge > HTTP-authenticatie. De exacte beleidsinstelling heet "Cross-origin HTTP Basic-authenticatie blokkeren" en moet worden ingesteld op Ingeschakeld om cross-origin basisauthenticatie volledig uit te schakelen. Het is belangrijk om te controleren dat de instelling daadwerkelijk is ingesteld op Ingeschakeld en niet op Niet geconfigureerd of Uitgeschakeld, omdat alleen de status Ingeschakeld de gewenste beveiligingsmaatregel activeert. Na het instellen van deze waarde moet het profiel worden opgeslagen voordat verder wordt gegaan met de toewijzing aan gebruikers of apparaten. Na het configureren van de beleidsinstelling moet het profiel worden toegewezen aan de juiste gebruikersgroepen of apparaatgroepen. Het is aanbevolen om te beginnen met een pilotgroep bestaande uit IT-medewerkers of een kleine groep gebruikers om te testen of alle benodigde applicaties blijven functioneren. Deze pilotgroep moet representatief zijn voor de organisatie en verschillende gebruiksscenario's omvatten om een goed beeld te krijgen van de impact. Na een succesvolle testperiode van minimaal twee weken kan het beleid worden uitgerold naar de volledige organisatie. Tijdens de testperiode moet er regelmatig worden gecontroleerd of er problemen optreden en of gebruikers meldingen doen van problemen met specifieke applicaties of websites. Deze feedback is essentieel om te bepalen of het veilig is om door te gaan met de volledige implementatie of dat er eerst aanpassingen moeten worden gemaakt. Voor de technische implementatie en monitoring kan gebruik worden gemaakt van het PowerShell-script cross-origin-basic-auth-disabled.ps1, dat beschikbaar is in de code repository. Dit script biedt functionaliteit om de configuratie te monitoren en te verifiëren dat het beleid correct is toegepast op alle doelapparaten. Het script maakt gebruik van de Microsoft Graph API via de Microsoft.Graph.DeviceManagement module om de configuratiestatus op te vragen en te rapporteren. Het gebruik van dit script stroomlijnt het implementatieproces aanzienlijk en vermindert de kans op menselijke fouten. Het script kan worden geïntegreerd in bestaande automatisering en monitoring workflows, waardoor het mogelijk is om de implementatie te volgen zonder handmatige tussenkomst. Bovendien biedt het script gedetailleerde rapportage die kan worden gebruikt voor compliance-doeleinden en voor het aantonen van de implementatiestatus aan auditors en management. Tijdens de implementatie is het belangrijk om regelmatig te controleren of er geen onbedoelde gevolgen zijn voor kritieke bedrijfsprocessen. Monitor de servicedesk voor meldingen van gebruikers die problemen ondervinden met specifieke applicaties of websites. Indien nodig kan het beleid tijdelijk worden uitgeschakeld voor specifieke gebruikersgroepen terwijl er wordt gewerkt aan alternatieve authenticatiemethoden voor de betrokken applicaties. Deze flexibele aanpak zorgt ervoor dat de beveiligingsmaatregel kan worden geïmplementeerd zonder de bedrijfsvoering te verstoren, terwijl er tegelijkertijd wordt gewerkt aan het oplossen van eventuele problemen. Het is belangrijk om een duidelijk proces te hebben voor het omgaan met dergelijke uitzonderingen, inclusief documentatie van de reden voor de uitzondering en een plan voor het uiteindelijk toepassen van het beleid op deze groepen zodra alternatieve oplossingen beschikbaar zijn.
Gebruik PowerShell-script cross-origin-basic-auth-disabled.ps1 (functie Invoke-Monitoring) – Het PowerShell-script biedt geautomatiseerde monitoring en verificatie van de beleidsimplementatie, waardoor beheerders snel kunnen vaststellen of het beleid correct is toegepast op alle doelapparaten binnen de organisatie..
Monitoring
Effectieve monitoring van de cross-origin basisauthenticatie configuratie is essentieel om te garanderen dat het beveiligingsbeleid consistent wordt toegepast op alle apparaten binnen de organisatie en om tijdig te kunnen reageren op eventuele afwijkingen of problemen. Monitoring moet zowel technisch als organisatorisch worden ingericht om een volledig beeld te krijgen van de compliance status en de impact op de bedrijfsvoering. Een goed ingericht monitoringproces vormt de basis voor effectief beveiligingsbeheer en stelt organisaties in staat om proactief te reageren op problemen voordat deze kunnen leiden tot beveiligingsincidenten of verstoringen van de bedrijfsvoering. Zonder adequate monitoring is het onmogelijk om te weten of de beveiligingsmaatregel daadwerkelijk werkt zoals bedoeld en of alle apparaten correct zijn geconfigureerd. Technische monitoring begint met het regelmatig controleren van de Intune-configuratiestatus via de Microsoft Endpoint Manager beheercentrum. Hier kunt u zien hoeveel apparaten het beleid hebben ontvangen, hoeveel apparaten de configuratie succesvol hebben toegepast, en of er apparaten zijn die de configuratie niet kunnen ontvangen of toepassen. Apparaten die niet compliant zijn, moeten worden onderzocht om te bepalen wat de oorzaak is van het probleem. Mogelijke oorzaken kunnen zijn: verouderde Edge-versies, conflicterende beleidsregels, of apparaten die niet correct zijn geregistreerd in Intune. Het is belangrijk om deze monitoring regelmatig uit te voeren, bij voorkeur wekelijks of maandelijks, afhankelijk van de grootte van de organisatie en de frequentie van wijzigingen in de omgeving. Door regelmatig te monitoren, kunnen problemen snel worden geïdentificeerd en opgelost voordat ze kunnen leiden tot beveiligingsrisico's of verstoringen. Het PowerShell-script cross-origin-basic-auth-disabled.ps1 biedt geautomatiseerde monitoring functionaliteit die kan worden geïntegreerd in bestaande monitoring- en rapportageprocessen. Het script maakt gebruik van de Microsoft Graph API om de configuratiestatus op te vragen voor alle apparaten binnen de organisatie en genereert rapporten die inzicht geven in de compliance-percentages en eventuele afwijkingen. Het is aanbevolen om dit script wekelijks of maandelijks uit te voeren als onderdeel van de reguliere beveiligingscompliance controles. Deze geautomatiseerde aanpak vermindert niet alleen de handmatige werklast voor IT-beheerders, maar zorgt ook voor consistente en objectieve rapportage over de beveiligingsstatus. De gegenereerde rapporten kunnen worden gebruikt voor management rapportage, audit-doeleinden, en voor het identificeren van trends in compliance over tijd. Het script kan ook worden geconfigureerd om automatisch waarschuwingen te genereren wanneer het compliance-percentage onder een bepaalde drempelwaarde daalt, waardoor beheerders onmiddellijk worden geïnformeerd over potentiële problemen. Naast technische monitoring is het belangrijk om organisatorische monitoring in te richten. Dit houdt in dat de servicedesk wordt geïnstrueerd om meldingen van gebruikers die problemen ondervinden met authenticatie te registreren en te categoriseren. Door deze meldingen te analyseren, kan worden vastgesteld of er applicaties zijn die onverwacht afhankelijk zijn van cross-origin basisauthenticatie en die mogelijk moeten worden aangepast of vervangen. Deze organisatorische monitoring is complementair aan de technische monitoring en biedt inzicht in de praktische impact van de beveiligingsmaatregel op de dagelijkse werkzaamheden van gebruikers. Het is belangrijk om deze meldingen systematisch te verzamelen en te analyseren, zodat patronen kunnen worden geïdentificeerd en structurele oplossingen kunnen worden ontwikkeld voor terugkerende problemen. Bovendien kan deze informatie worden gebruikt om de communicatie naar gebruikers te verbeteren en om training te ontwikkelen voor gebruikers die problemen ondervinden met specifieke applicaties. Compliance monitoring moet worden geïntegreerd in de reguliere audit- en rapportageprocessen van de organisatie. De status van deze beveiligingsmaatregel dient te worden opgenomen in periodieke beveiligingsrapporten die worden gepresenteerd aan het management en de beveiligingsfunctionarissen. Dit helpt om de voortgang van beveiligingsverhardingsinitiatieven te volgen en om te demonstreren dat de organisatie proactief werkt aan het verbeteren van de beveiligingspostuur. Deze rapportage is niet alleen belangrijk voor interne sturing, maar ook voor het aantonen van compliance aan externe auditors en toezichthouders. Door regelmatig te rapporteren over de status van beveiligingsmaatregelen, kan de organisatie aantonen dat zij serieus omgaat met informatiebeveiliging en dat er een continue focus is op het verbeteren van de beveiligingspositie. De rapporten moeten niet alleen cijfers bevatten, maar ook context en uitleg over wat de cijfers betekenen en welke acties worden ondernomen om eventuele problemen op te lossen. Dit maakt de rapporten waardevoller voor management en auditors en helpt bij het nemen van weloverwogen beslissingen over beveiligingsinitiatieven. Voor continue monitoring kan gebruik worden gemaakt van Microsoft Defender for Endpoint of andere beveiligingsinformatie- en gebeurtenisbeheersystemen (SIEM) die kunnen detecteren wanneer apparaten afwijken van het geconfigureerde beleid. Deze tools kunnen automatische waarschuwingen genereren wanneer een apparaat niet compliant is, waardoor beheerders snel kunnen reageren op potentiële beveiligingsrisico's. De integratie van deze monitoring tools in de algehele beveiligingsarchitectuur zorgt voor een proactieve benadering van beveiligingsbeheer, waarbij afwijkingen worden gedetecteerd voordat ze kunnen leiden tot daadwerkelijke beveiligingsincidenten. Deze continue monitoring vormt een essentieel onderdeel van een verdediging in diepte strategie die meerdere lagen van beveiliging combineert om de organisatie te beschermen tegen verschillende soorten bedreigingen. Het gebruik van geavanceerde monitoring tools maakt het mogelijk om niet alleen te detecteren wanneer apparaten niet compliant zijn, maar ook om trends te identificeren en voorspellende analyses uit te voeren die kunnen helpen bij het voorkomen van toekomstige problemen. Deze proactieve aanpak is essentieel in een tijd waarin cyberdreigingen steeds geavanceerder worden en organisaties moeten kunnen reageren op bedreigingen voordat deze schade kunnen aanrichten.
Gebruik PowerShell-script cross-origin-basic-auth-disabled.ps1 (functie Invoke-Monitoring) – Het monitoring script controleert de configuratiestatus van alle apparaten en genereert gedetailleerde rapporten over de compliance status, waardoor beheerders snel kunnen identificeren welke apparaten aandacht vereisen..
Remediatie
Wanneer monitoring aangeeft dat apparaten niet compliant zijn met het beleid om cross-origin basisauthenticatie uit te schakelen, is een gestructureerde remediatieaanpak noodzakelijk om deze apparaten alsnog te configureren volgens het beveiligingsbeleid. Remediatie begint met het identificeren van de oorzaak van de non-compliance, gevolgd door het toepassen van de juiste oplossing. Een goed gestructureerd remediatieproces is essentieel om ervoor te zorgen dat alle apparaten uiteindelijk compliant worden en blijven, wat cruciaal is voor de effectiviteit van de beveiligingsmaatregel. Zonder een duidelijk remediatieproces kunnen non-compliant apparaten een beveiligingsrisico vormen en kan de organisatie niet volledig profiteren van de beveiligingsmaatregel. De meest voorkomende oorzaken van non-compliance zijn apparaten die het beleid niet hebben ontvangen vanwege configuratiefouten in Intune, apparaten met verouderde Edge-versies die bepaalde beleidsinstellingen niet ondersteunen, of conflicterende beleidsregels die de configuratie overschrijven. Elke oorzaak vereist een specifieke aanpak om het probleem op te lossen. Het is belangrijk om systematisch te werk te gaan bij het identificeren van de oorzaak, omdat dit ervoor zorgt dat de juiste oplossing wordt toegepast en dat het probleem niet opnieuw optreedt. Bovendien helpt het documenteren van de oorzaken en oplossingen bij het opbouwen van kennis binnen de organisatie en bij het verbeteren van het remediatieproces voor toekomstige gevallen. Voor apparaten die het beleid niet hebben ontvangen, moet worden gecontroleerd of het apparaat correct is geregistreerd in Intune en of het is toegewezen aan de juiste apparaatgroep die het beleid heeft ontvangen. Indien nodig kan het apparaat handmatig worden toegevoegd aan de juiste groep, of kan het beleid opnieuw worden toegewezen aan het specifieke apparaat. Na toewijzing kan het apparaat worden geforceerd om het beleid op te halen door de gebruiker te vragen om de synchronisatie handmatig te triggeren via de bedrijfsportal app of door het apparaat opnieuw op te starten. Het is belangrijk om te controleren of het apparaat daadwerkelijk verbinding kan maken met Intune en of er geen netwerk- of firewallproblemen zijn die de communicatie blokkeren. In sommige gevallen kan het nodig zijn om het apparaat opnieuw te registreren in Intune om de verbinding te herstellen. Apparaten met verouderde Edge-versies moeten worden bijgewerkt naar een recente versie die ondersteuning biedt voor de vereiste beleidsinstellingen. Microsoft Edge wordt automatisch bijgewerkt via Windows Update, maar in sommige gevallen kan het nodig zijn om handmatig een update te forceren of om de Edge-update policy te controleren om ervoor te zorgen dat automatische updates zijn ingeschakeld. Het is belangrijk om te controleren of de Edge-update policy correct is geconfigureerd en of er geen andere beleidsregels zijn die automatische updates blokkeren. Voor apparaten die niet automatisch kunnen worden bijgewerkt, kan het nodig zijn om handmatig een update uit te voeren of om gebruik te maken van een gecentraliseerd updatebeheersysteem. Bovendien moet worden gecontroleerd of de bijgewerkte Edge-versie daadwerkelijk de vereiste beleidsinstellingen ondersteunt voordat wordt aangenomen dat het probleem is opgelost. Wanneer conflicterende beleidsregels worden gedetecteerd, moet worden onderzocht welke andere beleidsregels mogelijk de cross-origin basisauthenticatie instelling overschrijven. In Intune hebben meer specifieke beleidsregels voorrang boven algemene beleidsregels, en Beheersjablonen hebben voorrang boven andere profieltypen. Het kan nodig zijn om de prioriteit van beleidsregels aan te passen of om conflicterende instellingen te verwijderen uit andere beleidsregels. Het oplossen van beleidsconflicten kan complex zijn, vooral in grote omgevingen met veel verschillende beleidsregels. Het is belangrijk om zorgvuldig te documenteren welke beleidsregels conflicteren en welke wijzigingen zijn gemaakt om het conflict op te lossen. Dit helpt bij het voorkomen van toekomstige conflicten en bij het begrijpen van de impact van wijzigingen op andere beleidsregels. Het PowerShell-script cross-origin-basic-auth-disabled.ps1 biedt geautomatiseerde remediatie functionaliteit die kan worden gebruikt om non-compliant apparaten automatisch te configureren. Het script kan worden uitgevoerd met de Invoke-Remediation functie, die de configuratie controleert en indien nodig automatisch corrigeert. Dit is vooral nuttig voor grote omgevingen waar handmatige remediatie niet haalbaar is. De geautomatiseerde remediatie vermindert niet alleen de werklast voor IT-beheerders, maar zorgt ook voor consistente en snelle oplossingen van compliance-problemen. Het script kan worden geconfigureerd om automatisch te worden uitgevoerd op regelmatige basis, waardoor non-compliant apparaten snel worden geïdentificeerd en gecorrigeerd zonder handmatige tussenkomst. Bovendien biedt het script gedetailleerde logging van alle remediatie-acties, wat belangrijk is voor audit-doeleinden en voor het begrijpen van welke acties zijn ondernomen om compliance te bereiken. Na remediatie moet worden geverifieerd dat het apparaat nu compliant is door de configuratiestatus opnieuw te controleren. Het is aanbevolen om een testperiode in te stellen waarin wordt gemonitord of de remediatie succesvol is geweest en of er geen nieuwe problemen zijn ontstaan. Documentatie van de remediatie-acties is belangrijk voor audit-doeleinden en om te leren van eventuele problemen die zijn opgetreden. Deze documentatie moet minimaal bevatten: de datum en tijd van de remediatie, de geïdentificeerde oorzaak van de non-compliance, de toegepaste oplossing, en het resultaat van de verificatie. Deze informatie kan worden gebruikt om het remediatieproces te verbeteren en om te voorkomen dat vergelijkbare problemen in de toekomst optreden. Bovendien helpt de documentatie bij het aantonen van compliance aan auditors en bij het demonstreren dat de organisatie proactief werkt aan het oplossen van compliance-problemen.
Gebruik PowerShell-script cross-origin-basic-auth-disabled.ps1 (functie Invoke-Remediation) – Het remediatie script kan automatisch non-compliant apparaten configureren volgens het beveiligingsbeleid, waardoor de compliance status van de organisatie wordt verbeterd zonder handmatige interventie..
Compliance en Audit
De implementatie van het beleid om cross-origin basisauthenticatie uit te schakelen draagt bij aan de naleving van verschillende beveiligingsstandaarden en compliance-frameworks die relevant zijn voor Nederlandse overheidsorganisaties en bedrijven die werken met gevoelige informatie. Het is essentieel dat de implementatie en het beheer van dit beleid worden gedocumenteerd en geaudit om te kunnen aantonen dat de organisatie voldoet aan de vereiste beveiligingsnormen. Compliance is niet alleen een kwestie van het voldoen aan regelgeving, maar vormt ook de basis voor een robuuste beveiligingsarchitectuur die bescherming biedt tegen moderne cyberdreigingen. Door proactief te werken aan compliance, demonstreren organisaties hun toewijding aan informatiebeveiliging en creëren zij vertrouwen bij stakeholders, klanten en toezichthouders. Vanuit het perspectief van de Baseline Informatiebeveiliging Overheid (BIO) sluit deze maatregel aan bij norm 13.01.01, die voorschrijft dat organisaties technische beveiligingsmaatregelen moeten implementeren om systemen en netwerken te beschermen tegen ongeautoriseerde toegang en aanvallen. Het uitschakelen van cross-origin basisauthenticatie is een concrete technische maatregel die het risico op diefstal van authenticatiegegevens en cross-site request forgery aanvallen aanzienlijk vermindert. De BIO-norm is specifiek ontwikkeld voor de Nederlandse publieke sector en biedt concrete richtlijnen voor het implementeren van beveiligingsmaatregelen die zijn afgestemd op de specifieke behoeften en uitdagingen van overheidsorganisaties. Door deze norm te volgen, kunnen overheidsorganisaties aantonen dat zij voldoen aan de vereisten voor informatiebeveiliging zoals vastgelegd in de Wet informatieveiligheid overheid en andere relevante wetgeving. Voor ISO 27001 compliance is deze maatregel relevant voor controle A.12.6.1, die betrekking heeft op technisch kwetsbaarheidsbeheer. Cross-origin basisauthenticatie wordt algemeen beschouwd als een bekende kwetsbaarheid in moderne webbrowsers, en het uitschakelen ervan is een best practice die wordt aanbevolen door beveiligingsexperts en organisaties zoals het Center for Internet Security (CIS). ISO 27001 is een internationaal erkende standaard voor informatiebeveiligingsmanagement die organisaties helpt bij het opzetten, implementeren, onderhouden en continu verbeteren van een informatiebeveiligingsmanagementsysteem. Door deze standaard te volgen, kunnen organisaties aantonen dat zij een systematische aanpak hanteren voor het beheren van informatiebeveiligingsrisico's en dat zij beschikken over de benodigde processen en controles om deze risico's effectief te beheersen. De CIS Security Controls Level 1 classificatie van deze maatregel onderstreept het belang ervan als fundamentele beveiligingsmaatregel die moet worden geïmplementeerd in alle organisaties, ongeacht hun grootte of sector. CIS Level 1 controls zijn basisbeveiligingsmaatregelen die relatief eenvoudig te implementeren zijn en die een significante impact hebben op de beveiligingspostuur van de organisatie. Deze controls zijn gebaseerd op best practices uit de industrie en zijn getest in echte omgevingen, wat betekent dat organisaties erop kunnen vertrouwen dat deze maatregelen effectief zijn. De CIS Security Controls bieden een praktisch, implementeerbaar raamwerk voor beveiligingsverharding dat organisaties helpt bij het prioriteren van beveiligingsinitiatieven en bij het focussen op maatregelen die de grootste impact hebben op de beveiligingspostuur. Door deze controls te volgen, kunnen organisaties hun beveiligingspositie stapsgewijs verbeteren en een solide basis leggen voor verdere beveiligingsinitiatieven. Voor audit-doeleinden is het belangrijk om uitgebreide documentatie bij te houden van de implementatie, configuratie, en monitoring van dit beleid. Deze documentatie moet minimaal bevatten: de datum van implementatie, de gebruikersgroepen of apparaatgroepen waaraan het beleid is toegewezen, de resultaten van compliance monitoring, en eventuele incidenten of problemen die zijn opgetreden. Deze documentatie moet worden bewaard voor een periode van minimaal één jaar, zoals gespecificeerd in de auditEvidence sectie, en moet beschikbaar zijn voor interne en externe auditors. Goede documentatie is essentieel voor het aantonen van compliance en voor het ondersteunen van auditprocessen. Zonder adequate documentatie is het onmogelijk om aan te tonen dat de beveiligingsmaatregel correct is geïmplementeerd en dat er effectieve processen zijn ingericht voor monitoring en remediatie. De documentatie moet niet alleen technische details bevatten, maar ook context en uitleg over waarom bepaalde keuzes zijn gemaakt en hoe de maatregel past binnen de algehele beveiligingsstrategie van de organisatie. Tijdens audits moet de organisatie kunnen aantonen dat het beleid correct is geïmplementeerd en dat er effectieve monitoring en remediatieprocessen zijn ingericht. Dit kan worden gedaan door het presenteren van compliance rapporten, configuratie screenshots uit Intune, en logs van monitoring scripts. Het is aanbevolen om periodiek zelf-audits uit te voeren om te verifiëren dat alle apparaten compliant zijn en dat de documentatie up-to-date is. Zelf-audits helpen niet alleen bij het voorbereiden op externe audits, maar bieden ook de mogelijkheid om proactief problemen te identificeren en op te lossen voordat deze worden ontdekt tijdens een externe audit. Bovendien helpen zelf-audits bij het verbeteren van de beveiligingsprocessen en bij het versterken van de beveiligingscultuur binnen de organisatie. Tijdens zelf-audits moet worden gecontroleerd of alle documentatie actueel is, of alle apparaten compliant zijn, of de monitoringprocessen correct functioneren, en of er verbeteringen mogelijk zijn in de implementatie of het beheer van de beveiligingsmaatregel.
Compliance & Frameworks
- CIS M365: Control Security Controls (L1) - Security hardening
- BIO: 13.01.01 - Technical security measures
- ISO 27001:2022: A.12.6.1 - Technical vulnerability management
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Cross-Origin Basic Auth Disabled
.DESCRIPTION
Registry: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge\CrossOriginBasicAuthEnabled
.NOTES
Filename: cross-origin-basic-auth-disabled.ps1
Author: Nederlandse Baseline voor Veilige Cloud
CIS: 2.13
#>
#Requires -Version 5.1
[CmdletBinding()]
param([Parameter(Mandatory = $true, ParameterSetName = 'Monitoring')][switch]$Monitoring, [Parameter(Mandatory = $true, ParameterSetName = 'Remediation')][switch]$Remediation, [Parameter(Mandatory = $true, ParameterSetName = 'Revert')][switch]$Revert,
[switch]$WhatIf)
$ErrorActionPreference = 'Stop'
$RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge"
$RegName = "CrossOriginBasicAuthEnabled"
$ExpectedValue = 0
function Invoke-Monitoring { try { if (!(Test-Path $RegPath)) { return @{ isCompliant = $false; reason = "Registry path does not exist" } }; $currentValue = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue; if ($null -eq $currentValue -or $currentValue.$RegName -ne $ExpectedValue) { return @{ isCompliant = $false; reason = "Registry value not set correctly" } }; return @{ isCompliant = $true; reason = "Registry value correctly set to $ExpectedValue" } } catch { return @{ isCompliant = $false; reason = "Error checking registry: $($_.Exception.Message)" } } }
function Invoke-Remediation { try { if (!(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "[OK] Set $RegPath\$RegName to $ExpectedValue" -ForegroundColor Green } catch { Write-Error "Failed to set registry value: $($_.Exception.Message)"; exit 1 } }
function Invoke-Revert { try { if (Test-Path $RegPath) { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue; Write-Host "[OK] Removed $RegPath\$RegName" -ForegroundColor Green } } catch { Write-Error "Failed to remove registry value: $($_.Exception.Message)" } }
try { switch ($PSCmdlet.ParameterSetName) { 'Monitoring' { $r = Invoke-Monitoring; Write-Host "Compliance: $($r.isCompliant) - $($r.reason)" -ForegroundColor $(if ($r.isCompliant) { 'Green' } else { 'Red' }); exit $(if ($r.isCompliant) { 0 } else { 1 }) } 'Remediation' { Invoke-Remediation } 'Revert' { Invoke-Revert } } } catch { Write-Error $_; exit 2 }
Risico zonder implementatie
Risico zonder implementatie
High: Zonder deze maatregel loopt de organisatie het risico op diefstal van authenticatiegegevens via cross-site request forgery aanvallen, wat kan leiden tot ongeautoriseerde toegang tot gevoelige systemen en data. Aanvallers kunnen gebruik maken van deze bekende kwetsbaarheid om gebruikersreferenties te stelen en deze te gebruiken voor verdere aanvallen op de organisatie.
Management Samenvatting
Schakel cross-origin basisauthenticatie uit in Microsoft Edge via Intune om een belangrijke aanvalsvector te blokkeren en de beveiliging van gebruikersreferenties te verbeteren.
- Implementatietijd: 2 uur
- FTE required: 0.01 FTE