L2 BIO 12.06.01 CIS 2.14

DirectInvoke Uitgeschakeld

📅 2025-10-30
⏱️ 4 minuten lezen
🟢 Should-Have

💼 Management Samenvatting

Schakel DirectInvoke uit om te voorkomen dat websites automatisch bestandshandlers kunnen starten zonder expliciete gebruikersinteractie, wat malware-uitvoering kan faciliteren.

Aanbeveling
IMPLEMENT
Risico zonder
Medium
Risk Score
5/10
Implementatie
1u (tech: 0.5u)
Van toepassing op:
Edge

DirectInvoke maakt het mogelijk dat websites direct bestandsprotocolhandlers aanroepen, wat kan leiden tot automatische uitvoering van programma's, malware-uitvoering via bestandshandler-exploits en omzeiling van downloadbeveiligingscontroles. Dit vormt een beveiligingsrisico omdat gebruikers niet altijd doorhebben dat een applicatie wordt gestart.

PowerShell Modules Vereist
Primary API: Intune/GPO
Connection: N/A
Required Modules:

Implementatie

Deze controle configureert DirectInvokeEnabled op 0 via HKLM:\SOFTWARE\Policies\Microsoft\Edge\DirectInvokeEnabled. Websites kunnen dan geen bestandshandlers direct aanroepen.

Vereisten

Voor de implementatie van deze beveiligingscontrole zijn specifieke technische en organisatorische vereisten noodzakelijk. Deze vereisten zorgen ervoor dat de DirectInvoke-instelling effectief kan worden geconfigureerd en beheerd binnen de organisatie. De primaire technische vereiste is de aanwezigheid van Microsoft Edge als webbrowser binnen de organisatie. Microsoft Edge moet geïnstalleerd zijn op alle werkstations waar deze beveiligingscontrole van toepassing is. Het is belangrijk om te controleren of de versie van Microsoft Edge ondersteuning biedt voor de DirectInvoke-beleidsinstelling. Moderne versies van Microsoft Edge, vanaf versie 77 en hoger, ondersteunen deze beleidsinstelling volledig. Voor de configuratie van deze instelling is toegang tot een beheersysteem vereist. Organisaties kunnen kiezen tussen Microsoft Intune voor cloudgebaseerd beheer of Group Policy Objects (GPO) voor on-premises beheer. Beide methoden bieden de mogelijkheid om de DirectInvokeEnabled-registerwaarde centraal te configureren. Bij gebruik van Microsoft Intune is een geldige licentie voor Microsoft Endpoint Manager vereist, evenals de juiste beheerdersrechten om apparaatconfiguratieprofielen te maken en toe te wijzen. De beheerder moet beschikken over de rol van Intune-beheerder of globale beheerder binnen Microsoft Entra ID (voorheen Azure AD). Voor on-premises implementatie via Group Policy is toegang tot de Group Policy Management Console (GPMC) vereist, evenals beheerdersrechten op de domeincontrollers. De organisatie moet beschikken over een Active Directory-domeinstructuur om GPO's effectief te kunnen implementeren. Naast technische vereisten zijn er ook organisatorische overwegingen. De IT-afdeling moet beschikken over de kennis en expertise om registerinstellingen te configureren en te beheren. Daarnaast is het belangrijk dat er een duidelijk proces is voor het testen van deze instelling voordat deze wordt uitgerold naar de volledige organisatie. Het is aanbevolen om eerst een pilot uit te voeren met een beperkte groep gebruikers om te verifiëren dat de instelling correct werkt en geen negatieve impact heeft op de functionaliteit van Microsoft Edge. Tijdens deze pilotfase moeten gebruikers worden geïnformeerd over de wijziging en moeten eventuele problemen worden gedocumenteerd en opgelost voordat de volledige implementatie plaatsvindt.

Implementatie

Gebruik PowerShell-script directinvoke-disabled.ps1 (functie Invoke-Remediation) – Script voor uitschakeling DirectInvoke.

De implementatie van de DirectInvoke-beveiligingscontrole vereist een gestructureerde aanpak om ervoor te zorgen dat de instelling correct wordt geconfigureerd en gecontroleerd. Deze implementatie kan worden uitgevoerd via verschillende methoden, afhankelijk van de infrastructuur en beheersystemen die binnen de organisatie beschikbaar zijn. Voor organisaties die Microsoft Intune gebruiken voor apparaatbeheer, begint de implementatie met het aanmaken van een nieuw apparaatconfiguratieprofiel. Navigeer binnen de Microsoft Endpoint Manager-adminconsole naar Apparaten, vervolgens naar Configuratieprofielen en selecteer Profiel maken. Kies het profieltype Beheersjabloon en selecteer Microsoft Edge als doelplatform. Binnen het configuratieprofiel zoekt u naar de beleidsinstelling DirectInvokeEnabled. Deze instelling bevindt zich onder het pad Microsoft Edge → Beveiliging. Stel de waarde in op Uitgeschakeld, wat overeenkomt met de registerwaarde 0. Geef het profiel een duidelijke naam, zoals 'Edge DirectInvoke Uitgeschakeld', en voeg een beschrijving toe die het doel van deze configuratie uitlegt. Na het configureren van de instelling moet het profiel worden toegewezen aan de relevante gebruikersgroepen of apparaatgroepen. Het is aanbevolen om eerst een testgroep te selecteren voordat de configuratie wordt uitgerold naar alle gebruikers. Controleer of de toewijzing correct is geconfigureerd en of er geen conflicterende beleidsregels zijn die deze instelling kunnen overschrijven. Voor organisaties met een on-premises Active Directory-infrastructuur kan de implementatie worden uitgevoerd via Group Policy Objects. Open de Group Policy Management Console en maak een nieuwe GPO aan of bewerk een bestaande GPO die wordt gebruikt voor Microsoft Edge-configuratie. Navigeer naar Computerconfiguratie of Gebruikersconfiguratie, afhankelijk van de gewenste scope, en ga naar Beheersjablonen → Microsoft Edge → Beveiliging. Zoek de beleidsinstelling DirectInvokeEnabled en stel deze in op Uitgeschakeld. Sla de wijzigingen op en koppel de GPO aan de relevante organisatie-eenheden binnen Active Directory. De GPO wordt automatisch toegepast op alle computers binnen de gekoppelde organisatie-eenheden tijdens de volgende groepsbeleidsupdate, die standaard elke 90 minuten plaatsvindt. Na de implementatie is het belangrijk om te verifiëren dat de instelling correct is toegepast. Dit kan worden gedaan door de registerwaarde te controleren op een testwerkstation. De registerwaarde moet zich bevinden op HKLM:\SOFTWARE\Policies\Microsoft\Edge\DirectInvokeEnabled en de waarde moet 0 zijn. Gebruik het bijgeleverde PowerShell-script voor geautomatiseerde verificatie en monitoring. Het is essentieel om gebruikers te informeren over deze wijziging, vooral als zij gewend zijn aan bepaalde functionaliteiten die mogelijk afhankelijk zijn van DirectInvoke. Documenteer de implementatie en zorg voor een duidelijk proces voor het afhandelen van eventuele problemen of vragen van gebruikers.

Monitoring

Gebruik PowerShell-script directinvoke-disabled.ps1 (functie Invoke-Monitoring) – Beheert DirectInvoke status.

Effectieve monitoring van de DirectInvoke-beveiligingsinstelling is cruciaal om ervoor te zorgen dat de configuratie consistent blijft en niet onbedoeld wordt gewijzigd. Monitoring helpt ook bij het identificeren van apparaten waar de instelling mogelijk niet correct is toegepast of waar gebruikers of andere processen de configuratie hebben gewijzigd. Voor organisaties die Microsoft Intune gebruiken, biedt de Endpoint Manager-adminconsole ingebouwde rapportagefunctionaliteiten om de naleving van configuratieprofielen te monitoren. Navigeer naar het configuratieprofiel dat de DirectInvoke-instelling bevat en bekijk het tabblad Apparaatstatus om te zien welke apparaten de configuratie hebben ontvangen en correct hebben toegepast. Het tabblad Gebruikersstatus toont de status per gebruiker. De rapportage in Intune toont verschillende statussen: Succesvol betekent dat de instelling correct is toegepast, Fout geeft aan dat er een probleem is opgetreden tijdens de implementatie, en Conflict betekent dat er een andere beleidsregel is die deze instelling overschrijft. Het is belangrijk om regelmatig deze rapporten te controleren en actie te ondernemen bij apparaten met een foutstatus of conflict. Voor on-premises omgevingen kan monitoring worden uitgevoerd via Group Policy-resultaten (GPRESULT) of door gebruik te maken van geautomatiseerde scripts die de registerwaarde controleren. Het bijgeleverde PowerShell-script biedt een geautomatiseerde manier om de DirectInvoke-status te controleren op meerdere apparaten. Het script kan worden uitgevoerd als onderdeel van een geplande taak of via een centrale beheertool zoals Microsoft Endpoint Configuration Manager (voorheen SCCM). Configureer het script om regelmatig te draaien, bijvoorbeeld wekelijks, en stel waarschuwingen in voor apparaten waar de instelling niet correct is geconfigureerd. Naast technische monitoring is het ook belangrijk om gebruikersfeedback te verzamelen. Vraag gebruikers of zij problemen ondervinden met het openen van bepaalde bestanden of het gebruik van specifieke webapplicaties. Sommige legitieme gebruiksscenario's kunnen afhankelijk zijn van DirectInvoke-functionaliteit, en deze moeten worden geïdentificeerd en geëvalueerd. Documenteer alle monitoringactiviteiten en houd een logboek bij van eventuele wijzigingen of incidenten. Dit logboek is waardevol voor audits en helpt bij het identificeren van patronen of terugkerende problemen. Stel een proces in voor het escaleren van problemen en het oplossen van configuratiefouten binnen een acceptabele tijdsperiode. Het is aanbevolen om minimaal maandelijks een volledige compliance-controle uit te voeren om te verifiëren dat alle apparaten nog steeds voldoen aan de beveiligingsvereisten. Gebruik deze controles ook om trends te identificeren en om te bepalen of aanvullende maatregelen nodig zijn om de naleving te verbeteren.

Compliance en Auditing

De implementatie van de DirectInvoke-beveiligingscontrole draagt bij aan de naleving van verschillende cybersecurity-standaarden en frameworks die relevant zijn voor Nederlandse overheidsorganisaties. Deze controle is specifiek geïdentificeerd in meerdere beveiligingsrichtlijnen als een essentiële maatregel voor het beperken van beveiligingsrisico's. De CIS Microsoft Edge Benchmark, een erkende standaard voor browserbeveiliging, bevat controle 2.14 die expliciet het uitschakelen van DirectInvoke vereist. Deze controle is geclassificeerd als Level 2, wat betekent dat deze wordt aanbevolen voor organisaties die een hoger beveiligingsniveau nastreven. De CIS Benchmark wordt wereldwijd erkend als een best practice voor cybersecurity-configuratie en wordt vaak gebruikt als basis voor compliance-audits. Voor Nederlandse overheidsorganisaties is de Baseline Informatiebeveiliging Overheid (BIO) van bijzonder belang. Binnen het BIO-framework valt deze controle onder norm 12.06, die betrekking heeft op beveiliging van bestandshandlers. De BIO-normen zijn verplicht voor alle Nederlandse overheidsorganisaties en vormen de basis voor informatiebeveiliging binnen de publieke sector. BIO-norm 12.06.01 specificeert dat organisaties maatregelen moeten nemen om te voorkomen dat onbevoegde of kwaadaardige code kan worden uitgevoerd via bestandshandlers. Het uitschakelen van DirectInvoke is een directe implementatie van deze vereiste, omdat het voorkomt dat websites automatisch bestandshandlers kunnen aanroepen zonder expliciete gebruikersinteractie. Tijdens compliance-audits moeten organisaties kunnen aantonen dat de DirectInvoke-instelling correct is geconfigureerd en actief wordt gemonitord. Auditors zullen waarschijnlijk vragen om bewijs van de configuratie, zoals screenshots van de Intune-configuratieprofielen of Group Policy-instellingen, en rapporten die aantonen dat de instelling daadwerkelijk is toegepast op alle relevante apparaten. Het is belangrijk om documentatie bij te houden die aantoont wanneer de instelling is geïmplementeerd, welke apparaten zijn betrokken, en hoe de naleving wordt gemonitord. Deze documentatie moet worden bewaard voor de volledige auditretentieperiode, die voor overheidsorganisaties doorgaans minimaal zeven jaar bedraagt. Naast de technische implementatie moeten organisaties ook kunnen aantonen dat er een proces is voor het beheren en onderhouden van deze beveiligingscontrole. Dit omvat procedures voor het reageren op configuratiefouten, het oplossen van conflicterende beleidsregels, en het periodiek herzien van de effectiviteit van de maatregel. Voor organisaties die werken volgens de Algemene Verordening Gegevensbescherming (AVG) draagt deze controle bij aan de beveiliging van persoonsgegevens door het risico op malware-uitvoering te verminderen. Hoewel de AVG geen specifieke technische maatregelen voorschrijft, vereist artikel 32 dat organisaties passende technische en organisatorische maatregelen nemen om persoonsgegevens te beveiligen. Het is aanbevolen om deze controle op te nemen in het informatiebeveiligingsbeleid van de organisatie en om regelmatig te controleren of de implementatie nog steeds voldoet aan de actuele compliance-vereisten. Cybersecurity-standaarden evolueren continu, en het is belangrijk om op de hoogte te blijven van updates aan frameworks zoals CIS en BIO.

Remediatie

Gebruik PowerShell-script directinvoke-disabled.ps1 (functie Invoke-Remediation) – Herstellen.

Wanneer monitoring of audits aantonen dat de DirectInvoke-instelling niet correct is geconfigureerd op bepaalde apparaten, is een gestructureerd remediatieproces noodzakelijk om de beveiligingscontrole snel te herstellen. Remediatie moet worden uitgevoerd binnen een acceptabele tijdsperiode om het beveiligingsrisico te minimaliseren. Het remediatieproces begint met het identificeren van de oorzaak van de configuratiefout. Mogelijke oorzaken zijn onder meer conflicterende beleidsregels, handmatige wijzigingen door gebruikers, of problemen met de implementatie van het configuratieprofiel of Group Policy Object. Het is belangrijk om eerst de onderliggende oorzaak te begrijpen voordat remediatie wordt uitgevoerd, om te voorkomen dat het probleem zich herhaalt. Voor apparaten die worden beheerd via Microsoft Intune kan remediatie worden uitgevoerd door het configuratieprofiel opnieuw toe te wijzen of door gebruik te maken van de ingebouwde remediatiefunctionaliteit. Navigeer naar het configuratieprofiel in de Endpoint Manager-adminconsole en selecteer de apparaten met een foutstatus. Gebruik de optie om het profiel opnieuw te synchroniseren of te implementeren. Als het probleem aanhoudt, kan het nodig zijn om het apparaat handmatig te controleren. Gebruik het bijgeleverde PowerShell-script om de DirectInvoke-registerwaarde direct te controleren en indien nodig te corrigeren. Het script kan worden uitgevoerd met lokale beheerdersrechten op het betreffende apparaat. Voor on-premises omgevingen met Group Policy kan remediatie worden uitgevoerd door de GPO opnieuw te koppelen of door een geforceerde groepsbeleidsupdate uit te voeren. Open een opdrachtprompt met beheerdersrechten op het betreffende apparaat en voer de opdracht 'gpupdate /force' uit om de groepsbeleidsinstellingen onmiddellijk bij te werken. In gevallen waar gebruikers handmatig de registerwaarde hebben gewijzigd, is het belangrijk om te onderzoeken waarom deze wijziging is aangebracht. Mogelijk is er een legitieme bedrijfsbehoefte die niet kan worden vervuld met de huidige configuratie. In dergelijke gevallen moet een risicoanalyse worden uitgevoerd om te bepalen of een uitzondering gerechtvaardigd is. Na het uitvoeren van remediatie moet de configuratie worden geverifieerd om te bevestigen dat de instelling correct is hersteld. Voer het monitoring-script opnieuw uit en controleer of het apparaat nu voldoet aan de beveiligingsvereisten. Documenteer de remediatie-actie, inclusief de oorzaak van het probleem, de genomen stappen, en het resultaat. Het is aanbevolen om een proces in te stellen voor het prioriteren van remediatie-acties op basis van het risiconiveau. Apparaten die worden gebruikt door gebruikers met toegang tot gevoelige gegevens of kritieke systemen moeten prioriteit krijgen bij remediatie. Stel service level agreements (SLA's) vast voor verschillende risiconiveaus om ervoor te zorgen dat kritieke configuratiefouten snel worden opgelost. Preventieve maatregelen kunnen helpen om de noodzaak voor remediatie te verminderen. Overweeg het implementeren van aanvullende beveiligingscontroles die voorkomen dat gebruikers registerwaarden kunnen wijzigen, zoals het beperken van lokale beheerdersrechten of het gebruik van AppLocker om onbevoegde wijzigingen te blokkeren.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS DirectInvoke Disabled .DESCRIPTION Registry: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge\DirectInvokeEnabled .NOTES Filename: directinvoke-disabled.ps1 Author: Nederlandse Baseline voor Veilige Cloud CIS: 2.14 #> #Requires -Version 5.1 [CmdletBinding()] param([Parameter(Mandatory = $true, ParameterSetName = 'Monitoring')][switch]$Monitoring, [Parameter(Mandatory = $true, ParameterSetName = 'Remediation')][switch]$Remediation, [Parameter(Mandatory = $true, ParameterSetName = 'Revert')][switch]$Revert, [switch]$WhatIf) $ErrorActionPreference = 'Stop' $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge" $RegName = "DirectInvokeEnabled" $ExpectedValue = 0 function Invoke-Monitoring { try { if (!(Test-Path $RegPath)) { return @{ isCompliant = $false; reason = "Registry path does not exist" } }; $currentValue = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue; if ($null -eq $currentValue -or $currentValue.$RegName -ne $ExpectedValue) { return @{ isCompliant = $false; reason = "Registry value not set correctly" } }; return @{ isCompliant = $true; reason = "Registry value correctly set to $ExpectedValue" } } catch { return @{ isCompliant = $false; reason = "Error checking registry: $($_.Exception.Message)" } } } function Invoke-Remediation { try { if (!(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "[OK] Set $RegPath\$RegName to $ExpectedValue" -ForegroundColor Green } catch { Write-Error "Failed to set registry value: $($_.Exception.Message)"; exit 1 } } function Invoke-Revert { try { if (Test-Path $RegPath) { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue; Write-Host "[OK] Removed $RegPath\$RegName" -ForegroundColor Green } } catch { Write-Error "Failed to remove registry value: $($_.Exception.Message)" } } try { switch ($PSCmdlet.ParameterSetName) { 'Monitoring' { $r = Invoke-Monitoring; Write-Host "Compliance: $($r.isCompliant) - $($r.reason)" -ForegroundColor $(if ($r.isCompliant) { 'Green' } else { 'Red' }); exit $(if ($r.isCompliant) { 0 } else { 1 }) } 'Remediation' { Invoke-Remediation } 'Revert' { Invoke-Revert } } } catch { Write-Error $_; exit 2 }

Risico zonder implementatie

Risico zonder implementatie
Medium: Gemiddeld risico op malware-uitvoering via bestandshandler-exploits. DirectInvoke omzeilt downloadbeveiligingscontroles.

Management Samenvatting

Schakel DirectInvoke uit om automatische bestandshandler-starts te blokkeren. Voldoet aan CIS 2.14. Implementatie: 30-60 minuten.