💼 Management Samenvatting
Deze beveiligingsmaatregel waarborgt de correcte configuratie van Microsoft Edge en beschermt tegen beveiligingsrisico's door het uitschakelen van enhanced security voor intranet sites.
Aanbeveling
CONSIDER
Risico zonder
Low
Risk Score
3/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Edge
Deze instelling is essentieel voor het handhaven van een veilige browseromgeving en voorkomt bekende aanvalsvectoren door het afdwingen van beveiligingsbest practices. Het uitschakelen van enhanced security voor intranet zones is belangrijk omdat interne websites vaak gebruik maken van verouderde technologieën en protocollen die niet compatibel zijn met moderne beveiligingsstandaarden. Door deze functie specifiek voor intranet sites uit te schakelen, kunnen organisaties de balans vinden tussen beveiliging en functionaliteit voor hun interne netwerkomgeving.
PowerShell Modules Vereist
Primary API: Graph
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
Deze maatregel configureert het beleid via Microsoft Intune device configuratiebeleidsregels om de enhanced security mode voor intranet sites uit te schakelen, waardoor interne websites soepel functioneren zonder dat de algemene beveiliging van internet browsing wordt aangetast.
Vereisten
De implementatie van deze beveiligingsmaatregel vereist een solide technische basisinfrastructuur en de juiste licentieconfiguratie. Microsoft Intune vormt de kerncomponent van deze implementatie, aangezien het onderdeel uitmaakt van het bredere Microsoft Endpoint Manager ecosysteem. Deze cloud-gebaseerde oplossing voor unified endpoint management biedt de benodigde functionaliteit om device configuratiebeleidsregels centraal te beheren en te distribueren naar alle endpoints binnen de organisatie. De configuratie wordt uitgevoerd via specifiek ontworpen device configuratiebeleidsregels die zijn geoptimaliseerd voor Microsoft Edge browser management. Deze beleidsregels maken het mogelijk om gedetailleerde browserinstellingen te configureren zonder dat individuele devices handmatig moeten worden aangepast, wat essentieel is voor schaalbaarheid en consistentie in grotere organisaties. Organisaties moeten beschikken over de juiste Intune licenties om deze functionaliteit te kunnen benutten. De licentievereisten variëren afhankelijk van de omvang van de organisatie en de gewenste functionaliteit. Voor overheidsorganisaties in Nederland zijn er specifieke licentieovereenkomsten beschikbaar die aansluiten bij de behoeften van de publieke sector. Deze licentieovereenkomsten zijn vaak onderdeel van bredere raamovereenkomsten die zijn gesloten tussen de Nederlandse overheid en Microsoft, wat betekent dat overheidsorganisaties kunnen profiteren van gunstige licentiecondities die specifiek zijn afgestemd op de behoeften en budgettaire beperkingen van de publieke sector. Het is belangrijk om te begrijpen dat de licentievereisten niet alleen betrekking hebben op de basis Intune functionaliteit, maar ook op eventuele aanvullende features die nodig kunnen zijn voor geavanceerde monitoring en automatisering. Naast de licentievereisten is het van cruciaal belang dat de IT-beheerders beschikken over de juiste beheerrechten binnen het Microsoft 365 tenant. Deze rechten moeten voldoende zijn om beleidsregels te kunnen configureren, aanpassen en toewijzen aan specifieke device groepen of gebruikersgroepen. De granulariteit van deze toewijzingen maakt het mogelijk om verschillende configuraties toe te passen op verschillende delen van de organisatie, wat belangrijk kan zijn voor organisaties met diverse afdelingen of locaties. Het principe van least privilege moet worden toegepast bij het toekennen van deze rechten, wat betekent dat beheerders alleen de minimale rechten krijgen die nodig zijn voor het uitvoeren van hun specifieke taken. Deze aanpak helpt bij het beperken van het risico op onbedoelde configuratiewijzigingen en verbetert de algehele beveiligingspostuur van de organisatie. Voor geautomatiseerde monitoring en remediatie is toegang tot de Microsoft Graph API onontbeerlijk. Deze moderne API biedt programmatische toegang tot Microsoft 365 services en maakt het mogelijk om geavanceerde automatisering te implementeren via PowerShell scripts. De Graph API vertegenwoordigt een fundamentele verschuiving in de manier waarop Microsoft 365 services worden beheerd, waarbij traditionele management interfaces worden aangevuld en in sommige gevallen vervangen door moderne API-gebaseerde benaderingen. Deze verschuiving biedt organisaties de mogelijkheid om complexe beheerprocessen te automatiseren en te integreren met bestaande IT management tools en workflows. De Graph API vereist authenticatie via moderne OAuth 2.0 flows, wat betekent dat organisaties moeten beschikken over een service principal of managed identity die is geconfigureerd met de juiste API permissions. Deze authenticatiemethode biedt significante beveiligingsvoordelen ten opzichte van traditionele username-password authenticatie, omdat het gebruik maakt van token-gebaseerde authenticatie die kan worden beperkt in tijd en scope. Service principals zijn specifieke applicatie-identiteiten die kunnen worden gebruikt voor geautomatiseerde toegang tot Microsoft 365 services, terwijl managed identities een Azure-native benadering bieden waarbij de identiteit automatisch wordt beheerd door het Azure platform zelf. De minimale vereiste PowerShell modules voor deze implementatie zijn Microsoft.Graph.DeviceManagement voor het beheren van device configuratiebeleid en Microsoft.Graph.Authentication voor het afhandelen van de authenticatie met de Graph API. Deze modules kunnen eenvoudig worden geïnstalleerd via de PowerShell Gallery en moeten regelmatig worden bijgewerkt om te profiteren van de nieuwste functionaliteit en beveiligingsverbeteringen. Het is belangrijk om te begrijpen dat deze modules regelmatig worden bijgewerkt door Microsoft om nieuwe functionaliteit toe te voegen, beveiligingsproblemen op te lossen, en compatibiliteit te waarborgen met wijzigingen in de onderliggende Graph API. Organisaties moeten daarom een proces hebben voor het regelmatig bijwerken van deze modules, waarbij wordt gecontroleerd op breaking changes en waar nodig worden scripts aangepast om compatibiliteit te waarborgen. Het wordt sterk aanbevolen om beschikking te hebben over een dedicated service account met Device Management Administrator rechten of hoger. Dit account moet specifiek worden gebruikt voor geautomatiseerde taken en monitoring, wat betekent dat het niet mag worden gebruikt voor interactieve beheertaken door individuele gebruikers. Het gebruik van een service account biedt verschillende voordelen, waaronder betere traceerbaarheid van geautomatiseerde acties, de mogelijkheid om specifieke rechten toe te kennen zonder dat deze worden gedeeld met andere accounts, en verbeterde beveiliging door het scheiden van geautomatiseerde en handmatige beheertaken. Deze scheiding is belangrijk omdat het helpt bij het beperken van het risico op credential exposure en omdat het duidelijk maakt welke acties zijn uitgevoerd door geautomatiseerde processen versus handmatige beheerders. Het service account moet worden beveiligd met sterke authenticatiemethoden, bij voorkeur certificate-based authentication of managed identity, om te voorkomen dat credentials worden blootgesteld in scripts of configuratiebestanden. Certificate-based authentication maakt gebruik van cryptografische certificaten in plaats van wachtwoorden, wat betekent dat zelfs als een script of configuratiebestand wordt gecompromitteerd, een aanvaller niet direct toegang heeft tot het account zonder ook het bijbehorende certificaat te stelen. Managed identities gaan nog een stap verder door de authenticatie volledig te beheren binnen het Azure platform, waarbij credentials nooit zichtbaar zijn voor applicaties of scripts die gebruik maken van de identiteit. Naast deze technische vereisten is het ook belangrijk om organisatorische aspecten te overwegen. De implementatie van deze beveiligingsmaatregel vereist coördinatie tussen verschillende afdelingen, waaronder IT-beheer, security operations, en applicatiebeheer. Deze coördinatie is essentieel omdat de configuratiewijziging impact kan hebben op verschillende aspecten van de IT-infrastructuur en omdat verschillende teams verschillende expertise en verantwoordelijkheden hebben die allemaal relevant zijn voor een succesvolle implementatie. IT-beheer heeft bijvoorbeeld de technische expertise om de configuratie daadwerkelijk te implementeren, terwijl security operations de beveiligingsimplicaties kan beoordelen en applicatiebeheer kan bepalen welke interne applicaties mogelijk worden beïnvloed. Het is essentieel om een duidelijk communicatieplan te hebben dat alle stakeholders informeert over de geplande wijzigingen en de impact daarvan op hun dagelijkse werkzaamheden. Dit communicatieplan moet niet alleen informatie bevatten over wat er gaat veranderen, maar ook over waarom de wijziging wordt doorgevoerd, wanneer deze zal plaatsvinden, en wat de verwachte impact is op verschillende gebruikersgroepen en applicaties. Effectieve communicatie helpt bij het voorkomen van verrassingen en zorgt ervoor dat alle betrokkenen voldoende tijd hebben om zich voor te bereiden op de wijziging. Daarnaast moet er een test- en validatieproces worden opgezet om te waarborgen dat de configuratie correct werkt voordat deze wordt uitgerold naar de volledige productieomgeving. Dit proces moet worden gedocumenteerd en geïntegreerd in de bestaande change management procedures van de organisatie, wat betekent dat het moet voldoen aan alle relevante governance vereisten en dat het moet worden goedgekeurd door de juiste autoriteiten binnen de organisatie.
Implementatie
Gebruik PowerShell-script enhanced-security-intranet-disabled.ps1 (functie Invoke-Monitoring) – De implementatie van deze beveiligingsmaatregel vereist een gestructureerde aanpak die begint met het grondig analyseren van de huidige browserconfiguratie en de impact van de voorgestelde wijzigingen. Deze analyse vormt de fundering voor een succesvolle implementatie en helpt bij het voorkomen van onverwachte problemen die kunnen ontstaan wanneer configuratiewijzigingen worden doorgevoerd zonder voldoende voorbereiding. Het proces begint met een uitgebreide assessment van de huidige staat van de browserconfiguratie binnen de organisatie, waarbij wordt gekeken naar welke Edge configuraties momenteel actief zijn, welke devices zijn beheerd via Intune, en welke gebruikersgroepen verschillende configuraties hebben toegewezen gekregen. Deze baseline informatie is essentieel omdat het een referentiepunt biedt waartegen de impact van de nieuwe configuratie kan worden gemeten.
Voordat daadwerkelijk wordt begonnen met de configuratie, is het essentieel om een volledige inventarisatie te maken van alle interne websites en applicaties die mogelijk worden beïnvloed door deze wijziging. Deze inventarisatie moet niet alleen de technische aspecten omvatten, zoals welke protocollen en technologieën worden gebruikt, maar ook de bedrijfskritieke status van elke applicatie en de gebruikersgroepen die ervan afhankelijk zijn. Het is belangrijk om te begrijpen dat interne websites vaak gebruik maken van technologieën die zijn ontwikkeld in een tijdperk waarin beveiligingsstandaarden minder strikt waren, en dat deze technologieën mogelijk niet volledig compatibel zijn met moderne browserbeveiligingsfuncties zoals Enhanced Security Mode. Door een grondige inventarisatie uit te voeren, kunnen organisaties proactief identificeren welke applicaties mogelijk problemen zullen ondervinden en kunnen ze maatregelen nemen om deze problemen te voorkomen of op te lossen voordat ze impact hebben op de gebruikerservaring.
Deze informatie vormt de basis voor een weloverwogen implementatiebeslissing en helpt bij het identificeren van potentiële risico's voordat deze zich voordoen. Het proces van risico-identificatie moet worden uitgevoerd in samenwerking met verschillende stakeholders binnen de organisatie, waaronder applicatiebeheerders, security professionals, en business owners van kritieke applicaties. Deze samenwerking is essentieel omdat verschillende stakeholders verschillende perspectieven en expertise hebben die allemaal relevant zijn voor het identificeren van potentiële risico's. Business owners kunnen bijvoorbeeld inzicht geven in de bedrijfskritieke status van applicaties, terwijl applicatiebeheerders technische details kunnen verschaffen over de afhankelijkheden en vereisten van hun applicaties.
De daadwerkelijke configuratie begint met het navigeren naar de Microsoft Endpoint Manager admin center, waar alle device management taken centraal worden beheerd. Deze centrale beheeromgeving biedt een unified interface voor het beheren van alle aspecten van device management, inclusief configuratiebeleidsregels, compliance monitoring, en device enrollment. Binnen deze omgeving selecteert de beheerder de Devices sectie, gevolgd door Configuration profiles, wat de toegangspoort is tot alle device configuratiebeleidsregels binnen de organisatie. Het is belangrijk om te begrijpen dat configuration profiles de primaire mechanisme zijn waarmee organisaties browserinstellingen kunnen beheren op schaal, en dat deze profiles kunnen worden toegewezen aan specifieke device groepen, gebruikersgroepen, of alle devices binnen de organisatie.
Het aanmaken van een nieuw profiel vereist zorgvuldige aandacht voor de juiste platformselectie, waarbij Microsoft Edge moet worden gekozen als het doelplatform. Deze keuze is cruciaal omdat verschillende platforms verschillende configuratieopties bieden en een verkeerde selectie kan leiden tot configuratiefouten of onvolledige implementatie. Microsoft Edge configuratieprofielen bieden toegang tot een uitgebreide set van browserinstellingen die kunnen worden geconfigureerd, waaronder beveiligingsinstellingen, privacy-instellingen, en functionaliteitsinstellingen. Het is belangrijk om te begrijpen dat niet alle instellingen beschikbaar zijn voor alle platformen, en dat sommige instellingen alleen beschikbaar zijn voor specifieke versies van Edge of specifieke device types.
Binnen het Edge configuratieprofiel moet de beheerder de juiste profielsoort selecteren, wat afhankelijk is van de specifieke behoeften van de organisatie. Voor deze beveiligingsmaatregel is het belangrijk om te zoeken naar de policy setting die betrekking heeft op Enhanced Security Mode, een geavanceerde beveiligingsfunctie die Microsoft Edge biedt om gebruikers te beschermen tegen moderne bedreigingen. Enhanced Security Mode is een relatief nieuwe functie die is geïntroduceerd om gebruikers te beschermen tegen geavanceerde bedreigingen door het toepassen van extra beveiligingsmaatregelen zoals Just-In-Time Compilation (JIT) uitschakeling, hardware-enforced stack protection, en andere geavanceerde mitigaties. Deze functie is bijzonder effectief tegen zero-day exploits en andere geavanceerde aanvallen, maar kan soms problemen veroorzaken met interne applicaties die zijn gebouwd met verouderde technologieën.
Deze instelling moet worden geconfigureerd om enhanced security specifiek uit te schakelen voor intranet zones, wat betekent dat interne websites die zich binnen het vertrouwde netwerk van de organisatie bevinden, kunnen functioneren zonder de strikte beveiligingsbeperkingen die normaal gesproken worden toegepast op externe websites. Deze configuratie is gebaseerd op het principe dat interne websites over het algemeen als meer vertrouwd worden beschouwd dan externe websites, en dat het daarom acceptabel is om voor deze websites minder strikte beveiligingsmaatregelen toe te passen. Het is echter belangrijk om te begrijpen dat deze configuratie alleen moet worden toegepast wanneer er een duidelijke business case is voor het uitschakelen van enhanced security, en dat de risico's van deze configuratie moeten worden afgewogen tegen de voordelen van verbeterde functionaliteit.
Deze configuratie zorgt ervoor dat interne websites die gebruik maken van verouderde protocollen, legacy technologieën of specifieke browserconfiguraties die niet compatibel zijn met moderne beveiligingsstandaarden, soepel blijven functioneren zonder dat gebruikers worden geconfronteerd met toegangsproblemen of functionaliteitsverlies. Veel overheidsorganisaties en andere grote organisaties hebben legacy applicaties die zijn ontwikkeld jaren geleden en die gebruik maken van technologieën zoals ActiveX controls, Java applets, of andere verouderde technologieën die niet meer worden ondersteund door moderne browsers met strikte beveiligingsinstellingen. Door enhanced security uit te schakelen voor intranet zones, kunnen deze applicaties blijven functioneren terwijl externe websites nog steeds de volledige bescherming genieten van enhanced security mode.
Tegelijkertijd blijven externe websites volledig beschermd door de enhanced security mode, wat betekent dat de algemene beveiligingspostuur van de organisatie niet wordt aangetast. Deze balans tussen functionaliteit en beveiliging is essentieel voor organisaties die moeten werken met een mix van moderne en legacy systemen. Het is belangrijk om te begrijpen dat deze configuratie niet betekent dat interne websites volledig onbeschermd zijn, maar dat ze gebruik maken van de standaard Edge beveiligingsfuncties zonder de extra bescherming die wordt geboden door Enhanced Security Mode. Deze standaard beveiligingsfuncties omvatten nog steeds belangrijke beschermingen zoals SmartScreen phishing protection, malware scanning, en andere ingebouwde beveiligingsfuncties.
Voordat deze configuratie wordt uitgerold naar de volledige productieomgeving, is het absoluut noodzakelijk om uitgebreide tests uit te voeren in een gecontroleerde pilot omgeving. Deze testomgeving moet zo veel mogelijk lijken op de productieomgeving, inclusief representatieve interne websites en applicaties, om een realistische simulatie te kunnen maken van de impact van de configuratiewijziging. Het opzetten van een goede testomgeving vereist zorgvuldige planning en coördinatie, omdat het belangrijk is om ervoor te zorgen dat de testomgeving voldoende representatief is om betrouwbare resultaten te kunnen genereren. Dit betekent dat de testomgeving moet beschikken over representatieve interne websites, representatieve device configuraties, en representatieve gebruikersscenario's.
Tijdens deze testfase moeten alle kritieke interne applicaties worden getest om te waarborgen dat ze correct functioneren met de nieuwe configuratie. Deze tests moeten worden uitgevoerd door gebruikers die daadwerkelijk gebruik maken van deze applicaties in hun dagelijkse werk, omdat zij de beste kennis hebben over hoe de applicaties moeten functioneren en welke problemen kunnen optreden wanneer de configuratie wordt gewijzigd. Het is belangrijk om een gestructureerde testmethodologie te gebruiken die ervoor zorgt dat alle kritieke functionaliteiten worden getest en dat eventuele problemen worden gedocumenteerd en opgelost voordat de implementatie wordt voortgezet.
Eventuele compatibiliteitsproblemen die tijdens deze tests worden geïdentificeerd, moeten worden gedocumenteerd en opgelost voordat de implementatie wordt voortgezet. Deze documentatie is essentieel omdat het helpt bij het begrijpen van de impact van de configuratiewijziging en omdat het kan worden gebruikt voor toekomstige referentie wanneer vergelijkbare configuratiewijzigingen worden overwogen. Het oplossen van compatibiliteitsproblemen kan verschillende benaderingen vereisen, afhankelijk van de aard van het probleem. Sommige problemen kunnen worden opgelost door het aanpassen van de applicatieconfiguratie, terwijl andere problemen mogelijk vereisen dat de applicatie zelf wordt bijgewerkt of gemoderniseerd.
De implementatie moet worden uitgevoerd in nauwe samenwerking met applicatiebeheerders en andere relevante stakeholders binnen de organisatie. Deze samenwerking is essentieel omdat applicatiebeheerders de beste kennis hebben over de technische vereisten en afhankelijkheden van hun applicaties. Door hen vroegtijdig te betrekken bij het implementatieproces, kunnen potentiële problemen worden geïdentificeerd en opgelost voordat ze kritieke bedrijfsprocessen verstoren. Deze vroegtijdige betrokkenheid helpt ook bij het waarborgen dat applicatiebeheerders voldoende tijd hebben om zich voor te bereiden op de configuratiewijziging en om eventuele aanpassingen te maken die nodig zijn om ervoor te zorgen dat hun applicaties correct blijven functioneren.
Daarnaast helpt deze samenwerking bij het waarborgen dat alle kritieke interne systemen blijven functioneren zoals verwacht, wat essentieel is voor het handhaven van bedrijfscontinuïteit tijdens en na de implementatie. Bedrijfscontinuïteit is een kritieke overweging bij het implementeren van configuratiewijzigingen, omdat zelfs korte onderbrekingen in de beschikbaarheid van kritieke systemen significante impact kunnen hebben op de organisatie. Door nauw samen te werken met applicatiebeheerders en andere stakeholders, kunnen organisaties ervoor zorgen dat de implementatie wordt uitgevoerd op een manier die minimale impact heeft op de bedrijfscontinuïteit.
Na de succesvolle configuratie en toewijzing van het beleid aan de juiste device groepen, moet er een periode van intensieve monitoring worden ingesteld om te waarborgen dat de configuratie correct wordt toegepast en dat er geen onverwachte problemen optreden. Deze monitoring periode moet worden beschouwd als een kritieke fase van de implementatie, omdat het de eerste gelegenheid is om te verifiëren dat de configuratie daadwerkelijk werkt zoals bedoeld in een productieomgeving. Tijdens deze monitoring periode moeten organisaties bijzonder alert zijn op eventuele problemen die kunnen optreden, en moeten ze bereid zijn om snel te reageren wanneer problemen worden geïdentificeerd.
Deze monitoring moet zowel technische aspecten omvatten, zoals de compliance status van devices, als gebruikerservaring aspecten, zoals meldingen van gebruikers over problemen met interne websites. Technische monitoring kan worden uitgevoerd via geautomatiseerde tools en scripts die regelmatig de compliance status van devices controleren, terwijl gebruikerservaring monitoring vereist dat organisaties proactief communiceren met gebruikers en hen aanmoedigen om eventuele problemen te melden. Door beide aspecten te monitoren, kunnen organisaties een compleet beeld krijgen van de impact van de configuratiewijziging en kunnen ze snel reageren wanneer problemen worden geïdentificeerd.
Eventuele problemen die tijdens deze monitoring worden geïdentificeerd, moeten onmiddellijk worden aangepakt om te voorkomen dat ze escaleren tot grotere operationele problemen. Het is belangrijk om een duidelijk proces te hebben voor het behandelen van problemen die worden geïdentificeerd tijdens de monitoring fase, waarbij wordt bepaald wie verantwoordelijk is voor het oplossen van verschillende soorten problemen en hoe snel verschillende soorten problemen moeten worden opgelost. Dit proces moet worden geïntegreerd in de bestaande incident management procedures van de organisatie, zodat problemen worden behandeld op een consistente en effectieve manier..
Monitoring
Gebruik PowerShell-script enhanced-security-intranet-disabled.ps1 (functie Invoke-Monitoring) – Monitoring van deze beveiligingsconfiguratie vormt een kritieke component van het totale beveiligingsbeheerproces en is essentieel om te waarborgen dat het beleid niet alleen correct is geïmplementeerd, maar ook actief blijft op alle beoogde devices gedurende de volledige levenscyclus van de configuratie. Zonder continue monitoring bestaat het risico dat configuratiewijzigingen onopgemerkt blijven, wat kan leiden tot een verzwakte beveiligingspostuur en potentiële compliance problemen. Het monitoring proces moet daarom worden beschouwd als een permanente activiteit die integraal onderdeel uitmaakt van de dagelijkse security operations, in plaats van een eenmalige controle die alleen wordt uitgevoerd na de initiële implementatie.
Het monitoring script dat specifiek is ontwikkeld voor deze beveiligingsmaatregel voert regelmatig uitgebreide controles uit om te verifiëren dat de enhanced security intranet disabled instelling correct is geconfigureerd op alle managed devices binnen de organisatie. Deze controles omvatten niet alleen een simpele verificatie van de aanwezigheid van de configuratie, maar ook een diepgaande analyse van de daadwerkelijke status en de effectiviteit van de implementatie. Het script controleert of de configuratie daadwerkelijk actief is op elk device, of er geen conflicterende instellingen zijn die de gewenste configuratie kunnen overschrijven, en of de configuratie correct is toegepast volgens de specificaties die zijn gedefinieerd in het beleid.
De monitoring omvat uitgebreide controle van de policy compliance status via de geïntegreerde Intune reporting functionaliteit, die real-time inzicht biedt in de compliance status van alle devices binnen de organisatie. Deze rapporten maken het mogelijk om snel devices te identificeren waar de configuratie mogelijk is gewijzigd, niet correct is toegepast, of waar andere problemen zijn opgetreden die de compliance status beïnvloeden. Het identificeren van deze afwijkingen is cruciaal omdat niet-compliant devices een potentiële beveiligingsrisico vormen en kunnen leiden tot inconsistente gebruikerservaringen, wat op zijn beurt kan resulteren in verhoogde support tickets en verminderde productiviteit.
Naast het monitoren van de device compliance status, houdt het script ook nauwlettend in de gaten of er wijzigingen zijn aangebracht aan het beleid zelf. Deze monitoring is essentieel omdat ongeautoriseerde aanpassingen aan het beleid kunnen leiden tot onbedoelde wijzigingen in de beveiligingsconfiguratie, wat op zijn beurt kan resulteren in een verzwakte beveiligingspostuur of problemen met de functionaliteit van interne applicaties. Het script detecteert niet alleen wijzigingen aan het beleid, maar registreert ook wie de wijziging heeft aangebracht en wanneer deze heeft plaatsgevonden, wat essentieel is voor audit doeleinden en het traceren van potentiële beveiligingsincidenten.
Het monitoring script genereert uitgebreide rapporten die diepgaand inzicht bieden in verschillende aspecten van de configuratie en compliance status. Deze rapporten bevatten gedetailleerde informatie over de compliance rate, wat de percentage devices is die correct zijn geconfigureerd volgens het beleid. Daarnaast identificeren de rapporten specifieke devices met afwijkingen, inclusief details over de aard van de afwijking en de mogelijke oorzaken daarvan. De rapporten bevatten ook trendanalyses die laten zien hoe de policy compliance zich ontwikkelt over tijd, wat waardevolle inzichten kan opleveren over de stabiliteit van de configuratie en eventuele systemische problemen die moeten worden aangepakt.
Deze monitoring informatie is van onschatbare waarde voor security audits en helpt organisaties om hun security posture te demonstreren aan auditors en compliance officers. Tijdens audits kunnen organisaties aantonen dat zij proactief monitoren op configuratiewijzigingen en dat zij beschikken over gedetailleerde documentatie over de compliance status van hun devices. Deze documentatie kan worden gebruikt om aan te tonen dat de organisatie voldoet aan de vereisten van verschillende compliance frameworks, zoals de BIO normen en ISO 27001, die beide eisen dat organisaties technische beveiligingsmaatregelen implementeren en monitoren.
Het wordt sterk aanbevolen om deze monitoring wekelijks uit te voeren als onderdeel van de standaard security operational procedures. Deze frequentie biedt een goede balans tussen het tijdig detecteren van problemen en het niet overbelasten van de monitoring infrastructuur. Voor organisaties met een hoger risicoprofiel of kritieke beveiligingsvereisten kan het echter noodzakelijk zijn om de monitoring frequentie te verhogen naar dagelijks of zelfs real-time monitoring. De exacte frequentie moet worden bepaald op basis van de specifieke risicoprofiel van de organisatie, de omvang van de device populatie, en de beschikbare resources voor monitoring en remediatie.
Naast de geautomatiseerde monitoring via scripts, is het ook belangrijk om periodieke handmatige controles uit te voeren om te waarborgen dat de geautomatiseerde monitoring correct functioneert en dat er geen problemen zijn die niet worden gedetecteerd door de geautomatiseerde processen. Deze handmatige controles moeten worden uitgevoerd door ervaren security professionals die de kennis en expertise hebben om complexe configuratieproblemen te identificeren en op te lossen. De resultaten van deze handmatige controles moeten worden gedocumenteerd en vergeleken met de resultaten van de geautomatiseerde monitoring om te waarborgen dat beide processen consistent zijn en dat er geen hiaten zijn in de monitoring dekking..
Remediatie
Gebruik PowerShell-script enhanced-security-intranet-disabled.ps1 (functie Invoke-Remediation) – Remediatie vormt een essentieel onderdeel van het beveiligingsbeheerproces en moet worden beschouwd als de logische volgende stap na het detecteren van configuratieafwijkingen tijdens de monitoring fase. Wanneer monitoring detecteert dat de enhanced security intranet disabled configuratie niet correct is geïmplementeerd, is gewijzigd, of op enige andere manier afwijkt van de gewenste staat, moet onmiddellijk remediatie worden uitgevoerd om de security baseline te herstellen en te waarborgen dat de organisatie voldoet aan de gedefinieerde beveiligingsstandaarden. Het uitblijven van tijdige en effectieve remediatie kan leiden tot een verzwakte beveiligingspostuur, compliance problemen, en potentiële beveiligingsrisico's die kunnen worden uitgebuit door kwaadwillende actoren.
Het remediatie proces begint met een grondige analyse van de gedetecteerde afwijking om te begrijpen wat de exacte aard en omvang van het probleem is. Deze analyse moet niet alleen de technische aspecten omvatten, zoals welke configuratie-instellingen zijn gewijzigd, maar ook de context waarin de wijziging heeft plaatsgevonden, zoals wanneer de wijziging is gedetecteerd, op welke devices de wijziging is opgetreden, en of er patronen zijn die kunnen wijzen op systemische problemen. Deze informatie is essentieel voor het ontwikkelen van een effectieve remediatiestrategie die niet alleen het onmiddellijke probleem oplost, maar ook helpt voorkomen dat het probleem zich in de toekomst opnieuw voordoet.
Het remediatie script dat specifiek is ontwikkeld voor deze beveiligingsmaatregel is ontworpen om automatisch de correcte configuratie te herstellen door het device configuratiebeleid opnieuw toe te passen op non-compliant devices. Dit automatische herstelproces werkt door eerst de huidige configuratiestatus van elk non-compliant device te analyseren, vervolgens de gewenste configuratie te identificeren op basis van het gedefinieerde beleid, en ten slotte de configuratie aan te passen om deze in overeenstemming te brengen met de gewenste staat. Het script voert deze acties uit met minimale impact op de gebruikerservaring, waarbij waar mogelijk wordt geprobeerd om de configuratiewijziging door te voeren zonder dat de gebruiker wordt onderbroken of dat applicaties moeten worden herstart.
In gevallen waar automatische remediatie niet mogelijk is of waar handmatige interventie vereist is vanwege de complexiteit van het probleem, genereert het script uitgebreide en gedetailleerde rapporten die specifieke stappen bevatten die moeten worden uitgevoerd door IT-beheerders om het probleem op te lossen. Deze rapporten zijn gestructureerd om duidelijk te maken wat het probleem is, waarom het is opgetreden, en welke concrete acties moeten worden ondernomen om het probleem op te lossen. De rapporten bevatten ook informatie over de prioriteit van de remediatie, wat helpt bij het bepalen welke problemen eerst moeten worden aangepakt wanneer er meerdere afwijkingen zijn gedetecteerd.
Een kritiek aspect van het remediatie proces is het onderzoeken van de onderliggende oorzaak van de afwijking, vooral wanneer devices herhaaldelijk non-compliant raken ondanks eerdere remediatie pogingen. Herhaalde afwijkingen kunnen wijzen op dieperliggende systemische problemen die niet kunnen worden opgelost door simpelweg de configuratie opnieuw toe te passen. Deze problemen kunnen bijvoorbeeld het gevolg zijn van conflicterende beleidsregels die elkaar tegenspreken, lokale administrator wijzigingen die de centrale configuratie overschrijven, of problemen met de device management infrastructuur die voorkomen dat configuraties correct worden toegepast. Het identificeren en aanpakken van deze root causes is essentieel voor het waarborgen van langetermijn compliance en het voorkomen van herhaalde problemen.
In gevallen waar systemische problemen zijn geïdentificeerd, moet de root cause worden aangepakt voordat remediatie wordt uitgevoerd om te voorkomen dat het probleem zich blijft voordoen. Dit kan betekenen dat conflicterende beleidsregels moeten worden herzien en aangepast om ervoor te zorgen dat ze consistent zijn met elkaar, dat lokale administrator rechten moeten worden herzien om te voorkomen dat gebruikers configuraties kunnen wijzigen die in strijd zijn met het centrale beleid, of dat de device management infrastructuur moet worden verbeterd om te waarborgen dat configuraties betrouwbaar worden toegepast. Deze aanpak vereist vaak coördinatie tussen verschillende teams binnen de organisatie, waaronder IT-beheer, security operations, en mogelijk ook de afdeling die verantwoordelijk is voor het beheer van lokale administrator accounts.
Voor kritieke afwijkingen waarbij de security posture direct in gevaar komt, moet onmiddellijke remediatie worden uitgevoerd met prioriteit boven andere operationele taken. Deze kritieke afwijkingen kunnen bijvoorbeeld optreden wanneer een groot aantal devices tegelijkertijd non-compliant raakt, wat kan wijzen op een wijdverspreid probleem dat de beveiliging van de hele organisatie in gevaar brengt. In dergelijke gevallen moet het remediatie proces worden geëscaleerd naar een incident response procedure, waarbij een dedicated team wordt samengesteld om het probleem snel op te lossen en te waarborgen dat de beveiligingspostuur wordt hersteld. Deze procedure moet worden gedocumenteerd in het security incident response plan van de organisatie en regelmatig worden getest om te waarborgen dat het team voorbereid is op dergelijke situaties.
Na de uitvoering van remediatie moet er een verificatieproces worden uitgevoerd om te waarborgen dat de remediatie succesvol is geweest en dat de configuratie daadwerkelijk is hersteld naar de gewenste staat. Dit verificatieproces moet worden uitgevoerd door het opnieuw uitvoeren van de monitoring controles die oorspronkelijk de afwijking hebben gedetecteerd, en door aanvullende controles uit te voeren om te waarborgen dat er geen andere problemen zijn ontstaan als gevolg van de remediatie. De resultaten van dit verificatieproces moeten worden gedocumenteerd en opgenomen in de remediatie rapporten, wat essentieel is voor audit doeleinden en voor het leren van het incident om toekomstige problemen te voorkomen..
Compliance en Auditing
De implementatie en handhaving van deze beveiligingsmaatregel draagt op significante wijze bij aan compliance met verschillende security frameworks en regelgeving die van toepassing zijn op Nederlandse overheidsorganisaties en andere organisaties in de publieke sector. Compliance is niet alleen een kwestie van het voldoen aan formele vereisten, maar vormt een essentieel onderdeel van het totale risicomanagement en beveiligingsbeheer van de organisatie. Door deze beveiligingsmaatregel te implementeren en te handhaven, demonstreren organisaties hun commitment aan het beschermen van hun systemen en data tegen beveiligingsbedreigingen, wat op zijn beurt bijdraagt aan het vertrouwen van burgers, partners en andere stakeholders in de organisatie. Voor de BIO normen, die specifiek zijn ontwikkeld voor de Nederlandse overheid, is deze configuratie direct relevant voor technische beveiligingsmaatregelen zoals beschreven in control 13.01.01. Deze control stelt dat organisaties technische maatregelen moeten nemen om systemen te beveiligen tegen bekende bedreigingen en kwetsbaarheden. Door enhanced security specifiek voor intranet zones uit te schakelen, kunnen organisaties een praktische en weloverwogen balans vinden tussen beveiliging en functionaliteit, wat essentieel is voor het waarborgen van bedrijfscontinuïteit en het effectief functioneren van kritieke interne systemen. Deze balans is bijzonder belangrijk voor overheidsorganisaties die vaak moeten werken met legacy systemen en applicaties die niet altijd compatibel zijn met de nieuwste beveiligingsstandaarden, maar die wel essentieel zijn voor het uitvoeren van publieke taken. Voor ISO 27001 compliance sluit deze maatregel naadloos aan bij control A.12.6.1 over technisch kwetsbaarheidsbeheer, waarbij organisaties proactief moeten omgaan met bekende beveiligingsrisico's en kwetsbaarheden. Deze control vereist dat organisaties een systematische aanpak hanteren voor het identificeren, evalueren en beheren van technische kwetsbaarheden in hun systemen. Door enhanced security voor intranet zones uit te schakelen op basis van een weloverwogen risicoanalyse, demonstreren organisaties dat zij proactief omgaan met bekende beveiligingsrisico's en dat zij in staat zijn om praktische oplossingen te implementeren die zowel beveiliging als functionaliteit waarborgen. Deze aanpak is consistent met de risicogebaseerde benadering die centraal staat in ISO 27001, waarbij beveiligingsmaatregelen worden gekozen op basis van een grondige analyse van de specifieke risico's en context van de organisatie. De configuratie moet volledig en uitgebreid worden gedocumenteerd in het security beleid document van de organisatie, waarbij alle relevante aspecten worden vastgelegd voor toekomstige referentie en audit doeleinden. Deze documentatie moet de rationale omvatten voor het uitschakelen van enhanced security voor intranet zones, inclusief een gedetailleerde uitleg van de risicoanalyse die heeft geleid tot deze beslissing en de overwegingen die zijn meegenomen bij het afwegen van beveiliging versus functionaliteit. Daarnaast moet de documentatie de volledige implementatie procedure bevatten, inclusief alle stappen die moeten worden ondernomen om de configuratie correct te implementeren, de monitoring frequentie en procedures die moeten worden gevolgd, en de remediatie processen die moeten worden uitgevoerd wanneer afwijkingen worden gedetecteerd. Tijdens security audits, die regelmatig worden uitgevoerd door interne audit teams of externe auditors, moeten organisaties kunnen aantonen dat deze configuratie niet alleen is geïmplementeerd, maar ook actief wordt gemonitord en dat afwijkingen worden gedetecteerd en hersteld volgens de gedefinieerde procedures. Deze demonstratie vereist uitgebreide documentatie van de monitoring activiteiten, inclusief rapporten die laten zien wanneer monitoring is uitgevoerd, welke resultaten zijn behaald, en welke acties zijn ondernomen in reactie op gedetecteerde afwijkingen. Deze documentatie moet worden ondersteund door concrete bewijzen, zoals screenshots van monitoring rapporten, logs van remediatie acties, en andere relevante documentatie die aantoont dat de organisatie daadwerkelijk actief beheer voert over deze beveiligingsconfiguratie. Audit logs van policy changes en compliance reports vormen een essentieel onderdeel van de audit documentatie en moeten worden bewaard voor de vastgestelde retentietijd, conform de organisatorische data retention policies. Deze logs bevatten waardevolle informatie over wanneer en door wie wijzigingen zijn aangebracht aan het beleid, wat de aard van deze wijzigingen was, en wat de impact daarvan was op de compliance status van de organisatie. De retentietijd voor deze logs moet worden bepaald op basis van de specifieke vereisten van de verschillende compliance frameworks waaraan de organisatie moet voldoen, waarbij rekening moet worden gehouden met de langste vereiste retentietijd om te waarborgen dat alle relevante informatie beschikbaar blijft voor toekomstige audits. Deze uitgebreide documentatie is essentieel voor het aantonen van due diligence en proactief beveiligingsbeheer aan auditors en toezichthouders. Due diligence verwijst naar de zorgvuldige en systematische aanpak die organisaties moeten hanteren bij het beheren van beveiligingsrisico's, waarbij alle relevante overwegingen worden meegenomen en alle beslissingen worden gedocumenteerd en kunnen worden gerechtvaardigd. Door uitgebreide documentatie bij te houden en actief beheer uit te voeren over beveiligingsconfiguraties, demonstreren organisaties dat zij deze due diligence serieus nemen en dat zij beschikken over de processen en procedures die nodig zijn om effectief beveiligingsbeheer uit te voeren. Deze demonstratie is niet alleen belangrijk voor het voldoen aan formele compliance vereisten, maar draagt ook bij aan het vertrouwen van stakeholders en het algemene beveiligingspostuur van de organisatie.
Compliance & Frameworks
- CIS M365: Control Security Controls (L1) - Security hardening
- BIO: 13.01.01 - Technical security measures
- ISO 27001:2022: A.12.6.1 - Technical vulnerability management
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Edge Security: Enhanced Security Intranet Disabled
.DESCRIPTION
CIS - Enhanced security ook op intranet sites toepassen.
.NOTES
Filename: enhanced-security-intranet-disabled.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Edge\EnhanceSecurityModeBypassIntranet|Expected: 0
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge"; $RegName = "EnhanceSecurityModeBypassIntranet"; $ExpectedValue = 0
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "enhanced-security-intranet-disabled.ps1"; PolicyName = "Enhanced Security Intranet"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; if (-not(Test-Path $RegPath)) { $r.IsCompliant = $true; $r.Details += "Default config"; return $r }; try { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop; $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Intranet bypass disabled" }else { $r.Details += "Intranet bypass enabled" } }catch { $r.IsCompliant = $true; $r.Details += "Default" }; return $r }
function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Enhanced security intranet bypass disabled" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
Low: Laag risico. Zonder deze configuratie kunnen interne websites mogelijk niet goed functioneren wanneer enhanced security mode actief is, wat kan leiden tot verminderde gebruikerservaring en mogelijke werkonderbrekingen.
Management Samenvatting
Deze maatregel configureert Microsoft Edge om enhanced security mode uit te schakelen specifiek voor intranet zones, waardoor interne websites soepel blijven functioneren terwijl externe websites nog steeds de volledige enhanced security bescherming genieten. Deze configuratie balanceert beveiliging en functionaliteit voor organisaties met interne applicaties die gebruik maken van verouderde protocollen of technologieën.
- Implementatietijd: 2 uur
- FTE required: 0.01 FTE