L1 BIO 12.02.01 ISO A.8.7 CIS Edge Security - Enhanced bescherming

Enhanced Security Mode Ingeschakeld

📅 2025-10-30
⏱️ 6 minuten lezen
🟢 Should-Have

💼 Management Samenvatting

Enhanced Security Mode schakelt JIT-compilatie uit voor niet-vertrouwde websites, waardoor het aanvalsoppervlak van browser exploits drastisch wordt verkleind.

Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
7/10
Implementatie
4u (tech: 2u)
Van toepassing op:
Edge

JIT-compilatie is een techniek waarbij JavaScript tijdens runtime naar machinecode wordt gecompileerd voor betere prestaties. Echter, JIT-engines vormen een significant aanvalsoppervlak voor browser exploits. Veel zero-day kwetsbaarheden in browsers zijn gerelateerd aan fouten in de JIT-compiler. Door JIT uit te schakelen voor niet-vertrouwde sites, wordt de browser aanzienlijk moeilijker te exploiteren. Enhanced Security Mode gebruikt Microsoft Defender SmartScreen om te bepalen welke sites vertrouwd zijn. Voor vertrouwde sites blijft JIT ingeschakeld voor optimale prestaties, terwijl niet-vertrouwde sites zonder JIT worden uitgevoerd, wat exploit chains aanzienlijk moeilijker maakt.

PowerShell Modules Vereist
Primary API: Intune/GPO
Connection: N/A
Required Modules:

Implementatie

Deze beveiligingsmaatregel configureert de EnhanceSecurityMode-beleidsregel via het register op het pad HKLM:\SOFTWARE\Policies\Microsoft\Edge\EnhanceSecurityMode. Beschikbare modi zijn: 0 betekent uitgeschakeld, 1 betekent Balanced waarbij JIT wordt uitgeschakeld voor niet-vertrouwde sites en dit is de aanbevolen instelling, 2 betekent Strict waarbij JIT altijd wordt uitgeschakeld voor maximale beveiliging maar met mogelijke prestatie-impact. De Balanced modus biedt de beste balans tussen beveiliging en gebruikerservaring.

Vereisten

Voor het succesvol implementeren van Enhanced Security Mode binnen een organisatie zijn verschillende technische en organisatorische vereisten van essentieel belang. Deze vereisten vormen de basis voor een veilige en effectieve implementatie die zowel de beveiligingsdoelstellingen als de gebruikerservaring waarborgt. De primaire technische vereiste betreft de Microsoft Edge browser versie. Organisaties moeten beschikken over Microsoft Edge versie 93 of hoger om Enhanced Security Mode te kunnen gebruiken. Deze versie-eis is cruciaal omdat eerdere versies van Edge deze functionaliteit niet ondersteunen. Voor organisaties die nog werken met oudere versies, is een upgrade naar een ondersteunde versie noodzakelijk voordat Enhanced Security Mode kan worden geïmplementeerd. Het is belangrijk om te controleren welke Edge-versie binnen de organisatie wordt gebruikt en indien nodig een upgradeplan op te stellen. Daarnaast is het besturingssysteem een kritieke factor. Enhanced Security Mode vereist Windows 10 of Windows 11, of Windows Server 2019 of hoger. Deze vereiste is belangrijk omdat de onderliggende beveiligingsmechanismen en registerondersteuning die nodig zijn voor Enhanced Security Mode alleen beschikbaar zijn in deze nieuwere versies van Windows. Organisaties die nog werken met oudere Windows-versies moeten eerst een migratieplan opstellen voordat Enhanced Security Mode kan worden geïmplementeerd. Voor de daadwerkelijke implementatie zijn administrator-rechten vereist. Deze rechten zijn nodig omdat Enhanced Security Mode wordt geconfigureerd via Groepsbeleid (GPO) of Microsoft Intune, wat beide administrator-toegang vereist. Zonder deze rechten kan de configuratie niet worden toegepast op de werkstations en servers binnen de organisatie. Het is belangrijk dat de IT-afdeling beschikt over de juiste rechten en dat deze rechten op een veilige manier worden beheerd volgens het principe van minimale rechten. Een andere essentiële vereiste is dat Microsoft Defender SmartScreen moet zijn ingeschakeld voor site reputation. Enhanced Security Mode gebruikt SmartScreen om te bepalen welke websites als vertrouwd worden beschouwd en welke niet. Zonder SmartScreen kan Enhanced Security Mode niet correct functioneren omdat het systeem dan niet kan bepalen welke sites JIT-compilatie mogen gebruiken en welke niet. Organisaties moeten daarom verifiëren dat SmartScreen actief is voordat Enhanced Security Mode wordt geïmplementeerd. Voordat Enhanced Security Mode volledig wordt uitgerold, is uitgebreide testing van kritieke web applicaties op compatibiliteit noodzakelijk. Sommige web applicaties kunnen afhankelijk zijn van JIT-compilatie voor optimale functionaliteit, en het uitschakelen van JIT kan leiden tot prestatieproblemen of zelfs functionele problemen. Organisaties moeten daarom een testplan opstellen waarbij alle kritieke web applicaties worden getest met Enhanced Security Mode ingeschakeld. Dit omvat zowel interne applicaties als externe applicaties die regelmatig worden gebruikt door medewerkers. Ten slotte is continue prestatiebewaking voor de gebruikerservaring een belangrijke vereiste. Na implementatie moet de organisatie monitoren of Enhanced Security Mode negatieve gevolgen heeft voor de gebruikerservaring. Dit omvat het monitoren van laadtijden van websites, het verzamelen van feedback van gebruikers, en het analyseren van prestatiemetrics. Op basis van deze monitoring kan de organisatie besluiten om Enhanced Security Mode aan te passen of om specifieke uitzonderingen te maken voor bepaalde websites die problemen veroorzaken.

Implementatie

Gebruik PowerShell-script enhanced-security-mode-enabled.ps1 (functie Invoke-Remediation) – PowerShell script voor automatische implementatie van Enhanced Security Mode.

Enhanced Security Mode kan worden geïmplementeerd via verschillende methoden, afhankelijk van de infrastructuur en voorkeuren van de organisatie. De meest gebruikte methoden zijn automatische implementatie via PowerShell-scripts en handmatige configuratie via Microsoft Intune of Groepsbeleid. Elke methode heeft zijn eigen voordelen en is geschikt voor verschillende scenario's. De keuze voor een specifieke implementatiemethode hangt af van factoren zoals de grootte van de organisatie, de beschikbare technische expertise, en de voorkeur voor geautomatiseerde of handmatige configuratieprocessen. Voor organisaties die automatisering prefereren, biedt het bijgeleverde PowerShell-script een efficiënte manier om Enhanced Security Mode te implementeren. Dit script configureert automatisch de benodigde registerinstellingen en kan worden uitgevoerd als onderdeel van een grotere implementatieprocedure. Het script is bijzonder nuttig voor organisaties die gebruik maken van configuratiebeheertools zoals System Center Configuration Manager of andere implementatie-automatisering. Het gebruik van scripts maakt het mogelijk om Enhanced Security Mode consistent te implementeren op verschillende systemen en om de implementatie te documenteren voor audit-doeleinden. Handmatige implementatie via Microsoft Intune is de aanbevolen methode voor organisaties die volledig cloudgebaseerd werken en gebruik maken van Microsoft Endpoint Manager. Het implementatieproces begint met het openen van het Microsoft Intune-beheercentrum, waar beheerders toegang hebben tot alle configuratie-opties voor hun endpoints. Vanuit het beheercentrum navigeert de beheerder naar de sectie Apparaten, gevolgd door Configuratieprofielen. Hier kan een nieuw profiel worden aangemaakt specifiek voor Enhanced Security Mode-configuratie. Deze aanpak biedt beheerders volledige controle over de configuratie en maakt het mogelijk om verschillende configuraties toe te passen op verschillende groepen gebruikers of apparaten. Bij het aanmaken van een nieuw profiel moet de beheerder het platform selecteren, in dit geval Windows 10 en later, en het profieltype kiezen. Voor Enhanced Security Mode moet het profieltype worden ingesteld op Sjablonen, gevolgd door Beheersjablonen. Dit profieltype maakt het mogelijk om Windows- en applicatie-instellingen te configureren via de traditionele beheersjablonen, wat de standaardmethode is voor het configureren van Microsoft Edge-instellingen. Deze methode biedt een vertrouwde interface voor beheerders die bekend zijn met Groepsbeleid en maakt het mogelijk om complexe configuraties te beheren via een centraal beheersysteem. Binnen de Beheersjablonen moet de beheerder navigeren naar de Microsoft Edge-sectie en de specifieke instelling voor EnhanceSecurityMode configureren. Deze instelling kan worden ingesteld op waarde 1 voor Balanced modus of waarde 2 voor Strict modus. Balanced modus is over het algemeen aanbevolen omdat het de beste balans biedt tussen beveiliging en gebruikerservaring, terwijl Strict modus maximale beveiliging biedt maar mogelijk negatieve gevolgen heeft voor de prestaties van sommige websites. De keuze tussen deze modi moet worden gemaakt op basis van het risicoprofiel van de organisatie en de specifieke beveiligingsvereisten. Voordat de configuratie volledig wordt uitgerold, is het cruciaal om eerst te testen met een pilotgroep. Deze pilotgroep moet bestaan uit een representatieve selectie van gebruikers die verschillende rollen en gebruikspatronen vertegenwoordigen. Tijdens de pilotperiode moet de organisatie aandachtig bewaken op compatibiliteitsproblemen, waarbij specifiek wordt gelet op webapplicaties die mogelijk afhankelijk zijn van JIT-compilatie. Gebruikersfeedback moet worden verzameld en geanalyseerd om te bepalen of er aanpassingen nodig zijn aan de configuratie. Deze testperiode is essentieel om te waarborgen dat Enhanced Security Mode geen negatieve impact heeft op de productiviteit van gebruikers of op de functionaliteit van kritieke bedrijfsapplicaties. Gedurende de pilotperiode en na volledige implementatie moet de organisatie continue bewaking uitvoeren van zowel de prestaties als de gebruikerservaring. Dit omvat het verzamelen van prestatiegegevens over website-laadtijden, het bewaken van gebruikersklachten, en het analyseren van eventuele beveiligingsincidenten. Op basis van deze bewaking kan de organisatie besluiten om de configuratie aan te passen of om specifieke uitzonderingen te maken voor bepaalde websites. Deze continue bewaking zorgt ervoor dat Enhanced Security Mode effectief blijft werken en dat eventuele problemen snel worden geïdentificeerd en opgelost. Na een succesvolle pilotperiode kan de configuratie geleidelijk worden uitgerold naar alle gebruikers binnen de organisatie. Deze gefaseerde aanpak minimaliseert risico's en maakt het mogelijk om eventuele problemen snel te identificeren en op te lossen voordat ze een groot aantal gebruikers beïnvloeden. De gefaseerde implementatie moet worden gepland in overleg met verschillende afdelingen en moet worden gecommuniceerd naar alle betrokken partijen om te waarborgen dat iedereen op de hoogte is van de wijzigingen en van de verwachte impact. Enhanced Security Mode kent drie verschillende modi die elk hun eigen karakteristieken hebben. Modus 0 betekent dat Enhanced Security Mode volledig is uitgeschakeld, wat de standaardinstelling is maar niet wordt aanbevolen vanwege de beveiligingsrisico's. Modus 1, ook wel Balanced modus genoemd, schakelt JIT-compilatie uit voor niet-vertrouwde websites terwijl vertrouwde websites JIT-compilatie blijven gebruiken. Deze modus biedt een goede balans tussen beveiliging en prestaties en is over het algemeen de aanbevolen instelling voor de meeste organisaties. De Balanced modus zorgt ervoor dat gebruikers optimale prestaties ervaren op vertrouwde websites terwijl niet-vertrouwde websites worden beschermd tegen JIT-gerelateerde exploits. Modus 2, ook wel Strict modus genoemd, schakelt JIT-compilatie altijd uit, ongeacht of een website als vertrouwd wordt beschouwd. Deze modus biedt maximale beveiliging maar kan negatieve gevolgen hebben voor de prestaties van websites, vooral voor complexe webapplicaties die afhankelijk zijn van JavaScript-prestaties. Strict modus wordt over het algemeen alleen aanbevolen voor organisaties met zeer hoge beveiligingsvereisten of voor specifieke gebruiksscenario's waar prestaties minder belangrijk zijn dan beveiliging. Organisaties die Strict modus overwegen moeten uitgebreide tests uitvoeren om te waarborgen dat kritieke webapplicaties nog steeds correct functioneren. Het is belangrijk om te weten dat Enhanced Security Mode standaard is ingeschakeld vanaf Microsoft Edge versie 105 in Balanced modus. Dit betekent dat organisaties die recente versies van Edge gebruiken mogelijk al Enhanced Security Mode hebben ingeschakeld zonder dit te beseffen. Het is daarom belangrijk om de huidige configuratie te verifiëren en te controleren of Enhanced Security Mode niet per ongeluk is uitgeschakeld door andere configuraties of door gebruikersinstellingen. Deze verificatie moet worden uitgevoerd als onderdeel van de reguliere beveiligingscontroles en moet worden gedocumenteerd voor compliance-doeleinden.

Monitoring

Gebruik PowerShell-script enhanced-security-mode-enabled.ps1 (functie Invoke-Monitoring) – Controleert of Enhanced Security Mode correct is geconfigureerd.

Effectieve bewaking van Enhanced Security Mode is essentieel om te waarborgen dat de beveiligingsmaatregel correct functioneert en om eventuele problemen tijdig te identificeren. Bewaking moet worden uitgevoerd op regelmatige basis en moet zowel technische configuratie als gebruikerservaring omvatten. Een goed gestructureerd bewakingsprogramma vormt de basis voor het succesvol beheren van deze beveiligingsmaatregel en zorgt ervoor dat organisaties proactief kunnen reageren op eventuele problemen voordat deze een negatieve impact hebben op de beveiliging of gebruikerservaring. De primaire technische controle betreft de registerinstellingen die Enhanced Security Mode configureren. Beheerders moeten regelmatig verifiëren dat de registerwaarde op het pad HKLM:\SOFTWARE\Policies\Microsoft\Edge correct is ingesteld. De specifieke waarde die moet worden gecontroleerd is EnhanceSecurityMode, die moet zijn ingesteld op 1 voor Balanced modus of 2 voor Strict modus. Deze controle kan handmatig worden uitgevoerd via de Register-editor of automatisch via het bijgeleverde bewakingsscript. Het is belangrijk dat deze controles worden uitgevoerd volgens een vastgesteld schema, waarbij de frequentie wordt bepaald door het risicoprofiel van de organisatie. Voor organisaties met hoge beveiligingsvereisten wordt aanbevolen om deze controles wekelijks uit te voeren, terwijl voor organisaties met een lager risicoprofiel maandelijkse controles voldoende kunnen zijn. Naast technische configuratiecontroles is het bewaken van gebruikersklachten over website-compatibiliteit van cruciaal belang. Enhanced Security Mode kan invloed hebben op de functionaliteit of prestaties van bepaalde websites, vooral websites die afhankelijk zijn van complexe JavaScript-toepassingen. Organisaties moeten daarom een gestructureerd proces hebben voor het verzamelen en analyseren van gebruikersklachten, waarbij specifiek wordt gelet op problemen die mogelijk verband houden met Enhanced Security Mode. Dit kan worden gedaan via een helpdesksysteem, gebruikersenquêtes, of regelmatige feedbacksessies met gebruikers. Het is belangrijk dat gebruikers een eenvoudige manier hebben om problemen te melden en dat deze meldingen snel worden geanalyseerd om te bepalen of ze verband houden met Enhanced Security Mode of met andere factoren. Prestatiegegevens voor websites waar JIT-compilatie is uitgeschakeld moeten worden geanalyseerd om te bepalen of Enhanced Security Mode negatieve gevolgen heeft voor de gebruikerservaring. Dit omvat het bewaken van laadtijden, responsetijden, en andere prestatie-indicatoren voor websites die als niet-vertrouwd worden beschouwd. Organisaties kunnen gebruik maken van verschillende bewakingstools om deze gegevens te verzamelen, waaronder browser-gebouwde ontwikkelaarstools, applicatieprestatiebewakingstools, of specifieke webprestatiebewakingsoplossingen. Het verzamelen en analyseren van deze gegevens helpt organisaties om te begrijpen welke impact Enhanced Security Mode heeft op de gebruikerservaring en om waar nodig aanpassingen te maken aan de configuratie of om uitzonderingen te creëren voor specifieke websites die problemen veroorzaken. Beveiligingsincidenten die gerelateerd zijn aan browser exploits moeten worden gevolgd en geanalyseerd om te bepalen of Enhanced Security Mode effectief is in het voorkomen van dergelijke aanvallen. Dit omvat het bewaken van beveiligingslogboeken, het analyseren van incidentrapporten, en het vergelijken van incidentstatistieken voor en na de implementatie van Enhanced Security Mode. Als er een toename wordt waargenomen in browser-gerelateerde beveiligingsincidenten, kan dit wijzen op een probleem met de configuratie of op de noodzaak om aanvullende beveiligingsmaatregelen te implementeren. Het is belangrijk dat organisaties een duidelijk proces hebben voor het analyseren van beveiligingsincidenten en dat zij deze incidenten documenteren voor toekomstige referentie en voor het identificeren van trends over tijd. De werking van Microsoft Defender SmartScreen voor sitereputatie moet regelmatig worden geverifieerd omdat Enhanced Security Mode afhankelijk is van SmartScreen om te bepalen welke websites als vertrouwd worden beschouwd. Als SmartScreen niet correct functioneert, kan Enhanced Security Mode niet effectief zijn omdat het systeem dan niet accuraat kan bepalen welke websites JIT-compilatie mogen gebruiken. Beheerders moeten daarom controleren of SmartScreen actief is, of de configuratie correct is, en of er geen problemen zijn met de SmartScreen-service. Deze verificatie moet worden uitgevoerd als onderdeel van de reguliere beveiligingscontroles en moet worden gedocumenteerd voor audit-doeleinden. Bewaking moet worden uitgevoerd volgens een vastgesteld schema, waarbij technische controles bijvoorbeeld wekelijks of maandelijks worden uitgevoerd, afhankelijk van het risicoprofiel van de organisatie. Gebruikersfeedback en prestatiegegevens moeten continu worden verzameld en geanalyseerd, terwijl beveiligingsincidenten moeten worden gevolgd in realtime. Alle bewakingsactiviteiten moeten worden gedocumenteerd voor audit-doeleinden en om trends te kunnen identificeren over tijd. Deze documentatie vormt een belangrijk onderdeel van het compliance-programma van de organisatie en helpt bij het aantonen dat Enhanced Security Mode correct wordt beheerd en gemonitord. Daarnaast kan deze documentatie worden gebruikt voor het identificeren van verbeterpunten en voor het optimaliseren van het beheer van Enhanced Security Mode.

Compliance en Audit

Enhanced Security Mode draagt bij aan naleving van verschillende belangrijke compliance frameworks en beveiligingsstandaarden die relevant zijn voor Nederlandse overheidsorganisaties en andere organisaties met hoge beveiligingsvereisten. Deze beveiligingsmaatregel vormt een essentieel onderdeel van een breed beveiligingsprogramma dat voldoet aan zowel internationale als nationale normen. De CIS Microsoft Edge Benchmark bevat specifieke aanbevelingen voor browser hardening, waarbij Enhanced Security Mode wordt erkend als een belangrijke maatregel voor het beperken van het aanvalsoppervlak van browsers. Deze benchmark, ontwikkeld door het Center for Internet Security, biedt praktische richtlijnen voor het beveiligen van Microsoft Edge in enterprise-omgevingen. Enhanced Security Mode helpt organisaties om te voldoen aan de aanbevelingen in deze benchmark door JIT-compilatie uit te schakelen voor niet-vertrouwde websites, wat het risico op browser exploits aanzienlijk vermindert. Voor Nederlandse overheidsorganisaties is de Baseline Informatiebeveiliging Overheid (BIO) van bijzonder belang. Enhanced Security Mode draagt direct bij aan BIO 12.02, dat zich richt op bescherming tegen malware en exploit mitigatie. Deze maatregel helpt organisaties om te voldoen aan de vereisten voor het beschermen van systemen tegen kwaadaardige software en het beperken van de impact van beveiligingskwetsbaarheden. Daarnaast ondersteunt Enhanced Security Mode BIO 12.06, dat zich richt op het beheer van technische kwetsbaarheden. Door JIT-compilatie uit te schakelen voor niet-vertrouwde websites, vermindert Enhanced Security Mode het risico op exploitatie van kwetsbaarheden in de JIT-compiler, wat een belangrijke stap is in het beheren van technische kwetsbaarheden. De internationale ISO 27001 standaard bevat verschillende controls die relevant zijn voor Enhanced Security Mode. ISO 27001 A.8.7 richt zich op bescherming tegen malware en vereist dat organisaties maatregelen implementeren om systemen te beschermen tegen kwaadaardige software. Enhanced Security Mode draagt hieraan bij door het aanvalsoppervlak van browsers te verkleinen, waardoor het moeilijker wordt voor aanvallers om malware te verspreiden via browser exploits. Daarnaast ondersteunt Enhanced Security Mode ISO 27001 A.12.6.1, dat zich richt op het beheer van technische kwetsbaarheden. Deze control vereist dat organisaties technische kwetsbaarheden identificeren, evalueren en beheren, wat precies is wat Enhanced Security Mode doet door het risico op exploitatie van JIT-compiler kwetsbaarheden te verminderen. De NIS2-richtlijn, die van toepassing is op essentiële en belangrijke entiteiten binnen de Europese Unie, bevat in Artikel 21 specifieke vereisten voor cybersecurity risicobeheer. Deze richtlijn vereist dat organisaties passende technische en organisatorische maatregelen implementeren om cybersecurity-risico's te beheren. Enhanced Security Mode vormt een belangrijke technische maatregel die helpt om te voldoen aan deze vereisten door het risico op browser exploits te verminderen, wat een significant cybersecurity-risico kan vormen voor organisaties die afhankelijk zijn van web-based applicaties. De OWASP Application Security Verification Standard (ASVS) versie 14 bevat in de Configuration-categorie specifieke vereisten voor browser security hardening. Enhanced Security Mode helpt organisaties om te voldoen aan deze vereisten door browsers te configureren op een manier die het aanvalsoppervlak minimaliseert. De OWASP ASVS is een belangrijke standaard voor organisaties die web applicaties ontwikkelen of gebruiken, en Enhanced Security Mode vormt een essentiële maatregel voor het beveiligen van de browser-omgeving waarin deze applicaties worden uitgevoerd. Voor Nederlandse overheidsorganisaties is het belangrijk om te erkennen dat Enhanced Security Mode niet alleen voldoet aan deze compliance frameworks, maar ook bijdraagt aan de algemene beveiligingsdoelstellingen zoals vastgelegd in de BIO en andere relevante normen. Door Enhanced Security Mode te implementeren, tonen organisaties aan dat zij serieus omgaan met beveiligingsrisico's en proactief maatregelen nemen om hun systemen te beschermen tegen moderne bedreigingen.

Remediatie

Gebruik PowerShell-script enhanced-security-mode-enabled.ps1 (functie Invoke-Remediation) – Herstelt Enhanced Security Mode configuratie indien deze niet correct is ingesteld.

Remediatie van Enhanced Security Mode is nodig wanneer monitoring of audits aantonen dat de configuratie niet correct is ingesteld of wanneer de configuratie per ongeluk is gewijzigd. Het remediatieproces moet snel en effectief zijn om te waarborgen dat de beveiligingsmaatregel continu actief blijft. Het bijgeleverde PowerShell-script biedt een geautomatiseerde manier om Enhanced Security Mode te herstellen naar de gewenste configuratie. Dit script controleert de huidige registerinstellingen en past deze aan indien ze niet overeenkomen met de gewenste configuratie. Het script kan worden uitgevoerd als onderdeel van een geautomatiseerd monitoring- en remediatieproces, waardoor problemen snel kunnen worden opgelost zonder handmatige interventie. Wanneer handmatige remediatie nodig is, moeten beheerders eerst de huidige configuratie controleren door de registerwaarde te bekijken op het pad HKLM:\SOFTWARE\Policies\Microsoft\Edge, specifiek de waarde EnhanceSecurityMode. Als deze waarde niet is ingesteld op 1 (Balanced) of 2 (Strict), moet deze worden aangepast naar de gewenste waarde. Dit kan worden gedaan via de Register-editor of via Groepsbeleid of Intune, afhankelijk van hoe de organisatie zijn configuratie beheert. In gevallen waar Enhanced Security Mode volledig is uitgeschakeld (waarde 0), is onmiddellijke remediatie vereist omdat dit een significant beveiligingsrisico vormt. Beheerders moeten de configuratie zo snel mogelijk herstellen naar ten minste Balanced mode, bij voorkeur binnen 24 uur na detectie van het probleem. Tijdens het remediatieproces moet worden onderzocht waarom de configuratie is gewijzigd om te voorkomen dat het probleem zich opnieuw voordoet. Na remediatie moet de configuratie worden geverifieerd om te waarborgen dat de wijzigingen correct zijn toegepast. Dit omvat het opnieuw controleren van de registerinstellingen en het testen van de functionaliteit om te bevestigen dat Enhanced Security Mode correct werkt. Daarnaast moeten gebruikers worden geïnformeerd over de remediatie, vooral als dit gevolgen kan hebben voor hun gebruikerservaring. Voor organisaties die gebruik maken van Microsoft Intune kan remediatie worden uitgevoerd door de configuratieprofiel-instellingen te controleren en indien nodig bij te werken. Intune biedt de mogelijkheid om configuratieprofielen te synchroniseren met endpoints, waardoor remediatie automatisch kan worden uitgevoerd wanneer endpoints verbinding maken met de Intune-service. Het is belangrijk om een remediatieproces te documenteren dat duidelijk beschrijft welke stappen moeten worden genomen wanneer Enhanced Security Mode niet correct is geconfigureerd. Dit proces moet worden opgenomen in de algemene beveiligingsprocedures van de organisatie en moet regelmatig worden getest om te waarborgen dat het effectief is. Daarnaast moeten beheerders worden getraind in het uitvoeren van remediatie-acties om te waarborgen dat problemen snel kunnen worden opgelost.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Edge Security: Enhanced Security Mode - Extra beveiliging voor risky sites .DESCRIPTION CIS - Enhanced Security Mode biedt extra bescherming via hardware isolation. .NOTES Filename: enhanced-security-mode-enabled.ps1 | Author: Nederlandse Baseline voor Veilige Cloud Registry: HKLM:\SOFTWARE\Policies\Microsoft\Edge\EnhanceSecurityMode | Expected: 1+ #> #Requires -Version 5.1 #Requires -RunAsAdministrator [CmdletBinding()]param([Parameter()][switch]$WhatIf, [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [Parameter()][switch]$Revert) $ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge"; $RegName = "EnhanceSecurityMode"; $ExpectedValue = 1 function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) } function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "enhanced-security-mode-enabled.ps1"; PolicyName = "Enhanced Security Mode"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; if (-not(Test-Path $RegPath)) { $r.Details += "Default enabled"; $r.IsCompliant = $true; return $r }; try { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop; $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -ge $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Enhanced security enabled" }else { $r.Details += "Enhanced security disabled" } }catch { $r.IsCompliant = $true; $r.Details += "Default enabled" }; return $r } function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Enhanced Security Mode enabled" -ForegroundColor Green } function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r } function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue } try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }

Risico zonder implementatie

Risico zonder implementatie
High: Hoog risico op browser exploits via JIT-kwetsbaarheden. Veel zero-day browser exploits maken gebruik van bugs in de JIT compiler. Zonder Enhanced Security Mode is de browser significant vatbaarder voor exploit chains die kunnen leiden tot Remote Code Execution (RCE) en volledige systeemcompromittering.

Management Samenvatting

Enhanced Security Mode schakelt JIT compilatie uit voor niet-vertrouwde sites, waardoor browser exploits drastisch moeilijker worden. Gebruik Balanced mode voor optimale balans tussen beveiliging en prestaties. Standaard ingeschakeld vanaf Edge 105 - verifieer configuratie. Implementatie: 2-4 uur inclusief testing.