L1 BIO 13.01.01 ISO A.12.6.1 CIS Security Controls

Enterprise Hardware API Uitgeschakeld

📅 2025-10-30
⏱️ 2 minuten lezen
🟢 Should-Have

💼 Management Samenvatting

Het uitschakelen van de Enterprise Hardware API in Microsoft Edge vormt een essentiële beveiligingsmaatregel voor organisaties die hun browseromgeving willen beschermen tegen potentiële aanvalsvectoren. Deze API biedt websites toegang tot hardware-informatie van het apparaat, wat privacy- en beveiligingsrisico's met zich meebrengt wanneer deze functionaliteit niet strikt wordt gecontroleerd.

Aanbeveling
IMPLEMENTEREN
Risico zonder
Medium
Risk Score
4/10
Implementatie
2u (tech: 1u)
Van toepassing op:
Edge

De Enterprise Hardware API stelt websites in staat om gedetailleerde informatie over de hardwareconfiguratie van een apparaat te verkrijgen, inclusief processorinformatie, geheugenspecificaties en andere systeemkenmerken. Hoewel deze informatie op het eerste gezicht onschuldig lijkt, kunnen kwaadwillende actoren deze gegevens gebruiken voor fingerprinting, waardoor individuele gebruikers kunnen worden geïdentificeerd en gevolgd, zelfs wanneer andere privacybeschermingsmaatregelen actief zijn. Bovendien kunnen deze hardwarekenmerken worden gebruikt om geavanceerde aanvallen te ontwikkelen die specifiek zijn afgestemd op bepaalde hardwareconfiguraties. Voor Nederlandse overheidsorganisaties die werken met gevoelige informatie en persoonsgegevens, vormt het uitschakelen van deze API een kritieke stap in het beschermen van de privacy van burgers en medewerkers, en het voldoen aan de strenge eisen van de Algemene Verordening Gegevensbescherming (AVG).

PowerShell Modules Vereist
Primary API: Graph
Connection: Connect-MgGraph
Required Modules: Microsoft.Graph.DeviceManagement

Implementatie

Deze beveiligingsmaatregel configureert Microsoft Edge om de Enterprise Hardware API volledig uit te schakelen via Microsoft Intune apparaatconfiguratiebeleidsregels. Door deze instelling te implementeren, voorkomt de organisatie dat websites en webapplicaties toegang krijgen tot hardware-informatie, waardoor de privacy van gebruikers wordt beschermd en de mogelijkheid voor fingerprinting wordt geëlimineerd. De implementatie wordt centraal beheerd via Intune, wat zorgt voor consistente toepassing op alle beheerde apparaten binnen de organisatie.

Vereisten

Voor de succesvolle implementatie van deze beveiligingsmaatregel is het essentieel dat de organisatie beschikt over een volledig geconfigureerde Microsoft Intune omgeving met de benodigde licentieverlening. Microsoft Intune vormt het centrale beheerplatform waarmee apparaatconfiguratiebeleidsregels kunnen worden gedefinieerd en toegepast op alle beheerde apparaten binnen de organisatie. De implementatie vereist dat alle doelapparaten correct zijn geregistreerd in Intune en dat de juiste licentieverlening is toegewezen, zoals Microsoft 365 E3, E5, of vergelijkbare licentiepakketten die Intune apparaatbeheer omvatten. Daarnaast is het noodzakelijk dat de IT-beheerder over de juiste bevoegdheden beschikt binnen Intune, specifiek de rol van Intune-beheerder of globale beheerder, om apparaatconfiguratiebeleidsregels te kunnen maken, wijzigen en toewijzen aan apparaten of gebruikersgroepen. De organisatie moet ook beschikken over een werkende verbinding tussen Intune en de beheerde apparaten, wat betekent dat apparaten regelmatig contact maken met de Intune-service om beleidsupdates te ontvangen. Voor Windows-apparaten betekent dit dat de apparaten moeten zijn ingeschreven via Microsoft Entra ID (voorheen Azure AD) join of hybride join, afhankelijk van de organisatiestructuur. Het is belangrijk om te benadrukken dat deze beveiligingsmaatregel alleen effectief is wanneer deze consistent wordt toegepast op alle apparaten waarop Microsoft Edge wordt gebruikt, wat betekent dat de organisatie een duidelijk overzicht moet hebben van alle apparaten die beheerd moeten worden. Bovendien vereist de implementatie dat de organisatie beschikt over de technische kennis om apparaatconfiguratiebeleidsregels correct te configureren en te valideren, wat kan worden ondersteund door training of externe expertise indien nodig. Organisaties moeten ook rekening houden met de verschillende Edge-versies die mogelijk in gebruik zijn binnen de organisatie, aangezien de beschikbaarheid van specifieke beleidsinstellingen kan variëren tussen verschillende Edge-versies. Het is daarom aan te raden om te verifiëren dat de Enterprise Hardware API-instelling beschikbaar is in de versies van Edge die door de organisatie worden gebruikt voordat de implementatie wordt gestart. Daarnaast moeten organisaties overwegen hoe deze beveiligingsmaatregel zich verhoudt tot andere Edge-beveiligingsinstellingen die mogelijk al zijn geïmplementeerd, om ervoor te zorgen dat er geen conflicten ontstaan tussen verschillende beleidsregels. Voor organisaties die werken met BYOD-scenario's (Bring Your Own Device) of hybride werkmodellen moet worden nagedacht over hoe deze beveiligingsmaatregel wordt toegepast op persoonlijke apparaten die worden gebruikt voor werkdoeleinden, waarbij het belangrijk is om een balans te vinden tussen beveiliging en gebruiksvriendelijkheid. De implementatie vereist ook dat de organisatie beschikt over een duidelijk communicatieplan om gebruikers te informeren over de wijzigingen en eventuele impact op hun dagelijkse werkzaamheden, hoewel deze specifieke maatregel doorgaans geen merkbare impact heeft op de gebruikerservaring.

Implementatie

De implementatie van het uitschakelen van de Enterprise Hardware API begint met het inloggen op het Microsoft Intune-beheercentrum, waar de IT-beheerder toegang heeft tot de apparaatconfiguratiebeleidsregels. Binnen Intune wordt een nieuw apparaatconfiguratiebeleid aangemaakt specifiek voor Microsoft Edge, waarbij de categorie Beheersjablonen wordt geselecteerd om toegang te krijgen tot de gedetailleerde Edge-beleidsinstellingen. De beheerder navigeert naar de sectie die betrekking heeft op privacy en beveiligingsinstellingen, waar de specifieke instelling voor de Enterprise Hardware API kan worden gevonden. Deze instelling wordt geconfigureerd op de waarde Uitgeschakeld, wat ervoor zorgt dat websites en webapplicaties geen toegang meer hebben tot hardware-informatie via deze API. Na het configureren van de instelling moet het beleid worden toegewezen aan de relevante gebruikersgroepen of apparaatgroepen binnen de organisatie, waarbij het belangrijk is om ervoor te zorgen dat alle apparaten waarop Microsoft Edge wordt gebruikt, worden gedekt door deze beleidstoewijzing. De implementatie vereist dat apparaten regelmatig synchroniseren met Intune om de nieuwe beleidsinstellingen te ontvangen, wat normaal gesproken automatisch gebeurt wanneer apparaten online zijn en verbinding hebben met de Intune-service. Na de toewijzing van het beleid kan het enige tijd duren voordat alle apparaten de nieuwe instelling hebben ontvangen, afhankelijk van de synchronisatiefrequentie en de online status van de apparaten. Het is daarom aan te raden om na de implementatie een verificatieproces uit te voeren om te bevestigen dat de instelling daadwerkelijk is toegepast op alle doelapparaten. Voor organisaties met een grote hoeveelheid apparaten kan het nuttig zijn om de implementatie gefaseerd uit te voeren, waarbij eerst een testgroep wordt geconfigureerd om te valideren dat de instelling correct werkt en geen negatieve impact heeft op de functionaliteit van webapplicaties die door de organisatie worden gebruikt. Tijdens de implementatiefase is het belangrijk om te documenteren welke groepen en apparaten zijn toegewezen aan het beleid, zodat er een duidelijk overzicht bestaat van de implementatiereikwijdte. Organisaties moeten ook overwegen om een rollback-plan te ontwikkelen voor het geval dat de implementatie onverwachte problemen veroorzaakt, hoewel dit onwaarschijnlijk is gezien de aard van deze specifieke beveiligingsmaatregel. Na de initiële configuratie en toewijzing van het beleid moeten beheerders de nalevingsstatus regelmatig controleren om te verifiëren dat het beleid daadwerkelijk wordt toegepast op alle doelapparaten. Voor organisaties die gebruik maken van meerdere Edge-versies of verschillende configuratieprofielen kan het nodig zijn om het beleid meerdere keren te configureren voor verschillende profielen, waarbij elke configuratie zorgvuldig moet worden gedocumenteerd. Het is ook belangrijk om te begrijpen dat sommige webapplicaties mogelijk afhankelijk zijn van hardware-informatie voor bepaalde functionaliteiten, hoewel dit zeldzaam is. Organisaties moeten daarom vooraf testen of kritieke webapplicaties nog steeds correct functioneren nadat de Enterprise Hardware API is uitgeschakeld, en indien nodig uitzonderingen overwegen voor specifieke applicaties of gebruikersgroepen, hoewel dit de beveiligingsdoelstellingen kan ondermijnen en daarom alleen in uitzonderlijke gevallen moet worden overwogen.

Gebruik PowerShell-script enterprise-hardware-api-disabled.ps1 (functie Invoke-Monitoring) – Monitoren.

Monitoring

Effectieve monitoring van de Enterprise Hardware API-instelling is cruciaal om te garanderen dat de beveiligingsmaatregel daadwerkelijk wordt toegepast en actief blijft op alle beheerde apparaten. De monitoring moet regelmatig worden uitgevoerd om te detecteren of er apparaten zijn waarop de instelling niet correct is geconfigureerd of waarop de instelling mogelijk is gewijzigd door lokale configuratie of andere factoren. Binnen Microsoft Intune kunnen beheerders de nalevingsstatus van apparaatconfiguratiebeleidsregels bekijken via het nalevingsdashboard, waar per apparaat wordt weergegeven of het beleid correct is toegepast. Het is belangrijk om niet alleen te kijken naar de algemene nalevingsstatus, maar ook om regelmatig te controleren of er nieuwe apparaten zijn toegevoegd aan de organisatie die mogelijk nog niet zijn gedekt door het beleid, of dat er apparaten zijn waarop het beleid niet succesvol kan worden toegepast vanwege technische problemen zoals verbindingsproblemen met Intune of licentieproblemen. Daarnaast moet de organisatie een proces hebben om te reageren op nalevingsafwijkingen, waarbij apparaten die niet voldoen aan het beleid worden geïdentificeerd en waar nodig worden gecorrigeerd. Voor een meer gedetailleerde monitoring kan gebruik worden gemaakt van PowerShell-scripts die via de Microsoft Graph API de configuratiestatus van apparaten kunnen opvragen en rapporteren. Deze scripts kunnen worden geautomatiseerd om regelmatig te draaien en rapporten te genereren die de nalevingsstatus weergeven, waardoor beheerders proactief kunnen reageren op eventuele problemen. Het is ook aan te raden om periodiek te testen of de API daadwerkelijk is uitgeschakeld door gebruik te maken van testwebsites of browserontwikkelaarstools die kunnen verifiëren of websites nog steeds toegang hebben tot hardware-informatie, hoewel dit laatste vooral nuttig is voor validatie na de initiële implementatie. Organisaties moeten een gestructureerd monitoringproces ontwikkelen dat verschillende aspecten van de beveiligingsmaatregel dekt, inclusief technische compliance, gebruikersimpact en effectiviteit van de maatregel. Het monitoringproces moet minimaal maandelijks worden uitgevoerd, maar voor organisaties met een hoog risicoprofiel of grote hoeveelheden apparaten kan het aan te raden zijn om dit wekelijks of zelfs dagelijks uit te voeren. De monitoring moet niet alleen focussen op de technische implementatie, maar ook op het identificeren van trends en patronen die kunnen wijzen op systematische problemen binnen de organisatie. Bijvoorbeeld, als bepaalde apparaattypen consistent niet voldoen aan het beleid, kan dit wijzen op een configuratieprobleem of een incompatibiliteit tussen het apparaattype en de beleidsinstelling. Organisaties moeten ook overwegen om waarschuwingen in te stellen die automatisch worden geactiveerd wanneer apparaten niet voldoen aan het beleid, zodat beheerders onmiddellijk kunnen reageren op nalevingsafwijkingen. Deze waarschuwingen kunnen worden geconfigureerd binnen Intune of via externe monitoringtools die zijn geïntegreerd met de Microsoft Graph API. Daarnaast is het belangrijk om regelmatig te controleren of er updates zijn voor Edge of Intune die mogelijk van invloed zijn op de werking van het beleid, en om te verifiëren dat het beleid nog steeds effectief is na dergelijke updates. Voor organisaties die werken met externe auditors of certificeringsinstanties moet de monitoring ook gericht zijn op het genereren van rapporten die kunnen worden gebruikt voor compliance-verificatie, waarbij het belangrijk is om te kunnen aantonen dat de beveiligingsmaatregel consistent wordt toegepast en effectief is.

Gebruik PowerShell-script enterprise-hardware-api-disabled.ps1 (functie Invoke-Monitoring) – Controleren.

Remediatie

Wanneer monitoring aangeeft dat de Enterprise Hardware API-instelling niet correct is geconfigureerd op bepaalde apparaten, moet een gestructureerd remediatieproces worden gevolgd om de situatie te corrigeren. Het eerste wat moet worden gedaan is het identificeren van de oorzaak van het probleem, wat kan variëren van apparaten die niet correct zijn geregistreerd in Intune tot technische problemen die voorkomen dat het beleid wordt toegepast. Voor apparaten die niet voldoen aan het beleid moet worden gecontroleerd of het apparaat daadwerkelijk is toegewezen aan het apparaatconfiguratiebeleid en of het apparaat regelmatig synchroniseert met Intune. In sommige gevallen kan het nodig zijn om het apparaat handmatig te dwingen om te synchroniseren met Intune, wat kan worden gedaan via het Intune-beheercentrum of via PowerShell-commando's op het apparaat zelf. Als het probleem wordt veroorzaakt door een conflict met andere beleidsregels of lokale configuratie, moet worden onderzocht welke andere instellingen mogelijk de Enterprise Hardware API-instelling overschrijven, en deze moeten worden aangepast om ervoor te zorgen dat de beveiligingsmaatregel prioriteit krijgt. Voor apparaten waarop het beleid niet kan worden toegepast vanwege licentieproblemen of registratieproblemen, moet eerst worden gewerkt aan het oplossen van deze onderliggende problemen voordat het specifieke Edge-beleid opnieuw kan worden toegepast. In extreme gevallen waarbij een apparaat consistent niet voldoet aan het beleid ondanks herhaalde pogingen tot remediatie, kan het nodig zijn om het apparaat opnieuw te registreren in Intune of om handmatige interventie uit te voeren op het apparaat zelf, hoewel dit laatste alleen moet worden overwogen wanneer alle andere opties zijn uitgeput. Het is belangrijk om alle remediatie-acties te documenteren voor auditdoeleinden en om te leren van eventuele patronen die kunnen wijzen op systematische problemen binnen de organisatie. Het remediatieproces moet beginnen met een grondige analyse van het probleem, waarbij wordt gekeken naar de specifieke omstandigheden rondom het apparaat dat niet voldoet aan het beleid. Dit omvat het controleren van de apparaatstatus in Intune, het verifiëren van de beleidstoewijzing, het controleren van eventuele foutmeldingen of waarschuwingen, en het onderzoeken van de synchronisatiegeschiedenis van het apparaat. Beheerders moeten ook controleren of er recent wijzigingen zijn aangebracht aan het apparaat of aan de Intune-configuratie die mogelijk van invloed zijn geweest op de beleidstoepassing. Wanneer een apparaat niet voldoet aan het beleid, moet eerst worden geprobeerd om het apparaat te dwingen om te synchroniseren met Intune, wat vaak het probleem oplost wanneer het wordt veroorzaakt door een vertraging in de beleidsdistributie. Als dit niet werkt, moet worden gecontroleerd of het apparaat daadwerkelijk is toegewezen aan het juiste beleid en of er geen conflicterende beleidsregels zijn die de Enterprise Hardware API-instelling overschrijven. Voor apparaten met licentieproblemen moet worden gecontroleerd of de juiste licenties zijn toegewezen en of de licenties nog geldig zijn. Voor registratieproblemen moet worden gecontroleerd of het apparaat correct is geregistreerd in Microsoft Entra ID en of de registratiestatus actief is. Wanneer een apparaat consistent niet voldoet aan het beleid, kan het nodig zijn om het apparaat opnieuw te registreren in Intune, wat kan worden gedaan door het apparaat uit Intune te verwijderen en opnieuw te registreren, hoewel dit alleen moet worden overwogen wanneer alle andere opties zijn uitgeput. In zeldzame gevallen kan het nodig zijn om handmatige interventie uit te voeren op het apparaat zelf, bijvoorbeeld door de Edge-registerinstellingen handmatig te configureren, hoewel dit niet de voorkeur heeft omdat het de centrale beheersbaarheid van de organisatie ondermijnt. Alle remediatie-acties moeten worden gedocumenteerd in een remediatielogboek, waarbij wordt vastgelegd welke apparaten problemen hadden, wat de oorzaak was, welke acties zijn ondernomen, en of de remediatie succesvol was. Deze documentatie is belangrijk voor auditdoeleinden en voor het identificeren van patronen die kunnen wijzen op systematische problemen binnen de organisatie.

Gebruik PowerShell-script enterprise-hardware-api-disabled.ps1 (functie Invoke-Remediation) – Herstellen.

Compliance en Audit

Het uitschakelen van de Enterprise Hardware API draagt significant bij aan de naleving van verschillende beveiligings- en privacystandaarden die relevant zijn voor Nederlandse overheidsorganisaties. Vanuit het perspectief van de Algemene Verordening Gegevensbescherming (AVG) helpt deze maatregel bij het naleven van het beginsel van gegevensminimalisatie, waarbij organisaties alleen de minimale hoeveelheid persoonsgegevens verzamelen die noodzakelijk is voor het beoogde doel. Door hardware-informatie niet beschikbaar te maken aan websites, wordt voorkomen dat deze informatie onnodig wordt verzameld en gebruikt voor doeleinden die niet in lijn zijn met de oorspronkelijke verwerking. Bovendien draagt deze maatregel bij aan de technische en organisatorische maatregelen die vereist zijn onder artikel 32 van de AVG, waarbij organisaties passende beveiligingsmaatregelen moeten implementeren om persoonsgegevens te beschermen. Specifiek helpt het uitschakelen van deze API bij het voldoen aan de vereisten voor privacy door ontwerp en privacy door standaardinstellingen, omdat de standaardconfiguratie van Edge nu geen onnodige gegevensverzameling toestaat. Dit betekent dat organisaties kunnen aantonen dat zij proactief maatregelen hebben genomen om de privacy van gebruikers te beschermen zonder dat gebruikers zelf actie hoeven te ondernemen. Vanuit het BIO-framework (Baseline Informatiebeveiliging Overheid) sluit deze maatregel aan bij controle 13.01.01, die betrekking heeft op technische beveiligingsmaatregelen, en helpt het bij het beperken van de aanvalsoppervlakte van de organisatie door onnodige informatielekken te voorkomen. De BIO vereist dat organisaties kunnen aantonen dat zij passende maatregelen hebben genomen om informatie te beschermen tegen ongeautoriseerde toegang, en het uitschakelen van onnodige API-toegang vormt hier een belangrijk onderdeel van. Bovendien draagt deze maatregel bij aan het voldoen aan de vereisten voor informatiebeveiligingsmanagement zoals beschreven in de BIO, waarbij organisaties moeten kunnen aantonen dat zij systematisch werken aan het verbeteren van hun beveiligingspositie. Voor ISO 27001-naleving ondersteunt deze maatregel controle A.12.6.1 over technisch kwetsbaarheidsbeheer, waarbij organisaties maatregelen moeten nemen om kwetsbaarheden te beperken die kunnen worden misbruikt door kwaadwillende actoren. Het uitschakelen van de Enterprise Hardware API vermindert het aantal potentiële aanvalsvectoren en helpt organisaties voldoen aan de vereisten voor risicobeheer zoals beschreven in ISO 27001. Bovendien ondersteunt deze maatregel de algemene doelstellingen van informatiebeveiligingsmanagement door het beperken van onnodige informatielekken en het verminderen van de mogelijkheid voor kwaadwillende actoren om gebruikers te identificeren en te volgen. Het is essentieel dat de organisatie alle configuratie-instellingen en beleidsregels documenteert voor auditdoeleinden, waarbij wordt vastgelegd wanneer het beleid is geïmplementeerd, welke apparaten zijn gedekt, en wat de nalevingsstatus is op regelmatige basis. Deze documentatie moet ten minste bevatten: een beschrijving van het beleid en waarom het is geïmplementeerd, technische details over hoe het beleid is geconfigureerd in Microsoft Intune, een overzicht van alle apparaten waarop het beleid van toepassing is, recente nalevingsrapporten die aantonen dat het beleid actief is op alle doelapparaten, en eventuele incidenten waarbij apparaten niet voldeden aan het beleid en hoe deze zijn opgelost. Deze documentatie moet worden bewaard voor de vereiste bewaartermijn en moet beschikbaar zijn voor interne en externe audits, waarbij het belangrijk is om te kunnen aantonen dat de organisatie proactief maatregelen heeft genomen om de privacy en beveiliging van gebruikers te beschermen. Voor Nederlandse overheidsorganisaties betekent dit dat de documentatie toegankelijk moet zijn voor auditors van de Autoriteit Persoonsgegevens (AP) en voor interne auditafdelingen die verantwoordelijk zijn voor het verifiëren van naleving met AVG-vereisten. Regelmatige nalevingscontroles moeten worden uitgevoerd om te verifiëren dat het beleid nog steeds actief is en correct wordt toegepast, en eventuele afwijkingen moeten worden gedocumenteerd samen met de genomen remediatie-acties. Deze controles moeten minimaal per kwartaal worden uitgevoerd, maar voor organisaties met een hoog risicoprofiel kan het aan te raden zijn om deze maandelijks of zelfs wekelijks uit te voeren. Bovendien moeten organisaties periodiek penetratietests uitvoeren die specifiek gericht zijn op het verifiëren dat fingerprinting-technieken niet langer effectief zijn op apparaten waarop de Enterprise Hardware API is uitgeschakeld. Deze tests kunnen worden uitgevoerd door interne beveiligingsteams of externe beveiligingsspecialisten en moeten worden gedocumenteerd met duidelijke bevindingen en aanbevelingen. Voor organisaties die werken volgens het ISO 27001-certificeringsproces moet het uitschakelen van de Enterprise Hardware API worden opgenomen in het Informatiebeveiligingsmanagementsysteem (IBMS) en moeten regelmatige risicobeoordelingen worden uitgevoerd om te bepalen of de maatregel nog steeds geschikt is voor het beoogde doel. Deze risicobeoordelingen moeten worden gedocumenteerd en moeten leiden tot acties wanneer blijkt dat de maatregel niet langer effectief is of wanneer nieuwe risico's worden geïdentificeerd die aanvullende maatregelen vereisen. Tenslotte is het belangrijk dat organisaties een duidelijk proces hebben voor het reageren op nalevingsaudits van externe partijen, zoals de Autoriteit Persoonsgegevens of certificeringsinstanties. Dit proces moet ervoor zorgen dat auditors snel toegang krijgen tot alle relevante documentatie en dat vragen over de implementatie en effectiviteit van de beveiligingsmaatregel kunnen worden beantwoord door gekwalificeerde medewerkers die volledig op de hoogte zijn van zowel de technische als organisatorische aspecten van de maatregel.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Edge Security: Enterprise Hardware API Disabled .DESCRIPTION CIS - Enterprise Hardware API moet disabled zijn voor security. .NOTES Filename: enterprise-hardware-api-disabled.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Edge\EnterpriseHardwarePlatformAPIEnabled|Expected: 0 #> #Requires -Version 5.1 #Requires -RunAsAdministrator [CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert) $ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge"; $RegName = "EnterpriseHardwarePlatformAPIEnabled"; $ExpectedValue = 0 function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) } function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "enterprise-hardware-api-disabled.ps1"; PolicyName = "Enterprise Hardware API Disabled"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; if (-not(Test-Path $RegPath)) { $r.IsCompliant = $true; $r.Details += "Default disabled"; return $r }; try { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop; $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Hardware API disabled" }else { $r.Details += "Hardware API enabled" } }catch { $r.IsCompliant = $true; $r.Details += "Default" }; return $r } function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Enterprise Hardware API disabled" -ForegroundColor Green } function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r } function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue } try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }

Risico zonder implementatie

Risico zonder implementatie
Medium: Zonder deze beveiligingsmaatregel kunnen websites en webapplicaties toegang krijgen tot hardware-informatie van apparaten, wat kan leiden tot privacyrisico's, fingerprinting van gebruikers, en potentiële beveiligingskwetsbaarheden. Dit vormt een risico voor de privacy van burgers en medewerkers en kan leiden tot niet-naleving van AVG-vereisten.

Management Samenvatting

Schakel de Enterprise Hardware API uit in Microsoft Edge via Intune apparaatconfiguratiebeleidsregels om te voorkomen dat websites toegang krijgen tot hardware-informatie, wat de privacy beschermt en voldoet aan beveiligingsstandaarden.