L2 BIO 12.04.01 ISO A.12.4.1 CIS Edge Security

Ephemeral Profiles Uitgeschakeld

📅 2025-10-30
⏱️ 4 minuten lezen
🟢 Should-Have

💼 Management Samenvatting

Voorkom dat Edge in ephemeral (tijdelijke) profielmodus wordt geforceerd, zodat audittrails en browsergegevens worden behouden voor compliance doeleinden.

Aanbeveling
IMPLEMENT
Risico zonder
Low
Risk Score
3/10
Implementatie
0.5u (tech: 0.25u)
Van toepassing op:
Edge

Ephemerale profielen verwijderen alle browsergegevens bij afsluiten, vergelijkbaar met InPrivate-modus. Dit omzeilt auditloggingvereisten, browserhistorie voor forensisch onderzoek en compliance-gerelateerde gegevensretentie. Voor enterprise-omgevingen is persistente profieldata essentieel voor audittrails en compliance-verificatie.

PowerShell Modules Vereist
Primary API: Intune/GPO
Connection: N/A
Required Modules:

Implementatie

Configureer ForceEphemeralProfiles op 0 via HKLM:\SOFTWARE\Policies\Microsoft\Edge\ForceEphemeralProfiles. Ephemerale modus wordt niet geforceerd en normale profielen blijven persistent, waardoor alle browseractiviteit wordt vastgelegd voor audit- en compliance doeleinden.

Vereisten

Voor de implementatie van deze beveiligingsmaatregel zijn specifieke technische en organisatorische vereisten noodzakelijk. De primaire technische vereiste betreft de aanwezigheid van Microsoft Edge als standaard webbrowser binnen de organisatie. Microsoft Edge moet geïnstalleerd zijn op alle werkstations waar deze policy van toepassing is, ongeacht of dit via Windows Update, Microsoft Intune of een andere deploymentmethode is gebeurd. De versie van Edge moet minimaal versie 88 of hoger zijn, aangezien eerdere versies mogelijk niet volledig compatibel zijn met de ForceEphemeralProfiles policy-instelling. Organisaties die gebruik maken van oudere versies dienen eerst een upgrade uit te voeren voordat deze configuratie wordt geïmplementeerd.

Naast de technische vereisten zijn er ook organisatorische aspecten die aandacht vereisen. IT-beheerders moeten beschikken over de juiste rechten om registry-instellingen te kunnen wijzigen op de doelcomputers. Dit kan worden bereikt via Group Policy Object (GPO) configuratie in een Active Directory-omgeving, of via Microsoft Intune voor cloud-gebaseerde beheer. In beide gevallen is het essentieel dat de beheerders over voldoende rechten beschikken om policies te kunnen implementeren en te handhaven. Voor organisaties zonder centrale beheersystemen is lokale administratieve toegang vereist, hoewel dit niet wordt aanbevolen voor enterprise-omgevingen vanwege de complexiteit en het gebrek aan centrale controle.

Een belangrijke overweging betreft de compatibiliteit met bestaande beveiligingsconfiguraties. Organisaties die reeds gebruik maken van andere Edge-beveiligingspolicies moeten verifiëren dat de uitschakeling van ephemerale profielen niet in conflict komt met andere instellingen. Specifiek moet worden gecontroleerd of er geen conflicterende policies zijn die juist ephemerale modus vereisen voor specifieke gebruikersgroepen of scenario's. Dit vereist een grondige review van de bestaande policy-configuratie voordat implementatie plaatsvindt.

Voor compliance-gerichte organisaties, met name in de Nederlandse publieke sector, zijn aanvullende vereisten van toepassing. De implementatie moet worden gedocumenteerd in het beveiligingsbeleid en moet voldoen aan relevante normenkaders zoals de Baseline Informatiebeveiliging Overheid (BIO) en ISO 27001. Dit betekent dat de configuratie moet worden opgenomen in de formele beveiligingsdocumentatie en dat procedures moeten worden vastgelegd voor monitoring, verificatie en eventuele uitzonderingen. Auditoren moeten kunnen verifiëren dat de instelling correct is geconfigureerd en dat er geen omzeilingen mogelijk zijn.

Ten slotte is het belangrijk om te erkennen dat de uitschakeling van ephemerale profielen gevolgen heeft voor de gebruikerservaring en privacy. Organisaties moeten gebruikers informeren over het feit dat hun browseractiviteit wordt vastgelegd en bewaard voor audit- en compliance doeleinden. Dit vereist transparante communicatie en mogelijk aanpassingen aan het privacybeleid, met name in het kader van de Algemene Verordening Gegevensbescherming (AVG). Gebruikers moeten begrijpen waarom deze maatregel noodzakelijk is en hoe hun gegevens worden beschermd en gebruikt.

Implementatie

De implementatie van de uitschakeling van ephemerale profielen in Microsoft Edge kan op verschillende manieren worden uitgevoerd, afhankelijk van de infrastructuur en beheersystemen die binnen de organisatie beschikbaar zijn. De meest voorkomende methoden zijn implementatie via Microsoft Intune voor cloud-gebaseerde beheer, Group Policy Objects (GPO) voor on-premises Active Directory-omgevingen, en PowerShell-scripts voor geautomatiseerde deployment of handmatige configuratie. Elke methode heeft specifieke voordelen en overwegingen die moeten worden afgewogen tegen de organisatorische behoeften en technische mogelijkheden.

Voor organisaties die gebruik maken van Microsoft Intune als Mobile Device Management (MDM) en Mobile Application Management (MAM) oplossing, is de implementatie relatief eenvoudig. Beheerders navigeren naar de Intune admin center en selecteren de Edge-beveiligingspolicies. Binnen de Edge-configuratieprofielen moet de instelling ForceEphemeralProfiles worden ingesteld op Uitgeschakeld, wat overeenkomt met de waarde 0 in de registry. Deze policy kan worden toegewezen aan specifieke gebruikersgroepen, apparaten of alle apparaten binnen de organisatie, afhankelijk van de beveiligingsvereisten. Het voordeel van Intune-implementatie is dat de configuratie centraal wordt beheerd en automatisch wordt gesynchroniseerd naar alle doelapparaten, zonder dat lokale toegang tot de apparaten vereist is.

Gebruik PowerShell-script ephemeral-profiles-disabled.ps1 (functie Invoke-Remediation) – Script voor uitschakeling ephemeral profiles.

Voor organisaties met een on-premises Active Directory-infrastructuur biedt Group Policy een krachtige en bewezen methode voor policy-implementatie. Beheerders kunnen een nieuwe GPO aanmaken of een bestaande GPO aanpassen en navigeren naar Computer Configuration → Administrative Templates → Microsoft Edge. Binnen deze sectie moet de policy ForceEphemeralProfiles worden ingesteld op Uitgeschakeld. De GPO kan vervolgens worden gekoppeld aan de relevante Organizational Units (OU's) waar de Edge-browsers zich bevinden. Na het toepassen van de GPO en het uitvoeren van een gpupdate /force op de doelcomputers, wordt de configuratie automatisch toegepast. Het voordeel van GPO-implementatie is de integratie met bestaande Active Directory-structuren en de mogelijkheid om gedetailleerde targeting en filtering toe te passen.

Voor geautomatiseerde deployment of voor situaties waarin centrale beheersystemen niet beschikbaar zijn, kunnen PowerShell-scripts worden gebruikt. Het bijgeleverde script ephemeral-profiles-disabled.ps1 bevat de functie Invoke-Remediation die de registry-instelling automatisch configureert. Het script controleert eerst of de registry-sleutel bestaat en maakt deze aan indien nodig, waarna de waarde ForceEphemeralProfiles wordt ingesteld op 0. Dit script kan worden uitgevoerd via verschillende deploymentmethoden, zoals System Center Configuration Manager (SCCM), Microsoft Endpoint Manager, of via scheduled tasks. Het script bevat ook error handling en logging functionaliteit om de implementatie te verifiëren en eventuele problemen te identificeren.

Ongeacht de gekozen implementatiemethode, is het essentieel om een gefaseerde rollout te overwegen, vooral in grote organisaties. Start met een pilotgroep van testgebruikers of -apparaten om te verifiëren dat de configuratie correct werkt en geen onverwachte gevolgen heeft voor de gebruikerservaring of andere applicaties. Na succesvolle verificatie kan de implementatie worden uitgebreid naar grotere groepen, met continue monitoring om eventuele problemen snel te identificeren en op te lossen. Documenteer alle stappen van het implementatieproces, inclusief de gebruikte methoden, toegewezen groepen, en eventuele uitzonderingen of aanpassingen die zijn gemaakt.

Na implementatie moet worden geverifieerd dat de configuratie correct is toegepast. Dit kan worden gedaan door de registry-waarde te controleren op een representatief aantal apparaten, of door gebruik te maken van de monitoringfunctie in het bijgeleverde script. De registry-sleutel HKLM:\SOFTWARE\Policies\Microsoft\Edge\ForceEphemeralProfiles moet de waarde 0 bevatten, of de sleutel moet volledig afwezig zijn (wat ook betekent dat ephemerale modus niet wordt geforceerd). Organisaties moeten ook controleren of gebruikers nog steeds normaal kunnen werken met Edge en dat er geen prestatieproblemen of compatibiliteitsissues zijn ontstaan als gevolg van de configuratiewijziging.

Monitoring

Effectieve monitoring van de ephemerale profielconfiguratie is essentieel om te garanderen dat de beveiligingsmaatregel continu wordt gehandhaafd en dat er geen ongeautoriseerde wijzigingen plaatsvinden. Monitoring moet worden uitgevoerd op regelmatige basis, idealiter als onderdeel van een geautomatiseerd compliance-verificatieproces, maar ook bij ad-hoc controles wanneer er vermoedens zijn van configuratiewijzigingen of beveiligingsincidenten. Het monitoringproces moet niet alleen controleren of de configuratie correct is ingesteld, maar ook identificeren wanneer wijzigingen zijn aangebracht, door wie deze zijn gemaakt, en of deze wijzigingen geautoriseerd waren.

Gebruik PowerShell-script ephemeral-profiles-disabled.ps1 (functie Invoke-Monitoring) – Beheert ephemeral profile status.

Het bijgeleverde PowerShell-script bevat de functie Invoke-Monitoring die specifiek is ontworpen voor het controleren van de ephemerale profielstatus op individuele apparaten of via remote execution op meerdere systemen. Deze functie leest de registry-waarde van ForceEphemeralProfiles en rapporteert de huidige status, inclusief of de waarde correct is ingesteld op 0 (uitgeschakeld) of dat er een andere waarde aanwezig is die mogelijk een beveiligingsrisico vormt. Het script genereert ook gedetailleerde logging informatie die kan worden gebruikt voor compliance-rapportage en audit doeleinden.

Voor enterprise-omgevingen met honderden of duizenden apparaten is handmatige monitoring niet praktisch. In dergelijke gevallen moeten organisaties gebruik maken van geautomatiseerde monitoringoplossingen die regelmatig de configuratie controleren en afwijkingen rapporteren. Microsoft Intune biedt ingebouwde compliance policies die kunnen worden geconfigureerd om te controleren of specifieke registry-instellingen aanwezig zijn en de juiste waarde hebben. Wanneer een apparaat niet voldoet aan de compliance-eisen, kan Intune automatisch een remediatie uitvoeren of het apparaat markeren als niet-compliant, wat kan leiden tot beperkte toegang tot bedrijfsresources totdat het probleem is opgelost.

Organisaties die gebruik maken van System Center Configuration Manager (SCCM) of Microsoft Endpoint Configuration Manager kunnen Configuration Baselines gebruiken om de ephemerale profielconfiguratie te monitoren. Deze baselines kunnen worden geconfigureerd om regelmatig te controleren of de registry-instelling correct is en kunnen automatisch remediatie uitvoeren wanneer afwijkingen worden gedetecteerd. De resultaten van deze controles worden opgeslagen in de SCCM-database en kunnen worden gebruikt voor compliance-rapportage en trendanalyse. Beheerders kunnen ook custom reports genereren die specifiek focussen op de compliance-status van deze beveiligingsmaatregel.

Naast technische monitoring is het ook belangrijk om organisatorische processen te hebben die regelmatige verificatie ondersteunen. Dit omvat periodieke audits waarbij een steekproef van apparaten handmatig wordt gecontroleerd om te verifiëren dat de geautomatiseerde monitoring correct functioneert. Deze audits moeten worden uitgevoerd door onafhankelijke partijen, zoals interne auditafdelingen of externe auditors, en moeten worden gedocumenteerd voor compliance doeleinden. De auditresultaten moeten worden opgenomen in de formele beveiligingsdocumentatie en moeten beschikbaar zijn voor externe auditors die de organisatie beoordelen op basis van normenkaders zoals BIO of ISO 27001.

Wanneer monitoring afwijkingen detecteert, is het cruciaal om een duidelijk incident response proces te hebben. Dit proces moet definiëren wie verantwoordelijk is voor het onderzoeken van afwijkingen, welke stappen moeten worden ondernomen om de configuratie te herstellen, en hoe incidenten moeten worden gedocumenteerd en gerapporteerd. Voor kritieke afwijkingen, zoals wanneer ephemerale modus actief is op een groot aantal apparaten, moet er een escalatieproces zijn dat ervoor zorgt dat het probleem snel wordt opgelost. Alle incidenten moeten worden geregistreerd in een incident management systeem en moeten worden geanalyseerd om te identificeren of er patronen zijn die wijzen op systematische problemen of beveiligingsincidenten.

Ten slotte moet monitoring worden geïntegreerd in de bredere beveiligingsstrategie van de organisatie. De resultaten van de monitoring moeten worden gecombineerd met andere beveiligingsindicatoren om een holistisch beeld te krijgen van de beveiligingspostuur. Dit kan helpen bij het identificeren van trends, zoals een toename van configuratiewijzigingen die mogelijk wijzen op beveiligingsproblemen of onvoldoende beheerprocessen. De monitoringdata moet ook worden gebruikt voor continue verbetering van de beveiligingsmaatregelen en voor het informeren van besluitvorming over toekomstige beveiligingsinvesteringen en prioriteiten.

Compliance en Auditing

De uitschakeling van ephemerale profielen in Microsoft Edge is een kritieke beveiligingsmaatregel die direct bijdraagt aan compliance met verschillende nationale en internationale normenkaders die van toepassing zijn op Nederlandse overheidsorganisaties en andere publieke sector entiteiten. Deze maatregel is essentieel voor het voldoen aan auditloggingvereisten, gegevensretentieverplichtingen, en forensische onderzoekscapaciteiten die worden vereist door verschillende compliance-standaarden. Organisaties moeten begrijpen hoe deze technische configuratie zich verhoudt tot hun compliance-verplichtingen en moeten kunnen aantonen dat de maatregel correct is geïmplementeerd en wordt gehandhaafd.

De Center for Internet Security (CIS) Microsoft Edge Benchmark bevat specifieke aanbevelingen voor browserbeveiliging die relevant zijn voor deze maatregel. Hoewel de CIS Edge Benchmark niet expliciet de uitschakeling van ephemerale profielen noemt, valt deze configuratie onder de bredere categorie van browserbeveiligingsmaatregelen die zijn ontworpen om auditlogging en gegevensretentie te waarborgen. Organisaties die de CIS Controls implementeren als onderdeel van hun beveiligingsstrategie moeten deze maatregel beschouwen als een ondersteunende controle die bijdraagt aan de algehele beveiligingspostuur. De CIS Benchmark benadrukt het belang van uitgebreide logging en monitoring, wat direct wordt ondersteund door het uitschakelen van ephemerale profielen die anders alle browseractiviteit zouden wissen bij afsluiten.

Voor Nederlandse overheidsorganisaties is de Baseline Informatiebeveiliging Overheid (BIO) het primaire normenkader dat van toepassing is. Binnen de BIO is controle 12.04 gericht op audit logging en monitoring, wat specifiek vereist dat organisaties adequate logging implementeren voor alle relevante gebeurtenissen en dat deze logs worden bewaard voor audit doeleinden. De uitschakeling van ephemerale profielen is direct relevant voor BIO 12.04 omdat het ervoor zorgt dat browseractiviteit wordt vastgelegd en bewaard, wat essentieel is voor het voldoen aan auditloggingvereisten. Zonder deze configuratie zou browseractiviteit kunnen worden gewist, wat zou leiden tot niet-compliance met de BIO-vereisten voor audit logging.

De internationale ISO 27001 standaard bevat ook relevante controles die worden ondersteund door deze beveiligingsmaatregel. Specifiek is controle A.12.4.1 gericht op event logging, wat vereist dat organisaties logs bijhouden van alle relevante beveiligingsgebeurtenissen, inclusief gebruikersactiviteit en systeemtoegang. Het uitschakelen van ephemerale profielen zorgt ervoor dat browseractiviteit wordt vastgelegd in de browserhistorie en andere persistente gegevensopslag, wat bijdraagt aan het voldoen aan de ISO 27001 vereisten voor event logging. Organisaties die gecertificeerd zijn of streven naar ISO 27001 certificering moeten deze maatregel beschouwen als een ondersteunende controle voor hun logging- en monitoringstrategie.

Naast deze specifieke normenkaders zijn er ook algemene compliance-overwegingen die relevant zijn. De Algemene Verordening Gegevensbescherming (AVG) vereist dat organisaties passende technische en organisatorische maatregelen implementeren om persoonsgegevens te beschermen, en dat zij kunnen aantonen dat deze maatregelen effectief zijn. Hoewel het uitschakelen van ephemerale profielen op het eerste gezicht mogelijk lijkt te conflicteren met privacy-overwegingen, is het in feite essentieel voor het voldoen aan AVG-vereisten voor accountability en het kunnen reageren op verzoeken van betrokkenen. Organisaties moeten echter zorgvuldig balanceren tussen de behoefte aan auditlogging en privacy-overwegingen, en moeten gebruikers duidelijk informeren over welke gegevens worden vastgelegd en hoe deze worden gebruikt.

Voor audit doeleinden is het essentieel dat organisaties kunnen aantonen dat de configuratie correct is geïmplementeerd en wordt gehandhaafd. Dit vereist gedocumenteerde procedures voor implementatie, monitoring, en verificatie, evenals bewijs dat de configuratie daadwerkelijk is toegepast op alle relevante apparaten. Auditors zullen waarschijnlijk vragen om bewijs van de configuratie, zoals screenshots van registry-instellingen, rapporten van monitoringtools, of output van verificatiescripts. Organisaties moeten deze documentatie beschikbaar houden voor de volledige auditretentieperiode, die typisch zeven jaar is voor Nederlandse overheidsorganisaties in overeenstemming met archiefwetgeving.

Ten slotte moeten organisaties erkennen dat compliance een continu proces is, niet een eenmalige activiteit. Het implementeren van de configuratie is slechts de eerste stap; organisaties moeten ook regelmatig verifiëren dat de configuratie correct blijft, dat er geen ongeautoriseerde wijzigingen zijn aangebracht, en dat nieuwe apparaten of gebruikers ook de juiste configuratie hebben. Dit vereist geautomatiseerde monitoring, periodieke audits, en een cultuur van compliance-awareness binnen de IT-organisatie. Alleen door deze continue aandacht voor compliance kunnen organisaties er zeker van zijn dat zij voldoen aan hun verplichtingen onder de verschillende normenkaders en dat zij klaar zijn voor externe audits en certificeringsprocessen.

Remediatie

Wanneer monitoring of audits afwijkingen detecteren waarbij ephemerale profielen onbedoeld zijn ingeschakeld of geforceerd, is snelle en effectieve remediatie essentieel om de beveiligingspostuur te herstellen en compliance te waarborgen. Het remediatieproces moet niet alleen de configuratie herstellen, maar ook de oorzaak van de afwijking identificeren en voorkomen dat het probleem opnieuw optreedt. Dit vereist een gestructureerde aanpak die begint met het identificeren van de scope van het probleem, gevolgd door het uitvoeren van de remediatie, en eindigt met verificatie en preventieve maatregelen.

Gebruik PowerShell-script ephemeral-profiles-disabled.ps1 (functie Invoke-Remediation) – Herstellen.

Het bijgeleverde PowerShell-script bevat de functie Invoke-Remediation die specifiek is ontworpen voor het automatisch herstellen van de ephemerale profielconfiguratie. Deze functie controleert eerst de huidige status van de configuratie en identificeert of er een probleem is. Als de configuratie niet correct is ingesteld, past het script automatisch de registry-instelling aan om ForceEphemeralProfiles in te stellen op 0, wat ervoor zorgt dat ephemerale modus niet wordt geforceerd. Het script bevat ook uitgebreide logging functionaliteit die alle remediatie-acties vastlegt, inclusief wanneer de remediatie is uitgevoerd, welke wijzigingen zijn aangebracht, en of de remediatie succesvol was.

Voor organisaties die gebruik maken van Microsoft Intune kan remediatie worden geautomatiseerd via compliance policies. Wanneer een apparaat wordt gedetecteerd als niet-compliant omdat de ephemerale profielconfiguratie niet correct is, kan Intune automatisch een remediatiescript uitvoeren of de configuratie opnieuw toepassen via de policy. Dit gebeurt typisch binnen enkele minuten na detectie van de afwijking, waardoor de tijd dat apparaten niet-compliant zijn wordt geminimaliseerd. Intune biedt ook rapportagefunctionaliteit die laat zien hoeveel apparaten zijn gerepareerd en hoeveel nog steeds niet-compliant zijn, wat helpt bij het monitoren van de effectiviteit van het remediatieproces.

In omgevingen met System Center Configuration Manager (SCCM) kunnen Configuration Baselines worden geconfigureerd om automatisch remediatie uit te voeren wanneer afwijkingen worden gedetecteerd. De baseline kan een remediatiescript bevatten dat wordt uitgevoerd wanneer de compliance-check een afwijking detecteert. SCCM biedt ook de mogelijkheid om remediatie te plannen op specifieke tijden, wat handig kan zijn voor grote omgevingen waar onmiddellijke remediatie mogelijk niet wenselijk is vanwege netwerkbelasting of andere operationele overwegingen. De resultaten van de remediatie worden opgeslagen in de SCCM-database en kunnen worden gebruikt voor rapportage en trendanalyse.

Naast technische remediatie is het ook belangrijk om de oorzaak van de afwijking te onderzoeken. Afwijkingen kunnen verschillende oorzaken hebben, zoals handmatige wijzigingen door gebruikers met administratieve rechten, conflicterende policies, software-updates die configuraties resetten, of zelfs beveiligingsincidenten waarbij kwaadwillende actoren configuraties wijzigen om hun sporen uit te wissen. Het identificeren van de oorzaak helpt niet alleen bij het voorkomen van toekomstige incidenten, maar kan ook belangrijke inzichten opleveren over beveiligingsproblemen of onvoldoende beheerprocessen. Organisaties moeten een incident response proces hebben dat definieert hoe dergelijke onderzoeken moeten worden uitgevoerd en wie verantwoordelijk is voor het uitvoeren ervan.

Na remediatie moet altijd verificatie plaatsvinden om te bevestigen dat de configuratie correct is hersteld. Dit kan worden gedaan door de registry-instelling opnieuw te controleren, door gebruik te maken van de monitoringfunctie in het script, of door te verifiëren dat de centrale beheersystemen de configuratie correct rapporteren. Voor kritieke systemen of wanneer een groot aantal apparaten is betrokken, kan het verstandig zijn om een steekproef van apparaten handmatig te controleren om te verifiëren dat de geautomatiseerde remediatie correct heeft gewerkt. Alle verificatie-activiteiten moeten worden gedocumenteerd voor audit doeleinden.

Ten slotte moeten organisaties preventieve maatregelen implementeren om te voorkomen dat het probleem opnieuw optreedt. Dit kan het aanpassen van policies om conflicten te voorkomen, het beperken van administratieve rechten zodat gebruikers geen ongeautoriseerde wijzigingen kunnen maken, of het implementeren van aanvullende monitoring om afwijkingen sneller te detecteren. Voor terugkerende problemen kan het nodig zijn om de implementatieprocessen te herzien of aanvullende training te geven aan IT-personeel. Het doel is om een proactieve benadering te ontwikkelen die problemen voorkomt in plaats van alleen te reageren wanneer ze optreden.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Edge Security: Ephemeral Profiles Disabled .DESCRIPTION CIS - Ephemeral (tijdelijke) profiles moeten disabled zijn in enterprise. .NOTES Filename: ephemeral-profiles-disabled.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Edge\ForceEphemeralProfiles|Expected: 0 #> #Requires -Version 5.1 #Requires -RunAsAdministrator [CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert) $ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge"; $RegName = "ForceEphemeralProfiles"; $ExpectedValue = 0 function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) } function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "ephemeral-profiles-disabled.ps1"; PolicyName = "Ephemeral Profiles Disabled"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; if (-not(Test-Path $RegPath)) { $r.IsCompliant = $true; $r.Details += "Default disabled"; return $r }; try { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop; $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Ephemeral profiles disabled" }else { $r.Details += "Ephemeral profiles forced" } }catch { $r.IsCompliant = $true; $r.Details += "Default" }; return $r } function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Ephemeral profiles disabled" -ForegroundColor Green } function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r } function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue } try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }

Risico zonder implementatie

Risico zonder implementatie
Low: Laag risico. Ephemerale profielen omzeilen auditvereisten. Verifieer dat deze niet worden geforceerd.

Management Samenvatting

Verifieer dat ephemerale profielen niet worden geforceerd. Behoud audittrails. Implementatie: 15 minuten.