💼 Management Samenvatting
Extension Management vormt een kritieke beveiligingscomponent voor Microsoft Edge in organisatieomgevingen. Deze configuratie waarborgt dat alleen goedgekeurde browser extensies kunnen worden geïnstalleerd en gebruikt, waardoor organisaties controle behouden over de software die toegang heeft tot bedrijfsdata en gebruikersactiviteiten. Zonder adequate extensiebeheer kunnen kwaadaardige of onveilige extensies een significant beveiligingsrisico vormen, met potentiële gevolgen voor datalekken, privacy schendingen en compliance problemen.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
7/10
Implementatie
3u (tech: 2u)
Van toepassing op:
✓ Edge
Browser extensies hebben uitgebreide toegang tot gebruikersdata, browsergeschiedenis en zelfs gevoelige informatie zoals wachtwoorden en financiële gegevens. Ongecontroleerde extensies kunnen fungeren als toegangspoorten voor cybercriminelen, waarbij kwaadaardige code kan worden geïnjecteerd in webpagina's of gebruikersactiviteiten kunnen worden gemonitord. Voor Nederlandse overheidsorganisaties is dit bijzonder relevant gezien de strikte AVG-vereisten en BIO-normen die eisen dat alle software die toegang heeft tot persoonsgegevens wordt beheerd en gecontroleerd. Extension Management voorkomt deze risico's door een gecentraliseerd beheerproces te implementeren waarbij alleen vooraf goedgekeurde extensies kunnen worden gebruikt.
PowerShell Modules Vereist
Primary API: Graph
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
Deze beveiligingsmaatregel configureert Microsoft Edge Extension Management via Microsoft Intune device configuratiebeleidsregels. Het beleid stelt organisaties in staat om een whitelist of blacklist van extensies te definiëren, waarbij specifieke extensies expliciet worden toegestaan of geblokkeerd. Daarnaast kunnen organisaties configureren welke extensies automatisch worden geïnstalleerd voor alle gebruikers, welke extensies gebruikers zelf kunnen installeren, en welke extensies volledig zijn geblokkeerd. Deze configuratie wordt centraal beheerd via de Microsoft Endpoint Manager console en wordt automatisch toegepast op alle beheerde Edge-browsers binnen de organisatie.
Vereisten
Voor de implementatie van Extension Management in Microsoft Edge zijn verschillende technische en organisatorische vereisten van toepassing. De primaire technische vereiste betreft de beschikbaarheid van Microsoft Intune als Mobile Device Management (MDM) oplossing. Intune fungeert als het centrale beheerplatform waarmee device configuratiebeleidsregels worden gedistribueerd naar alle beheerde apparaten binnen de organisatie. Organisaties moeten beschikken over een geldig Microsoft 365 licentiepakket dat Intune omvat, zoals Microsoft 365 E3, E5, of een vergelijkbaar enterprise licentiepakket dat device management functionaliteit biedt.
Naast de licentievereisten moet de organisatie beschikken over een geconfigureerde Microsoft Endpoint Manager tenant met actieve Intune device management. Alle doelapparaten moeten zijn geregistreerd in Intune en onder beheer staan via een van de ondersteunde registratiemethoden, zoals Azure AD join, Hybrid Azure AD join, of Mobile Device Management (MDM) registratie. Voor Windows-apparaten is het essentieel dat de apparaten Windows 10 versie 1809 of hoger draaien, of Windows 11, aangezien oudere versies mogelijk niet volledig ondersteuning bieden voor alle Edge-beleidsinstellingen.
Vanuit organisatorisch perspectief vereist de implementatie van Extension Management een duidelijk gedefinieerd proces voor het evalueren en goedkeuren van browser extensies. Organisaties moeten een extensiebeoordelingsproces opzetten waarbij security teams, IT-beheerders en indien nodig compliance officers betrokken zijn bij het bepalen welke extensies worden toegestaan. Dit proces moet rekening houden met beveiligingsrisico's, privacy-implicaties, en functionele vereisten van gebruikers. Daarnaast is het belangrijk dat er een mechanisme bestaat voor gebruikers om nieuwe extensies aan te vragen, zodat de organisatie flexibel kan blijven terwijl beveiliging wordt gewaarborgd.
Technische vereisten omvatten ook de beschikbaarheid van de juiste PowerShell modules voor automatisering en monitoring. De Microsoft.Graph.DeviceManagement module moet geïnstalleerd zijn op systemen die worden gebruikt voor het beheren van Edge-beleid via scripts. Voor organisaties die gebruik maken van Group Policy Object (GPO) management naast Intune, is het belangrijk te begrijpen dat Intune-beleid prioriteit heeft boven GPO-instellingen wanneer beide worden toegepast op hetzelfde apparaat. Dit betekent dat organisaties hun beheerstrategie moeten afstemmen om conflicten te voorkomen.
Ten slotte vereist de implementatie van Extension Management dat organisaties beschikken over een duidelijk inzicht in welke extensies momenteel in gebruik zijn binnen de organisatie. Dit betekent dat er een inventarisatieproces moet worden uitgevoerd voordat het beleid wordt geïmplementeerd, zodat organisaties kunnen bepalen welke extensies moeten worden toegestaan en welke mogelijk moeten worden geblokkeerd. Deze inventarisatie kan worden uitgevoerd via Intune reporting functionaliteit of door gebruik te maken van PowerShell scripts die extensiegebruik inventariseren op beheerde apparaten.
Implementatie
De implementatie van Extension Management begint met een grondige voorbereidingsfase waarin organisaties hun huidige extensiegebruik inventariseren en een beoordelingsproces opzetten voor het goedkeuren van extensies. Deze voorbereiding is essentieel om te voorkomen dat kritieke extensies onbedoeld worden geblokkeerd, wat kan leiden tot productiviteitsverlies en gebruikersontevredenheid. Organisaties moeten eerst een inventarisatie uitvoeren van alle extensies die momenteel in gebruik zijn, waarbij wordt gekeken naar zowel door gebruikers geïnstalleerde extensies als organisatiebreed geïmplementeerde extensies.
Na de inventarisatie volgt een beoordelingsfase waarbij elke extensie wordt geëvalueerd op basis van beveiligingscriteria, privacy-implicaties, en zakelijke noodzaak. Security teams moeten onderzoeken of extensies toegang hebben tot gevoelige data, of ze regelmatig worden bijgewerkt door de ontwikkelaar, en of er bekende beveiligingskwetsbaarheden zijn. Extensies die als essentieel worden beschouwd voor bedrijfsprocessen moeten worden toegevoegd aan de whitelist, terwijl extensies met bekende beveiligingsproblemen of onduidelijke ontwikkelaars moeten worden geblokkeerd.
De technische implementatie zelf wordt uitgevoerd via Microsoft Intune door het creëren van een nieuw device configuratieprofiel specifiek voor Microsoft Edge. Binnen dit profiel worden de Extension Management instellingen geconfigureerd, waarbij organisaties kunnen kiezen tussen verschillende beheerstrategieën. De meest restrictieve aanpak is het blokkeren van alle extensies behalve expliciet goedgekeurde extensies, wat de hoogste beveiliging biedt maar ook de minste flexibiliteit. Een meer gebalanceerde aanpak is het toestaan van extensies uit de Microsoft Edge Add-ons store terwijl specifieke kwaadaardige of onveilige extensies worden geblokkeerd.
Voor organisaties die een geautomatiseerde implementatie prefereren, is een PowerShell script beschikbaar dat de configuratie programmatisch kan toepassen. Dit script maakt gebruik van de Microsoft Graph API via de Microsoft.Graph.DeviceManagement module om het Edge-beleid te configureren. Het script kan worden uitgevoerd vanuit een beheersysteem of als onderdeel van een grotere automatisering workflow. Het script biedt de mogelijkheid om extensie-ID's op te geven die moeten worden toegestaan of geblokkeerd, en kan worden aangepast aan de specifieke behoeften van de organisatie.
Na de initiële configuratie moet het beleid worden getest op een beperkte groep apparaten voordat het organisatiebreed wordt uitgerold. Deze gefaseerde implementatie stelt organisaties in staat om eventuele problemen te identificeren en op te lossen voordat alle gebruikers worden beïnvloed. Tijdens de testfase moeten IT-beheerders nauwlettend monitoren of gebruikers nog toegang hebben tot benodigde extensies en of er onverwachte blokkades optreden. Feedback van testgebruikers moet worden verzameld en geëvalueerd om te bepalen of aanpassingen aan het beleid nodig zijn.
De volledige uitrol naar alle apparaten kan vervolgens plaatsvinden via Intune's targeting functionaliteit, waarbij het beleid wordt toegewezen aan relevante gebruikersgroepen of apparaatgroepen. Het is belangrijk om gebruikers vooraf te informeren over de nieuwe beperkingen en het proces uit te leggen voor het aanvragen van nieuwe extensies. Communicatie is essentieel om gebruikersacceptatie te waarborgen en te voorkomen dat gebruikers proberen het beleid te omzeilen door gebruik te maken van niet-beheerde browsers of andere workarounds.
Gebruik PowerShell-script extension-management-configured.ps1 (functie Invoke-Monitoring) – Het PowerShell script voorziet in geautomatiseerde implementatie en monitoring van Extension Management configuraties via Microsoft Graph API..
Monitoring
Effectieve monitoring van Extension Management is essentieel om te waarborgen dat het beleid correct wordt toegepast en dat er geen onbevoegde extensies worden gebruikt binnen de organisatie. Monitoring omvat zowel technische verificatie van de configuratiestatus als continue bewaking van extensiegebruik op beheerde apparaten. Organisaties moeten een gestructureerde monitoringaanpak implementeren die regelmatige controles combineert met geautomatiseerde alerting wanneer afwijkingen worden gedetecteerd.
De primaire monitoringactiviteit betreft het verifiëren dat het Extension Management beleid daadwerkelijk is toegepast op alle doelapparaten. Dit kan worden gemonitord via de Microsoft Endpoint Manager console, waar de compliance status van device configuratieprofielen wordt weergegeven. IT-beheerders moeten regelmatig controleren of alle apparaten de juiste configuratiestatus hebben en of er apparaten zijn die niet-compliant zijn. Apparaten die niet-compliant zijn vereisen onderzoek om te bepalen waarom het beleid niet correct is toegepast, wat kan variëren van netwerkproblemen tot configuratiefouten.
Naast configuratiecompliance moet er ook worden gemonitord welke extensies daadwerkelijk in gebruik zijn op beheerde apparaten. Dit is belangrijk om te identificeren of gebruikers proberen het beleid te omzeilen, of dat er extensies worden gebruikt die niet zijn goedgekeurd maar om een of andere reden toch zijn geïnstalleerd. Monitoring van extensiegebruik kan worden uitgevoerd via Intune reporting functionaliteit, waarbij extensie-inventarisatie wordt verzameld van alle beheerde apparaten. Deze inventarisatie moet regelmatig worden geanalyseerd om trends te identificeren en potentiële beveiligingsrisico's te detecteren.
Geautomatiseerde monitoring via PowerShell scripts biedt de mogelijkheid om compliance checks te automatiseren en alerts te genereren wanneer afwijkingen worden gedetecteerd. Het monitoring script kan worden geconfigureerd om regelmatig te controleren of het Extension Management beleid correct is geconfigureerd, of alle apparaten compliant zijn, en of er onbevoegde extensies worden gebruikt. Deze geautomatiseerde checks kunnen worden geïntegreerd in bestaande monitoring systemen zoals Microsoft Sentinel of andere Security Information and Event Management (SIEM) oplossingen, waardoor security teams proactief kunnen reageren op potentiële problemen.
Voor Nederlandse overheidsorganisaties is monitoring ook belangrijk vanuit compliance perspectief. BIO-normen en AVG-vereisten eisen dat organisaties kunnen aantonen dat ze adequate controles hebben geïmplementeerd en dat deze controles daadwerkelijk functioneren. Regelmatige monitoringrapporten dienen als auditbewijs dat Extension Management correct wordt beheerd en dat er geen onbevoegde software toegang heeft tot persoonsgegevens. Deze rapporten moeten worden bewaard voor de vereiste bewaartermijn en moeten beschikbaar zijn voor interne en externe audits.
Monitoring moet ook aandacht besteden aan gebruikerservaring en productiviteit. Als gebruikers regelmatig problemen ondervinden met het installeren van benodigde extensies, of als er veel verzoeken komen voor het goedkeuren van nieuwe extensies, kan dit wijzen op een te restrictief beleid. IT-beheerders moeten deze signalen oppikken en overwegen om het beleid aan te passen om een betere balans te vinden tussen beveiliging en gebruiksvriendelijkheid. Regelmatige evaluatie van gebruikersfeedback en extensieverzoeken helpt organisaties om hun Extension Management strategie te optimaliseren.
Gebruik PowerShell-script extension-management-configured.ps1 (functie Invoke-Monitoring) – Het monitoring script verifieert de compliance status van Extension Management configuraties en rapporteert over extensiegebruik op beheerde apparaten..
Remediatie
Wanneer monitoring aangeeft dat Extension Management niet correct is geconfigureerd of dat er onbevoegde extensies worden gebruikt, moeten organisaties een gestructureerd remediatieproces volgen om de beveiligingsstatus te herstellen. Remediatie omvat zowel technische correcties van configuratiefouten als het verwijderen of blokkeren van onbevoegde extensies. Het is belangrijk dat dit proces snel en effectief wordt uitgevoerd om de beveiligingsrisico's te minimaliseren die ontstaan wanneer Extension Management niet correct functioneert.
De eerste stap in het remediatieproces is het identificeren van de oorzaak van het probleem. Als apparaten niet-compliant zijn met het Extension Management beleid, moet worden onderzocht waarom het beleid niet correct is toegepast. Mogelijke oorzaken zijn netwerkconnectiviteitsproblemen die voorkomen dat apparaten het beleid kunnen ophalen, configuratiefouten in het Intune-profiel, of conflicten met andere beheerinstellingen. IT-beheerders moeten de compliance rapporten in Microsoft Endpoint Manager analyseren om te bepalen welke specifieke foutmeldingen worden gegenereerd en welke apparaten zijn betrokken.
Voor apparaten die niet-compliant zijn kan remediatie worden uitgevoerd door het beleid opnieuw te synchroniseren of door het apparaat opnieuw te registreren in Intune. In veel gevallen kan een eenvoudige policy refresh voldoende zijn om het probleem op te lossen, waarbij het apparaat opnieuw het beleid ophaalt van de Intune-service. Als dit niet werkt, kan het nodig zijn om het apparaat opnieuw te registreren, wat ervoor zorgt dat alle beleidsinstellingen opnieuw worden toegepast. Voor persistente problemen kan het nodig zijn om handmatig in te grijpen en de Edge-configuratie te controleren via de lokale registry of Group Policy instellingen.
Wanneer onbevoegde extensies worden gedetecteerd op beheerde apparaten, moet er onmiddellijk actie worden ondernomen om deze te verwijderen of te blokkeren. Het remediatie script kan worden gebruikt om automatisch onbevoegde extensies te verwijderen van apparaten, waarbij extensies die niet op de whitelist staan worden geïdentificeerd en verwijderd. Na verwijdering moet worden onderzocht hoe de extensie is geïnstalleerd, aangezien dit kan wijzen op een beveiligingslek of een poging van gebruikers om het beleid te omzeilen. Als gebruikers herhaaldelijk proberen onbevoegde extensies te installeren, kan dit wijzen op een behoefte aan aanvullende extensies op de whitelist, of op een behoefte aan gebruikerseducatie over het belang van Extension Management.
Voor extensies die als kwaadaardig of verdacht worden geïdentificeerd, moet er een meer uitgebreide remediatieprocedure worden gevolgd. Dit omvat niet alleen het verwijderen van de extensie, maar ook het onderzoeken van welke data de extensie mogelijk heeft kunnen benaderen, en het controleren of er andere indicatoren van compromittering zijn op het betreffende apparaat. Security teams moeten een incident response procedure volgen waarbij het apparaat wordt geïsoleerd indien nodig, en waarbij wordt gecontroleerd of de extensie toegang heeft gehad tot gevoelige informatie. Deze informatie moet worden gedocumenteerd voor compliance doeleinden en kan nodig zijn voor melding aan de Autoriteit Persoonsgegevens als er sprake is van een mogelijk datalek.
Na remediatie moet er verificatie plaatsvinden om te bevestigen dat het probleem daadwerkelijk is opgelost. Dit betekent dat de compliance status opnieuw moet worden gecontroleerd, en dat moet worden geverifieerd dat onbevoegde extensies daadwerkelijk zijn verwijderd. Het is ook belangrijk om te leren van remediatie-incidenten door te analyseren wat de oorzaak was en hoe soortgelijke problemen in de toekomst kunnen worden voorkomen. Dit kan leiden tot aanpassingen aan het Extension Management beleid, verbeteringen aan monitoring procedures, of aanvullende gebruikerseducatie over beveiligingsbeleid.
Gebruik PowerShell-script extension-management-configured.ps1 (functie Invoke-Remediation) – Het remediatie script kan automatisch niet-compliant configuraties corrigeren en onbevoegde extensies verwijderen van beheerde apparaten..
Compliance en Auditing
Extension Management speelt een cruciale rol in het voldoen aan verschillende compliance vereisten die van toepassing zijn op Nederlandse overheidsorganisaties. De implementatie en beheer van Extension Management moet worden gedocumenteerd en geaudit om te bewijzen dat organisaties adequate controles hebben geïmplementeerd voor het beheren van software die toegang heeft tot persoonsgegevens en bedrijfsdata. Deze documentatie dient als bewijs tijdens interne en externe audits en is essentieel voor het aantonen van compliance met relevante normen en regelgeving. Voor Nederlandse overheidsorganisaties is het van groot belang dat alle beveiligingsmaatregelen kunnen worden aangetoond tijdens audits door toezichthouders zoals de Autoriteit Persoonsgegevens of de Auditdienst Rijk. Extension Management vormt een essentieel onderdeel van deze bewijsvoering omdat het aantoont dat organisaties proactief maatregelen nemen om te voorkomen dat onbevoegde software toegang krijgt tot gevoelige informatie.
Voor Nederlandse overheidsorganisaties zijn de BIO-normen (Baseline Informatiebeveiliging Overheid) van bijzonder belang. BIO-norm 13.01.01 vereist dat organisaties technische beveiligingsmaatregelen implementeren om te voorkomen dat onbevoegde software toegang heeft tot informatiesystemen. Extension Management voldoet aan deze norm door te waarborgen dat alleen goedgekeurde en gecontroleerde extensies kunnen worden gebruikt op beheerde apparaten. Organisaties moeten kunnen aantonen dat ze een proces hebben voor het beoordelen en goedkeuren van extensies, dat ze monitoring uitvoeren om te verifiëren dat het beleid wordt nageleefd, en dat ze actie ondernemen wanneer niet-compliantie wordt gedetecteerd. Deze aantoonbaarheid is essentieel voor het verkrijgen en behouden van certificeringen zoals de BIO-certificering, die vereist is voor veel Nederlandse overheidsorganisaties. Tijdens BIO-audits wordt specifiek gekeken naar de implementatie van technische beveiligingsmaatregelen zoals Extension Management, en organisaties moeten kunnen demonstreren dat deze maatregelen daadwerkelijk functioneren en worden beheerd.
De Algemene Verordening Gegevensbescherming (AVG) stelt aanvullende eisen aan het beheer van software die toegang heeft tot persoonsgegevens. Artikel 32 van de AVG vereist dat organisaties passende technische en organisatorische maatregelen treffen om persoonsgegevens te beveiligen. Extension Management draagt hieraan bij door te voorkomen dat onbevoegde of kwaadaardige extensies toegang krijgen tot persoonsgegevens die via de browser worden verwerkt. Organisaties moeten kunnen documenteren welke extensies toegang hebben tot persoonsgegevens, welke beveiligingsmaatregelen zijn genomen om deze toegang te controleren, en hoe wordt gemonitord of extensies zich houden aan privacyvereisten. Dit is met name relevant voor Nederlandse overheidsorganisaties die grote hoeveelheden persoonsgegevens verwerken, zoals gemeenten die burgergegevens beheren of uitvoeringsorganisaties die sociale zekerheidsgegevens verwerken. Voor deze organisaties is het essentieel dat ze kunnen aantonen dat alle software die toegang heeft tot persoonsgegevens wordt beheerd en gecontroleerd, wat Extension Management mogelijk maakt.
ISO 27001 controle A.12.6.1 vereist dat organisaties technische kwetsbaarheden beheren en maatregelen nemen om te voorkomen dat kwetsbare software wordt gebruikt. Extension Management helpt hieraan te voldoen door te waarborgen dat alleen extensies die regelmatig worden bijgewerkt en geen bekende beveiligingskwetsbaarheden hebben kunnen worden gebruikt. Organisaties moeten een proces hebben voor het regelmatig evalueren van goedgekeurde extensies op nieuwe kwetsbaarheden, en voor het bijwerken of verwijderen van extensies wanneer kwetsbaarheden worden ontdekt. Deze evaluaties moeten worden gedocumenteerd en beschikbaar zijn voor audits. Voor organisaties die ISO 27001 gecertificeerd zijn of streven naar certificering, is Extension Management een belangrijk onderdeel van het informatiebeveiligingsmanagementsysteem (ISMS). Tijdens ISO 27001 audits wordt gecontroleerd of organisaties adequate processen hebben voor het beheren van software kwetsbaarheden, en Extension Management vormt een concrete implementatie van deze processen. De documentatie van Extension Management evaluaties en updates dient als auditbewijs dat organisaties proactief omgaan met software kwetsbaarheden.
Audit documentatie voor Extension Management moet verschillende elementen bevatten. Ten eerste moet er documentatie zijn van het Extension Management beleid zelf, inclusief welke extensies zijn goedgekeurd, welke zijn geblokkeerd, en wat de criteria zijn voor goedkeuring. Deze beleidsdocumentatie moet duidelijk beschrijven hoe organisaties beslissen welke extensies worden toegestaan, welke beveiligingscriteria worden gebruikt bij de beoordeling, en wie verantwoordelijk is voor het goedkeuren van nieuwe extensies. Ten tweede moeten er regelmatige compliance rapporten zijn die aantonen dat het beleid correct wordt toegepast op alle beheerde apparaten. Deze rapporten moeten regelmatig worden gegenereerd, bijvoorbeeld maandelijks of kwartaal, en moeten informatie bevatten over het percentage apparaten dat compliant is, welke apparaten niet-compliant zijn en waarom, en welke acties zijn ondernomen om niet-compliantie te verhelpen. Ten derde moeten er incident rapporten zijn voor gevallen waarin onbevoegde extensies werden gedetecteerd en hoe deze zijn aangepakt. Deze incident rapporten moeten beschrijven hoe de onbevoegde extensie werd gedetecteerd, welke impact deze had, welke remediatieacties werden ondernomen, en welke preventieve maatregelen zijn geïmplementeerd om soortgelijke incidenten in de toekomst te voorkomen. Ten vierde moeten er evaluatierapporten zijn die aantonen dat goedgekeurde extensies regelmatig worden geëvalueerd op beveiligingsrisico's. Deze evaluaties moeten worden uitgevoerd wanneer nieuwe kwetsbaarheden worden ontdekt, wanneer extensies worden bijgewerkt, of op regelmatige basis zoals halfjaarlijks of jaarlijks.
De bewaartermijn voor audit documentatie moet worden bepaald op basis van de relevante compliance vereisten. Voor BIO-normen en AVG-vereisten wordt over het algemeen een bewaartermijn van minimaal één jaar aanbevolen, hoewel organisaties kunnen kiezen voor langere bewaartermijnen afhankelijk van hun specifieke risicoprofiel en compliance vereisten. Documentatie moet worden opgeslagen op een veilige locatie met adequate toegangscontroles, en moet beschikbaar zijn voor interne audits, externe audits, en eventuele onderzoeken door toezichthouders. Regelmatige reviews van de documentatie helpen organisaties om te verifiëren dat alle vereiste informatie wordt vastgelegd en dat de documentatie actueel en accuraat blijft. Voor Nederlandse overheidsorganisaties is het belangrijk dat audit documentatie wordt bewaard in overeenstemming met de Archiefwet, die specifieke bewaartermijnen stelt voor verschillende soorten documentatie. Extension Management documentatie valt onder de categorie van beveiligingsdocumentatie en moet worden bewaard voor de duur die is vastgesteld in het archiefbeleid van de organisatie. Daarnaast moet de documentatie worden bewaard op een manier die voldoet aan de eisen voor informatiebeveiliging, waarbij alleen geautoriseerde personen toegang hebben tot de documentatie en waarbij wordt gewaarborgd dat de documentatie niet kan worden gewijzigd of verwijderd zonder sporen na te laten.
Compliance & Frameworks
- CIS M365: Control Security Controls (L1) - Security hardening
- BIO: 13.01.01 - Technical security measures
- ISO 27001:2022: A.12.6.1 - Technical vulnerability management
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Edge Security: Extension Management Configured
.DESCRIPTION
CIS - Extension management moet centraal geconfigureerd zijn.
.NOTES
Filename: extension-management-configured.ps1|Author: Nederlandse Baseline voor Veilige Cloud
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge"
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "extension-management-configured.ps1"; PolicyName = "Extension Management"; IsCompliant = $true; Details = @() }; $r.Details += "Extension management via ExtensionSettings policy"; return $r }
function Invoke-Remediation { Write-Host "Configure ExtensionSettings via GPO/Intune" -ForegroundColor Yellow }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`nExtension Management: COMPLIANT" -ForegroundColor Green; return $r }
function Invoke-Revert { Write-Host "No action" }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit 0 }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit 0 } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
High: Malicious extensions.
Management Samenvatting
Beheer extensions.
- Implementatietijd: 3 uur
- FTE required: 0.02 FTE