Browser Extensies Beheerd Via Allowlist

Browserextensies hebben vergaande toegang tot browserdata en kunnen een significant beveiligingsrisico vormen. Kwaadaardige of gecompromitteerde extensies kunnen inloggegevens stelen via toetsaanslagregistratie of formulierinjectie, browsergedrag volgen en doorverkopen aan derden, advertenties injecteren (adware), gevoelige bedrijfsdata exfiltreren via API-aanroepen, man-in-the-middle-aanvallen uitvoeren op HTTPS-verkeer, cryptomining-malware installeren, en volledige toegang krijgen tot alle webpagina's. Zelfs legitieme extensies kunnen overgenomen worden door aanvallers via leveranciersketenaanvallen. Een toegestaanlijst-aanpak waarbij alleen expliciet goedgekeurde extensies toegestaan zijn, biedt de beste beveiliging tegen deze dreigingen. Zonder controle kunnen gebruikers onbeperkt extensies installeren, wat een enorm aanvalsoppervlak creëert.

Implementatie

Deze control configureert twee beleidsregels: ExtensionInstallBlocklist wordt gezet op '*' (blokkeer alles standaard), en ExtensionInstallAllowlist bevat alleen de IDs van expliciet goedgekeurde extensies. Dit wordt geconfigureerd via het register onder HKLM:\SOFTWARE\beleidsregels\Microsoft\Edge\ExtensionSettings. De implementatie vereist een goedkeuringsproces voor extensies, inclusief beveiligingsbeoordeling, privacybeoordeling, en zakelijke rechtvaardiging. Het systeem werkt volgens het principe van 'standaard weigeren', waarbij alles wat niet expliciet is toegestaan automatisch wordt geblokkeerd, wat de hoogste beveiligingsstandaard biedt.

Vereisten

Het succesvol implementeren van extensiebeheer via een toegestaanlijst vereist een zorgvuldige voorbereiding op zowel technisch als organisatorisch vlak. De technische vereisten vormen de basis waarop het hele systeem rust, terwijl de organisatorische vereisten ervoor zorgen dat het systeem op de juiste manier wordt beheerd en onderhouden. Zonder aandacht voor beide aspecten loopt de implementatie het risico te falen of onvoldoende effectief te zijn. Vanuit technisch perspectief is de aanwezigheid van de Microsoft Edge browser op alle doelapparaten een absolute voorwaarde. Deze browser moet geïnstalleerd zijn en bij voorkeur up-to-date zijn met de nieuwste beveiligingsupdates. Het besturingssysteem waarop Edge draait moet minimaal Windows 10 of Windows 11 zijn voor clientapparaten, of Windows Server 2016 of hoger voor serveromgevingen. Deze versievereisten zijn niet willekeurig gekozen, maar zijn gebaseerd op de beveiligingsfuncties en beleidsondersteuning die beschikbaar zijn in deze versies. Oudere besturingssystemen missen vaak cruciale beveiligingsmechanismen die nodig zijn voor effectief extensiebeheer, waardoor de implementatie van deze control onvolledig of zelfs onmogelijk wordt. Administratorrechten vormen een andere kritieke technische vereiste. Deze rechten zijn onmisbaar omdat de configuratie van extensiebeheer diep in het systeem ingrijpt, specifiek in het Windows-register. De benodigde registerinstellingen kunnen alleen worden geconfigureerd door gebruikers met administratorrechten, hetzij lokaal op het apparaat, hetzij via centrale beheertools. In een Active Directory-omgeving worden deze instellingen doorgaans geconfigureerd via Group Policy Objects (GPO), waarbij de domain administrator de benodigde rechten heeft. In een cloudgebaseerde omgeving wordt Microsoft Intune gebruikt voor het beheer, waarbij de Intune-beheerder de configuratie uitvoert. Zonder deze rechten kunnen de benodigde beleidsregels simpelweg niet worden toegepast op de doelapparaten, waardoor de hele implementatie faalt. Een fundamentele organisatorische vereiste die vaak wordt onderschat is het uitvoeren van een volledige en grondige inventarisatie van alle huidige browserextensies die binnen de organisatie in gebruik zijn. Deze inventarisatie is veel meer dan alleen een lijstje maken van wat er geïnstalleerd is. Het is een strategisch proces dat inzicht geeft in het huidige gebruikspatroon, de behoeften van verschillende afdelingen, en de risico's die bestaande extensies mogelijk vormen. De inventarisatie moet worden uitgevoerd op representatieve systemen uit verschillende afdelingen en gebruikersgroepen om een accuraat en compleet beeld te krijgen van de huidige situatie. Het is belangrijk om niet alleen naar IT-afdelingen te kijken, maar ook naar andere afdelingen zoals HR, Finance, Marketing, en Operations, omdat elke afdeling mogelijk andere extensies gebruikt voor specifieke taken. Tijdens deze inventarisatie moeten voor elke gevonden extensie verschillende gegevens worden vastgelegd. De unieke Extensie-ID is het belangrijkste identificatiemiddel en moet exact worden overgenomen zoals deze in de browser wordt weergegeven. Daarnaast moet worden vastgelegd wie de extensie gebruikt, voor welk specifiek zakelijk doel, en of er alternatieven beschikbaar zijn die mogelijk beter aansluiten bij de beveiligingsvereisten van de organisatie. Deze informatie vormt de basis voor de beslissing welke extensies worden opgenomen in de toegestaanlijst en welke worden geblokkeerd. Het opzetten van een gestructureerd en goed gedocumenteerd goedkeuringsproces voor nieuwe extensies is eveneens een fundamentele vereiste die niet mag worden overgeslagen. Dit proces vormt het hart van het extensiebeheer en bepaalt in grote mate het succes van de hele implementatie. Het proces moet duidelijk definiëren wie verantwoordelijk is voor het beoordelen van extensieverzoeken, welke specifieke criteria worden gehanteerd bij de beoordeling, en binnen welke termijn verzoeken worden afgehandeld. Zonder een dergelijk proces loopt de organisatie het risico dat gebruikers omzeilingen zoeken, dat het beheer onbeheersbaar wordt, of dat inconsistente beslissingen worden genomen die de beveiliging ondermijnen. Een beveiligingsbeoordelingproces voor het beoordelen van extensies vormt een cruciaal onderdeel van de vereisten dat niet mag worden verwaarloosd. Dit proces moet systematisch de reputatie van de uitgever analyseren door te kijken naar de geschiedenis van de uitgever, eerdere beveiligingsincidenten, en de algemene betrouwbaarheid in de markt. De gevraagde machtigingen van de extensie moeten kritisch worden beoordeeld om te bepalen of deze noodzakelijk zijn voor de functionaliteit, of dat de extensie om meer machtigingen vraagt dan strikt nodig is. Beveiligingsadvisories moeten worden gecontroleerd bij verschillende bronnen, waaronder het Nationaal Cyber Security Centrum (NCSC), beveiligingsonderzoeksorganisaties, en de uitgever zelf. De algemene beveiligingspostuur van de extensie moet worden geëvalueerd, inclusief de aanwezigheid van bekende kwetsbaarheden en de snelheid waarmee deze worden opgelost. Dit vereist expertise op het gebied van cybersecurity en toegang tot relevante beveiligingsinformatiebronnen. Een privacy impact assessment (PIA) voor gegevenstoegang is eveneens essentieel, vooral in het licht van de Algemene Verordening Gegevensbescherming (AVG) die van toepassing is op alle organisaties die persoonsgegevens verwerken. Elke extensie die toegang vraagt tot persoonsgegevens moet worden beoordeeld op de impact voor de privacy van gebruikers en de naleving van privacywetgeving. Dit omvat het analyseren van welke persoonsgegevens de extensie kan inzien, waar deze gegevens naartoe worden verzonden, of de uitgever voldoet aan de vereisten van de AVG, en of er adequate waarborgen zijn voor gegevensbescherming. Dit vereist betrokkenheid van de functionaris voor gegevensbescherming (FG) of privacy officer, die de expertise heeft om deze beoordelingen uit te voeren. Ten slotte moet voor elke toegestane extensie een duidelijke en goed gedocumenteerde zakelijke rechtvaardiging worden vastgelegd. Deze rechtvaardiging moet uitgebreid uitleggen waarom de extensie noodzakelijk is voor het uitvoeren van zakelijke functies, welke specifieke taken ermee worden uitgevoerd, welke alternatieven zijn overwogen en waarom deze niet voldoen, en wat de gevolgen zijn als de extensie niet wordt toegestaan. Deze documentatie is belangrijk voor compliance doeleinden, helpt bij toekomstige beoordelingen van de toegestaanlijst, en zorgt ervoor dat beslissingen transparant en verantwoord zijn.

Implementatie

Gebruik PowerShell-script extensions-Beheerled.ps1 (functie Invoke-Monitoring) – PowerShell script voor verificatie van extensiebeheer beleidsregels (configuratie via GPO/Intune vereist).

De implementatie van extensiebeheer via een toegestaanlijst is een proces dat zorgvuldige planning en uitvoering vereist. Het succes van de implementatie hangt niet alleen af van de technische configuratie, maar ook van de manier waarop het proces wordt uitgevoerd en hoe gebruikers worden betrokken. Extension control kan worden geïmplementeerd via verschillende methoden, waarbij Microsoft Intune en Group Policy Objects (GPO) de meest gebruikte en aanbevolen benaderingen zijn. De keuze tussen deze methoden hangt primair af van de infrastructuur van de organisatie. Cloudgebaseerde organisaties die volledig werken met Microsoft 365 en Azure services prefereren doorgaans Intune vanwege de naadloze integratie met andere Microsoft-cloudservices en de mogelijkheid tot centraal beheer vanuit elke locatie. Organisaties met een traditionele Active Directory-omgeving en on-premises infrastructuur gebruiken vaak GPO, omdat deze methode goed geïntegreerd is met hun bestaande beheerstructuur. Beide methoden bieden dezelfde functionaliteit en beveiligingsniveau, maar verschillen in de manier waarop de configuratie wordt toegepast, beheerd, en gemonitord. De implementatie begint altijd met een grondige en systematische inventarisatie van alle huidige browserextensies die binnen de organisatie in gebruik zijn. Deze inventarisatie is veel meer dan een simpele lijst maken; het is een strategisch proces dat inzicht geeft in het huidige gebruikspatroon en de behoeften van de organisatie. De inventarisatie moet worden uitgevoerd door op representatieve systemen de pagina edge://extensions te openen, waar alle geïnstalleerde extensies zichtbaar zijn met hun unieke identificatiecodes. Het is cruciaal om systemen uit verschillende afdelingen en gebruikersgroepen te selecteren om een compleet en accuraat beeld te krijgen van de huidige situatie. Alleen door een brede steekproef te nemen kan worden voorkomen dat belangrijke extensies over het hoofd worden gezien die later problemen zouden kunnen veroorzaken. Voor elke gevonden extensie tijdens de inventarisatie moet de unieke Extensie-ID worden genoteerd, die te vinden is onder de extensiedetails in de browser. Deze ID is essentieel omdat deze exact moet worden gebruikt in de toegestaanlijst-configuratie. Een kleine fout in het overnemen van de ID kan ertoe leiden dat een goedgekeurde extensie toch wordt geblokkeerd, of dat een niet-goedgekeurde extensie wordt toegestaan. Daarnaast moet worden vastgelegd wie de extensie gebruikt, voor welk specifiek zakelijk doel, welke functionaliteit de extensie biedt, en of er alternatieven beschikbaar zijn die mogelijk beter aansluiten bij de beveiligingsvereisten van de organisatie. Deze informatie vormt de basis voor alle verdere beslissingen in het implementatieproces. Na de inventarisatie volgt een uitgebreide beoordelingenfase waarbij voor elke extensie meerdere aspecten worden geëvalueerd. De zakelijke noodzaak wordt beoordeeld door te kijken naar de functionaliteit die de extensie biedt, of deze functionaliteit essentieel is voor het uitvoeren van zakelijke taken, en of er alternatieven beschikbaar zijn. Een beveiligingsbeoordeling wordt uitgevoerd waarbij de reputatie van de uitgever wordt gecontroleerd, de gevraagde machtigingen worden geanalyseerd, en beveiligingsadvisories worden geraadpleegd. Een privacy impact assessment wordt gedaan om te bepalen welke persoonsgegevens de extensie kan inzien, waar deze gegevens naartoe worden verzonden, en of de extensie voldoet aan de AVG-vereisten. Deze beoordelingen bepalen gezamenlijk welke extensies worden opgenomen in de toegestaanlijst en welke worden geblokkeerd. Extensies die niet voldoen aan de beveiligings- of privacyvereisten, of waarvoor geen duidelijke zakelijke rechtvaardiging bestaat, worden uitgesloten van de toegestaanlijst, ongeacht hoe populair of handig ze mogelijk zijn. Voor implementatie via Microsoft Intune moet eerst worden genavigeerd naar het Microsoft Intune admin center, dat toegankelijk is via de Azure Portal. Van daaruit gaat men naar de sectie Devices en vervolgens naar Configuration profiles, waar een nieuw profiel kan worden aangemaakt. Bij het aanmaken van het profiel moet worden gekozen voor het platform Windows 10 en later, omdat dit de versies zijn die volledige ondersteuning bieden voor de benodigde beveiligingsfuncties. Als profieltype moet Settings catalog worden geselecteerd, omdat dit de meest flexibele en uitgebreide manier is om Edge-instellingen te configureren. De Settings catalog biedt toegang tot een uitgebreide lijst van configureerbare instellingen voor Microsoft Edge, georganiseerd in logische categorieën die het vinden van de juiste instellingen vergemakkelijken. Binnen de Settings catalog moet worden gezocht naar Microsoft Edge en vervolgens naar de categorie Extensies, waar de instelling Extension Settings beschikbaar is. Deze instelling maakt het mogelijk om zowel een geblokkeerdelijst als een toegestaanlijst te configureren in een enkele configuratie. De geblokkeerdelijst wordt geconfigureerd door ExtensionInstallBlocklist in te stellen op de waarde ['*'], wat betekent dat standaard alle extensies worden geblokkeerd, ongeacht of ze expliciet in de geblokkeerdelijst staan. Dit is een belangrijk beveiligingsprincipe dat bekend staat als 'default deny': alles wat niet expliciet is toegestaan, wordt automatisch geblokkeerd. Deze aanpak biedt de hoogste beveiligingsstandaard omdat het voorkomt dat nieuwe of onbekende extensies automatisch worden toegestaan. De toegestaanlijst wordt geconfigureerd via de instelling ExtensionInstallAllowlist, waarbij een lijst van goedgekeurde extensie IDs wordt opgegeven in JSON-formaat. Elke extensie ID moet exact worden overgenomen zoals deze in de Edge browser wordt weergegeven, zonder spaties, hoofdletters, of andere wijzigingen. Enkele voorbeelden van veelvoorkomende zakelijke extensies die vaak worden goedgekeurd zijn Microsoft Editor met ID gjpkhdnjbcgnanimbnfpakijkdcgfmkh, Microsoft Defender Application Guard met ID pghoinjgldifmfkoighnaidhlfdbngcp, en indien zakelijk noodzakelijk Grammarly met ID kbfnbcaeplbcioakkpcpgfkobkghlhen of LastPass met ID hdokiejnpimakedhajhdlcegeplioahd, maar alleen met een zakelijk account en na een grondige beveiligings- en privacybeoordeling. Het is belangrijk om deze lijst aan te passen aan de specifieke behoeften van de organisatie en niet blindelings voorbeelden over te nemen zonder eigen beoordeling. Voordat het profiel breed wordt uitgerold over de hele organisatie, is het essentieel om eerst uitgebreid te testen met een zorgvuldig geselecteerde pilotgroep. Deze pilotgroep moet bestaan uit een beperkt aantal gebruikers die representatief zijn voor de organisatie in termen van afdeling, functie, en technische vaardigheden, maar die ook technisch vaardig genoeg zijn om eventuele problemen te herkennen en te rapporteren. Tijdens de pilotperiode, die idealiter minimaal twee weken duurt, moet regelmatig worden gecontroleerd of de configuratie correct wordt toegepast op de pilotapparaten, of goedgekeurde extensies nog steeds werken zoals verwacht, en of geblokkeerde extensies daadwerkelijk worden geblokkeerd wanneer gebruikers proberen ze te installeren. Eventuele problemen die tijdens de pilot worden ontdekt moeten worden opgelost voordat de brede uitrol plaatsvindt, omdat problemen die op kleine schaal optreden vaak exponentieel toenemen bij grootschalige implementatie. Communicatie naar gebruikers is een cruciaal onderdeel van de implementatie dat vaak wordt onderschat maar essentieel is voor het succes van het project. Gebruikers moeten tijdig en duidelijk worden geïnformeerd over de wijzigingen die worden doorgevoerd, het waarom achter de maatregel vanuit beveiligings- en complianceperspectief, en hoe zij nieuwe extensies kunnen aanvragen als zij deze nodig hebben voor hun werk. Deze communicatie moet plaatsvinden bij voorkeur enkele weken voor de daadwerkelijke implementatie, zodat gebruikers de gelegenheid hebben om vragen te stellen, zich voor te bereiden op de wijzigingen, en eventuele extensies aan te vragen die zij nodig hebben voordat de maatregel actief wordt. Goede communicatie voorkomt frustratie, vermindert het aantal supportverzoeken, en zorgt ervoor dat gebruikers de maatregel begrijpen en accepteren. Na succesvolle testing met de pilotgroep en adequate communicatie naar alle gebruikers kan het profiel worden toegewezen aan alle relevante gebruikersgroepen. Het is sterk aan te raden om dit gefaseerd te doen, bijvoorbeeld eerst per afdeling of per locatie, om eventuele onvoorziene problemen te kunnen identificeren en op te lossen voordat de volledige organisatie wordt bereikt. Deze gefaseerde aanpak maakt het mogelijk om lessen te leren uit eerdere fases en deze toe te passen in latere fases, waardoor de algehele kwaliteit van de implementatie wordt verbeterd. Na de toewijzing moet de configuratie regelmatig worden gemonitord om te verzekeren dat deze correct blijft werken, om trends in extensieverzoeken te identificeren, en om tijdig te kunnen reageren op nieuwe beveiligingsdreigingen of veranderende behoeften binnen de organisatie.

Monitoring

Gebruik PowerShell-script extensions-controlled.ps1 (functie Invoke-Monitoring) – Controleren.

Effectieve monitoring van extensiebeheer is een continu proces dat essentieel is voor het handhaven van de beveiliging en het verzekeren dat het systeem blijft functioneren zoals bedoeld. Monitoring is veel meer dan alleen het controleren of de configuratie nog actief is; het omvat een gestructureerde aanpak die zowel technische verificatie als organisatorische processen omvat, en die inzicht geeft in trends, risico's, en verbetermogelijkheden. Zonder adequate monitoring loopt de organisatie het risico dat problemen onopgemerkt blijven, dat de configuratie na verloop van tijd verslechtert, of dat nieuwe dreigingen niet tijdig worden herkend. De technische monitoring begint bij het regelmatig controleren van het Windows-register op de locatie HKLM:\SOFTWARE\beleidsregels\Microsoft\Edge\ExtensionSettings. Deze registersleutel bevat de geconfigureerde beleidsregels voor extensiebeheer en vormt de basis van de hele implementatie. Deze sleutel moet regelmatig worden geverifieerd om te verzekeren dat de configuratie niet is gewijzigd, overschreven door andere processen, of aangepast door gebruikers met lokale administratorrechten. Het PowerShell monitoring script dat beschikbaar is voor deze control kan worden gebruikt om deze verificatie te automatiseren en gestructureerde rapporten te genereren die kunnen worden gebruikt voor compliance doeleinden en voor het identificeren van problemen. Automatisering van deze verificatie is belangrijk omdat handmatige controles tijdrovend zijn, foutgevoelig, en vaak worden overgeslagen wanneer andere prioriteiten zich voordoen. Een kritiek onderdeel van de technische monitoring is het verifiëren dat zowel de geblokkeerdelijst als de toegestaanlijst correct zijn geconfigureerd en actief zijn op alle doelapparaten. De geblokkeerdelijst moet de waarde '*' bevatten om alle extensies standaard te blokkeren, wat het fundamentele beveiligingsprincipe is van de hele implementatie. De toegestaanlijst moet alleen de goedgekeurde extensie IDs bevatten, zonder extra entries die mogelijk per ongeluk zijn toegevoegd of door kwaadwillenden zijn geïnjecteerd. Deze verificatie moet regelmatig plaatsvinden, bij voorkeur wekelijks voor organisaties met hoge beveiligingsvereisten, of maandelijks voor organisaties met gemiddelde beveiligingsvereisten. De frequentie moet worden aangepast aan de specifieke risicoprofiel van de organisatie en de snelheid waarmee de threat landscape verandert. Eventuele afwijkingen die tijdens deze verificatie worden ontdekt moeten onmiddellijk worden onderzocht om te bepalen of ze het gevolg zijn van een technisch probleem, een beveiligingsincident, of een onbedoelde wijziging. Afhankelijk van de oorzaak moeten passende corrigerende maatregelen worden genomen. Het monitoren van aanvragen van gebruikers voor nieuwe extensies vormt een belangrijk organisatorisch aspect van de monitoring dat vaak wordt onderschat maar cruciaal is voor het succes van het hele systeem. Deze aanvragen moeten worden geregistreerd in een centraal systeem, zoals een ticketing systeem, een specifieke workflow tool, of een aangepaste applicatie die is ontwikkeld voor dit doel. Door alle aanvragen centraal te registreren kunnen trends worden geïdentificeerd die anders onopgemerkt zouden blijven. Door te analyseren welke soorten extensies regelmatig worden aangevraagd, kan de organisatie proactief bepalen of bepaalde extensies moeten worden toegevoegd aan de toegestaanlijst omdat ze blijkbaar een algemene behoefte vervullen, of dat er alternatieve oplossingen beschikbaar zijn die beter aansluiten bij de behoeften en tegelijkertijd voldoen aan de beveiligingsvereisten. Deze proactieve aanpak voorkomt dat gebruikers gefrustreerd raken door herhaaldelijk afgewezen verzoeken en helpt bij het optimaliseren van de toegestaanlijst zodat deze beter aansluit bij de werkelijke behoeften van de organisatie. Het analyseren van geblokkeerde installatiepogingen voor trends is eveneens waardevol voor het verbeteren van het beveiligingsbeleid en het identificeren van potentiële problemen. Als bepaalde extensies regelmatig worden geblokkeerd wanneer gebruikers proberen ze te installeren, kan dit wijzen op een behoefte die niet wordt vervuld door de huidige toegestaanlijst. Dit kan leiden tot het heroverwegen van bepaalde extensies die mogelijk ten onrechte zijn afgewezen, of tot het zoeken naar alternatieve oplossingen die wel voldoen aan de beveiligingsvereisten maar dezelfde functionaliteit bieden. Daarnaast kunnen herhaalde pogingen om kwaadaardige of onveilige extensies te installeren wijzen op beveiligingsproblemen, zoals gecompromitteerde accounts, of op onvoldoende bewustwording bij gebruikers over de risico's van browserextensies. In beide gevallen moeten passende maatregelen worden genomen, zoals het verbeteren van gebruikerseducatie of het onderzoeken van mogelijke beveiligingsincidenten. Een kwartaalbeoordeling van alle goedgekeurde extensies op beveiligingsupdates is essentieel voor het handhaven van een veilige toegestaanlijst die up-to-date blijft met de laatste beveiligingsinformatie. Extensies kunnen in de loop van de tijd kwetsbaarheden ontwikkelen die aanvankelijk niet bekend waren, of de uitgever kan worden overgenomen door een minder betrouwbare partij die mogelijk kwaadaardige code introduceert. Tijdens deze kwartaalbeoordelingen moeten beveiligingsadvisories worden gecontroleerd bij verschillende bronnen, de reputatie van de uitgever moet opnieuw worden beoordeeld om te zien of deze is veranderd, en de huidige versie van de extensie moet worden geëvalueerd op bekende kwetsbaarheden. Extensies die niet meer voldoen aan de beveiligingsstandaarden moeten worden verwijderd uit de toegestaanlijst, zelfs als ze eerder zijn goedgekeurd, omdat de beveiligingssituatie continu verandert en wat vandaag veilig is morgen mogelijk niet meer veilig is. Het volgen van beveiligingsadvisories voor toegestane extensies is een continu proces dat niet mag worden verwaarloosd en dat moet worden geïntegreerd in de dagelijkse werkzaamheden van het beveiligingsteam. Verschillende bronnen bieden informatie over beveiligingsproblemen met browserextensies, waaronder de websites van uitgevers zelf, beveiligingsonderzoeksorganisaties zoals het SANS Internet Storm Center, en overheidsinstanties zoals het Nationaal Cyber Security Centrum (NCSC) in Nederland. Deze advisories moeten regelmatig worden gemonitord, bij voorkeur dagelijks of wekelijks, afhankelijk van de beschikbare resources en de beveiligingsvereisten van de organisatie. Wanneer een kritieke kwetsbaarheid wordt gemeld voor een toegestane extensie, moet onmiddellijk actie worden ondernomen, waarbij de extensie mogelijk tijdelijk of permanent wordt verwijderd uit de toegestaanlijst totdat de kwetsbaarheid is opgelost en geverifieerd. Het gebruik van de Edge Management Service voor centraal overzicht biedt aanvullende monitoringmogelijkheden die het beheer aanzienlijk vergemakkelijken. Deze service maakt het mogelijk om vanuit een centrale locatie te zien welke extensies zijn geïnstalleerd op welke apparaten, welke extensies zijn geblokkeerd wanneer gebruikers proberen ze te installeren, en welke trends zich voordoen in het gebruik van extensies. Dit centrale overzicht vergemakkelijkt het beheer omdat het niet langer nodig is om individuele apparaten te controleren, en het maakt het mogelijk om snel te reageren op problemen of veranderingen in het gebruikspatroon. De combinatie van technische monitoring via scripts en registercontroles, organisatorische processen voor het beheren van verzoeken en beoordelingen, en centrale tools zoals de Edge Management Service zorgt voor een complete monitoringstrategie die de effectiviteit van de extensiebeheer verzekert en die de organisatie in staat stelt om proactief te reageren op nieuwe dreigingen en veranderende behoeften.

Goedkeuringsproces

Gebruik PowerShell-script extensions-controlled.ps1 (functie Invoke-Remediation) – Herstellen.

Het goedkeuringsproces voor nieuwe browserextensies is een gestructureerde werkstroom die meerdere stappen omvat en verschillende belanghebbenden betrekt. Dit proces is essentieel om te verzekeren dat alleen veilige, privacyvriendelijke, en zakelijk gerechtvaardigde extensies worden toegestaan binnen de organisatie. Het proces begint wanneer een gebruiker een verzoek indient voor een nieuwe extensie, waarbij een duidelijke zakelijke rechtvaardiging moet worden gegeven. Deze rechtvaardiging moet uitleggen waarom de extensie noodzakelijk is voor het uitvoeren van zakelijke functies, welke specifieke taken ermee worden uitgevoerd, en waarom bestaande toegestane extensies of alternatieve oplossingen niet voldoen. Na het indienen van het verzoek voert het beveiligingsteam een uitgebreide beoordeling uit die meerdere aspecten omvat. Allereerst wordt de reputatie van de uitgever van de extensie beoordeeld. Dit omvat het controleren van de geschiedenis van de uitgever, eerdere beveiligingsincidenten, en de algemene betrouwbaarheid in de markt. Uitgevers met een geschiedenis van beveiligingsproblemen of onethische praktijken worden doorgaans afgewezen, tenzij er overtuigende redenen zijn om een uitzondering te maken. Vervolgens worden de gevraagde machtigingen van de extensie geanalyseerd. Extensies vragen vaak om uitgebreide machtigingen, zoals toegang tot alle websites, het kunnen lezen en wijzigen van browsergeschiedenis, of toegang tot bestanden op het systeem. Het beveiligingsteam moet beoordelen of deze machtigingen noodzakelijk zijn voor de functionaliteit van de extensie, of dat de extensie om meer machtigingen vraagt dan strikt nodig is. Extensies die om onnodig uitgebreide machtigingen vragen worden als verdacht beschouwd en doorgaans afgewezen. Het controleren van beoordelingen en ratings van de extensie in de Chrome Web Store of Edge Add-ons store vormt een ander belangrijk onderdeel van de beveiligingsbeoordeling. Hoewel beoordelingen niet altijd betrouwbaar zijn, kunnen ze wel indicaties geven van problemen, zoals crashes, beveiligingsproblemen, of privacyzorgen. Extensies met overwegend negatieve beoordelingen of specifieke beveiligingswaarschuwingen in de beoordelingen worden extra kritisch beoordeeld. Het zoeken naar beveiligingsadvisories voor de specifieke extensie is eveneens cruciaal. Verschillende bronnen, zoals het NCSC, beveiligingsonderzoeksorganisaties, en de uitgever zelf, publiceren advisories over bekende kwetsbaarheden. Als er actieve beveiligingsproblemen zijn gemeld voor de extensie, moet het verzoek worden afgewezen totdat deze problemen zijn opgelost. Parallel aan de beveiligingsbeoordeling beoordeelt de privacy officer of functionaris voor gegevensbescherming de gegevenstoegang en AVG-compliance van de extensie. Dit omvat het analyseren van welke persoonsgegevens de extensie kan inzien, waar deze gegevens naartoe worden verzonden, en of de uitgever voldoet aan de vereisten van de AVG. Extensies die persoonsgegevens verzenden naar landen buiten de Europese Economische Ruimte zonder adequate waarborgen worden doorgaans afgewezen, tenzij er een specifieke juridische grondslag is. De zakelijke verantwoordelijke, meestal de manager of teamleider van de aanvragende gebruiker, moet de zakelijke noodzaak goedkeuren. Deze goedkeuring bevestigt dat de extensie inderdaad nodig is voor het uitvoeren van zakelijke functies en dat er geen alternatieven beschikbaar zijn die beter aansluiten bij de beveiligings- en privacyvereisten van de organisatie. Voordat een extensie definitief wordt goedgekeurd, moet deze worden getest in een geïsoleerde omgeving. Deze testomgeving moet gescheiden zijn van de productieomgeving en moet representatief zijn voor de omgeving waarin de extensie zal worden gebruikt. Tijdens de test moet worden gecontroleerd of de extensie daadwerkelijk doet wat wordt beloofd, of er onverwachte gedragingen optreden, en of de extensie compatibel is met andere toegestane extensies en bedrijfssoftware. Als alle beoordelingen positief zijn en de test succesvol is, wordt de extensie toegevoegd aan de toegestaanlijst. Dit gebeurt door de Extensie-ID toe te voegen aan de ExtensionInstallAllowlist in het Intune-beleid of GPO-configuratie. Tegelijkertijd moet de goedkeuring en de beoordelingdatum worden gedocumenteerd in een centraal systeem, samen met alle relevante informatie uit de beoordelingen, zoals de zakelijke rechtvaardiging, beveiligingsbevindingen, en privacybeoordeling. Na de toevoeging aan de toegestaanlijst moet de aanvragende gebruiker worden geïnformeerd over de goedkeuring en hoe de extensie kan worden geïnstalleerd. Deze communicatie moet duidelijk zijn en eventuele voorwaarden of beperkingen bevatten die tijdens de beoordeling zijn vastgesteld. Ten slotte moeten alle goedgekeurde extensies jaarlijks worden beoordeeld, of onmiddellijk bij beveiligingsincidenten. Tijdens deze beoordelingen wordt opnieuw beoordeeld of de extensie nog steeds voldoet aan de beveiligings- en privacyvereisten, of de zakelijke noodzaak nog steeds bestaat, en of er nieuwe beveiligingsproblemen zijn gemeld. Extensies die niet meer voldoen aan de vereisten moeten worden verwijderd uit de toegestaanlijst, waarbij gebruikers tijdig worden geïnformeerd zodat zij alternatieven kunnen zoeken.

Compliance en Auditing

Deze control draagt significant en meetbaar bij aan de naleving van verschillende belangrijke compliance frameworks die relevant zijn voor Nederlandse overheidsorganisaties en andere organisaties die werken met gevoelige informatie. Het implementeren van extensiebeheer via een toegestaanlijst is niet alleen een beste praktijk, maar ook een concrete manier om te voldoen aan meerdere compliance-vereisten tegelijkertijd, wat de efficiëntie van het complianceprogramma verhoogt en het risico op niet-naleving aanzienlijk vermindert. Door deze control te implementeren, demonstreert de organisatie dat zij serieus omgaat met informatiebeveiliging en privacy, wat belangrijk is voor het behouden van vertrouwen van belanghebbenden, het voldoen aan contractuele verplichtingen, en het vermijden van boetes en reputatieschade. De CIS Microsoft Edge Benchmark bevat specifieke en gedetailleerde aanbevelingen voor Extensiebeheer die rechtstreeks worden geadresseerd door deze control. De CIS Benchmark is een internationaal erkende en veelgebruikte standaard die best practices definieert voor de beveiliging van Microsoft Edge browsers, en het correct implementeren van extensiebeheer is een fundamenteel en essentieel onderdeel van deze benchmark. Organisaties die de CIS Benchmark volgen moeten extensiebeheer implementeren om te voldoen aan de benchmarkvereisten, en het gebruik van een toegestaanlijst is de aanbevolen en meest veilige manier om dit te doen. Door deze control te implementeren, voldoet de organisatie aan de relevante CIS-aanbevelingen en kan zij dit aantonen tijdens audits of certificeringsprocessen. De Baseline Informatiebeveiliging Overheid (BIO) bevat in control 12.06.02 specifieke en verplichte vereisten voor beperkingen op software-installatie die direct van toepassing zijn op browserextensies. Deze control stelt duidelijk dat organisaties maatregelen moeten treffen om te voorkomen dat gebruikers onbeperkt software kunnen installeren, omdat dit een significant en onacceptabel beveiligingsrisico vormt dat kan leiden tot de introductie van kwaadaardige software, het schenden van privacy, en het compromitteren van de beveiliging van de hele organisatie. Browser extensies worden in deze context expliciet beschouwd als software, en het implementeren van een toegestaanlijst voor extensies is een effectieve, bewezen, en aanbevolen manier om te voldoen aan deze BIO-vereiste. Door alleen expliciet goedgekeurde extensies toe te staan na een grondige beveiligings- en privacybeoordeling, wordt het risico op kwaadaardige of onveilige software-installaties aanzienlijk verminderd, wat direct bijdraagt aan het voldoen aan de BIO-vereisten. De ISO 27001 standaard, die wereldwijd wordt erkend als de belangrijkste en meest gebruikte standaard voor informatiebeveiligingsmanagement, bevat in controle A.12.6.2 specifieke en verplichte vereisten voor beperkingen op software-installatie die van toepassing zijn op alle soorten software, inclusief browserextensies. Deze controle stelt duidelijk dat organisaties regels en procedures moeten implementeren voor het beheer van software-installaties op operationele systemen, en dat deze regels en procedures moeten worden gedocumenteerd, geïmplementeerd, en regelmatig worden beoordeeld. Het extensiebeheer via toegestaanlijst voldoet aan deze vereiste door duidelijke en gedocumenteerde regels te stellen over welke extensies mogen worden geïnstalleerd, door procedures te definiëren voor het goedkeuren van nieuwe extensies, en door deze procedures regelmatig te beoordelingen en te verbeteren. Deze aanpak maakt het mogelijk om tijdens ISO 27001 audits aan te tonen dat de organisatie voldoet aan de vereisten voor software-installatiebeheer. Daarnaast adresseert ISO 27001 controle A.12.5.1 de installatie van software op operationele systemen en vereist dat organisaties procedures implementeren voor het controleren en goedkeuren van software-installaties, inclusief het beoordelen van beveiligingsrisico's voordat software wordt geïnstalleerd. Het goedkeuringsproces voor extensies dat deel uitmaakt van deze control voldoet aan deze vereiste door een gestructureerd, gedocumenteerd, en reproduceerbaar proces te bieden waarbij beveiligingsrisico's systematisch worden beoordeeld voordat een extensie wordt goedgekeurd. Dit proces omvat de beoordeling van de reputatie van de uitgever, de analyse van gevraagde machtigingen, het controleren van beveiligingsadvisories, en het uitvoeren van tests in een geïsoleerde omgeving. Door dit proces te documenteren en regelmatig te beoordelingen, kan de organisatie aantonen dat zij voldoet aan de ISO 27001-vereisten voor software-installatiebeheer. De NIS2-richtlijn, die van toepassing is op essentiële en belangrijke entiteiten in de Europese Unie, bevat in Artikel 21 specifieke en verplichte vereisten voor de beveiliging van de supply chain die direct relevant zijn voor browserextensies. Browser extensies vormen een belangrijk onderdeel van de software supply chain, omdat ze worden ontwikkeld door externe partijen en worden geïnstalleerd op systemen binnen de organisatie. Het beheren van extensies via een toegestaanlijst met regelmatige beveiligingsbeoordelingen draagt significant bij aan het verminderen van risico's in deze supply chain door alleen extensies van betrouwbare uitgevers toe te staan, door regelmatig te controleren of deze betrouwbaarheid nog steeds geldt, en door snel te reageren op nieuwe beveiligingsdreigingen. Door deze aanpak wordt het risico op leveranciersketenaanvallen verminderd, waarbij kwaadaardige code wordt geïntroduceerd via ogenschijnlijk legitieme software, wat een groeiend probleem is in de cybersecuritywereld. Het OWASP Application Security Verification Standard (ASVS) versie 14 bevat in de categorie Configuration specifieke en gedetailleerde vereisten voor het beheer van derde partij componenten die direct van toepassing zijn op browserextensies. Browser extensies worden expliciet beschouwd als derde partij componenten, omdat ze worden ontwikkeld en onderhouden door externe partijen en worden geïntegreerd in de browseromgeving van de organisatie. Het implementeren van een toegestaanlijst met uitgebreide beveiligingsbeoordelingen voldoet aan de ASVS-vereisten voor het beheren van dergelijke componenten door het verifiëren van de betrouwbaarheid van de uitgever, het beoordelen van beveiligingsrisico's voor elke extensie, en het regelmatig beoordelingen van toegestane componenten om te verzekeren dat ze nog steeds voldoen aan de beveiligingsstandaarden. Deze aanpak helpt organisaties om te voldoen aan de ASVS-vereisten en om hun applicatiebeveiliging te verbeteren. De Algemene Verordening Gegevensbescherming (AVG) bevat in Artikel 32 specifieke en verplichte vereisten voor de beveiliging van verwerking van persoonsgegevens die direct relevant zijn voor browserextensies die toegang hebben tot persoonsgegevens. Dit artikel stelt duidelijk dat organisaties passende technische en organisatorische maatregelen moeten treffen om persoonsgegevens te beveiligen tegen ongeautoriseerde toegang, verlies, of vernietiging. Browser extensies die toegang hebben tot persoonsgegevens vormen een significant risico voor de privacy, omdat ze deze gegevens kunnen inzien, verzamelen, en doorsturen naar externe servers zonder dat gebruikers zich hiervan bewust zijn. Het beheren van extensies via een toegestaanlijst met uitgebreide privacybeoordelingen is een belangrijke en effectieve maatregel om te voldoen aan Artikel 32 van de AVG. Door alleen extensies toe te staan die voldoen aan privacyvereisten, door regelmatig te beoordelingen of deze vereisten nog steeds worden nageleefd, en door snel te reageren op privacyproblemen, draagt de organisatie significant bij aan de bescherming van persoonsgegevens en het voldoen aan de AVG-vereisten. De combinatie van deze verschillende compliance frameworks maakt duidelijk dat extensiebeheer via toegestaanlijst niet alleen een best practice of een aanbeveling is, maar ook een concrete en meetbare vereiste voor organisaties die serieus omgaan met informatiebeveiliging en privacy. Door deze control te implementeren, voldoet de organisatie aan meerdere belangrijke compliance-vereisten tegelijkertijd, wat de efficiëntie van het complianceprogramma aanzienlijk verhoogt door het verminderen van dubbele werkzaamheden, het risico op niet-naleving aanzienlijk vermindert door het adresseren van meerdere risico's met één maatregel, en het vertrouwen van stakeholders verhoogt door het demonstreren van een proactieve aanpak van beveiliging en privacy. Deze synergie tussen verschillende compliance frameworks maakt extensiebeheer via toegestaanlijst een zeer waardevolle en effectieve control die elke organisatie zou moeten implementeren.

Compliance & Frameworks

• CIS M365: Control Edge Security - Extensiebeheer (L1) - Browserextensies moeten worden beheerd via toegestaanlijst
• BIO: 12.06.02 - Beperkingen voor installatie van software
• ISO 27001:2022: A.12.6.2, A.12.5.1 - Beheer op software installatie en leveranciersketenbeveiliging
• NIS2: Artikel - Leveranciersketenbeveiliging en toegangsbeheer

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

Risico zonder implementatie

Management Samenvatting

Implementeer een toegestaanlijst voor browserextensies waarbij alleen expliciet goedgekeurde extensies toegestaan zijn. Blokkeer alle andere extensies standaard. Stel een beveiligingsbeoordelingenproces op voor nieuwe extensieverzoeken. Implementatie: 4-8 uur inclusief inventarisatie en goedkeuringsproces opzetten.

• Implementatietijd: 8 uur
• FTE required: 0.1 FTE