External Protocol Handlers Beperkt

Externe protocollen (mailto:, tel:, etc.) starten applicaties buiten de browser. De 'altijd openen' checkbox stelt gebruikers in staat om dit automatisch in te stellen, wat kan leiden tot: automatische malware-uitvoering via aangepaste protocollen, en beveiligingsomzeiling zonder gebruikersprompts. Door de checkbox te verbergen moeten gebruikers elke keer expliciet goedkeuren.

Implementatie

Configureer ExternalProtocolDialogShowAlwaysOpenCheckbox op 0 via HKLM:\SOFTWARE\Policies\Microsoft\Edge\ExternalProtocolDialogShowAlwaysOpenCheckbox. De checkbox wordt verborgen.

Vereisten

Voor de implementatie van deze kritieke beveiligingsmaatregel is het essentieel dat Microsoft Edge wordt gebruikt als de standaard webbrowser binnen de gehele organisatie. Deze configuratie is specifiek ontwikkeld voor de Microsoft Edge browser en maakt optimaal gebruik van de ingebouwde beleidsinstellingen die beschikbaar zijn via zowel Microsoft Intune als Group Policy Objects (GPO). De keuze voor Microsoft Edge als standaard browser is niet alleen een technische vereiste, maar vormt ook een fundament voor een consistente beveiligingspostuur binnen de organisatie. Organisaties die deze maatregel willen implementeren moeten beschikken over adequate beheerrechten op het niveau van het Windows-register of via geavanceerde centrale beheertools zoals Microsoft Intune of Active Directory Group Policy. Beheerrechten zijn cruciaal omdat de configuratie direct ingrijpt op registerinstellingen die bepalen hoe Microsoft Edge omgaat met externe protocol handlers. Zonder de juiste beheerrechten kan de configuratie niet worden toegepast, wat de beveiligingswaarde volledig tenietdoet. Daarnaast is het essentieel dat de IT-afdeling beschikt over de juiste technische expertise en administratieve rechten om registerinstellingen te kunnen wijzigen op alle werkstations en servers waarop Microsoft Edge wordt gebruikt. Dit omvat niet alleen reguliere gebruikerswerkstations, maar ook gedeelde apparaten, terminal servers, en eventuele specifieke Edge-apparaten die binnen de organisatie worden ingezet. Voor grootschalige implementaties met honderden of duizenden apparaten is het sterk aanbevolen om gebruik te maken van moderne centrale beheertools om absolute consistentie te waarborgen en de configuratie op alle endpoints gelijktijdig en betrouwbaar toe te passen. Centrale beheertools zoals Microsoft Intune bieden niet alleen de mogelijkheid tot uniforme implementatie, maar ook tot continue monitoring en automatische remediatie wanneer configuraties onverhoopt worden gewijzigd. De implementatie van deze beveiligingsmaatregel vereist geen aanvullende software of extra licenties, aangezien deze functionaliteit volledig geïntegreerd is en standaard beschikbaar is in Microsoft Edge zonder extra kosten. Dit maakt de implementatie financieel aantrekkelijk en technisch eenvoudig, wat bijdraagt aan de haalbaarheid van deze beveiligingsmaatregel. Het is echter wel belangrijk om proactief te verifiëren dat alle versies van Microsoft Edge binnen de organisatie deze specifieke beleidsinstelling ondersteunen. Historisch gezien is deze functionaliteit beschikbaar vanaf Microsoft Edge versie 88 en hoger, wat betekent dat organisaties die nog oudere versies gebruiken eerst een upgrade-proces moeten doorlopen voordat deze configuratie kan worden geïmplementeerd. Modernisering van de Edge-browser versies is daarmee een voorwaarde voor succesvolle implementatie. Verder is het belangrijk dat organisaties beschikken over een gestructureerde change management proces, omdat deze wijziging impact heeft op de gebruikerservaring en mogelijk gebruikerscommunicatie vereist om acceptatie te waarborgen.

Implementatie

De implementatie van deze belangrijke beveiligingsmaatregel kan op verschillende professionele manieren worden uitgevoerd, waarbij de keuze voornamelijk afhankelijk is van de beschikbare beheertools en de IT-infrastructuur binnen de organisatie. De meest efficiënte en aanbevolen methode voor moderne organisaties is via Microsoft Intune, waarbij de configuratie centraal wordt beheerd vanuit de cloud en automatisch wordt uitgerold naar alle beheerde apparaten zonder directe fysieke toegang tot elk apparaat. Binnen de Microsoft Intune-omgeving navigeert de beheerder naar de specifieke Edge-beleidssectie en stelt de kritieke instelling ExternalProtocolDialogShowAlwaysOpenCheckbox in op de waarde Verborgen, wat technisch gezien correspondeert met de registerwaarde 0. Deze configuratie zorgt ervoor dat de checkbox voor 'altijd openen' permanent wordt verborgen in de gebruikersinterface, waardoor gebruikers geen mogelijkheid meer hebben om automatische activatie van protocol handlers in te stellen. Het Intune-platform biedt daarbij aanvullende voordelen zoals automatische rapportage, compliance-verificatie, en de mogelijkheid tot automatische remediatie wanneer configuraties onverhoopt worden gewijzigd door lokale gebruikers of software-updates. Voor organisaties die nog niet volledig zijn gemigreerd naar cloud-gebaseerde beheer, of die gebruik maken van hybride beheeromgevingen, biedt de traditionele Group Policy Objects-aanpak een bewezen alternatief dat even betrouwbaar is maar meer handmatige configuratie vereist.

Gebruik PowerShell-script external-protocol-handlers-restricted.ps1 (functie Invoke-Remediation) – Script voor restrictie protocol handlers.

Voor organisaties die gebruik maken van traditionele Group Policy Objects binnen een Active Directory-omgeving kan de implementatie worden uitgevoerd via de Group Policy Management Console, wat een bewezen en betrouwbare methode is die al jaren wordt gebruikt voor centrale configuratiebeheer. De specifieke registerwaarde moet worden ingesteld op het exacte pad HKLM:\SOFTWARE\Policies\Microsoft\Edge\ExternalProtocolDialogShowAlwaysOpenCheckbox met de numerieke waarde 0, wat technisch aangeeft dat de functie moet worden uitgeschakeld en verborgen voor eindgebruikers. Deze registerinstelling kan op twee verschillende manieren worden geconfigureerd: handmatig via de Group Policy Management Console door het toevoegen van een aangepaste register-instelling aan een Group Policy Object, of volledig geautomatiseerd via een robuust PowerShell-script dat deel uitmaakt van de gestandaardiseerde implementatieprocedures. Het bijgeleverde PowerShell-script biedt een geavanceerde en gestandaardiseerde methode om deze configuratie uniform toe te passen op alle doelapparaten en kan worden gebruikt voor zowel initiële implementatie als voor proactieve remediatie wanneer de instelling onverhoopt is gewijzigd door lokale gebruikers, software-installaties, of andere configuratiewijzigingen. Het script bevat uitgebreide foutafhandeling, logging-functionaliteit, en verificatiestappen om te waarborgen dat de configuratie succesvol is toegepast. Na de initiële implementatie is het essentieel om grondig te verifiëren dat de configuratie correct is toegepast op alle doelapparaten binnen de organisatie, waarbij geen enkel apparaat wordt overgeslagen omdat een enkele niet-geconfigureerd apparaat een beveiligingslek kan vormen. Deze verificatie kan worden uitgevoerd door het speciaal ontwikkelde monitoring-script uit te voeren dat systematisch controleert of de registerwaarde correct is ingesteld op alle endpoints, en dat gedetailleerde rapportages genereert over de compliance-status. Organisaties moeten zich realiseren dat gebruikers na deze implementatie elke keer expliciet moeten bevestigen wanneer zij een externe protocol handler willen gebruiken, wat kan leiden tot een toename in gebruikersinteractie en mogelijk tot gebruikersklachten over het verhoogde aantal prompts. Deze verhoogde gebruikersinteractie is echter een bewuste beveiligingsmaatregel die aanzienlijk bijdraagt aan de algehele beveiligingspostuur van de organisatie door te voorkomen dat gebruikers onbewust gevaarlijke externe applicaties kunnen starten zonder hun expliciete goedkeuring. Het is daarom belangrijk om gebruikers vooraf te informeren over deze wijziging en de beveiligingsredenen uit te leggen, wat de acceptatie en compliance verhoogt.

Monitoring

Effectieve en continue monitoring van deze kritieke beveiligingsmaatregel is essentieel om te waarborgen dat de configuratie consistent blijft geïmplementeerd op alle apparaten binnen de organisatie, ongeacht of het gaat om werkstations, laptops, terminal servers, of andere apparaten waarop Microsoft Edge wordt gebruikt. Het monitoringproces moet systematisch en regelmatig worden uitgevoerd volgens een vooraf vastgesteld schema, waarbij maandelijks als minimum frequentie wordt aanbevolen, of direct na belangrijke wijzigingen in de IT-omgeving zoals software-updates, migraties, of wijzigingen in beheerrechten die mogelijk impact kunnen hebben op de configuratie. Daarnaast is het verstandig om monitoring uit te voeren na wijzigingen in de Active Directory-structuur, bij het toevoegen van nieuwe apparaten aan het domein, of na grootschalige software-implementaties die mogelijk registerinstellingen kunnen resetten. Het bijgeleverde geavanceerde PowerShell-script voor monitoring voert een uitgebreide controle uit om te verifiëren of de kritieke registerwaarde ExternalProtocolDialogShowAlwaysOpenCheckbox correct is ingesteld op de vereiste waarde 0, wat technisch aangeeft dat de checkbox permanent verborgen is en gebruikers geen mogelijkheid hebben om de automatische activatie in te stellen. Het script genereert gedetailleerde rapportages met informatie over de compliance-status van elk apparaat, inclusief timestamp-informatie, apparaatidentificatie, en de exacte registerwaarde die is aangetroffen. Wanneer de monitoring detecteert dat de instelling is gewijzigd, verwijderd, of niet correct is geconfigureerd, moet dit onmiddellijk worden geëscaleerd naar de verantwoordelijke IT-beheerder voor directe remediatie om te voorkomen dat het beveiligingslek langer dan noodzakelijk blijft bestaan.

Gebruik PowerShell-script external-protocol-handlers-restricted.ps1 (functie Invoke-Monitoring) – Beheert protocol handler restrictie.

Voor grootschalige omgevingen met honderden of duizenden apparaten is het sterk aanbevolen om het monitoring-script te integreren in bestaande enterprise monitoring- en compliance-tools zoals Microsoft Endpoint Manager, System Center Configuration Manager, of andere geavanceerde IT-beheerplatforms die worden gebruikt binnen de organisatie. Deze integratie maakt het mogelijk om automatische, gestandaardiseerde rapportages te genereren die direct kunnen worden gebruikt voor compliance-verificatie, executive reporting, en auditdoeleinden, terwijl tegelijkertijd afwijkingen proactief worden gedetecteerd voordat zij kunnen escaleren tot beveiligingsincidenten. Daarnaast kunnen moderne organisaties die gebruik maken van Microsoft Intune optimaal gebruik maken van de geavanceerde compliance policies functionaliteit om automatisch en continu te controleren of de instelling correct is geconfigureerd op alle beheerde apparaten, en om indien nodig automatische remediatie uit te voeren zonder handmatige interventie, wat de operationele efficiëntie aanzienlijk verhoogt en de tijd tot remediatie minimaliseert. Het is van cruciaal belang om alle monitoringresultaten systematisch en gedetailleerd te documenteren voor professionele auditdoeleinden, met name voor organisaties die moeten voldoen aan strikte compliance-vereisten zoals de Nederlandse BIO-normen, internationale CIS-benchmarks, of andere relevante security frameworks die van toepassing zijn op de organisatie. Deze documentatie moet minimaal zeven jaar worden bewaard conform de algemene bewaartermijn voor beveiligingsconfiguraties binnen de Nederlandse overheid, en moet zodanig zijn gestructureerd dat auditors gemakkelijk kunnen verifiëren dat de monitoring effectief is uitgevoerd en dat eventuele afwijkingen tijdig zijn gedetecteerd en opgelost. De monitoring moet ook proactief aandacht besteden aan eventuele gebruikersklachten over het verhoogde aantal prompts die gebruikers ervaren na de implementatie van deze maatregel, zodat de IT-afdeling tijdig kan beoordelen of aanvullende gebruikerscommunicatie, training, of gebruikersondersteuning nodig is om de acceptatie te verbeteren en gebruikers te helpen begrijpen waarom deze beveiligingsmaatregel noodzakelijk is voor de algehele beveiligingspostuur van de organisatie.

Compliance en Auditing

Deze essentiële beveiligingsmaatregel draagt substantieel bij aan de naleving van verschillende belangrijke internationale en nationale compliance-standaarden die relevant zijn voor Nederlandse overheidsorganisaties en andere publieke en private organisaties die moeten voldoen aan strikte beveiligingsvereisten. Binnen de wereldwijd erkende CIS Edge Benchmark, die wordt beschouwd als de gold standard voor Edge-browser beveiliging, wordt uitgebreide aandacht besteed aan de beveiliging van protocol handlers en de preventie van automatische, onbeheerde uitvoering van externe applicaties die buiten de gecontroleerde browseromgeving opereren. Door de 'altijd openen' checkbox permanent te verbergen in de gebruikersinterface, voldoen organisaties volledig aan de specifieke aanbevelingen en best practices voor het beperken van automatische protocol handler-activatie, wat wordt erkend als een kritieke beveiligingsmaatregel tegen geavanceerde social engineering-aanvallen, phishing-campagnes, en gevaarlijke malware-uitvoering via aangepaste of kwaadaardige protocollen die specifiek zijn ontwikkeld om beveiligingscontroles te omzeilen. De CIS Edge Benchmark specificeert expliciet dat organisaties adequate controles moeten implementeren om te voorkomen dat gebruikers onbewust gevaarlijke externe applicaties kunnen activeren zonder expliciete, geïnformeerde goedkeuring, wat exact wordt bereikt door deze configuratie. Daarnaast draagt deze maatregel bij aan de naleving van algemene cybersecurity-principes zoals het principe van least privilege, waarbij gebruikers alleen de minimaal noodzakelijke functionaliteit krijgen zonder onnodige risico's te introduceren, en het principe van expliciete goedkeuring, waarbij kritieke acties zoals het starten van externe applicaties altijd expliciete gebruikersinteractie vereisen om te voorkomen dat kwaadaardige scripts of geautomatiseerde aanvallen gebruikersacties kunnen simuleren.

Voor Nederlandse overheidsorganisaties die moeten voldoen aan de Baseline Informatiebeveiliging Overheid (BIO) is de specifieke BIO-norm 12.06 over extern applicatiebeheer en application lifecycle management van bijzonder strategisch belang. Deze norm, die deel uitmaakt van de uitgebreide BIO-normenset die is ontwikkeld om de informatiebeveiliging binnen de Nederlandse overheid te standaardiseren en te versterken, vereist expliciet dat organisaties adequate, gedocumenteerde, en gecontroleerde beveiligingscontroles implementeren voor het volledige beheer van externe applicaties die worden gestart vanuit de browseromgeving en die buiten de directe controle van de organisatie opereren. Het beperken en controleren van automatische protocol handler-activatie vormt een essentiële en onmisbare beveiligingscontrole die actief voorkomt dat gebruikers onbewust, per ongeluk, of door social engineering gevaarlijke externe applicaties kunnen starten zonder expliciete, geïnformeerde goedkeuring, wat een kritiek beveiligingslek zou kunnen vormen in de verdediging van de organisatie. Tijdens formele audits, die regelmatig worden uitgevoerd door interne auditafdelingen of externe auditors, moet de organisatie kunnen aantonen door middel van concrete, verifieerbare bewijzen dat deze configuratie daadwerkelijk is geïmplementeerd op alle relevante apparaten, dat deze actief en systematisch wordt gemonitord volgens een vastgesteld schema, en dat eventuele afwijkingen tijdig worden gedetecteerd en opgelost. Dit vereist uitgebreide, professionele documentatie van de volledige implementatieprocedure inclusief technische details, regelmatige en gedocumenteerde verificatie van de configuratie op basis van een vooraf vastgesteld monitoringplan, en gedetailleerde rapportage van alle eventuele afwijkingen en de daaropvolgende remediatie-acties die zijn ondernomen om de configuratie te herstellen. Alle auditbewijzen, inclusief monitoringrapporten, remediatie-logs, en configuratieverificaties, moeten minimaal zeven jaar worden bewaard in een veilige, gecontroleerde omgeving, conform de algemene bewaartermijn voor beveiligingsconfiguraties en auditbewijzen binnen de Nederlandse overheid, waarbij deze bewaartermijn is vastgesteld om te voldoen aan wettelijke vereisten en om historische analyse mogelijk te maken voor toekomstige audits en compliance-verificaties.

Remediatie

Wanneer geavanceerde monitoring-systemen, automatische compliance-verificaties, of formele audits detecteren dat de kritieke beveiligingsconfiguratie onverhoopt is gewijzigd, verwijderd, of niet correct is geïmplementeerd op een of meer apparaten, moet onmiddellijk en zonder vertraging professionele remediatie worden uitgevoerd om te voorkomen dat het beveiligingslek langer dan absoluut noodzakelijk blijft bestaan en om de algehele beveiligingspostuur van de organisatie te herstellen. Het gestructureerde remediatieproces begint met de systematische identificatie en inventarisatie van alle apparaten waarop de configuratie afwijkt van de gewenste, gecontroleerde staat, waarbij het belangrijk is om een volledig overzicht te krijgen van de omvang van het probleem voordat er actie wordt ondernomen. Deze identificatie kan worden uitgevoerd door het geavanceerde monitoring-script handmatig of geautomatiseerd uit te voeren op alle apparaten binnen de organisatie, of door gebruik te maken van moderne centrale beheertools zoals Microsoft Intune of System Center Configuration Manager die automatisch en proactief afwijkingen detecteren en rapporteren zonder dat handmatige interventie nodig is. Zodra alle afwijkende apparaten zijn geïdentificeerd, gedocumenteerd, en geïnventariseerd, moet het robuuste remediatie-script onmiddellijk worden uitgevoerd op elk geïdentificeerd apparaat om de configuratie te herstellen naar de gewenste, veilige staat, waarbij het script uitgebreide logging en verificatie bevat om te waarborgen dat de remediatie succesvol is voltooid. Tijdens het remediatieproces is het belangrijk om de oorzaak van de afwijking te onderzoeken, omdat herhaalde afwijkingen kunnen wijzen op onderliggende problemen zoals lokale beheerrechten, malware-infecties, of ongeautoriseerde software-installaties die moeten worden aangepakt om herhaling te voorkomen.

Gebruik PowerShell-script external-protocol-handlers-restricted.ps1 (functie Invoke-Remediation) – Herstellen.

Het geavanceerde remediatie-script voert een gestandaardiseerde procedure uit waarbij de kritieke registerwaarde ExternalProtocolDialogShowAlwaysOpenCheckbox opnieuw wordt ingesteld op de vereiste waarde 0 in het exacte registerpad HKLM:\SOFTWARE\Policies\Microsoft\Edge\ExternalProtocolDialogShowAlwaysOpenCheckbox, waardoor de checkbox opnieuw permanent wordt verborgen in de gebruikersinterface en gebruikers geen mogelijkheid meer hebben om de automatische activatie in te stellen. Het script bevat uitgebreide foutafhandeling, logging-functionaliteit, en verificatiestappen om te waarborgen dat de configuratie correct wordt hersteld, zelfs in complexe omgevingen met beperkte beheerrechten of conflicterende configuraties. Na uitvoering van het remediatie-script is het van cruciaal belang om onmiddellijk te verifiëren dat de remediatie succesvol is geweest door het monitoring-script opnieuw uit te voeren op alle geremedieerde apparaten, waarbij alleen succesvol geverifieerde apparaten als volledig gerepareerd kunnen worden beschouwd en waarbij apparaten waarop de verificatie faalt opnieuw moeten worden onderzocht en mogelijk handmatige interventie vereisen. In moderne omgevingen met Microsoft Intune kunnen organisaties gebruik maken van geavanceerde automatische remediatie-functionaliteit via compliance policies, waardoor gedetecteerde afwijkingen automatisch worden hersteld zonder enige handmatige interventie, wat de tijd tot remediatie minimaliseert en de operationele efficiëntie maximaliseert. Het is absoluut essentieel om alle remediatie-acties uitgebreid en gedetailleerd te documenteren in een gestructureerd format, inclusief de exacte datum en tijd van de remediatie, de unieke identificatie van het betrokken apparaat, de gedetecteerde oorzaak van de afwijking indien deze kon worden vastgesteld, en een volledige beschrijving van alle uitgevoerde technische acties en de resultaten daarvan. Deze professionele documentatie is niet alleen essentieel voor formele auditdoeleinden en compliance-verificaties, maar helpt ook bij het identificeren van verontrustende patronen en trends die kunnen wijzen op systematische problemen, beveiligingsincidenten, of onderliggende infrastructuurproblemen die structurele aandacht vereisen. Wanneer remediatie regelmatig of herhaaldelijk nodig is op dezelfde specifieke apparaten, moet onmiddellijk een grondig onderzoek worden gestart om te bepalen of er sprake is van een onderliggend structureel probleem, zoals lokale beheerrechten die gebruikers onterecht in staat stellen om registerinstellingen te wijzigen, malware-infecties die configuraties manipuleren, of onjuist geconfigureerde software die automatisch registerinstellingen reset bij updates of herinstallaties.

Compliance & Frameworks

• CIS M365: Control Edge Security (L2) - Protocol handler restrictie
• BIO: 12.06.01 - Application launch Beheer

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

Risico zonder implementatie

Management Samenvatting

Verberg 'altijd openen' checkbox voor protocol handlers. Vereist expliciete gebruikersgoedkeuring elke keer. Implementatie: 30 minuten.

• Implementatietijd: 1 uur
• FTE required: 0.01 FTE