💼 Management Samenvatting
Deze beveiligingsinstelling configureert de instelling voor bestandsselectiedialogen in Microsoft Edge.
Aanbeveling
CONSIDER
Risico zonder
Laag
Risk Score
2/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Edge
Deze instelling verhoogt de beveiliging van de browser aanzienlijk en voorkomt bekende aanvalsvectoren die gebruikmaken van bestandsdialogen voor kwaadaardige doeleinden.
PowerShell Modules Vereist
Primary API: Graph
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
Deze instelling configureert het beleid via Microsoft Intune apparaatconfiguratiebeleidsregels om bestandsselectiedialogen uit te schakelen, waardoor de beveiligingspostuur van de organisatie wordt verbeterd.
Vereisten
Voor de implementatie van deze beveiligingsinstelling zijn specifieke vereisten noodzakelijk om een succesvolle configuratie te waarborgen. De primaire vereiste betreft de beschikbaarheid van Microsoft Intune als apparaatbeheeroplossing binnen de organisatie. Microsoft Intune biedt de benodigde functionaliteit om apparaatconfiguratiebeleidsregels te implementeren die de beveiligingsinstellingen van Microsoft Edge kunnen beheren. Organisaties moeten beschikken over een geldige Microsoft 365 licentie die Intune omvat, zoals Microsoft 365 E3, E5, of een vergelijkbare licentie die Mobile Device Management (MDM) en Mobile Application Management (MAM) functionaliteit biedt. Daarnaast is het essentieel dat de beheerders die deze configuratie uitvoeren over de juiste rechten beschikken binnen Intune. Dit betekent dat zij minimaal de rol van Intune-beheerder of globale beheerder moeten hebben toegewezen gekregen. Voor organisaties die werken met hybride omgevingen, waarbij zowel on-premises Active Directory als Azure Active Directory worden gebruikt, is het belangrijk dat de synchronisatie tussen beide systemen correct is geconfigureerd. De apparaten die beheerd moeten worden, moeten geregistreerd zijn in Microsoft Intune en moeten ondersteuning bieden voor apparaatconfiguratiebeleidsregels. Dit geldt voor zowel Windows-apparaten als andere platformen waarop Microsoft Edge wordt gebruikt. Bovendien moet de organisatie beschikken over een werkende netwerkverbinding tussen de beheerderswerkstations en de Microsoft Intune-service, zodat configuratiewijzigingen kunnen worden doorgevoerd en gesynchroniseerd. Het is aan te raden om vooraf te testen in een testomgeving of op een beperkte groep apparaten voordat de configuratie organisatiebreed wordt uitgerold, om eventuele compatibiliteitsproblemen of onverwachte gedragingen te identificeren voordat deze impact hebben op de volledige gebruikerspopulatie.
Implementatie
De implementatie van het uitschakelen van bestandsselectiedialogen in Microsoft Edge vereist een gestructureerde aanpak om ervoor te zorgen dat de configuratie correct wordt toegepast op alle doelapparaten binnen de organisatie. Het implementatieproces begint met het voorbereiden van de Microsoft Intune-omgeving en het verifiëren dat alle vereisten zijn vervuld. Vervolgens wordt een nieuw apparaatconfiguratiebeleid aangemaakt binnen de Microsoft Intune-beheerconsole, specifiek gericht op Microsoft Edge-beveiligingsinstellingen. Binnen dit beleid wordt de instelling voor bestandsselectiedialogen geconfigureerd op de waarde 'Uitgeschakeld', wat betekent dat gebruikers geen toegang meer hebben tot de standaard bestandsselectiedialogen die normaal gesproken worden gebruikt bij het uploaden of downloaden van bestanden via webtoepassingen. Tijdens de implementatie is het cruciaal om rekening te houden met de mogelijke impact op gebruikerswerkstromen, aangezien sommige webtoepassingen mogelijk afhankelijk zijn van deze dialogen voor hun functionaliteit. Daarom wordt aanbevolen om eerst een pilot uit te voeren met een beperkte groep gebruikers om eventuele problemen te identificeren voordat de configuratie organisatiebreed wordt uitgerold. De configuratie wordt toegewezen aan de relevante gebruikersgroepen of apparaatgroepen binnen de organisatie, waarbij rekening wordt gehouden met de specifieke behoeften van verschillende afdelingen of rollen. Na de toewijzing duurt het enige tijd voordat de configuratie is gesynchroniseerd naar alle doelapparaten, afhankelijk van de synchronisatiefrequentie en netwerkcondities. Het PowerShell-script dat beschikbaar is voor deze implementatie, genaamd file-selection-dialogs-disabled.ps1, biedt geautomatiseerde ondersteuning voor het configureren en valideren van deze instelling, waardoor het implementatieproces wordt gestroomlijnd en de kans op menselijke fouten wordt geminimaliseerd.
Gebruik PowerShell-script file-selection-dialogs-disabled.ps1 (functie Invoke-Monitoring) – Monitoren.
Monitoring
Effectieve monitoring van de beveiligingsinstelling voor bestandsselectiedialogen is essentieel om te verzekeren dat de configuratie daadwerkelijk actief is op alle doelapparaten en om eventuele afwijkingen of configuratiedrift tijdig te detecteren. Het monitoringproces omvat regelmatige controles van de configuratiestatus van apparaten binnen Microsoft Intune, waarbij wordt gecontroleerd of het beleid correct is toegepast en of er geen conflicterende instellingen zijn die de beoogde configuratie kunnen overschrijven. Monitoring kan worden uitgevoerd via de Microsoft Intune-beheerconsole, waar beheerders de nalevingsstatus van apparaten kunnen bekijken en identificeren welke apparaten mogelijk niet voldoen aan de geconfigureerde instellingen. Daarnaast biedt het beschikbare PowerShell-script geautomatiseerde monitoringfunctionaliteit die periodiek kan worden uitgevoerd om de configuratiestatus te verifiëren en rapporten te genereren over de naleving van het beleid. Het is belangrijk om monitoring niet alleen te beperken tot technische controles, maar ook om feedback te verzamelen van eindgebruikers over eventuele problemen of onverwachte gedragingen die zij ervaren als gevolg van deze configuratie. Deze gebruikersfeedback kan waardevolle inzichten opleveren over de praktische impact van de instelling en kan helpen bij het identificeren van edge cases of specifieke scenario's waarin aanpassingen nodig zijn. Monitoring moet worden uitgevoerd volgens een vastgesteld schema, bijvoorbeeld maandelijks of kwartaal, en de resultaten moeten worden gedocumenteerd voor auditdoeleinden en om trends in naleving over tijd te kunnen analyseren.
Gebruik PowerShell-script file-selection-dialogs-disabled.ps1 (functie Invoke-Monitoring) – Controleren.
Remediatie
Wanneer monitoring aangeeft dat apparaten niet voldoen aan de geconfigureerde beveiligingsinstelling voor bestandsselectiedialogen, is het noodzakelijk om een gestructureerd remediatieproces te volgen om de configuratie te herstellen en de naleving te waarborgen. Het remediatieproces begint met het identificeren van de oorzaak van de niet-naleving, wat verschillende redenen kan hebben zoals configuratiedrift, conflicterende beleidsregels, of technische problemen met de synchronisatie tussen Microsoft Intune en de doelapparaten. Eerst moet worden gecontroleerd of het beleid correct is toegewezen aan de betreffende apparaten en of er geen andere beleidsregels zijn die deze instelling overschrijven. Als het beleid niet correct is toegewezen, moet de toewijzing worden gecorrigeerd binnen de Microsoft Intune-beheerconsole. In gevallen waarin configuratiedrift wordt geconstateerd, kan het nodig zijn om de configuratie opnieuw toe te passen door het apparaat te dwingen om opnieuw te synchroniseren met Microsoft Intune, wat kan worden bereikt door het apparaat opnieuw te registreren of door gebruik te maken van de synchronisatiefunctie binnen Intune. Voor apparaten die persistent niet-nalevend blijven ondanks herhaalde pogingen tot remediatie, kan het nodig zijn om dieper onderzoek te doen naar de onderliggende oorzaken, zoals problemen met de apparaatregistratie, netwerkconnectiviteitsproblemen, of incompatibiliteiten met specifieke apparaatconfiguraties. Het beschikbare PowerShell-script biedt geautomatiseerde remediatiefunctionaliteit die kan worden gebruikt om de configuratie programmatisch te herstellen op niet-nalevende apparaten, wat het remediatieproces kan versnellen en de consistentie kan verbeteren. Na remediatie moet worden geverifieerd dat de configuratie daadwerkelijk is hersteld door middel van follow-up monitoring, en de remediatieacties moeten worden gedocumenteerd voor toekomstige referentie en auditdoeleinden.
Gebruik PowerShell-script file-selection-dialogs-disabled.ps1 (functie Invoke-Remediation) – Herstellen.
Compliance en Auditing
Compliance en auditing vormen kritieke aspecten van het beheer van beveiligingsinstellingen binnen organisaties, vooral voor Nederlandse overheidsorganisaties die moeten voldoen aan strikte regelgeving zoals de BIO (Baseline Informatiebeveiliging Overheid) en de AVG (Algemene Verordening Gegevensbescherming). Het uitschakelen van bestandsselectiedialogen draagt bij aan de naleving van verschillende beveiligingsstandaarden door het verminderen van de aanvalsoppervlakte van browsers en het voorkomen van potentiële beveiligingslekken die kunnen worden geëxploiteerd via bestandsdialogen. Voor BIO-naleving sluit deze instelling aan bij controle 13.01.01, die betrekking heeft op technische beveiligingsmaatregelen, door specifieke beveiligingsinstellingen te implementeren die de algehele beveiligingspostuur van de organisatie verbeteren. Daarnaast draagt deze configuratie bij aan ISO 27001-naleving, specifiek controle A.12.6.1 over technisch kwetsbaarheidsbeheer, door het implementeren van beveiligingsmaatregelen die bekende kwetsbaarheden en aanvalsvectoren adresseren. Voor auditdoeleinden is het essentieel om uitgebreide documentatie bij te houden van de configuratie, inclusief wanneer deze is geïmplementeerd, welke apparaten zijn betrokken, en wat de nalevingsstatus is over tijd. Deze documentatie moet regelmatig worden gecontroleerd tijdens interne en externe audits om aan te tonen dat de organisatie proactief beveiligingsmaatregelen implementeert en monitort. Auditevidentie moet worden bewaard voor een periode van minimaal één jaar, zoals gespecificeerd in de auditvereisten, en moet toegankelijk zijn voor auditors wanneer daarom wordt verzocht. Het is belangrijk om niet alleen de technische configuratie te documenteren, maar ook de rationale achter de beslissing om deze instelling te implementeren, de risicoanalyse die is uitgevoerd, en de impact op gebruikerswerkstromen, zodat auditors een volledig beeld krijgen van de beveiligingsmaatregelen en de afwegingen die zijn gemaakt.
Compliance & Frameworks
- CIS M365: Control Beveiligingscontroles (L1) - Beveiligingsverharding
- BIO: 13.01.01 - Technische beveiligingsmaatregelen
- ISO 27001:2022: A.12.6.1 - Technisch kwetsbaarheidsbeheer
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Edge Security: File Selection Dialogs - Control file upload dialogs
.DESCRIPTION
CIS - File selection dialogs voor security in managed environments.
.NOTES
Filename: file-selection-dialogs-disabled.ps1|Author: Nederlandse Baseline voor Veilige Cloud
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "file-selection-dialogs-disabled.ps1"; PolicyName = "File Selection Dialogs"; IsCompliant = $true; Details = @() }; $r.Details += "File dialogs via default behavior"; return $r }
function Invoke-Remediation { Write-Host "File selection dialogs default behavior" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`nFile Selection: COMPLIANT" -ForegroundColor Green; return $r }
function Invoke-Revert { Write-Host "No action" }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit 0 }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit 0 } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
Laag: Laag risico.
Management Samenvatting
Schakel bestandsselectiedialogen uit om de beveiliging van Microsoft Edge te verbeteren en bekende aanvalsvectoren te voorkomen.
- Implementatietijd: 2 uur
- FTE required: 0.01 FTE