L2 BIO 11.01.01 CIS 2.24

File System API Read Geblokkeerd

📅 2025-10-30
⏱️ 5 minuten lezen
🟢 Should-Have

💼 Management Samenvatting

Het blokkeren van de File System Access API read functionaliteit is essentieel om te voorkomen dat websites ongeautoriseerde toegang krijgen tot bestanden op het lokale bestandssysteem. Deze maatregel vormt een fundamentele bescherming tegen privacy- en beveiligingsrisico's die ontstaan wanneer webapplicaties direct kunnen lezen van de lokale schijf.

Aanbeveling
IMPLEMENT
Risico zonder
Medium
Risk Score
6/10
Implementatie
1u (tech: 0.5u)
Van toepassing op:
Edge

De File System Access API introduceert een significant privacy- en beveiligingsrisico voor organisaties. Deze browser API stelt websites in staat om direct toegang te verkrijgen tot het lokale bestandssysteem van gebruikers, wat in de praktijk betekent dat kwaadaardige of gecompromitteerde websites zonder expliciete toestemming van de gebruiker bestanden kunnen lezen. Dit creëert meerdere bedreigingsscenario's: gevoelige documenten kunnen worden uitgelezen en geëxfiltrreerd, de bestandsstructuur kan worden gescand voor informatieverzameling, en privacy-gevoelige gegevens kunnen worden verzameld zonder dat de gebruiker zich hiervan bewust is. Voor de meeste organisaties, en zeker voor overheidsorganisaties die werken met vertrouwelijke informatie, is deze functionaliteit niet nodig voor dagelijkse operaties en vormt het een onnodig en onacceptabel privacy risico. Door deze API te blokkeren, elimineren organisaties een belangrijke aanvalsvector en voldoen ze beter aan de privacy-eisen van de Algemene Verordening Gegevensbescherming (AVG).

PowerShell Modules Vereist
Primary API: Intune/GPO
Connection: N/A
Required Modules:

Implementatie

Deze beveiligingsmaatregel configureert de registry-instelling FileSystemReadBlocked op waarde 1 via het pad HKLM:\SOFTWARE\Policies\Microsoft\Edge\FileSystemReadBlocked. Wanneer deze instelling actief is, kunnen websites geen read access verkrijgen tot het lokale bestandssysteem via de File System Access API. Dit voorkomt dat webapplicaties bestanden kunnen lezen zonder expliciete gebruikersinteractie en beschermt daarmee de privacy en beveiliging van lokale gegevens.

Vereisten

De succesvolle implementatie van de File System API read blokkering vereist een grondige voorbereiding en het voldoen aan specifieke technische en organisatorische vereisten. Voordat organisaties beginnen met de implementatie van deze beveiligingsmaatregel, moeten zij ervoor zorgen dat alle benodigde componenten en voorwaarden aanwezig zijn binnen hun IT-infrastructuur. De fundamentele vereiste voor deze implementatie is de aanwezigheid van Microsoft Edge als standaard webbrowser binnen de organisatie. Microsoft Edge moet niet alleen geïnstalleerd zijn op alle werkstations waar deze beveiligingsmaatregel van toepassing is, maar moet ook worden beheerd via een centraal beheersysteem. Dit betekent dat organisaties niet kunnen volstaan met lokaal geïnstalleerde versies van Edge zonder centrale configuratiemogelijkheden. De browser moet deel uitmaken van een gestructureerd beheerproces waarbij instellingen centraal kunnen worden geconfigureerd en gehandhaafd. Voor organisaties die kiezen voor een cloud-gebaseerde aanpak is Microsoft Intune de primaire oplossing voor het beheren van Edge-beleidsinstellingen. Deze aanpak vereist dat organisaties beschikken over een geldige Microsoft 365 licentie die Intune-functionaliteit omvat. Dit betekent dat organisaties moeten investeren in de juiste licentieverlening, waarbij zij rekening moeten houden met het feit dat niet alle Microsoft 365 licenties automatisch Intune omvatten. Organisaties moeten specifiek controleren of hun huidige licentieverlening Intune ondersteunt, en indien nodig hun licentieportfolio uitbreiden. Naast de licentievereisten moeten organisaties ook beschikken over de juiste beheerdersrechten binnen het Microsoft 365 omgeving. Dit omvat niet alleen globale beheerdersrechten, maar ook specifieke rechten voor het configureren van Intune-beleid en het toewijzen van policies aan gebruikers of apparaten. Organisaties moeten hun beheerdersrollen structureren volgens het principe van least privilege, waarbij beheerders alleen de rechten krijgen die zij daadwerkelijk nodig hebben voor hun taken. Voor organisaties met een on-premises Active Directory omgeving biedt Group Policy Objects (GPO) een alternatieve implementatiemethode. Deze aanpak vereist dat organisaties beschikken over toegang tot de Group Policy Management Console, wat betekent dat zij een Windows Server omgeving moeten hebben met Active Directory Domain Services geconfigureerd. Beheerders moeten beschikken over beheerdersrechten op de domain controllers waar de Group Policies worden opgeslagen en beheerd. Daarnaast moeten organisaties de mogelijkheid hebben om registry-instellingen centraal te beheren via Group Policy Preferences of via aangepaste administratieve templates. Dit vereist dat IT-beheerders beschikken over gedetailleerde kennis van zowel Active Directory als de specifieke registry-instellingen die nodig zijn voor Edge-beleidsconfiguratie. Ongeacht de gekozen implementatiemethode moeten organisaties ervoor zorgen dat alle betrokken IT-beheerders beschikken over de benodigde kennis en training om deze instellingen correct te configureren en te monitoren. Dit betekent dat organisaties moeten investeren in training en documentatie voor hun IT-personeel. Beheerders moeten niet alleen begrijpen hoe zij de instellingen moeten configureren, maar ook hoe zij kunnen verifiëren dat de configuratie correct is toegepast en hoe zij problemen kunnen diagnosticeren wanneer de configuratie niet werkt zoals verwacht. Organisaties moeten ook rekening houden met de noodzaak van continue training, omdat Microsoft regelmatig updates uitbrengt die de configuratiemogelijkheden kunnen wijzigen. Een kritische vereiste die vaak over het hoofd wordt gezien is de noodzaak van een testomgeving. Voordat organisaties deze beveiligingsmaatregel uitrollen naar hun productieomgeving, moeten zij beschikken over een representatieve testomgeving waar de configuratie kan worden gevalideerd. Deze testomgeving moet zo veel mogelijk lijken op de productieomgeving, inclusief dezelfde versies van Microsoft Edge, dezelfde beheerinfrastructuur, en indien mogelijk dezelfde gebruikersgroepen. Door eerst te testen in een gecontroleerde omgeving kunnen organisaties potentiële problemen identificeren en oplossen voordat zij de configuratie uitrollen naar alle werkstations. Dit vermindert het risico op onbedoelde gevolgen die de bedrijfsvoering kunnen verstoren. De testomgeving moet ook worden gebruikt om te valideren dat de configuratie geen negatieve impact heeft op legitieme bedrijfsprocessen en dat gebruikers nog steeds kunnen werken met webapplicaties die zij nodig hebben voor hun dagelijkse taken.

Implementatie

De implementatie van de File System API read blokkering vereist een gestructureerde aanpak die is afgestemd op de specifieke beheerinfrastructuur van de organisatie. Organisaties hebben de keuze tussen verschillende implementatiemethoden, waarbij de keuze primair wordt bepaald door de beschikbare beheerinfrastructuur en de strategische richting van de organisatie op het gebied van IT-beheer. Elke implementatiemethode heeft zijn eigen specifieke stappen en overwegingen die organisaties moeten begrijpen voordat zij beginnen met de implementatie. Voor organisaties die gebruik maken van Microsoft Intune als Mobile Device Management oplossing biedt de cloud-gebaseerde aanpak verschillende voordelen, waaronder centrale beheerbaarheid, automatische synchronisatie, en de mogelijkheid om beleid te beheren zonder directe toegang tot individuele werkstations. De implementatie begint met het navigeren naar de Microsoft Endpoint Manager admin center, waar beheerders toegang hebben tot de Edge-beleidsconfiguratie. Binnen deze configuratie kunnen beheerders een nieuw Edge-beleid maken of een bestaand beleid bewerken om de File System API read blokkering toe te voegen. De specifieke instelling die moet worden geconfigureerd is FileSystemReadBlocked, die moet worden ingesteld op True, wat overeenkomt met de registry-waarde 1. Deze configuratie zorgt ervoor dat Edge de File System Access API read functionaliteit volledig blokkeert op alle apparaten waar het beleid van toepassing is. Na het configureren van de instelling moeten beheerders het beleid toewijzen aan de relevante gebruikersgroepen of apparaatgroepen binnen de organisatie. Deze toewijzing is een kritieke stap omdat het bepaalt welke apparaten de beveiligingsmaatregel zullen ontvangen. Organisaties moeten zorgvuldig overwegen welke groepen moeten worden opgenomen in de toewijzing, waarbij zij rekening moeten houden met verschillende factoren zoals de rol van gebruikers, de gevoeligheid van de gegevens waarmee zij werken, en eventuele uitzonderingen die nodig zijn voor specifieke bedrijfsprocessen. Het is belangrijk om te begrijpen dat de toewijzing van het beleid niet onmiddellijk effect heeft, maar dat apparaten het beleid ontvangen tijdens hun volgende synchronisatie met Intune, wat normaal gesproken binnen enkele uren gebeurt, maar in sommige gevallen kan worden geforceerd door een handmatige synchronisatie te initiëren. Een essentieel aspect van de Intune-implementatie is de gefaseerde uitrol, waarbij organisaties eerst een beperkte testgroep configureren voordat zij het beleid uitrollen naar de volledige organisatie. Deze gefaseerde aanpak stelt organisaties in staat om te valideren dat de instelling correct werkt en geen onbedoelde gevolgen heeft voor legitieme bedrijfsprocessen. De testgroep moet representatief zijn voor de volledige organisatie en moet verschillende gebruikersrollen en gebruiksscenario's omvatten. Tijdens de testfase moeten organisaties nauwlettend monitoren of gebruikers problemen ondervinden met webapplicaties die zij nodig hebben voor hun werk, en of er onverwachte foutmeldingen of gedrag optreden. Alleen wanneer de testfase succesvol is afgerond en organisaties hebben bevestigd dat de configuratie geen negatieve impact heeft, moeten zij overgaan tot uitrol naar de volledige organisatie.

Gebruik PowerShell-script file-system-api-read-disabled.ps1 (functie Invoke-Remediation) – Script voor blokkering File System API read.

Voor organisaties met een on-premises Active Directory omgeving biedt Group Policy Objects een robuuste en bewezen methode voor het implementeren van Edge-beleidsinstellingen. Deze aanpak is bijzonder geschikt voor organisaties die al een gevestigde Active Directory infrastructuur hebben en vertrouwd zijn met Group Policy beheer. De implementatie begint met het openen van de Group Policy Management Console, waar beheerders een nieuw Group Policy Object kunnen maken of een bestaand GPO kunnen bewerken. Binnen het GPO moeten beheerders navigeren naar de Computer Configuration sectie, waar zij de registry-instelling kunnen configureren via Group Policy Preferences of via een aangepaste administratieve template. De specifieke registry-instelling die moet worden geconfigureerd is FileSystemReadBlocked, die moet worden ingesteld op het pad HKLM:\SOFTWARE\Policies\Microsoft\Edge\FileSystemReadBlocked met de waarde 1. Deze registry-instelling zorgt ervoor dat Edge de File System Access API read functionaliteit blokkeert op alle werkstations waar de GPO van toepassing is. Het is belangrijk om te begrijpen dat deze instelling wordt toegepast op het niveau van de computerconfiguratie, wat betekent dat het van toepassing is op alle gebruikers die zich aanmelden op het werkstation, ongeacht hun individuele gebruikersrechten of configuraties. Na het configureren van de registry-instelling binnen het GPO moeten beheerders het GPO koppelen aan de relevante Organizational Units waar de Edge-browsers zich bevinden. Deze koppeling bepaalt welke werkstations de configuratie zullen ontvangen, en organisaties moeten ervoor zorgen dat alle relevante OU's zijn opgenomen in de koppeling. Na het toepassen van de GPO moeten werkstations worden gerefreshd of opnieuw opgestart om ervoor te zorgen dat de instelling actief wordt. Beheerders kunnen de Group Policy update forceren door de gpupdate /force opdracht uit te voeren op individuele werkstations, of door te wachten op de volgende automatische Group Policy refresh cyclus, die normaal gesproken elke 90 minuten plaatsvindt met een willekeurige offset van 0 tot 30 minuten. Organisaties kunnen ook gebruik maken van het bijgeleverde PowerShell-script voor geautomatiseerde implementatie en verificatie, wat vooral handig is voor organisaties die een hybride aanpak hanteren of die aanvullende automatisering wensen. Dit script controleert eerst de huidige status van de registry-instelling op het werkstation en past deze automatisch aan indien deze niet correct is geconfigureerd. Het script biedt ook verificatiefunctionaliteit die beheerders kunnen gebruiken om te controleren of de instelling correct is toegepast, wat bijzonder nuttig is tijdens de implementatiefase en voor continue monitoring. Het script kan worden geïntegreerd in bestaande deployment tools zoals Microsoft Endpoint Configuration Manager of andere software distribution systemen, waardoor organisaties de implementatie kunnen automatiseren en schalen naar grote aantallen werkstations. Na de implementatie is het essentieel om te verifiëren dat de instelling correct is toegepast op alle doelapparaten en dat websites inderdaad geen toegang meer hebben tot het lokale bestandssysteem via de File System Access API. Deze verificatie moet worden uitgevoerd op een representatieve steekproef van werkstations, waarbij beheerders zowel de registry-instelling controleren als praktische tests uitvoeren om te bevestigen dat de File System Access API daadwerkelijk is geblokkeerd. Organisaties moeten ook gebruikers informeren over de implementatie en hen vragen om eventuele problemen te melden, zodat beheerders snel kunnen reageren op onverwachte gevolgen of configuratiefouten.

Monitoring

Effectieve monitoring van de File System API read blokkering vormt een kritieke component van een robuuste beveiligingsstrategie, omdat het garandeert dat de beveiligingsmaatregel continu actief blijft en correct functioneert gedurende de gehele levenscyclus van de implementatie. Zonder adequate monitoring kunnen organisaties niet zeker zijn dat hun beveiligingsconfiguratie nog steeds van kracht is, en lopen zij het risico dat configuratiewijzigingen onopgemerkt blijven totdat een beveiligingsincident plaatsvindt. Organisaties moeten daarom een gestructureerde monitoringstrategie implementeren die regelmatige verificatie van de configuratie omvat en die is geïntegreerd in hun algemene beveiligings- en compliance-processen. De basis van een effectieve monitoringstrategie is het regelmatig controleren van de registry-instelling op alle doelapparaten om te verifiëren dat deze nog steeds correct is geconfigureerd. Het bijgeleverde PowerShell-script biedt geautomatiseerde monitoringfunctionaliteit die kan worden geïntegreerd in bestaande monitoring- en compliance-rapportageprocessen, waardoor organisaties de monitoring kunnen automatiseren en schalen naar grote aantallen werkstations. Dit script controleert de registry-instelling op elk werkstation en rapporteert de status, waardoor beheerders snel kunnen identificeren waar de instelling mogelijk ontbreekt of is gewijzigd. Het script kan worden geconfigureerd om te draaien als een geplande taak op regelmatige intervallen, of het kan worden geïntegreerd in bestaande monitoring tools zoals Microsoft Endpoint Configuration Manager, System Center Operations Manager, of andere enterprise monitoring oplossingen. Door de monitoring te automatiseren kunnen organisaties ervoor zorgen dat alle werkstations regelmatig worden gecontroleerd zonder dat dit handmatige interventie vereist, wat zowel de efficiëntie verhoogt als het risico op menselijke fouten vermindert.

Gebruik PowerShell-script file-system-api-read-disabled.ps1 (functie Invoke-Monitoring) – Script voor monitoring van File System API blokkering.

Voor organisaties die gebruik maken van Microsoft Intune als beheeroplossing bieden compliance-rapporten een krachtige en geïntegreerde methode voor het monitoren van Edge-beleidsinstellingen. Deze rapporten kunnen worden geconfigureerd om automatisch te rapporteren over de status van Edge-beleidsinstellingen, waarbij zij gedetailleerde informatie verschaffen over welke apparaten voldoen aan de configuratie en welke apparaten mogelijk aandacht vereisen. De compliance-rapporten in Intune bieden verschillende niveaus van detail, van hoog-niveau overzichten die de algehele compliance-status van de organisatie tonen, tot gedetailleerde rapporten die specifieke informatie verschaffen over individuele apparaten en de reden waarom zij mogelijk niet voldoen aan de configuratie. Beheerders kunnen deze rapporten gebruiken om proactief actie te ondernemen wanneer configuratiedrift wordt gedetecteerd, waarbij zij snel kunnen identificeren welke apparaten aandacht vereisen en welke acties moeten worden ondernomen om de configuratie te herstellen. De compliance-rapporten in Intune kunnen ook worden geconfigureerd om automatische waarschuwingen te genereren wanneer apparaten niet meer voldoen aan de configuratie, waardoor beheerders onmiddellijk worden geïnformeerd wanneer er een probleem wordt gedetecteerd. Deze waarschuwingen kunnen worden geconfigureerd om te worden verzonden via e-mail, of zij kunnen worden geïntegreerd in bestaande incident management systemen. Organisaties kunnen ook gebruik maken van de Intune Graph API om compliance-data programmatisch op te halen en te integreren in custom dashboards of reporting tools, waardoor zij de monitoring kunnen aanpassen aan hun specifieke behoeften en workflows. Voor organisaties met GPO-gebaseerde implementaties bieden Group Policy Results (GPResult) en Group Policy Modeling tools krachtige methoden voor het verifiëren van effectieve policy-instellingen. GPResult kan worden uitgevoerd op individuele werkstations om te rapporteren over welke Group Policies daadwerkelijk zijn toegepast en wat de effectieve instellingen zijn. Deze informatie kan worden gebruikt om te verifiëren dat de File System API read blokkering correct is geconfigureerd en actief is. Group Policy Modeling tools kunnen worden gebruikt om te simuleren welke Group Policies zouden worden toegepast op een specifiek werkstation zonder dat het werkstation daadwerkelijk moet worden geconfigureerd, wat nuttig is voor het testen van configuratiewijzigingen voordat zij worden geïmplementeerd. Naast geautomatiseerde monitoring is het aanbevolen om periodieke audits uit te voeren waarbij de registry-instelling handmatig wordt gecontroleerd op een steekproef van werkstations. Deze audits helpen bij het identificeren van mogelijke configuratiewijzigingen die buiten het beheersysteem om zijn aangebracht, bijvoorbeeld door lokale beheerders die handmatig wijzigingen aanbrengen, door kwaadaardige software die registry-instellingen wijzigt, of door software-updates die onbedoeld configuratiewijzigingen veroorzaken. De audits moeten worden uitgevoerd door onafhankelijke personen die niet direct betrokken zijn bij het dagelijkse beheer van de configuratie, om ervoor te zorgen dat eventuele problemen objectief worden geïdentificeerd en gerapporteerd. De resultaten van deze audits moeten worden gedocumenteerd en gebruikt om de monitoringstrategie te verbeteren en om te identificeren waar aanvullende controles of maatregelen nodig zijn. De frequentie van monitoring moet worden afgestemd op het risicoprofiel van de organisatie, waarbij organisaties met hogere risiconiveaus vaker moeten monitoren dan organisaties met lagere risiconiveaus. Voor de meeste organisaties is een maandelijkse controle voldoende om ervoor te zorgen dat de configuratie nog steeds actief is en correct functioneert. Voor organisaties die werken met zeer gevoelige gegevens of die een hoog risicoprofiel hebben, kan het nodig zijn om wekelijks of zelfs dagelijks te monitoren. Organisaties moeten ook rekening houden met de kosten en de impact van monitoring op hun IT-infrastructuur, waarbij zij een balans vinden tussen de noodzaak van regelmatige verificatie en de praktische haalbaarheid van frequente controles. Het is belangrijk om te begrijpen dat monitoring niet alleen gaat om het detecteren van problemen, maar ook om het verzamelen van data die kan worden gebruikt om trends te identificeren en om de effectiviteit van de beveiligingsmaatregel te evalueren.

Compliance en Auditing

De implementatie van File System API read blokkering draagt direct en substantieel bij aan compliance met verschillende beveiligings- en privacystandaarden die van cruciaal belang zijn voor Nederlandse overheidsorganisaties en andere organisaties die werken met gevoelige gegevens. Deze beveiligingsmaatregel vormt een concrete technische implementatie van verschillende compliance-vereisten en stelt organisaties in staat om te demonstreren dat zij proactief werken aan het beschermen van gegevens en het voldoen aan relevante regelgeving en best practices. De CIS Microsoft Edge Benchmark versie 2.24 specificeert expliciet dat File System API read access moet worden geblokkeerd als onderdeel van een verdedigingsstrategie in diepte. Deze aanbeveling is geclassificeerd als Level 2, wat betekent dat het een belangrijke beveiligingsmaatregel is die wordt aanbevolen voor organisaties die een hoger beveiligingsniveau wensen te bereiken dan het basisniveau dat wordt gedefinieerd door Level 1 controles. Level 2 controles zijn specifiek ontworpen voor organisaties die werken met gevoelige gegevens of die een verhoogd beveiligingsrisico hebben, en zij vertegenwoordigen industry best practices die verder gaan dan de minimale beveiligingsvereisten. Door deze maatregel te implementeren, voldoen organisaties niet alleen aan deze specifieke CIS-aanbeveling, maar demonstreren zij ook hun commitment aan een holistische benadering van browserbeveiliging die is gebaseerd op erkende industry standards. Dit is bijzonder belangrijk voor organisaties die moeten voldoen aan compliance-vereisten die expliciet verwijzen naar industry best practices, of die regelmatig worden geauditeerd op basis van deze standaarden.

Vanuit privacy-perspectief is deze maatregel cruciaal voor naleving van de Algemene Verordening Gegevensbescherming (AVG), die sinds 2018 van toepassing is op alle organisaties die persoonsgegevens verwerken binnen de Europese Unie. Artikel 32 van de AVG vereist dat organisaties passende technische en organisatorische maatregelen treffen om persoonsgegevens te beschermen tegen ongeautoriseerde toegang, verlies of vernietiging. Deze vereiste is niet alleen van toepassing op gegevens die worden opgeslagen in databases of cloud-services, maar ook op gegevens die lokaal worden opgeslagen op werkstations van gebruikers. Door het blokkeren van File System API read access, voorkomen organisaties dat websites ongeautoriseerd toegang krijgen tot lokale bestanden die mogelijk persoonsgegevens bevatten, zoals documenten met klantgegevens, personeelsdossiers, of andere gevoelige informatie. Deze maatregel is met name relevant voor organisaties die werken met gevoelige persoonsgegevens, zoals zorginstellingen die patiëntgegevens verwerken, onderwijsinstellingen die studentgegevens beheren, en overheidsorganisaties die burgergegevens verwerken. Voor deze organisaties kan het niet blokkeren van File System API read access leiden tot ernstige privacy-schendingen die niet alleen financiële gevolgen kunnen hebben in de vorm van boetes van de Autoriteit Persoonsgegevens, maar ook reputatieschade en verlies van vertrouwen van burgers, patiënten, of studenten. De maatregel draagt ook bij aan het principe van data minimisatie, dat is vastgelegd in artikel 5 van de AVG en dat vereist dat organisaties alleen die persoonsgegevens verwerken die strikt noodzakelijk zijn voor het specifieke doel waarvoor zij zijn verzameld. Door het blokkeren van File System API read access, voorkomen organisaties dat meer gegevens worden gedeeld dan strikt noodzakelijk is voor de functionaliteit van webapplicaties, wat direct bijdraagt aan naleving van dit fundamentele privacy-principe.

Voor Nederlandse overheidsorganisaties is de Baseline Informatiebeveiliging Overheid (BIO) van bijzonder belang, omdat deze baseline de minimale beveiligingsvereisten definieert waaraan alle overheidsorganisaties moeten voldoen. BIO controle 11.01.01 richt zich specifiek op gegevenstoegang beheer en vereist dat organisaties passende maatregelen treffen om ongeautoriseerde toegang tot gegevens te voorkomen. Deze controle is gebaseerd op het principe dat toegang tot gegevens moet worden beperkt tot alleen die personen of systemen die legitieme toegang nodig hebben voor het uitvoeren van hun taken. Het blokkeren van File System API read access is een concrete technische implementatie van dit controle-objectief, omdat het voorkomt dat websites, die geen legitieme toegang hebben tot lokale gegevens, toegang kunnen verkrijgen tot deze gegevens via de browser. Door deze maatregel te implementeren, kunnen organisaties aantonen dat zij proactief werken aan het beperken van toegang tot gegevens en het voorkomen van datalekken, wat niet alleen voldoet aan de BIO-vereisten, maar ook bijdraagt aan het algemene doel van informatiebeveiliging binnen de overheid. Dit is met name belangrijk tijdens audits en compliance-verificaties, waarbij organisaties moeten kunnen demonstreren dat zij adequate beveiligingsmaatregelen hebben geïmplementeerd die zijn afgestemd op de risico's waarmee zij worden geconfronteerd. Auditors zullen specifiek kijken naar technische maatregelen die zijn geïmplementeerd om gegevens te beschermen, en het blokkeren van File System API read access is een concrete en verifieerbare maatregel die kan worden gedemonstreerd tijdens een audit. Organisaties moeten ervoor zorgen dat de implementatie van deze maatregel wordt gedocumenteerd in hun informatiebeveiligingsbeleid en dat regelmatige verificaties worden uitgevoerd om te garanderen dat de maatregel continu actief blijft. Deze documentatie moet niet alleen beschrijven wat de maatregel doet en waarom deze is geïmplementeerd, maar ook hoe de maatregel is geconfigureerd, wie verantwoordelijk is voor het beheer ervan, en hoe de effectiviteit wordt gemonitord en geëvalueerd. Tijdens audits kunnen auditors vragen om bewijs dat de maatregel daadwerkelijk is geïmplementeerd en actief is, en organisaties moeten in staat zijn om dit bewijs te leveren door middel van configuratie-rapporten, monitoring-data, en andere relevante documentatie. Door deze documentatie en verificatieprocessen te implementeren, kunnen organisaties niet alleen voldoen aan compliance-vereisten, maar ook aantonen dat zij een volwassen en gestructureerde benadering hanteren van informatiebeveiliging.

Remediatie

Wanneer monitoring of audits aantonen dat de File System API read blokkering niet correct is geconfigureerd of is gewijzigd, moet onmiddellijk remediatie worden uitgevoerd om de beveiligingspostuur te herstellen en te voorkomen dat de organisatie wordt blootgesteld aan onnodige beveiligingsrisico's. Het remediatieproces is een kritieke component van een effectieve beveiligingsstrategie, omdat het ervoor zorgt dat configuratiewijzigingen die de beveiliging kunnen compromitteren snel worden geïdentificeerd en gecorrigeerd. Het proces begint met het identificeren van de oorzaak van de configuratiewijziging, wat essentieel is om niet alleen de onmiddellijke configuratie te herstellen, maar ook om te voorkomen dat hetzelfde probleem opnieuw optreedt. Er zijn verschillende mogelijke oorzaken voor configuratiewijzigingen die kunnen leiden tot het niet correct functioneren van de File System API read blokkering. Handmatige wijzigingen door lokale beheerders vormen een veelvoorkomende oorzaak, vooral in omgevingen waar gebruikers lokale beheerdersrechten hebben of waar er onduidelijkheid bestaat over welke configuraties wel en niet mogen worden gewijzigd. Deze wijzigingen kunnen onbedoeld zijn, bijvoorbeeld wanneer een beheerder probeert een ander probleem op te lossen en per ongeluk de verkeerde registry-instelling wijzigt, of zij kunnen opzettelijk zijn wanneer een beheerder de beveiligingsmaatregel probeert te omzeilen om een specifieke webapplicatie te laten werken. Conflicterende GPO's of Intune-policies kunnen ook leiden tot configuratiewijzigingen, vooral wanneer meerdere policies worden toegepast die verschillende waarden voor dezelfde instelling definiëren. In dergelijke gevallen kan de laatste toegepaste policy de eerdere configuratie overschrijven, wat kan leiden tot onbedoelde configuratiewijzigingen. Kwaadaardige software die registry-instellingen wijzigt vormt een ernstigere bedreiging, omdat dit kan wijzen op een actieve beveiligingsaanval waarbij aanvallers proberen beveiligingsmaatregelen te omzeilen om toegang te krijgen tot gevoelige gegevens. In dergelijke gevallen moet de remediatie niet alleen de configuratie herstellen, maar moet ook een volledige beveiligingsonderzoek worden uitgevoerd om te identificeren hoe de kwaadaardige software het systeem heeft geïnfecteerd en welke andere schade mogelijk is aangericht. Configuratiedrift door software-updates of herinstallaties is een andere veelvoorkomende oorzaak, waarbij Microsoft Edge updates of herinstallaties van de browser kunnen leiden tot het resetten van registry-instellingen naar hun standaardwaarden. Zodra de oorzaak is geïdentificeerd, kan gerichte remediatie worden uitgevoerd die niet alleen de configuratie herstelt, maar ook maatregelen treft om te voorkomen dat hetzelfde probleem opnieuw optreedt.

Gebruik PowerShell-script file-system-api-read-disabled.ps1 (functie Invoke-Remediation) – Herstellen.

Het bijgeleverde PowerShell-script biedt geautomatiseerde remediatiefunctionaliteit die de registry-instelling herstelt naar de gewenste configuratie zonder dat handmatige interventie vereist is. Het script controleert eerst de huidige status van de instelling door de registry-waarde te lezen en te vergelijken met de gewenste waarde. Als de instelling niet correct is geconfigureerd, past het script deze automatisch aan door de registry-waarde in te stellen op de juiste waarde. Dit proces kan worden geautomatiseerd door het script te configureren als een geplande taak die regelmatig wordt uitgevoerd, of door het te integreren in bestaande monitoring- en compliance-tools die automatisch kunnen reageren op gedetecteerde configuratiewijzigingen. De geautomatiseerde aanpak heeft verschillende voordelen, waaronder snelheid, consistentie, en de mogelijkheid om te schalen naar grote aantallen werkstations zonder dat dit handmatige interventie vereist. Voor Intune-gebaseerde omgevingen kunnen beheerders verschillende remediatiestrategieën toepassen afhankelijk van de specifieke situatie. Als de configuratiewijziging is veroorzaakt door een probleem met de policy-toewijzing, kunnen beheerders de policy opnieuw toewijzen aan de betreffende apparaten, wat ervoor zorgt dat de apparaten de policy opnieuw ontvangen tijdens hun volgende synchronisatie met Intune. Als het probleem meer fundamenteel is, bijvoorbeeld wanneer de policy zelf is gewijzigd of verwijderd, kunnen beheerders de policy opnieuw implementeren door deze opnieuw te configureren en toe te wijzen. In sommige gevallen kan het nodig zijn om de apparaten handmatig te forceren om te synchroniseren met Intune, wat kan worden gedaan via de Intune-portal of via de Microsoft Endpoint Manager admin center. Voor complexere problemen kunnen beheerders ook gebruik maken van de Intune troubleshooting tools om te diagnosticeren waarom de policy niet correct wordt toegepast. Voor GPO-gebaseerde omgevingen kunnen beheerders de GPO opnieuw toepassen door de Group Policy opnieuw te verwerken op de betreffende werkstations. Dit kan worden gedaan door de gpupdate /force opdracht uit te voeren op individuele werkstations, of door gebruik te maken van Group Policy Management tools om de Group Policy refresh te forceren op meerdere werkstations tegelijk. In sommige gevallen kan het nodig zijn om de GPO zelf te controleren en te verifiëren dat deze nog steeds correct is geconfigureerd, vooral wanneer er meerdere GPO's zijn die mogelijk conflicteren. Beheerders moeten ook controleren of de GPO nog steeds is gekoppeld aan de juiste Organizational Units, en of er geen andere GPO's zijn die de configuratie mogelijk overschrijven. Na remediatie is het essentieel om te verifiëren dat de instelling correct is hersteld en dat de remediatie geen onbedoelde gevolgen heeft gehad voor andere configuraties. Deze verificatie moet worden uitgevoerd op een representatieve steekproef van werkstations, waarbij beheerders zowel de registry-instelling controleren als praktische tests uitvoeren om te bevestigen dat de File System Access API daadwerkelijk is geblokkeerd. Organisaties moeten ook maatregelen treffen om te voorkomen dat dezelfde configuratiewijziging opnieuw optreedt, bijvoorbeeld door aanvullende monitoring in te stellen die specifiek gericht is op het detecteren van deze configuratiewijziging, of door gebruikersrechten te beperken om dergelijke wijzigingen te kunnen aanbrengen. In gevallen waar de configuratiewijziging is veroorzaakt door kwaadaardige software, moeten organisaties ook aanvullende beveiligingsmaatregelen treffen om te voorkomen dat dergelijke software opnieuw het systeem kan infecteren en beveiligingsconfiguraties kan wijzigen.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS File System API Read Disabled .DESCRIPTION Registry: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge\FileSystemReadBlocked .NOTES Filename: file-system-api-read-disabled.ps1 Author: Nederlandse Baseline voor Veilige Cloud CIS: 2.24 #> #Requires -Version 5.1 [CmdletBinding()] param([Parameter(Mandatory = $true, ParameterSetName = 'Monitoring')][switch]$Monitoring, [Parameter(Mandatory = $true, ParameterSetName = 'Remediation')][switch]$Remediation, [Parameter(Mandatory = $true, ParameterSetName = 'Revert')][switch]$Revert, [switch]$WhatIf) $ErrorActionPreference = 'Stop' $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge" $RegName = "FileSystemReadBlocked" $ExpectedValue = 1 function Invoke-Monitoring { try { if (!(Test-Path $RegPath)) { return @{ isCompliant = $false; reason = "Registry path does not exist" } }; $currentValue = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue; if ($null -eq $currentValue -or $currentValue.$RegName -ne $ExpectedValue) { return @{ isCompliant = $false; reason = "Registry value not set correctly" } }; return @{ isCompliant = $true; reason = "Registry value correctly set to $ExpectedValue" } } catch { return @{ isCompliant = $false; reason = "Error checking registry: $($_.Exception.Message)" } } } function Invoke-Remediation { try { if (!(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "[OK] Set $RegPath\$RegName to $ExpectedValue" -ForegroundColor Green } catch { Write-Error "Failed to set registry value: $($_.Exception.Message)"; exit 1 } } function Invoke-Revert { try { if (Test-Path $RegPath) { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue; Write-Host "[OK] Removed $RegPath\$RegName" -ForegroundColor Green } } catch { Write-Error "Failed to remove registry value: $($_.Exception.Message)" } } try { switch ($PSCmdlet.ParameterSetName) { 'Monitoring' { $r = Invoke-Monitoring; Write-Host "Compliance: $($r.isCompliant) - $($r.reason)" -ForegroundColor $(if ($r.isCompliant) { 'Green' } else { 'Red' }); exit $(if ($r.isCompliant) { 0 } else { 1 }) } 'Remediation' { Invoke-Remediation } 'Revert' { Invoke-Revert } } } catch { Write-Error $_; exit 2 }

Risico zonder implementatie

Risico zonder implementatie
Medium: Het niet implementeren van deze maatregel creëert een medium privacy- en beveiligingsrisico voor de organisatie. Websites kunnen via de File System Access API toegang vragen tot het lokale bestandssysteem, wat kan leiden tot ongeautoriseerde toegang tot gevoelige documenten en data exfiltration. Zonder deze blokkering lopen organisaties het risico dat kwaadaardige of gecompromitteerde websites bestanden kunnen lezen zonder expliciete toestemming van de gebruiker, wat in strijd is met privacy-vereisten en kan leiden tot datalekken. Voor overheidsorganisaties die werken met vertrouwelijke informatie is dit risico onacceptabel en moet daarom worden gemitigeerd door het blokkeren van deze functionaliteit.

Management Samenvatting

Deze beveiligingsmaatregel blokkeert File System API read access in Microsoft Edge, waardoor websites geen toegang meer kunnen krijgen tot het lokale bestandssysteem. Dit voorkomt data exfiltration via ongeautoriseerde file access en draagt direct bij aan naleving van AVG privacy-vereisten en CIS Edge Benchmark aanbevelingen. De implementatie kan worden uitgevoerd via Microsoft Intune of Group Policy Objects en vereist ongeveer 30 tot 60 minuten aan technische implementatietijd, met minimale impact op gebruikers en bedrijfsprocessen.