L1 BIO 13.01.01 ISO A.12.6.1 CIS Security Controls

File System API Reading Blocked

📅 2025-10-30
⏱️ 2 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Het blokkeren van de File System API reading functionaliteit in Microsoft Edge vormt een essentiële beveiligingsmaatregel voor organisaties die gevoelige gegevens moeten beschermen tegen ongeautoriseerde toegang via webbrowsers. Deze API stelt websites in staat om toegang te krijgen tot bestanden op het lokale bestandssysteem van gebruikers, wat aanzienlijke privacy- en beveiligingsrisico's met zich meebrengt wanneer deze functionaliteit niet adequaat wordt beheerd.

Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
7/10
Implementatie
2u (tech: 1u)
Van toepassing op:
Edge

De File System API reading functionaliteit in moderne webbrowsers introduceert een fundamenteel beveiligingsrisico voor organisaties die werken met vertrouwelijke informatie. Wanneer websites toegang krijgen tot het lokale bestandssysteem van gebruikers, kunnen zij potentieel gevoelige documenten, configuratiebestanden en andere kritieke gegevens lezen zonder expliciete toestemming van de gebruiker. Dit risico wordt versterkt in zakelijke omgevingen waar medewerkers regelmatig werken met vertrouwelijke documenten, financiële gegevens, persoonlijke informatie van klanten en andere gevoelige data. Malware en kwaadaardige websites kunnen deze API misbruiken om ongeautoriseerde toegang te verkrijgen tot organisatiegegevens, wat kan leiden tot datalekken, schending van privacywetgeving zoals de AVG, en aanzienlijke reputatieschade. Voor Nederlandse overheidsorganisaties en andere publieke sector instellingen is het blokkeren van deze functionaliteit niet alleen een beste praktijk, maar ook een noodzakelijke maatregel om te voldoen aan de strikte beveiligings- en privacyvereisten die worden gesteld door frameworks zoals de BIO (Baseline Informatiebeveiliging Overheid) en de AVG. Door het blokkeren van File System API reading via Microsoft Intune device configuratiebeleidsregels kunnen organisaties proactief deze beveiligingsrisico's mitigeren en ervoor zorgen dat alleen geautoriseerde en vertrouwde applicaties toegang hebben tot lokale bestandssystemen.

PowerShell Modules Vereist
Primary API: Graph
Connection: Connect-MgGraph
Required Modules: Microsoft.Graph.DeviceManagement

Implementatie

Deze beveiligingsmaatregel configureert Microsoft Edge om de File System API reading functionaliteit volledig te blokkeren via Microsoft Intune device configuratiebeleidsregels. Het beleid voorkomt dat websites en webapplicaties gebruik kunnen maken van de File System Access API om bestanden te lezen van het lokale bestandssysteem van gebruikers. De implementatie gebeurt centraal via Microsoft Intune, waardoor organisaties een uniforme beveiligingspostuur kunnen handhaven voor alle beheerde Edge browsers binnen de organisatie. Deze aanpak zorgt ervoor dat alle endpoints consistent worden beveiligd, ongeacht de locatie van de gebruiker of het apparaat, wat essentieel is voor moderne hybride werkmodellen waarbij medewerkers zowel op kantoor als thuis werken. De configuratie wordt toegepast op alle beheerde Edge browsers en kan worden gemonitord en geaudit via de Microsoft Intune console, waardoor organisaties volledige zichtbaarheid hebben over de beveiligingsstatus van hun browseromgeving.

Vereisten

Voor de succesvolle implementatie van het blokkeren van File System API reading in Microsoft Edge zijn verschillende technische en organisatorische vereisten van essentieel belang. De primaire technische vereiste betreft de beschikbaarheid van Microsoft Intune als device management oplossing binnen de organisatie. Microsoft Intune vormt het centrale platform waarmee device configuratiebeleidsregels worden gedistribueerd naar alle beheerde endpoints. Organisaties moeten beschikken over een actief Microsoft Intune licentie en de juiste rechten om device configuratiebeleidsregels te kunnen maken, wijzigen en toewijzen. Daarnaast is het noodzakelijk dat alle doelapparaten zijn ingeschreven in Microsoft Intune en correct zijn geconfigureerd voor het ontvangen van beleidsregels. Voor hybride omgevingen waarbij apparaten zowel on-premises Active Directory als Azure Active Directory gebruiken, moet de juiste connectiviteit en synchronisatie zijn geconfigureerd. Vanuit organisatorisch perspectief vereist deze implementatie coördinatie tussen verschillende afdelingen, waaronder de IT-afdeling die verantwoordelijk is voor device management, de security afdeling die de beveiligingsvereisten definieert, en de compliance afdeling die moet verifiëren dat de implementatie voldoet aan relevante regelgeving en frameworks. Bovendien is het belangrijk dat er een duidelijk communicatieplan is voor eindgebruikers, aangezien het blokkeren van File System API reading kan leiden tot veranderingen in het gedrag van bepaalde webapplicaties die deze functionaliteit proberen te gebruiken. Organisaties moeten ook beschikken over de juiste monitoring en logging capaciteiten om te kunnen verifiëren dat het beleid correct wordt toegepast en om eventuele problemen of uitzonderingen te kunnen identificeren en oplossen.

Implementatie

De implementatie van het blokkeren van File System API reading in Microsoft Edge vereist een gestructureerde aanpak waarbij verschillende stappen worden doorlopen om ervoor te zorgen dat de configuratie correct wordt toegepast en dat alle beheerde apparaten de beveiligingsmaatregel ontvangen. De implementatie begint met het voorbereiden van de Microsoft Intune omgeving, waarbij wordt gecontroleerd of alle benodigde licenties en rechten aanwezig zijn. Vervolgens wordt een nieuw device configuratiebeleid aangemaakt specifiek voor Microsoft Edge, waarbij de File System API reading functionaliteit wordt ingesteld op geblokkeerd. Dit beleid wordt geconfigureerd met de juiste targeting instellingen om ervoor te zorgen dat het alleen wordt toegepast op de relevante apparaten en gebruikersgroepen. Tijdens de implementatiefase is het belangrijk om een gefaseerde rollout te overwegen, waarbij eerst een beperkte groep testgebruikers wordt geselecteerd om te verifiëren dat de configuratie correct werkt en geen onverwachte impact heeft op kritieke bedrijfsprocessen. Na succesvolle validatie kan het beleid worden uitgerold naar de volledige organisatie. Het PowerShell script dat beschikbaar is via code/edge/security/file-system-api-reading-blocked.ps1 biedt geautomatiseerde ondersteuning voor het monitoren van de implementatie, waarbij wordt gecontroleerd of het beleid correct is toegepast op alle doelapparaten. Het script maakt gebruik van de Microsoft Graph API via de Microsoft.Graph.DeviceManagement module om de configuratiestatus van apparaten op te vragen en te rapporteren. Na de implementatie moeten organisaties een periode van intensieve monitoring inplannen om eventuele problemen of uitzonderingen snel te kunnen identificeren en op te lossen. Het is ook belangrijk om documentatie bij te houden van de implementatie, inclusief welke apparaten en gebruikersgroepen zijn geconfigureerd, wanneer de implementatie heeft plaatsgevonden, en welke eventuele uitzonderingen of aanpassingen zijn gemaakt tijdens het proces.

Gebruik PowerShell-script file-system-api-reading-blocked.ps1 (functie Invoke-Monitoring) – Het PowerShell script biedt geautomatiseerde functionaliteit voor het monitoren van de implementatiestatus van het File System API reading blokkeringsbeleid. Het script verbindt met Microsoft Graph API en controleert de configuratiestatus van alle beheerde Edge browsers binnen de organisatie..

Monitoring

Effectieve monitoring van het File System API reading blokkeringsbeleid is essentieel om te verzekeren dat de beveiligingsmaatregel correct wordt toegepast en blijft functioneren zoals bedoeld. Monitoring omvat zowel technische verificatie van de configuratiestatus als continue observatie van eventuele beveiligingsincidenten of pogingen tot misbruik. De primaire monitoring activiteiten worden uitgevoerd via Microsoft Intune, waar organisaties realtime inzicht hebben in de compliance status van alle beheerde apparaten. Het is belangrijk om regelmatig te controleren of alle doelapparaten het beleid hebben ontvangen en correct hebben toegepast, aangezien configuratiedrift of handmatige wijzigingen door gebruikers kunnen leiden tot situaties waarin het beleid niet meer actief is. Daarnaast moeten organisaties monitoring inrichten voor eventuele beveiligingsgebeurtenissen die kunnen wijzen op pogingen om de File System API te gebruiken, zelfs wanneer deze is geblokkeerd. Dergelijke pogingen kunnen indicatoren zijn van kwaadaardige activiteit of van webapplicaties die proberen ongeautoriseerde toegang te verkrijgen tot lokale bestandssystemen. Het PowerShell monitoring script dat beschikbaar is via code/edge/security/file-system-api-reading-blocked.ps1 biedt geautomatiseerde ondersteuning voor deze monitoring activiteiten. Het script kan worden geconfigureerd om periodiek te draaien en rapporten te genereren over de compliance status, eventuele afwijkingen, en trends in de beveiligingspostuur. Voor organisaties die werken met strikte compliance vereisten, zoals Nederlandse overheidsorganisaties die moeten voldoen aan BIO normen, is het belangrijk om deze monitoring activiteiten te documenteren en te kunnen rapporteren tijdens audits. Het is aanbevolen om minimaal wekelijks een compliance check uit te voeren, waarbij wordt gecontroleerd of alle apparaten nog steeds compliant zijn met het beleid, en om maandelijks een diepgaande analyse uit te voeren van trends en eventuele incidenten.

Gebruik PowerShell-script file-system-api-reading-blocked.ps1 (functie Invoke-Monitoring) – Het PowerShell monitoring script controleert de configuratiestatus van het File System API reading blokkeringsbeleid op alle beheerde apparaten en genereert rapporten over compliance status, afwijkingen en beveiligingstrends..

Remediatie

Wanneer monitoring activiteiten afwijkingen of problemen identificeren met het File System API reading blokkeringsbeleid, is het belangrijk om snel en effectief te kunnen reageren om de beveiligingspostuur te herstellen. Remediatie activiteiten kunnen verschillende vormen aannemen, afhankelijk van de aard van het probleem. In gevallen waarin apparaten het beleid niet hebben ontvangen of niet correct hebben toegepast, moet worden onderzocht wat de oorzaak is van deze afwijking. Mogelijke oorzaken kunnen zijn dat het apparaat niet correct is ingeschreven in Microsoft Intune, dat er een probleem is met de beleidstoewijzing, of dat er handmatige wijzigingen zijn aangebracht aan de Edge configuratie door de gebruiker. Voor elk van deze scenario's zijn specifieke remediatiestappen vereist. Wanneer een apparaat het beleid niet heeft ontvangen, moet worden gecontroleerd of het apparaat correct is ingeschreven en of het voldoet aan de targeting criteria van het beleid. Indien nodig kan het beleid handmatig opnieuw worden toegewezen of kan het apparaat opnieuw worden ingeschreven. Wanneer er sprake is van configuratiedrift waarbij gebruikers handmatig wijzigingen hebben aangebracht, moeten deze wijzigingen worden teruggedraaid en moet worden overwogen om aanvullende maatregelen te nemen om te voorkomen dat gebruikers dergelijke wijzigingen kunnen maken, bijvoorbeeld door het beperken van lokale administrator rechten. Het PowerShell remediatie script dat beschikbaar is via code/edge/security/file-system-api-reading-blocked.ps1 biedt geautomatiseerde ondersteuning voor veelvoorkomende remediatiescenario's. Het script kan worden gebruikt om niet-compliant apparaten automatisch te identificeren en de configuratie te herstellen naar de gewenste staat. Voor complexere problemen of wanneer geautomatiseerde remediatie niet mogelijk is, moet een gestructureerd incident response proces worden gevolgd waarbij het probleem wordt gedocumenteerd, de impact wordt geëvalueerd, en een plan wordt opgesteld voor het herstellen van de beveiligingspostuur. Het is belangrijk dat alle remediatie activiteiten worden gedocumenteerd voor audit doeleinden en dat er lessen worden getrokken uit incidenten om toekomstige problemen te voorkomen.

Gebruik PowerShell-script file-system-api-reading-blocked.ps1 (functie Invoke-Remediation) – Het PowerShell remediatie script biedt geautomatiseerde functionaliteit voor het herstellen van de File System API reading blokkeringsconfiguratie op apparaten die niet compliant zijn. Het script identificeert afwijkingen en past automatisch de juiste configuratie toe om de beveiligingspostuur te herstellen..

Compliance en Auditing

Het blokkeren van File System API reading in Microsoft Edge draagt bij aan de naleving van verschillende belangrijke beveiligings- en privacy frameworks die relevant zijn voor Nederlandse organisaties, met name voor overheidsinstellingen en andere publieke sector organisaties. Vanuit het perspectief van de BIO (Baseline Informatiebeveiliging Overheid) sluit deze maatregel aan bij controle 13.01.01, die betrekking heeft op technische beveiligingsmaatregelen. De maatregel helpt organisaties om te voldoen aan de vereisten voor het beschermen van informatie tegen ongeautoriseerde toegang en het beperken van de mogelijkheden voor kwaadaardige software om toegang te verkrijgen tot gevoelige gegevens. Vanuit ISO 27001 perspectief sluit de maatregel aan bij controle A.12.6.1, die betrekking heeft op technisch beheer van kwetsbaarheden. Door het blokkeren van potentieel risicovolle browser functionaliteiten zoals de File System API, verminderen organisaties de aanvalsoppervlakte en mitigeren zij bekende kwetsbaarheden die kunnen worden geëxploiteerd door kwaadaardige websites en malware. Voor AVG compliance is deze maatregel relevant omdat het helpt om persoonsgegevens te beschermen tegen ongeautoriseerde toegang, wat een vereiste is onder artikel 32 van de AVG dat betrekking heeft op de beveiliging van verwerkingen. Wanneer organisaties persoonsgegevens verwerken, moeten zij passende technische en organisatorische maatregelen treffen om deze gegevens te beschermen, en het blokkeren van onnodige browser functionaliteiten die toegang kunnen geven tot lokale bestandssystemen vormt een dergelijke maatregel. Voor audit doeleinden is het belangrijk dat organisaties documentatie bijhouden van de implementatie van dit beleid, inclusief wanneer het is geïmplementeerd, welke apparaten en gebruikersgroepen zijn geconfigureerd, en wat de resultaten zijn van monitoring en compliance checks. Deze documentatie moet worden bewaard voor de vereiste bewaartermijn, zoals gespecificeerd in de audit evidence vereisten, en moet beschikbaar zijn voor interne en externe auditors. Organisaties moeten ook kunnen aantonen dat het beleid daadwerkelijk wordt toegepast en dat er processen zijn voor het monitoren en remediëren van afwijkingen.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Edge Security: File System API Reading Blocked .DESCRIPTION CIS - File System Access API reading moet beperkt worden. .NOTES Filename: file-system-api-reading-blocked.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Edge\DefaultFileSystemReadGuardSetting|Expected: 2 #> #Requires -Version 5.1 #Requires -RunAsAdministrator [CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert) $ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge"; $RegName = "DefaultFileSystemReadGuardSetting"; $ExpectedValue = 2 function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) } function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "file-system-api-reading-blocked.ps1"; PolicyName = "File System API Read Blocked"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; if (-not(Test-Path $RegPath)) { $r.Details += "Niet geconfigureerd"; return $r }; try { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop; $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "FS read blocked" }else { $r.Details += "FS read toegestaan" } }catch { $r.Details += "Niet geconfigureerd" }; return $r } function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "File System API reading blocked" -ForegroundColor Green } function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r } function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue } try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }

Risico zonder implementatie

Risico zonder implementatie
High: Gegevenslekage.

Management Samenvatting

Blokkeer filesystem API toegang.