💼 Management Samenvatting
Het blokkeren van schrijftoegang via de File System API in Microsoft Edge vormt een essentiële beveiligingsmaatregel voor organisaties die hun gebruikers en systemen willen beschermen tegen kwaadaardige software en ongeautoriseerde bestandswijzigingen. Deze technische controle voorkomt dat webapplicaties en kwaadaardige websites direct toegang krijgen tot het bestandssysteem van de werkstation, wat een aanzienlijk beveiligingsrisico kan vormen.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
7/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Edge
De File System API biedt webapplicaties de mogelijkheid om bestanden te lezen en te schrijven op het lokale bestandssysteem van de gebruiker. Hoewel deze functionaliteit legitieme use cases heeft voor moderne webapplicaties, vormt het ook een significant beveiligingsrisico. Kwaadaardige websites kunnen deze API misbruiken om malware te installeren, gevoelige bestanden te wijzigen of te verwijderen, of ransomware te verspreiden. Voor Nederlandse overheidsorganisaties en bedrijven die werken met gevoelige informatie is het daarom cruciaal om deze functionaliteit te beperken of volledig uit te schakelen. Door schrijftoegang via de File System API te blokkeren, vermindert een organisatie het aanvalsoppervlak aanzienlijk en beschermt zij haar gebruikers tegen geavanceerde phishing-aanvallen en drive-by download aanvallen die gebruik maken van deze browserfunctionaliteit.
PowerShell Modules Vereist
Primary API: Graph
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
Deze beveiligingsmaatregel wordt geconfigureerd via Microsoft Intune device configuratiebeleidsregels, waardoor organisaties centraal kunnen bepalen welke Edge-browsers binnen hun omgeving toegang hebben tot de File System API voor schrijfbewerkingen. Het beleid kan worden toegepast op specifieke gebruikersgroepen, apparaten of organisatie-eenheden, wat flexibiliteit biedt voor organisaties met verschillende beveiligingsvereisten per afdeling of rol. De implementatie vereist minimale technische expertise en kan worden geautomatiseerd via PowerShell-scripts die gebruik maken van de Microsoft Graph API voor programmatische configuratiebeheer.
Vereisten
Voor de succesvolle implementatie van het File System API schrijfblokkering beleid zijn er verschillende technische en organisatorische vereisten waaraan moet worden voldaan. Ten eerste is een actieve Microsoft Intune licentie vereist voor alle apparaten waarop het beleid moet worden toegepast. Dit betekent dat organisaties moeten beschikken over een geldig Microsoft 365 E3 of E5 licentiepakket, of een specifieke Intune-licentie voor device management. Daarnaast is het noodzakelijk dat alle doelapparaten zijn ingeschreven in Microsoft Intune en correct zijn geconfigureerd voor device configuration management. Apparaten moeten verbonden zijn met het Azure Active Directory en beschikken over de juiste compliance status om beleidsregels te kunnen ontvangen en toepassen. Voor de technische implementatie is toegang tot de Microsoft Graph API vereist, wat betekent dat beheerders moeten beschikken over de juiste Azure AD-rollen zoals Global Administrator, Intune Administrator of Device Management Administrator. De Microsoft Graph PowerShell-module moet geïnstalleerd zijn op het beheersysteem waarvan de configuratie wordt uitgevoerd, specifiek de Microsoft.Graph.DeviceManagement module voor het beheren van device configuration policies. Organisaties moeten ook beschikken over een duidelijk gedefinieerde device configuration policy structuur binnen Intune, waarbij specifieke policy sets kunnen worden toegewezen aan verschillende gebruikersgroepen of apparaatcategorieën. Dit vereist vaak een voorafgaande inventarisatie van de Edge-browser versies binnen de organisatie, omdat oudere versies mogelijk niet alle policy-instellingen ondersteunen. Tot slot is het belangrijk dat er een testomgeving beschikbaar is waar het beleid eerst kan worden gevalideerd voordat het wordt uitgerold naar productie, om te voorkomen dat legitieme bedrijfsprocessen worden verstoord door onverwachte configuratieproblemen.
Implementatie
De implementatie van het File System API schrijfblokkering beleid begint met een grondige voorbereidingsfase waarin de huidige Edge-configuratie binnen de organisatie wordt geïnventariseerd. Beheerders moeten eerst identificeren welke Edge-versies in gebruik zijn, welke gebruikersgroepen toegang hebben tot welke applicaties, en of er specifieke business cases zijn die legitiem gebruik van de File System API vereisen. Deze inventarisatie is cruciaal om te voorkomen dat kritieke bedrijfsprocessen worden verstoord door de implementatie van het beveiligingsbeleid. Vervolgens wordt een device configuration policy aangemaakt binnen Microsoft Intune via de Microsoft Graph API, waarbij de specifieke policy-instelling voor het blokkeren van File System API schrijftoegang wordt geconfigureerd. Het beleid wordt toegewezen aan de relevante gebruikersgroepen of apparaatcategorieën, waarbij een gefaseerde rollout wordt aanbevolen om eventuele problemen tijdig te kunnen identificeren en oplossen. De implementatie kan worden geautomatiseerd via PowerShell-scripts die gebruik maken van de Microsoft Graph PowerShell-module, wat consistentie en reproduceerbaarheid waarborgt. Na de implementatie moeten beheerders de policy compliance monitoren om te verifiëren dat het beleid correct wordt toegepast op alle doelapparaten, en eventuele uitzonderingen documenteren voor auditdoeleinden.
Gebruik PowerShell-script file-system-api-writing-blocked.ps1 (functie Invoke-Monitoring) – Het PowerShell-script file-system-api-writing-blocked.ps1 biedt functionaliteit voor het monitoren van de compliance status van het File System API writing block-beleid. Door het script uit te voeren met de -Monitoring parameter, controleert het of de registry-instelling correct is geconfigureerd en rapporteert het de huidige status. Het script verifieert of de registry-waarde HKLM:\SOFTWARE\Policies\Microsoft\Edge\DefaultFileSystemWriteGuardSetting is ingesteld op de waarde 2, wat aangeeft dat schrijftoegang via de File System API is geblokkeerd. Dit stelt beheerders in staat om regelmatig te verifiëren dat het beleid actief blijft en niet onbedoeld is gewijzigd of verwijderd. Het script kan worden geïntegreerd in geautomatiseerde monitoringoplossingen voor continue compliance-verificatie..
Monitoring
Effectieve monitoring van het File System API schrijfblokkering beleid vereist een gestructureerde aanpak waarbij zowel technische compliance als operationele impact worden gevolgd. Beheerders moeten regelmatig controleren of het beleid correct wordt toegepast op alle doelapparaten via de Microsoft Intune compliance dashboard, waarbij specifieke aandacht wordt besteed aan apparaten die niet compliant zijn en de onderliggende oorzaken hiervan. Het is belangrijk om te monitoren of er gebruikers zijn die problemen melden met legitieme webapplicaties die mogelijk afhankelijk zijn van File System API functionaliteit, zodat uitzonderingen kunnen worden geconfigureerd waar nodig. Daarnaast moeten security teams de security event logs monitoren op pogingen tot misbruik van de File System API, wat kan wijzen op kwaadaardige activiteit of security awareness problemen bij gebruikers. Automatische monitoring via PowerShell-scripts kan worden geconfigureerd om dagelijks of wekelijks compliance rapporten te genereren, waarbij afwijkingen automatisch worden geëscaleerd naar het security team voor verdere analyse. De monitoring moet ook aandacht besteden aan Edge-browser updates, omdat nieuwe versies mogelijk wijzigingen introduceren in de File System API implementatie die aanvullende configuratie vereisen. Tot slot is het belangrijk om periodiek te evalueren of het beleid nog steeds effectief is en of er aanpassingen nodig zijn op basis van veranderende bedrijfsvereisten of nieuwe security threats.
Gebruik PowerShell-script file-system-api-writing-blocked.ps1 (functie Invoke-Monitoring) – Het monitoring-script controleert de compliance status door de registry-instelling te verifiëren en rapporteert of het beleid correct is geconfigureerd. Het script kan worden uitgevoerd met de -Monitoring parameter voor gedetailleerde statusinformatie, of zonder parameters voor een snelle compliance-check die geschikt is voor geautomatiseerde monitoring. De output geeft duidelijk aan of het apparaat compliant is of niet, en bevat details over de huidige configuratie, inclusief de huidige registry-waarde en de verwachte waarde. Dit maakt het mogelijk om snel afwijkingen te identificeren en te escaleren naar het security team voor verdere analyse en remediatie..
Remediatie
Wanneer monitoring aangeeft dat het File System API schrijfblokkering beleid niet correct wordt toegepast op bepaalde apparaten, is een gestructureerde remediatieaanpak vereist om de compliance te herstellen en de beveiligingspostuur van de organisatie te waarborgen. Het remediatieproces begint met een grondige diagnostische fase waarin beheerders de onderliggende oorzaken van non-compliance identificeren. Deze oorzaken kunnen variëren van technische configuratieproblemen, zoals apparaatconfiguratiefouten of policy-synchronisatie problemen, tot organisatorische uitdagingen, zoals apparaten die niet correct zijn ingeschreven in Microsoft Intune of gebruikersgroepen die per ongeluk zijn uitgesloten van de policy-toewijzing. De diagnostische fase vereist een systematische aanpak waarbij eerst wordt gecontroleerd of het apparaat überhaupt is ingeschreven in het device management systeem, vervolgens wordt geverifieerd of de policy correct is toegewezen aan de relevante gebruikersgroepen of apparaatcategorieën, en ten slotte wordt geanalyseerd of de Edge-browser versie op het apparaat de vereiste policy-instellingen ondersteunt.
Voor apparaten die niet zijn ingeschreven in Microsoft Intune vormt device enrollment de eerste en meest kritieke stap in het remediatieproces. Deze enrollment kan worden uitgevoerd via verschillende methoden, afhankelijk van het type apparaat en de organisatorische vereisten. Windows-apparaten kunnen worden ingeschreven via automatische enrollment tijdens de eerste configuratie, via Group Policy, of handmatig door gebruikers via de bedrijfsportal. Na succesvolle enrollment moet het apparaat worden toegevoegd aan de juiste Azure AD-groepen die zijn gekoppeld aan het File System API schrijfblokkering beleid, waarna het apparaat automatisch de policy-instellingen zal ontvangen tijdens de volgende policy-synchronisatie cyclus. Voor apparaten die wel zijn ingeschreven maar het beleid niet ontvangen, moeten beheerders de policy-toewijzingen binnen Intune grondig controleren om te verifiëren dat de juiste gebruikersgroepen, apparaatcategorieën of directe apparaattoewijzingen zijn geconfigureerd. Het is belangrijk om te controleren of er geen conflicterende policies zijn die de File System API policy-instelling overschrijven, en of er geen uitsluitingsregels zijn geconfigureerd die onbedoeld bepaalde apparaten uitsluiten van de policy-toepassing.
In gevallen waar het beleid wel is ontvangen door het apparaat maar niet correct wordt toegepast, kunnen verschillende technische remediatiestappen worden ondernomen. Een policy refresh kan worden geforceerd via de Microsoft Graph API of de Intune admin console, wat het apparaat dwingt om onmiddellijk de nieuwste policy-instellingen op te halen en toe te passen, in plaats van te wachten op de reguliere synchronisatiecyclus die doorgaans elke acht uur plaatsvindt. Voor Windows-apparaten kan ook direct worden gecontroleerd of de Edge-browser de policy-instellingen correct heeft ontvangen door de registry-sleutels te inspecteren die door Intune worden beheerd, of door de Edge-browser policy-status te controleren via de edge://policy pagina in de browser zelf. Als de policy-instellingen wel zijn ontvangen maar niet worden toegepast, kan dit wijzen op een probleem met de Edge-browser versie die mogelijk niet alle policy-instellingen ondersteunt, of op een conflict met lokaal geconfigureerde instellingen die de policy-instellingen overschrijven. In dergelijke gevallen moet een browser update worden uitgevoerd naar een ondersteunde versie, of moeten lokale configuraties worden aangepast om compatibel te zijn met het Intune-beleid.
Automatische remediatie vormt een krachtige aanvulling op handmatige remediatieprocessen en kan worden geïmplementeerd via PowerShell-scripts die regelmatig de compliance status controleren en automatisch corrigerende acties uitvoeren voor veelvoorkomende problemen. Deze scripts kunnen worden geconfigureerd om dagelijks of wekelijks te draaien en kunnen automatisch policy-refresh acties uitvoeren, browser updates initiëren, of apparaten opnieuw toewijzen aan de juiste policy-groepen wanneer afwijkingen worden gedetecteerd. Automatische remediatie is vooral waardevol voor grote organisaties met honderden of duizenden apparaten, waar handmatige remediatie van elke non-compliant device niet praktisch haalbaar is. Het is echter belangrijk om automatische remediatie-scripts zorgvuldig te testen in een gecontroleerde omgeving voordat ze worden uitgerold naar productie, om te voorkomen dat legitieme configuraties worden overschreven of dat onverwachte problemen worden veroorzaakt. Na elke automatische remediatie-actie moeten beheerders de resultaten monitoren om te verifiëren dat het probleem daadwerkelijk is opgelost en dat er geen nieuwe problemen zijn ontstaan als gevolg van de automatische corrigerende acties.
Na succesvolle remediatie moeten beheerders de compliance status opnieuw verifiëren om te bevestigen dat het probleem is opgelost en dat het File System API schrijfblokkering beleid nu correct wordt toegepast. Deze verificatie moet worden uitgevoerd binnen 24 tot 48 uur na de remediatie-actie, om voldoende tijd te geven voor policy-synchronisatie en browser-configuratie updates. Als het probleem persistent blijft na meerdere remediatiepogingen, moet een diepgaandere analyse worden uitgevoerd om structurele problemen te identificeren, zoals incompatibele Edge-versies die niet kunnen worden bijgewerkt vanwege organisatorische beperkingen, of complexe policy-conflicten die handmatige interventie vereisen. Alle remediatie-acties moeten worden gedocumenteerd in een centraal beheerd systeem, inclusief de geïdentificeerde oorzaak, de uitgevoerde remediatiestappen, de resultaten van de verificatie, en eventuele lessen geleerd die kunnen worden toegepast voor preventieve maatregelen in de toekomst. Deze documentatie is niet alleen waardevol voor toekomstige troubleshooting, maar ook voor auditdoeleinden en voor het verbeteren van de algehele beveiligingspostuur van de organisatie.
Gebruik PowerShell-script file-system-api-writing-blocked.ps1 (functie Invoke-Remediation) – Het PowerShell-script file-system-api-writing-blocked.ps1 biedt geautomatiseerde remediatiefunctionaliteit voor het herstellen van non-compliance situaties waarbij het File System API writing block-beleid niet correct is geconfigureerd op apparaten. Door het script uit te voeren met de -Remediation parameter, voert het automatisch corrigerende acties uit om de registry-instelling te herstellen naar de vereiste configuratie. Het script controleert eerst de huidige status van de registry-waarde HKLM:\SOFTWARE\Policies\Microsoft\Edge\DefaultFileSystemWriteGuardSetting en vergelijkt deze met de verwachte waarde 2, die aangeeft dat schrijftoegang via de File System API is geblokkeerd. Wanneer een afwijking wordt gedetecteerd, past het script automatisch de registry-waarde aan naar de juiste configuratie, waardoor het apparaat opnieuw compliant wordt gemaakt met het beveiligingsbeleid. Het script kan ook worden geconfigureerd om automatisch een policy refresh te forceren via de Microsoft Graph API, wat ervoor zorgt dat het apparaat onmiddellijk de nieuwste policy-instellingen ophaalt en toepast. Deze geautomatiseerde remediatieaanpak is bijzonder waardevol voor grote organisaties waar handmatige remediatie van elke non-compliant device niet praktisch haalbaar is, en stelt beheerders in staat om snel en consistent compliance te herstellen zonder uitgebreide handmatige interventie. Het script genereert ook gedetailleerde logbestanden van alle uitgevoerde remediatieacties, wat waardevol is voor auditdoeleinden en voor het bijhouden van compliance-trends over tijd..
Compliance en Auditing
Voor Nederlandse overheidsorganisaties en bedrijven die werken met gevoelige informatie is compliance met relevante beveiligingsstandaarden en regelgeving een kritieke vereiste die niet alleen juridische verplichtingen omvat, maar ook een fundamenteel onderdeel vormt van een effectieve cybersecurity strategie. Het File System API schrijfblokkering beleid draagt op meerdere niveaus bij aan de naleving van verschillende cybersecurity frameworks en compliance-vereisten die specifiek relevant zijn voor de Nederlandse publieke sector. Binnen het BIO framework (Baseline Informatiebeveiliging Overheid), dat de minimale beveiligingsstandaarden definieert voor Nederlandse overheidsorganisaties, sluit deze maatregel direct aan bij controle 13.01.01, die technische beveiligingsmaatregelen vereist om systemen te beschermen tegen kwaadaardige software en ongeautoriseerde toegang. Deze controle verplicht organisaties om technische maatregelen te implementeren die het risico op compromittering van systemen minimaliseren, en het blokkeren van File System API schrijftoegang vormt een concrete invulling van deze verplichting door het aanvalsoppervlak van browsers en webapplicaties aanzienlijk te verkleinen.
Voor organisaties die certificering nastreven of moeten voldoen aan de NEN-ISO/IEC 27001 norm is deze maatregel relevant voor controle A.12.6.1, die betrekking heeft op technisch kwetsbaarheidsbeheer en het systematisch beperken van het aanvalsoppervlak van informatiesystemen. Deze controle vereist dat organisaties regelmatig technische kwetsbaarheden identificeren en mitigeren, en dat zij onnodige functionaliteiten uitschakelen die kunnen worden misbruikt door aanvallers. Het File System API schrijfblokkering beleid sluit hier perfect bij aan door een specifieke browserfunctionaliteit uit te schakelen die bekend staat om zijn potentiële misbruik door kwaadaardige websites en geavanceerde persistent threats. Daarnaast draagt het beleid bij aan de naleving van de Algemene Verordening Gegevensbescherming (AVG) door het actief beperken van risico's op datalekken via kwaadaardige software die gebruik maakt van de File System API om ongeautoriseerd toegang te krijgen tot gevoelige bestanden op werkstations. Artikel 32 van de AVG verplicht organisaties om passende technische en organisatorische maatregelen te treffen voor de beveiliging van persoonsgegevens, en deze maatregel vormt een concrete technische invulling van deze verplichting.
Voor auditdoeleinden en compliance-verificatie is uitgebreide documentatie van het beleid essentieel om aan te tonen dat de organisatie haar beveiligingsverplichtingen serieus neemt en dat de geïmplementeerde maatregelen effectief worden beheerd. Deze documentatie moet minimaal de rationale voor de implementatie bevatten, waarbij duidelijk wordt uitgelegd waarom deze specifieke maatregel noodzakelijk is voor de organisatie, welke risico's worden gemitigeerd, en hoe de maatregel past binnen de algehele beveiligingsstrategie. Daarnaast moet de documentatie de volledige scope van toepassing beschrijven, inclusief welke gebruikersgroepen, apparaatcategorieën of organisatie-eenheden zijn inbegrepen in het beleid, en welke eventuele uitzonderingen zijn geconfigureerd en waarom deze uitzonderingen gerechtvaardigd zijn. De documentatie moet ook de resultaten van compliance monitoring bevatten, waarbij regelmatig wordt gerapporteerd over de compliance status van apparaten, eventuele gedetecteerde afwijkingen, en de uitgevoerde remediatieacties. Deze documentatie moet minimaal één jaar worden bewaard en beschikbaar zijn voor zowel interne audits, zoals periodieke security assessments door het informatiebeveiligingsteam, als externe audits, zoals certificeringsaudits voor ISO 27001 of compliance-controles door toezichthouders.
Beheerders moeten regelmatig compliance rapporten genereren die aantonen dat het File System API schrijfblokkering beleid correct wordt toegepast op alle relevante apparaten binnen de organisatie. Deze rapporten moeten niet alleen kwantitatieve informatie bevatten, zoals het percentage compliant apparaten, maar ook kwalitatieve inzichten, zoals trends in compliance over tijd, veelvoorkomende oorzaken van non-compliance, en de effectiviteit van remediatieprocessen. Eventuele afwijkingen moeten worden gedocumenteerd met bijbehorende remediatieacties, waarbij duidelijk wordt aangegeven wat de onderliggende oorzaak was, welke stappen zijn ondernomen om het probleem op te lossen, en wat de resultaten waren van deze remediatie-acties. De audit trail moet ook uitgebreide informatie bevatten over policy wijzigingen, zoals wanneer het beleid is aangepast, welke instellingen zijn gewijzigd, en wie deze wijzigingen heeft geautoriseerd. Daarnaast moeten toewijzingswijzigingen worden gedocumenteerd, waarbij wordt vastgelegd wanneer gebruikersgroepen of apparaatcategorieën zijn toegevoegd of verwijderd uit de policy-toewijzing, en wat de reden was voor deze wijzigingen. Door compliance trends over tijd te analyseren kunnen organisaties niet alleen aantonen dat de beveiligingsmaatregel effectief wordt beheerd en onderhouden, maar ook proactief problemen identificeren voordat ze escaleren tot significante compliance-issues.
Voor organisaties die moeten voldoen aan sector-specifieke regelgeving, zoals de Wet digitale overheid of andere sectorale beveiligingsstandaarden, is het belangrijk om de implementatie van het File System API schrijfblokkering beleid te koppelen aan de algemene informatiebeveiligingsstrategie en om te verifiëren dat de maatregel bijdraagt aan de realisatie van de gestelde beveiligingsdoelstellingen. Compliance-verificatie moet niet alleen gericht zijn op technische implementatie, waarbij wordt gecontroleerd of het beleid correct is geconfigureerd en toegepast, maar ook op de effectiviteit van de maatregel in de praktijk. Dit betekent dat organisaties moeten monitoren of er daadwerkelijk pogingen zijn gedetecteerd om de File System API te misbruiken, of dat er security incidents zijn voorkomen als gevolg van deze maatregel. Door deze informatie te verzamelen en te documenteren kunnen organisaties niet alleen aantonen dat zij compliant zijn met de vereisten van verschillende frameworks en normen, maar ook dat hun beveiligingsmaatregelen daadwerkelijk bijdragen aan het verminderen van cyberrisico's en het beschermen van organisatie- en persoonsgegevens tegen kwaadaardige activiteiten. Deze effectiviteitsmeting is niet alleen waardevol voor auditdoeleinden, maar ook voor het continu verbeteren van de beveiligingspostuur en het rechtvaardigen van investeringen in beveiligingsmaatregelen tegenover management en stakeholders.
Compliance & Frameworks
- CIS M365: Control Security Controls (L1) - Security hardening
- BIO: 13.01.01 - Technical security measures
- ISO 27001:2022: A.12.6.1 - Technical vulnerability management
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Edge Security: File System API Writing Blocked
.DESCRIPTION
CIS - File System Access API writing moet blocked zijn.
.NOTES
Filename: file-system-api-writing-blocked.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Edge\DefaultFileSystemWriteGuardSetting|Expected: 2
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge"; $RegName = "DefaultFileSystemWriteGuardSetting"; $ExpectedValue = 2
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "file-system-api-writing-blocked.ps1"; PolicyName = "File System API Write Blocked"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; if (-not(Test-Path $RegPath)) { $r.Details += "Niet geconfigureerd"; return $r }; try { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop; $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "FS write blocked" }else { $r.Details += "FS write toegestaan" } }catch { $r.Details += "Niet geconfigureerd" }; return $r }
function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "File System API writing blocked" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
High: Kwaadaardige software kan ongeautoriseerd bestanden schrijven op werkstations via de File System API, wat kan leiden tot malware-installatie, ransomware-aanvallen en compromittering van gevoelige gegevens.
Management Samenvatting
Blokkeer schrijftoegang via de File System API in Microsoft Edge om gebruikers en systemen te beschermen tegen kwaadaardige software en ongeautoriseerde bestandswijzigingen.
- Implementatietijd: 2 uur
- FTE required: 0.01 FTE