L1 BIO 13.01.01 ISO A.12.6.1 CIS Security Controls

Globale HTTP-authenticatiecache Uitgeschakeld

📅 2025-10-30
⏱️ 2 minuten lezen
🟢 Should-Have

💼 Management Samenvatting

Deze beveiligingsmaatregel configureert de instelling voor het uitschakelen van de globale HTTP-authenticatiecache in Microsoft Edge.

Aanbeveling
IMPLEMENT
Risico zonder
Medium
Risk Score
5/10
Implementatie
2u (tech: 1u)
Van toepassing op:
Edge

Het uitschakelen van de globale HTTP-authenticatiecache verhoogt de beveiliging van de browser aanzienlijk en voorkomt bekende aanvalsvectoren waarbij gecachte authenticatiegegevens kunnen worden misbruikt.

PowerShell Modules Vereist
Primary API: Graph
Connection: Connect-MgGraph
Required Modules: Microsoft.Graph.DeviceManagement

Implementatie

Deze beveiligingsmaatregel configureert het beleid via Microsoft Intune apparaatconfiguratiebeleid om de globale HTTP-authenticatiecache te deactiveren op alle Edge-browsers binnen de organisatie.

Vereisten

Voor het implementeren van deze beveiligingsmaatregel zijn verschillende technische en organisatorische vereisten nodig die zorgvuldig moeten worden overwogen voordat met de implementatie wordt begonnen. Deze vereisten vormen de basis voor een succesvolle en duurzame implementatie van de beveiligingsinstelling en zorgen ervoor dat de organisatie optimaal kan profiteren van de beveiligingsvoordelen zonder onnodige operationele verstoringen te veroorzaken.

Ten eerste moet Microsoft Intune beschikbaar zijn als beheerdersoplossing voor de organisatie. Intune biedt de mogelijkheid om apparaatconfiguratiebeleid centraal te beheren en te distribueren naar alle Windows-apparaten binnen de organisatie. Zonder Intune is het niet mogelijk om deze instelling op een uniforme en gecontroleerde wijze uit te rollen. Voor organisaties die nog geen Intune gebruiken, betekent dit dat er eerst een migratie- of implementatieproject moet worden uitgevoerd om Intune beschikbaar te maken. Dit kan een aanzienlijke investering vereisen in termen van tijd, middelen en training van het IT-personeel. Het is belangrijk om deze investering te wegen tegen de beveiligingsvoordelen die de maatregel biedt en om te bepalen of alternatieve beheermethoden, zoals groepsbeleid via Active Directory, voldoende zijn voor de specifieke behoeften van de organisatie.

Ten tweede vereist deze maatregel dat alle doelapparaten zijn geregistreerd in Microsoft Intune en dat ze kunnen communiceren met de Intune-service. Dit betekent dat apparaten een actieve internetverbinding moeten hebben en dat de juiste licenties zijn toegewezen. Voor Windows-apparaten is dit doorgaans een Microsoft 365 E3 of E5 licentie, of een specifieke Intune-licentie. Het is belangrijk om te controleren of alle gebruikers en apparaten die onder deze maatregel vallen, over de juiste licenties beschikken. Licentietekorten kunnen ertoe leiden dat bepaalde apparaten niet kunnen worden beheerd via Intune, wat gaten in de beveiligingsdekking kan creëren. Bovendien moeten apparaten regelmatig kunnen synchroniseren met de Intune-service om beleidsupdates te ontvangen. Apparaten die langere tijd offline zijn, bijvoorbeeld door reizen of werk op afgelegen locaties, kunnen vertragingen ondervinden bij het ontvangen van beleidsupdates.

Daarnaast is het belangrijk dat de beheerder beschikt over de juiste rechten binnen Microsoft Intune. De rol Intune-beheerder of globale beheerder is vereist om apparaatconfiguratiebeleid te kunnen maken, aanpassen en distribueren. Deze rollen bieden toegang tot de configuratiemogelijkheden die nodig zijn voor het instellen van Edge-beveiligingsinstellingen. Het principe van minimale rechten moet worden toegepast, wat betekent dat alleen die personen toegang krijgen tot de benodigde functies die daadwerkelijk verantwoordelijk zijn voor het beheer van deze instellingen. Dit helpt om het risico op onbedoelde wijzigingen of misbruik te verminderen. Voor grotere organisaties kan het raadzaam zijn om specifieke rollen te creëren die alleen toegang geven tot Edge-beveiligingsinstellingen, zonder volledige Intune-beheerdersrechten te verlenen.

Technisch gezien moet de Microsoft Edge-browser geïnstalleerd zijn op de doelapparaten. Deze maatregel is specifiek voor Edge en heeft geen effect op andere browsers zoals Google Chrome of Mozilla Firefox. Voor organisaties die meerdere browsers gebruiken, is het raadzaam om vergelijkbare maatregelen te implementeren voor alle browsers om een consistente beveiligingspostuur te handhaven. Het is belangrijk om te controleren welke versie van Edge is geïnstalleerd, omdat oudere versies mogelijk niet alle beveiligingsinstellingen ondersteunen die beschikbaar zijn in nieuwere versies. Microsoft raadt aan om altijd de nieuwste versie van Edge te gebruiken om te profiteren van de meest recente beveiligingsupdates en functies. Voor organisaties die nog steeds oudere versies gebruiken, kan een upgradeplan nodig zijn voordat deze maatregel kan worden geïmplementeerd.

Organisatorisch gezien vereist deze implementatie dat er een duidelijk beheerdersproces is voor het testen en distribueren van configuratiebeleid. Het testen van nieuwe beleidsregels in een testomgeving voordat ze worden toegepast op productieapparaten is essentieel om te voorkomen dat kritieke functionaliteit wordt verstoord. Een goed doordacht testproces omvat het testen op verschillende soorten apparaten, verschillende versies van Edge, en verschillende gebruikersscenario's om ervoor te zorgen dat de instelling geen onbedoelde gevolgen heeft. Bovendien moet er een communicatiestrategie zijn om gebruikers te informeren over eventuele wijzigingen in gedrag die ze kunnen opmerken, zoals het vaker moeten inloggen op websites die HTTP-authenticatie gebruiken. Transparante communicatie helpt om gebruikers te betrekken bij de beveiligingsmaatregelen en vermindert de kans op verzet of verwarring. Het is ook belangrijk om een ondersteuningsproces te hebben voor gebruikers die problemen ondervinden na de implementatie, zodat eventuele problemen snel kunnen worden opgelost zonder de beveiligingsdoelstellingen in gevaar te brengen.

Implementatie

De implementatie van deze beveiligingsmaatregel begint met het maken van een nieuw apparaatconfiguratiebeleid in Microsoft Intune. Dit proces vereist zorgvuldige planning en uitvoering om ervoor te zorgen dat de instelling correct wordt geconfigureerd en toegepast op alle relevante apparaten. Navigeer naar het Intune-beheercentrum en selecteer Apparaten, gevolgd door Configuratieprofielen. Kies voor het maken van een nieuw profiel en selecteer Windows 10 en later als platform. Als profieltype kiest u voor Beheersjablonen, wat toegang geeft tot alle Edge-beveiligingsinstellingen die via groepsbeleid beschikbaar zijn. Beheersjablonen bieden een uitgebreide set configuratieopties die nauw aansluiten bij de traditionele groepsbeleidsinstellingen, wat het voor beheerders die bekend zijn met groepsbeleid gemakkelijker maakt om de overstap naar Intune te maken.

Binnen het beheersjabloonprofiel zoekt u naar de Edge-instellingen en specifiek naar de sectie Authenticatie. Hier bevindt zich de instelling voor de globale HTTP-authenticatiecache. Selecteer deze instelling en stel deze in op Uitgeschakeld. Dit zorgt ervoor dat Edge geen HTTP-authenticatiegegevens meer opslaat in de globale cache, wat het risico op misbruik van gecachte inloggegevens aanzienlijk vermindert. Het is belangrijk om te begrijpen dat deze instelling invloed heeft op alle websites die HTTP-authenticatie gebruiken, wat betekent dat gebruikers vaker hun inloggegevens moeten invoeren. Dit kan een kleine impact hebben op de gebruikerservaring, maar het verhoogt de beveiliging aanzienlijk door te voorkomen dat authenticatiegegevens onnodig lang in de cache blijven staan waar ze potentieel kunnen worden geëxploiteerd door kwaadwillenden.

Na het configureren van de instelling wijst u het beleid toe aan de gewenste groepen gebruikers of apparaten. Het is raadzaam om te beginnen met een pilotgroep om te testen of de instelling correct werkt en geen ongewenste neveneffecten veroorzaakt. Deze pilotgroep zou idealiter bestaan uit IT-personeel dat bekend is met de gevolgen van deze wijziging en snel kan rapporteren over eventuele problemen. De pilotfase moet minimaal twee weken duren om voldoende tijd te geven om verschillende gebruikersscenario's te testen en om eventuele problemen te identificeren die alleen onder specifieke omstandigheden optreden. Tijdens deze periode moeten gebruikers worden gevraagd om feedback te geven over hun ervaring, met name over eventuele problemen met het inloggen op websites of toepassingen die HTTP-authenticatie gebruiken.

Voor de daadwerkelijke distributie van het beleid kunt u gebruikmaken van het bijbehorende PowerShell-script dat beschikbaar is in de codebibliotheek. Het script global-http-auth-cache-disabled.ps1 bevat functies voor het automatisch aanmaken en distribueren van het Intune-beleid. Het script maakt gebruik van de Microsoft Graph API om via PowerShell programmatisch beleid te beheren, wat handig is voor organisaties die hun beheertaken willen automatiseren. Het gebruik van scripts biedt verschillende voordelen, waaronder consistentie in de configuratie, de mogelijkheid om wijzigingen te versiebeheren, en de mogelijkheid om de implementatie te herhalen in verschillende omgevingen. Voor organisaties die nog geen ervaring hebben met het gebruik van PowerShell voor Intune-beheer, kan het raadzaam zijn om eerst training te volgen of ondersteuning te vragen van ervaren beheerders.

Tijdens de implementatie is het belangrijk om te monitoren of het beleid correct wordt toegepast op de doelapparaten. Controleer regelmatig de nalevingsstatus in Intune om te zien hoeveel apparaten het beleid hebben ontvangen en toegepast. Apparaten die het beleid niet correct ontvangen of toepassen vereisen aanvullende aandacht om te bepalen wat de oorzaak is van de problemen. Veelvoorkomende oorzaken van implementatieproblemen zijn onder meer communicatieproblemen tussen het apparaat en de Intune-service, conflicterende beleidsregels, of onvoldoende rechten op het apparaat. Het is belangrijk om een systematische aanpak te volgen bij het oplossen van deze problemen, waarbij eerst de meest waarschijnlijke oorzaken worden onderzocht voordat meer complexe scenario's worden overwogen. Documentatie van problemen en oplossingen helpt om toekomstige implementaties soepeler te laten verlopen.

Na een succesvolle implementatie op de pilotgroep kan het beleid geleidelijk worden uitgerold naar de rest van de organisatie. Een gefaseerde uitrol helpt om eventuele problemen tijdig te identificeren voordat alle gebruikers worden beïnvloed. De uitrol kan worden georganiseerd per afdeling, per geografische locatie, of per type apparaat, afhankelijk van wat het meest logisch is voor de organisatie. Elke fase moet voldoende tijd krijgen om te stabiliseren voordat de volgende fase wordt gestart. Documenteer alle stappen van de implementatie en eventuele problemen die zich voordoen, zodat deze informatie beschikbaar is voor toekomstige beheerders en voor auditdoeleinden. Goede documentatie is essentieel voor het onderhoud van de configuratie op de lange termijn en helpt om te voorkomen dat kennis verloren gaat wanneer beheerders de organisatie verlaten of van rol veranderen.

Gebruik PowerShell-script global-http-auth-cache-disabled.ps1 (functie Invoke-Monitoring) – Het PowerShell-script biedt geautomatiseerde functies voor het implementeren en monitoren van deze beveiligingsmaatregel..

Monitoring

Voortdurende monitoring van de naleving van deze beveiligingsinstelling is essentieel om te garanderen dat alle apparaten correct zijn geconfigureerd en blijven voldoen aan het beleid. Zonder effectieve monitoring kunnen beveiligingslekken ontstaan wanneer apparaten het beleid niet correct toepassen of wanneer configuraties worden gewijzigd door gebruikers of andere processen. Microsoft Intune biedt ingebouwde rapportagemogelijkheden die realtime inzicht geven in de nalevingsstatus van alle apparaten waaraan het beleid is toegewezen. Deze rapporten vormen de basis voor proactief beheer en stellen beheerders in staat om snel te reageren op nalevingsproblemen voordat ze kunnen escaleren tot beveiligingsincidenten.

In het Intune-beheercentrum kunt u voor elk apparaatconfiguratiebeleid de nalevingsstatus bekijken. Deze status toont hoeveel apparaten het beleid correct hebben toegepast, hoeveel apparaten nog in afwachting zijn van de toepassing, en hoeveel apparaten een fout hebben ondervonden bij het toepassen van het beleid. Regelmatige controle van deze rapporten stelt beheerders in staat om snel te reageren op nalevingsproblemen. Het is raadzaam om deze rapporten minimaal wekelijks te controleren, en vaker tijdens de eerste weken na implementatie of wanneer er wijzigingen zijn aangebracht aan het beleid. Voor organisaties met strikte compliance-eisen kan dagelijkse controle nodig zijn om te voldoen aan auditvereisten. De rapporten kunnen ook worden geëxporteerd voor verdere analyse of voor het opnemen in managementrapportages.

Het bijbehorende PowerShell-script bevat een monitoringfunctie die automatisch de nalevingsstatus kan ophalen en rapporteren. Deze functie kan worden geautomatiseerd via geplande taken die regelmatig draaien, bijvoorbeeld dagelijks of wekelijks. De resultaten kunnen worden opgeslagen in logbestanden of worden doorgestuurd naar een beveiligingsinformatie- en gebeurtenisbeheersysteem (SIEM) voor centrale analyse en waarschuwingen. Automatische monitoring vermindert de werklast voor beheerders aanzienlijk en zorgt ervoor dat nalevingsproblemen niet over het hoofd worden gezien. Het is belangrijk om drempelwaarden te configureren voor waarschuwingen, zodat beheerders alleen worden gewaarschuwd wanneer het nalevingspercentage onder een acceptabel niveau daalt. Te veel waarschuwingen kunnen leiden tot waarschuwingsmoeheid, waarbij belangrijke meldingen worden genegeerd.

Naast technische monitoring is het ook belangrijk om gebruikersfeedback te verzamelen over eventuele gevolgen van deze instelling. Gebruikers kunnen melden dat ze vaker moeten inloggen op bepaalde websites, wat een verwacht gevolg is van het uitschakelen van de authenticatiecache. Echter, als gebruikers melden dat ze helemaal niet meer kunnen inloggen of dat bepaalde toepassingen niet meer werken, kan dit wijzen op een probleem met de implementatie of een conflict met andere beleidsregels. Het is belangrijk om een duidelijk proces te hebben voor het verzamelen en verwerken van gebruikersfeedback, zodat problemen snel kunnen worden geïdentificeerd en opgelost. Helpdeskmedewerkers moeten worden getraind om te herkennen wanneer problemen gerelateerd zijn aan deze beveiligingsinstelling, zodat ze gebruikers adequaat kunnen helpen of problemen kunnen escaleren naar de juiste beheerders.

Voor organisaties die gebruikmaken van een beveiligingsinformatie- en gebeurtenisbeheersysteem (SIEM), kan de nalevingsdata worden geïntegreerd voor centrale monitoring en rapportage. Dit maakt het mogelijk om de naleving van deze beveiligingsmaatregel op te nemen in bredere beveiligingsdashboards en rapporten voor management en auditors. De data kan ook worden gebruikt voor trendanalyse om te identificeren of de naleving in de loop van de tijd verbetert of verslechtert. Trendanalyse kan waardevolle inzichten opleveren over de effectiviteit van beheersmaatregelen en kan helpen om problemen te identificeren voordat ze kritiek worden. Bijvoorbeeld, een geleidelijke daling van het nalevingspercentage kan wijzen op een systematisch probleem, zoals een configuratiefout of een wijziging in de omgeving die de implementatie beïnvloedt. Door deze trends vroegtijdig te identificeren, kunnen beheerders proactief actie ondernemen om de naleving te herstellen.

Ten slotte is het belangrijk om periodiek te controleren of de instelling daadwerkelijk actief is op de apparaten zelf. Hoewel Intune de configuratie pusht, kan deze door gebruikers of andere processen worden gewijzigd. Door regelmatig de werkelijke configuratie op een steekproef van apparaten te verifiëren, kunnen beheerders er zeker van zijn dat het beleid effectief blijft en niet wordt omzeild door externe factoren. Deze verificatie kan handmatig worden uitgevoerd door beheerders die de Edge-configuratie op apparaten controleren, of automatisch via scripts die de configuratie op afstand kunnen lezen. Voor organisaties met veel apparaten is automatische verificatie essentieel om ervoor te zorgen dat alle apparaten worden gecontroleerd zonder onnodige belasting van het IT-personeel. De resultaten van deze verificaties moeten worden gedocumenteerd en opgenomen in de reguliere monitoringrapporten om een volledig beeld te krijgen van de nalevingsstatus.

Gebruik PowerShell-script global-http-auth-cache-disabled.ps1 (functie Invoke-Monitoring) – De monitoringfunctie in het PowerShell-script automatiseert het verzamelen en rapporteren van nalevingsgegevens voor deze beveiligingsinstelling..

Remediatie

Wanneer monitoring uitwijst dat apparaten niet voldoen aan het beleid of dat de instelling niet correct is toegepast, is het belangrijk om snel actie te ondernemen om de naleving te herstellen. Non-conformiteit kan leiden tot beveiligingsrisico's, omdat apparaten die niet correct zijn geconfigureerd kwetsbaar kunnen zijn voor aanvallen die gebruikmaken van gecachte authenticatiegegevens. Het remediatieproces begint met het identificeren van de oorzaak van de non-conformiteit. Er kunnen verschillende redenen zijn waarom een apparaat niet voldoet aan het beleid, en het is belangrijk om systematisch te werk te gaan bij het diagnosticeren van het probleem om tijd te besparen en ervoor te zorgen dat de juiste oplossing wordt toegepast.

Een veelvoorkomende oorzaak is dat het apparaat het beleid nog niet heeft ontvangen. Dit kan gebeuren als het apparaat offline was tijdens de eerste distributie van het beleid, of als er een communicatieprobleem was tussen het apparaat en de Intune-service. In dergelijke gevallen kan Intune worden geconfigureerd om het beleid opnieuw te pushen naar het apparaat. Het apparaat kan ook worden aangespoord om een synchronisatie met Intune uit te voeren, wat ervoor zorgt dat het onmiddellijk alle uitstaande beleidsregels ophaalt. Voor apparaten die regelmatig offline zijn, zoals laptops van reizende medewerkers, kan het nodig zijn om aanvullende maatregelen te nemen, zoals het configureren van langere synchronisatie-intervallen of het gebruik van alternatieve distributiemethoden. Het is belangrijk om te onthouden dat apparaten die langere tijd offline zijn geweest mogelijk meerdere beleidsupdates moeten ontvangen, wat enige tijd kan duren.

Een andere mogelijke oorzaak is dat er een conflict is tussen dit beleid en een ander apparaatconfiguratiebeleid of een lokaal groepsbeleid. Wanneer meerdere beleidsregels dezelfde instelling proberen te configureren met verschillende waarden, kan dit resulteren in onvoorspelbaar gedrag. Het is belangrijk om alle actieve beleidsregels te controleren en eventuele conflicten op te lossen door één duidelijk beleid aan te wijzen als de autoritaire bron voor deze specifieke instelling. Intune biedt tools om beleidsconflicten te identificeren, maar het kan ook nodig zijn om handmatig te controleren of er lokale groepsbeleidsinstellingen zijn die conflicteren met het Intune-beleid. Voor organisaties die een hybride omgeving hebben met zowel Intune als Active Directory groepsbeleid, is het belangrijk om een duidelijke hiërarchie te hebben die bepaalt welke beleidsregels prioriteit hebben. Dit voorkomt verwarring en zorgt ervoor dat de beoogde configuratie daadwerkelijk wordt toegepast.

Soms kunnen apparaten het beleid niet correct toepassen vanwege onvoldoende rechten of omdat de Edge-browser is geïnstalleerd op een manier die niet compatibel is met de beleidsinstellingen. In dergelijke gevallen kan het nodig zijn om de Edge-installatie te herstellen of het apparaat opnieuw te registreren in Intune. Voor ernstige problemen kan het zelfs nodig zijn om het apparaat volledig opnieuw te configureren. Voordat drastische maatregelen worden genomen, is het raadzaam om eerst te proberen om het probleem op te lossen door het apparaat opnieuw te starten, de Edge-browser te sluiten en opnieuw te openen, of door handmatig te controleren of de instelling kan worden toegepast. Als deze eenvoudige stappen niet werken, kan het nodig zijn om meer geavanceerde diagnostische stappen uit te voeren, zoals het controleren van de Windows-gebeurtenislogboeken voor foutmeldingen of het gebruik van diagnostische tools om de configuratiestatus te controleren.

Het bijbehorende PowerShell-script bevat een remediatiefunctie die automatisch kan proberen om non-conforme apparaten te herstellen. Deze functie kan worden geconfigureerd om automatisch actie te ondernemen wanneer non-conformiteit wordt gedetecteerd, bijvoorbeeld door het beleid opnieuw te pushen of door het apparaat te dwingen om te synchroniseren. Automatische remediatie helpt om de naleving snel te herstellen zonder handmatige interventie, maar het is belangrijk om deze functie zorgvuldig te configureren om te voorkomen dat er te vaak actie wordt ondernomen. Te agressieve automatische remediatie kan leiden tot onnodige belasting van de Intune-service of tot verstoringen voor gebruikers. Het is raadzaam om drempelwaarden te configureren, zoals een minimum aantal non-conforme apparaten voordat automatische remediatie wordt geactiveerd, of een maximum aantal remediatiepogingen per apparaat binnen een bepaalde tijdsperiode. Bovendien moet er een mechanisme zijn om beheerders te waarschuwen wanneer automatische remediatie niet succesvol is, zodat handmatige interventie kan worden overwogen.

Na het uitvoeren van remediatieacties is het belangrijk om te verifiëren dat het probleem daadwerkelijk is opgelost. Controleer na enige tijd of de nalevingsstatus voor het betreffende apparaat is verbeterd en of de instelling daadwerkelijk correct is toegepast. Het kan enige tijd duren voordat wijzigingen worden doorgevoerd, vooral als het apparaat offline was of als er communicatieproblemen waren. Het is raadzaam om minstens een uur te wachten na het uitvoeren van remediatieacties voordat de status opnieuw wordt gecontroleerd, om voldoende tijd te geven voor synchronisatie en toepassing van het beleid. Documenteer alle genomen remediatieacties en hun resultaten, zodat deze informatie beschikbaar is voor toekomstige referentie en voor het identificeren van patronen in nalevingsproblemen. Als bepaalde problemen zich herhaaldelijk voordoen, kan dit wijzen op een fundamenteel probleem met de configuratie of de omgeving die een meer structurele oplossing vereist. In dergelijke gevallen kan het nodig zijn om de implementatiestrategie te herzien of om aanvullende maatregelen te nemen, zoals het updaten van Edge-versies of het aanpassen van de netwerkinfrastructuur om betere communicatie met de Intune-service te garanderen.

Gebruik PowerShell-script global-http-auth-cache-disabled.ps1 (functie Invoke-Remediation) – De remediatiefunctie in het PowerShell-script kan automatisch actie ondernemen om non-conforme apparaten te herstellen en de naleving te verbeteren..

Compliance en Auditing

Deze beveiligingsmaatregel draagt bij aan de naleving van verschillende beveiligingsframeworks en compliance-eisen die relevant zijn voor Nederlandse overheidsorganisaties. Compliance is niet alleen een kwestie van het voldoen aan regelgeving, maar vormt ook een essentieel onderdeel van een effectieve beveiligingsstrategie die helpt om risico's te identificeren, te mitigeren en te monitoren. Het uitschakelen van de globale HTTP-authenticatiecache helpt organisaties te voldoen aan de BIO-normen voor technische beveiligingsmaatregelen, specifiek maatregel 13.01.01 die betrekking heeft op de beveiliging van authenticatiemechanismen. Door het voorkomen van onnodige caching van authenticatiegegevens wordt het risico op misbruik van inloggegevens verlaagd, wat een essentieel onderdeel is van effectieve identiteits- en toegangsbeheer. De BIO-normen zijn specifiek ontwikkeld voor de Nederlandse overheid en bieden een praktisch raamwerk voor het implementeren van beveiligingsmaatregelen die aansluiten bij de specifieke behoeften en risico's van overheidsorganisaties.

Voor ISO 27001-certificering is deze maatregel relevant voor controle A.12.6.1 over technisch kwetsbaarhedenbeheer. Het regelmatig beoordelen en aanpassen van browserconfiguraties om bekende kwetsbaarheden te adresseren is een belangrijke component van een effectief informatiebeveiligingsmanagementsysteem. Deze specifieke maatregel helpt om een bekend risico te mitigeren waarbij gecachte authenticatiegegevens kunnen worden geëxploiteerd door kwaadwillenden. ISO 27001 is een internationaal erkende standaard voor informatiebeveiligingsmanagement die organisaties helpt om hun beveiligingsprocessen systematisch te beheren en te verbeteren. Certificering volgens deze standaard kan helpen om vertrouwen te wekken bij stakeholders en kan een concurrentievoordeel opleveren bij het verkrijgen van contracten of het aantrekken van partners. Voor Nederlandse overheidsorganisaties kan ISO 27001-certificering ook helpen om te voldoen aan internationale samenwerkingsvereisten of om te demonstreren dat de organisatie voldoet aan hoge beveiligingsstandaarden.

Vanuit CIS Controls perspectief valt deze maatregel onder de beveiligingscontroles en heeft het een Level 1-classificatie, wat betekent dat het een fundamentele beveiligingscontrole is die zonder significante impact op functionaliteit kan worden geïmplementeerd. Level 1-controles worden beschouwd als essentiële best practices die alle organisaties zouden moeten implementeren, ongeacht hun grootte of complexiteit. CIS Controls bieden een praktisch raamwerk voor het implementeren van beveiligingsmaatregelen die gebaseerd zijn op bewezen effectiviteit en die helpen om de meest kritieke beveiligingsrisico's aan te pakken. De implementatie van Level 1-controles wordt beschouwd als de basis voor een solide beveiligingspostuur en vormt de fundering waarop meer geavanceerde beveiligingsmaatregelen kunnen worden gebouwd. Voor organisaties die net beginnen met het verbeteren van hun beveiligingspostuur, bieden Level 1-controles een duidelijk startpunt dat helpt om snel de meest kritieke risico's aan te pakken.

Voor auditdoeleinden is het belangrijk om uitgebreide documentatie bij te houden over de implementatie en naleving van deze beveiligingsmaatregel. Dit omvat het beleidsdocument zelf, implementatieplanning en -logboeken, monitoringrapporten die de nalevingsstatus tonen, en documentatie van eventuele remediatieacties die zijn ondernomen. Auditors zullen willen verifiëren dat het beleid daadwerkelijk is geïmplementeerd, dat de naleving wordt gemonitord, en dat er processen zijn om non-conformiteit aan te pakken. Goede documentatie helpt niet alleen om te voldoen aan auditvereisten, maar kan ook waardevol zijn voor interne doeleinden, zoals het trainen van nieuwe beheerders, het identificeren van verbeterpunten, of het analyseren van trends in nalevingsproblemen. Het is belangrijk om documentatie regelmatig bij te werken om ervoor te zorgen dat deze accuraat blijft en relevante informatie bevat over de huidige status van de implementatie.

De Intune-nalevingsrapporten dienen als primaire auditbewijs dat deze maatregel actief is geïmplementeerd en wordt gehandhaafd. Deze rapporten moeten regelmatig worden geëxporteerd en opgeslagen met een bewaartermijn van minimaal één jaar, zodat ze beschikbaar zijn voor interne en externe audits. Voor organisaties die voldoen aan strenge compliance-eisen kan een langere bewaartermijn vereist zijn, afhankelijk van specifieke regelgeving of contractuele verplichtingen. Het is belangrijk om te zorgen voor een veilige opslag van deze rapporten, waarbij rekening wordt gehouden met beveiligings- en privacyvereisten. Rapportages moeten worden beschermd tegen onbevoegde toegang en moeten worden opgeslagen op een manier die ervoor zorgt dat ze niet kunnen worden gewijzigd of verwijderd zonder sporen na te laten. Voor organisaties die voldoen aan specifieke compliance-eisen, zoals de AVG, kan het ook nodig zijn om te documenteren wie toegang heeft gehad tot de rapporten en wanneer deze zijn geraadpleegd.

Naast technische documentatie is het ook belangrijk om organisatorische documentatie bij te houden, zoals besluitvormingsdocumenten die verklaren waarom deze maatregel is geïmplementeerd, risicoanalyses die het belang ervan onderbouwen, en communicatie naar gebruikers over de gevolgen van deze wijziging. Deze documentatie helpt auditors te begrijpen dat de maatregel niet alleen technisch is geïmplementeerd, maar ook organisatorisch is ondersteund en geïntegreerd in de bredere beveiligingsstrategie van de organisatie. Organisatorische documentatie kan ook waardevol zijn voor het verkrijgen van managementsteun voor beveiligingsinitiatieven, omdat het helpt om te demonstreren dat beveiligingsmaatregelen niet alleen technische oefeningen zijn, maar onderdeel van een bredere strategie om organisatierisico's te beheren. Bovendien kan deze documentatie helpen om te verklaren waarom bepaalde beslissingen zijn genomen, wat waardevol kan zijn wanneer beheerders van rol veranderen of wanneer de organisatie moet uitleggen waarom bepaalde maatregelen zijn geïmplementeerd aan externe stakeholders, zoals toezichthouders of partners.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Edge Security: Global HTTP Auth Cache Disabled .DESCRIPTION CIS - Global HTTP authentication cache moet disabled zijn (credential leak risk). .NOTES Filename: global-http-auth-cache-disabled.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Edge\GloballyScopeHTTPAuthCacheEnabled|Expected: 0 #> #Requires -Version 5.1 #Requires -RunAsAdministrator [CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert) $ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge"; $RegName = "GloballyScopeHTTPAuthCacheEnabled"; $ExpectedValue = 0 function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) } function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "global-http-auth-cache-disabled.ps1"; PolicyName = "Global HTTP Auth Cache Disabled"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; if (-not(Test-Path $RegPath)) { $r.IsCompliant = $true; $r.Details += "Default disabled"; return $r }; try { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop; $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Global auth cache disabled" }else { $r.Details += "Global auth cache enabled" } }catch { $r.IsCompliant = $true; $r.Details += "Default" }; return $r } function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Global HTTP auth cache disabled" -ForegroundColor Green } function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r } function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue } try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }

Risico zonder implementatie

Risico zonder implementatie
Medium: Hergebruik van authenticatiegegevens door misbruik van gecachte inloggegevens.

Management Samenvatting

De cache-instellingen voor HTTP-authenticatie moeten worden geconfigureerd om het risico op misbruik van gecachte inloggegevens te beperken en te voldoen aan beveiligingsstandaarden.