L2 CIS Edge Security

Google Cast Uitgeschakeld

📅 2025-10-30
⏱️ 3 minuten lezen
🟢 Nice-to-Have

💼 Management Samenvatting

Schakel Google Cast (Media Router) uit om te voorkomen dat gebruikers browserinhoud kunnen casten naar Chromecast-apparaten, wat gegevenslekrisico's kan vormen.

Aanbeveling
CONSIDER
Risico zonder
Low
Risk Score
3/10
Implementatie
0.75u (tech: 0.5u)
Van toepassing op:
Edge

Google Cast maakt het mogelijk om browserinhoud naar Chromecast-apparaten te streamen. In bedrijfsomgevingen kan dit leiden tot vertrouwelijke informatie die wordt weergegeven op gedeelde schermen, gegevenslekken naar niet-geautoriseerde schermen, en privacyproblemen bij het casten in openbare ruimtes. Deze functionaliteit vormt een beveiligingsrisico omdat gebruikers onbedoeld gevoelige bedrijfsgegevens kunnen delen met apparaten die niet onder controle staan van de IT-afdeling.

PowerShell Modules Vereist
Primary API: Intune/GPO
Connection: N/A
Required Modules:

Implementatie

Configureer de registerwaarde EnableMediaRouter op 0 via het pad HKLM:\SOFTWARE\Policies\Microsoft\Edge\EnableMediaRouter. De Google Cast-functionaliteit wordt dan volledig uitgeschakeld voor alle gebruikers binnen de organisatie.

Vereisten

Voor het succesvol implementeren van deze beveiligingsmaatregel zijn diverse technische en organisatorische vereisten van essentieel belang. Deze vereisten vormen de fundering waarop de implementatie rust en bepalen in grote mate het succes van de beveiligingsmaatregel. De primaire technische vereiste betreft de aanwezigheid van Microsoft Edge als standaard webbrowser binnen de organisatie. Microsoft Edge moet niet alleen geïnstalleerd zijn op alle werkstations waar deze beveiligingsmaatregel van toepassing is, maar ook actief worden gebruikt als primaire browser. Dit betekent dat organisaties moeten zorgen voor een gestandaardiseerde browseromgeving waarin Microsoft Edge de voorkeurspositie inneemt. De versie van Microsoft Edge speelt eveneens een belangrijke rol, aangezien nieuwere versies uitgebreidere beveiligingsfuncties en betere ondersteuning voor centrale configuratie bieden. Organisaties dienen daarom te streven naar het gebruik van de meest recente stabiele versie van Microsoft Edge om optimale beveiliging en functionaliteit te garanderen. Daarnaast is het essentieel dat de organisatie beschikt over een centraal beheersysteem voor het configureren van browserinstellingen. Dit centrale beheer vormt de kern van een effectieve beveiligingsstrategie, omdat het ervoor zorgt dat beveiligingsinstellingen consistent worden toegepast op alle werkstations binnen de organisatie. Zonder centraal beheer zou elke wijziging handmatig moeten worden doorgevoerd op individuele systemen, wat niet alleen tijdrovend is maar ook foutgevoelig. Het centrale beheer kan worden gerealiseerd via Microsoft Intune voor cloudgebaseerd beheer of via Groepsbeleidsobjecten voor on-premises omgevingen. Voor Intune-implementaties is een geldige Microsoft 365-licentie met Intune-functionaliteit vereist. Deze licentie moet niet alleen de Intune-functionaliteit omvatten, maar ook de benodigde rechten voor het beheren van apparaatconfiguraties. Organisaties moeten ervoor zorgen dat alle apparaten die beheerd moeten worden, correct zijn geregistreerd in Intune en dat de benodigde licenties actief zijn. Voor GPO-implementaties is een Active Directory Domain Services-omgeving noodzakelijk. Deze omgeving moet correct zijn geconfigureerd met de benodigde organisatie-eenheden en groepsbeleidsobjecten. De GPO-infrastructuur moet betrouwbaar zijn en regelmatig worden onderhouden om ervoor te zorgen dat beleidsinstellingen correct worden doorgegeven aan alle werkstations. Organisatorisch gezien moet de IT-afdeling beschikken over de benodigde rechten om registerinstellingen te wijzigen op werkstations. Dit vereist doorgaans lokale beheerdersrechten of het gebruik van een beheersysteem dat deze wijzigingen centraal kan doorvoeren. De IT-afdeling moet niet alleen de technische rechten hebben, maar ook de organisatorische autoriteit om beveiligingsmaatregelen door te voeren. Dit betekent dat er duidelijke afspraken moeten zijn over wie verantwoordelijk is voor het implementeren en onderhouden van deze beveiligingsmaatregel. Bovendien is het belangrijk dat er een duidelijk beleid bestaat over het gebruik van casting-functionaliteiten binnen de organisatie. Dit beleid moet niet alleen technische aspecten omvatten, maar ook uitleggen waarom deze beperking wordt toegepast en wat de gevolgen zijn voor gebruikers. Gebruikers moeten begrijpen dat het uitschakelen van Google Cast een beveiligingsmaatregel is die bedoeld is om gevoelige informatie te beschermen. Het beleid moet ook aangeven of er uitzonderingen mogelijk zijn en onder welke omstandigheden deze kunnen worden verleend. De implementatie vereist minimale technische expertise, maar een basiskennis van registerbeheer of Intune-configuratie is aanbevolen om de configuratie correct uit te voeren en te verifiëren. IT-beheerders die verantwoordelijk zijn voor de implementatie moeten vertrouwd zijn met de gebruikte beheeromgeving en moeten weten hoe ze configuratiewijzigingen kunnen doorvoeren en verifiëren. Training en documentatie kunnen helpen om ervoor te zorgen dat de implementatie correct wordt uitgevoerd en dat eventuele problemen snel kunnen worden opgelost.

Implementatie

Gebruik PowerShell-script google-cast-disabled.ps1 (functie Invoke-Remediation) – Script voor uitschakeling Google Cast.

De implementatie van deze beveiligingsmaatregel vereist een gestructureerde aanpak die rekening houdt met de specifieke omgeving en behoeften van de organisatie. De implementatiemethode hangt af van de beschikbare beheerinfrastructuur, maar beide methoden leiden tot hetzelfde resultaat: het uitschakelen van Google Cast-functionaliteit op alle relevante werkstations. Voor organisaties die gebruikmaken van Microsoft Intune als centraal beheersysteem, biedt de cloudgebaseerde beheeromgeving een efficiënte en schaalbare manier om de configuratie toe te passen. De implementatie begint met het aanmaken van een apparaatconfiguratieprofiel binnen de Microsoft Endpoint Manager-beheerconsole. Navigeer naar de sectie Apparaten en selecteer daar Configuratieprofielen. Maak een nieuw profiel aan en kies als platform Windows 10 en later, of specifiek Microsoft Edge als profieltype. Binnen dit profiel moet u zoeken naar de instelling EnableMediaRouter, die zich bevindt onder de categorie Browserinstellingen of Beveiligingsinstellingen. Stel deze instelling in op Uitgeschakeld, wat overeenkomt met de registerwaarde 0. Deze waarde zorgt ervoor dat de Google Cast-functionaliteit volledig wordt uitgeschakeld en dat gebruikers niet langer browserinhoud kunnen casten naar Chromecast-apparaten. Na het configureren van het profiel moet u dit toewijzen aan de relevante apparaten of gebruikersgroepen binnen de organisatie. De toewijzing kan gebeuren op basis van apparaatgroepen, gebruikersgroepen, of een combinatie van beide. Het is belangrijk om de toewijzing zorgvuldig te plannen om ervoor te zorgen dat alle relevante apparaten worden bereikt zonder onnodige configuraties toe te passen op apparaten waar dit niet nodig is. Voor organisaties met een on-premises Active Directory-omgeving biedt Groepsbeleidsobjecten een bewezen en betrouwbare methode voor het implementeren van deze beveiligingsmaatregel. De implementatie begint met het maken of bewerken van een Groepsbeleidsobject binnen de Group Policy Management Console. Navigeer naar Computerconfiguratie, vervolgens naar Beleid, en dan naar Beheersjablonen. Binnen deze structuur moet u zoeken naar de Microsoft Edge-sjablonen, die doorgaans beschikbaar zijn als ADMX-bestanden die moeten worden geïnstalleerd op de Group Policy Central Store. Zoek binnen de Edge-sjablonen naar de beleidsinstelling voor Media Router of EnableMediaRouter. Deze instelling bevindt zich meestal onder de categorie Beveiliging of Browserinstellingen. Stel de instelling in op Uitgeschakeld en sluit het dialoogvenster. Na het configureren van de GPO moet u deze koppelen aan de relevante organisatie-eenheden binnen Active Directory. De koppeling bepaalt op welke werkstations de configuratie wordt toegepast. Het is belangrijk om de organisatie-eenheden zorgvuldig te selecteren en rekening te houden met eventuele overerving van groepsbeleid. Na het koppelen van de GPO worden de wijzigingen automatisch doorgevoerd bij de volgende groepsbeleidsvernieuwing, die standaard elke 90 tot 120 minuten plaatsvindt. Voor een onmiddellijke toepassing kan de opdracht gpupdate /force worden uitgevoerd op de werkstations. Voor beide implementatiemethoden is het sterk aanbevolen om eerst een testgroep te configureren. Deze testgroep moet bestaan uit een beperkt aantal werkstations die representatief zijn voor de volledige omgeving. Door eerst te testen kunt u verifiëren dat de instelling correct wordt toegepast en dat er geen onverwachte gevolgen zijn voor de gebruikerservaring. Tijdens de testperiode moet u controleren of de configuratie daadwerkelijk actief is door de registerwaarde te verifiëren en door te testen of de Google Cast-functionaliteit inderdaad is uitgeschakeld. Let ook op eventuele gebruikersklachten of onverwachte gedragingen. Na succesvolle verificatie in de testomgeving kan de configuratie worden uitgerold naar de volledige organisatie. Deze uitrol moet gefaseerd gebeuren, waarbij eerst een grotere testgroep wordt geconfigureerd voordat de volledige implementatie plaatsvindt. Het bijgeleverde PowerShell-script kan worden gebruikt voor geautomatiseerde implementatie op individuele systemen of voor het verifiëren van de configuratie. Het script kan worden uitgevoerd als onderdeel van een grotere implementatieworkflow of kan worden gebruikt voor het oplossen van problemen op specifieke systemen.

Bewaking

Gebruik PowerShell-script google-cast-disabled.ps1 (functie Invoke-Monitoring) – Beheert Google Cast status.

Effectieve bewaking van de Google Cast-configuratie vormt een cruciaal onderdeel van een robuuste beveiligingsstrategie. Zonder adequate bewaking kunnen configuratiewijzigingen onopgemerkt blijven, waardoor de beveiligingsmaatregel zijn effectiviteit verliest. Het bewaken van deze instelling moet worden gezien als een continu proces dat regelmatig wordt uitgevoerd om te waarborgen dat de beveiligingsmaatregel consistent wordt toegepast op alle werkstations binnen de organisatie. De bewaking moet niet alleen controleren of de configuratie correct is toegepast, maar ook of deze configuratie actief blijft en niet wordt overschreven door andere instellingen of gebruikersacties. Het bewaken van deze instelling kan op verschillende manieren worden uitgevoerd, afhankelijk van de beschikbare tools en infrastructuur binnen de organisatie. Elke methode heeft zijn eigen voordelen en kan worden gecombineerd met andere methoden voor een uitgebreide bewakingsstrategie. Voor organisaties die gebruikmaken van Microsoft Intune, biedt de beheerconsole uitgebreide ingebouwde rapportagefunctionaliteit waarmee de naleving van configuratieprofielen op een gedetailleerde manier kan worden geverifieerd. Navigeer binnen de Microsoft Endpoint Manager-beheerconsole naar de sectie Apparaten en selecteer daar Configuratieprofielen. Selecteer het betreffende profiel dat de Google Cast-configuratie bevat om een uitgebreid overzicht te krijgen van de nalevingsstatus per apparaat. De rapportage toont niet alleen welke apparaten voldoen aan de configuratie, maar ook welke apparaten niet-nalevend zijn en waarom. Apparaten die niet voldoen aan de configuratie worden duidelijk gemarkeerd als niet-nalevend, wat onmiddellijke actie vereist van de IT-beheerder. De rapportage biedt ook inzicht in de redenen voor niet-naleving, zoals fouten bij het toepassen van de configuratie, conflicterende instellingen, of apparaten die niet correct zijn geregistreerd. Deze informatie is essentieel voor het effectief oplossen van nalevingsproblemen. De Intune-rapportage kan worden geëxporteerd voor verdere analyse of voor het documenteren van naleving tijdens audits. Voor on-premises omgevingen kan bewaking worden uitgevoerd via de Group Policy Management Console, waarbij de resultaten van groepsbeleidsevaluatie kunnen worden gecontroleerd. Deze console biedt inzicht in welke groepsbeleidsobjecten zijn toegepast op specifieke werkstations en of er eventuele fouten zijn opgetreden tijdens de toepassing. De Group Policy Results Wizard kan worden gebruikt om te simuleren welke beleidsinstellingen worden toegepast op een specifiek werkstation, wat nuttig is voor het oplossen van problemen. Daarnaast kunnen geavanceerde bewakingstools zoals Microsoft Endpoint Configuration Manager of System Center Operations Manager worden gebruikt om de registerwaarde op regelmatige basis te verifiëren. Deze tools bieden uitgebreide mogelijkheden voor het monitoren van configuraties op grote aantallen systemen en kunnen worden geconfigureerd om automatisch waarschuwingen te genereren wanneer afwijkingen worden gedetecteerd. De tools kunnen ook worden gebruikt voor het uitvoeren van geautomatiseerde compliance-scans en voor het genereren van rapporten over de nalevingsstatus van de organisatie. Het bijgeleverde PowerShell-script kan worden geïntegreerd in geautomatiseerde bewakingsoplossingen of worden uitgevoerd als onderdeel van periodieke beveiligingsaudits. Het script controleert de registerwaarde EnableMediaRouter en rapporteert de status op een gestructureerde manier, waardoor afwijkingen snel kunnen worden geïdentificeerd en geadresseerd. Het script kan worden uitgevoerd via Task Scheduler voor regelmatige controles, of kan worden geïntegreerd in grotere bewakingsworkflows. De output van het script kan worden gelogd voor historische analyse en kan worden gebruikt voor het genereren van compliance-rapporten. Het is sterk aanbevolen om deze bewaking minimaal maandelijks uit te voeren, of vaker in omgevingen met frequente configuratiewijzigingen of in omgevingen met verhoogde beveiligingsvereisten. In omgevingen waar beveiliging een kritieke prioriteit is, kan dagelijkse of wekelijkse bewaking worden overwogen. De frequentie van bewaking moet worden afgestemd op de specifieke behoeften en risicoprofiel van de organisatie. Eventuele afwijkingen die tijdens de bewaking worden gedetecteerd, moeten onmiddellijk worden onderzocht en gecorrigeerd om de beveiligingspostuur van de organisatie te handhaven. Het onderzoeken van afwijkingen moet niet alleen gericht zijn op het herstellen van de configuratie, maar ook op het begrijpen van de oorzaak van de afwijking om te voorkomen dat deze in de toekomst opnieuw optreedt.

Naleving en Controle

Het uitschakelen van Google Cast draagt op meerdere manieren bij aan de naleving van verschillende beveiligingsstandaarden en nalevingsvereisten die relevant zijn voor Nederlandse overheidsorganisaties en bedrijven. Deze beveiligingsmaatregel vormt een belangrijk onderdeel van een bredere strategie voor gegevensbescherming en informatiebeveiliging, en helpt organisaties om te voldoen aan zowel nationale als internationale standaarden en regelgeving. De CIS Microsoft Edge Benchmark, een erkende beveiligingsstandaard die wordt gebruikt door organisaties wereldwijd, bevat specifieke aanbevelingen voor het beveiligen van browserfunctionaliteiten. Deze benchmark benadrukt het belang van het beperken van onnodige communicatiekanalen om de aanvalsoppervlakte te verkleinen en het risico op gegevenslekken te verminderen. Door Google Cast uit te schakelen, volgt een organisatie deze best practice en draagt het bij aan een versterkte beveiligingspostuur. Het beperken van communicatiekanalen betekent dat er minder mogelijkheden zijn voor aanvallers om toegang te krijgen tot gevoelige informatie of om gegevens te exfiltreren. Door Google Cast uit te schakelen, wordt voorkomen dat browserinhoud onbedoeld wordt gedeeld met externe apparaten, wat een belangrijk aspect is van gegevenslekpreventie. Deze preventie is van cruciaal belang in een tijd waarin gegevenslekken steeds vaker voorkomen en steeds kostbaarder worden voor organisaties. Het voorkomen van onbedoelde gegevensuitwisseling helpt niet alleen om directe schade te voorkomen, maar ook om het vertrouwen van klanten en stakeholders te behouden. Voor organisaties die moeten voldoen aan de Algemene Verordening Gegevensbescherming (AVG), helpt deze maatregel bij het waarborgen van passende technische en organisatorische maatregelen voor gegevensbescherming, zoals vereist in artikel 32 van de AVG. Artikel 32 van de AVG vereist dat organisaties passende technische en organisatorische maatregelen nemen om persoonsgegevens te beschermen tegen ongeautoriseerde toegang, verlies, vernietiging of wijziging. Het uitschakelen van Google Cast kan worden gezien als een dergelijke technische maatregel die helpt om te voorkomen dat persoonsgegevens onbedoeld worden gedeeld met externe apparaten. Het voorkomen van onbedoelde gegevensuitwisseling via casting-functionaliteiten draagt direct bij aan de bescherming van persoonsgegevens en helpt organisaties om te voldoen aan hun verplichtingen onder de AVG. Bovendien kan het uitschakelen van Google Cast helpen bij het waarborgen van de vertrouwelijkheid van persoonsgegevens, wat een van de kernprincipes van de AVG is. Voor Nederlandse overheidsorganisaties die moeten voldoen aan de Baseline Informatiebeveiliging Overheid (BIO), is het beheersen van gegevensstromen een belangrijk aspect van informatiebeveiliging. De BIO vereist dat organisaties passende maatregelen nemen om informatie te beschermen en om te zorgen voor de beschikbaarheid, integriteit en vertrouwelijkheid van informatie. Het uitschakelen van Google Cast helpt bij het implementeren van passende controles voor gegevensclassificatie en toegangsbeheer, wat belangrijke aspecten zijn van de BIO. Door te voorkomen dat gegevens onbedoeld worden gedeeld met externe apparaten, draagt deze maatregel bij aan het waarborgen van de vertrouwelijkheid van informatie, wat een van de drie basisprincipes van informatiebeveiliging is volgens de BIO. Tijdens beveiligingsaudits kan worden geverifieerd dat deze configuratie actief is door het controleren van de registerwaarde of via Intune-nalevingsrapportage. Auditors kunnen de registerwaarde EnableMediaRouter controleren om te verifiëren dat deze is ingesteld op 0, wat aangeeft dat Google Cast is uitgeschakeld. Voor organisaties die gebruikmaken van Intune, kunnen auditors de nalevingsrapportage raadplegen om te zien welke apparaten voldoen aan de configuratie en welke niet. Deze verificatie is essentieel voor het aantonen van naleving tijdens externe audits of certificeringsprocessen. Auditlogboeken moeten worden bijgehouden om aan te tonen dat de configuratie consistent wordt toegepast en dat eventuele afwijkingen worden gecorrigeerd. Deze logboeken moeten informatie bevatten over wanneer de configuratie is toegepast, welke apparaten zijn geconfigureerd, en welke acties zijn ondernomen wanneer afwijkingen werden gedetecteerd. De logboeken moeten ook informatie bevatten over eventuele wijzigingen aan de configuratie en de redenen voor deze wijzigingen. Deze documentatie is essentieel voor het aantonen van naleving tijdens externe audits of certificeringsprocessen, en kan ook worden gebruikt voor interne beoordelingen van de beveiligingspostuur van de organisatie. Goede documentatie helpt niet alleen bij het aantonen van naleving, maar ook bij het identificeren van verbeterpunten en bij het plannen van toekomstige beveiligingsmaatregelen.

Remediatie

Gebruik PowerShell-script google-cast-disabled.ps1 (functie Invoke-Remediation) – Herstellen.

Wanneer bewaking aangeeft dat de Google Cast-configuratie niet correct is toegepast op bepaalde werkstations, moet onmiddellijk worden overgegaan tot remediatie om de beveiligingspostuur te herstellen. Elke afwijking vormt een potentieel beveiligingsrisico en moet daarom snel worden aangepakt. Het remediatieproces is een gestructureerd proces dat begint met het identificeren van de oorzaak van de afwijking. Deze identificatie is essentieel omdat verschillende oorzaken verschillende remediatiestrategieën vereisen. Mogelijke oorzaken kunnen zijn: lokale wijzigingen door gebruikers met beheerdersrechten, conflicterende groepsbeleidsinstellingen, fouten in de configuratie-implementatie, of problemen met de beheerinfrastructuur. Het identificeren van de oorzaak vereist vaak een grondige analyse van de configuratiegeschiedenis, de gebruikersrechten, en de beheerinfrastructuur. Voor werkstations die beheerd worden via Microsoft Intune, kan de remediatie op verschillende manieren worden uitgevoerd, afhankelijk van de specifieke situatie. De eerste stap is meestal het opnieuw toewijzen van het configuratieprofiel aan het betreffende apparaat. Dit kan worden gedaan door het profiel te bewerken en opnieuw toe te wijzen, of door het apparaat te verwijderen uit de toewijzing en het vervolgens opnieuw toe te voegen. Een andere methode is het dwingen van het apparaat om de configuratie opnieuw te evalueren via de actie Configuratie synchroniseren in de beheerconsole. Deze actie zorgt ervoor dat het apparaat onmiddellijk contact opneemt met Intune en de configuratie opnieuw ophaalt en toepast. Als deze methoden niet tot het gewenste resultaat leiden, kan het nodig zijn om het apparaat opnieuw te registreren in Intune. Dit proces verwijdert het apparaat uit Intune en registreert het opnieuw, wat alle configuraties opnieuw toepast. Als laatste redmiddel kan de registerwaarde handmatig worden gecorrigeerd op het betreffende werkstation. Deze handmatige correctie moet echter worden gezien als een tijdelijke oplossing, omdat het niet de onderliggende oorzaak van het probleem aanpakt. Voor on-premises omgevingen kan de remediatie worden uitgevoerd door het geforceerd vernieuwen van groepsbeleid op het betreffende werkstation met behulp van de opdracht gpupdate /force. Deze opdracht dwingt het werkstation om onmiddellijk contact op te nemen met de domain controller en alle groepsbeleidsobjecten opnieuw te evalueren en toe te passen. Als de afwijking blijft bestaan na het geforceerd vernieuwen van groepsbeleid, moet worden gecontroleerd of er lokale registerwijzigingen zijn aangebracht die de groepsbeleidsinstelling overschrijven. Lokale registerwijzigingen kunnen worden aangebracht door gebruikers met beheerdersrechten of door software die registerinstellingen wijzigt. In dergelijke gevallen kan het nodig zijn om de registerwaarde handmatig te corrigeren of om gebruikersrechten te beperken om toekomstige wijzigingen te voorkomen. Het beperken van gebruikersrechten kan worden gedaan door gebruikers te verwijderen uit lokale beheerdersgroepen of door Group Policy te gebruiken om specifieke registerpaden te beschermen tegen wijzigingen. Het bijgeleverde PowerShell-script kan worden gebruikt voor geautomatiseerde remediatie op individuele systemen of kan worden geïntegreerd in een grotere remediatieworkflow. Het script kan worden uitgevoerd via Task Scheduler, via een centrale beheeroplossing, of handmatig wanneer een afwijking wordt gedetecteerd. Het script voert de benodigde registerwijzigingen uit en rapporteert het resultaat, waardoor het proces kan worden geautomatiseerd en gestandaardiseerd. Na het uitvoeren van de remediatie moet altijd worden geverifieerd dat de configuratie correct is toegepast door de registerwaarde opnieuw te controleren. Deze verificatie moet niet alleen controleren of de registerwaarde correct is ingesteld, maar ook of de Google Cast-functionaliteit daadwerkelijk is uitgeschakeld. Het is belangrijk om te wachten tot de configuratie volledig is toegepast voordat de verificatie wordt uitgevoerd, omdat sommige wijzigingen tijd nodig hebben om effect te hebben. Het is cruciaal om de oorzaak van de afwijking te documenteren en, indien nodig, aanvullende maatregelen te nemen om te voorkomen dat dezelfde afwijking opnieuw optreedt. Deze documentatie moet informatie bevatten over wat de afwijking was, wat de oorzaak was, welke remediatieacties zijn ondernomen, en welke preventieve maatregelen zijn genomen. Deze informatie is waardevol voor het verbeteren van de beveiligingsprocessen en voor het voorkomen van toekomstige problemen. Preventieve maatregelen kunnen zijn: het beperken van gebruikersrechten, het verbeteren van de beheerinfrastructuur, of het implementeren van aanvullende bewakingsmaatregelen.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Edge Security: Google Cast Disabled .DESCRIPTION CIS - Google Cast moet disabled zijn in enterprise. .NOTES Filename: google-cast-disabled.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Edge\EnableMediaRouter|Expected: 0 #> #Requires -Version 5.1 #Requires -RunAsAdministrator [CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert) $ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge"; $RegName = "EnableMediaRouter"; $ExpectedValue = 0 function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) } function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "google-cast-disabled.ps1"; PolicyName = "Google Cast Disabled"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; if (-not(Test-Path $RegPath)) { $r.Details += "Niet geconfigureerd"; return $r }; try { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop; $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Google Cast disabled" }else { $r.Details += "Google Cast enabled" } }catch { $r.Details += "Niet geconfigureerd" }; return $r } function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Google Cast disabled" -ForegroundColor Green } function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r } function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue } try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }

Risico zonder implementatie

Risico zonder implementatie
Low: Laag gegevenslekrisico via casting naar niet-geautoriseerde schermen.

Management Samenvatting

Schakel Google Cast uit om gegevenslekken te voorkomen. Implementatie: 30 minuten.