L2 BIO 12.06.01 CIS Edge Security

Headless Mode Uitgeschakeld

📅 2025-10-30
⏱️ 12 minuten lezen
🟢 Should-Have

💼 Management Samenvatting

Het uitschakelen van de headless modus in Microsoft Edge is een directe maatregel om te voorkomen dat kwaadwillenden de browser op de achtergrond inzetten voor ongeziene activiteiten. In de context van Nederlandse overheidsorganisaties waar digitale dienstverlening 24/7 doorgaat, vormt elke vorm van onzichtbare automatisering een risico voor gegevensintegriteit, vertrouwelijkheid en publieke verantwoording. Door headless functionaliteit standaard te blokkeren, verplicht je elke geautomatiseerde interactie om zichtbaar en controleerbaar te verlopen, waardoor security operations exact weten welke processen door mensen worden gestart en welke door beheerde automatiseringsplatformen lopen. Deze controle zorgt ervoor dat endpoints eenvoudiger te auditen zijn, verdachte processen sneller worden gestopt en gebruikers vertrouwen houden in de digitale werkplek.

Aanbeveling
IMPLEMENT
Risico zonder
Medium
Risk Score
5/10
Implementatie
1u (tech: 0.5u)
Van toepassing op:
Edge

De headless modus van Edge draait de browser zonder interface, wat test- en automatiseringsscenario's mogelijk maakt maar ook aantrekkelijk is voor botnets en schadelijke scripts. Aanvallers gebruiken headless browsers om loginpagina's razendsnel te doorlopen, misbruik te maken van single sign-on cookies en CAPTCHAs te omzeilen zonder zichtbare vensters die door gebruikers worden opgemerkt. In een rijksoverheidsdomein kan dezelfde techniek worden ingezet om vertrouwelijke beleidsinformatie van interne portalen te scrapen, om burgerportalen met credential stuffing te belasten of om door beveiligingsmaatregelen heen te breken die afhankelijk zijn van gebruikersinteractie. Omdat headless processen vaak draaien onder reguliere gebruikerscontexten, worden ze niet altijd opgemerkt door traditionele endpoint-detectie die zich richt op afwijkende applicaties of services. Bovendien worden logging- en audittrailcapaciteiten beperkt doordat er geen directe gebruikerssessie zichtbaar is. Vanuit AVG- en BIO-perspectief vergroot headless gebruik de kans dat persoonsgegevens worden gekopieerd buiten reguliere processtromen en dat er datalekken ontstaan die pas laat worden ontdekt. Door de modus te blokkeren, dwing je organisaties om gecontroleerde automation pipelines te gebruiken, bijvoorbeeld via beheerde serviceaccounts, waardoor elke geautomatiseerde activiteit traceerbaar is en risico's rond heimelijke scraping of verborgen data-exfiltratie worden uitgebannen.

PowerShell Modules Vereist
Primary API: Intune/GPO
Connection: N/A
Required Modules:

Implementatie

Deze maatregel configureert het beleid "HeadlessMode" in Microsoft Edge naar waarde 2 via een Intune device configuration-profiel of een gelijkwaardige GPO-instelling, waardoor de browser geen sessies kan starten zonder gebruikersinterface. In de registry wordt de sleutel `HKLM\SOFTWARE\Policies\Microsoft\Edge\HeadlessMode` beheerd, aangevuld met verificatiescripts die controleren of lokale overrides ontbreken. Het bijbehorende PowerShell-script registreert de instelling, voert compliance-rapportage uit en biedt een gecontroleerd pad om uitzonderingen tijdelijk in te schakelen binnen ontwikkelomgevingen. Door beheer en handhaving centraal te organiseren, blijft elk endpoint aantoonbaar conform en kan het securityteam afwijkingen onmiddellijk blokkeren.

Vereisten

De implementatie van een beleid dat de headless modus van Microsoft Edge uitschakelt vraagt om een eenduidige technische basis waarin apparaatbeheer, identiteitsbeheer en automatisering nauw samenwerken. Organisaties dienen Microsoft Intune of een gelijkwaardig beheerplatform in te richten als gezaghebbende bron voor Edge-beleidsinstellingen, inclusief een actuele licentieconfiguratie die device configuration profielen toestaat. Voor scenario's waarin Group Policy nog wordt gebruikt, moeten de ADMX-sjablonen voor de nieuwste Edge-versie zijn geïmporteerd, zodat het HeadlessMode-registerpad beschikbaar is. Alle beheerde werkstations moeten worden voorzien van consistente versiebeheerafspraken: gelijke Edge-builds, recente Windows-updates en gecontroleerde lokale administratorsrechten. De PowerShell-scripts binnen Nederlandse Baseline voor Veilige Cloud vertrouwen op het Microsoft.Graph module-ecosysteem en op een robuuste WinRM-configuratie; daardoor moeten beheerdersstations zijn uitgerust met moderne PowerShell 7-installaties, de Microsoft.Graph.Authentication module en een service principal of beheerdersaccount met DeviceManagementConfiguration.ReadWrite.All. Daarnaast hoort bij de voorbereiding een inventarisatie van alle device compliance policies, omdat inconsistenties tussen security baselines en maatwerkprofielen kunnen leiden tot conflict policies. Iedere tenant moet vooraf een export maken van bestaande Edge-instellingen zodat regressies kunnen worden teruggedraaid. Ook dienen beheerders controle te houden over lokale registry overrides; dat betekent dat configuraties die via software deployment tools worden uitgestuurd van tevoren moeten worden opgeschoond. Door deze controles te combineren ontstaat een betrouwbare basis waarop headless blokkades succesvol landen. Tot dezelfde voorbereiding behoort het opzetten van een dedicated testtenant waarin wijzigingen eerst in isolatie kunnen worden gevalideerd, zodat productieomgevingen nooit fungeren als proeftuin. Naast de technische bouwstenen is een degelijke identity- en toegangsstrategie noodzakelijk om te voorkomen dat headless toegang via beheeraccounts alsnog wordt toegestaan. Het principe van minimale bevoegdheden geldt zowel voor Intune-rollen als voor Graph-app-registraties, en vereist dat ieder account periodiek wordt gerecenseerd volgens BIO-controle 9.02.02. Documenteer welke medewerkers beleidswijzigingen mogen publiceren, welke serviceaccounts scripts draaien en hoe sleutelrotatie verloopt. Koppel deze afspraken aan conditional access beleidsregels zodat alleen beheerde werkstations met sterke authenticatie wijzigingsrechten krijgen. Ook netwerkcomponenten vragen aandacht: apparaten moeten kunnen communiceren met de Microsoft Endpoint Manager-service, Windows Update-endpoints en interne configuratierepositories. Als netwerksegmenten streng zijn afgesloten, moeten firewallregels expliciet worden vrijgegeven zodat synchronisatie van policy XML-bestanden gegarandeerd is. Voor hybride scenario's waarin apparaten nog on-premises domain joined zijn, moeten Azure AD Connect en device write-back processen gezond zijn zodat policy targeting exact weet welke endpoints synchroniseren. Maak gebruik van dynamische Azure AD-groepen die filteren op besturingssysteem, Edge-versie en apparaatrol zodat uitzonderingen expliciet worden beheerd. Het securityteam moet bovendien beschikken over een goedgekeurd sleutelbeheerproces voor de certificaten die door de automatiseringsscripts worden gebruikt. Voor detectielogging moet men afspraken maken over welke gegevens naar Log Analytics of Sentinel worden gestuurd, zodat afwijkingen in één oogopslag zichtbaar worden. Door deze randvoorwaarden vroegtijdig vast te leggen, wordt het beheerteam niet verrast door ontbrekende permissies of netwerkblokkades zodra de uitrol start. Tot slot moet de organisatie de adoptie van dit beleid voorbereiden met duidelijke communicatie richting gebruikers, leveranciers en ontwikkelteams. Hoewel eindgebruikers de headless modus niet actief gebruiken, kunnen ontwikkelteams of leveranciers deze functie wel hebben ingezet voor geautomatiseerde tests, waardoor een impactanalyse verplicht is. Inventariseer daarom welke interne applicaties headless browsers gebruiken en bied alternatieven zoals gecontaineriseerde pipelines met goedgekeurde serviceaccounts. Stel een change calendar op waarin de publicatiemomenten, terugvalscenario's en communicatieboodschappen zijn vastgelegd, en borg dat het CAB het besluit formeel bekrachtigt. Zorg dat het incident response plan beschrijft hoe met uitzonderingsverzoeken wordt omgegaan, hoe tijdelijke vrijstellingen worden geregistreerd en hoe ze automatisch vervallen na evaluatie. Voeg aan de projectdocumentatie toe welke logging wordt aangezet, welke audit-eisen gelden en welk bewijsmateriaal moet worden behouden om naleving van de BIO-controles aan te tonen. Trainingen voor servicedeskmedewerkers moeten nadruk leggen op het herkennen van foutcodes die ontstaan wanneer ontwikkelaars alsnog proberen headless functies op te starten, zodat tickets snel kunnen worden toegewezen. Documenteer tenslotte welke communicatiemiddelen worden ingezet en hoe vragen worden teruggekoppeld naar het securityteam. Door adoptieactiviteiten te combineren met technische readiness ontstaat een gedeeld begrip waarom de maatregel essentieel is voor de bescherming van staatsgevoelige informatie.

Implementatie

De implementatie start met het vastleggen van het gewenste beleid in Microsoft Intune of via een beheerde GPO, waarbij het Edge-beleid "HeadlessMode" op waarde 2 wordt gezet en gekoppeld aan de juiste scope tags. IT-beheerders gebruiken het script `code/edge/security/headless-mode-disabled.ps1` om het device configuration-profiel aan te maken, omdat het script automatisch de juiste OMA-URI, beschrijvende metadata en toewijzing naar dynamische groepen configureert. Documenteer in dezelfde stap welke fallback-configuraties beschikbaar zijn voor uitzonderingssystemen, bijvoorbeeld ontwikkelservers waarop headless testen tijdelijk noodzakelijk zijn. Het script valideert tevens of het registry-pad `HKLM\SOFTWARE\Policies\Microsoft\Edge` reeds bestaat en of er geen conflicterende waarden actief zijn, zodat dubbele policies worden vermeden. Het is verstandig om parallel een GPO-template te exporteren voor scenario's waarin apparaten tijdelijk offline zijn ten opzichte van Intune maar wel domeingebonden blijven. Leg alle instellingen vast in versiebeheer zodat precies duidelijk is welke parameter met welke versie correspondeert en zodat een rollback binnen minuten kan worden uitgevoerd. Na de initiële configuratie volgt een uitgebreide testfase die begint in een gecontroleerde labomgeving. Hier wordt het beleid toegepast op referentieapparaten met verschillende Windows-releases, Edge-channels (Stable, Extended Stable en LTSC) en hardwareprofielen. Beheerders verifiëren dat automatiseringsscripts, Selenium-testen of legacy-apps die headless modus probeerden te starten nu duidelijke foutmeldingen geven, zodat gebruikers begrijpen waarom een proces stopt. Tegelijkertijd worden logboeken verzameld uit Event Viewer, Defender for Endpoint en Intune policy reports om te controleren of de wijziging geen onverwachte vertragingen inlogprocedures veroorzaakt. Testcases moeten ook scenario's omvatten waarin kwaadwillende scripts headless processen proberen te starten via command-line switches; het beleid hoort deze pogingen te blokkeren en een consistente foutcode te registreren. Voer negatieve tests uit waarbij een beheerder bewust probeert de registrywaarde te wijzigen, zodat je verifieert dat het script de wijziging onmiddellijk terugzet en een melding verstuurt. Wanneer het beleid klaarstaat, start een gefaseerde uitrol volgens het change- en releaseplan. Begin met een pilotgroep die bestaat uit security operations, servicedesk en een kleine representatieve set medewerkers van beleidsafdelingen. Deze groep ontvangt een briefing over het doel, de verwachte meldingen en de wijze waarop uitzonderingen kunnen worden aangevraagd. Feedback uit de pilot wordt verwerkt in het script zodat logging, notificaties of foutafhandeling worden verbeterd. Pas na minimaal twee succesvolle evaluatiemomenten wordt de configuratie toegewezen aan bredere dynamische groepen, waarbij elke stap wordt voorzien van een go/no-go-besluit door het CAB. Gedurende deze fase wordt Intune Compliance Reporting gebruikt om te bevestigen dat minstens 95% van de apparaten het beleid binnen 24 uur heeft opgehaald en dat achterblijvers gericht worden opgevolgd door de servicedesk. Tijdens de productie-uitrol wordt het script opnieuw ingezet voor periodieke validatie. Het Invoke-Remediation-gedeelte kan volgens een geplande taak draaien en vergelijkt de daadwerkelijke registrywaarde met de verwachte configuratie. Indien afwijkingen worden gedetecteerd, schrijft het script de correcte waarde terug en rapporteert het incident via een Teams-webhook of e-mail aan het securityteam. Documenteer elke terugzetactie zodat lessons learned kunnen worden toegevoegd aan het configuratiebeheerplan. Voor apparaten die niet langer onder beheer staan, wordt het beleid afgedwongen tijdens het offboarden: het script verwijdert headless permissies voordat het device uit Intune wordt verwijderd. Door runbooks voor deze stappen beschikbaar te maken in het kennisportaal borg je dat nieuwe beheerders dezelfde kwaliteitsstandaard aanhouden en dat het beheer niet afhankelijk is van individuele experts.

Gebruik PowerShell-script headless-mode-disabled.ps1 (functie Invoke-Remediation) – PowerShell-script voor configuratie en gefaseerde uitrol van het headless-mode-beleid.

Monitoring

Monitoring van de headless modus begint met het combineren van telemetrie uit Intune, Defender for Endpoint en Azure Monitor zodat het securityteam real-time inzicht heeft in de status van elk apparaat. In Intune wordt een custom rapport opgebouwd dat de naleving van het specifieke policy-ID toont en afwijkingen markeert zodra een apparaat langer dan twee synchronisatiecycli achterblijft. Defender for Endpoint wordt benut om procescreatie-events te analyseren; wanneer een Edge-executable met de parameter `--headless` of `--disable-gpu` wordt aangeroepen, ontstaat een waarschuwing die direct verwijst naar het betreffende apparaat en de gebruiker. Door deze datasets te koppelen in een Power BI-dashboard krijgen CISO's inzicht in geografische spreiding, trends per organisatieonderdeel en het aantal automatische remediaties dat per week wordt uitgevoerd. Dit dashboard vormt tevens de basis voor rapportages aan directies en auditcommissies. Voeg aan hetzelfde dashboard service level-indicatoren toe, zoals de gemiddelde tijd tot detectie en het percentage apparaten dat binnen 4 uur is gecorrigeerd, zodat management de effectiviteit van het programma objectief kan beoordelen. Naast rapportages is actieve detectie nodig om afwijkingen vroegtijdig te onderscheppen. Het monitoringgedeelte van het script controleert via een geplande taak of de registrywaarde ongewijzigd blijft, of dat lokale beheerders alsnog een override proberen te zetten. Resultaten worden geschreven naar een centrale Log Analytics workspace, waar Kusto-queries afwijkingen correleren met andere signalen zoals verdachte PowerShell-activiteit of ongebruikelijke netwerkverbindingen naar scrapingdoelen. Het is raadzaam om automatische tickets in ITSM te laten aanmaken wanneer dezelfde machine binnen 30 dagen meerdere keren wordt gecorrigeerd; dit wijst vaak op niet-geregistreerde automation of op kwaadwillende experimenten. Door deze signalen te prioriteren binnen het SOC-werkproces kan de maatregel onderdeel worden van de standaard threat-huntingcyclus. Integreer bovendien Microsoft Sentinel playbooks om notificaties naar het CERT of naar verantwoordelijke product owners te sturen zodra een drempelwaarde wordt overschreden. Monitoring stopt niet bij techniek; gebruikersfeedback en leveranciersbeoordelingen zijn even belangrijk. Verzamel structureel reacties van ontwikkelteams en ketenpartners om te bepalen of kritieke processen hinder ondervinden, en gebruik deze input om legitieme uitzonderingen tijdelijk toe te staan met aanvullende compensatiemaatregelen zoals strengere logging. Leg alle monitoringresultaten vast in een kwartaalrapport waarin naast naleving ook lessons learned, uitzonderingsdossiers en geplande verbeteringen staan. Dit rapport moet aantonen dat de organisatie controle houdt over geautomatiseerde browseractiviteiten en kan onderbouwen dat het aantal verdachte automatiseringspogingen daadwerkelijk afneemt. Documenteer ook hoe lang logs beschikbaar blijven, welke bewaartermijnen zijn afgesproken en hoe toegang tot monitoringdata wordt ingeregeld conform AVG-principes. Door monitoring te koppelen aan prestatie-indicatoren, zoals het percentage automatisch herstelde afwijkingen of de gemiddelde detectietijd, ontstaat een cultuur van continue verbetering.

Gebruik PowerShell-script headless-mode-disabled.ps1 (functie Invoke-Monitoring) – Monitoringfunctie registreert naleving en publiceert signalen naar Log Analytics en ITSM.

Compliance en Auditing

Het uitschakelen van de headless modus ondersteunt meerdere compliance-kaders die voor Nederlandse overheidsorganisaties verplicht zijn. Binnen de BIO sluit de maatregel rechtstreeks aan op controle 12.06 (beheer van technische kwetsbaarheden) en 13.01 (beveiliging van applicaties), omdat het principe van minimale functionaliteit wordt afgedwongen. Dezelfde configuratie helpt bij de implementatie van NIS2-maatregelen rond risico-gebaseerd assetbeheer, waar het beperken van geautomatiseerde toegang tot vitale systemen een expliciete eis is. Voor AVG-doeleinden vermindert het blokkeren van headless toegang de kans dat persoonsgegevens buiten formele processen worden gekopieerd, waardoor je de beginselen van doelbinding en gegevensminimalisatie actief ondersteunt. Ook de Baseline Informatiebeveiliging Rijk (BIR) en ISO 27001-controles A.12.1 en A.14.2 worden beter ingevuld doordat de maatregel aantoont dat ontwikkel- en productieomgevingen van elkaar worden gescheiden en dat geautomatiseerde scripts alleen binnen gecontroleerde pipelines mogen draaien. Voor organisaties die vallen onder de Wet digitale overheid of eIDAS-verplichtingen toont dit beleid bovendien aan dat vertrouwensdiensten worden beschermd tegen ongeautoriseerde automatisering. Compliance vereist meer dan alleen techniek, daarom moet elke organisatie een volledig auditspoor opbouwen rondom dit beleid. Documenteer de besluitvorming binnen het CAB, koppel het aan het risicoregister en leg vast hoe uitzonderingen worden verleend, inclusief duur, verantwoordelijke manager en compensatiemaatregelen. Bewaar exports van Intune-policyversies, scriptuitvoerlogs en registry-rapportages minimaal zeven jaar zodat audits achteraf kunnen verifiëren welke configuratie op welk moment gold. Voeg aan het informatiebeveiligingsplan toe hoe deze maatregel aansluit op continuïteitsplannen: wanneer een crisisorganisatie tijdelijk automatisering nodig heeft, moet duidelijk zijn wie toestemming geeft en hoe die toestemming wordt ingetrokken. Beschrijf ook welke steekproeven auditors kunnen uitvoeren (bijvoorbeeld het live uitvragen van de registry via remote tooling) zodat verificaties reproduceerbaar zijn. Door dit proces nauwgezet te beschrijven kunnen auditors snel valideren dat governance effectief is en dat de organisatie aantoonbaar in control is. Tot slot heeft compliance een externe dimensie. Contracten met leveranciers van test- of scrapingdiensten moeten expliciet vermelden dat ongeautoriseerde headless sessies niet zijn toegestaan en dat alternatieve testmethoden via gesanctioneerde infrastructuur moeten lopen. Bij ketenverantwoordelijkheid binnen de digitale overheid is het essentieel dat ook verbonden organisaties kunnen aantonen dat zij vergelijkbare controls hebben ingericht. Neem deze eis op in leveranciersbeoordelingen en laat periodieke assurance-verklaringen ondertekenen waarin partners bevestigen dat zij geen ongeautoriseerde headless processen uitvoeren op systemen met overheidsdata. Gebruik de monitoringrapportages als bewijsstuk tijdens periodieke assurance-sessies en deel indicatoren over incidenten, zodat afwijkingen vroegtijdig in de keten worden gecorrigeerd. Zo ontstaat een aantoonbaar consistent beveiligingsniveau binnen de gehele keten en voldoen organisaties aan de transparantie-eisen van NIS2 en de Richtlijn Open Overheid.

Remediatie

Een effectief remediatieproces begint met het snel herkennen van afwijkingen en het classificeren van de oorzaak voordat corrigerende acties worden uitgevoerd. Wanneer monitoring aangeeft dat een apparaat headless modus opnieuw heeft ingeschakeld, controleert het SOC eerst of het gaat om een geautoriseerde uitzondering, een mislukte synchronisatie of een mogelijke aanval. Deze triage gebruikt signalen uit Intune, Defender for Endpoint, Azure AD auditlogs en change logs om te bepalen of er sprake is van opzet of van technische fout. Apparaten die buiten beheer zijn geraakt worden onmiddellijk in quarantaine geplaatst en verplicht opnieuw ingeschreven, terwijl verdachte gebruikersactiviteiten worden gemeld aan het CERT-team. Documenteer in runbooks welke rollen verantwoordelijk zijn voor elke stap, zodat zowel eerstelijns servicedesk als derdelijns security engineers weten wanneer zij moeten ingrijpen. Het remediatiescript in `code/edge/security/headless-mode-disabled.ps1` biedt zowel automatische herstelacties als logging voor forensisch onderzoek. Via de functie `Invoke-Remediation` wordt eerst een back-up van de relevante registry-sleutels gemaakt, vervolgens wordt het beleid herschreven naar de juiste waarde en wordt gecontroleerd of er geplande taken of services bestaan die headless processen opnieuw proberen te starten. Indien dergelijke artefacten worden gevonden, kan het script optioneel deze taken verwijderen of uitschakelen en het resultaat rapporteren aan een Log Analytics workspace. Voor apparaten die tijdelijk offline zijn, genereert het script een taak die bij de volgende verbinding automatisch wordt uitgevoerd, zodat geen enkel device aan het beveiligingsnet ontsnapt. Dezelfde functie kan worden uitgebreid met hash-controles op Edge-binaries om te verifiëren dat er geen ongeautoriseerde wijzigingen in de installatie zijn aangebracht. Deze aanpak minimaliseert handmatige inspanning en verzekert dat herstel consistent verloopt over honderden apparaten. Na iedere remediatie is grondige documentatie en follow-up noodzakelijk. Het incident wordt geregistreerd in het ITSM-systeem inclusief tijdstempel, betrokken apparaat, genomen maatregelen en een verwijzing naar eventuele forensische bevindingen. Root-cause-analyses bepalen of aanvullende maatregelen nodig zijn, bijvoorbeeld het intrekken van lokale adminrechten, het blokkeren van een problematische applicatie of het aanscherpen van ontwikkelrichtlijnen. Lessons learned worden gedeeld met het CAB en verwerkt in het security awareness-programma, zodat gebruikers begrijpen dat headless blokkades bewust zijn ingevoerd. Sluit het proces af met een controle of auditbewijzen zijn bijgewerkt en of exception registers zijn opgeschoond. Door deze cyclus te sluiten ontstaat een continu verbeterproces en is de organisatie aantoonbaar in control wanneer auditors of toezichthouders vragen hoe headless misbruik structureel wordt voorkomen.

Gebruik PowerShell-script headless-mode-disabled.ps1 (functie Invoke-Remediation) – Automatische herstelroutine die registrywaarden corrigeert en uitzonderingen logt.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Edge Security: Headless Mode Disabled .DESCRIPTION CIS - Headless mode moet disabled zijn (automation/bot risk). .NOTES Filename: headless-mode-disabled.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Edge\HeadlessMode|Expected: 2 (disabled) #> #Requires -Version 5.1 #Requires -RunAsAdministrator [CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert) $ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge"; $RegName = "HeadlessMode"; $ExpectedValue = 2 function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) } function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "headless-mode-disabled.ps1"; PolicyName = "Headless Mode Disabled"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; if (-not(Test-Path $RegPath)) { $r.Details += "Niet geconfigureerd"; return $r }; try { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop; $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Headless mode disabled" }else { $r.Details += "Headless mode enabled" } }catch { $r.Details += "Niet geconfigureerd" }; return $r } function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Headless mode disabled" -ForegroundColor Green } function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r } function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue } try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }

Risico zonder implementatie

Risico zonder implementatie
Medium: Medium risico op automated attacks en bot activity via headless browser mode.

Management Samenvatting

Schakel headless mode uit voor eindgebruikers. Voorkomt automation misbruik. Implementatie: 30 minuten.