BIO 11.01.02 ISO A.10.1.1

Microsoft Edge: HTTP-authenticatie Uitschakelen Voor HTTPS-enforcement

πŸ“… 2025-10-31
β€’
⏱️ 7 minuten lezen
β€’
πŸ”΄ Must-Have

πŸ’Ό Management Samenvatting

Uitschakelen van HTTP-authenticatie in Microsoft Edge dwingt alle credential submissions via HTTPS af, wat Man-in-the-Middle attacks voorkomt door credentials over plaintext HTTP te blokkeren en credential theft via network sniffing te elimineren.

Aanbeveling
IMPLEMENT
Risico zonder
Hoog
Risk Score
8/10
Implementatie
40u (tech: 16u)
Van toepassing op:
βœ“ Microsoft Edge
βœ“ Edge for Business

HTTP Basic Authentication en andere authenticatieschema's over plaintext HTTP zijn een kritieke security vulnerability waarbij credentials in leesbaar formaat over het netwerk worden verzonden. Zonder HTTPS-enforcement zijn credentials kwetsbaar voor: HTTP Basic Auth credential leakage - credentials worden base64-encoded (NIET encrypted) verzonden over plaintext HTTP, elke network sniffer (Wireshark, tcpdump) kan credentials intercepteren; NTLM hash exposure over HTTP - NTLM authentication over HTTP lekt NTLM hashes die vatbaar zijn voor pass-the-hash attacks; Man-in-the-Middle attacks - aanvallers op public WiFi kunnen HTTP traffic intercepteren en credentials stelen (bijv. Starbucks WiFi, hotel netwerken, airports); Corporate credential theft - NTLM hashes van corporate accounts kunnen worden gestolen en gebruikt voor lateral movement in internal networks; Replay attacks - captured HTTP authentication headers kunnen worden gereplayd om unauthorized access te krijgen; Session hijacking - HTTP authentication tokens (Bearer tokens, cookies) kunnen worden gestolen en gebruikt voor account takeover; Compliance violations - PCI-DSS, HIPAA, GDPR verbieden plaintext credential transmission. ReΓ«le scenario: Gebruiker op public WiFi β†’ Website gebruikt HTTP Basic Auth β†’ Attacker runs Wireshark β†’ Credentials captured in plaintext β†’ Account compromised. Door HTTP authenticatie uit te schakelen, MUST alle authentication via HTTPS gebeuren, waardoor credentials encrypted zijn via TLS en MITM attacks gefrustreerd worden.

PowerShell Modules Vereist
Primary API: Microsoft Intune / Group Policy
Connection: Windows Registry
Required Modules: Windows PowerShell 5.1 of hoger

Implementatie

Deze control configureert Edge policy om HTTP-based authentication schemas te blokkeren via registry instelling HKLM:\SOFTWARE\Policies\Microsoft\Edge\BasicAuthOverHttpEnabled = 0 (disabled) en AuthSchemes policy voor HTTPS-only enforcement. Blocked authentication schemes over HTTP: Basic Authentication (username:password in base64), Digest Authentication (MD5 hashed credentials), NTLM (NT LAN Manager hash), Negotiate (Kerberos/NTLM). Wanneer uitgeschakeld: Edge blokkeert ALL authentication prompts over plaintext HTTP, Authentication ALLEEN toegestaan via HTTPS (TLS encrypted), Websites zonder HTTPS support FALEN authentication (security over availability), Users krijgen error message 'This site requires secure authentication (HTTPS)', Corporate websites MOETEN HTTPS implementeren voor authentication. Allowed scenarios: HTTPS authentication (TLS encrypted credentials), Localhost authentication (127.0.0.1 voor development), Certificate-based authentication (mutual TLS).

Vereisten

Voor implementatie van HTTP authentication blocking zijn de volgende voorwaarden vereist:

  1. Microsoft Edge versie 77 of nieuwer (Chromium-based)
  2. Windows 10/11 met administrator rechten voor policy configuratie
  3. Group Policy Management of Microsoft Intune voor centraal beheer
  4. Corporate HTTPS infrastructure - ALLE internal webapps MOETEN HTTPS ondersteunen
  5. Valid TLS certificates voor internal websites (niet self-signed, tenzij corporate CA in trust store)
  6. Inventarisatie van legacy applications die mogelijk HTTP authentication gebruiken
  7. Migration plan voor legacy HTTP-only applications naar HTTPS
  8. Incident response procedures voor authentication failures na deployment

Implementatie

Gebruik PowerShell-script http-authentication-disabled.ps1 (functie Invoke-Implementation) – Implementeren.

De implementatie van HTTP authentication blocking gebeurt via Group Policy of Microsoft Intune door BasicAuthOverHttpEnabled policy te disablen.

Intune configuratie via Settings Catalog:

  1. Microsoft Intune admin center β†’ Devices β†’ Configuration profiles
  2. Create profile β†’ Windows 10 and later β†’ Settings catalog
  3. Zoek 'Basic authentication' in Settings picker
  4. Configure 'Allow Basic authentication for HTTP' β†’ Set to 'Disabled'
  5. Zoek 'Authentication schemes' in Settings picker
  6. Configure 'Supported authentication schemes' β†’ Exclude 'basic' en 'digest' voor HTTP
  7. Assign naar All devices of specific groups
  8. Monitor deployment status en compliance

Group Policy configuratie:

  1. Group Policy Management Console β†’ Create/Edit GPO
  2. Computer Configuration β†’ Administrative Templates β†’ Microsoft Edge
  3. Enable 'Allow Basic authentication for HTTP' β†’ Set to 'Disabled'
  4. Configure 'Supported authentication schemes' β†’ Exclude HTTP-only schemes
  5. Link GPO to appropriate OUs
  6. Run 'gpupdate /force' voor immediate application

Gebruik PowerShell-script http-authentication-disabled.ps1 (functie Invoke-Monitoring) – Controleert of HTTP authentication is uitgeschakeld. Valideert registry key HKLM:\SOFTWARE\Policies\Microsoft\Edge\BasicAuthOverHttpEnabled = 0 en test of HTTP Basic Auth prompts geblokkeerd zijn..

Gebruik PowerShell-script http-authentication-disabled.ps1 (functie Invoke-Remediation) – Schakelt HTTP authentication uit door BasicAuthOverHttpEnabled registry key op 0 te zetten. Configureert AuthSchemes policy voor HTTPS-only enforcement..

Technische Details

HTTP authentication blocking werkt door browser-level enforcement van HTTPS-only credential transmission:

  1. Registry Paths: HKLM:\SOFTWARE\Policies\Microsoft\Edge\BasicAuthOverHttpEnabled (0 = disabled), AuthSchemes (lijst van allowed schemes)
  2. Blocked Authentication Schemes: Basic (RFC 7617 - username:password in base64), Digest (RFC 7616 - MD5 hashed credentials), NTLM (NT LAN Manager - hash-based), Negotiate (Kerberos/NTLM negotiation)
  3. HTTP Basic Auth Format: 'Authorization: Basic dXNlcm5hbWU6cGFzc3dvcmQ=' (base64 is NIET encryption)
  4. Wireshark Detection: Filter 'http.authorization' toont plaintext credentials in captured packets
  5. HTTPS Enforcement: TLS 1.2+ required voor authentication, Certificate validation enforced, Credentials encrypted in TLS tunnel
  6. Browser Behavior: HTTP auth prompt BLOCKED with error 'ERR_INSECURE_RESPONSE', Console warning 'Authentication over HTTP is not allowed'
  7. Localhost Exception: 127.0.0.1 en ::1 authentication allowed voor local development
  8. Corporate PKI Integration: Internal CA certificates in Windows Trust Store enable HTTPS voor corporate apps

Best Practices

Voor effectieve HTTP authentication blocking worden de volgende best practices aanbevolen:

  1. Inventory ALLE corporate webapps voorafgaand aan deployment - identify HTTP authentication usage
  2. Prioritize HTTPS migration voor business-critical applications BEFORE policy deployment
  3. Deploy valid TLS certificates (Let's Encrypt, corporate CA) - NO self-signed certificates in production
  4. Test policy in pilot group (IT staff) voor identification van broken applications
  5. Communicate naar development teams over mandatory HTTPS requirement
  6. Implement HSTS (HTTP Strict Transport Security) headers op corporate websites voor automatic HTTPS upgrade
  7. Monitor authentication failures na deployment voor rapid troubleshooting
  8. Document legacy applications die HTTP authentication vereisen - plan sunset dates
  9. Use Content Security Policy (CSP) headers voor defense-in-depth tegen mixed content
  10. Train developers over secure authentication practices (OAuth 2.0, SAML, OIDC over HTTPS)

Compliance en Auditing

HTTP authentication blocking ondersteunt verschillende compliance frameworks door credential encryption te waarborgen:

  1. PCI-DSS 4.1: Strong cryptography during transmission - Verbiedt plaintext credential transmission over networks
  2. HIPAA Security Rule Β§164.312(e)(1): Transmission security - Vereist encryption van ePHI including credentials
  3. GDPR Art. 32: Security of processing - Appropriate technical measures including encryption of personal data (credentials)
  4. ISO 27001 A.10.1.1: Cryptographic controls - Protection of credentials in transit via TLS
  5. NIST SP 800-63B Β§5.1.3: Authenticator requirements - Prohibits transmission of memorized secrets over unencrypted channels
  6. CIS Microsoft Edge Benchmark: Disable HTTP authentication to prevent credential theft
  7. BIO Thema 11: Cryptografie - Versleuteling van authenticatiegegevens tijdens transport
  8. NIS2 Art. 21: Cybersecurity risk management - Protection against credential theft via MITM

Troubleshooting

Veel voorkomende problemen met HTTP authentication blocking en oplossingen:

  1. Probleem: Corporate intranet sites tonen 'authentication required' errors - Oplossing: Deploy HTTPS op intranet servers met corporate CA certificates, update internal URLs naar https://
  2. Probleem: Legacy application authentication faalt - Oplossing: Temporary exception via AuthServerWhitelist policy voor specific internal domains tijdens HTTPS migration
  3. Probleem: Self-signed certificate warnings na HTTPS migration - Oplossing: Deploy corporate CA certificate naar Windows Trust Store (certlm.msc), use proper CA-signed certificates
  4. Probleem: Users bypass policy via Chrome/Firefox - Oplossing: Deploy consistent policy across ALL browsers via Intune, block non-Edge browsers if necessary
  5. Probleem: Network devices (printers, routers) use HTTP Basic Auth - Oplossing: Upgrade firmware to support HTTPS, or use device-specific exception policies
  6. Probleem: Development environments broken - Oplossing: Localhost (127.0.0.1) is automatically excepted, use local HTTPS for realistic testing
  7. Probleem: Policy not active after deployment - Oplossing: Run 'gpupdate /force', restart Edge, verify registry: 'Get-ItemProperty HKLM:\SOFTWARE\Policies\Microsoft\Edge BasicAuthOverHttpEnabled'
  8. Probleem: NTLM authentication over HTTP blocked - Oplossing: Expected behavior, migrate to Kerberos over HTTPS or modern auth (OAuth 2.0)

Monitoring

Gebruik PowerShell-script http-authentication-disabled.ps1 (functie Invoke-Monitoring) – Controleren.

Remediatie

Gebruik PowerShell-script http-authentication-disabled.ps1 (functie Invoke-Remediation) – Herstellen.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Edge HTTP-authenticatie Uitgeschakeld (Force HTTPS) .DESCRIPTION Implementeert, monitort en herstelt: Edge HTTP-authenticatie Uitgeschakeld (Force HTTPS) .NOTES Filename: http-authentication-disabled.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 Workload: edge Category: security #> #Requires -Version 5.1 [CmdletBinding()] param() $ErrorActionPreference = 'Stop' function Invoke-Implementation { <# .SYNOPSIS Implementeert de configuratie #> [CmdletBinding()] param() Write-Host "[INFO] Invoke-Implementation - Edge HTTP-authenticatie Uitgeschakeld (Force HTTPS)" -ForegroundColor Cyan Invoke-Remediation } function Invoke-Monitoring { <# .SYNOPSIS Controleert de huidige configuratie status #> [CmdletBinding()] param() try { Write-Host " ========================================" -ForegroundColor Cyan Write-Host "Edge HTTP-authenticatie Uitgeschakeld (Force HTTPS) - Monitoring" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan # TODO: Implementeer monitoring logica voor Edge HTTP-authenticatie Uitgeschakeld (Force HTTPS) Write-Host "[INFO] Monitoring check voor Edge HTTP-authenticatie Uitgeschakeld (Force HTTPS)" -ForegroundColor Yellow Write-Host "[OK] Monitoring check completed" -ForegroundColor Green } catch { Write-Error "Monitoring failed: $_" throw } } function Invoke-Remediation { <# .SYNOPSIS Herstelt de configuratie naar de gewenste staat #> [CmdletBinding()] param() try { Write-Host " ========================================" -ForegroundColor Cyan Write-Host "Edge HTTP-authenticatie Uitgeschakeld (Force HTTPS) - Remediation" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan # TODO: Implementeer remediation logica voor Edge HTTP-authenticatie Uitgeschakeld (Force HTTPS) Write-Host "[INFO] Remediation voor Edge HTTP-authenticatie Uitgeschakeld (Force HTTPS)" -ForegroundColor Yellow Write-Host "[OK] Remediation completed" -ForegroundColor Green } catch { Write-Error "Remediation failed: $_" throw } }

Risico zonder implementatie

Risico zonder implementatie
Hoog: HOOG RISICO: HTTP authentication verzendt credentials in plaintext over het netwerk - elke network sniffer (Wireshark) kan credentials intercepteren. Man-in-the-Middle attacks op public WiFi leiden tot credential theft en account compromise. NTLM hash exposure over HTTP enables pass-the-hash attacks voor lateral movement in corporate networks. Compliance violations (PCI-DSS, HIPAA, GDPR) door plaintext credential transmission. Zonder HTTPS-enforcement zijn ALL credentials kwetsbaar voor interception.

Management Samenvatting

Schakel HTTP authentication in Edge uit om plaintext credential transmission te blokkeren. Dwingt HTTPS-only authentication af via TLS encryption. Voorkomt Man-in-the-Middle attacks, credential theft op public WiFi, en NTLM hash exposure. Vereist HTTPS infrastructure voor corporate webapps.