💼 Management Samenvatting
Deze beveiligingsmaatregel waarborgt de correcte configuratie van InPrivate-modus in Microsoft Edge en beschermt organisaties tegen beveiligingsrisico's die ontstaan wanneer gebruikers browsegeschiedenis en cookies kunnen omzeilen zonder adequate controle.
Aanbeveling
CONSIDER
Risico zonder
Low
Risk Score
3/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Edge
Monitoring en beheer van InPrivate-modus is essentieel voor beveiligingsbewustzijn en naleving van compliance-eisen. Zonder centrale controle kunnen gebruikers InPrivate-modus misbruiken om auditlogging te omzeilen, wat kan leiden tot onzichtbare activiteiten en potentiële datalekken. Voor Nederlandse overheidsorganisaties is dit met name relevant omdat de BIO-normen en AVG-verplichtingen vereisen dat alle gebruikersactiviteiten traceerbaar en controleerbaar zijn.
PowerShell Modules Vereist
Primary API: Graph
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
Deze maatregel configureert het InPrivate-modus beleid via Microsoft Intune device configuratiebeleidsregels, waardoor organisaties kunnen bepalen of gebruikers InPrivate-modus kunnen gebruiken en onder welke voorwaarden. Dit stelt IT-beheerders in staat om een balans te vinden tussen gebruikersprivacy en organisatorische beveiligingsvereisten.
Vereisten
Het implementeren van beheer voor InPrivate-modus vereist een stevige technische basisinfrastructuur die begint bij Microsoft Intune als centraal beheerplatform. Organisaties die deze beveiligingsmaatregel willen doorvoeren moeten beschikken over een actieve Microsoft 365 of Azure Active Directory tenant met de juiste Intune-licenties voor alle apparaten die onder beheer moeten komen. Deze licentievereiste vormt de fundering omdat zonder geldige Intune-licenties de apparaatconfiguratiebeleidsregels niet kunnen worden toegepast op de doelapparaten. De licentievoorwaarden verschillen per organisatiegrootte en bestaande Microsoft 365 overeenkomsten, waarbij grotere organisaties doorgaans beschikken over Enterprise Mobility plus Security of Microsoft 365 E3 of E5 licenties die Intune-functionaliteit bevatten. Voor kleinere organisaties kunnen losstaande Intune-licenties worden aangeschaft, maar dit dient te worden afgewogen tegen de totale kosten en de bredere beveiligingsstrategie van de organisatie. Naast licentievereisten is het essentieel dat alle apparaten die onder beheer moeten komen daadwerkelijk zijn ingeschreven in Microsoft Intune via Mobile Device Management of Mobile Application Management. Deze inschrijving vormt de basis voor alle configuratiebeleidsregels en stelt de organisatie in staat om centrale controle uit te oefenen over de apparaatconfiguraties. Voor Windows-apparaten betekent dit specifiek dat ze moeten zijn toegevoegd aan Azure Active Directory, hetzij als Azure AD-joined apparaten, hetzij als hybride Azure AD-joined apparaten in een omgeving met on-premises Active Directory. De inschrijvingsmethode bepaalt de beschikbare beheeropties en de mate van controle die de organisatie kan uitoefenen. Apparaten die volledig Azure AD-joined zijn bieden de meeste beheeropties en de beste integratie met cloud-gebaseerde beveiligingsservices. Hybride omgevingen vragen om aanvullende configuratie om te waarborgen dat apparaatregistratie correct verloopt en dat beleidsregels consequent worden toegepast, ongeacht of het apparaat online of offline is. De beheerder die verantwoordelijk is voor de implementatie en het beheer van InPrivate-modus configuraties moet beschikken over de juiste beheerrechten binnen de Intune-omgeving. Dit betekent specifiek dat de beheerder de rol van Intune-beheerder of globale beheerder moet hebben gekregen. Deze rollen zijn noodzakelijk omdat het maken, toewijzen en beheren van apparaatconfiguratiebeleidsregels beheerrechten vereist die verder reiken dan standaard gebruikersrechten. De Intune-beheerder rol biedt specifieke rechten voor het beheer van Intune-functionaliteiten zonder de bredere rechten van een globale beheerder, wat vanuit beveiligingsperspectief de voorkeur verdient volgens het principe van minimale bevoegdheden. Globale beheerders hebben uiteraard ook toegang tot alle Intune-functionaliteiten, maar deze rol dient spaarzaam te worden toegewezen vanwege de uitgebreide rechten die deze bevat. Naast technische infrastructuurvereisten is het cruciaal dat de organisatie een duidelijk en gedocumenteerd beleid heeft ontwikkeld over het gebruik van InPrivate-modus binnen de organisatie. Dit beleid moet vastleggen onder welke omstandigheden InPrivate-modus wel of niet is toegestaan, welke gebruikersgroepen eventuele uitzonderingen kunnen krijgen, en wat de gevolgen zijn van niet-naleving van het beleid. Het technische implementatieproces moet naadloos aansluiten bij deze organisatorische richtlijnen om te waarborgen dat de technische maatregelen de organisatorische doelstellingen ondersteunen en niet conflicteren met andere beveiligings- of privacybeleidsregels. Voor een succesvolle implementatie en continue monitoring moet ook de Microsoft Graph API beschikbaar zijn en correct zijn geconfigureerd. De monitoring- en controlescripts die deel uitmaken van deze beveiligingsmaatregel gebruiken de Microsoft Graph API voor het ophalen van configuratie-informatie, het controleren van de compliancestatus van apparaten, en het uitvoeren van remediatie-acties wanneer nodig. Dit vereist dat de service principal of het gebruikersaccount dat wordt gebruikt voor geautomatiseerde scripts de juiste Graph API-machtigingen heeft, specifiek de DeviceManagementConfiguration.ReadWrite.All machtiging voor het lezen en schrijven van apparaatconfiguratie-instellingen. Deze API-toegang moet worden geconfigureerd via Azure AD App-registraties en vereist mogelijk goedkeuring van een tenant administrator afhankelijk van de organisatie beveiligingsinstellingen. De implementatie vereist daarnaast technische kennis van Microsoft Intune configuratie, Microsoft Graph API-integratie, en PowerShell scripting voor geautomatiseerde monitoring en remediatie. IT-beheerders moeten beschikken over praktische ervaring met het beheren van Microsoft Edge-instellingen via Intune en inzicht hebben in de verschillende configuratieopties die beschikbaar zijn voor InPrivate-modus beheer.
Implementatie
Het implementeren van InPrivate-modus beheer vormt een gestructureerd proces dat start met een grondige analyse van de huidige situatie binnen de organisatie. Deze analyse vormt de basis voor alle daaropvolgende beslissingen en dient daarom zorgvuldig en systematisch te worden uitgevoerd. IT-beheerders moeten als eerste stap een volledige inventarisatie uitvoeren van alle apparaten die momenteel zijn ingeschreven in Microsoft Intune, waarbij niet alleen het aantal apparaten wordt geregistreerd, maar ook de verschillende apparaattypen, besturingssysteemversies, en de specifieke versies van Microsoft Edge die binnen de organisatie worden gebruikt. Deze informatie is essentieel omdat verschillende Edge-versies mogelijk verschillende configuratieopties ondersteunen en omdat de implementatiestrategie moet worden afgestemd op de heterogeniteit van de apparaatomgeving. De inventarisatie dient ook inzicht te geven in de geografische spreiding van apparaten, de verschillende gebruikersgroepen en hun specifieke behoeften, en eventuele bestaande configuratiebeleidsregels die mogelijk conflicteren met de nieuwe InPrivate-modus instellingen. Na voltooiing van de inventarisatiefase wordt een Intune-configuratiebeleid aangemaakt dat specifiek is gericht op Microsoft Edge browserinstellingen. Dit beleid wordt geconfigureerd via het Microsoft Endpoint Manager beheercentrum, waar beheerders toegang hebben tot de uitgebreide Edge-beleidsconfiguratieopties. De InPrivate-modus instelling kan worden geconfigureerd volgens de organisatorische vereisten die zijn vastgelegd in het beveiligingsbeleid. Organisaties hebben verschillende opties voor het configureren van InPrivate-modus, afhankelijk van hun specifieke beveiligings- en privacyvereisten. De meest restrictieve optie is het volledig blokkeren van InPrivate-modus voor alle gebruikers, wat de hoogste mate van controle en traceerbaarheid biedt maar mogelijk weerstand kan oproepen bij gebruikers die privacy belangrijk vinden. Een alternatieve benadering is het toestaan van InPrivate-modus maar met specifieke beperkingen, zoals het verplichten van bepaalde extensies of het blokkeren van specifieke websites zelfs in InPrivate-modus. Voor organisaties met gedifferentieerde behoeften kan InPrivate-modus worden toegestaan voor specifieke gebruikersgroepen terwijl het voor andere groepen wordt geblokkeerd, wat een flexibele aanpak biedt die rekening houdt met verschillende rollen en verantwoordelijkheden binnen de organisatie. Tijdens de implementatiefase is het cruciaal om het beleid eerst uitvoerig te testen op een beperkte groep gebruikers of specifieke testapparaten voordat het wordt uitgerold naar de volledige organisatie. Deze testfase dient meerdere doelen en dient niet te worden overgeslagen, zelfs niet wanneer er tijdsdruk is om de beveiligingsmaatregel snel te implementeren. De testfase verifieert dat de configuratie werkt zoals bedoeld en dat alle apparaten het beleid correct ontvangen en toepassen. Daarnaast maakt de testfase het mogelijk om eventuele onbedoelde gevolgen voor de gebruikerservaring te identificeren voordat deze gevolgen zich voordoen op grote schaal. Tijdens de testperiode dienen beheerders nauwlettend te monitoren of gebruikers problemen ondervinden met hun dagelijkse werkzaamheden, of er technische problemen optreden met specifieke websites of applicaties, en of de configuratie correct wordt toegepast op verschillende apparaattypen en Edge-versies. Feedback van testgebruikers moet worden verzameld en geanalyseerd om te bepalen of aanpassingen aan de configuratie nodig zijn voordat de volledige implementatie plaatsvindt. Na succesvolle voltooiing van de testfase kan het beleid worden uitgerold naar de volledige organisatie via een gefaseerde implementatiebenadering. Deze gefaseerde aanpak minimaliseert risico's en maakt het mogelijk om eventuele problemen die zich voordoen tijdens de uitrol snel te identificeren en aan te pakken voordat ze zich verspreiden naar de volledige organisatie. De implementatie begint typisch met kritieke gebruikersgroepen of afdelingen die de hoogste beveiligingsvereisten hebben, gevolgd door andere gebruikersgroepen in opeenvolgende fasen. Elke fase dient te worden gemonitord om te verifiëren dat de configuratie correct wordt toegepast en dat er geen onverwachte problemen optreden. Het monitoring script inprivate-mode-Beheerled.ps1 speelt een cruciale rol tijdens zowel de testfase als de productie-implementatie door geautomatiseerde controle te bieden van de implementatiestatus. Dit script kan worden uitgevoerd op regelmatige basis om te verifiëren dat het beleid correct is toegepast op alle doelapparaten, om apparaten te identificeren die mogelijk niet het beleid hebben ontvangen of die de configuratie niet correct hebben toegepast, en om rapporten te genereren die inzicht geven in de algehele compliancestatus van de organisatie. Na voltooiing van de implementatie moet regelmatige evaluatie plaatsvinden om te waarborgen dat het beleid effectief blijft en aansluit bij de veranderende behoeften van de organisatie. Deze evaluatie omvat het analyseren van monitoring-rapporten, het beoordelen van gebruikersfeedback, en het identificeren van mogelijkheden voor verbetering of optimalisatie van de configuratie.
Gebruik PowerShell-script inprivate-mode-Beheerled.ps1 (functie Invoke-Monitoring) – Monitoren.
Monitoring
Continue monitoring van de InPrivate-modus configuratie vormt een essentieel onderdeel van het beveiligingsbeheer en is cruciaal om te waarborgen dat het beleid consequent wordt toegepast op alle beheerde apparaten en blijft voldoen aan de beveiligingsvereisten die zijn vastgelegd in het organisatiebeleid. Zonder effectieve monitoring kunnen configuratiedrift, gebruikersomzeilingen, en technische problemen onopgemerkt blijven, wat de effectiviteit van de beveiligingsmaatregel aanzienlijk kan verminderen. Het monitoringproces omvat uitgebreide regelmatige controles van de Intune-configuratiestatus voor alle beheerde apparaten binnen de organisatie, waarbij wordt gecontroleerd of het InPrivate-modus beleid correct is geïmplementeerd, actief blijft, en daadwerkelijk wordt toegepast zoals bedoeld. Deze controles dienen niet alleen te kijken naar de configuratiestatus zoals gerapporteerd door Intune, maar ook naar de werkelijke configuratie op de apparaten zelf om te verifiëren dat er geen discrepanties zijn tussen wat Intune rapporteert en wat daadwerkelijk is geconfigureerd. Monitoring dient te worden uitgevoerd op minimaal wekelijkse basis om te waarborgen dat eventuele problemen tijdig worden geïdentificeerd en aangepakt voordat ze kunnen escaleren tot beveiligingsincidenten. Voor organisaties met hoge beveiligingsvereisten, zoals Nederlandse overheidsorganisaties die moeten voldoen aan strikte BIO-normen, kan dagelijkse monitoring worden overwogen om een nog hoger niveau van controle en zichtbaarheid te bieden. De frequentie van monitoring dient te worden afgestemd op het risicoprofiel van de organisatie, de gevoeligheid van de gegevens die worden verwerkt, en de compliance-vereisten die van toepassing zijn. Het monitoring script inprivate-mode-controlled.ps1 biedt geautomatiseerde controle van de configuratiestatus en genereert gedetailleerde rapporten over apparaten die niet voldoen aan het beleid, gebruikers die mogelijk proberen het beleid te omzeilen, en trends in de algehele compliancestatus van de organisatie. Deze geautomatiseerde monitoring vermindert de werklast voor IT-beheerders aanzienlijk en zorgt ervoor dat monitoring consequent en objectief wordt uitgevoerd zonder menselijke fouten of inconsistenties. De gegenereerde rapporten dienen te worden geanalyseerd door ervaren IT-beheerders die de context begrijpen en in staat zijn om trends te identificeren die mogelijk wijzen op structurele problemen of beveiligingsrisico's. Deze analyse dient te kijken naar patronen zoals apparaten die herhaaldelijk uit compliance raken, wat kan wijzen op technische problemen met de apparaatconfiguratie of op gebruikers die bewust proberen het beleid te omzeilen. Gebruikersgroepen die specifieke aandacht vereisen kunnen worden geïdentificeerd door te kijken naar compliance-statistieken per afdeling, locatie, of gebruikersrol, wat kan helpen bij het richten van aanvullende training of technische ondersteuning waar dat het meest nodig is. Naast technische monitoring van de configuratiestatus is het belangrijk om ook gebruikersgedrag te monitoren, waarbij wordt gekeken naar patronen in het gebruik van InPrivate-modus en mogelijke misbruikscenario's die kunnen wijzen op beveiligingsrisico's of niet-naleving van het organisatiebeleid. Deze gedragsmonitoring dient te worden uitgevoerd op een manier die respect toont voor gebruikersprivacy en die voldoet aan de AVG-vereisten, waarbij alleen geaggregeerde en geanonimiseerde data wordt gebruikt voor analyse doeleinden. Monitoringresultaten dienen te worden gedocumenteerd in een gestructureerd formaat en opgenomen in periodieke beveiligingsrapportages die worden gepresenteerd aan management en gebruikt worden voor compliance doeleinden. Deze rapportages dienen niet alleen de technische status weer te geven, maar ook inzicht te geven in trends, risico's, en aanbevelingen voor verbetering. Voor Nederlandse overheidsorganisaties is dit met name relevant omdat de BIO-normen expliciet vereisen dat beveiligingsmaatregelen regelmatig worden gecontroleerd en geëvalueerd op effectiviteit, en omdat deze evaluaties moeten worden gedocumenteerd en beschikbaar zijn voor interne en externe audits. Effectieve monitoring vormt de basis voor proactief beveiligingsbeheer en stelt organisaties in staat om snel te reageren op veranderende omstandigheden en nieuwe bedreigingen.
Gebruik PowerShell-script inprivate-mode-controlled.ps1 (functie Invoke-Monitoring) – Controleren.
Remediatie
Wanneer monitoring aangeeft dat apparaten niet voldoen aan het InPrivate-modus beleid, dienen onmiddellijk en systematisch remediatie-acties te worden ondernomen om de configuratie te herstellen en te waarborgen dat de beveiligingsmaatregel effectief blijft. Het remediatieproces vormt een kritiek onderdeel van het beveiligingsbeheer en dient te worden uitgevoerd volgens een gestructureerde aanpak die waarborgt dat alle non-compliance gevallen worden aangepakt en dat de onderliggende oorzaken worden geïdentificeerd en opgelost. Het remediatieproces begint met een grondige analyse om de oorzaak van de non-compliance te identificeren, wat een cruciale stap is omdat verschillende oorzaken verschillende remediatie-strategieën vereisen. De oorzaken van non-compliance kunnen sterk variëren, van technische problemen zoals gesynchroniseerde configuratiefouten waarbij het beleid niet correct is toegepast tijdens de initiële implementatie, tot netwerkproblemen die voorkomen dat apparaten de configuratie-updates ontvangen, tot gebruikers die bewust of onbewust proberen het beleid te omzeilen door gebruik te maken van alternatieve browsers of configuratie-instellingen. Voor technische problemen die kunnen worden opgelost door het opnieuw toepassen van de configuratie, kan het geautomatiseerde remediatie script inprivate-mode-controlled.ps1 worden gebruikt om efficiënt en consequent de correcte configuratie opnieuw toe te passen op niet-compliant apparaten zonder dat handmatige interventie van IT-beheerders vereist is. Dit script voert een uitgebreide controle uit van de huidige configuratie op het apparaat, vergelijkt deze configuratie met het gewenste beleid zoals gedefinieerd in Intune, en past indien nodig de instellingen automatisch aan via de Microsoft Graph API om te waarborgen dat het apparaat weer voldoet aan de beveiligingsvereisten. De geautomatiseerde remediatie biedt verschillende voordelen, waaronder snelheid, consistentie, en het vermogen om grote aantallen apparaten tegelijkertijd te remediëren zonder dat dit een aanzienlijke werklast voor IT-beheerders creëert. In gevallen waar automatische remediatie niet succesvol is, wat kan gebeuren wanneer er complexere technische problemen zijn of wanneer het apparaat niet correct communiceert met de Intune-service, dienen IT-beheerders handmatig in te grijpen om de non-compliance op te lossen. Deze handmatige interventie kan verschillende vormen aannemen, afhankelijk van de specifieke situatie. Een veelvoorkomende aanpak is het opnieuw synchroniseren van het apparaat met Intune, wat kan worden gedaan door de gebruiker te vragen het apparaat opnieuw op te starten of door een geforceerde synchronisatie te initiëren vanuit het Intune-beheercentrum. In andere gevallen kan het nodig zijn om het beleid opnieuw toe te wijzen aan het specifieke apparaat, wat kan helpen wanneer er problemen zijn met de beleidstoewijzing of wanneer het apparaat het beleid niet correct heeft ontvangen. Voor gebruikers die herhaaldelijk proberen het beleid te omzeilen, wat kan wijzen op opzettelijke niet-naleving of op een gebrek aan begrip van het belang van de beveiligingsmaatregel, is het belangrijk om naast technische remediatie ook organisatorische maatregelen te overwegen. Deze organisatorische maatregelen kunnen bestaan uit aanvullende gebruikersvoorlichting die uitlegt waarom het beleid belangrijk is en wat de gevolgen zijn van niet-naleving, of uit disciplinaire acties volgens het organisatiebeleid wanneer er sprake is van opzettelijke of herhaalde niet-naleving. De balans tussen technische en organisatorische maatregelen is belangrijk om te waarborgen dat gebruikers het beleid begrijpen en accepteren, wat de effectiviteit van de beveiligingsmaatregel op de lange termijn verbetert. Alle remediatie-acties dienen te worden gedocumenteerd in een gestructureerd formaat dat alle relevante informatie bevat, inclusief de oorzaak van de non-compliance zoals geïdentificeerd tijdens de analyse, de specifieke acties die zijn ondernomen om de non-compliance op te lossen, en het resultaat van de remediatie inclusief verificatie dat het apparaat nu weer voldoet aan het beleid. Deze documentatie is cruciaal voor compliance-audits omdat auditors moeten kunnen verifiëren dat de organisatie proactief non-compliance gevallen aanpakt en dat er een gestructureerd proces is voor het herstellen van beveiligingsconfiguraties. Daarnaast helpt deze documentatie bij het identificeren van structurele problemen die mogelijk aanvullende maatregelen vereisen, zoals wanneer bepaalde apparaattypen of gebruikersgroepen consequent problemen ondervinden, wat kan wijzen op de noodzaak voor aanvullende training, technische aanpassingen, of wijzigingen in het beveiligingsbeleid. Effectieve remediatie vereist een proactieve benadering waarbij problemen snel worden geïdentificeerd en aangepakt voordat ze kunnen escaleren tot beveiligingsincidenten of compliance-problemen. Door een gestructureerd remediatieproces te implementeren en te onderhouden, kunnen organisaties waarborgen dat hun beveiligingsconfiguraties effectief blijven en blijven voldoen aan de organisatorische en wettelijke vereisten.
Gebruik PowerShell-script inprivate-mode-controlled.ps1 (functie Invoke-Remediation) – Herstellen.
Compliance en Auditing
Compliance en auditing van InPrivate-modus beheer vormen een cruciaal onderdeel van het beveiligingsbeheer voor Nederlandse overheidsorganisaties die moeten voldoen aan een complexe set van normen, verplichtingen, en wet- en regelgeving. Deze compliance-vereisten zijn niet alleen juridisch bindend, maar vormen ook de basis voor het vertrouwen dat burgers en andere stakeholders hebben in de organisatie en haar vermogen om gevoelige informatie adequaat te beschermen. De BIO-normen, die specifiek zijn ontwikkeld voor de Nederlandse overheid, bevatten expliciete vereisten voor technische beveiligingsmaatregelen die waarborgen dat gebruikersactiviteiten traceerbaar en controleerbaar zijn. De BIO-norm 13.01.01 vereist specifiek technische beveiligingsmaatregelen die waarborgen dat gebruikersactiviteiten traceerbaar zijn, wat direct raakt aan het beheer van InPrivate-modus omdat deze modus, wanneer niet adequaat wordt beheerd, kan worden gebruikt om auditlogging te omzeilen en activiteiten onzichtbaar te maken voor beveiligingsmonitoring. Zonder adequate controle op InPrivate-modus kunnen organisaties niet garanderen dat alle gebruikersactiviteiten worden gelogd en geaudit, wat kan leiden tot non-compliance met deze normen en mogelijke gevolgen tijdens audits of beveiligingsincidenten. Voor AVG-compliance is het fundamenteel dat organisaties kunnen aantonen dat zij passende technische en organisatorische maatregelen hebben genomen om persoonsgegevens te beschermen tegen ongeautoriseerde toegang, verlies, of vernietiging. Het beheer van InPrivate-modus vormt een onderdeel van deze maatregelen omdat het waarborgt dat alle activiteiten waarbij persoonsgegevens worden verwerkt traceerbaar blijven en kunnen worden gecontroleerd op naleving van de AVG-principes. Wanneer gebruikers InPrivate-modus kunnen gebruiken zonder beperkingen, kan dit leiden tot situaties waarin persoonsgegevens worden verwerkt zonder adequate logging of controle, wat kan worden gezien als een tekortkoming in de technische maatregelen die de organisatie heeft genomen om persoonsgegevens te beschermen. ISO 27001 controle A.12.6.1 vereist technisch kwetsbaarheidsbeheer, waarbij organisaties moeten beschikken over processen voor het identificeren, evalueren, en beheren van technische kwetsbaarheden in hun systemen en configuraties. Het beheer van browserconfiguraties zoals InPrivate-modus vormt een onderdeel van deze algemene beveiligingspostuur omdat onjuist geconfigureerde browsers kunnen worden gezien als een technische kwetsbaarheid die kan worden misbruikt om beveiligingscontroles te omzeilen. Tijdens audits, zowel intern als extern, dienen organisaties te kunnen aantonen dat zij een duidelijk en gedocumenteerd beleid hebben voor InPrivate-modus dat is goedgekeurd door het management en dat is gecommuniceerd naar alle relevante stakeholders. Daarnaast dienen organisaties te kunnen demonstreren dat dit beleid technisch is geïmplementeerd via Intune of andere beheerplatforms, dat de implementatie correct is uitgevoerd en wordt onderhouden, en dat regelmatige monitoring en remediatie plaatsvindt om te waarborgen dat het beleid effectief blijft. Auditbewijs dient te bestaan uit uitgebreide documentatie die alle aspecten van het beheerproces dekt, inclusief documentatie van het beleid zelf die duidelijk maakt wat de organisatorische vereisten zijn en waarom deze vereisten belangrijk zijn voor de beveiliging van de organisatie. Configuratiescreenshots of exports van Intune-beleidsregels dienen aan te tonen dat het beleid daadwerkelijk is geconfigureerd en toegepast, en dienen regelmatig te worden bijgewerkt om eventuele wijzigingen in de configuratie te reflecteren. Monitoring rapporten dienen aan te tonen dat regelmatige controles plaatsvinden en dienen trends en patronen weer te geven die inzicht geven in de effectiviteit van het beleid en eventuele gebieden waar verbetering nodig is. Remediatie logs dienen te laten zien dat non-compliance gevallen proactief worden aangepakt en dat er een gestructureerd proces is voor het herstellen van beveiligingsconfiguraties wanneer deze niet meer voldoen aan de vereisten. Deze documentatie dient minimaal één jaar te worden bewaard volgens de auditvereisten, hoewel veel organisaties ervoor kiezen om documentatie langer te bewaren voor historische analyse en voor het geval er vragen ontstaan over eerdere configuraties of incidenten. De documentatie dient beschikbaar te zijn voor zowel interne auditors die periodieke controles uitvoeren als voor externe auditors die mogelijk worden ingehuurd voor onafhankelijke beveiligingsbeoordelingen of compliance-verificaties. Het is cruciaal dat de documentatie up-to-date wordt gehouden en regelmatig wordt beoordeeld om te waarborgen dat deze accuraat de huidige implementatie en compliancestatus reflecteert, omdat verouderde of onjuiste documentatie kan leiden tot verkeerde conclusies tijdens audits en kan worden gezien als een tekortkoming in het beheerproces zelf. Effectieve compliance en auditing vereisen continue aandacht en investering in documentatie, monitoring, en verbetering van het beheerproces om te waarborgen dat de organisatie blijft voldoen aan alle relevante normen en verplichtingen.
Compliance & Frameworks
- CIS M365: Control Security Controls (L1) - Security hardening
- BIO: 13.01.01 - Technical security measures
- ISO 27001:2022: A.12.6.1 - Technical vulnerability management
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Edge Security: InPrivate Mode Controlled
.DESCRIPTION
CIS - InPrivate mode moet centraal geconfigureerd worden (0=disabled,1=enabled,2=forced).
.NOTES
Filename: inprivate-mode-controlled.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Edge\InPrivateModeAvailability|Expected: 1 (disabled)
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge"; $RegName = "InPrivateModeAvailability"; $ExpectedValue = 1
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "inprivate-mode-controlled.ps1"; PolicyName = "InPrivate Mode Controlled"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; if (-not(Test-Path $RegPath)) { $r.Details += "Niet geconfigureerd"; return $r }; try { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop; $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "InPrivate disabled" }else { $r.Details += "InPrivate mode: $($r.CurrentValue)" } }catch { $r.Details += "Niet geconfigureerd" }; return $r }
function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "InPrivate mode disabled" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
Low: Gebruikers kunnen auditlogging omzeilen door InPrivate-modus te gebruiken, wat leidt tot onzichtbare activiteiten en potentiële datalekken.
Management Samenvatting
Beheer InPrivate-modus via Intune om te waarborgen dat alle gebruikersactiviteiten traceerbaar blijven en voldoen aan compliance-eisen.
- Implementatietijd: 2 uur
- FTE required: 0.01 FTE