💼 Management Samenvatting
De beveiligingsinstelling voor waarschuwingen bij onveilige formulieren is een essentiële maatregel om gebruikers te beschermen tegen potentiële gegevensdiefstal via mixed content aanvallen. Wanneer formulieren op een beveiligde HTTPS-pagina via een onbeveiligde HTTP-verbinding worden verzonden, kunnen kwaadwillenden deze gegevens onderscheppen.
Aanbeveling
IMPLEMENT
Risico zonder
Medium
Risk Score
5/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Edge
Deze instelling verhoogt de beveiliging van de browser aanzienlijk en voorkomt bekende aanvalsvectoren waarbij gevoelige gegevens zoals wachtwoorden, creditcardinformatie en persoonsgegevens worden blootgesteld tijdens verzending. Het waarschuwt gebruikers proactief wanneer zij formulieren invullen op beveiligde pagina's die de gegevens echter via onbeveiligde verbindingen verzenden, wat een kritieke kwetsbaarheid vormt in de beveiligingsketen.
PowerShell Modules Vereist
Primary API: Graph
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
Dit beleid configureert Microsoft Edge om automatisch waarschuwingen te tonen wanneer gebruikers formulieren invullen op HTTPS-pagina's die via HTTP worden verzonden. De instelling wordt geconfigureerd via Microsoft Intune apparaatconfiguratiebeleidsregels, waardoor organisaties een centrale en gestandaardiseerde beveiligingsconfiguratie kunnen afdwingen op alle eindpunten binnen hun netwerk.
Vereisten
Voor de implementatie van deze beveiligingsinstelling zijn verschillende technische en organisatorische vereisten noodzakelijk. Allereerst dient de organisatie beschikking te hebben over Microsoft Intune als Mobile Device Management (MDM) oplossing, wat de primaire methode is voor het afdwingen van deze browserconfiguratie op ondernemingsniveau. Microsoft Intune biedt de mogelijkheid om apparaatconfiguratiebeleidsregels toe te passen op alle Windows-apparaten die zijn geregistreerd binnen de organisatie, waardoor centrale beheersing en uniforme beveiligingsconfiguraties worden gegarandeerd. Daarnaast vereist deze instelling dat alle doelapparaten de ondernemingsversie van Microsoft Edge hebben geïnstalleerd, aangezien de registerinstelling alleen werkt met de ondernemingseditie die ondersteuning biedt voor Groepsbeleidsregels en MDM-beleidsregels. De organisatie dient ook over de juiste licenties te beschikken, waarbij Microsoft 365 E3 of E5 licentiepakketten noodzakelijk zijn voor volledige Intune-functionaliteit. Vanuit organisatorisch perspectief is het essentieel dat er een duidelijke governance-structuur bestaat waarin de verantwoordelijkheden voor browserbeveiliging zijn gedefinieerd. De IT-afdeling of beveiligingsoperaties moet in staat zijn om beleidsregels te configureren, te monitoren en te handhaven, terwijl er ook processen moeten zijn voor het afhandelen van uitzonderingen en het communiceren van beveiligingswaarschuwingen naar eindgebruikers. Ten slotte vereist de implementatie technische expertise op het gebied van Microsoft Intune configuratie, PowerShell scripting voor monitoring en remediatie, en kennis van de Edge-beleidsregels structuur om effectief te kunnen implementeren en onderhouden.
Implementatie
De implementatie van waarschuwingen voor onveilige formulieren vereist een gestructureerde aanpak waarbij verschillende fasen worden doorlopen om een succesvolle en duurzame implementatie te waarborgen. In de eerste fase moet een grondige inventarisatie worden uitgevoerd van alle Windows-apparaten binnen de organisatie die Microsoft Edge gebruiken, waarbij wordt gecontroleerd welke apparaten al via Intune worden beheerd en welke nog geregistreerd moeten worden. Deze inventarisatie vormt de basis voor het bepalen van de scope van de implementatie en het identificeren van eventuele uitzonderingen die moeten worden gemaakt voor specifieke gebruikersgroepen of apparaten met verouderde applicaties die afhankelijk zijn van HTTP-formulieren. Vervolgens dient er een testomgeving te worden opgezet waarin de instelling eerst kan worden geëvalueerd voordat deze wordt uitgerold naar productie. Deze testomgeving moet representatief zijn voor de productieomgeving en bevatten verschillende typen apparaten en gebruikersprofielen om potentiële problemen vroegtijdig te identificeren. Tijdens de testfase moeten ook de eindgebruikerservaringen worden beoordeeld, waarbij wordt gekeken naar hoe waarschuwingen worden getoond en of gebruikers deze begrijpen en correct kunnen reageren. De daadwerkelijke implementatie in Intune gebeurt door het aanmaken van een nieuwe apparaatconfiguratiebeleidsregel binnen het Endpoint Manager-beheercentrum, waarbij specifiek wordt gekozen voor het Edge-browserprofiel en de instelling 'InsecureFormsWarningsEnabled' wordt ingesteld op 'Enabled'. Deze beleidsregel moet worden toegewezen aan alle relevante gebruikersgroepen of apparatengroepen, waarbij rekening wordt gehouden met eventuele gefaseerde rollouts voor grote organisaties. Na de configuratie in Intune wordt de instelling via de registersleutel HKLM:\SOFTWARE\Policies\Microsoft\Edge\InsecureFormsWarningsEnabled met waarde 1 afgedwongen op alle doelapparaten bij de volgende synchronisatie met Intune. Voor monitoring en verificatie van de implementatie kan gebruik worden gemaakt van het PowerShell script dat beschikbaar is in de code repository, waarmee de conformiteitstatus kan worden gecontroleerd en eventuele niet-conforme apparaten kunnen worden geïdentificeerd voor verdere actie.
Gebruik PowerShell-script insecure-forms-warnings-enabled.ps1 (functie Invoke-Monitoring) – Het monitoring script controleert of de instelling correct is geconfigureerd op het apparaat door de registerwaarde te verifiëren en rapporteert de conformiteitstatus terug aan de IT-beheerder voor verdere actie indien nodig..
Monitoring
Effectieve monitoring van de instelling voor waarschuwingen bij onveilige formulieren is cruciaal om ervoor te zorgen dat de beveiligingsconfiguratie op alle apparaten correct is toegepast en blijft functioneren. Een proactieve monitoringstrategie combineert geautomatiseerde controles met regelmatige handmatige verificaties om een volledig beeld te krijgen van de conformiteitstatus binnen de organisatie. De geautomatiseerde monitoring kan worden uitgevoerd via het beschikbare PowerShell script dat de registerinstelling controleert en rapporteert of het apparaat conform is met het beleid. Dit script kan worden geïntegreerd in bestaande monitoringoplossingen zoals Microsoft Intune rapportage, System Center Configuration Manager, of andere ondernemingsmonitoringtools die regelmatig conformiteitscontroles uitvoeren op eindpunten. Daarnaast biedt Microsoft Intune eigen rapportagefunctionaliteit waarbij apparaatconfiguratiebeleidsregels worden gecontroleerd en niet-conforme apparaten worden geïdentificeerd. Deze rapporten kunnen worden geconfigureerd om automatisch te worden gegenereerd en naar beheerders te worden gestuurd wanneer afwijkingen worden gedetecteerd, waardoor snelle reactietijden worden gegarandeerd. Vanuit een operationeel perspectief dient er een periodiek evaluatieproces te worden ingesteld waarbij maandelijks wordt gekeken naar de conformiteitspercentages en trends worden geanalyseerd. Als het aantal niet-conforme apparaten toeneemt, kan dit duiden op problemen met de Intune-configuratie, nieuwe apparaten die niet correct zijn geregistreerd, of gebruikers die lokale wijzigingen hebben aangebracht die het beleid overschrijven. Het is ook belangrijk om de daadwerkelijke effectiviteit van de waarschuwingen te monitoren door te kijken naar gebruikersfeedback en eventuele beveiligingsincidenten waarbij onveilige formulieren betrokken zijn geweest. Door deze monitoringinspanningen te combineren met regelmatige beveiligingsbeoordelingen en gebruikerstrainingen, kunnen organisaties ervoor zorgen dat deze kritieke beveiligingsinstelling optimaal functioneert en bijdraagt aan de algehele cybersecuritypostuur.
Gebruik PowerShell-script insecure-forms-warnings-enabled.ps1 (functie Invoke-Monitoring) – Het monitoring script voert een controle uit op de registerinstelling en geeft gedetailleerde informatie terug over de huidige status, inclusief of de instelling is ingeschakeld en wat de huidige waarde is, zodat beheerders snel kunnen bepalen of het apparaat conform is met het beveiligingsbeleid..
Remediatie
Wanneer tijdens monitoring wordt vastgesteld dat apparaten niet-conform zijn met de instelling voor waarschuwingen bij onveilige formulieren, dient er een gestructureerd remediatieproces te worden gevolgd om de beveiligingsconfiguratie zo snel mogelijk te herstellen. Het remediatieproces begint met het identificeren van de oorzaak van de niet-conformiteit, wat verschillende redenen kan hebben. Veelvoorkomende oorzaken zijn lokale wijzigingen door gebruikers of lokale beheerders die de registerinstelling hebben aangepast, conflicterende Groepsbeleidsregels die het Intune-beleid overschrijven, of apparaten die niet correct zijn geregistreerd in Intune en daardoor de beleidsregel niet ontvangen. Andere mogelijke oorzaken zijn corruptie van de registersleutel, nieuwe installaties van Edge die de instelling nog niet hebben ontvangen, of apparaten die langdurig offline zijn geweest en daardoor niet hebben gesynchroniseerd met Intune. Voor de automatische remediatie kan het beschikbare PowerShell script worden gebruikt dat de registerinstelling direct herstelt naar de gewenste waarde. Dit script controleert eerst of de benodigde registersleutel bestaat en maakt deze indien nodig aan, waarna de waarde wordt ingesteld op 1 om waarschuwingen in te schakelen. Het script kan worden uitgevoerd via Intune als remediatiescript dat automatisch wordt geactiveerd wanneer niet-conformiteit wordt gedetecteerd, of handmatig worden uitgevoerd op specifieke apparaten door IT-beheerders. Na de remediatie dient er altijd een verificatie te worden uitgevoerd om te bevestigen dat de instelling correct is toegepast en het apparaat nu conform is. Indien de remediatie niet succesvol is, moet er een escalatieproces worden gevolgd waarbij dieper wordt ingegaan op de oorzaak, mogelijk met gebruik van geavanceerde diagnostische tools of directe remote support sessies. Voor terugkerende problemen met specifieke apparaten of gebruikersgroepen kan het nodig zijn om aanvullende beveiligingsmaatregelen te implementeren, zoals het beperken van lokale beheerdersrechten of het implementeren van aanvullende Groepsbeleidsregels die voorkomen dat gebruikers de instelling kunnen wijzigen.
Gebruik PowerShell-script insecure-forms-warnings-enabled.ps1 (functie Invoke-Remediation) – Het remediatiescript herstelt de instelling automatisch door de registerwaarde te configureren naar de gewenste waarde, waardoor het apparaat weer conform wordt met het beveiligingsbeleid zonder dat handmatige interventie nodig is..
Compliance en controle
De instelling voor waarschuwingen bij onveilige formulieren draagt direct bij aan naleving van verschillende belangrijke beveiligingsframeworks en regelgeving die relevant zijn voor Nederlandse overheidsorganisaties. Vanuit het BIO (Baseline Informatiebeveiliging Overheid) perspectief sluit deze instelling aan bij controle 13.01.01 welke technische beveiligingsmaatregelen vereist om informatiebeveiligingsincidenten te voorkomen en te detecteren. De waarschuwingen vormen een preventieve maatregel die gebruikers beschermt tegen het onbewust verzenden van gevoelige gegevens via onbeveiligde verbindingen, wat direct valt onder de technische beveiligingsmaatregelen die worden vereist door het BIO-framework. Voor ISO 27001-naleving is deze instelling relevant voor controle A.12.6.1 dat gaat over technisch kwetsbaarheidsbeheer, waarbij organisaties moeten zorgen voor tijdige identificatie en behandeling van technische kwetsbaarheden. De mixed content kwetsbaarheid die wordt aangepakt door deze instelling vormt een bekende technische kwetsbaarheid die proactief moet worden beheerd. Daarnaast draagt de instelling bij aan ISO 27001 controle A.9.4.2 dat betrekking heeft op de beveiliging van systemen en applicaties, waarbij specifiek aandacht wordt besteed aan de beveiliging van webbrowsers en webapplicaties. Vanuit CIS (Center for Internet Security) perspectief valt deze instelling onder de beveiligingsmaatregelen die worden aanbevolen voor Level 1 verharding, wat betekent dat dit een basisbeveiligingsmaatregel is die alle organisaties zouden moeten implementeren zonder significante impact op functionaliteit. Voor controledoeleinden moet de organisatie kunnen aantonen dat deze instelling is geconfigureerd en actief is op alle relevante apparaten. Dit vereist goede documentatie van het beleid, de implementatieprocedure, en regelmatige conformiteitsrapportages die aantonen dat de instelling correct is toegepast. De controlebewijs bestaat uit configuratiedocumentatie, conformiteitsrapporten uit Intune, en eventuele logs van monitoring en remediatieactiviteiten. Deze documentatie dient minimaal een jaar te worden bewaard conform standaard record retention policies, zodat controleurs kunnen verifiëren dat de organisatie continu conform is geweest met het beleid. Bij controles dient de organisatie ook te kunnen uitleggen waarom bepaalde apparaten mogelijk uitzonderingen hebben en hoe deze uitzonderingen worden beheerd en regelmatig worden geëvalueerd om te bepalen of ze nog steeds nodig zijn.
Compliance & Frameworks
- CIS M365: Control Security Controls (L1) - Security hardening
- BIO: 13.01.01 - Technical security measures
- ISO 27001:2022: A.12.6.1 - Technical vulnerability management
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Edge Security: Insecure Forms Warnings Enabled
.DESCRIPTION
CIS - Waarschuwingen voor insecure forms moeten enabled.
.NOTES
Filename: insecure-forms-warnings-enabled.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Edge\InsecureFormsWarningsEnabled|Expected: 1
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge"; $RegName = "InsecureFormsWarningsEnabled"; $ExpectedValue = 1
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "insecure-forms-warnings-enabled.ps1"; PolicyName = "Insecure Forms Warnings Enabled"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; if (-not(Test-Path $RegPath)) { $r.IsCompliant = $true; $r.Details += "Default enabled"; return $r }; try { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop; $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Insecure forms warnings enabled" }else { $r.Details += "Insecure forms warnings disabled" } }catch { $r.IsCompliant = $true; $r.Details += "Default" }; return $r }
function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Insecure forms warnings enabled" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
Medium: Diefstal van inloggegevens.
Management Samenvatting
Waarschuwingen moeten ingeschakeld worden.
- Implementatietijd: 2 uur
- FTE required: 0.01 FTE