L1 BIO 13.01.01 ISO A.12.6.1 CIS Security Controls

Beperking Van Inveilige Origins

📅 2025-10-30
⏱️ 2 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Beperk de mogelijkheden van inveilige origins om de browserbeveiliging te versterken en bekende aanvalsvectoren te voorkomen.

Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
7/10
Implementatie
2u (tech: 1u)
Van toepassing op:
Edge

Inveilige origins, zoals HTTP-verbindingen en niet-vertrouwde bronnen, vormen een significant beveiligingsrisico voor organisaties. Moderne browsers zoals Microsoft Edge bieden functionaliteiten die kunnen worden beperkt om te voorkomen dat websites en webtoepassingen verbindingen maken met deze onveilige bronnen. Door het beperken van deze mogelijkheden verhogen organisaties de algehele beveiligingspostuur van hun browseromgeving en verminderen zij de kans op man-in-the-middle aanvallen, datalekken en andere beveiligingsincidenten die kunnen ontstaan door het gebruik van onversleutelde of niet-vertrouwde verbindingen.

PowerShell Modules Vereist
Primary API: Graph
Connection: Connect-MgGraph
Required Modules: Microsoft.Graph.DeviceManagement

Implementatie

Dit beveiligingsbeleid configureert Microsoft Edge om de mogelijkheden van inveilige origins te beperken via Microsoft Intune device configuratiebeleidsregels. Wanneer dit beleid wordt geactiveerd, beperkt Edge automatisch de functionaliteiten die websites kunnen gebruiken wanneer ze verbinding maken met HTTP-sources, localhost zonder TLS, of andere als onveilig geclassificeerde origins. Deze beperkingen omvatten onder meer het blokkeren van bepaalde API's, het beperken van geolocatiefunctionaliteit, het uitschakelen van camera- en microfoontoegang, en andere privacy- en beveiligingsgevoelige functies die alleen veilig zijn bij gebruik over versleutelde verbindingen.

Vereisten

De succesvolle implementatie van het beveiligingsbeleid voor het beperken van inveilige origins in Microsoft Edge vereist een grondige voorbereiding en het voldoen aan specifieke technische en organisatorische vereisten. Deze vereisten vormen de fundering waarop een veilige en effectieve implementatie kan worden gebouwd, en het negeren ervan kan leiden tot implementatiefalen, beveiligingslekken of verstoring van kritieke bedrijfsprocessen. Nederlandse overheidsorganisaties dienen daarom zorgvuldig te evalueren of hun huidige infrastructuur en beheersomgeving voldoet aan alle benodigde voorwaarden voordat zij beginnen met de implementatie van dit beveiligingsbeleid. De eerste en meest fundamentele vereiste betreft de beschikbaarheid van een volledig geconfigureerde Microsoft Intune-omgeving. Microsoft Intune vormt het centrale beheerplatform waarmee het beveiligingsbeleid wordt geconfigureerd en uitgerold naar alle apparaten binnen de organisatie. Zonder een werkende Intune-omgeving is het simpelweg niet mogelijk om dit beleid te implementeren, wat betekent dat organisaties die nog geen Intune hebben geïmplementeerd eerst deze infrastructuur moeten opzetten voordat zij kunnen overgaan tot het configureren van het beveiligingsbeleid voor inveilige origins. De configuratie van Microsoft Intune omvat niet alleen de technische installatie en configuratie, maar ook het correct registreren van alle doelapparaten binnen het Mobile Device Management systeem. Dit betekent dat alle apparaten die beheerd moeten worden correct moeten zijn geregistreerd en verbonden met de Enterprise Mobility + Security infrastructuur, zodat zij kunnen worden bereikt door de device configuratiebeleidsregels die het beveiligingsbeleid implementeren. Naast de technische configuratie van Intune is het essentieel dat organisaties beschikken over de juiste licenties. Dit omvat minimaal Microsoft Intune licenties voor alle apparaten die beheerd moeten worden, waarbij het belangrijk is om te realiseren dat elk apparaat dat het beleid moet ontvangen een geldige licentie moet hebben. Daarnaast moeten organisaties beschikken over een Microsoft 365 E3 of E5 licentie waarbij Intune is inbegrepen, aangezien deze licenties de volledige functionaliteit van Intune beschikbaar maken. Het gebruik van beperktere licentiepakketten kan resulteren in het ontbreken van bepaalde functionaliteiten die nodig zijn voor de implementatie van dit beveiligingsbeleid. Een andere kritieke vereiste betreft de beschikking over de juiste beheerdersrechten binnen de Microsoft Entra ID omgeving. De beheerder die verantwoordelijk is voor de implementatie van het beveiligingsbeleid moet beschikken over rolgebaseerde toegangscontrole rechten die voldoende zijn om device configuratiebeleidsregels te kunnen maken, wijzigen en uitrollen. Specifiek moet de beheerder de rol van Intune-beheerder of globale beheerder hebben binnen de Microsoft Entra ID omgeving, aangezien deze rollen de benodigde rechten verlenen om wijzigingen aan te brengen in de device configuratiebeleidsregels. Het ontbreken van deze rechten zal resulteren in het niet kunnen configureren of uitrollen van het beveiligingsbeleid, wat betekent dat organisaties eerst moeten zorgen voor de juiste roltoewijzingen voordat zij kunnen beginnen met de implementatie. Een technische vereiste die niet over het hoofd mag worden gezien betreft de versie van Microsoft Edge die op de doelapparaten is geïnstalleerd. Het beveiligingsbeleid voor het beperken van inveilige origins is alleen volledig beschikbaar vanaf Microsoft Edge versie 88 of hoger. Apparaten die nog een oudere versie van Edge gebruiken zullen het beleid niet correct kunnen ontvangen of implementeren, wat betekent dat organisaties eerst moeten zorgen voor een upgrade van Edge naar de nieuwste versie voordat zij het beveiligingsbeleid kunnen uitrollen. Dit vereist vaak een coördinatie tussen de IT-afdeling die verantwoordelijk is voor software-updates en de security-afdeling die verantwoordelijk is voor de implementatie van beveiligingsbeleid. Een essentiële organisatorische vereiste betreft de beschikbaarheid van een gestructureerde testomgeving. Het implementeren van beveiligingsbeleid zonder eerst te testen in een gecontroleerde omgeving is een gevaarlijke praktijk die kan leiden tot onverwachte verstoringen van kritieke bedrijfsprocessen. De testomgeving moet een representatieve weergave zijn van de productieomgeving, met vergelijkbare apparaten, applicaties en gebruikersconfiguraties. In deze testomgeving kan het beveiligingsbeleid eerst worden gevalideerd om te controleren of het correct werkt en geen onbedoelde gevolgen heeft voor de functionaliteit van webtoepassingen. Dit is vooral belangrijk omdat sommige legacy-applicaties of interne systemen mogelijk nog afhankelijk zijn van HTTP-verbindingen of localhost-communicatie zonder TLS, en het beveiligingsbeleid kan deze applicaties blokkeren of beperken. Door eerst te testen in een gecontroleerde omgeving kunnen organisaties deze potentiële problemen identificeren en oplossen voordat het beleid wordt uitgerold naar productieapparaten. Ten slotte moeten organisaties een duidelijk proces hebben voor het beheren van uitzonderingen. Ondanks alle voorbereidingen en tests kan het voorkomen dat bepaalde applicaties of systemen tijdelijk niet compatibel zijn met het beveiligingsbeleid, terwijl zij toch essentieel zijn voor de dagelijkse bedrijfsvoering. In dergelijke gevallen moeten organisaties een gestructureerd proces hebben om uitzonderingen te kunnen maken, waarbij duidelijk wordt gedocumenteerd welke applicaties een uitzondering krijgen, waarom deze uitzondering nodig is, en wat het plan is om deze applicaties in de toekomst compatibel te maken met het beveiligingsbeleid. Dit proces moet voldoen aan de governance- en compliance-vereisten van de organisatie, en alle uitzonderingen moeten regelmatig worden geëvalueerd om te bepalen of zij nog steeds nodig zijn of kunnen worden opgeheven.

Implementatie

De implementatie van het beveiligingsbeleid voor het beperken van inveilige origins in Microsoft Edge is een complex proces dat zorgvuldige planning, systematische uitvoering en continue monitoring vereist. Een succesvolle implementatie begint niet bij het configureren van het beleid zelf, maar bij een grondige voorbereidingsfase waarin alle aspecten van de organisatie en haar IT-infrastructuur worden geanalyseerd. Deze voorbereidingsfase is cruciaal omdat het beveiligingsbeleid directe gevolgen kan hebben voor de functionaliteit van webtoepassingen en de dagelijkse werkprocessen van gebruikers. Het eerste en meest belangrijke onderdeel van de implementatie is de inventarisatiefase, waarin alle webtoepassingen die binnen de organisatie worden gebruikt worden geïdentificeerd en geanalyseerd. Tijdens deze fase moeten IT-beheerders een compleet overzicht creëren van alle applicaties die gebruikers dagelijks gebruiken, waarbij speciale aandacht wordt besteed aan applicaties die mogelijk nog afhankelijk zijn van HTTP-verbindingen, localhost-communicatie zonder TLS, of andere als onveilig geclassificeerde origins. Deze inventarisatie moet niet alleen externe webtoepassingen omvatten, maar ook interne systemen, legacy-applicaties, en ontwikkelomgevingen die mogelijk nog gebruik maken van onveilige verbindingen. Het is essentieel dat deze inventarisatie volledig en accuraat is, omdat onvolledige informatie kan leiden tot onverwachte problemen tijdens de implementatie. Elke geïdentificeerde applicatie die gebruik maakt van onveilige origins moet worden gedocumenteerd met details over de specifieke verbindingstype, de gebruikersgroepen die de applicatie gebruiken, de kritiekheid van de applicatie voor de bedrijfsvoering, en de mogelijkheid om te migreren naar veilige HTTPS-verbindingen. Deze documentatie vormt de basis voor het maken van beslissingen over welke applicaties prioriteit moeten krijgen voor migratie naar HTTPS, en welke applicaties mogelijk tijdelijk een uitzondering nodig hebben. Na de inventarisatiefase volgt de configuratiefase, waarin het beveiligingsbeleid daadwerkelijk wordt geconfigureerd via Microsoft Intune. Deze fase begint met het aanmaken van een nieuw device configuratiebeleid specifiek voor Microsoft Edge binnen de Microsoft Intune-portal. Tijdens het configureren van het beleid moet de beheerder de specifieke policy-instelling voor het beperken van inveilige origins activeren, waarbij het belangrijk is om te zorgen dat alle benodigde parameters correct zijn ingesteld. Het is aan te raden om tijdens deze fase gebruik te maken van de documentatie en best practices die beschikbaar zijn via Microsoft, om te zorgen dat het beleid wordt geconfigureerd volgens de aanbevolen instellingen. Na het configureren van het beleid moet het worden toegewezen aan de juiste gebruikersgroepen of apparaten, waarbij het belangrijk is om te beginnen met een beperkte groep voor testdoeleinden voordat het wordt uitgerold naar alle apparaten binnen de organisatie. De pilotfase vormt een kritiek onderdeel van de implementatie, omdat deze fase de mogelijkheid biedt om het beveiligingsbeleid te valideren in een gecontroleerde omgeving voordat het wordt uitgerold naar alle gebruikers. Tijdens de pilotfase wordt het beleid eerst uitgerold naar een kleine groep gebruikers binnen een testomgeving, waarbij deze gebruikers representatief moeten zijn voor de volledige gebruikerspopulatie. Het is belangrijk dat deze pilotgroep gebruikers omvat die verschillende soorten webtoepassingen gebruiken, zodat een breed scala aan scenario's kan worden getest. Tijdens de pilotperiode moeten IT-beheerders nauwlettend monitoren op eventuele meldingen van gebruikers die problemen ondervinden met webtoepassingen, waarbij elke melding moet worden gedocumenteerd en geanalyseerd om te bepalen of het probleem wordt veroorzaakt door het beveiligingsbeleid of door andere factoren. Deze monitoring moet niet alleen reactief zijn, maar ook proactief, waarbij IT-beheerders regelmatig contact opnemen met de pilotgebruikers om te vragen naar hun ervaringen en eventuele problemen die zij hebben ondervonden. Alle problemen die worden geïdentificeerd tijdens de pilotfase moeten worden gedocumenteerd en geanalyseerd, waarbij wordt bepaald of het probleem kan worden opgelost door aanpassingen aan het beleid, door het maken van uitzonderingen voor specifieke applicaties, of door andere maatregelen. Na succesvolle validatie in de testomgeving en pilotfase kan het beleid worden uitgerold naar productieapparaten via een gefaseerde aanpak. Deze gefaseerde aanpak is essentieel om te voorkomen dat eventuele problemen die tijdens de implementatie optreden een te grote impact hebben op de organisatie. De eerste fase van de productie-uitrol moet gericht zijn op niet-kritieke gebruikersgroepen, waarbij wordt gekozen voor groepen die relatief weinig gebruik maken van webtoepassingen of groepen die vooral gebruik maken van moderne applicaties die al volledig compatibel zijn met HTTPS. Na succesvolle uitrol naar deze eerste groepen kan het beleid geleidelijk worden uitgerold naar andere gebruikersgroepen, waarbij elke fase wordt gevolgd door een evaluatieperiode waarin wordt gecontroleerd of er problemen zijn opgetreden. Gedurende de volledige implementatieperiode is het essentieel om gebruikers te informeren over de wijzigingen die worden doorgevoerd en hen te adviseren over eventuele acties die zij moeten ondernemen. Deze communicatie moet duidelijk en tijdig zijn, waarbij gebruikers worden geïnformeerd over wat het beveiligingsbeleid doet, waarom het wordt geïmplementeerd, en wat de gevolgen kunnen zijn voor hun dagelijkse werk. Gebruikers moeten ook worden geadviseerd over wat zij moeten doen als zij problemen ondervinden, zoals het contact opnemen met de IT-helpdesk of het werken met de IT-afdeling om uitzonderingen aan te vragen indien dit legitiem gerechtvaardigd is. Deze communicatie moet niet alleen plaatsvinden vóór de implementatie, maar ook tijdens en na de implementatie, om te zorgen dat gebruikers op de hoogte blijven van de status van het beveiligingsbeleid en eventuele wijzigingen die worden doorgevoerd.

Gebruik PowerShell-script insecure-origins-restricted.ps1 (functie Invoke-Implementation) – Voor geautomatiseerde implementatie kan het bijgeleverde PowerShell script worden gebruikt dat beschikbaar is via code/edge/security/insecure-origins-restricted.ps1. Dit script configureert automatisch het Microsoft Intune device configuratiebeleid voor alle apparaten binnen de gespecificeerde groepen, en biedt uitgebreide logging en foutafhandeling voor een succesvolle implementatie..

Monitoring

Continue monitoring van de implementatie en het functioneren van het beveiligingsbeleid voor het beperken van inveilige origins vormt een essentieel onderdeel van een succesvolle beveiligingsstrategie. Monitoring is niet alleen belangrijk om te verifiëren dat het beleid correct werkt, maar ook om tijdig te kunnen identificeren wanneer er problemen optreden die de beveiliging of de functionaliteit van webtoepassingen kunnen beïnvloeden. Zonder adequate monitoring kunnen organisaties niet zeker weten of het beveiligingsbeleid daadwerkelijk de beoogde beveiligingsdoelen bereikt, of dat er onbedoelde gevolgen zijn die de dagelijkse werkprocessen van gebruikers verstoren. Het is daarom van cruciaal belang dat organisaties een gestructureerd monitoringproces opzetten dat verschillende aspecten van het beveiligingsbeleid regelmatig evalueert en rapporteert. De eerste en meest fundamentele vorm van monitoring betreft het controleren van de compliancestatus van het beveiligingsbeleid. IT-beheerders moeten regelmatig de Microsoft Intune-portal raadplegen om te controleren of alle apparaten binnen de organisatie het beveiligingsbeleid correct hebben ontvangen en geïmplementeerd. Deze controle moet niet alleen kijken naar het percentage apparaten dat compliant is, maar ook naar de specifieke redenen waarom bepaalde apparaten mogelijk niet compliant zijn. Het is belangrijk om te identificeren of non-compliance wordt veroorzaakt door technische problemen, zoals apparaten die niet correct zijn geregistreerd in Microsoft Intune, of door configuratiefouten in het beleid zelf. Door regelmatig de compliancestatus te controleren kunnen IT-beheerders tijdig problemen identificeren en oplossen voordat deze leiden tot beveiligingslekken of verstoringen van de bedrijfsvoering. Naast het monitoren van de compliancestatus is het essentieel om te monitoren welke webtoepassingen problemen ondervinden door de beperkingen op inveilige origins. Microsoft Edge biedt uitgebreide telemetrie en rapportagefunctionaliteiten die kunnen worden gebruikt om te identificeren wanneer gebruikers proberen toegang te krijgen tot webtoepassingen via onveilige verbindingen, en welke specifieke functionaliteiten worden geblokkeerd of beperkt. Deze informatie is waardevol omdat het IT-beheerders in staat stelt om tijdig in te grijpen wanneer kritieke applicaties worden beïnvloed door het beveiligingsbeleid. Het is belangrijk om niet alleen te kijken naar het aantal blokkeringen, maar ook naar de context van deze blokkeringen, zoals welke gebruikersgroepen worden beïnvloed, welke specifieke functionaliteiten worden geblokkeerd, en wat de impact is op de dagelijkse werkprocessen. Door deze informatie te analyseren kunnen organisaties besluiten om uitzonderingen toe te voegen voor specifieke interne webtoepassingen die tijdelijk nog niet kunnen worden gemigreerd naar HTTPS, of om aanvullende maatregelen te nemen om gebruikers te helpen bij het werken met veilige verbindingen. Een geavanceerde vorm van monitoring betreft het gebruik van Security Information and Event Management oplossingen, zoals Microsoft Sentinel, om waarschuwingen te ontvangen wanneer gebruikers proberen toegang te krijgen tot webtoepassingen via HTTP-verbindingen of andere als onveilig geclassificeerde origins. Deze waarschuwingen kunnen worden gebruikt om potentiële beveiligingsincidenten te identificeren, zoals pogingen tot man-in-the-middle aanvallen of het gebruik van gecompromitteerde verbindingen. Door deze waarschuwingen te analyseren kunnen organisaties niet alleen de effectiviteit van het beveiligingsbeleid evalueren, maar ook potentiële beveiligingsbedreigingen identificeren die anders mogelijk onopgemerkt zouden blijven. Het is belangrijk dat deze waarschuwingen niet alleen worden ontvangen, maar ook worden gedocumenteerd en geanalyseerd, zodat organisaties kunnen leren van deze incidenten en hun beveiligingsstrategie kunnen verbeteren. Tijdens de eerste maanden na implementatie moet er intensiever worden gemonitord dan in latere fasen, omdat dit de periode is waarin de meeste problemen naar verwachting zullen optreden. Tijdens deze periode moet er wekelijks worden gerapporteerd over de effectiviteit van het beleid, waarbij wordt gelet op verschillende indicatoren die kunnen wijzen op problemen met de implementatie. Deze indicatoren omvatten onder meer het aantal gebruikersmeldingen over problemen met webtoepassingen, het aantal incidenten waarbij gebruikers niet kunnen werken met bepaalde applicaties, het percentage apparaten dat niet compliant is, en het aantal waarschuwingen over pogingen tot toegang via onveilige verbindingen. Door deze indicatoren regelmatig te monitoren kunnen organisaties snel trends identificeren en tijdig maatregelen nemen om problemen op te lossen voordat deze escaleren. Na de eerste maanden kan de monitoringfrequentie worden verminderd, maar het blijft belangrijk om regelmatig te blijven monitoren om te zorgen dat het beveiligingsbeleid blijft functioneren zoals bedoeld. Op basis van de verzamelde monitoringgegevens kunnen organisaties verschillende beslissingen nemen om de effectiviteit van het beveiligingsbeleid te verbeteren. Als blijkt dat bepaalde interne webtoepassingen regelmatig problemen veroorzaken omdat zij nog niet kunnen worden gemigreerd naar HTTPS, kunnen organisaties besluiten om tijdelijk uitzonderingen toe te voegen voor deze applicaties, mits dit legitiem gerechtvaardigd is en wordt gedocumenteerd. Als blijkt dat gebruikers regelmatig proberen toegang te krijgen tot onveilige verbindingen zonder zich bewust te zijn van de risico's, kunnen organisaties besluiten om aanvullende communicatie naar gebruikers te verzenden over het belang van veilige webverbindingen en de risico's van het gebruik van onveilige verbindingen. Door deze beslissingen te baseren op concrete monitoringgegevens kunnen organisaties ervoor zorgen dat hun beveiligingsbeleid niet alleen effectief is, maar ook praktisch en gebruiksvriendelijk blijft.

Gebruik PowerShell-script insecure-origins-restricted.ps1 (functie Invoke-Monitoring) – Voor geautomatiseerde monitoring kan het bijgeleverde PowerShell script worden gebruikt dat beschikbaar is via code/edge/security/insecure-origins-restricted.ps1. Dit script controleert automatisch de compliancestatus van het beleid voor alle apparaten binnen de gespecificeerde groepen, en genereert uitgebreide rapporten over de implementatiestatus en eventuele problemen die zijn geïdentificeerd..

Remediatie

Remediatie vormt een kritiek onderdeel van het beheerproces voor het beveiligingsbeleid voor het beperken van inveilige origins, omdat het ervoor zorgt dat alle apparaten binnen de organisatie correct zijn geconfigureerd en compliant blijven met het beveiligingsbeleid. Wanneer monitoring aangeeft dat apparaten niet compliant zijn, moeten IT-beheerders onmiddellijk actie ondernemen om deze problemen op te lossen, omdat non-compliance kan leiden tot beveiligingslekken en het niet bereiken van de beoogde beveiligingsdoelen. Het remediatieproces moet gestructureerd en systematisch zijn, waarbij elke stap wordt gedocumenteerd en geëvalueerd om te zorgen dat de genomen maatregelen effectief zijn en geen nieuwe problemen veroorzaken. De eerste en meest belangrijke stap in het remediatieproces is het identificeren van de oorzaak van de non-compliance. Dit vereist een grondige analyse van de specifieke omstandigheden waarin de non-compliance optreedt, waarbij wordt gelet op verschillende mogelijke oorzaken. Een veelvoorkomende oorzaak van non-compliance is dat apparaten niet correct zijn geregistreerd in Microsoft Intune, waardoor zij het beveiligingsbeleid niet kunnen ontvangen of implementeren. In dergelijke gevallen moet de registratie van het apparaat worden geverifieerd en indien nodig worden gecorrigeerd, waarbij het belangrijk is om te zorgen dat het apparaat correct is verbonden met de Enterprise Mobility + Security infrastructuur. Een andere veelvoorkomende oorzaak is dat apparaten nog een verouderde versie van Microsoft Edge gebruiken die de benodigde functionaliteit voor het beveiligingsbeleid nog niet ondersteunt. In deze gevallen moet Edge worden bijgewerkt naar de nieuwste versie, waarbij het belangrijk is om te zorgen dat de update correct wordt uitgevoerd en dat het apparaat na de update opnieuw wordt gecontroleerd op compliance. Configuratiefouten in het device configuratiebeleid zelf kunnen ook leiden tot non-compliance, waarbij het beleid mogelijk niet correct is geconfigureerd of niet correct is toegewezen aan de juiste gebruikersgroepen of apparaten. In deze gevallen moet het beleid worden gecontroleerd en indien nodig worden gecorrigeerd in de Microsoft Intune-portal. Na het identificeren van de oorzaak van de non-compliance moeten IT-beheerders specifieke acties ondernemen om het probleem op te lossen. Deze acties variëren afhankelijk van de specifieke oorzaak, maar omvatten over het algemeen het bijwerken van Edge naar de nieuwste versie, het opnieuw uitrollen van het beleid naar niet-compliant apparaten, of het corrigeren van configuratiefouten in de Microsoft Intune-portal. Het is belangrijk dat deze acties worden uitgevoerd volgens een gestructureerd proces, waarbij elke stap wordt gedocumenteerd en geëvalueerd om te zorgen dat het probleem daadwerkelijk wordt opgelost. In gevallen waarin meerdere apparaten niet compliant zijn, kan het efficiënter zijn om geautomatiseerde remediatiescripts te gebruiken die dezelfde acties uitvoeren op alle niet-compliant apparaten, in plaats van elk apparaat individueel te behandelen. Naast het oplossen van technische problemen met non-compliance moeten organisaties ook aandacht besteden aan gevallen waarin webtoepassingen problemen ondervinden door de beperkingen op inveilige origins. In deze gevallen is het niet voldoende om alleen de technische configuratie te corrigeren, maar moeten organisaties ook een migratieplan ontwikkelen om deze applicaties te upgraden naar HTTPS-verbindingen. Dit migratieplan moet een duidelijk overzicht bevatten van welke applicaties moeten worden gemigreerd, welke stappen moeten worden ondernomen om de migratie uit te voeren, en welke tijdlijn wordt gehanteerd voor de migratie. In gevallen waarin een applicatie tijdelijk nog niet kan worden gemigreerd naar HTTPS, kunnen organisaties besluiten om tijdelijk een uitzondering te configureren, mits dit legitiem gerechtvaardigd is en wordt gedocumenteerd. Het is belangrijk dat deze uitzonderingen regelmatig worden geëvalueerd om te bepalen of zij nog steeds nodig zijn, en dat er een duidelijk plan is om de uitzondering in de toekomst op te heffen zodra de applicatie kan worden gemigreerd naar HTTPS. Tijdens het gehele remediatieproces is het essentieel om alle acties te documenteren, zodat er een duidelijk overzicht is van welke problemen zijn geïdentificeerd, welke maatregelen zijn genomen om deze problemen op te lossen, en wat de resultaten zijn van deze maatregelen. Deze documentatie is niet alleen belangrijk voor het bijhouden van de voortgang van het remediatieproces, maar ook voor auditdoeleinden en voor het leren van ervaringen om toekomstige problemen te voorkomen. Na het uitvoeren van remediatieacties is het belangrijk om te monitoren of de genomen maatregelen effectief zijn in het oplossen van de complianceproblemen. Dit betekent dat apparaten die niet compliant waren opnieuw moeten worden gecontroleerd om te verifiëren dat zij nu wel compliant zijn, en dat er geen nieuwe problemen zijn ontstaan als gevolg van de remediatieacties. Als blijkt dat de genomen maatregelen niet effectief zijn, moet het remediatieproces opnieuw worden doorlopen, waarbij wordt gezocht naar andere mogelijke oorzaken en oplossingen. Organisaties dienen tevens gebruik te maken van geautomatiseerde remediatiescripts waar mogelijk om de snelheid en consistentie van het oplossen van complianceproblemen te verbeteren. Deze scripts kunnen worden gebruikt om automatisch acties uit te voeren zoals het bijwerken van Edge, het opnieuw uitrollen van beleid, of het corrigeren van configuratiefouten, waardoor IT-beheerders tijd besparen en ervoor zorgen dat alle apparaten op dezelfde manier worden behandeld. Het gebruik van geautomatiseerde scripts helpt ook om menselijke fouten te voorkomen en zorgt ervoor dat het remediatieproces reproduceerbaar en betrouwbaar is.

Gebruik PowerShell-script insecure-origins-restricted.ps1 (functie Invoke-Remediation) – Voor geautomatiseerde remediatie kan het bijgeleverde PowerShell script worden gebruikt dat beschikbaar is via code/edge/security/insecure-origins-restricted.ps1. Dit script voert automatisch remediatieacties uit op niet-compliant apparaten, zoals het opnieuw uitrollen van het beleid of het bijwerken van Edge naar de nieuwste versie, en genereert uitgebreide logging over alle uitgevoerde acties..

Compliance en Auditing

De implementatie van het beleid voor het beperken van inveilige origins in Microsoft Edge draagt substantieel bij aan de naleving van verschillende cruciale compliance- en beveiligingsstandaarden die van fundamenteel belang zijn voor Nederlandse overheidsorganisaties. Dit beveiligingsbeleid vormt een essentiële component in het waarborgen van veilige digitale omgevingen en het voldoen aan zowel nationale als internationale regelgevingsvereisten. Voor Nederlandse publieke organisaties is het beperken van inveilige origins niet alleen een technische beveiligingsmaatregel, maar ook een verplichting die voortvloeit uit verschillende wettelijke en normatieve kaders die de bescherming van persoonsgegevens en informatiebeveiliging voorschrijven. Het beveiligingsbeleid ondersteunt de naleving van de Algemene Verordening Gegevensbescherming (AVG) door het waarborgen van veilige, versleutelde verbindingen bij de verwerking van persoonsgegevens via webtoepassingen. Dit is essentieel voor het voldoen aan de technische en organisatorische maatregelen zoals beschreven in Artikel 32 van de AVG, dat organisaties verplicht om passende technische en organisatorische maatregelen te treffen om persoonsgegevens te beschermen tegen ongeautoriseerde toegang, verlies of vernietiging. Door het blokkeren van HTTP-verbindingen en het beperken van functionaliteiten op onveilige origins, voorkomt dit beleid dat persoonsgegevens worden blootgesteld aan risico's tijdens transmissie, wat een kritieke vereiste is voor AVG-naleving. Daarnaast ondersteunt dit beleid de naleving van de Baseline Informatiebeveiliging Overheid (BIO) door het implementeren van technische beveiligingsmaatregelen die bescherming bieden tegen ongeautoriseerde toegang tot informatiesystemen en de daarop opgeslagen gegevens. De BIO vereist dat overheidsorganisaties adequate beveiligingsmaatregelen treffen om informatie te beschermen, en het beperken van inveilige origins draagt direct bij aan het voldoen aan deze vereisten door het verminderen van de aanvalsoppervlakte en het voorkomen van man-in-the-middle aanvallen. Organisaties dienen alle configuratie-instellingen, implementatieplannen, monitoringrapporten en remediatieacties volledig en gestructureerd te documenteren voor auditdoeleinden. Deze documentatie moet een duidelijk overzicht bevatten van welke apparaten zijn geconfigureerd met het beleid, wanneer het beleid is geïmplementeerd, welke gebruikersgroepen zijn betrokken bij de implementatie, en welke uitzonderingen zijn gemaakt voor specifieke webtoepassingen of interne systemen. Het is van cruciaal belang dat organisaties kunnen aantonen dat het beveiligingsbeleid correct is geconfigureerd volgens de best practices en dat alle configuratie-instellingen zijn gedocumenteerd met duidelijke rechtvaardigingen voor eventuele afwijkingen van de standaardinstellingen. Tijdens audits moeten organisaties kunnen demonstreren dat het beveiligingsbeleid niet alleen correct is geconfigureerd en geïmplementeerd, maar ook dat er een continu proces van monitoring en evaluatie plaatsvindt om te zorgen voor blijvende compliance. Dit omvat het regelmatig controleren van de compliancestatus van apparaten, het analyseren van incidenten waarbij gebruikers proberen toegang te krijgen tot onveilige origins, en het periodiek evalueren van de effectiviteit van het beleid. Organisaties moeten kunnen aantonen dat eventuele non-compliance problemen tijdig zijn geïdentificeerd, gedocumenteerd en opgelost volgens een gestructureerd remediatieproces. De documentatie moet minimaal één jaar worden bewaard conform de bewaartermijnen zoals voorgeschreven in de BIO en andere relevante regelgeving, en moet beschikbaar zijn voor zowel interne als externe auditors die de naleving van beveiligingsstandaarden en compliance-vereisten evalueren. Daarnaast moeten organisaties kunnen aantonen dat zij regelmatig audits uitvoeren om te verifiëren dat het beleid correct wordt toegepast en dat eventuele wijzigingen in de configuratie worden gedocumenteerd en goedgekeurd volgens de vastgestelde governanceprocessen. Het is essentieel dat organisaties een duidelijk audit trail kunnen presenteren die laat zien hoe het beleid is geïmplementeerd, hoe het wordt gemonitord, en hoe eventuele problemen worden opgelost, zodat auditors kunnen verifiëren dat de organisatie voldoet aan alle relevante compliance-vereisten en beveiligingsstandaarden.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Edge Security: Insecure Origins Restricted .DESCRIPTION CIS - Insecure (HTTP) origins moeten restricted worden voor security features. .NOTES Filename: insecure-origins-restricted.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Edge\OverrideSecurityRestrictionsOnInsecureOrigin|Expected: empty/not configured #> #Requires -Version 5.1 #Requires -RunAsAdministrator [CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert) $ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge"; $RegName = "OverrideSecurityRestrictionsOnInsecureOrigin" function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) } function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "insecure-origins-restricted.ps1"; PolicyName = "Insecure Origins Restricted"; IsCompliant = $true; CurrentValue = $null; Details = @() }; if (-not(Test-Path $RegPath)) { $r.Details += "Default: insecure restricted"; return $r }; try { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop; if ($null -ne $v.$RegName) { $r.IsCompliant = $false; $r.CurrentValue = $v.$RegName; $r.Details += "Insecure origins override configured" }else { $r.Details += "Insecure origins restricted" } }catch { $r.Details += "Insecure origins restricted" }; return $r } function Invoke-Remediation { if (Test-Path $RegPath) { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }; Write-Host "Insecure origins restrictions actief" -ForegroundColor Green } function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r } function Invoke-Revert { Write-Host "No revert action" } try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }

Risico zonder implementatie

Risico zonder implementatie
High: Man-in-the-middle aanvallen.

Management Samenvatting

Beperk de mogelijkheden van onveilige verbindingsbronnen om de browserbeveiliging te versterken en bekende aanvalsvectoren te voorkomen.