L1 BIO 13.01.01 ISO A.12.6.1 CIS Security Controls

JavaScript JIT Beheerd

📅 2025-10-30
⏱️ 2 minuten lezen
🟢 Should-Have

💼 Management Samenvatting

JavaScript Just-In-Time compilatie vormt een kritieke beveiligingscomponent in moderne webbrowsers zoals Microsoft Edge. Deze techniek verbetert de prestaties van JavaScript-code door deze tijdens runtime te compileren naar machinetaal, maar introduceert tegelijkertijd potentiële beveiligingsrisico's die zorgvuldig beheerd moeten worden. Voor Nederlandse overheidsorganisaties die voldoen aan de BIO-normen en AVG-vereisten is het essentieel om controle te hebben over deze technologie om zowel prestaties als beveiliging te waarborgen.

Aanbeveling
CONSIDER
Risico zonder
Medium
Risk Score
5/10
Implementatie
2u (tech: 1u)
Van toepassing op:
Edge

Het beheren van JavaScript JIT-compilatie is van fundamenteel belang voor de beveiligingspostuur van organisaties. Zonder adequate controle kunnen aanvallers misbruik maken van JIT-compilatie om geavanceerde exploitatie-technieken uit te voeren, waaronder Return-Oriented Programming (ROP) en Just-In-Time Return-Oriented Programming (JIT-ROP) aanvallen. Deze aanvalsmethoden kunnen worden gebruikt om beveiligingsmechanismen zoals Data Execution Prevention (DEP) en Address Space Layout Randomization (ASLR) te omzeilen. Door JIT-compilatie te beheren via beleidsregels kunnen organisaties de aanvalsoppervlakte verkleinen en de beveiliging van hun browseromgeving aanzienlijk verbeteren. Bovendien stelt dit beheer organisaties in staat om compliance te waarborgen met relevante beveiligingsstandaarden zoals de BIO-normen en ISO 27001.

PowerShell Modules Vereist
Primary API: Graph
Connection: Connect-MgGraph
Required Modules: Microsoft.Graph.DeviceManagement

Implementatie

Dit beveiligingsregel configureert het JavaScript JIT-beleid via Microsoft Intune device configuratiebeleidsregels voor Microsoft Edge. Het beleid stelt organisaties in staat om te bepalen of JavaScript JIT-compilatie is ingeschakeld of uitgeschakeld voor alle gebruikers binnen de organisatie. De configuratie wordt centraal beheerd via de Microsoft Graph API en wordt automatisch toegepast op alle apparaten die zijn geregistreerd in Microsoft Intune. Deze aanpak zorgt voor consistente beveiligingsinstellingen binnen de gehele organisatie en vereenvoudigt het beheer en de monitoring van browserbeveiligingsconfiguraties.

Vereisten

Voor de implementatie van JavaScript JIT-beheer zijn verschillende technische en organisatorische vereisten van toepassing die zorgvuldig moeten worden overwogen voordat de configuratie wordt doorgevoerd. De eerste en meest fundamentele vereiste is de beschikbaarheid van een actieve Microsoft Intune-licentie die geschikt is voor het beheer van device configuratiebeleidsregels. Organisaties die deze functionaliteit willen benutten moeten beschikken over een geldige Microsoft 365 E3 of E5 licentie, of over een Microsoft Intune standalone licentie die specifiek is bedoeld voor device management doeleinden. Deze licenties zijn essentieel omdat ze toegang verschaffen tot de device configuration policies functionaliteit die nodig is om JavaScript JIT-compilatie te beheren op organisatieniveau. Zonder deze licentie is het niet mogelijk om de benodigde beleidsregels te configureren en toe te passen op de doelapparaten binnen de organisatie. Naast licentievereisten is het van cruciaal belang dat alle doelapparaten correct zijn geregistreerd in Microsoft Intune via een van de ondersteunde registratiemethoden. Deze methoden omvatten Azure AD join waarbij apparaten direct worden toegevoegd aan Azure Active Directory, Hybrid Azure AD join waarbij apparaten zijn gekoppeld aan zowel on-premises Active Directory als Azure AD, en Mobile Device Management of MDM registratie waarbij apparaten worden beheerd via een MDM-provider. Voor Windows-apparaten betekent dit concreet dat de apparaten moeten zijn toegevoegd aan Azure Active Directory, of dat er een hybride configuratie aanwezig moet zijn waarbij zowel on-premises Active Directory als Azure AD worden gebruikt in een geïntegreerde omgeving. Deze registratie is fundamenteel omdat zonder registratie apparaten niet kunnen deelnemen aan het Microsoft Intune-beheerproces en daarom ook geen configuratiebeleidsregels kunnen ontvangen. Een aanvullende technische vereiste betreft de browserinstallatie op de doelapparaten. Alle apparaten waarop de JavaScript JIT-configuratie moet worden toegepast moeten beschikken over de Microsoft Edge browser, bij voorkeur de Enterprise-versie die specifiek is ontworpen voor organisatiebeheer en uitgebreide policy-ondersteuning biedt. De Enterprise-versie van Edge biedt betere integratie met Microsoft Intune en ondersteunt een breder scala aan beveiligingsinstellingen dan de reguliere consumentenversie. Vanuit een beveiligingsperspectief is het eveneens belangrijk dat de beheerders die deze configuratie implementeren beschikken over de juiste rechten en bevoegdheden binnen Microsoft Intune. Dit vereist typisch de rol van Intune Service Administrator die specifieke rechten heeft voor het beheren van Intune-configuraties, of de rol van Global Administrator die volledige rechten heeft binnen de Microsoft 365-omgeving. Organisaties kunnen er ook voor kiezen om aangepaste rollen te creëren met specifieke rechten voor het beheren van device configuration policies, wat de mogelijkheid biedt om beheerrechten te beperken tot alleen die functionaliteiten die nodig zijn voor deze specifieke taak. Dit volgt het principe van least privilege access waarbij gebruikers alleen de minimale rechten krijgen die nodig zijn voor hun werkzaamheden. Organisaties moeten ook rekening houden met netwerkvereisten en connectiviteitsaspecten, aangezien apparaten verbinding moeten kunnen maken met de Microsoft Intune-service en de Microsoft Graph API om beleidsconfiguraties te ontvangen en statusrapportages te verzenden. Dit betekent dat apparaten toegang moeten hebben tot de benodigde Microsoft cloudservices via het internet, en dat eventuele firewalls of netwerkbeveiligingsapparaten moeten zijn geconfigureerd om deze communicatie toe te staan. Voor organisaties die werken met gevoelige gegevens of specifieke compliance-vereisten, zoals de BIO-normen die gelden voor Nederlandse overheidsorganisaties, is het bovendien sterk aan te raden om een gestructureerd change management proces te doorlopen voordat deze configuratie wordt geïmplementeerd. Dit proces moet uitgebreide documentatie bevatten van de beoogde configuratie en de verwachte impact, een grondige risicoanalyse waarin potentiële beveiligingsrisico's en operationele impact worden geëvalueerd, en een gedetailleerd rollback-plan dat beschrijft hoe de configuratie kan worden teruggedraaid in het geval dat de implementatie onverwachte gevolgen heeft voor de bedrijfsvoering of gebruikerservaring.

Implementatie

De implementatie van JavaScript JIT-beheer begint met een grondige planning en voorbereiding die essentieel zijn voor een succesvolle en probleemloze implementatie. Voordat de daadwerkelijke configuratie wordt toegepast, is het van kritiek belang om een uitgebreide inventarisatie te maken van alle apparaten die door deze wijziging zullen worden beïnvloed. Deze inventarisatie omvat het identificeren van alle Windows-apparaten die zijn geregistreerd in Microsoft Intune en die Microsoft Edge gebruiken als primaire of secundaire browser. Het is belangrijk om niet alleen te kijken naar apparaten die expliciet zijn aangemerkt als doelapparaten, maar ook naar apparaten die indirect kunnen worden beïnvloed door deze configuratiewijziging. Organisaties moeten ook zorgvuldig bepalen welke gebruikersgroepen of apparaten als eerste de nieuwe configuratie zullen ontvangen, waarbij een gefaseerde implementatiestrategie sterk wordt aanbevolen om eventuele problemen vroegtijdig te kunnen identificeren en te verhelpen voordat de configuratie organisatiebreed wordt toegepast. Deze gefaseerde aanpak vermindert het risico op grootschalige problemen en biedt de mogelijkheid om lessen te trekken uit de eerste implementatiefase die kunnen worden toegepast in latere fases. De daadwerkelijke implementatie wordt uitgevoerd via Microsoft Intune door het creëren van een nieuwe device configuration policy die specifiek is bedoeld voor Microsoft Edge. Deze policy wordt geconfigureerd met de instelling om JavaScript JIT-compilatie te beheren, waarbij organisaties kunnen kiezen tussen verschillende configuratie-opties. De eerste optie betreft het volledig uitschakelen van JIT-compilatie voor maximale beveiliging, wat de meest restrictieve aanpak is maar ook de hoogste mate van beveiligingsbescherming biedt tegen JIT-gerelateerde aanvalsmethoden. De tweede optie omvat het implementeren van gecontroleerde JIT-compilatie met specifieke beperkingen en beveiligingsmaatregelen die de risico's van JIT-compilatie beperken terwijl een bepaald niveau van prestaties behouden blijft. De keuze tussen deze opties hangt af van de specifieke beveiligingsvereisten van de organisatie, de aard van de webapplicaties die worden gebruikt, en de acceptabele balans tussen beveiliging en prestaties. Tijdens de implementatiefase is het van essentieel belang om continu te monitoren of de policy correct wordt toegepast op de doelapparaten en of er geen fouten of problemen optreden tijdens het implementatieproces. Deze monitoring kan worden uitgevoerd via de Microsoft Intune portal waar de compliance status van elk apparaat real-time zichtbaar is, waardoor beheerders onmiddellijk kunnen zien welke apparaten de configuratie succesvol hebben ontvangen en welke apparaten mogelijk problemen ondervinden. De portal biedt gedetailleerde informatie over de status van de policy-implementatie, inclusief eventuele foutmeldingen of waarschuwingen die kunnen helpen bij het identificeren en oplossen van problemen. Organisaties moeten ook uitvoerig rekening houden met de mogelijke impact op de prestaties van webapplicaties, aangezien het uitschakelen of beperken van JIT-compilatie kan leiden tot merkbaar langzamere JavaScript-uitvoering in bepaalde webapplicaties. Deze prestatie-impact kan met name merkbaar zijn in complexe webapplicaties die intensief gebruik maken van JavaScript voor interactieve functionaliteiten of real-time dataverwerking. Om deze impact te minimaliseren en te begrijpen wordt daarom sterk aanbevolen om eerst een uitgebreide pilot uit te voeren met een beperkte groep gebruikers die representatief is voor de organisatie. Deze pilot maakt het mogelijk om de daadwerkelijke impact op gebruikerservaring en applicatieprestaties te evalueren voordat de configuratie organisatiebreed wordt geïmplementeerd, waardoor eventuele problemen kunnen worden geïdentificeerd en opgelost voordat ze de gehele organisatie beïnvloeden.

Gebruik PowerShell-script javascript-jit-controlled.ps1 (functie Invoke-Monitoring) – Monitoren.

Monitoring

Continue monitoring van de JavaScript JIT-configuratie vormt een essentieel onderdeel van het beveiligingsbeheer en is cruciaal om te waarborgen dat de beveiligingsinstellingen correct worden toegepast, actief blijven, en effectief worden gehandhaafd over de gehele organisatie. Organisaties moeten daarom een gestructureerd en systematisch monitoringproces implementeren dat regelmatig en consistent controleert of alle doelapparaten de juiste configuratie hebben ontvangen, of deze configuratie actief blijft op alle apparaten, en of er geen ongeautoriseerde wijzigingen zijn aangebracht die de beveiligingspostuur van de organisatie kunnen aantasten. Het monitoringproces moet zich richten op verschillende kritieke aspecten van de implementatie om een volledig beeld te krijgen van de configuratiestatus en eventuele problemen. Het eerste en meest fundamentele aspect betreft de verificatie dat de device configuration policy daadwerkelijk is toegepast op alle beoogde apparaten binnen de organisatie. Deze verificatie kan worden uitgevoerd via de Microsoft Intune compliance reports die uitgebreide informatie bieden over de status van policy-implementaties per apparaat. Deze reports geven per apparaat duidelijk aan of de policy succesvol is geïmplementeerd en actief is, of dat er fouten of problemen zijn opgetreden tijdens de toepassing van de configuratie. De reports bieden ook inzicht in de timing van de implementatie, waardoor beheerders kunnen zien wanneer apparaten de configuratie hebben ontvangen en of er vertragingen zijn opgetreden in het implementatieproces. Naast het monitoren van bestaande apparaten is het eveneens belangrijk om actief te monitoren of apparaten die nieuw worden toegevoegd aan de organisatie automatisch en correct de juiste configuratie ontvangen zodra zij worden geregistreerd in Microsoft Intune. Dit vereist regelmatige en systematische controles van de device registratie processen en verificatie dat nieuwe apparaten correct worden toegevoegd aan de relevante security groups of device groups die zijn gekoppeld aan de JavaScript JIT-configuratiepolicy. Het is belangrijk om te verifiëren dat het automatische provisioning proces correct functioneert en dat nieuwe apparaten niet worden gemist of overgeslagen in het configuratieproces, wat zou kunnen leiden tot beveiligingsgaten waarbij sommige apparaten niet de vereiste beveiligingsinstellingen hebben. Monitoring moet ook uitvoerige aandacht besteden aan eventuele wijzigingen in de configuratie die mogelijk onbedoeld of ongeautoriseerd zijn geïntroduceerd, bijvoorbeeld door andere beheerders die mogelijk niet op de hoogte zijn van de configuratievereisten, door automatische updates van Microsoft Intune die configuraties kunnen wijzigen, of door externe factoren zoals systeemupdates of wijzigingen in de organisatiestructuur. Om dit te voorkomen en te detecteren moeten organisaties daarom een robuust change management proces implementeren dat alle wijzigingen aan device policies systematisch documenteert, goedkeurt voordat ze worden doorgevoerd, en traceerbaar maakt zodat duidelijk is wie welke wijzigingen heeft aangebracht en waarom. Dit proces moet ook meldingen of alerting bevatten wanneer wijzigingen worden gedetecteerd, zodat beheerders onmiddellijk kunnen reageren op ongeautoriseerde of onbedoelde configuratiewijzigingen. Voor compliance doeleinden, met name voor organisaties die moeten voldoen aan de BIO-normen die gelden voor Nederlandse overheidsorganisaties of ISO 27001 certificeringsvereisten, is het bovendien van kritiek belang om regelmatig en gestructureerd audit logs te genereren die uitgebreid aantonen dat de monitoring daadwerkelijk heeft plaatsgevonden volgens de geplande frequentie en procedures, dat eventuele afwijkingen zijn geïdentificeerd en gedocumenteerd, en dat deze afwijkingen zijn gecorrigeerd in overeenstemming met de organisatorische procedures en compliance-vereisten. Deze audit logs dienen niet alleen als bewijs van naleving voor interne en externe audits, maar vormen ook een waardevolle bron van informatie voor het continu verbeteren van het monitoringproces en het identificeren van patronen of trends die kunnen wijzen op systematische problemen of verbetermogelijkheden.

Gebruik PowerShell-script javascript-jit-controlled.ps1 (functie Invoke-Monitoring) – Controleren.

Remediatie

Wanneer monitoring activiteiten aangeven dat de JavaScript JIT-configuratie niet correct is toegepast op een of meer apparaten, of dat er afwijkingen zijn geconstateerd die wijzen op niet-conforme configuraties, moet een gestructureerd en systematisch remediatieproces worden gevolgd dat ervoor zorgt dat de afwijkingen op een effectieve en efficiënte manier worden verholpen. Het remediatieproces begint altijd met een grondige analyse en het identificeren van de onderliggende oorzaak van de afwijking, omdat alleen door het begrijpen van de oorzaak een effectieve oplossing kan worden geïmplementeerd die niet alleen de directe afwijking verhelpt, maar ook voorkomt dat het probleem zich in de toekomst opnieuw voordoet. Mogelijke oorzaken van configuratieafwijkingen kunnen sterk variëren en omvatten technische problemen zoals netwerkconnectiviteitsproblemen die voorkomen dat apparaten succesvol kunnen communiceren met de Microsoft Intune-service en daardoor de policy niet kunnen ontvangen of synchroniseren. Andere technische oorzaken kunnen betrekking hebben op problemen met de apparaatregistratie zelf, waarbij apparaten niet correct zijn geregistreerd in Microsoft Intune of niet zijn toegevoegd aan de juiste device groups die zijn gekoppeld aan de JavaScript JIT-configuratiepolicy. Naast technische problemen kunnen ook configuratiefouten een oorzaak zijn, waarbij apparaten bijvoorbeeld niet correct zijn toegevoegd aan de relevante device groups of security groups die nodig zijn voor de policy-toepassing, of waarbij de policy-configuratie zelf fouten bevat die voorkomen dat deze correct wordt toegepast. In sommige gevallen kunnen ook gebruikers of lokale beheerders de configuratie handmatig hebben gewijzigd, hetzij opzettelijk hetzij onbewust, wat ook moet worden geïdentificeerd en gecorrigeerd om te waarborgen dat de beveiligingsinstellingen consistent blijven over de gehele organisatie. Zodra de onderliggende oorzaak is vastgesteld door middel van een grondige analyse van de afwijking, de configuratie-instellingen, en de eventuele error logs of audit trails, moet een passende en effectieve remediatieactie worden ondernomen die specifiek is afgestemd op de geïdentificeerde oorzaak. Voor apparaten die de policy niet hebben ontvangen als gevolg van technische problemen kan dit betekenen dat de policy handmatig opnieuw moet worden toegepast via de Microsoft Intune portal, of dat het apparaat opnieuw moet worden gesynchroniseerd met Microsoft Intune om de configuratie opnieuw te laten proberen. In gevallen waarin de oorzaak ligt in configuratiefouten zoals onjuiste device group-toewijzingen, moeten deze fouten worden gecorrigeerd door de apparaten toe te voegen aan de correcte groups en vervolgens te verifiëren dat de policy nu succesvol wordt toegepast. In gevallen waarin de configuratie is gewijzigd door gebruikers of lokale beheerders, is het van kritiek belang om grondig te onderzoeken of dit is gebeurd met of zonder autorisatie, en om passende maatregelen te nemen om te voorkomen dat dit in de toekomst opnieuw gebeurt. Als de wijziging ongeautoriseerd was, kan dit bijvoorbeeld betekenen dat gebruikersrechten moeten worden aangepast om te voorkomen dat gebruikers of lokale beheerders configuraties kunnen wijzigen die betrekking hebben op beveiligingsinstellingen, of dat aanvullende monitoring en alerting moet worden geïmplementeerd die onmiddellijk melding geeft wanneer configuratiewijzigingen worden gedetecteerd. Het remediatieproces moet ook uitgebreide documentatie bevatten van alle acties die zijn ondernomen tijdens het remediatieproces, inclusief de geïdentificeerde oorzaak, de genomen remediatieacties, en het resultaat van deze acties inclusief verificatie dat de afwijking daadwerkelijk is verholpen. Deze documentatie is niet alleen belangrijk voor compliance doeleinden en audit trails, maar helpt ook bij het identificeren van patronen of trends die kunnen wijzen op systematische problemen die een meer structurele oplossing vereisen dan alleen incident-specifieke remediatie. Door deze patronen te identificeren kunnen organisaties hun beveiligingsprocessen en configuraties proactief verbeteren om toekomstige afwijkingen te voorkomen.

Gebruik PowerShell-script javascript-jit-controlled.ps1 (functie Invoke-Remediation) – Herstellen.

Compliance en Naleving

Compliance en naleving vormen een kritiek en onmisbaar onderdeel van het beheer van JavaScript JIT-configuraties, met name voor Nederlandse overheidsorganisaties die moeten voldoen aan strikte en uitgebreide beveiligingsstandaarden die zijn vastgelegd in verschillende compliance frameworks en regelgeving. De implementatie en het beheer van deze configuratie dragen substantieel bij aan het voldoen aan verschillende compliance-vereisten en beveiligingsstandaarden die van toepassing zijn op Nederlandse overheidsorganisaties en andere organisaties die werken met gevoelige gegevens. Een van de belangrijkste compliance-frameworks waaraan deze configuratie bijdraagt zijn de BIO-normen of Baseline Informatiebeveiliging Overheid, specifiek controle 13.01.01 die betrekking heeft op technische beveiligingsmaatregelen die organisaties moeten implementeren om beveiligingsrisico's te mitigeren en te beheersen. Deze controle vereist dat organisaties passende en effectieve technische maatregelen implementeren die aantoonbaar bijdragen aan de beveiligingspostuur van de organisatie, en het beheren van JavaScript JIT-compilatie vormt een concrete en meetbare invulling van deze vereiste door een specifieke beveiligingsrisico te adresseren en te mitigeren. Daarnaast sluit deze configuratie naadloos aan bij ISO 27001 controle A.12.6.1, die betrekking heeft op technisch kwetsbaarheidsbeheer en vereist dat organisaties passende maatregelen implementeren om bekende kwetsbaarheden te identificeren, te beoordelen, en te mitigeren. Door JIT-compilatie proactief te beheren via beleidsconfiguraties verminderen organisaties systematisch de aanvalsoppervlakte van hun browseromgeving en beperken ze de mogelijkheden voor aanvallers om gebruik te maken van bekende kwetsbaarheden en exploitatie-technieken die gerelateerd zijn aan JIT-compilatie mechanismen in moderne webbrowsers. Deze aanpak volgt het principe van defense in depth waarbij meerdere beveiligingslagen worden geïmplementeerd om de beveiligingspostuur te versterken en de impact van potentiële beveiligingsincidenten te minimaliseren. Voor nalevingsdoeleinden en compliance-verificatie is het essentieel en verplicht dat organisaties uitgebreide en gestructureerde documentatie bijhouden van alle aspecten van de implementatie, configuratie, monitoring, en remediatie van deze beveiligingsmaatregel. Deze documentatie moet op minimaal de rationale voor de implementatie bevatten, waarin duidelijk wordt uitgelegd waarom deze specifieke configuratie is geïmplementeerd en welke beveiligingsrisico's hiermee worden gemitigeerd. De documentatie moet ook de gekozen configuratie-instellingen in detail beschrijven, zodat duidelijk is welke specifieke instellingen zijn geconfigureerd en waarom deze instellingen zijn gekozen in plaats van alternatieve configuraties. Bovendien moet de documentatie uitgebreide informatie bevatten over de resultaten van alle monitoring activiteiten die zijn uitgevoerd, inclusief de frequentie van monitoring, de methoden die zijn gebruikt, en de resultaten en bevindingen van deze monitoring activiteiten. De documentatie moet ook alle remediatieacties omvatten die zijn ondernomen wanneer afwijkingen zijn geconstateerd, inclusief de oorzaken van deze afwijkingen, de genomen acties, en de resultaten van deze acties. Auditeurs moeten op basis van deze documentatie kunnen verifiëren dat de configuratie daadwerkelijk is geïmplementeerd volgens de geplande specificaties, dat deze configuratie actief wordt gehandhaafd en gemonitord, en dat eventuele afwijkingen die zijn geïdentificeerd tijdens monitoring activiteiten zijn gecorrigeerd in overeenstemming met de organisatorische procedures en compliance-vereisten. Om deze verificatie mogelijk te maken moeten organisaties daarom regelmatig en gestructureerd compliance reports genereren die uitgebreid aantonen dat de configuratie actief is en correct wordt toegepast op alle relevante apparaten binnen de organisatie. Deze reports moeten niet alleen de huidige status van de configuratie weergeven, maar ook historische informatie bevatten die aantoont dat de configuratie consistent is gehandhaafd over een bepaalde periode. De reports moeten worden opgeslagen voor de vereiste bewaartermijn die wordt gespecificeerd door de relevante compliance frameworks, waarbij voor veel frameworks zoals de BIO-normen en ISO 27001 minimaal één jaar bewaartermijn wordt vereist, en moeten beschikbaar zijn voor zowel interne als externe audits die kunnen worden uitgevoerd door interne auditafdelingen, externe auditeurs, of toezichthoudende instanties.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Edge Security: JavaScript JIT Controlled .DESCRIPTION CIS - JavaScript JIT compilation moet geconfigureerd voor performance vs security. .NOTES Filename: javascript-jit-controlled.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Edge\DefaultJavaScriptJitSetting|Expected: configured #> #Requires -Version 5.1 #Requires -RunAsAdministrator [CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert) $ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge"; $RegName = "DefaultJavaScriptJitSetting"; $ExpectedValue = 1 function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) } function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "javascript-jit-controlled.ps1"; PolicyName = "JavaScript JIT Controlled"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; if (-not(Test-Path $RegPath)) { $r.IsCompliant = $true; $r.Details += "Default JIT enabled"; return $r }; try { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop; $r.CurrentValue = $v.$RegName; $r.IsCompliant = $true; $r.Details += "JIT configured: $($r.CurrentValue)" }catch { $r.IsCompliant = $true; $r.Details += "Default" }; return $r } function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "JavaScript JIT controlled" -ForegroundColor Green } function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r } function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue } try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }

Risico zonder implementatie

Risico zonder implementatie
Medium: Just-in-time compilatie aanvallen.

Management Samenvatting

Beheer JIT.