L2 CIS Edge Security

JavaScript JIT Uitgeschakeld Voor Specifieke Sites

📅 2025-10-30
⏱️ 4 minuten lezen
🟢 Nice-to-Have

💼 Management Samenvatting

Schakel JavaScript JIT-compilatie uit voor specifieke hoogrisico sites om het aanvalsoppervlak te verkleinen.

Aanbeveling
DEFER
Risico zonder
Low
Risk Score
3/10
Implementatie
2u (tech: 1u)
Van toepassing op:
Edge

JIT-compilator kwetsbaarheden worden regelmatig misbruikt voor browser exploits. Voor specifieke hoogrisico sites kan JIT worden uitgeschakeld voor extra bescherming tegen geavanceerde aanvallen.

PowerShell Modules Vereist
Primary API: Intune/GPO
Connection: N/A
Required Modules:

Implementatie

Configureer het JavaScriptJitBlockedForSites beleid met een lijst van hoogrisico domeinen waar JIT moet worden uitgeschakeld.

Vereisten

Voor het succesvol implementeren van JavaScript JIT-blokkering per site zijn verschillende technische en organisatorische vereisten van essentieel belang. Deze beveiligingsmaatregel vereist een grondige voorbereiding en een goed doordachte aanpak om effectief te zijn binnen de organisatorische context van Nederlandse overheidsorganisaties. Technisch gezien moet de organisatie beschikken over Microsoft Edge als standaard webbrowser, waarbij versie 88 of hoger wordt aanbevolen voor optimale ondersteuning van deze geavanceerde beveiligingsfunctie. De browser moet centraal worden beheerd via Microsoft Intune of Group Policy, zodat uniforme configuratie mogelijk is op alle apparaten binnen de organisatie. Deze centrale beheersing is cruciaal omdat JIT-blokkering per site alleen effectief is wanneer deze consistent wordt toegepast op alle eindapparaten waar gebruikers toegang hebben tot hoogrisico websites. Daarnaast is een uitgebreide en gestructureerde risicoanalyse vereist om te bepalen welke websites als hoogrisico moeten worden aangemerkt en daarom JIT-blokkering vereisen. Dit proces vereist intensieve samenwerking tussen security teams, IT-beheerders en business stakeholders om een evenwicht te vinden tussen beveiligingsdoelstellingen en operationele behoeften. Organisaties moeten een gestructureerde methodologie ontwikkelen voor het identificeren van sites die extra bescherming vereisen. Deze methodologie moet rekening houden met verschillende factoren zoals websites met historische beveiligingsincidenten, externe applicaties met beperkte vertrouwensrelaties, sites die toegang bieden tot gevoelige bedrijfsgegevens, of websites die regelmatig worden gebruikt voor kritieke bedrijfsprocessen maar waarvan de beveiligingsstatus onzeker is. Technisch gezien moet de IT-afdeling beschikken over de benodigde administratieve rechten en toegang voor het configureren van Edge-beleid via Intune of Group Policy. Dit omvat toegang tot de Microsoft Endpoint Manager console voor Intune-implementaties, of Group Policy Management Console voor on-premises omgevingen. De beheerder moet grondig vertrouwd zijn met Edge-beleidsinstellingen en de specifieke syntax voor het definiëren van domeinlijsten. Bovendien moet de beheerder begrijpen hoe Edge-beleid wordt geëvalueerd en toegepast, inclusief de prioritering van beleidsregels wanneer meerdere configuraties van toepassing zijn. Organisatorisch is het van cruciaal belang dat er een robuust proces bestaat voor het onderhouden en beheren van de lijst met geblokkeerde sites. Dit vereist regelmatige evaluatie en updates, aangezien de risicoprofielen van websites dynamisch kunnen veranderen. Een governanceproces moet worden opgezet waarbij security teams periodiek de effectiviteit van de blokkering evalueren en nieuwe sites toevoegen of verwijderen op basis van actuele dreigingsinformatie, risicoanalyses en feedback van gebruikers en helpdeskafdelingen. Dit proces moet worden gedocumenteerd en geïntegreerd in de bredere beveiligingsgovernance van de organisatie. Bovendien moet er aandacht zijn voor de impact op gebruikerservaring en productiviteit. Organisaties moeten een proces hebben voor het afhandelen van uitzonderingen en het evalueren van verzoeken om sites toe te voegen of te verwijderen. Dit vereist duidelijke criteria en een gestructureerd besluitvormingsproces waarbij zowel beveiligings- als bedrijfsbelangen worden afgewogen.

Implementatie

De implementatie van JavaScript JIT-blokkering per site is een proces dat zorgvuldige planning en uitvoering vereist om succesvol te zijn. Het begint met het voorbereiden van een gestructureerde en goed gedocumenteerde lijst van hoogrisico domeinen die extra bescherming vereisen. Deze lijst moet worden opgesteld in nauwe samenwerking met security teams, risicomanagement afdelingen en relevante business stakeholders. De lijst moet gebaseerd zijn op uitgebreide risicoanalyses, historische incidentdata, actuele dreigingsinformatie en inzicht in de bedrijfsprocessen die afhankelijk zijn van specifieke websites. Elke domeinnaam in de lijst moet exact en volledig worden gespecificeerd, inclusief alle relevante subdomeinen indien van toepassing. Het is belangrijk om te begrijpen dat Edge JIT-blokkering per site werkt op domeinniveau, wat betekent dat alle pagina's binnen een geblokkeerd domein worden beïnvloed. Daarom moet de lijst zorgvuldig worden samengesteld om onbedoelde impact op legitieme bedrijfsprocessen te voorkomen. Voor implementatie via Microsoft Intune begint het proces met het navigeren naar de Endpoint Manager console, waar beheerders toegang hebben tot alle configuratiemogelijkheden voor beheerde apparaten. Binnen de console selecteert de beheerder Devices gevolgd door Configuration profiles, wat toegang geeft tot alle bestaande configuratieprofielen en de mogelijkheid om nieuwe profielen aan te maken. Vervolgens wordt een nieuw profiel aangemaakt met het profieltype Settings catalog, wat een moderne en flexibele manier biedt om Edge-beleid te configureren. Binnen de settings catalog wordt gezocht naar de categorie Microsoft Edge, die alle beschikbare Edge-beleidsinstellingen bevat. Specifiek wordt gezocht naar de instelling JavaScriptJitBlockedForSites, die zich bevindt binnen de Edge-beveiligingsinstellingen. Deze instelling accepteert een lijst van domeinnamen, gescheiden door komma's of nieuwe regels, afhankelijk van de voorkeur van de beheerder. Het is belangrijk om te zorgen voor consistente formatting om fouten te voorkomen. Bij het configureren van de domeinlijst is het van cruciaal belang om de exacte syntax te volgen zoals gespecificeerd door Microsoft. Domeinnamen moeten worden opgegeven zonder protocol prefix, wat betekent dat geen http:// of https:// moet worden gebruikt. Bovendien mogen er geen paden of query parameters worden opgegeven. Alleen de domeinnaam zelf is vereist, zoals example.com of subdomain.example.com. Wildcards worden niet ondersteund door deze instelling, wat betekent dat elk subdomein expliciet moet worden opgegeven indien JIT-blokkering ook voor subdomeinen moet gelden. Na het configureren van de instelling en het opslaan van het profiel, moet het profiel worden toegewezen aan de relevante gebruikersgroepen of apparaten. Deze toewijzing bepaalt welke gebruikers en apparaten het beleid zullen ontvangen. Organisaties worden sterk aangeraden om te kiezen voor een gefaseerde implementatie, waarbij eerst een beperkte testgroep wordt geconfigureerd. Deze testgroep moet bestaan uit technisch vaardige gebruikers die kunnen helpen bij het valideren dat de functionaliteit correct werkt zonder onverwachte impact op productiviteit of bedrijfsprocessen. Monitoring van de implementatie is essentieel gedurende alle fasen van de rollout. Beheerders moeten regelmatig verifiëren dat het beleid correct wordt toegepast op alle doelapparaten en dat gebruikers geen onverwachte problemen ondervinden met websites die belangrijk zijn voor hun dagelijkse werkzaamheden. Feedback van de testgroep moet worden verzameld en geëvalueerd voordat de implementatie wordt uitgebreid naar grotere gebruikersgroepen. Voor organisaties die Group Policy gebruiken in plaats van Intune, kan hetzelfde beleid worden geconfigureerd via de Group Policy Management Console, die beschikbaar is in on-premises Active Directory omgevingen. Het pad naar de instelling is Computer Configuration gevolgd door Administrative Templates, dan Microsoft Edge, en ten slotte JavaScriptJitBlockedForSites. De configuratie vereist exact hetzelfde formaat voor de domeinlijst als bij Intune-implementaties, wat zorgt voor consistentie ongeacht de beheermethode die wordt gebruikt. Na configuratie moet het Group Policy Object worden gekoppeld aan de relevante organisatie-eenheden om ervoor te zorgen dat het beleid wordt toegepast op de juiste apparaten.

Monitoring

Gebruik PowerShell-script javascript-jit-disabled-sites.ps1 (functie Invoke-Monitoring) – Controleren.

Effectieve monitoring van de JavaScript JIT-blokkering per site vereist een uitgebreide en gestructureerde aanpak die zowel technische als organisatorische aspecten omvat. Monitoring is geen eenmalige activiteit maar een continu proces dat essentieel is voor het waarborgen van de effectiviteit van de beveiligingsmaatregel en het identificeren van mogelijke verbeterpunten. Technisch gezien moet de implementatie van het beleid regelmatig worden geverifieerd via Microsoft Intune of Group Policy Management, afhankelijk van de gebruikte beheermethode. In Intune kunnen beheerders de status van configuratieprofielen uitgebreid monitoren via de Endpoint Manager console, waarbij wordt gecontroleerd of het beleid succesvol is geïmplementeerd op alle doelapparaten. De console biedt gedetailleerde informatie over de compliance status van apparaten, eventuele fouten bij de implementatie, en de tijd die nodig was voor de configuratie om actief te worden. De monitoringstrategie moet meerdere complementaire lagen omvatten om een volledig beeld te krijgen van de status en effectiviteit van de implementatie. Ten eerste moet worden geverifieerd dat het beleid daadwerkelijk actief is op eindapparaten en correct wordt toegepast door de Edge-browser. Dit kan worden gedaan door gebruik te maken van PowerShell-scripts die de Edge-registerinstellingen controleren en rapporteren over de configuratiestatus. Alternatief kunnen gebruikers worden gevraagd om de Edge-beleidsstatus te raadplegen via edge://policy, wat een gebruiksvriendelijke manier biedt om te verifiëren dat het beleid actief is. De scriptreferentie in deze sectie biedt geautomatiseerde monitoringmogelijkheden die regelmatig kunnen worden uitgevoerd als onderdeel van een gestructureerd monitoringproces. Daarnaast is het van cruciaal belang om de impact van de JIT-blokkering te monitoren op gebruikerservaring en productiviteit. Hoewel JIT-blokkering de beveiliging aanzienlijk verhoogt door het verminderen van het aanvalsoppervlak, kan het de prestaties van JavaScript-toepassingen beïnvloeden op de geblokkeerde sites. Dit kan leiden tot langzamere laadtijden, verminderde functionaliteit van webapplicaties, of in sommige gevallen volledige incompatibiliteit met bepaalde websites. Security teams moeten daarom intensief samenwerken met helpdeskafdelingen om trends te identificeren in gebruikersmeldingen die mogelijk verband houden met de JIT-blokkering. Deze samenwerking helpt bij het vroegtijdig identificeren van problemen en het nemen van corrigerende maatregelen voordat de impact te groot wordt. Organisatorisch moet er een gestructureerd en gedocumenteerd proces zijn voor het periodiek evalueren van de effectiviteit van de geblokkeerde sites. Security teams moeten regelmatig, bijvoorbeeld kwartaalijks of halfjaarlijks, beoordelen of de huidige lijst nog steeds relevant is en of deze nog steeds aansluit bij de actuele dreigingslandschap en organisatorische behoeften. Deze evaluaties moeten onderzoeken of nieuwe sites moeten worden toegevoegd op basis van nieuwe dreigingsinformatie, veranderende bedrijfsprocessen, of nieuwe externe applicaties die worden gebruikt. Tegelijkertijd moeten sites worden geëvalueerd voor verwijdering wanneer het risico is afgenomen, wanneer alternatieve beveiligingsmaatregelen zijn geïmplementeerd, of wanneer de site niet langer wordt gebruikt. Deze evaluaties moeten worden gedocumenteerd met duidelijke rationale voor beslissingen en kunnen worden gebruikt voor compliance-doeleinden, audits en toekomstige referentie. Monitoring moet ook uitgebreide compliance-aspecten omvatten. Organisaties moeten kunnen aantonen dat het beleid actief is geïmplementeerd, correct wordt onderhouden, en regelmatig wordt geëvalueerd. Dit is met name relevant voor organisaties die moeten voldoen aan frameworks zoals CIS Controls, NIST Cybersecurity Framework, of de Baseline Informatiebeveiliging Overheid, waarbij geavanceerde beveiligingsmaatregelen worden verwacht en gedocumenteerd moeten worden. Regelmatige rapportage over de status van de implementatie, eventuele wijzigingen in de domeinlijst, en de resultaten van evaluaties moet worden onderhouden voor auditdoeleinden. Deze documentatie moet voldoen aan de retentievereisten zoals gespecificeerd in de auditEvidence sectie en moet toegankelijk zijn voor auditors en compliance officers.

Compliance en Auditing

JavaScript JIT-blokkering per site draagt op verschillende manieren bij aan compliance met cybersecurity frameworks en normen die relevant zijn voor Nederlandse overheidsorganisaties. Deze beveiligingsmaatregel moet worden gezien als onderdeel van een bredere compliance strategie die organisaties helpt bij het voldoen aan zowel internationale als nationale beveiligingsstandaarden. Binnen het CIS Edge Benchmark wordt deze maatregel beschouwd als een geavanceerde beveiligingscontrole die organisaties helpt bij het implementeren van defense-in-depth strategieën. De CIS Controls benadrukken het belang van gelaagde beveiliging waarbij meerdere beveiligingsmaatregelen samenwerken om een robuuste verdediging te bieden tegen verschillende soorten aanvallen. JIT-blokkering per site past perfect binnen deze filosofie door een extra beveiligingslaag toe te voegen die specifiek gericht is op het verminderen van het risico van browser exploits die gebruik maken van JIT-compilator kwetsbaarheden. Voor Nederlandse publieke sector organisaties is compliance met de Baseline Informatiebeveiliging Overheid (BIO) van fundamenteel belang. De BIO vormt het centrale kader voor informatiebeveiliging binnen de Nederlandse overheid en stelt eisen aan de manier waarop organisaties omgaan met informatiebeveiliging. Hoewel de BIO geen specifieke technische vereisten stelt voor JIT-blokkering per site, draagt deze maatregel significant bij aan de algemene beveiligingsdoelstellingen zoals beschreven in de BIO-normen. De maatregel helpt bij het beschermen van informatie en systemen tegen bedreigingen, wat direct aansluit bij de BIO-principes voor risicomanagement en beveiligingscontroles. Bovendien helpt de maatregel organisaties bij het voldoen aan de BIO-vereiste om passende beveiligingsmaatregelen te implementeren op basis van risicoanalyses. Auditing van deze maatregel vereist dat organisaties uitgebreide documentatie kunnen overleggen die aantoont dat het beleid actief is geïmplementeerd, correct wordt onderhouden, en regelmatig wordt geëvalueerd. Auditors zullen waarschijnlijk vragen naar de methodologie die is gebruikt voor het identificeren van hoogrisico sites, de criteria die zijn toegepast bij het bepalen welke sites moeten worden geblokkeerd, en de processen die zijn opgezet voor het beheren van de domeinlijst. Daarnaast zullen auditors willen weten wat de frequentie is van updates aan de domeinlijst, wie verantwoordelijk is voor het beheren van de lijst, en hoe beslissingen worden genomen over het toevoegen of verwijderen van sites. Documentatie van beslissingen, risicoanalyses, evaluatierapporten en wijzigingen aan de configuratie is essentieel voor een succesvolle audit en moet voldoen aan de documentatievereisten zoals gespecificeerd in de auditEvidence sectie. Organisaties moeten ook uitgebreid rekening houden met de relatie tussen deze maatregel en andere Edge-beveiligingsinstellingen die zijn geïmplementeerd. JIT-blokkering per site moet worden gezien als onderdeel van een bredere en geïntegreerde beveiligingsstrategie, waarbij ook Enhanced Security Mode, SmartScreen, en andere Edge-beveiligingsfuncties worden geïmplementeerd. Deze verschillende maatregelen werken samen om een gelaagde verdediging te bieden waarbij elke laag een specifiek aspect van browser beveiliging adresseert. Auditors zullen waarschijnlijk vragen naar de samenhang tussen verschillende beveiligingsmaatregelen, hoe deze samenwerken om een complete beveiligingsoplossing te bieden, en of er mogelijk conflicten of overlappingen zijn tussen verschillende instellingen die moeten worden opgelost. Voor compliance-doeleinden is het van cruciaal belang dat organisaties een duidelijk gedefinieerd en gedocumenteerd governanceproces hebben voor het beheren van de JIT-blokkering. Dit proces moet gedefinieerde rollen en verantwoordelijkheden omvatten, waarbij duidelijk is wie verantwoordelijk is voor het beheren van de domeinlijst, wie beslissingen neemt over het toevoegen of verwijderen van sites, en wie verantwoordelijk is voor het monitoren van de effectiviteit. Het proces moet ook regelmatige evaluaties van de effectiviteit omvatten, waarbij wordt beoordeeld of de maatregel nog steeds relevant is en of aanpassingen nodig zijn. Alle wijzigingen aan de configuratie, beslissingen over sites, en resultaten van evaluaties moeten worden gedocumenteerd met duidelijke rationale en moeten worden bewaard voor de gespecificeerde retentieperiode. De retentieperiode voor auditbewijs, zoals gespecificeerd in de auditEvidence sectie, moet strikt worden gerespecteerd om te voldoen aan compliance-vereisten en om organisaties in staat te stellen om tijdens audits te bewijzen dat de maatregel correct is geïmplementeerd en onderhouden.

Remediatie

Gebruik PowerShell-script javascript-jit-disabled-sites.ps1 (functie Invoke-Remediation) – Herstellen.

Remediatie van problemen met JavaScript JIT-blokkering per site vereist een systematische en gestructureerde aanpak die begint met het grondig identificeren van de onderliggende oorzaak van het probleem. Problemen kunnen zich voordoen op verschillende niveaus, van technische implementatieproblemen tot organisatorische uitdagingen, en elk type probleem vereist een specifieke aanpak. Wanneer het beleid niet correct wordt toegepast op eindapparaten, moeten beheerders eerst een uitgebreide verificatie uitvoeren om te bepalen waar het probleem zich voordoet. Dit begint met het controleren of het configuratieprofiel correct is geïmplementeerd via Intune of Group Policy, afhankelijk van de gebruikte beheermethode. In Intune omvat dit het controleren van de profielstatus in de Endpoint Manager console, waarbij wordt gecontroleerd of het profiel succesvol is geïmplementeerd, of er fouten zijn opgetreden tijdens de implementatie, en of het profiel de juiste status heeft. Daarnaast moet worden geverifieerd dat de toewijzingen aan gebruikersgroepen of apparaten correct zijn geconfigureerd en dat de doelgroepen daadwerkelijk de juiste gebruikers en apparaten bevatten. Het is ook belangrijk om te controleren of er conflicterende beleidsregels zijn die de implementatie kunnen blokkeren of overschrijven, wat kan gebeuren wanneer meerdere configuratieprofielen van toepassing zijn op hetzelfde apparaat. Als het beleid niet wordt toegepast ondanks correcte configuratie, kunnen verschillende technische oorzaken aan de basis liggen. Apparaten die niet correct zijn ingeschreven in Intune of niet verbonden zijn met het domein voor Group Policy-implementaties zullen het beleid niet ontvangen omdat ze niet kunnen communiceren met de beheersystemen. Beheerders moeten de apparaatstatus uitgebreid verifiëren door te controleren of apparaten correct zijn ingeschreven, of de inschrijving actief is, en of er geen problemen zijn met de verbinding tussen apparaten en de beheersystemen. Eventuele inschrijvingsproblemen moeten worden opgelost voordat het beleid kan worden toegepast. Daarnaast kunnen synchronisatievertragingen voorkomen, vooral bij nieuwe implementaties of wanneer grote aantallen apparaten betrokken zijn. In dergelijke gevallen kan het enige tijd duren voordat het beleid op alle apparaten actief is, wat normaal is maar wel moet worden gemonitord om te verifiëren dat de synchronisatie uiteindelijk succesvol is. Voor apparaten waar het beleid wel is geïmplementeerd maar niet correct functioneert, moeten beheerders diepgaand onderzoek doen naar de Edge-registerinstellingen en de browserconfiguratie. Het kan zijn dat de registerinstellingen niet correct zijn toegepast, dat er lokale configuraties zijn die het beleid overschrijven, of dat er problemen zijn met de Edge-browser zelf. De scriptreferentie in deze sectie biedt geautomatiseerde remediatiemogelijkheden die kunnen helpen bij het herstellen van de configuratie door de registerinstellingen te controleren en indien nodig te corrigeren. In sommige gevallen kan het nodig zijn om het Edge-profiel opnieuw te synchroniseren door het apparaat opnieuw te starten, de browser volledig te sluiten en opnieuw te openen, of door gebruikers te vragen om de Edge-beleidsstatus te raadplegen via edge://policy om te verifiëren dat het beleid wordt herkend. Wanneer gebruikers problemen melden met specifieke websites na implementatie van JIT-blokkering, moeten security teams een zorgvuldige afweging maken tussen beveiligingsdoelstellingen en functionele behoeften. Als een website legitiem is en essentieel voor bedrijfsprocessen, maar problemen ondervindt door JIT-blokkering die de functionaliteit significant beïnvloeden, moet worden overwogen of de site moet worden verwijderd uit de blokkeringslijst of dat alternatieve beveiligingsmaatregelen kunnen worden geïmplementeerd. Deze beslissingen moeten worden genomen volgens een gestructureerd proces waarbij wordt geëvalueerd wat het risico is van het verwijderen van de site, welke alternatieve beveiligingsmaatregelen beschikbaar zijn, en wat de impact is op bedrijfsprocessen. Alle beslissingen moeten worden gedocumenteerd met duidelijke rationale en moeten worden goedgekeurd volgens het governanceproces van de organisatie, waarbij zowel security als business stakeholders betrokken zijn. Remediatie moet ook uitgebreid rekening houden met de bredere beveiligingscontext en de plaats van JIT-blokkering per site binnen de totale beveiligingsstrategie. Als JIT-blokkering per site niet haalbaar blijkt voor een organisatie vanwege technische beperkingen, organisatorische uitdagingen, of onacceptabele impact op productiviteit, moeten alternatieve maatregelen worden overwogen. Enhanced Security Mode biedt bijvoorbeeld een bredere maar minder specifieke JIT-bescherming die mogelijk beter aansluit bij de behoeften van sommige organisaties. Security teams moeten regelmatig evalueren of de huidige aanpak effectief is, of de maatregel nog steeds relevant is gezien veranderende dreigingen, en of aanpassingen nodig zijn op basis van nieuwe inzichten, feedback van gebruikers, of veranderende organisatorische behoeften. Deze evaluaties moeten leiden tot continue verbetering van de beveiligingsmaatregelen en moeten worden gedocumenteerd als onderdeel van het governanceproces.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Edge Security: JavaScript JIT Disabled Sites .DESCRIPTION CIS - Voor specifieke sites kan JavaScript JIT disabled worden. .NOTES Filename: javascript-jit-disabled-sites.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Edge\JavaScriptJitBlockedForSites|Expected: configured #> #Requires -Version 5.1 #Requires -RunAsAdministrator [CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert) $ErrorActionPreference = 'Stop' function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) } function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "javascript-jit-disabled-sites.ps1"; PolicyName = "JavaScript JIT Disabled Sites"; IsCompliant = $true; Details = @() }; $r.Details += "Configure via GPO/Intune"; return $r } function Invoke-Remediation { Write-Host "Configure JavaScriptJitBlockedForSites policy" -ForegroundColor Yellow } function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`nJavaScript JIT Disabled Sites: COMPLIANT" -ForegroundColor Green; return $r } function Invoke-Revert { Write-Host "No action" } try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit 0 }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit 0 } }catch { Write-Error $_; exit 1 }

Risico zonder implementatie

Risico zonder implementatie
Low: Laag risico. Enhanced Security Mode biedt betere JIT-bescherming. Site-specifieke JIT-blokkering is een niche gebruiksscenario.

Management Samenvatting

JIT-blokkering per site is een geavanceerde functie. Gebruik Enhanced Security Mode in plaats daarvan voor brede JIT-bescherming.