💼 Management Samenvatting
Het blokkeren van verouderde browser extensies vormt een kritieke beveiligingsmaatregel voor organisaties die Microsoft Edge gebruiken in hun IT-omgeving. Legacy extensies, ook wel oudere extensies genoemd, vertegenwoordigen een significant beveiligingsrisico omdat ze vaak niet meer worden onderhouden door ontwikkelaars en bekende kwetsbaarheden bevatten die door aanvallers kunnen worden misbruikt.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
7/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Edge
Deze instelling verhoogt de beveiliging van de browser aanzienlijk en voorkomt bekende aanvalsvectoren die voortkomen uit verouderde extensies. Door legacy extensies te blokkeren, vermindert een organisatie het aanvalsoppervlak en beschermt zij gebruikers tegen malware, data-exfiltratie en andere cyberdreigingen. Voor Nederlandse overheidsorganisaties is dit van bijzonder belang gezien de strenge eisen vanuit de BIO-normen en AVG-verplichtingen met betrekking tot gegevensbescherming.
PowerShell Modules Vereist
Primary API: Graph
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
Dit beveiligingsbeleid configureert Microsoft Edge om automatisch verouderde extensies te blokkeren via Microsoft Intune device configuratiebeleidsregels. Het beleid werkt op basis van de manifestversie van extensies en voorkomt dat gebruikers extensies kunnen installeren of gebruiken die niet voldoen aan de moderne beveiligingsstandaarden van de browser.
Vereisten
De implementatie van legacy extension blocking vereist een grondige voorbereiding op zowel technisch als organisatorisch vlak. Deze beveiligingsmaatregel kan alleen effectief worden geïmplementeerd wanneer alle benodigde componenten, licenties en processen op hun plaats zijn. Voor Nederlandse overheidsorganisaties is het van cruciaal belang om te voldoen aan de vereisten voordat het beleid wordt geactiveerd, omdat dit direct invloed heeft op de beveiligingspostuur en compliance-status van de organisatie. Microsoft Intune vormt de kern van de technische infrastructuur die nodig is voor deze implementatie. Als centrale beheersoplossing voor device configuratiebeleidsregels biedt Intune de mogelijkheid om Edge-beleid centraal te configureren en te distribueren naar alle beheerde apparaten binnen de organisatie. Zonder Intune of een vergelijkbare Mobile Device Management oplossing is het niet mogelijk om dit beleid op schaal te implementeren, wat betekent dat organisaties zonder deze infrastructuur eerst moeten investeren in de opzet van een MDM-oplossing voordat legacy extension blocking kan worden geactiveerd. De keuze voor Microsoft Intune is logisch gezien de integratie met de Microsoft 365-omgeving die de meeste Nederlandse overheidsorganisaties al gebruiken. Naast de technische infrastructuur is een geldige Microsoft 365 licentie vereist die Intune-ondersteuning omvat. Dit kan variëren van Microsoft 365 Business Premium tot Enterprise E3 of E5 licenties, afhankelijk van de organisatiegrootte en behoeften. Voor overheidsorganisaties zijn er specifieke licentieovereenkomsten beschikbaar die Intune-functionaliteit omvatten, zoals de Microsoft 365 Government-licenties die voldoen aan de specifieke eisen voor overheidsorganisaties. Het is belangrijk om te verifiëren dat alle gebruikers of apparaten die onder het beleid vallen beschikken over de juiste licentie, omdat anders het beleid niet kan worden toegepast. Vanuit technisch perspectief moeten alle doelapparaten zijn ingeschreven in Microsoft Intune en beschikken over een ondersteunde versie van Microsoft Edge. Het beleid werkt het beste met moderne versies van Edge die regelmatig worden bijgewerkt, omdat deze de nieuwste beveiligingsfuncties bevatten die nodig zijn voor effectieve extensieblokkering. Verouderde versies van Edge kunnen mogelijk niet alle beveiligingsfuncties ondersteunen die nodig zijn voor legacy extension blocking, wat betekent dat organisaties mogelijk eerst een upgrade-strategie moeten implementeren voordat het beleid kan worden geactiveerd. Het is raadzaam om een inventarisatie te maken van alle Edge-versies binnen de organisatie en een plan te ontwikkelen voor het bijwerken van verouderde installaties. Organisatorisch gezien is het belangrijk dat de IT-afdeling beschikt over de juiste rechten en rollen binnen Microsoft Intune. Minimaal zijn Intune-beheerdersrechten vereist voor het configureren en toepassen van device configuratiebeleidsregels. Deze rechten kunnen worden toegewezen via de Azure Active Directory, waarbij specifieke rollen zoals Intune Service Administrator of Global Administrator de benodigde toegang bieden. Het is belangrijk om het principe van least privilege toe te passen, waarbij alleen de personen die daadwerkelijk betrokken zijn bij de configuratie en het beheer van het beleid over de benodigde rechten beschikken. Daarnaast is het raadzaam om een proces te hebben voor het beoordelen en goedkeuren van extensies die mogelijk nodig zijn voor specifieke bedrijfsprocessen, zodat uitzonderingen op het beleid kunnen worden gemaakt waar nodig. Dit proces moet duidelijk gedocumenteerd zijn en moet een balans vinden tussen beveiliging en functionaliteit. Tot slot is communicatie met eindgebruikers essentieel voor het succes van de implementatie. Gebruikers moeten worden geïnformeerd over het beleid en de redenen waarom bepaalde extensies worden geblokkeerd. Dit voorkomt verwarring en helpt bij de acceptatie van de beveiligingsmaatregel. Een duidelijke procedure voor het aanvragen van uitzonderingen op het beleid moet beschikbaar zijn voor gebruikers die legitieme bedrijfsbehoeften hebben voor specifieke extensies. Deze procedure moet transparant zijn en moet gebruikers in staat stellen om een verzoek in te dienen met een duidelijke rechtvaardiging voor de benodigde extensie. Het proces moet ook een beoordelingsfase omvatten waarbij de IT-afdeling en eventueel de security-afdeling de aanvraag evalueren op basis van beveiligingsrisico's en bedrijfsbehoeften.
Implementatie
De implementatie van legacy extension blocking vereist een gestructureerde aanpak die begint met grondige voorbereiding en planning. Voordat het beleid wordt geactiveerd, is het cruciaal om een uitgebreide inventarisatie te maken van alle extensies die momenteel binnen de organisatie worden gebruikt. Deze inventarisatie vormt de basis voor het begrijpen van de potentiële impact op gebruikers en bedrijfsprocessen. Zonder een volledig beeld van de huidige extensie-omgeving kan de implementatie leiden tot onverwachte verstoringen van kritieke bedrijfsprocessen. De inventarisatie kan worden uitgevoerd via Microsoft Intune rapportage, die inzicht biedt in welke extensies op welke apparaten zijn geïnstalleerd. Daarnaast kunnen PowerShell-scripts worden gebruikt om de extensie-inventarisatie te automatiseren en te standaardiseren, wat vooral waardevol is voor grotere organisaties met honderden of duizenden apparaten. Deze scripts kunnen regelmatig worden uitgevoerd om een actueel beeld te behouden van de extensie-omgeving, wat essentieel is voor het effectief beheren van het legacy extension blocking beleid. Een belangrijke overweging tijdens de implementatie is de keuze tussen een gefaseerde of volledige rollout. Voor grotere organisaties wordt een gefaseerde aanpak sterk aanbevolen, waarbij het beleid eerst wordt getest op een beperkte groep gebruikers, zoals de IT-afdeling of een specifieke afdeling die bekend staat om hun technische vaardigheden en begrip voor beveiligingsmaatregelen. Deze gefaseerde aanpak maakt het mogelijk om eventuele problemen te identificeren en op te lossen voordat het beleid organisatiebreed wordt uitgerold. Tijdens deze testfase kunnen feedback en ervaringen worden verzameld die helpen bij het verfijnen van het beleid en het ontwikkelen van ondersteunende documentatie en procedures. Voor kleinere organisaties kan een volledige rollout acceptabel zijn, maar zelfs dan is het raadzaam om het beleid eerst te testen op een beperkte groep om te verifiëren dat alle configuraties correct zijn. De daadwerkelijke configuratie van het beleid gebeurt via Microsoft Intune in de Microsoft Endpoint Manager admin center. Hier wordt een nieuw device configuratieprofiel aangemaakt specifiek voor Microsoft Edge. Binnen dit profiel wordt de instelling voor legacy extension blocking geactiveerd, wat betekent dat Edge automatisch extensies met verouderde manifestversies zal blokkeren. Het is belangrijk om het profiel correct te koppelen aan de juiste groepen gebruikers of apparaten, waarbij rekening wordt gehouden met eventuele uitzonderingen die nodig zijn voor specifieke gebruikers of afdelingen. Deze uitzonderingen moeten zorgvuldig worden overwogen en gedocumenteerd, omdat ze een potentiële beveiligingsrisico kunnen vormen. Het is raadzaam om uitzonderingen alleen toe te staan wanneer er een duidelijke bedrijfsrechtvaardiging is en wanneer alternatieve oplossingen niet haalbaar zijn. Na het configureren van het beleid moet worden gewacht tot apparaten het beleid hebben ontvangen en toegepast. Dit proces kan enige tijd in beslag nemen, afhankelijk van de synchronisatiefrequentie van apparaten met Intune. Standaard synchroniseren apparaten regelmatig met Intune, maar de exacte timing kan variëren. Het is raadzaam om de status van beleidstoepassing te monitoren via de Intune-portal om te verifiëren dat het beleid succesvol is geïmplementeerd op alle doelapparaten. Deze monitoring moet worden voortgezet gedurende de eerste weken na implementatie om te zorgen dat alle apparaten het beleid correct hebben ontvangen en toegepast. Voor geautomatiseerde implementatie en monitoring is een PowerShell-script beschikbaar dat de configuratie van het beleid kan uitvoeren en de status kan controleren. Dit script maakt gebruik van de Microsoft Graph API via de Microsoft.Graph.DeviceManagement module om programmatisch toegang te krijgen tot Intune-configuratie-instellingen. Het script biedt functionaliteit voor zowel de implementatie als de monitoring van het beleid, waardoor het proces kan worden geautomatiseerd en gestandaardiseerd. Dit is vooral waardevol voor organisaties die meerdere beleidsregels moeten beheren of die regelmatig de status van hun beveiligingsconfiguraties moeten verifiëren. Het script kan worden geïntegreerd in bestaande automatisering en monitoring workflows, waardoor het beheer van het legacy extension blocking beleid naadloos past in de bredere IT-beheerprocessen van de organisatie.
Gebruik PowerShell-script legacy-extension-blocking-enabled.ps1 (functie Invoke-Monitoring) – Het PowerShell-script biedt geautomatiseerde functionaliteit voor het monitoren van de implementatiestatus van het legacy extension blocking beleid. Het script controleert of het beleid correct is toegepast op alle doelapparaten en rapporteert eventuele afwijkingen of problemen..
Monitoring
Effectieve monitoring van het legacy extension blocking beleid vormt een kritieke component van de beveiligingsstrategie en is essentieel om te verzekeren dat de beveiligingsmaatregel naar behoren functioneert en dat eventuele problemen tijdig worden geïdentificeerd. Monitoring omvat verschillende aspecten die samen een compleet beeld vormen van de status en effectiviteit van het beleid. Deze aspecten omvatten de naleving van het beleid, de impact op gebruikers, de effectiviteit van de blokkering, en de detectie van potentiële beveiligingsincidenten. Zonder adequate monitoring kan een organisatie niet verifiëren dat het beleid daadwerkelijk werkt zoals bedoeld, wat kan leiden tot valse gevoelens van beveiliging en onopgemerkte beveiligingsrisico's. De primaire monitoring vindt plaats via Microsoft Intune compliance-rapportage, die een centraal overzicht biedt van de status van het beleid op alle beheerde apparaten. Deze rapportage toont per apparaat of het beleid succesvol is toegepast en of er eventuele afwijkingen zijn die aandacht vereisen. Het is belangrijk om regelmatig deze rapportage te controleren, bij voorkeur wekelijks of maandelijks, afhankelijk van de grootte van de organisatie en de beveiligingsvereisten. Voor organisaties met strikte compliance-vereisten, zoals Nederlandse overheidsorganisaties die moeten voldoen aan BIO-normen, kan dagelijkse monitoring noodzakelijk zijn. Compliance-rapportage helpt bij het identificeren van apparaten waar het beleid niet correct is toegepast, wat kan wijzen op technische problemen, configuratiefouten, of apparaten die niet correct zijn ingeschreven in Intune. Wanneer dergelijke afwijkingen worden geïdentificeerd, moeten ze onmiddellijk worden onderzocht en opgelost om te verzekeren dat alle apparaten adequaat worden beschermd. Naast compliance-monitoring is het belangrijk om gebruikerservaring te monitoren om te begrijpen hoe het beleid de dagelijkse werkzaamheden van gebruikers beïnvloedt. Dit kan worden gedaan door het bijhouden van support-tickets, vragen van gebruikers over geblokkeerde extensies, of door het uitvoeren van periodieke gebruikersenquêtes. Een toename in dergelijke vragen kan wijzen op een probleem met het beleid, op de behoefte aan uitzonderingen voor specifieke extensies, of op onvoldoende communicatie over het beleid en de redenen voor de blokkering. Het monitoren van gebruikerservaring helpt bij het balanceren van beveiliging en gebruiksvriendelijkheid, wat essentieel is voor het succes van de beveiligingsmaatregel op de lange termijn. Beveiligingsmonitoring richt zich op het detecteren van pogingen om legacy extensies te installeren of te gebruiken, ondanks het beleid. Dit kan wijzen op bewuste omzeiling van beveiligingsmaatregelen, op technische problemen met de implementatie, of op gebruikers die niet op de hoogte zijn van het beleid. Microsoft Defender for Endpoint of andere security monitoring tools kunnen worden gebruikt om dergelijke activiteiten te detecteren en te rapporteren. Wanneer dergelijke pogingen worden gedetecteerd, moeten ze worden onderzocht om te bepalen of ze wijzen op een beveiligingsincident of op een technisch probleem dat moet worden opgelost. Voor geautomatiseerde monitoring is een PowerShell-script beschikbaar dat regelmatig kan worden uitgevoerd om de status van het beleid te controleren. Dit script kan worden geïntegreerd in bestaande monitoring- en rapportageprocessen, waardoor continue zichtbaarheid wordt geboden op de naleving en effectiviteit van het beleid. Het script genereert gedetailleerde rapporten die kunnen worden gebruikt voor compliance-doeleinden, voor het identificeren van verbeterpunten, en voor het documenteren van de beveiligingsstatus voor auditors en management. Door deze monitoring te automatiseren, kunnen organisaties tijd en middelen besparen terwijl ze tegelijkertijd een hoger niveau van zichtbaarheid en controle behouden over hun beveiligingsconfiguraties.
Gebruik PowerShell-script legacy-extension-blocking-enabled.ps1 (functie Invoke-Monitoring) – Het PowerShell-script voert geautomatiseerde controles uit op de naleving van het legacy extension blocking beleid. Het script verzamelt informatie over de beleidsstatus per apparaat en genereert gedetailleerde rapporten die kunnen worden gebruikt voor compliance-verificatie en probleemoplossing..
Remediatie
Wanneer monitoring aangeeft dat het legacy extension blocking beleid niet correct is toegepast op bepaalde apparaten, is een gestructureerde remediatieaanpak vereist om de naleving te herstellen en de beveiligingspostuur van de organisatie te behouden. Remediatie begint met het identificeren van de oorzaak van het probleem, wat een grondige analyse vereist van de specifieke omstandigheden rondom de niet-naleving. Deze analyse moet worden gedocumenteerd om patronen te identificeren en toekomstige problemen te voorkomen. Na het identificeren van de oorzaak moet de juiste oplossing worden toegepast om de naleving te herstellen, gevolgd door verificatie dat het probleem daadwerkelijk is opgelost en dat het beleid nu correct wordt toegepast. Veelvoorkomende oorzaken van niet-naleving zijn onder meer apparaten die niet correct zijn ingeschreven in Microsoft Intune, verouderde versies van Microsoft Edge die het beleid niet ondersteunen, configuratiefouten in het Intune-profiel, netwerkproblemen die de synchronisatie met Intune verhinderen, of gebruikersrechten die onvoldoende zijn voor het toepassen van het beleid. Elke oorzaak vereist een specifieke aanpak voor remediatie, wat betekent dat een one-size-fits-all benadering niet effectief zal zijn. Het is belangrijk om de specifieke omstandigheden van elk geval te begrijpen voordat een remediatieplan wordt ontwikkeld. Voor apparaten die niet correct zijn ingeschreven in Microsoft Intune, moet het inschrijvingsproces opnieuw worden uitgevoerd om te verzekeren dat het apparaat correct is geregistreerd en kan communiceren met de Intune-service. Dit kan handmatig gebeuren via de Intune-portal, waarbij de beheerder het apparaat identificeert en het inschrijvingsproces opnieuw start, of geautomatiseerd via een remediatiescript dat het proces kan uitvoeren zonder handmatige interventie. Het is belangrijk om te verifiëren dat het apparaat voldoet aan alle vereisten voor Intune-inschrijving voordat het proces wordt gestart, zoals de aanwezigheid van de juiste Windows-versie, netwerkconnectiviteit, en gebruikersrechten. Wanneer het probleem wordt veroorzaakt door een verouderde versie van Microsoft Edge, moet de browser worden bijgewerkt naar een ondersteunde versie die de benodigde beveiligingsfuncties bevat. Dit kan worden gedaan via Windows Update, waarbij het besturingssysteem automatisch Edge-updates installeert, of via Microsoft Intune software-updates, waarbij de IT-afdeling controle heeft over wanneer en hoe updates worden geïnstalleerd. Na de update moet worden gecontroleerd of het beleid nu correct wordt toegepast, wat kan worden gedaan via de Intune compliance-rapportage of via het PowerShell-monitoringscript. Configuratiefouten in het Intune-profiel kunnen worden opgelost door het profiel te controleren en indien nodig aan te passen. Dit kan betekenen dat specifieke instellingen moeten worden gecorrigeerd, dat het profiel opnieuw moet worden toegewezen aan de betreffende apparaten of gebruikersgroepen, of dat het profiel volledig moet worden verwijderd en opnieuw aangemaakt om eventuele corruptie of inconsistenties te elimineren. In sommige gevallen kan het nodig zijn om contact op te nemen met Microsoft Support als het probleem niet kan worden opgelost met standaard remediatiestappen. Voor geautomatiseerde remediatie is een PowerShell-script beschikbaar dat veelvoorkomende problemen kan detecteren en automatisch kan oplossen zonder handmatige interventie. Dit script kan worden uitgevoerd als onderdeel van een geplande taak die regelmatig wordt uitgevoerd, of kan worden geactiveerd wanneer monitoring niet-naleving detecteert, waardoor een proactieve benadering van remediatie mogelijk wordt. Het script vermindert de handmatige inspanning die nodig is voor remediatie en zorgt voor snellere herstel van naleving, wat vooral waardevol is voor grote organisaties met honderden of duizenden apparaten die moeten worden beheerd. Door remediatie te automatiseren, kunnen organisaties hun beveiligingspostuur verbeteren terwijl ze tegelijkertijd tijd en middelen besparen.
Gebruik PowerShell-script legacy-extension-blocking-enabled.ps1 (functie Invoke-Remediation) – Het PowerShell-script voert geautomatiseerde remediatie uit voor apparaten waar het legacy extension blocking beleid niet correct is toegepast. Het script identificeert de oorzaak van het probleem en past de juiste oplossing toe om de naleving te herstellen..
Compliance en Auditing
Compliance en auditing vormen kritieke aspecten van het legacy extension blocking beleid, vooral voor Nederlandse overheidsorganisaties die moeten voldoen aan strikte regelgeving zoals de BIO-normen, AVG-verplichtingen en ISO 27001-vereisten. Effectieve compliance-verificatie en auditing zorgen ervoor dat de beveiligingsmaatregel niet alleen is geïmplementeerd, maar ook daadwerkelijk functioneert en wordt nageleefd op een manier die voldoet aan alle relevante regelgeving en standaarden. Zonder adequate compliance-verificatie en auditing kan een organisatie niet aantonen dat zij voldoet aan haar verplichtingen, wat kan leiden tot boetes, reputatieschade, en verlies van vertrouwen van burgers en stakeholders. Vanuit BIO-perspectief valt legacy extension blocking onder controle 13.01.01, die betrekking heeft op technische beveiligingsmaatregelen die organisaties moeten implementeren om beveiligingsrisico's te beperken. Deze controle vereist dat organisaties niet alleen technische maatregelen implementeren, maar ook kunnen aantonen dat deze maatregelen effectief zijn en worden gemonitord. Het blokkeren van verouderde extensies is een concrete implementatie van deze controle, en organisaties moeten kunnen aantonen dat deze maatregel effectief is geïmplementeerd, wordt gemonitord, en regelmatig wordt geëvalueerd op effectiviteit. Dit vereist uitgebreide documentatie van de configuratie, monitoring-resultaten, en eventuele incidenten of problemen die zijn opgetreden. Voor AVG-compliance is het belangrijk om te documenteren hoe het beleid bijdraagt aan de bescherming van persoonsgegevens, wat een kernvereiste is van de Algemene Verordening Gegevensbescherming. Legacy extensies kunnen kwetsbaarheden bevatten die leiden tot datalekken, wat in strijd is met de AVG-vereisten voor gegevensbescherming zoals vastgelegd in artikel 32 van de verordening. Door legacy extensies te blokkeren, vermindert een organisatie het risico op datalekken en kan zij aantonen dat passende technische maatregelen zijn genomen om persoonsgegevens te beschermen, wat essentieel is voor het voldoen aan de AVG-vereisten. Deze documentatie moet duidelijk maken hoe het beleid bijdraagt aan de bescherming van persoonsgegevens en moet worden onderhouden als onderdeel van de AVG-compliance documentatie. ISO 27001 controle A.12.6.1 betreft technisch kwetsbaarheidsbeheer, wat direct verband houdt met het blokkeren van verouderde extensies die bekende kwetsbaarheden kunnen bevatten. Deze controle vereist dat organisaties een proces hebben voor het identificeren, beoordelen en beheren van technische kwetsbaarheden, waarbij legacy extensies een duidelijk voorbeeld zijn van bekende kwetsbaarheden die moeten worden beheerd. Door deze extensies te blokkeren, voldoet een organisatie aan de vereisten van deze controle, maar dit moet worden gedocumenteerd en geverifieerd als onderdeel van de ISO 27001-certificering. Auditing van het beleid moet regelmatig plaatsvinden, bij voorkeur kwartaalijks of halfjaarlijks, afhankelijk van de organisatiegrootte en risicoprofiel. Voor organisaties met een hoog risicoprofiel of strikte compliance-vereisten kan maandelijkse auditing noodzakelijk zijn. Auditing omvat het verifiëren van de configuratie van het beleid, het controleren van compliance-rapportages, het beoordelen van uitzonderingen op het beleid en de rechtvaardiging hiervan, het evalueren van de effectiviteit van de maatregel, en het identificeren van verbeterpunten. Auditresultaten moeten worden gedocumenteerd en bewaard voor toekomstige referentie en voor externe audits, waarbij het belangrijk is om zowel de bevindingen als de genomen acties te documenteren. Beleidsdocumentatie is essentieel voor compliance en auditing en moet een volledig beeld bieden van het beleid, de implementatie, en het beheer ervan. Deze documentatie moet bevatten: de rationale voor het beleid en de beveiligingsrisico's die het adresseert, de configuratie-instellingen en hoe deze zijn geconfigureerd, de scope van toepassing en welke apparaten en gebruikers onder het beleid vallen, eventuele uitzonderingen en de rechtvaardiging hiervan, monitoring- en rapportageprocessen en de frequentie hiervan, remediatieprocedures en hoe problemen worden opgelost, en compliance-verificatie en hoe wordt aangetoond dat het beleid voldoet aan relevante regelgeving. Goede documentatie maakt het mogelijk voor auditors om te verifiëren dat het beleid correct is geïmplementeerd en wordt nageleefd, en helpt bij het aantonen van compliance met relevante regelgeving en standaarden. Zonder adequate documentatie kan een organisatie niet aantonen dat zij voldoet aan haar verplichtingen, wat kan leiden tot problemen tijdens externe audits en compliance-verificaties.
Compliance & Frameworks
- CIS M365: Control Security Controls (L1) - Security hardening
- BIO: 13.01.01 - Technical security measures
- ISO 27001:2022: A.12.6.1 - Technical vulnerability management
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Edge Security: Legacy Extension Blocking Enabled
.DESCRIPTION
CIS - Legacy/oude extensions moeten geblokkeerd worden.
.NOTES
Filename: legacy-extension-blocking-enabled.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Edge\BlockExternalExtensions|Expected: 1
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge"; $RegName = "BlockExternalExtensions"; $ExpectedValue = 1
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "legacy-extension-blocking-enabled.ps1"; PolicyName = "Legacy Extension Blocking"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; if (-not(Test-Path $RegPath)) { $r.Details += "Niet geconfigureerd"; return $r }; try { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop; $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "External extensions blocked" }else { $r.Details += "External extensions toegestaan" } }catch { $r.Details += "Niet geconfigureerd" }; return $r }
function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Legacy extension blocking enabled" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
High: Zonder legacy extension blocking blijven organisaties kwetsbaar voor bekende beveiligingsrisico's die voortkomen uit verouderde browser extensies. Deze extensies bevatten vaak ongedekte kwetsbaarheden die door aanvallers kunnen worden misbruikt voor malware-infecties, data-exfiltratie en andere cyberaanvallen. Voor Nederlandse overheidsorganisaties kan dit leiden tot niet-naleving van BIO-normen, AVG-verplichtingen en ISO 27001-vereisten.
Management Samenvatting
Het blokkeren van verouderde browser extensies is een essentiële beveiligingsmaatregel die het aanvalsoppervlak verkleint en bescherming biedt tegen bekende kwetsbaarheden. Implementatie via Microsoft Intune is eenvoudig en heeft minimale impact op gebruikers, terwijl het significante beveiligingsvoordelen oplevert.
- Implementatietijd: 2 uur
- FTE required: 0.01 FTE