L1 BIO 13.01.01 ISO A.12.6.1 CIS Security Controls

Gekoppelde Account Uitgeschakeld

📅 2025-10-30
⏱️ 2 minuten lezen
🟢 Aanbevolen

💼 Management Samenvatting

Deze beveiligingsregel configureert de instelling voor gekoppelde accounts in Microsoft Edge, wat een essentieel onderdeel vormt van de privacy- en beveiligingsstrategie voor Nederlandse overheidsorganisaties.

Aanbeveling
OVERWEGEN
Risico zonder
Laag
Risk Score
2/10
Implementatie
2u (tech: 1u)
Van toepassing op:
Edge

Het uitschakelen van gekoppelde accounts beschermt de privacy van gebruikers door te voorkomen dat Microsoft Edge automatisch gegevens verzamelt en synchroniseert tussen verschillende Microsoft-accounts en diensten. Dit vermindert het risico op ongeautoriseerde gegevensuitwisseling en verhoogt de controle over persoonsgegevens, wat cruciaal is voor naleving van de AVG en de specifieke privacy-eisen van de Nederlandse publieke sector.

PowerShell Modules Vereist
Primary API: Graph
Connection: Connect-MgGraph
Required Modules: Microsoft.Graph.DeviceManagement

Implementatie

Deze regel configureert het Microsoft Edge-beleid via Microsoft Intune device configuratiebeleidsregels, waarbij de functie voor het koppelen van accounts wordt uitgeschakeld op alle beheerde apparaten binnen de organisatie.

Vereisten

Voor het implementeren van deze beveiligingsregel dient de organisatie te beschikken over Microsoft Intune als Mobile Device Management (MDM) oplossing, geconfigureerd en actief binnen de Microsoft 365-tenant. Intune vormt de centrale beheeromgeving voor alle mobiele apparaten en endpoints binnen de organisatie, en biedt de benodigde interface om apparaatconfiguratiebeleidsregels te definiëren en te distribueren naar alle beheerde apparaten waarop Microsoft Edge wordt gebruikt. Deze centrale beheeromgeving maakt het mogelijk om beveiligingsinstellingen consistent toe te passen over alle apparaten heen, ongeacht of deze zich binnen of buiten het bedrijfsnetwerk bevinden. De beheerder die deze configuratie uitvoert, heeft minimaal de rol Intune-beheerder of Globale Beheerder nodig binnen Azure Active Directory om de benodigde beleidsregels te kunnen aanmaken en toe te wijzen. Deze rolbeperkingen zijn essentieel voor het waarborgen van een juiste scheiding van taken en het voorkomen van ongeautoriseerde wijzigingen aan kritieke beveiligingsconfiguraties. Daarnaast moet de organisatie over een licentie beschikken die Intune ondersteunt, zoals Microsoft 365 E3, E5, of een vergelijkbare enterprise licentie die apparaatbeheer mogelijk maakt. Deze licenties zijn niet alleen noodzakelijk voor de functionaliteit zelf, maar bieden ook toegang tot geavanceerde beveiligingsfuncties zoals voorwaardelijke toegang, bedreigingsbescherming en nalevingsmonitoring. Het is belangrijk dat alle doelapparaten geregistreerd zijn in Intune en voldoen aan de minimale systeemeisen voor Edge-beleidstoepassing. Deze registratie kan plaatsvinden via verschillende methoden, waaronder automatische inschrijving via Azure AD join, handmatige inschrijving door gebruikers, of bulk-inschrijving via Configuration Manager. Indien de organisatie gebruik maakt van hybride apparaatbeheer of specifieke nalevingsbeleidsregels, dienen deze te worden geëvalueerd om te zorgen dat de nieuwe configuratie geen conflicten veroorzaakt met bestaande beleidsregels. Hybride omgevingen vereisen extra aandacht omdat configuraties mogelijk via meerdere kanalen worden toegepast, zoals Groepsbeleid, Intune en Configuration Manager, wat kan leiden tot conflicterende instellingen. Bovendien is het raadzaam om een testomgeving te gebruiken voordat de configuratie wordt uitgerold naar productie, om te verifiëren dat de instelling correct wordt toegepast zonder negatieve impact op de gebruikerservaring of functionaliteit van Microsoft Edge. Deze testomgeving moet representatief zijn voor de productieomgeving en verschillende apparatetypen en besturingssystemen bevatten om een volledige validatie mogelijk te maken.

Implementatie

De implementatie van deze beveiligingsregel begint met het aanmaken van een nieuw apparaatconfiguratiebeleid binnen Microsoft Intune. Dit proces vereist een gestructureerde aanpak waarbij elke stap zorgvuldig wordt uitgevoerd om te garanderen dat de configuratie correct wordt toegepast en geen onbedoelde gevolgen heeft voor de gebruikerservaring. Navigeer naar het Intune-beheercentrum en selecteer Apparaten, vervolgens Configuratieprofielen, en kies voor het aanmaken van een nieuw profiel. Deze interface biedt een centrale locatie voor het beheren van alle apparaatconfiguraties binnen de organisatie en maakt het mogelijk om consistentie te waarborgen over verschillende apparatetypen en platforms heen. Selecteer het platform dat van toepassing is, bijvoorbeeld Windows 10 en later of macOS, en kies als profieltype voor Beheersjablonen. Dit type profiel biedt de meest uitgebreide controle over Microsoft Edge instellingen en maakt gebruik van dezelfde configuratiemechanismen als traditionele Groepsbeleid-objecten, wat zorgt voor vertrouwdheid bij beheerders die al ervaring hebben met on-premises Active Directory omgevingen. Zoek naar de beleidsinstelling voor 'Synchronisatie van browsergegevens tussen apparaten toestaan' of de specifieke instelling voor 'Gekoppeld account' functionaliteit en stel deze in op 'Uitgeschakeld' of 'Geblokkeerd', afhankelijk van de beschikbare opties in de Beheersjabloon. Deze instellingen zijn specifiek ontworpen om de automatische synchronisatie van browsergegevens tussen verschillende apparaten te voorkomen, wat essentieel is voor het waarborgen van privacy en het voorkomen van ongeautoriseerde gegevensuitwisseling. Configureer vervolgens de bereiklabels en wijs het beleid toe aan de juiste groepen gebruikers of apparaten binnen de organisatie. Bereiklabels maken het mogelijk om beleidsregels te organiseren en te filteren op basis van afdelingen, locaties of andere organisatorische criteria, wat vooral waardevol is in grote omgevingen met meerdere beheerders. Het is aanbevolen om te beginnen met een pilotgroep bestaande uit IT-medewerkers om te verifiëren dat de configuratie correct werkt en geen onverwachte gevolgen heeft. Deze gefaseerde aanpak maakt het mogelijk om eventuele problemen vroegtijdig te identificeren en op te lossen voordat de configuratie wordt uitgerold naar de volledige organisatie. Na succesvolle verificatie kan het beleid worden uitgerold naar de volledige organisatie via gefaseerde implementatie, waarbij elke fase wordt gemonitord om te zorgen dat de configuratie correct wordt toegepast en geen negatieve impact heeft op de productiviteit van gebruikers. Voor automatisering van deze implementatie kan gebruik worden gemaakt van het PowerShell script linked-account-disabled.ps1 met de functie Invoke-Monitoring, dat helpt bij het valideren van de configuratie. Dit script maakt het mogelijk om programmatisch te controleren of de configuratie correct is toegepast op alle doelapparaten en kan worden geïntegreerd in bestaande monitoring- en rapportageoplossingen. Monitor na implementatie de nalevingsstatus binnen Intune om te controleren of het beleid succesvol wordt toegepast op alle doelapparaten en los eventuele conflicten of fouten op door middel van probleemoplossing in het Intune-beheercentrum. Deze monitoring moet regelmatig plaatsvinden, bij voorkeur dagelijks in de eerste weken na implementatie, om snel te kunnen reageren op eventuele problemen en te zorgen dat de configuratie effectief blijft werken.

Gebruik PowerShell-script linked-account-disabled.ps1 (functie Invoke-Monitoring) – Gebruik dit script om de implementatie te monitoren en te verifiëren dat het beleid correct is toegepast..

Monitoring

Effectieve monitoring van deze beveiligingsregel vereist een gestructureerde aanpak waarbij regelmatig de nalevingsstatus wordt gecontroleerd via het Microsoft Intune-beheercentrum. Deze monitoring vormt een essentieel onderdeel van het beveiligingsbeheer en maakt het mogelijk om tijdig te reageren op afwijkingen en te zorgen dat de configuratie effectief blijft werken. Navigeer naar Apparaatconfiguratieprofielen en selecteer het aangemaakte beleid om de nalevingsstatus per apparaat en gebruiker te bekijken. Deze interface biedt gedetailleerde informatie over de status van elk apparaat, inclusief wanneer de configuratie voor het laatst is toegepast, of er fouten zijn opgetreden tijdens de toepassing, en welke specifieke instellingen actief zijn. Apparaten die niet nalevend zijn, dienen te worden geïdentificeerd en onderzocht om te begrijpen waarom de configuratie niet succesvol is toegepast. Deze analyse is cruciaal voor het begrijpen van de onderliggende oorzaken en het ontwikkelen van effectieve oplossingen. Mogelijke oorzaken kunnen zijn: apparaten die niet langer beheerd worden door Intune, conflicterende beleidsregels met hogere prioriteit, of technische problemen met de beleidstoepassing. Apparaten die niet langer beheerd worden, kunnen bijvoorbeeld het gevolg zijn van het verwijderen van het apparaat uit Azure AD, het verbreken van de verbinding met Intune, of het overschakelen naar een andere beheeroplossing. Conflicterende beleidsregels kunnen ontstaan wanneer meerdere beleidsregels dezelfde instelling proberen te configureren met verschillende waarden, waarbij de prioriteit bepaalt welke configuratie wordt toegepast. Technische problemen kunnen variëren van netwerkconnectiviteitsproblemen tot corruptie van de lokale configuratiecache op het apparaat. Stel een wekelijkse of maandelijkse rapportage in om trends te identificeren en tijdig te kunnen reageren op afwijkingen. Deze rapportage moet niet alleen de huidige nalevingsstatus bevatten, maar ook trends over tijd, identificatie van veelvoorkomende problemen, en aanbevelingen voor verbetering. Daarnaast kan het PowerShell monitoring script linked-account-disabled.ps1 met de functie Invoke-Monitoring worden gebruikt om programmatisch de configuratie te verifiëren op individuele apparaten. Dit script controleert of de registerinstellingen of Edge-configuraties correct zijn ingesteld volgens het beleid en kan worden uitgevoerd op afstand of lokaal op het apparaat. Voor grote omgevingen is het aanbevolen om dit script te integreren in een geautomatiseerde monitoring oplossing, zodat afwijkingen automatisch worden gedetecteerd en gemeld via bijvoorbeeld Azure Monitor of een Security Information and Event Management (SIEM) systeem. Deze integratie maakt het mogelijk om waarschuwingen in real-time te ontvangen wanneer apparaten niet nalevend zijn en om historische trends te analyseren om patronen te identificeren die kunnen wijzen op systematische problemen. Houd ook rekening met gebruikersfeedback: als gebruikers melden dat bepaalde functionaliteit niet meer werkt na implementatie van dit beleid, dient dit te worden onderzocht om te verifiëren of de configuratie correct is en of er mogelijk aanvullende uitzonderingen nodig zijn voor specifieke gebruikersgroepen of scenario's. Deze feedback kan waardevolle inzichten opleveren over de impact van de configuratie op de gebruikerservaring en kan helpen bij het identificeren van edge cases die niet waren voorzien tijdens de initiële implementatie.

Gebruik PowerShell-script linked-account-disabled.ps1 (functie Invoke-Monitoring) – Gebruik dit script voor regelmatige controle en verificatie van de configuratie op beheerde apparaten..

Remediatie

Wanneer monitoring aangeeft dat apparaten niet nalevend zijn met deze beveiligingsregel, dient er direct een remediatieproces te worden gestart. Dit proces moet gestructureerd en gedocumenteerd worden uitgevoerd om te zorgen dat problemen effectief worden opgelost en om te voorkomen dat dezelfde problemen in de toekomst opnieuw optreden. Begin met het identificeren van de exacte oorzaak van de niet-naleving door de details van het apparaat te bekijken in Intune. Deze analyse moet niet alleen de huidige status van het apparaat omvatten, maar ook de geschiedenis van configuratiewijzigingen, eventuele foutmeldingen, en de relatie met andere beleidsregels die mogelijk van invloed zijn. Controleer of het apparaat nog steeds beheerd wordt door Intune, of er recent wijzigingen zijn geweest in de apparaatconfiguratie, en of er mogelijk andere beleidsregels zijn die conflicteren met deze instelling. Deze controle moet systematisch worden uitgevoerd, waarbij elke mogelijke oorzaak wordt onderzocht voordat wordt overgegaan tot actie. Als het apparaat niet langer correct beheerd wordt, voer dan een synchronisatie uit vanuit Intune of herregistreer het apparaat indien nodig. Synchronisatie kan worden geforceerd vanuit het Intune-beheercentrum of via het apparaat zelf, en kan vaak problemen oplossen die zijn ontstaan door tijdelijke connectiviteitsproblemen of cacheproblemen. Herregistratie is een meer drastische maatregel die alleen moet worden overwogen wanneer synchronisatie niet effectief is gebleken, omdat dit kan leiden tot verlies van lokale configuraties en mogelijk impact heeft op de gebruikerservaring. Voor apparaten waar de configuratie niet correct is toegepast, kan handmatige interventie vereist zijn via Groepsbeleid of door directe aanpassing van de Edge-instellingen op het apparaat zelf. Handmatige interventie moet altijd worden gedocumenteerd en moet worden gevolgd door verificatie dat de configuratie correct is toegepast. Het PowerShell remediatie script linked-account-disabled.ps1 met de functie Invoke-Remediation kan worden gebruikt om automatisch de correcte configuratie toe te passen op niet-nalevende apparaten. Dit script controleert de huidige instellingen en past deze aan indien ze afwijken van het gewenste beleid, en kan worden uitgevoerd op afstand of lokaal op het apparaat. Voor systematische problemen waarbij meerdere apparaten niet-nalevend zijn, evalueer het beleid zelf: controleer of de bereiklabels correct zijn ingesteld, of de toewijzingsgroepen nog steeds geldig zijn, en of er geen wijzigingen zijn in de beheersjablonen die invloed hebben op deze specifieke beleidsinstelling. Systematische problemen kunnen wijzen op fundamentele problemen met de beleidsconfiguratie of met de manier waarop het beleid wordt toegepast, en vereisen vaak een meer grondige analyse en mogelijk aanpassing van het beleid zelf. Documenteer alle remediatieacties in een logboek voor audit doeleinden en stel indien nodig een verbeterd proces op om toekomstige niet-naleving te voorkomen. Deze documentatie moet niet alleen de uitgevoerde acties omvatten, maar ook de onderliggende oorzaken, de effectiviteit van de genomen maatregelen, en aanbevelingen voor preventie van vergelijkbare problemen in de toekomst.

Gebruik PowerShell-script linked-account-disabled.ps1 (functie Invoke-Remediation) – Gebruik dit script om automatisch niet-nalevende apparaten te herstellen naar de gewenste configuratie..

Compliance en Auditing

Naleving met deze beveiligingsregel draagt bij aan de naleving van verschillende relevante normenkaders en wet- en regelgeving voor Nederlandse overheidsorganisaties. Deze regel vormt een essentieel onderdeel van een breed beveiligingskader dat is ontworpen om de privacy en veiligheid van persoonsgegevens te waarborgen en om te voldoen aan de strikte eisen die worden gesteld aan publieke organisaties in Nederland. Op het gebied van privacy speelt deze regel een belangrijke rol bij het waarborgen van AVG-naleving, specifiek met betrekking tot artikel 25 (Gegevensbescherming door ontwerp en door standaardinstellingen) en artikel 32 (Beveiliging van de verwerking). Artikel 25 vereist dat organisaties technische en organisatorische maatregelen implementeren die zijn ontworpen om gegevensbeschermingsbeginselen effectief te implementeren en om de nodige waarborgen in de verwerking in te bouwen, terwijl artikel 32 specifiek eist dat passende technische en organisatorische maatregelen worden genomen om een passend beveiligingsniveau te waarborgen. Door het uitschakelen van gekoppelde accounts wordt voorkomen dat persoonsgegevens automatisch worden gesynchroniseerd tussen verschillende Microsoft-diensten zonder expliciete toestemming en controle van de organisatie, wat essentieel is voor het waarborgen van de privacy en het minimaliseren van gegevensverwerking. Deze controle maakt het mogelijk voor organisaties om te bepalen welke gegevens worden gedeeld en met wie, en om te zorgen dat alleen geautoriseerde gegevensuitwisseling plaatsvindt. Voor BIO-naleving sluit deze maatregel aan bij beveiligingsmaatregel 13.01.01 (Beveiligingsmaatregelen voor gebruikersapparatuur), waarbij wordt gesteld dat gebruikersapparatuur zodanig moet worden geconfigureerd dat ongeautoriseerde gegevensuitwisseling wordt voorkomen. Deze maatregel is specifiek ontworpen om te zorgen dat gebruikersapparatuur niet onbedoeld gegevens kan uitwisselen met externe systemen of diensten, wat een belangrijk risico vormt voor de beveiliging van organisatiegegevens. ISO 27001 controle A.12.6.1 (Beheer van technische kwetsbaarheden) is eveneens relevant, aangezien het uitschakelen van automatische synchronisatie het risico op ongewenste gegevenslekken via gekoppelde accounts reduceert. Deze controle vereist dat organisaties technische kwetsbaarheden tijdig identificeren, evalueren en aanpakken, en het uitschakelen van automatische synchronisatie vormt een proactieve maatregel om het risico op gegevenslekken te verminderen. Voor audit doeleinden dient de organisatie gedocumenteerd beleid te hebben dat beschrijft waarom deze instelling is geïmplementeerd, hoe deze wordt beheerd en gemonitord, en welke procedures gelden voor uitzonderingen indien deze nodig zijn. Deze documentatie moet niet alleen de technische aspecten van de configuratie omvatten, maar ook de bedrijfsrechtvaardiging, de risico's die worden gemitigeerd, en de procedures voor het beheren van uitzonderingen. Bewaar configuratieversies van het Intune-beleid en log alle wijzigingen in de beleidstoepassing voor een minimale periode van één jaar, conform de bewaarverplichtingen voor auditlogboeken. Deze logging maakt het mogelijk om historische wijzigingen te traceren en om te verifiëren dat het beleid consistent is toegepast over tijd. Regelmatige nalevingsbeoordelingen moeten aantonen dat het beleid actief is en effectief werkt, waarbij afwijkingen worden gedocumenteerd en opgelost. Deze beoordelingen moeten minimaal kwartaal plaatsvinden en moeten niet alleen de nalevingsstatus omvatten, maar ook trends over tijd, identificatie van veelvoorkomende problemen, en aanbevelingen voor verbetering. Tijdens externe audits of interne beveiligingsbeoordelingen moet kunnen worden aangetoond dat deze maatregel daadwerkelijk wordt toegepast en gehandhaafd op alle relevante apparaten binnen de organisatie. Dit vereist niet alleen documentatie van de configuratie, maar ook bewijs van effectieve monitoring, tijdige remediatie van afwijkingen, en continue verbetering van het proces.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Edge Security: Linked Account Disabled .DESCRIPTION CIS - LinkedIn account linking moet disabled (privacy/security). .NOTES Filename: linked-account-disabled.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Edge\LinkedAccountEnabled|Expected: 0 #> #Requires -Version 5.1 #Requires -RunAsAdministrator [CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert) $ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge"; $RegName = "LinkedAccountEnabled"; $ExpectedValue = 0 function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) } function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "linked-account-disabled.ps1"; PolicyName = "Linked Account Disabled"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; if (-not(Test-Path $RegPath)) { $r.IsCompliant = $true; $r.Details += "Default disabled"; return $r }; try { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop; $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Linked accounts disabled" }else { $r.Details += "Linked accounts enabled" } }catch { $r.IsCompliant = $true; $r.Details += "Default" }; return $r } function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Linked account disabled" -ForegroundColor Green } function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r } function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue } try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }

Risico zonder implementatie

Risico zonder implementatie
Laag: Laag risico.

Management Samenvatting

Schakel de functie voor gekoppelde accounts uit om privacy en gegevensbescherming te verbeteren.