💼 Management Samenvatting
Deze beveiligingsregel configureert de instelling voor OCSP en CRL-controles in Microsoft Edge, wat een essentieel onderdeel vormt van de certificaatvalidatiestrategie voor Nederlandse overheidsorganisaties.
Aanbeveling
IMPLEMENTEREN
Risico zonder
Medium
Risk Score
5/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Edge
Het inschakelen van OCSP en CRL-controles via lokale ankers zorgt ervoor dat Microsoft Edge certificaten valideert tegen de meest recente intrekkingslijsten en online certificaatstatusprotocollen. Dit voorkomt dat ingetrokken of verlopen certificaten worden geaccepteerd, wat cruciaal is voor het waarborgen van de beveiliging van webverbindingen en het voorkomen van man-in-the-middle aanvallen. Voor Nederlandse overheidsorganisaties is dit van bijzonder belang omdat zij vaak werken met gevoelige gegevens en moeten voldoen aan strikte beveiligings- en compliance-eisen zoals de BIO-normen en AVG-vereisten. Zonder adequate certificaatvalidatie lopen organisaties het risico dat gebruikers verbinding maken met onveilige of gecompromitteerde websites, wat kan leiden tot gegevenslekken of ongeautoriseerde toegang tot vertrouwelijke informatie.
PowerShell Modules Vereist
Primary API: Graph
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
Deze regel configureert het Microsoft Edge-beleid via Microsoft Intune apparaatconfiguratiebeleidsregels, waarbij de OCSP en CRL-controles worden ingeschakeld met lokale ankers op alle beheerde apparaten binnen de organisatie. OCSP staat voor Online Certificate Status Protocol en biedt real-time verificatie van de geldigheid van certificaten, terwijl CRL staat voor Certificate Revocation List en een lijst bevat van alle ingetrokken certificaten. Door lokale ankers te gebruiken, kan de browser certificaten valideren zonder volledig afhankelijk te zijn van externe OCSP-servers, wat de betrouwbaarheid en prestaties verbetert terwijl de beveiliging wordt gewaarborgd.
Vereisten
Het implementeren van OCSP en CRL-controles met lokale ankers vereist een solide basisinfrastructuur en duidelijke voorbereiding. Microsoft Intune vormt de kern van deze implementatie, omdat dit de centrale beheeromgeving is voor alle mobiele apparaten en eindpunten binnen de organisatie. Zonder een actief geconfigureerde en werkende Intune-omgeving binnen de Microsoft 365-tenant is het niet mogelijk om deze beveiligingsmaatregel effectief uit te rollen. Intune biedt de benodigde interface om apparaatconfiguratiebeleidsregels te definiëren en te distribueren naar alle beheerde apparaten waarop Microsoft Edge wordt gebruikt. Deze centrale beheeromgeving is essentieel omdat het de organisatie in staat stelt om beveiligingsinstellingen consistent toe te passen over alle apparaten heen, ongeacht of deze zich binnen of buiten het bedrijfsnetwerk bevinden. Deze uniformiteit is van kritiek belang voor het waarborgen van een gelijk beveiligingsniveau over de gehele organisatie heen. Beheerderstoegang en rolrechten vormen een fundamenteel aspect van de implementatie. De beheerder die deze configuratie uitvoert, heeft minimaal de rol Intune-beheerder of Globale Beheerder nodig binnen Azure Active Directory om de benodigde beleidsregels te kunnen aanmaken en toe te wijzen. Deze rolbeperkingen zijn niet alleen een technische vereiste, maar vormen ook een essentiële beveiligingsmaatregel voor het waarborgen van een juiste scheiding van taken en het voorkomen van ongeautoriseerde wijzigingen aan kritieke beveiligingsconfiguraties. Organisaties moeten ervoor zorgen dat alleen bevoegde personen toegang hebben tot deze functies en dat alle wijzigingen worden gelogd voor auditdoeleinden. Licentievereisten vormen eveneens een belangrijke overweging. De organisatie moet beschikken over een licentie die Intune ondersteunt, zoals Microsoft 365 E3, E5, of een vergelijkbare enterprise licentie die apparaatbeheer mogelijk maakt. Deze licenties zijn niet alleen noodzakelijk voor de functionaliteit zelf, maar bieden ook toegang tot geavanceerde beveiligingsfuncties zoals voorwaardelijke toegang, bedreigingsbescherming en nalevingsbewaking. Zonder de juiste licentie is het niet mogelijk om alle functionaliteiten te benutten die nodig zijn voor een effectieve implementatie. Apparaatregistratie en systeemvereisten vormen de volgende stap in de voorbereiding. Het is belangrijk dat alle doelapparaten geregistreerd zijn in Intune en voldoen aan de minimale systeemeisen voor Edge-beleidstoepassing. Deze registratie kan plaatsvinden via verschillende methoden, afhankelijk van de organisatiestructuur en beheersvoorkeuren. Automatische inschrijving via Azure AD join biedt de meest naadloze ervaring voor gebruikers en beheerders, terwijl handmatige inschrijving door gebruikers meer controle biedt over het proces. Voor grootschalige implementaties kan bulk-inschrijving via Configuration Manager de voorkeur hebben vanwege de efficiëntie en controle die deze methode biedt. Netwerkinfrastructuur en certificaatvalidatie vormen een kritiek onderdeel van de implementatie. Voor OCSP en CRL-controles is het belangrijk dat de organisatie beschikt over een betrouwbare netwerkverbinding naar OCSP-servers en CRL-distributiepunten, of dat er lokale ankers zijn geconfigureerd die deze controles mogelijk maken zonder volledige afhankelijkheid van externe services. Lokale ankers zijn bijzonder waardevol in omgevingen met beperkte internetconnectiviteit of waar netwerkbeveiligingsbeleid de toegang tot externe certificaatvalidatieservices beperkt. Deze lokale ankers maken het mogelijk om certificaatvalidatie uit te voeren zonder afhankelijk te zijn van externe services, wat zowel de betrouwbaarheid als de prestaties verbetert. Hybride omgevingen en bestaande configuraties vereisen extra aandacht tijdens de implementatie. Indien de organisatie gebruik maakt van hybride apparaatbeheer of specifieke nalevingsbeleidsregels, dienen deze te worden geëvalueerd om te zorgen dat de nieuwe configuratie geen conflicten veroorzaakt met bestaande beleidsregels. Hybride omgevingen vereisen extra aandacht omdat configuraties mogelijk via meerdere kanalen worden toegepast, zoals Groepsbeleid, Intune en Configuration Manager, wat kan leiden tot conflicterende instellingen. Het is essentieel om een duidelijk overzicht te hebben van alle configuraties die van invloed kunnen zijn op Edge-instellingen voordat de nieuwe configuratie wordt uitgerold. Testomgevingen vormen een cruciaal onderdeel van de voorbereiding. Het is raadzaam om een testomgeving te gebruiken voordat de configuratie wordt uitgerold naar productie, om te verifiëren dat de instelling correct wordt toegepast zonder negatieve impact op de gebruikerservaring of functionaliteit van Microsoft Edge. Deze testomgeving moet representatief zijn voor de productieomgeving en verschillende apparatetypen en besturingssystemen bevatten om een volledige validatie mogelijk te maken. Door uitgebreide tests uit te voeren kunnen potentiële problemen vroegtijdig worden geïdentificeerd en opgelost voordat ze de productieomgeving beïnvloeden. Interne certificeringsautoriteiten en PKI-infrastructuren vereisen speciale aandacht. Voor organisaties die gebruik maken van interne certificeringsautoriteiten of PKI-infrastructuren is het belangrijk om te verifiëren dat deze infrastructuren correct zijn geconfigureerd en dat OCSP en CRL-services beschikbaar en toegankelijk zijn voor de Edge-browsers binnen de organisatie. Deze services moeten correct zijn geconfigureerd en moeten betrouwbaar en performant zijn om effectieve certificaatvalidatie mogelijk te maken. Zonder goed werkende OCSP en CRL-services is het niet mogelijk om de volledige beveiligingsvoordelen van deze configuratie te benutten.
Implementatie
De implementatie van OCSP en CRL-controles met lokale ankers begint met het zorgvuldig voorbereiden en aanmaken van een nieuw apparaatconfiguratiebeleid binnen Microsoft Intune. Dit proces vereist een gestructureerde aanpak waarbij elke stap systematisch wordt uitgevoerd om te garanderen dat de configuratie correct wordt toegepast en geen onbedoelde gevolgen heeft voor de gebruikerservaring of de functionaliteit van webverbindingen. De eerste stap in dit proces is het navigeren naar het Intune-beheercentrum, waar beheerders toegang hebben tot alle beheerfuncties voor mobiele apparaten en eindpunten. Selecteer Apparaten in het navigatiemenu, vervolgens Configuratieprofielen, en kies voor het aanmaken van een nieuw profiel. Deze interface biedt een centrale locatie voor het beheren van alle apparaatconfiguraties binnen de organisatie en maakt het mogelijk om consistentie te waarborgen over verschillende apparatetypen en platforms heen. De uniformiteit die deze centrale beheeromgeving biedt is essentieel voor het waarborgen van een gelijk beveiligingsniveau over de gehele organisatie. Platformselectie vormt de volgende cruciale stap in het implementatieproces. Selecteer het platform dat van toepassing is, bijvoorbeeld Windows 10 en later of macOS, afhankelijk van de apparaten die binnen de organisatie worden gebruikt. Deze keuze is belangrijk omdat verschillende platforms verschillende configuratiemogelijkheden bieden en omdat de implementatie per platform kan verschillen. Na het selecteren van het platform, kies als profieltype voor Beheersjablonen. Dit type profiel biedt de meest uitgebreide controle over Microsoft Edge instellingen en maakt gebruik van dezelfde configuratiemechanismen als traditionele Groepsbeleidsobjecten, wat zorgt voor vertrouwdheid bij beheerders die al ervaring hebben met on-premises Active Directory omgevingen. Deze vertrouwdheid maakt de overgang naar cloud-based apparaatbeheer soepeler en vermindert de kans op configuratiefouten. Beleidsconfiguratie vormt het hart van de implementatie. Zoek naar de beleidsinstelling voor 'OCSP/CRL controles inschakelen' of de specifieke instelling voor 'OCSP/CRL lokale ankers' en stel deze in op 'Ingeschakeld' of 'Toegestaan', afhankelijk van de beschikbare opties in de Beheersjabloon. Deze instellingen zijn specifiek ontworpen om de browser te configureren zodat deze certificaten valideert tegen OCSP-servers en CRL-distributiepunten, waarbij lokale ankers worden gebruikt om de validatie mogelijk te maken zonder volledige afhankelijkheid van externe services. Het gebruik van lokale ankers is bijzonder belangrijk in omgevingen waar netwerkbeveiligingsbeleid de toegang tot externe certificaatvalidatieservices beperkt, of waar betrouwbaarheid en prestaties van kritiek belang zijn. Door lokale ankers te gebruiken wordt de browser minder afhankelijk van externe services, wat de betrouwbaarheid en prestaties verbetert. Bereiklabels en beleidstoewijzing vormen de volgende stap in het implementatieproces. Configureer de bereiklabels die van toepassing zijn en wijs het beleid toe aan de juiste groepen gebruikers of apparaten binnen de organisatie. Bereiklabels maken het mogelijk om beleidsregels te organiseren en te filteren op basis van afdelingen, locaties of andere organisatorische criteria, wat vooral waardevol is in grote omgevingen met meerdere beheerders. Deze organisatiestructuur maakt het eenvoudiger om beleidsregels te beheren en te begrijpen welke configuraties van toepassing zijn op welke groepen binnen de organisatie. Gefaseerde implementatie is cruciaal voor het succesvol uitrollen van de configuratie. Het is sterk aanbevolen om te beginnen met een pilotgroep bestaande uit IT-medewerkers om te verifiëren dat de configuratie correct werkt en geen onverwachte gevolgen heeft voor de toegang tot websites of webapplicaties. Deze gefaseerde aanpak maakt het mogelijk om eventuele problemen vroegtijdig te identificeren en op te lossen voordat de configuratie wordt uitgerold naar de volledige organisatie. Tijdens de pilotfase is het belangrijk om intensief te monitoren of gebruikers nog steeds toegang hebben tot alle benodigde websites en of er geen onterechte certificaatwaarschuwingen worden getoond. Deze monitoring moet dagelijks plaatsvinden en moet zowel technische metingen als gebruikersfeedback omvatten. Na succesvolle verificatie van de pilotgroep kan het beleid worden uitgerold naar de volledige organisatie via een gefaseerde implementatie, waarbij elke fase wordt gemonitord om te zorgen dat de configuratie correct wordt toegepast en geen negatieve impact heeft op de productiviteit van gebruikers. Automatisering en monitoring vormen belangrijke onderdelen van een succesvolle implementatie. Voor automatisering van deze implementatie kan gebruik worden gemaakt van het PowerShell script ocsp-crl-local-anchors-enabled.ps1 met de functie Invoke-Monitoring, dat helpt bij het valideren van de configuratie. Dit script maakt het mogelijk om programmatisch te controleren of de configuratie correct is toegepast op alle doelapparaten en kan worden geïntegreerd in bestaande monitoring- en rapportageoplossingen. Door gebruik te maken van geautomatiseerde scripts wordt de implementatie consistenter en kunnen fouten worden voorkomen die bij handmatige configuratie kunnen optreden. Monitor na implementatie regelmatig de nalevingsstatus binnen Intune om te controleren of het beleid succesvol wordt toegepast op alle doelapparaten en los eventuele conflicten of fouten op door middel van probleemoplossing in het Intune-beheercentrum. Deze monitoring moet regelmatig plaatsvinden, bij voorkeur dagelijks in de eerste weken na implementatie, om snel te kunnen reageren op eventuele problemen en te zorgen dat de configuratie effectief blijft werken.
Gebruik PowerShell-script ocsp-crl-local-anchors-enabled.ps1 (functie Invoke-Monitoring) – Gebruik dit script om de implementatie te monitoren en te verifiëren dat het beleid correct is toegepast..
Bewaking
Effectieve monitoring van OCSP en CRL-controles met lokale ankers vereist een gestructureerde en systematische aanpak waarbij regelmatig de nalevingsstatus wordt gecontroleerd via het Microsoft Intune-beheercentrum. Deze monitoring vormt een essentieel onderdeel van het beveiligingsbeheer en maakt het mogelijk om tijdig te reageren op afwijkingen en te zorgen dat de configuratie effectief blijft werken. Zonder adequate monitoring is het niet mogelijk om te verifiëren dat de configuratie daadwerkelijk wordt toegepast en om problemen vroegtijdig te identificeren voordat ze leiden tot beveiligingsincidenten of gebruikersproblemen. De eerste stap in het monitoringproces is het regelmatig navigeren naar Apparaatconfiguratieprofielen in het Intune-beheercentrum en het selecteren van het aangemaakte beleid om de nalevingsstatus per apparaat en gebruiker te bekijken. Deze interface biedt gedetailleerde informatie over de status van elk apparaat, inclusief wanneer de configuratie voor het laatst is toegepast, of er fouten zijn opgetreden tijdens de toepassing, en welke specifieke instellingen actief zijn. Deze gedetailleerde informatie is essentieel voor het begrijpen van de huidige status van de configuratie en voor het identificeren van apparaten die mogelijk aandacht vereisen. Niet-nalevende apparaten vormen een kritiek aandachtspunt in het monitoringproces. Apparaten die niet nalevend zijn, dienen te worden geïdentificeerd en onderzocht om te begrijpen waarom de configuratie niet succesvol is toegepast. Deze analyse is cruciaal voor het begrijpen van de onderliggende oorzaken en het ontwikkelen van effectieve oplossingen. Mogelijke oorzaken voor niet-naleving kunnen variëren van technische problemen tot organisatorische uitdagingen. Apparaten die niet langer beheerd worden door Intune vormen een veelvoorkomende oorzaak, en kunnen bijvoorbeeld het gevolg zijn van het verwijderen van het apparaat uit Azure AD, het verbreken van de verbinding met Intune, of het overschakelen naar een andere beheeroplossing. Deze situaties vereisen verschillende benaderingen voor resolutie, van het herstellen van de verbinding tot het opnieuw inschrijven van het apparaat. Conflicterende beleidsregels vormen een andere belangrijke oorzaak van niet-naleving. Deze kunnen ontstaan wanneer meerdere beleidsregels dezelfde instelling proberen te configureren met verschillende waarden, waarbij de prioriteit bepaalt welke configuratie wordt toegepast. Het is belangrijk om een duidelijk overzicht te hebben van alle beleidsregels die van invloed kunnen zijn op Edge-instellingen en om regelmatig te controleren op conflicten. Technische problemen kunnen ook leiden tot niet-naleving, en kunnen variëren van netwerkconnectiviteitsproblemen tot corruptie van de lokale configuratiecache op het apparaat. Deze problemen vereisen vaak handmatige interventie of het gebruik van geautomatiseerde remediatiescripts om op te lossen. Certificaatvalidatie vormt een specifiek aandachtspunt voor OCSP en CRL-controles. Het is belangrijk om te monitoren of de certificaatvalidatie daadwerkelijk werkt zoals bedoeld, niet alleen om te verifiëren dat de configuratie is toegepast, maar ook om te zorgen dat de validatie effectief is. Dit kan worden geverifieerd door te testen of ingetrokken certificaten correct worden afgewezen en of geldige certificaten worden geaccepteerd. Het is aanbevolen om periodiek te testen met testcertificaten om te verifiëren dat de validatie correct functioneert. Deze tests moeten worden uitgevoerd op een representatieve steekproef van apparaten en moeten verschillende scenario's omvatten, zoals validatie van externe certificaten, validatie van interne certificaten, en validatie van certificaten met verschillende statussen. Rapportage vormt een cruciaal onderdeel van het monitoringproces. Stel een wekelijkse of maandelijkse rapportage in om trends te identificeren en tijdig te kunnen reageren op afwijkingen. Deze rapportage moet niet alleen de huidige nalevingsstatus bevatten, maar ook trends over tijd, identificatie van veelvoorkomende problemen, en aanbevelingen voor verbetering. Door regelmatige rapportage kunnen patronen worden geïdentificeerd die kunnen wijzen op systematische problemen of verbeteringsmogelijkheden. Deze rapporten moeten worden gedeeld met relevante stakeholders, zoals beveiligingsteams, IT-beheerders, en management, om te zorgen dat iedereen op de hoogte is van de status van de configuratie. Geautomatiseerde monitoring vormt een belangrijk hulpmiddel voor grote omgevingen. Het PowerShell monitoring script ocsp-crl-local-anchors-enabled.ps1 met de functie Invoke-Monitoring kan worden gebruikt om programmatisch de configuratie te verifiëren op individuele apparaten. Dit script controleert of de registerinstellingen of Edge-configuraties correct zijn ingesteld volgens het beleid en kan worden uitgevoerd op afstand of lokaal op het apparaat. Voor grote omgevingen is het aanbevolen om dit script te integreren in een geautomatiseerde monitoring oplossing, zodat afwijkingen automatisch worden gedetecteerd en gemeld via bijvoorbeeld Azure Monitor of een beveiligingsinformatie- en gebeurtenisbeheersysteem. Deze integratie maakt het mogelijk om waarschuwingen in realtime te ontvangen wanneer apparaten niet nalevend zijn en om historische trends te analyseren om patronen te identificeren die kunnen wijzen op systematische problemen. Gebruikersfeedback vormt een waardevolle bron van informatie over de effectiviteit van de configuratie. Als gebruikers melden dat bepaalde websites niet meer toegankelijk zijn of dat er certificaatwaarschuwingen worden getoond, dient dit te worden onderzocht om te verifiëren of de configuratie correct is en of er mogelijk aanvullende uitzonderingen nodig zijn voor specifieke gebruikersgroepen of scenario's. Deze feedback kan waardevolle inzichten opleveren over de impact van de configuratie op de gebruikerservaring en kan helpen bij het identificeren van randgevallen die niet waren voorzien tijdens de initiële implementatie. Het is belangrijk om een proces te hebben voor het verzamelen, analyseren en acteren op gebruikersfeedback om te zorgen dat de configuratie zowel effectief als gebruiksvriendelijk blijft.
Gebruik PowerShell-script ocsp-crl-local-anchors-enabled.ps1 (functie Invoke-Monitoring) – Gebruik dit script voor regelmatige controle en verificatie van de configuratie op beheerde apparaten..
Remediatie
Wanneer monitoring aangeeft dat apparaten niet nalevend zijn met de OCSP en CRL-controles configuratie, dient er direct een gestructureerd en gedocumenteerd remediatieproces te worden gestart. Dit proces is essentieel voor het waarborgen dat problemen effectief worden opgelost en om te voorkomen dat dezelfde problemen in de toekomst opnieuw optreden. Zonder een effectief remediatieproces kunnen niet-nalevende apparaten blijven bestaan, wat kan leiden tot beveiligingsrisico's en inconsistentie in de configuratie over de organisatie heen. De eerste stap in het remediatieproces is het zorgvuldig identificeren van de exacte oorzaak van de niet-naleving door de details van het apparaat te bekijken in Intune. Deze analyse moet niet alleen de huidige status van het apparaat omvatten, maar ook de geschiedenis van configuratiewijzigingen, eventuele foutmeldingen, en de relatie met andere beleidsregels die mogelijk van invloed zijn. Deze uitgebreide analyse is cruciaal voor het begrijpen van de onderliggende oorzaken en voor het ontwikkelen van effectieve oplossingen. Systematische diagnose vormt de basis van effectieve remediatie. Controleer of het apparaat nog steeds beheerd wordt door Intune, of er recent wijzigingen zijn geweest in de apparaatconfiguratie, en of er mogelijk andere beleidsregels zijn die conflicteren met deze instelling. Deze controle moet systematisch worden uitgevoerd, waarbij elke mogelijke oorzaak wordt onderzocht voordat wordt overgegaan tot actie. Door systematisch te werk te gaan kunnen de exacte oorzaken worden geïdentificeerd en kunnen de juiste remediatiestappen worden genomen. Het is belangrijk om niet overhaast te handelen, maar om eerst een volledige diagnose uit te voeren voordat remediatieacties worden ondernomen. Synchronisatie en herregistratie vormen belangrijke remediatietools. Als het apparaat niet langer correct beheerd wordt, voer dan een synchronisatie uit vanuit Intune of herregistreer het apparaat indien nodig. Synchronisatie kan worden geforceerd vanuit het Intune-beheercentrum of via het apparaat zelf, en kan vaak problemen oplossen die zijn ontstaan door tijdelijke connectiviteitsproblemen of cacheproblemen. Deze methode is minder invasief dan herregistratie en heeft meestal minder impact op de gebruikerservaring. Herregistratie is een meer drastische maatregel die alleen moet worden overwogen wanneer synchronisatie niet effectief is gebleken, omdat dit kan leiden tot verlies van lokale configuraties en mogelijk impact heeft op de gebruikerservaring. Voordat herregistratie wordt overwogen, moeten alle andere mogelijke oplossingen zijn geprobeerd. Handmatige interventie kan nodig zijn voor specifieke gevallen. Voor apparaten waar de configuratie niet correct is toegepast, kan handmatige interventie vereist zijn via Groepsbeleid of door directe aanpassing van de Edge-instellingen op het apparaat zelf. Handmatige interventie moet altijd worden gedocumenteerd en moet worden gevolgd door verificatie dat de configuratie correct is toegepast. Deze documentatie is essentieel voor auditdoeleinden en voor het begrijpen van welke acties zijn ondernomen en waarom. Het is belangrijk om na handmatige interventie te verifiëren dat de configuratie daadwerkelijk correct is toegepast en dat er geen andere problemen zijn ontstaan. Geautomatiseerde remediatie biedt efficiëntie en consistentie voor grootschalige problemen. Het PowerShell remediatie script ocsp-crl-local-anchors-enabled.ps1 met de functie Invoke-Remediation kan worden gebruikt om automatisch de correcte configuratie toe te passen op niet-nalevende apparaten. Dit script controleert de huidige instellingen en past deze aan indien ze afwijken van het gewenste beleid, en kan worden uitgevoerd op afstand of lokaal op het apparaat. Door gebruik te maken van geautomatiseerde remediatie wordt de consistentie verbeterd en kunnen fouten worden voorkomen die bij handmatige interventie kunnen optreden. Voor grote omgevingen is geautomatiseerde remediatie essentieel om efficiënt te kunnen werken. Systematische problemen vereisen een andere aanpak. Voor systematische problemen waarbij meerdere apparaten niet-nalevend zijn, evalueer het beleid zelf: controleer of de bereiklabels correct zijn ingesteld, of de toewijzingsgroepen nog steeds geldig zijn, en of er geen wijzigingen zijn in de beheersjablonen die invloed hebben op deze specifieke beleidsinstelling. Systematische problemen kunnen wijzen op fundamentele problemen met de beleidsconfiguratie of met de manier waarop het beleid wordt toegepast, en vereisen vaak een meer grondige analyse en mogelijk aanpassing van het beleid zelf. Het is belangrijk om systematische problemen vroegtijdig te identificeren en aan te pakken voordat ze leiden tot wijdverspreide niet-naleving. OCSP en CRL-specifieke problemen vereisen speciale aandacht. In het geval van OCSP en CRL-controles kunnen specifieke problemen optreden wanneer lokale ankers niet correct zijn geconfigureerd of wanneer er problemen zijn met de toegang tot OCSP-servers of CRL-distributiepunten. In dergelijke gevallen moet worden gecontroleerd of de netwerkconnectiviteit naar deze services voldoende is en of er geen firewallregels zijn die de toegang blokkeren. Deze problemen kunnen complex zijn en vereisen vaak samenwerking tussen verschillende teams, zoals netwerk- en beveiligingsteams. Het is belangrijk om deze problemen grondig te onderzoeken en op te lossen voordat de configuratie volledig effectief kan zijn. Documentatie en continue verbetering vormen essentiële onderdelen van het remediatieproces. Documenteer alle remediatieacties in een logboek voor auditdoeleinden en stel indien nodig een verbeterd proces op om toekomstige niet-naleving te voorkomen. Deze documentatie moet niet alleen de uitgevoerde acties omvatten, maar ook de onderliggende oorzaken, de effectiviteit van de genomen maatregelen, en aanbevelingen voor preventie van vergelijkbare problemen in de toekomst. Door regelmatig te evalueren en te verbeteren kan het remediatieproces effectiever worden en kunnen problemen worden voorkomen voordat ze optreden.
Gebruik PowerShell-script ocsp-crl-local-anchors-enabled.ps1 (functie Invoke-Remediation) – Gebruik dit script om automatisch niet-nalevende apparaten te herstellen naar de gewenste configuratie..
Compliance en Audit
Naleving met OCSP en CRL-controles met lokale ankers draagt aanzienlijk bij aan de naleving van verschillende relevante normenkaders en wet- en regelgeving voor Nederlandse overheidsorganisaties. Deze regel vormt een essentieel onderdeel van een breed beveiligingskader dat is ontworpen om de beveiliging van webverbindingen te waarborgen en om te voldoen aan de strikte eisen die worden gesteld aan publieke organisaties in Nederland. De implementatie van adequate certificaatvalidatie is niet alleen een technische maatregel, maar vormt een fundamenteel onderdeel van een defensieve beveiligingsstrategie die organisaties helpt bij het voldoen aan de complexe compliancevereisten waarmee zij worden geconfronteerd. Zonder adequate certificaatvalidatie kunnen organisaties niet volledig voldoen aan de beveiligingsstandaarden die worden vereist door wet- en regelgeving en door relevante normenkaders, wat kan leiden tot auditbevindingen, boetes, of reputatieschade. Op het gebied van algemene beveiliging speelt deze regel een cruciale rol bij het waarborgen van adequate certificaatvalidatie, wat essentieel is voor het voorkomen van man-in-the-middle aanvallen en het waarborgen van de integriteit van webverbindingen. Deze aanvallen vormen een significant beveiligingsrisico omdat aanvallers kunnen proberen om zich voor te doen als legitieme servers en zo toegang te krijgen tot gevoelige informatie of om gebruikers te misleiden naar kwaadaardige websites. De gevolgen van dergelijke aanvallen kunnen verstrekkend zijn, variërend van diefstal van inloggegevens tot interceptie van vertrouwelijke communicatie tussen gebruikers en webapplicaties. Door OCSP en CRL-controles in te schakelen wordt dit risico aanzienlijk verminderd doordat ingetrokken of gecompromitteerde certificaten worden afgewezen voordat er een onveilige verbinding tot stand kan komen. Deze proactieve aanpak vormt een essentieel onderdeel van een gelaagde beveiligingsstrategie die meerdere beveiligingsmaatregelen combineert om een robuuste verdediging te bieden tegen verschillende soorten cyberaanvallen. Voor BIO-naleving sluit deze maatregel nauw aan bij beveiligingsmaatregel 13.01.01 (Beveiligingsmaatregelen voor gebruikersapparatuur), waarbij wordt gesteld dat gebruikersapparatuur zodanig moet worden geconfigureerd dat adequate beveiligingsmaatregelen worden toegepast. Deze maatregel is specifiek ontworpen om te zorgen dat gebruikersapparatuur correct is geconfigureerd en dat beveiligingsinstellingen actief zijn en effectief werken. De Basisveiligheidsrichtlijn voor Overheidsinformatie (BIO) stelt specifieke eisen aan de beveiliging van informatie en informatiesystemen binnen de Nederlandse overheid, en deze maatregel vormt een concrete invulling van de vereiste om gebruikersapparatuur te beveiligen. Het inschakelen van OCSP en CRL-controles vormt een concrete invulling van deze vereiste door te zorgen dat browsers certificaten valideren voordat verbindingen worden geaccepteerd. Deze validatie is essentieel voor het waarborgen dat gebruikers alleen verbinding maken met legitieme en veilige websites, wat een fundamenteel onderdeel vormt van de beveiliging van gebruikersapparatuur volgens BIO-normen. ISO 27001 controle A.12.6.1 (Beheer van technische kwetsbaarheden) is eveneens zeer relevant voor deze configuratie. Deze controle vereist dat organisaties technische kwetsbaarheden tijdig identificeren, evalueren en aanpakken, en het inschakelen van certificaatvalidatie vormt een proactieve maatregel om het risico op beveiligingsincidenten te verminderen. Het accepteren van ingetrokken of gecompromitteerde certificaten vormt een belangrijke technische kwetsbaarheid die kan worden misbruikt door aanvallers om onveilige verbindingen tot stand te brengen of om gebruikers te misleiden naar kwaadaardige websites. Door OCSP en CRL-controles in te schakelen vermindert de organisatie het risico op het accepteren van dergelijke certificaten, wat een belangrijke technische kwetsbaarheid vormt als deze niet wordt aangepakt. Deze proactieve aanpak van technische kwetsbaarheden is een essentieel onderdeel van een effectief informatiebeveiligingsmanagementsysteem (ISMS) volgens ISO 27001, waarbij organisaties continu werken aan het identificeren en mitigeren van beveiligingsrisico's. Voor AVG-naleving is deze maatregel van bijzonder belang omdat het waarborgen van beveiligde webverbindingen essentieel is voor het beschermen van persoonsgegevens tijdens transmissie. Artikel 32 van de AVG vereist dat passende technische en organisatorische maatregelen worden genomen om een passend beveiligingsniveau te waarborgen, waarbij rekening wordt gehouden met de stand van de techniek, de uitvoeringskosten, en de aard, omvang, context en doeleinden van de verwerking, alsmede met de risico's van verschillende waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen. Certificaatvalidatie vormt een belangrijke technische maatregel in dit kader omdat het helpt bij het waarborgen van de integriteit en vertrouwelijkheid van persoonsgegevens tijdens transmissie over het internet. Zonder adequate certificaatvalidatie kunnen persoonsgegevens blootgesteld worden aan onbevoegde toegang tijdens transmissie, wat kan leiden tot schending van de AVG en potentiële boetes tot twintig miljoen euro of vier procent van de wereldwijde jaaromzet, afhankelijk van wat hoger is. Auditvoorbereiding vormt een cruciaal aspect van compliance omdat organisaties tijdens audits moeten kunnen aantonen dat zij effectieve beveiligingsmaatregelen hebben geïmplementeerd en onderhouden. Voor auditdoeleinden dient de organisatie gedocumenteerd beleid te hebben dat beschrijft waarom deze instelling is geïmplementeerd, hoe deze wordt beheerd en gemonitord, en welke procedures gelden voor uitzonderingen indien deze nodig zijn. Deze documentatie moet niet alleen de technische aspecten van de configuratie omvatten, maar ook de bedrijfsrechtvaardiging, de risico's die worden gemitigeerd, en de procedures voor het beheren van uitzonderingen. De bedrijfsrechtvaardiging moet duidelijk beschrijven waarom deze specifieke maatregel is gekozen, welke bedrijfsrisico's worden gemitigeerd, en hoe deze maatregel past binnen de bredere beveiligingsstrategie van de organisatie. De procedures voor uitzonderingen moeten beschrijven onder welke omstandigheden uitzonderingen mogelijk zijn, wie autoriteit heeft om uitzonderingen toe te staan, en hoe uitzonderingen worden gedocumenteerd en gemonitord. Zonder adequate documentatie is het niet mogelijk om tijdens audits aan te tonen dat de maatregel effectief wordt toegepast en gehandhaafd, wat kan leiden tot auditbevindingen die de organisatie moet aanpakken. Configuratiebeheer en logging zijn essentieel voor auditdoeleinden omdat zij bewijs leveren dat de configuratie correct is geïmplementeerd en onderhouden. Bewaar configuratieversies van het Intune-beleid en log alle wijzigingen in de beleidstoepassing voor een minimale periode van één jaar, conform de bewaarverplichtingen voor auditlogboeken. Deze logging maakt het mogelijk om historische wijzigingen te traceren en om te verifiëren dat het beleid consistent is toegepast over tijd. Door configuratieversies te bewaren kan worden aangetoond wanneer wijzigingen zijn doorgevoerd en waarom, wat essentieel is voor auditdoeleinden. De configuratieversies moeten alle wijzigingen bevatten, inclusief wie de wijziging heeft doorgevoerd, wanneer deze is doorgevoerd, en wat de reden was voor de wijziging. Deze informatie is essentieel voor het traceren van wijzigingen en voor het begrijpen van de evolutie van de configuratie over tijd. Daarnaast moeten organisaties regelmatig controleren of de configuratie nog steeds correct is toegepast en of er geen onbevoegde wijzigingen hebben plaatsgevonden, wat kan wijzen op een beveiligingsincident. Regelmatige nalevingsbeoordelingen vormen een essentieel onderdeel van het complianceproces omdat zij organisaties helpen bij het vroegtijdig identificeren en aanpakken van problemen voordat deze leiden tot auditbevindingen of beveiligingsincidenten. Deze beoordelingen moeten aantonen dat het beleid actief is en effectief werkt, waarbij afwijkingen worden gedocumenteerd en opgelost. Deze beoordelingen moeten minimaal kwartaal plaatsvinden en moeten niet alleen de nalevingsstatus omvatten, maar ook trends over tijd, identificatie van veelvoorkomende problemen, en aanbevelingen voor verbetering. Door regelmatige beoordelingen kunnen problemen vroegtijdig worden geïdentificeerd en aangepakt voordat ze leiden tot complianceproblemen. De beoordelingen moeten worden uitgevoerd door bevoegde personen met kennis van zowel de technische aspecten van de configuratie als de compliancevereisten die van toepassing zijn. De resultaten van de beoordelingen moeten worden gedocumenteerd en gedeeld met relevante stakeholders, zoals beveiligingsteams, IT-beheerders, en management, om te zorgen dat iedereen op de hoogte is van de nalevingsstatus en van eventuele acties die nodig zijn. Externe audits en interne beveiligingsbeoordelingen vereisen bewijs van effectieve implementatie omdat auditors en beoordelaars moeten kunnen verifiëren dat de maatregel daadwerkelijk werkt zoals bedoeld. Tijdens externe audits of interne beveiligingsbeoordelingen moet kunnen worden aangetoond dat deze maatregel daadwerkelijk wordt toegepast en gehandhaafd op alle relevante apparaten binnen de organisatie. Dit vereist niet alleen documentatie van de configuratie, maar ook bewijs van effectieve monitoring, tijdige remediatie van afwijkingen, en continue verbetering van het proces. Het bewijs van effectieve implementatie kan worden geleverd door middel van monitoringrapporten die aantonen dat de configuratie is toegepast op alle doelapparaten, door middel van incidentrapporten die aantonen dat afwijkingen tijdig zijn gedetecteerd en aangepakt, en door middel van procesdocumentatie die aantoonbaar maakt dat het proces continu wordt verbeterd. Zonder dit bewijs kan de organisatie niet aantonen dat de maatregel effectief is, wat kan leiden tot bevindingen tijdens audits die de organisatie moet aanpakken. Deze bevindingen kunnen variëren van aanbevelingen voor verbetering tot kritieke bevindingen die onmiddellijke actie vereisen om de beveiliging en compliance te waarborgen.
Compliance & Frameworks
- CIS M365: Control Beveiligingscontroles (L1) - Beveiligingsverharding
- BIO: 13.01.01 - Technische beveiligingsmaatregelen
- ISO 27001:2022: A.12.6.1 - Beheer van technische kwetsbaarheden
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Edge Security: OCSP/CRL Local Anchors Enabled
.DESCRIPTION
CIS - OCSP/CRL checking voor local trust anchors moet enabled.
.NOTES
Filename: ocsp-crl-local-anchors-enabled.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Edge\RequireOnlineRevocationChecksForLocalAnchors|Expected: 1
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge"; $RegName = "RequireOnlineRevocationChecksForLocalAnchors"; $ExpectedValue = 1
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "ocsp-crl-local-anchors-enabled.ps1"; PolicyName = "OCSP/CRL Local Anchors"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; if (-not(Test-Path $RegPath)) { $r.Details += "Niet geconfigureerd"; return $r }; try { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop; $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "OCSP/CRL enabled for local anchors" }else { $r.Details += "OCSP/CRL disabled" } }catch { $r.Details += "Niet geconfigureerd" }; return $r }
function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "OCSP/CRL local anchors enabled" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
Medium: Ingetrokken certificaten worden geaccepteerd, wat het risico op man-in-the-middle aanvallen verhoogt.
Management Samenvatting
Schakel OCSP en CRL-controles in met lokale ankers om certificaatvalidatie te waarborgen en beveiligde webverbindingen te garanderen.
- Implementatietijd: 2 uur
- FTE required: 0.01 FTE