💼 Management Samenvatting
Het beheren van de standaard zoekmachine in Microsoft Edge vormt een essentieel onderdeel van de beveiligingsstrategie voor organisaties die gebruikmaken van cloud-gebaseerde diensten. Deze beveiligingsmaatregel waarborgt niet alleen de correcte configuratie van de browser, maar beschermt ook tegen potentiële beveiligingsrisico's die kunnen ontstaan wanneer gebruikers onbeheerde zoekmachines gebruiken. Door de standaard zoekmachine centraal te beheren via Microsoft Intune, kunnen IT-beheerders ervoor zorgen dat alle gebruikers binnen de organisatie gebruikmaken van goedgekeurde en veilige zoekdiensten die voldoen aan de organisatorische beveiligingsstandaarden en privacyvereisten.
Aanbeveling
CONSIDER
Risico zonder
Low
Risk Score
2/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Edge
Deze instelling beschermt de privacy van gebruikers door het beperken van ongecontroleerde gegevensverzameling door externe zoekmachines. Wanneer gebruikers zelf een zoekmachine kunnen kiezen, bestaat het risico dat zij onbewust zoekdiensten selecteren die uitgebreide tracking en profilering uitvoeren, wat kan leiden tot datalekken en privacyrisico's. Bovendien kunnen onbeheerde zoekmachines kwaadaardige resultaten tonen of gebruikers naar gecompromitteerde websites leiden. Door de zoekmachine centraal te beheren, kunnen organisaties ervoor zorgen dat alle zoekopdrachten worden verwerkt via vertrouwde diensten die voldoen aan de AVG-vereisten en de interne beveiligingsrichtlijnen. Dit is met name belangrijk voor overheidsorganisaties die moeten voldoen aan strikte privacy- en beveiligingsnormen zoals vastgelegd in de BIO-normenkader en de Baseline Informatiebeveiliging Overheid.
PowerShell Modules Vereist
Primary API: Graph
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
Dit beveiligingsbeleid configureert de standaard zoekmachine voor Microsoft Edge via Microsoft Intune device configuratiebeleidsregels. Het beleid maakt het mogelijk om voor alle gebruikers binnen de organisatie een specifieke zoekmachine in te stellen als standaard, waardoor gebruikers niet zelf kunnen wijzigen naar andere zoekdiensten. De implementatie gebeurt via de Microsoft Graph API en vereist de Microsoft.Graph.DeviceManagement module voor PowerShell. Het beleid kan worden toegepast op alle Windows-apparaten die zijn geregistreerd in Microsoft Intune, waardoor een consistente en beveiligde zoekervaring wordt gegarandeerd voor alle medewerkers.
Vereisten
Voor de succesvolle implementatie van dit beveiligingsbeleid voor het beheren van de standaard zoekmachine in Microsoft Edge zijn verschillende technische en organisatorische vereisten van fundamenteel belang. Deze vereisten vormen de basis voor een veilige en effectieve implementatie die voldoet aan zowel technische als compliance-standaarden die essentieel zijn voor Nederlandse overheidsorganisaties. Microsoft Intune functioneert als de centrale Mobile Device Management (MDM) oplossing voor deze implementatie, wat betekent dat de organisatie moet beschikken over een geldig Microsoft 365 licentiepakket dat Intune omvat. Dit licentiepakket kan bestaan uit een Microsoft 365 E3 of E5 licentie, die naast Intune ook andere essentiële diensten zoals Exchange Online, SharePoint Online en Teams bevat. Alternatief kan er worden gekozen voor een specifieke Intune-licentie die uitsluitend is gericht op device management functionaliteiten. De keuze voor het juiste licentiepakket is cruciaal omdat dit direct invloed heeft op de beschikbare functionaliteiten en beheeropties binnen het Intune platform. De apparaten die beheerd moeten worden via dit beleid moeten correct zijn geregistreerd in Microsoft Intune en moeten de Microsoft Edge browser ondersteunen als standaard webbrowser. Voor Windows-apparaten betekent dit dat er minimaal Windows 10 versie 1809 (October 2018 Update) vereist is, of een nieuwere versie zoals Windows 10 versie 2004 of hoger, of volledig Windows 11. Deze versievereisten zijn belangrijk omdat oudere Windows-versies mogelijk niet alle moderne beveiligingsfuncties en policy-ondersteuning bevatten die nodig zijn voor een effectieve implementatie van het zoekmachine-beleid. Bovendien moeten de apparaten zijn toegevoegd aan Azure Active Directory, dat sinds 2023 officieel is hernoemd naar Microsoft Entra ID, en moeten zij voldoen aan alle compliancevereisten die door de organisatie zijn vastgesteld in het kader van informatiebeveiliging en gegevensbescherming. Vanuit technisch perspectief is directe toegang tot de Microsoft Graph API een absolute vereiste voor de implementatie en het beheer van dit beleid. De Microsoft Graph API fungeert als de centrale interface tussen beheeromgevingen en Microsoft 365 services, waardoor alle configuratiewijzigingen, policy-deployments en monitoringactiviteiten worden uitgevoerd. De beheerder die verantwoordelijk is voor de implementatie moet beschikken over de juiste machtigingen binnen de Microsoft 365 tenant om device policies te kunnen configureren en beheren. Dit vereist doorgaans de rol van Intune Service Administrator, die specifieke rechten heeft voor het beheren van Intune-configuraties, of de rol van Global Administrator, die uitgebreide rechten heeft binnen de volledige Microsoft 365 omgeving. Het is belangrijk om het principe van least privilege toe te passen, wat betekent dat beheerders alleen de minimale benodigde rechten krijgen om hun taken uit te voeren. Voor de automatisering van de implementatie en de continue monitoring van het beleid is PowerShell vereist als scripting- en automatiseringstool. De organisatie kan kiezen voor PowerShell versie 5.1, die nog steeds wordt ondersteund op Windows-systemen, of voor de modernere PowerShell 7.x versie, die cross-platform beschikbaar is en verbeterde functionaliteiten biedt. Essentieel is de installatie van de Microsoft.Graph.DeviceManagement module, die specifieke cmdlets bevat voor het beheren van device policies via de Microsoft Graph API. Deze module kan eenvoudig worden geïnstalleerd via de PowerShell Gallery met behulp van de Install-Module cmdlet, waarbij de gebruiker wordt gevraagd om de module te vertrouwen en eventuele afhankelijkheden automatisch worden geïnstalleerd. Daarnaast is een stabiele netwerkverbinding vereist met de Microsoft Graph API endpoints, wat betekent dat de beheeromgeving waar de PowerShell-scripts worden uitgevoerd toegang moet hebben tot internet of toegang moet hebben via een geconfigureerde proxy server. Organisaties met strenge netwerkbeveiliging moeten ervoor zorgen dat de benodigde Microsoft Graph API endpoints zijn toegevoegd aan de firewall whitelist, zodat communicatie tussen de beheeromgeving en Microsoft 365 services niet wordt geblokkeerd. Dit omvat endpoints zoals graph.microsoft.com en login.microsoftonline.com, die essentieel zijn voor zowel authenticatie als API-communicatie. Organisatorisch gezien moet er een duidelijk en gedocumenteerd beleid zijn vastgesteld over welke zoekmachine als standaard moet worden gebruikt binnen de organisatie. Dit beleid moet niet alleen technische specificaties bevatten, maar ook een duidelijke motivatie waarom voor deze specifieke zoekmachine is gekozen, welke risico's worden gemitigeerd, en hoe dit beleid bijdraagt aan de algehele informatiebeveiligingsdoelstellingen van de organisatie. Het beleid moet worden goedgekeurd door verantwoordelijke functionarissen zoals de Chief Information Security Officer (CISO), die verantwoordelijk is voor de strategische beveiligingsrichting, of de Data Protection Officer (DPO), die specifiek toeziet op naleving van privacyregelgeving zoals de AVG. Het is van kritiek belang dat de gekozen zoekmachine voldoet aan alle privacy- en beveiligingsvereisten van de organisatie, met name wanneer er sprake is van verwerking van persoonsgegevens tijdens zoekopdrachten. Gebruikers kunnen tijdens het zoeken onbewust persoonsgegevens invoeren, zoals namen van collega's, interne projectnamen, of andere informatie die kan worden gekoppeld aan individuele personen. Voor Nederlandse overheidsorganisaties betekent dit vaak dat er wordt gekozen voor een zoekmachine die volledig voldoet aan de AVG-vereisten, die uitgebreide privacycontrols biedt, en die dataverwerking uitvoert binnen de Europese Economische Ruimte (EER) om te voldoen aan datalocatie-vereisten die door sommige sectoren worden gesteld. Tot slot is het essentieel dat er een gestructureerd proces is ingericht voor het testen van de configuratie voordat deze wordt uitgerold naar alle gebruikers binnen de organisatie. Dit testproces moet een gefaseerde aanpak volgen, waarbij eerst wordt getest in een geïsoleerde testomgeving, gevolgd door een pilot-implementatie op een beperkte groep gebruikers of apparaten. Tijdens deze testfase moet worden geverifieerd dat de configuratie correct werkt, dat gebruikers nog steeds effectief kunnen zoeken, en dat er geen negatieve impact is op de gebruikerservaring of productiviteit. Daarnaast moet er een duidelijke rollback-procedure zijn gedefinieerd die kan worden geactiveerd wanneer de implementatie onverwachte problemen veroorzaakt of wanneer gebruikers legitieme bedrijfsredenen hebben om een andere zoekmachine te gebruiken voor specifieke taken. Deze rollback-procedure moet snel kunnen worden uitgevoerd om verstoring van bedrijfsprocessen te minimaliseren.
Implementatie
De implementatie van het beveiligingsbeleid voor het beheren van de standaard zoekmachine in Microsoft Edge vereist een zorgvuldige en gestructureerde aanpak die begint met uitgebreide voorbereiding en eindigt met volledige documentatie en monitoring. Deze implementatie is geen eenmalige gebeurtenis maar een continu proces dat voortdurende aandacht en aanpassing vereist om effectief te blijven in een dynamische IT-omgeving. De implementatiefase begint met grondige voorbereiding van de Microsoft Intune omgeving, waarbij eerst wordt gecontroleerd of alle vereiste licenties aanwezig zijn en of de apparaten correct zijn geregistreerd in Intune. Dit omvat het verifiëren dat alle doelapparaten zijn toegevoegd aan Microsoft Entra ID en dat zij succesvol zijn geregistreerd in het Intune platform. Tijdens deze verificatie moet worden gecontroleerd of de apparaten de juiste Intune-beleidsregels ontvangen en of er geen configuratieconflicten bestaan die kunnen interfereren met de implementatie van het zoekmachine-beleid. Vervolgens moet de beheerder zich authenticeren bij Microsoft Graph met de juiste machtigingen door het uitvoeren van de Connect-MgGraph cmdlet, waarbij de beheerder wordt gevraagd om in te loggen met een account dat beschikt over de benodigde rechten voor het configureren van apparaatbeleidsregels. De daadwerkelijke configuratie van het beleid kan worden uitgevoerd via twee verschillende methoden: handmatig via het Microsoft Intune beheercentrum of programmatisch via PowerShell-scripts. In het Intune beheercentrum navigeert de beheerder eerst naar Apparaten, vervolgens naar Configuratieprofielen, en selecteert Profiel aanmaken om een nieuw configuratieprofiel aan te maken. Hier kiest men voor het platform Windows 10 en later, wat betekent dat het beleid wordt toegepast op alle Windows 10 en Windows 11 apparaten die zijn geregistreerd in Intune. Vervolgens selecteert men het profieltype Beheerssjablonen, wat toegang geeft tot een uitgebreide bibliotheek van beheersbare beleidsinstellingen die via groepsbeleid kunnen worden geconfigureerd. Binnen de Beheerssjablonen zoekt men naar de Edge-specifieke beleidsregels en selecteert het beleid voor het beheren van de standaard zoekmachine. De beheerder configureert vervolgens de gewenste zoekmachine als standaard door de specifieke URL of de naam van de zoekmachine in te voeren, en wijst het beleid toe aan de relevante gebruikersgroepen of apparaatgroepen die zijn gedefinieerd in Microsoft Entra ID. Voor geautomatiseerde implementatie en herhaalbare deployments kan gebruik worden gemaakt van het PowerShell-script dat beschikbaar is in de code repository. Het script search-engine-Beheerled.ps1 bevat verschillende functies die kunnen worden gebruikt voor verschillende aspecten van de implementatie en het beheer. De functie Invoke-Monitoring kan worden gebruikt om de huidige configuratie te controleren voordat de wijzigingen worden doorgevoerd, waardoor beheerders kunnen zien welke apparaten momenteel welke configuratie hebben en of er afwijkingen bestaan. Het script maakt gebruik van de Microsoft Graph API om de apparaatconfiguratiebeleidsregels te lezen en te wijzigen via specifieke endpoints die toegang geven tot Intune-beheerfunctionaliteiten. Voordat het script wordt uitgevoerd, moet de Microsoft.Graph.DeviceManagement module zijn geïnstalleerd via de PowerShell Gallery, en moet de beheerder zijn geauthenticeerd bij Microsoft Graph met de juiste machtigingen. Het script biedt uitgebreide foutafhandeling en logging functionaliteiten, waardoor beheerders kunnen zien welke acties zijn uitgevoerd en of er problemen zijn opgetreden tijdens de implementatie. Tijdens de implementatie is het van kritiek belang om een gefaseerde aanpak te volgen die risico's minimaliseert en zorgt voor een soepele overgang naar de nieuwe configuratie. Begin met het toepassen van het beleid op een kleine groep testgebruikers of testapparaten die representatief zijn voor de volledige organisatie maar klein genoeg om snel problemen te identificeren en op te lossen. Deze testgroep moet verschillende typen gebruikers bevatten, zoals gebruikers met verschillende rollen, verschillende apparaten, en verschillende werkpatronen, om te verifiëren dat de configuratie correct werkt in verschillende scenario's en geen onverwachte problemen veroorzaakt. Monitor de implementatie gedurende minimaal een week om te controleren of er geen gebruikersklachten zijn, of alle apparaten correct de nieuwe configuratie hebben ontvangen, en of er geen negatieve impact is op de gebruikerservaring of productiviteit. Pas na succesvolle verificatie in de testfase wordt het beleid gefaseerd uitgerold naar de volledige organisatie, waarbij eerst wordt uitgebreid naar een grotere groep gebruikers, vervolgens naar een volledig departement of locatie, en uiteindelijk naar de volledige organisatie. Tijdens de uitrol moet er continue monitoring plaatsvinden om eventuele problemen snel te kunnen identificeren en op te lossen voordat zij zich verspreiden naar de volledige organisatie. Na de implementatie moet de configuratie volledig worden gedocumenteerd, inclusief de gekozen zoekmachine met de specifieke redenen voor deze keuze, de toegewezen gebruikersgroepen en apparaatgroepen met uitleg waarom deze groepen zijn geselecteerd, eventuele uitzonderingen die zijn gemaakt met de specifieke redenen voor deze uitzonderingen, en eventuele problemen die zijn opgetreden tijdens de implementatie met de oplossingen die zijn toegepast. Deze documentatie is essentieel voor auditdoeleinden wanneer auditors willen verifiëren dat het beveiligingsbeleid correct is geïmplementeerd en wordt nageleefd. Daarnaast is deze documentatie belangrijk voor toekomstige onderhoudsactiviteiten, zoals het toevoegen van nieuwe apparaten aan het beleid, het maken van wijzigingen aan de configuratie, of het oplossen van problemen die in de toekomst kunnen optreden. Daarnaast moet er een gestructureerd proces zijn ingericht voor het periodiek controleren van de configuratie om te verifiëren dat het beleid nog steeds actief is en correct wordt toegepast op alle relevante apparaten, waarbij eventuele afwijkingen worden geïdentificeerd en gecorrigeerd.
Gebruik PowerShell-script search-engine-Beheerled.ps1 (functie Invoke-Monitoring) – Het PowerShell script voor het monitoren van de zoekmachine configuratie biedt functionaliteit om de huidige status van het beleid te controleren en te rapporteren over de compliance van apparaten met het ingestelde beleid..
Monitoring
Continue monitoring van de zoekmachine configuratie is essentieel om te verzekeren dat het beveiligingsbeleid correct wordt toegepast en blijft functioneren zoals bedoeld in een dynamische IT-omgeving waar voortdurend veranderingen optreden. Het monitoringproces omvat verschillende complexe aspecten die samen een volledig beeld geven van de gezondheid en effectiviteit van de implementatie, waaronder het controleren van de compliance status van apparaten, het identificeren van configuratiewijzigingen die mogelijk niet zijn geautoriseerd, en het detecteren van eventuele problemen of afwijkingen die kunnen wijzen op technische problemen of beveiligingsincidenten. Zonder uitgebreide monitoring kan een organisatie niet verifiëren dat het beveiligingsbeleid effectief is geïmplementeerd en wordt nageleefd, wat kan leiden tot compliance-problemen en beveiligingsrisico's. Het Microsoft Intune beheercentrum biedt uitgebreide ingebouwde rapportagefunctionaliteit waarmee beheerders kunnen zien welke apparaten het beleid hebben ontvangen, of de configuratie succesvol is toegepast, en welke apparaten mogelijk problemen hebben met de configuratie. Deze rapportagefunctionaliteit omvat real-time compliance status updates, gedetailleerde apparaat-specifieke informatie, en historische data over configuratiewijzigingen en compliance-trends. Beheerders kunnen gebruikmaken van verschillende rapporten die beschikbaar zijn in het Intune beheercentrum, zoals het Apparaatconfiguratie compliance-rapport dat een overzicht geeft van alle apparaten en hun compliance status, en het Beleidsconfiguratie rapport dat gedetailleerde informatie geeft over specifieke beleidsinstellingen en hun status per apparaat. Deze rapporten kunnen worden gefilterd op verschillende criteria, zoals apparaattype, gebruikersgroep, of compliance status, waardoor beheerders snel kunnen identificeren welke apparaten aandacht nodig hebben. Het PowerShell script search-engine-controlled.ps1 bevat de functie Invoke-Monitoring die geautomatiseerde monitoring mogelijk maakt via de Microsoft Graph API, waardoor beheerders regelmatig en consistente monitoring kunnen uitvoeren zonder handmatige interventie. Deze functie maakt verbinding met Microsoft Graph en haalt de compliance status op voor alle apparaten die zijn toegewezen aan het zoekmachine beleid, waarbij gebruik wordt gemaakt van specifieke endpoints die toegang geven tot Intune compliance data. Het script genereert een uitgebreid rapport dat aangeeft hoeveel apparaten compliant zijn en correct zijn geconfigureerd, hoeveel apparaten nog in behandeling zijn en de configuratie nog moeten ontvangen, en hoeveel apparaten een foutmelding hebben en mogelijk aandacht nodig hebben. Dit rapport bevat gedetailleerde informatie over elk apparaat, inclusief de apparaatnaam, de gebruikersnaam, de huidige configuratie, de compliance status, en eventuele foutmeldingen of waarschuwingen. Het rapport kan worden geëxporteerd naar verschillende formaten, zoals CSV voor analyse in spreadsheet-applicaties, JSON voor programmatische verwerking, of HTML voor presentatie aan stakeholders. Dit maakt het mogelijk om de monitoringdata te gebruiken voor trendanalyse, compliance-rapportage, en besluitvorming over verbeteringen aan het beveiligingsbeleid. Naast de technische monitoring is het belangrijk om ook gebruikersfeedback te verzamelen en te analyseren, omdat gebruikers vaak problemen ervaren die niet direct zichtbaar zijn in technische monitoringrapporten. Gebruikers kunnen problemen ervaren met de geconfigureerde zoekmachine die de technische monitoring niet detecteert, zoals langzame zoekresultaten die de gebruikerservaring beïnvloeden, ontbrekende functionaliteit die gebruikers verwachten, of problemen met specifieke zoekopdrachten die gebruikers regelmatig uitvoeren. Het is belangrijk om een gestructureerd proces te hebben voor het verzamelen en verwerken van deze feedback, zodat eventuele problemen snel kunnen worden geïdentificeerd en opgelost voordat zij een negatieve impact hebben op de gebruikerservaring of productiviteit. Dit kan bijvoorbeeld gebeuren via een servicedesk systeem waar gebruikers kunnen melden dat zij problemen ervaren, via periodieke gebruikersenquêtes waarin gebruikers worden gevraagd naar hun ervaring met de geconfigureerde zoekmachine, of via directe feedback tijdens gebruikersbijeenkomsten of trainingen. Deze feedback moet worden geanalyseerd en gebruikt om het beveiligingsbeleid te verbeteren en om te verifiëren dat het beleid nog steeds voldoet aan de behoeften van de organisatie. De monitoring moet regelmatig en consistent worden uitgevoerd, bij voorkeur wekelijks voor grotere organisaties met veel apparaten en gebruikers, of maandelijks voor kleinere organisaties met minder complexe IT-omgevingen. De frequentie van monitoring moet worden aangepast aan de specifieke omstandigheden van de organisatie, zoals de grootte van de organisatie, de frequentie van wijzigingen in de IT-omgeving, en het risiconiveau dat wordt geassocieerd met non-compliance. Tijdens elke monitoringcheck moet worden gecontroleerd of nieuwe apparaten correct het beleid ontvangen wanneer zij worden toegevoegd aan de organisatie, of bestaande apparaten het beleid behouden na updates of herconfiguraties, en of er geen onbevoegde wijzigingen zijn aangebracht aan de configuratie die kunnen wijzen op een beveiligingsincident of een onbedoelde configuratiefout. Daarnaast moet worden gecontroleerd of de compliance-trends positief of negatief zijn, wat kan wijzen op onderliggende problemen die aandacht nodig hebben, zoals problemen met het beleid zelf, problemen met de apparaten, of problemen met het Intune platform. Voor auditdoeleinden en compliance-verificatie moet alle monitoringactiviteit volledig worden gelogd en gedocumenteerd in een formaat dat geschikt is voor audit- en reviewdoeleinden. Dit omvat de datum en tijd van elke monitoringcheck, de resultaten van de check inclusief het aantal compliant en non-compliant apparaten, gedetailleerde informatie over eventuele afwijkingen of problemen die zijn geïdentificeerd, en eventuele acties die zijn ondernomen als gevolg van de bevindingen. Deze documentatie moet worden bewaard voor de periode die is vastgesteld in het record retention beleid van de organisatie, wat doorgaans minimaal één jaar is maar kan variëren afhankelijk van de specifieke compliancevereisten. Deze documentatie kan worden gebruikt om aan te tonen dat de organisatie proactief monitort op compliance met het beveiligingsbeleid en dat eventuele problemen snel worden geïdentificeerd en opgelost, wat essentieel is voor organisaties die moeten voldoen aan compliancevereisten zoals ISO 27001 of de BIO-normenkader. Daarnaast kan deze documentatie worden gebruikt voor trendanalyse en verbetering van het monitoringproces zelf, waardoor de organisatie continu kan verbeteren in het beheren en monitoren van beveiligingsbeleid.
Gebruik PowerShell-script search-engine-controlled.ps1 (functie Invoke-Monitoring) – Het monitoring script controleert de compliance status van alle apparaten met het zoekmachine beleid en genereert gedetailleerde rapporten voor analyse en auditdoeleinden..
Remediatie
Wanneer monitoring activiteiten aangeven dat apparaten niet compliant zijn met het zoekmachine beleid, of wanneer gebruikers problemen melden met de geconfigureerde zoekmachine, moet er een gestructureerd en systematisch remediatieproces worden gevolgd dat ervoor zorgt dat problemen snel worden geïdentificeerd, geanalyseerd en opgelost zonder de beveiligingspostuur van de organisatie te verzwakken. Het remediatieproces is geen eenmalige gebeurtenis maar een continu proces dat voortdurende aandacht en aanpassing vereist om effectief te blijven in een dynamische IT-omgeving waar voortdurend nieuwe problemen kunnen optreden. Het remediatieproces begint met grondige analyse en identificatie van de oorzaak van het probleem, waarbij verschillende mogelijke oorzaken moeten worden onderzocht voordat corrigerende maatregelen worden genomen. Dit kan verschillende oorzaken hebben, zoals een mislukte beleidsimplementatie waarbij het beleid niet correct is geïmplementeerd op het apparaat, een conflict met een ander beleid dat de configuratie overschrijft, of een handmatige wijziging door een gebruiker of beheerder die niet is geautoriseerd. Het is van kritiek belang om eerst de exacte oorzaak te identificeren voordat corrigerende maatregelen worden genomen, omdat onjuiste remediatieacties het probleem kunnen verergeren of nieuwe problemen kunnen veroorzaken. Dit vereist uitgebreide logging en auditing van configuratiewijzigingen, zodat beheerders kunnen zien wanneer en door wie wijzigingen zijn aangebracht aan de configuratie. Het PowerShell-script search-engine-controlled.ps1 bevat de functie Invoke-Remediation die geautomatiseerde remediatie mogelijk maakt via de Microsoft Graph API, waardoor beheerders snel en consistente remediatieacties kunnen uitvoeren zonder handmatige interventie voor elk apparaat. Deze functie kan worden gebruikt om het beleid opnieuw toe te passen op niet-compliant apparaten wanneer de oorzaak van het probleem bekend is en het opnieuw toepassen van het beleid de meest geschikte oplossing is, of om specifieke configuratiewijzigingen door te voeren wanneer er sprake is van een configuratiefout of een conflict met een ander beleid. Het script maakt verbinding met Microsoft Graph en gebruikt de apparaatbeheer API's om de configuratie te herstellen naar de gewenste staat, waarbij gebruik wordt gemaakt van specifieke endpoints die toegang geven tot Intune-beheerfunctionaliteiten. Voordat het script wordt uitgevoerd, moet de beheerder de oorzaak van het probleem hebben geïdentificeerd via uitgebreide analyse en logging, en moet er een duidelijk plan zijn voor de remediatie dat beschrijft welke acties zullen worden ondernomen en waarom deze acties geschikt zijn voor het oplossen van het probleem. Het script biedt uitgebreide foutafhandeling en logging functionaliteiten, waardoor beheerders kunnen zien welke remediatieacties zijn uitgevoerd en of deze acties succesvol zijn geweest. Voor apparaten die het beleid niet hebben ontvangen kan de remediatie bestaan uit verschillende acties, afhankelijk van de oorzaak van het probleem. In sommige gevallen kan de remediatie bestaan uit het handmatig triggeren van een beleidssynchronisatie vanuit het Intune beheercentrum, wat het apparaat dwingt om opnieuw contact op te nemen met Intune en het beleid opnieuw te downloaden en toe te passen. In andere gevallen kan de remediatie bestaan uit het opnieuw toewijzen van het beleid aan het apparaat, wat nuttig is wanneer het beleid niet correct is toegewezen aan de juiste gebruikersgroepen of apparaatgroepen. In sommige gevallen kan het nodig zijn om het apparaat opnieuw te registreren in Intune wanneer er sprake is van problemen met de registratie zelf, of om de Intune Management Extension opnieuw te installeren wanneer er sprake is van problemen met deze extensie die verantwoordelijk is voor het toepassen van configuratiebeleid op Windows-apparaten. Het is belangrijk om al deze stappen volledig te documenteren, inclusief de reden waarom elke stap is ondernomen en de resultaten van elke stap, en om te verifiëren dat de remediatie succesvol is geweest door het uitvoeren van een nieuwe compliance check na het voltooien van de remediatieacties. Wanneer gebruikers problemen melden met de geconfigureerde zoekmachine moet eerst worden onderzocht of het probleem daadwerkelijk gerelateerd is aan het beleid zelf, of dat er andere oorzaken zijn zoals problemen met de internetverbinding, problemen met de zoekmachine zelf, of problemen met de browserconfiguratie. Dit vereist uitgebreide troubleshooting en analyse van de gebruikerservaring, waarbij gebruikers worden gevraagd om gedetailleerde informatie te verstrekken over het probleem dat zij ervaren, zoals wanneer het probleem optreedt, welke zoekopdrachten problemen veroorzaken, en welke foutmeldingen of waarschuwingen zij zien. Als het probleem inderdaad wordt veroorzaakt door het beleid zelf, zoals wanneer gebruikers legitieme bedrijfsredenen hebben om een andere zoekmachine te gebruiken voor specifieke taken, moet worden overwogen of er een uitzondering moet worden gemaakt voor specifieke gebruikers of gebruiksscenario's. Dit moet echter alleen gebeuren na zorgvuldige overweging van de beveiligingsimplicaties en met expliciete goedkeuring van verantwoordelijke functionarissen zoals de CISO of DPO, omdat uitzonderingen de beveiligingspostuur van de organisatie kunnen verzwakken en kunnen leiden tot compliance-problemen wanneer zij niet correct worden gedocumenteerd en beheerd. Na het uitvoeren van remediatie-acties moet de configuratie opnieuw worden gemonitord om te verifiëren dat het probleem is opgelost en dat de apparaten nu compliant zijn met het beveiligingsbeleid. Dit monitoringproces moet worden uitgevoerd gedurende minimaal enkele dagen om te verifiëren dat het probleem niet opnieuw optreedt en dat de remediatie duurzaam is. Als het probleem aanhoudt ondanks de genomen remediatieacties moet er een escalatieproces zijn voor het betrekken van gespecialiseerde IT-ondersteuning of Microsoft support, die beschikken over uitgebreide kennis en tools voor het oplossen van complexe configuratieproblemen. Alle remediatie-activiteiten moeten volledig worden gedocumenteerd, inclusief de oorzaak van het probleem zoals geïdentificeerd tijdens de analyse, de genomen maatregelen met uitleg waarom deze maatregelen zijn gekozen, en het resultaat van de remediatie inclusief verificatie dat het probleem is opgelost. Deze documentatie is essentieel voor het verbeteren van het beheerproces door te leren van problemen die zijn opgetreden, voor het voorkomen van vergelijkbare problemen in de toekomst door het identificeren van patronen en trends, en voor auditdoeleinden wanneer auditors willen verifiëren dat problemen correct zijn opgelost.
Gebruik PowerShell-script search-engine-controlled.ps1 (functie Invoke-Remediation) – Het remediatie script herstelt de zoekmachine configuratie op niet-compliant apparaten en verifieert dat de remediatie succesvol is geweest..
Compliance en Auditing
Het beheren van de standaard zoekmachine in Microsoft Edge heeft belangrijke en complexe implicaties voor compliance met verschillende regelgevingskaders en beveiligingsstandaarden die van toepassing zijn op Nederlandse overheidsorganisaties. Deze compliance-vereisten vormen een essentieel onderdeel van het beveiligingsbeleid en moeten volledig worden begrepen en geïmplementeerd om te voldoen aan zowel wettelijke verplichtingen als best practices voor informatiebeveiliging in de publieke sector. Voor Nederlandse overheidsorganisaties is met name de Baseline Informatiebeveiliging Overheid (BIO) van fundamenteel belang, waarbij controle 13.01.01 specifiek ingaat op technische beveiligingsmaatregelen die moeten worden geïmplementeerd om de informatiebeveiliging van de organisatie te waarborgen. Deze controle vereist dat organisaties technische maatregelen implementeren die passend zijn voor de risico's waaraan de organisatie wordt blootgesteld, en die bijdragen aan de algehele beveiligingsdoelstellingen van de organisatie. Door de zoekmachine centraal te beheren via Microsoft Intune kunnen organisaties aantonen dat zij proactieve maatregelen hebben genomen om de privacy van gebruikers te beschermen en om ongecontroleerde dataverwerking te voorkomen die kan leiden tot datalekken of privacyrisico's. Dit is met name relevant wanneer gebruikers zoekopdrachten uitvoeren die mogelijk persoonsgegevens bevatten, zoals namen van personen, adressen, of andere identificerende informatie, of die kunnen leiden tot de verwerking van persoonsgegevens door externe partijen zoals zoekmachine dienstverleners die mogelijk niet voldoen aan de privacyvereisten van de organisatie. Vanuit AVG-perspectief is het van kritiek belang dat de gekozen zoekmachine volledig voldoet aan de vereisten voor gegevensbescherming zoals vastgelegd in de Algemene Verordening Gegevensbescherming (AVG), die sinds 2018 van toepassing is op alle organisaties die persoonsgegevens verwerken in de Europese Unie. Dit betekent dat de zoekmachine dienstverlener moet kunnen aantonen dat persoonsgegevens worden verwerkt in volledige overeenstemming met de AVG, waarbij alle principes van de AVG worden nageleefd, zoals het doelbindingsprincipe, het dataminimalisatieprincipe, en het opslagbeperkingsprincipe. Daarnaast moet de zoekmachine dienstverlener kunnen aantonen dat er passende technische en organisatorische maatregelen zijn genomen om de gegevens te beschermen tegen ongeautoriseerde toegang, verlies, of vernietiging, zoals encryptie van data in transit en data at rest, regelmatige security assessments, en uitgebreide logging en monitoring van dataverwerking. Organisaties moeten volledig documenteren welke zoekmachine is gekozen, waarom deze keuze voldoet aan de AVG-vereisten, en hoe deze keuze bijdraagt aan de compliance-doelstellingen van de organisatie. Daarnaast moet er een verwerkersovereenkomst zijn met de zoekmachine dienstverlener wanneer deze als data processor fungeert, waarbij alle verplichtingen worden vastgelegd die zijn opgenomen in Artikel 28 van de AVG, inclusief verplichtingen voor datalocatie, sub-processors, en security maatregelen. Voor ISO 27001 certificering is controle A.12.6.1 van toepassing, die specifiek ingaat op technisch beheer van kwetsbaarheden en die vereist dat organisaties technische maatregelen implementeren om kwetsbaarheden te identificeren, te beoordelen, en te mitigeren. Hoewel het beheren van de zoekmachine niet direct gerelateerd is aan kwetsbaarheidsbeheer in de traditionele zin, draagt het wel significant bij aan de algehele beveiligingspostuur van de organisatie door het beperken van de aanvalsoppervlakte die beschikbaar is voor aanvallers, en door het voorkomen van blootstelling aan kwaadaardige websites via gecompromitteerde zoekresultaten die kunnen leiden tot phishing-aanvallen, malware-infecties, of andere beveiligingsincidenten. De implementatie van dit beleid moet volledig worden gedocumenteerd in het Information Security Management System (ISMS) van de organisatie, dat alle beveiligingsbeleidsmaatregelen en -processen bevat die bijdragen aan de informatiebeveiligingsdoelstellingen van de organisatie. Daarnaast moet dit beleid worden opgenomen in de regelmatige security assessments die worden uitgevoerd om te verifiëren dat het beleid effectief is en nog steeds voldoet aan de beveiligingsvereisten van de organisatie. Auditactiviteiten voor dit beveiligingsbeleid omvatten uitgebreide en regelmatige controles van de configuratie om te verifiëren dat het beleid nog steeds actief is en correct wordt toegepast op alle relevante apparaten binnen de organisatie. Deze auditactiviteiten moeten worden uitgevoerd door onafhankelijke auditors die beschikken over uitgebreide kennis van informatiebeveiliging en compliance, of door een interne auditfunctie die beschikt over de juiste vaardigheden en onafhankelijkheid om objectieve beoordelingen uit te voeren. Tijdens elke audit moet worden gecontroleerd of alle relevante apparaten het beleid hebben ontvangen en of de configuratie correct is toegepast, of de configuratie volledig overeenkomt met de gedocumenteerde specificaties zoals vastgelegd in het beveiligingsbeleid, en of er geen onbevoegde wijzigingen zijn aangebracht aan de configuratie die kunnen wijzen op een beveiligingsincident of een onbedoelde configuratiefout. De auditresultaten moeten volledig worden gedocumenteerd in een formaat dat geschikt is voor review door management en stakeholders, en moeten worden gebruikt om het beheerproces te verbeteren door het identificeren van zwakke punten en het implementeren van verbeteringen die de effectiviteit en compliance van het beleid verhogen. Beleidsdocumentatie is een essentieel en fundamenteel onderdeel van compliance en auditing, omdat zonder uitgebreide documentatie auditors niet kunnen verifiëren dat het beveiligingsbeleid correct is geïmplementeerd en wordt nageleefd. Alle aspecten van het beveiligingsbeleid moeten volledig worden gedocumenteerd in een formaat dat duidelijk en toegankelijk is voor alle betrokkenen, inclusief de rationale voor de implementatie met uitleg waarom dit beleid nodig is en welke risico's worden gemitigeerd, de technische configuratie met gedetailleerde specificaties van alle instellingen en parameters, de toegewezen gebruikersgroepen en apparaatgroepen met uitleg waarom deze groepen zijn geselecteerd, en eventuele uitzonderingen die zijn gemaakt met de specifieke redenen voor deze uitzonderingen. Deze documentatie moet regelmatig worden bijgewerkt wanneer er wijzigingen worden aangebracht aan de configuratie, wanneer er nieuwe inzichten zijn over de effectiviteit van het beleid, of wanneer er nieuwe compliance-vereisten van toepassing zijn die aanvullende maatregelen vereisen. De documentatie moet worden bewaard voor de periode die is vastgesteld in het record retention beleid van de organisatie, wat doorgaans minimaal één jaar is maar kan variëren afhankelijk van de specifieke compliancevereisten die van toepassing zijn op de organisatie, zoals langere retentieperioden voor overheidsorganisaties die moeten voldoen aan archiefwetgeving.
Compliance & Frameworks
- CIS M365: Control Security Controls (L1) - Security hardening
- BIO: 13.01.01 - Technical security measures
- ISO 27001:2022: A.12.6.1 - Technical vulnerability management
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Edge Security: Search Engine Controlled
.DESCRIPTION
CIS - Default search engine moet centraal geconfigureerd worden.
.NOTES
Filename: search-engine-controlled.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Edge\DefaultSearchProviderEnabled|Expected: 1
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge"; $RegName = "DefaultSearchProviderEnabled"; $ExpectedValue = 1
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "search-engine-controlled.ps1"; PolicyName = "Search Engine Controlled"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; if (-not(Test-Path $RegPath)) { $r.Details += "Niet geconfigureerd"; return $r }; try { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop; $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Search provider policy enabled" }else { $r.Details += "Search provider niet managed" } }catch { $r.Details += "Niet geconfigureerd" }; return $r }
function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Search engine control enabled" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
Low: Laag risico.
Management Samenvatting
Beheer zoekmachine.
- Implementatietijd: 2 uur
- FTE required: 0.01 FTE