L1 BIO 13.01.01 ISO A.12.6.1 CIS Security Controls

Serial API Geblokkeerd

📅 2025-10-30
⏱️ 2 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Het blokkeren van de Serial API in Microsoft Edge vormt een essentiële beveiligingsmaatregel voor organisaties die gebruikmaken van cloud-gebaseerde diensten en webapplicaties. Deze beveiligingsinstelling voorkomt dat websites en webapplicaties ongeautoriseerde toegang krijgen tot seriële poorten en andere hardware-interfaces van apparaten, wat kan worden gebruikt voor kwaadaardige doeleinden zoals data-exfiltratie, hardware-manipulatie, of het overnemen van systeemresources. Door de Serial API te blokkeren via Microsoft Intune, kunnen IT-beheerders ervoor zorgen dat alle gebruikers binnen de organisatie beschermd zijn tegen potentiële beveiligingsrisico's die ontstaan wanneer kwaadaardige websites of gecompromitteerde webapplicaties proberen toegang te krijgen tot hardware-interfaces zonder expliciete toestemming van de gebruiker. Deze beveiligingsmaatregel is met name belangrijk voor organisaties die gevoelige gegevens verwerken of die moeten voldoen aan strikte beveiligings- en compliancevereisten zoals vastgelegd in de Baseline Informatiebeveiliging Overheid (BIO) of ISO 27001 normen.

Aanbeveling
IMPLEMENT
Risico zonder
Medium
Risk Score
5/10
Implementatie
2u (tech: 1u)
Van toepassing op:
Edge

Deze instelling verhoogt aanzienlijk de beveiliging van de browser door het voorkomen van bekende aanvalsvectoren die gebruikmaken van seriële poorten en hardware-interfaces. Websites en webapplicaties kunnen via de Serial API toegang krijgen tot seriële poorten, USB-poorten, en andere hardware-interfaces die kunnen worden gebruikt voor verschillende kwaadaardige doeleinden. Kwaadaardige actoren kunnen deze API misbruiken om gevoelige gegevens te exfiltreren via gecompromitteerde hardware, om malware te installeren op externe apparaten die zijn aangesloten op het systeem, of om systeemresources over te nemen voor cryptomining of andere illegale activiteiten. Bovendien kan ongeautoriseerde toegang tot seriële poorten worden gebruikt voor hardware-manipulatie, waarbij aanvallers fysieke apparaten kunnen beïnvloeden die zijn aangesloten op het gecompromitteerde systeem. Door de Serial API te blokkeren, worden deze aanvalsvectoren volledig geëlimineerd, waardoor de beveiligingspostuur van de organisatie aanzienlijk wordt verbeterd en het risico op beveiligingsincidenten wordt geminimaliseerd.

PowerShell Modules Vereist
Primary API: Graph
Connection: Connect-MgGraph
Required Modules: Microsoft.Graph.DeviceManagement

Implementatie

Dit beveiligingsbeleid configureert de Serial API blokkering voor Microsoft Edge via Microsoft Intune device configuratiebeleidsregels. Het beleid maakt het mogelijk om voor alle gebruikers binnen de organisatie de Serial API volledig te blokkeren, waardoor websites en webapplicaties geen toegang meer hebben tot seriële poorten, USB-poorten, of andere hardware-interfaces. De implementatie gebeurt via de Microsoft Graph API en vereist de Microsoft.Graph.DeviceManagement module voor PowerShell. Het beleid kan worden toegepast op alle Windows-apparaten die zijn geregistreerd in Microsoft Intune, waardoor een consistente en beveiligde browseromgeving wordt gegarandeerd voor alle medewerkers binnen de organisatie. De configuratie kan centraal worden beheerd en gemonitord via het Microsoft Intune admin center, wat het mogelijk maakt om snel te reageren op beveiligingsincidenten en om compliance te waarborgen met relevante beveiligingsstandaarden.

Vereisten

Voor de succesvolle implementatie van dit beveiligingsbeleid voor het blokkeren van de Serial API in Microsoft Edge zijn verschillende technische en organisatorische vereisten van fundamenteel belang. Deze vereisten vormen de basis voor een veilige en effectieve implementatie die voldoet aan zowel technische als compliance-standaarden die essentieel zijn voor Nederlandse overheidsorganisaties en andere publieke sector instellingen die gevoelige gegevens verwerken. Microsoft Intune functioneert als de centrale Mobile Device Management (MDM) oplossing voor deze implementatie, wat betekent dat de organisatie moet beschikken over een geldig Microsoft 365 licentiepakket dat Intune omvat. Dit licentiepakket kan bestaan uit een Microsoft 365 E3 of E5 licentie, die naast Intune ook andere essentiële diensten zoals Exchange Online, SharePoint Online en Teams bevat. Alternatief kan er worden gekozen voor een specifieke Intune-licentie die uitsluitend is gericht op device management functionaliteiten. De keuze voor het juiste licentiepakket is cruciaal omdat dit direct invloed heeft op de beschikbare functionaliteiten en beheeropties binnen het Intune platform. Voor het configureren van Edge-beleidsregels via device configuratiebeleidsregels moet de organisatie beschikken over de Administrative Templates profieltype, wat toegang geeft tot een uitgebreide bibliotheek van beheersbare beleidsinstellingen die kunnen worden geconfigureerd via group policies. De apparaten die beheerd moeten worden via dit beleid moeten correct zijn geregistreerd in Microsoft Intune en moeten de Microsoft Edge browser ondersteunen als standaard webbrowser. Voor Windows-apparaten betekent dit dat er minimaal Windows 10 versie 1809 (October 2018 Update) vereist is, of een nieuwere versie zoals Windows 10 versie 2004 of hoger, of volledig Windows 11. Deze versievereisten zijn belangrijk omdat oudere Windows-versies mogelijk niet alle moderne beveiligingsfuncties en policy-ondersteuning bevatten die nodig zijn voor een effectieve implementatie van het Serial API blokkering beleid. Bovendien moeten de apparaten zijn toegevoegd aan Azure Active Directory, dat sinds 2023 officieel is hernoemd naar Microsoft Entra ID, en moeten zij voldoen aan alle compliancevereisten die door de organisatie zijn vastgesteld in het kader van informatiebeveiliging en gegevensbescherming. Vanuit technisch perspectief is directe toegang tot de Microsoft Graph API een absolute vereiste voor de implementatie en het beheer van dit beleid. De Microsoft Graph API fungeert als de centrale interface tussen beheeromgevingen en Microsoft 365 services, waardoor alle configuratiewijzigingen, policy-deployments en monitoringactiviteiten worden uitgevoerd. De beheerder die verantwoordelijk is voor de implementatie moet beschikken over de juiste machtigingen binnen de Microsoft 365 tenant om device policies te kunnen configureren en beheren. Dit vereist doorgaans de rol van Intune Service Administrator, die specifieke rechten heeft voor het beheren van Intune-configuraties, of de rol van Global Administrator, die uitgebreide rechten heeft binnen de volledige Microsoft 365 omgeving. Het is belangrijk om het principe van least privilege toe te passen, wat betekent dat beheerders alleen de minimale benodigde rechten krijgen om hun taken uit te voeren. Voor de automatisering van de implementatie en de continue monitoring van het beleid is PowerShell vereist als scripting- en automatiseringstool. De organisatie kan kiezen voor PowerShell versie 5.1, die nog steeds wordt ondersteund op Windows-systemen, of voor de modernere PowerShell 7.x versie, die cross-platform beschikbaar is en verbeterde functionaliteiten biedt. Essentieel is de installatie van de Microsoft.Graph.DeviceManagement module, die specifieke cmdlets bevat voor het beheren van device policies via de Microsoft Graph API. Deze module kan eenvoudig worden geïnstalleerd via de PowerShell Gallery met behulp van de Install-Module cmdlet, waarbij de gebruiker wordt gevraagd om de module te vertrouwen en eventuele afhankelijkheden automatisch worden geïnstalleerd. Daarnaast is een stabiele netwerkverbinding vereist met de Microsoft Graph API endpoints, wat betekent dat de beheeromgeving waar de PowerShell-scripts worden uitgevoerd toegang moet hebben tot internet of toegang moet hebben via een geconfigureerde proxy server. Organisaties met strenge netwerkbeveiliging moeten ervoor zorgen dat de benodigde Microsoft Graph API endpoints zijn toegevoegd aan de firewall whitelist, zodat communicatie tussen de beheeromgeving en Microsoft 365 services niet wordt geblokkeerd. Dit omvat endpoints zoals graph.microsoft.com en login.microsoftonline.com, die essentieel zijn voor zowel authenticatie als API-communicatie. Organisatorisch gezien moet er een duidelijk en gedocumenteerd beleid zijn vastgesteld over de blokkering van de Serial API, inclusief een duidelijke motivatie waarom deze beveiligingsmaatregel noodzakelijk is, welke risico's worden gemitigeerd, en hoe dit beleid bijdraagt aan de algehele informatiebeveiligingsdoelstellingen van de organisatie. Het beleid moet worden goedgekeurd door verantwoordelijke functionarissen zoals de Chief Information Security Officer (CISO), die verantwoordelijk is voor de strategische beveiligingsrichting, of de Data Protection Officer (DPO), die specifiek toeziet op naleving van privacyregelgeving zoals de AVG. Tot slot is het essentieel dat er een gestructureerd proces is ingericht voor het testen van de configuratie voordat deze wordt uitgerold naar alle gebruikers binnen de organisatie, waarbij wordt geverifieerd dat de configuratie correct werkt en dat er geen negatieve impact is op legitieme bedrijfsprocessen.

Implementatie

De implementatie van het beveiligingsbeleid voor het blokkeren van de Serial API in Microsoft Edge vereist een zorgvuldige en gestructureerde aanpak die begint met uitgebreide voorbereiding en eindigt met volledige documentatie en monitoring. Deze implementatie is geen eenmalige gebeurtenis maar een continu proces dat voortdurende aandacht en aanpassing vereist om effectief te blijven in een dynamische IT-omgeving waar nieuwe beveiligingsbedreigingen regelmatig opduiken. De implementatiefase begint met grondige voorbereiding van de Microsoft Intune omgeving, waarbij eerst wordt gecontroleerd of alle vereiste licenties aanwezig zijn en of de apparaten correct zijn geregistreerd in Intune. Dit omvat het verifiëren dat alle doelapparaten zijn toegevoegd aan Microsoft Entra ID en dat zij succesvol zijn geregistreerd in het Intune platform. Tijdens deze verificatie moet worden gecontroleerd of de apparaten de juiste Intune policies ontvangen en of er geen configuratieconflicten bestaan die kunnen interfereren met de implementatie van het Serial API blokkering beleid. Vervolgens moet de beheerder zich authenticeren bij Microsoft Graph met de juiste machtigingen door het uitvoeren van de Connect-MgGraph cmdlet, waarbij de beheerder wordt gevraagd om in te loggen met een account dat beschikt over de benodigde rechten voor het configureren van device policies. De daadwerkelijke configuratie van het beleid kan worden uitgevoerd via twee verschillende methoden: handmatig via het Microsoft Intune admin center of programmatisch via PowerShell scripts. In het Intune admin center navigeert de beheerder eerst naar Devices, vervolgens naar Configuration profiles, en selecteert Create profile om een nieuw configuratieprofiel aan te maken. Hier kiest men voor het platform Windows 10 and later, wat betekent dat het beleid wordt toegepast op alle Windows 10 en Windows 11 apparaten die zijn geregistreerd in Intune. Vervolgens selecteert men het profieltype Administrative Templates, wat toegang geeft tot een uitgebreide bibliotheek van beheersbare beleidsinstellingen die via group policies kunnen worden geconfigureerd. Binnen de Administrative Templates zoekt men naar de Edge-specifieke policies en selecteert het beleid voor het blokkeren van de Serial API. De beheerder configureert vervolgens de instelling om de Serial API volledig te blokkeren en wijst het beleid toe aan de relevante gebruikersgroepen of apparaatgroepen die zijn gedefinieerd in Microsoft Entra ID. Voor geautomatiseerde implementatie en herhaalbare deployments kan gebruik worden gemaakt van het PowerShell script dat beschikbaar is in de code repository. Het script serial-api-blocked.ps1 bevat verschillende functies die kunnen worden gebruikt voor verschillende aspecten van de implementatie en het beheer. De functie Invoke-Monitoring kan worden gebruikt om de huidige configuratie te controleren voordat de wijzigingen worden doorgevoerd, waardoor beheerders kunnen zien welke apparaten momenteel welke configuratie hebben en of er afwijkingen bestaan. Het script maakt gebruik van de Microsoft Graph API om de device configuration policies te lezen en te wijzigen via specifieke endpoints die toegang geven tot Intune-beheerfunctionaliteiten. Voordat het script wordt uitgevoerd, moet de Microsoft.Graph.DeviceManagement module zijn geïnstalleerd via de PowerShell Gallery, en moet de beheerder zijn geauthenticeerd bij Microsoft Graph met de juiste machtigingen. Het script biedt uitgebreide foutafhandeling en logging functionaliteiten, waardoor beheerders kunnen zien welke acties zijn uitgevoerd en of er problemen zijn opgetreden tijdens de implementatie. Tijdens de implementatie is het van kritiek belang om een gefaseerde aanpak te volgen die risico's minimaliseert en zorgt voor een soepele overgang naar de nieuwe configuratie. Begin met het toepassen van het beleid op een kleine groep testgebruikers of testapparaten die representatief zijn voor de volledige organisatie maar klein genoeg om snel problemen te identificeren en op te lossen. Deze testgroep moet verschillende typen gebruikers bevatten, zoals gebruikers met verschillende rollen, verschillende apparaten, en verschillende werkpatronen, om te verifiëren dat de configuratie correct werkt in verschillende scenario's en geen onverwachte problemen veroorzaakt. Monitor de implementatie gedurende minimaal een week om te controleren of er geen gebruikersklachten zijn, of alle apparaten correct de nieuwe configuratie hebben ontvangen, en of er geen negatieve impact is op de gebruikerservaring of productiviteit. Pas na succesvolle verificatie in de testfase wordt het beleid gefaseerd uitgerold naar de volledige organisatie, waarbij eerst wordt uitgebreid naar een grotere groep gebruikers, vervolgens naar een volledig departement of locatie, en uiteindelijk naar de volledige organisatie. Tijdens de uitrol moet er continue monitoring plaatsvinden om eventuele problemen snel te kunnen identificeren en op te lossen voordat zij zich verspreiden naar de volledige organisatie. Na de implementatie moet de configuratie volledig worden gedocumenteerd, inclusief de specifieke instellingen met uitleg waarom deze zijn gekozen, de toegewezen gebruikersgroepen en apparaatgroepen met uitleg waarom deze groepen zijn geselecteerd, eventuele uitzonderingen die zijn gemaakt met de specifieke redenen voor deze uitzonderingen, en eventuele problemen die zijn opgetreden tijdens de implementatie met de oplossingen die zijn toegepast. Deze documentatie is essentieel voor auditdoeleinden wanneer auditors willen verifiëren dat het beveiligingsbeleid correct is geïmplementeerd en wordt nageleefd. Daarnaast is deze documentatie belangrijk voor toekomstige onderhoudsactiviteiten, zoals het toevoegen van nieuwe apparaten aan het beleid, het maken van wijzigingen aan de configuratie, of het oplossen van problemen die in de toekomst kunnen optreden.

Gebruik PowerShell-script serial-api-blocked.ps1 (functie Invoke-Monitoring) – Het PowerShell script voor het monitoren van de Serial API blokkering configuratie biedt functionaliteit om de huidige status van het beleid te controleren en te rapporteren over de compliance van apparaten met het ingestelde beleid..

Monitoring

Continue monitoring van de Serial API blokkering configuratie vormt de hoeksteen van effectief beveiligingsbeheer binnen Microsoft Edge omgevingen. Dit proces is essentieel om te verzekeren dat het beveiligingsbeleid niet alleen correct wordt toegepast tijdens de initiële implementatie, maar ook blijft functioneren zoals bedoeld gedurende de volledige levenscyclus van de configuratie. Het monitoringproces omvat verschillende kritieke aspecten die samen een compleet beeld vormen van de gezondheid en effectiviteit van het beveiligingsbeleid. Deze aspecten omvatten het systematisch controleren van de compliance status van alle geregistreerde apparaten, het tijdig identificeren van ongeautoriseerde configuratiewijzigingen, en het proactief detecteren van eventuele problemen of afwijkingen die kunnen wijzen op beveiligingsincidenten of systeemfalen. Het Microsoft Intune admin center biedt uitgebreide ingebouwde rapportagefunctionaliteit die beheerders real-time inzicht geeft in welke apparaten het beleid succesvol hebben ontvangen, welke apparaten momenteel non-compliant zijn, en of de configuratie correct is toegepast op alle doelapparaten. Deze rapportagefuncties vormen de basis voor geïnformeerde besluitvorming en maken het mogelijk om snel te reageren op afwijkingen voordat deze kunnen escaleren tot ernstige beveiligingsproblemen. De rapportagefunctionaliteit omvat real-time compliance status updates, gedetailleerde apparaat-specifieke informatie, en historische data over configuratiewijzigingen en compliance-trends. Beheerders kunnen gebruikmaken van verschillende rapporten die beschikbaar zijn in het Intune admin center, zoals het Device configuration compliance rapport dat een overzicht geeft van alle apparaten en hun compliance status, en het Policy configuration rapport dat gedetailleerde informatie geeft over specifieke policy-instellingen en hun status per apparaat. Geautomatiseerde monitoring wordt mogelijk gemaakt door het PowerShell script serial-api-blocked.ps1, dat de krachtige functie Invoke-Monitoring bevat. Deze functie vormt een essentieel onderdeel van een gestroomlijnd beheerproces dat menselijke fouten minimaliseert en consistentie waarborgt in de uitvoering van monitoringactiviteiten. De functie maakt gebruik van de Microsoft Graph API om een directe verbinding te leggen met de Microsoft 365 services, waardoor real-time toegang wordt verkregen tot de meest actuele compliance-informatie voor alle apparaten die zijn toegewezen aan het Serial API blokkering beleid. Het script haalt niet alleen de compliance status op, maar voert ook uitgebreide validatiecontroles uit om te verifiëren dat de configuratie daadwerkelijk is toegepast en dat er geen discrepanties bestaan tussen de beoogde configuratie en de werkelijke staat van de apparaten. Het gegenereerde rapport biedt gedetailleerde inzichten die cruciaal zijn voor effectief beheer, waarbij precies wordt aangegeven hoeveel apparaten volledig compliant zijn met het beleid, hoeveel apparaten nog in behandeling zijn omdat zij de configuratie nog niet hebben ontvangen of verwerkt, en hoeveel apparaten een foutmelding hebben gegenereerd die nader onderzoek vereist. Naast de technische monitoring die gericht is op systeemniveau aspecten, is het van fundamenteel belang om ook gebruikersfeedback te verzamelen en te analyseren. Gebruikers bevinden zich immers op de frontlinie van de configuratie en ervaren dagelijks de impact van het beveiligingsbeleid in hun werkprocessen. Gebruikers kunnen verschillende problemen ervaren die mogelijk niet direct zichtbaar zijn via technische monitoring alleen, zoals problemen met specifieke webapplicaties die legitiem gebruik maken van seriële poorten, of gebruikerservaringen die inconsistent zijn met de verwachtingen. Het is daarom van kritiek belang dat er een gestructureerd en toegankelijk proces bestaat voor het verzamelen en verwerken van deze gebruikersfeedback, zodat eventuele problemen snel kunnen worden geïdentificeerd, gecategoriseerd naar prioriteit, en opgelost voordat zij leiden tot frustratie of werkarounds die de beveiligingspostuur van de organisatie kunnen verzwakken. De frequentie en intensiteit van monitoringactiviteiten moeten zorgvuldig worden afgestemd op de specifieke karakteristieken van de organisatie, waarbij verschillende factoren worden meegewogen. Voor grotere organisaties met honderden of duizenden apparaten is het aanbevolen om monitoring wekelijks uit te voeren om tijdig te kunnen reageren op wijzigingen en problemen, terwijl kleinere organisaties mogelijk voldoende hebben aan maandelijkse monitoring controles. Tijdens elke monitoringcyclus moet systematisch worden gecontroleerd of nieuwe apparaten die recentelijk zijn toegevoegd aan de organisatie correct het beleid hebben ontvangen en of de configuratie succesvol is toegepast zonder fouten of waarschuwingen. Daarnaast moet worden geverifieerd of bestaande apparaten het beleid behouden na het installeren van updates, het uitvoeren van herconfiguraties, of het doorvoeren van andere wijzigingen aan het apparaat of de gebruikersomgeving. Voor auditdoeleinden en compliance-verificatie moet alle monitoringactiviteit volledig worden gelogd en gedocumenteerd volgens een gestandaardiseerd proces dat voldoet aan de documentatievereisten van relevante regelgevingskaders. Deze documentatie moet minimaal de datum en tijd bevatten waarop elke monitoringcheck is uitgevoerd, de identiteit van de beheerder of het geautomatiseerde proces dat de check heeft uitgevoerd, de gedetailleerde resultaten van de check inclusief het aantal gecontroleerde apparaten, het aantal compliant apparaten, het aantal non-compliant apparaten, en eventuele foutmeldingen of waarschuwingen die zijn gedetecteerd. Deze uitgebreide documentatie kan worden gebruikt tijdens interne en externe audits om aan te tonen dat de organisatie proactief en systematisch monitort op compliance met het beveiligingsbeleid, dat eventuele problemen snel worden geïdentificeerd en gecategoriseerd, en dat er een gestructureerd proces bestaat voor het oplossen van geïdentificeerde problemen.

Gebruik PowerShell-script serial-api-blocked.ps1 (functie Invoke-Monitoring) – Het monitoring script controleert de compliance status van alle apparaten met het Serial API blokkering beleid en genereert gedetailleerde rapporten voor analyse en auditdoeleinden..

Remediatie

Wanneer monitoring activiteiten aan het licht brengen dat apparaten niet compliant zijn met het Serial API blokkering beleid, of wanneer gebruikers concrete problemen melden die gerelateerd zijn aan de geconfigureerde beveiligingsinstellingen, moet er een gestructureerd en systematisch remediatieproces worden gevolgd dat zorgt voor effectieve probleemoplossing zonder de beveiligingspostuur van de organisatie te compromitteren. Dit remediatieproces vormt een kritiek onderdeel van het volledige beheercyclus en moet worden beschouwd als een geïntegreerd onderdeel van het continue verbeteringsproces binnen de organisatie. Het remediatieproces begint altijd met een grondige analyse en het precies identificeren van de onderliggende oorzaak van het geïdentificeerde probleem, omdat alleen met volledig begrip van de oorzaak een effectieve en duurzame oplossing kan worden geïmplementeerd. Het probleem kan verschillende fundamenteel verschillende oorzaken hebben die elk een andere aanpak vereisen voor effectieve remediatie. Deze oorzaken kunnen variëren van technische problemen zoals een mislukte policy deployment waarbij het beleid niet correct is gedistribueerd naar het apparaat, tot configuratieconflicten waarbij het Serial API blokkering beleid conflicteert met een ander beveiligingsbeleid of configuratie-instelling die hogere prioriteit heeft, tot menselijke factoren zoals handmatige wijzigingen door een gebruiker of beheerder die mogelijk per ongeluk of bewust de configuratie hebben gewijzigd. Het is daarom van fundamenteel belang om eerst de exacte oorzaak te identificeren door middel van uitgebreide diagnostiek, loganalyse, en indien nodig overleg met gebruikers of andere betrokken partijen, voordat corrigerende maatregelen worden genomen. Geautomatiseerde remediatie wordt mogelijk gemaakt door het PowerShell script serial-api-blocked.ps1, dat de krachtige en flexibele functie Invoke-Remediation bevat die verschillende remediatiescenario's kan afhandelen. Deze functie vormt een essentieel hulpmiddel voor IT-beheerders die efficiënt en consistent willen reageren op complianceproblemen zonder handmatige interventie die foutgevoelig en tijdrovend is. De functie kan op verschillende manieren worden ingezet afhankelijk van de specifieke aard van het probleem: voor niet-compliant apparaten die het beleid niet correct hebben ontvangen, kan de functie worden gebruikt om het beleid opnieuw toe te passen op deze specifieke apparaten zonder andere correct geconfigureerde apparaten te beïnvloeden. Voor apparaten waarbij de configuratie is gewijzigd of beschadigd, kan de functie specifieke configuratiewijzigingen doorvoeren die de oorspronkelijke beveiligingsconfiguratie herstellen. Het script maakt gebruik van de Microsoft Graph API om een directe verbinding te leggen met de Microsoft 365 services en gebruikt de geavanceerde device management API's om de configuratie programmatisch te herstellen met een hoge mate van precisie en controle. Voor apparaten die het beleid helemaal niet hebben ontvangen tijdens de initiële deployment, kunnen verschillende remediatiestrategieën worden toegepast afhankelijk van de specifieke omstandigheden en de onderliggende oorzaak. De meest eenvoudige en minst invasieve aanpak bestaat uit het handmatig triggeren van een policy synchronisatie vanuit het Microsoft Intune admin center, waarbij het apparaat wordt geforceerd om opnieuw te communiceren met de Intune services en alle toegewezen beleidsregels opnieuw te downloaden en toe te passen. Deze aanpak is bijzonder effectief wanneer het probleem wordt veroorzaakt door tijdelijke netwerkproblemen of communicatiefouten tussen het apparaat en de Intune services die hebben voorkomen dat het beleid correct is ontvangen. Een alternatieve aanpak bestaat uit het opnieuw toewijzen van het beleid aan het specifieke apparaat of de gebruikersgroep waartoe het apparaat behoort, wat het apparaat dwingt om het beleid opnieuw te verwerken en toe te passen. Wanneer gebruikers problemen melden met de geconfigureerde Serial API blokkering die mogelijk gerelateerd zijn aan het beveiligingsbeleid, moet een systematisch onderzoek worden uitgevoerd om te bepalen of het gerapporteerde probleem daadwerkelijk wordt veroorzaakt door het beleid, of dat er andere onderliggende oorzaken zijn die mogelijk niet direct gerelateerd zijn aan de Serial API configuratie. Dit onderzoek moet beginnen met het verzamelen van gedetailleerde informatie over het gerapporteerde probleem, inclusief wanneer het probleem optreedt, welke specifieke functionaliteit niet werkt zoals verwacht, of het probleem consistent optreedt of alleen onder bepaalde omstandigheden, en of andere gebruikers dezelfde problemen ervaren. Als het probleem inderdaad wordt veroorzaakt door het beveiligingsbeleid en het een legitieme impact heeft op de productiviteit of functionaliteit voor de gebruiker, moet zorgvuldig worden overwogen of er een uitzondering moet worden gemaakt voor specifieke gebruikers, gebruikersgroepen, of gebruiksscenario's. Dit besluit mag echter alleen worden genomen na een uitgebreide risicoanalyse waarbij wordt geëvalueerd welke beveiligingsimplicaties het maken van een uitzondering heeft, welke alternatieve oplossingen mogelijk zijn die het probleem kunnen oplossen zonder de beveiligingspostuur te compromitteren, en of de voordelen van de uitzondering opwegen tegen de potentiële beveiligingsrisico's. Na het uitvoeren van remediatie-acties is het essentieel dat de configuratie opnieuw wordt gemonitord om te verifiëren dat het geïdentificeerde probleem daadwerkelijk is opgelost en dat alle betrokken apparaten nu volledig compliant zijn met het beveiligingsbeleid. Deze verificatie moet worden uitgevoerd door het uitvoeren van een nieuwe compliance check die specifiek gericht is op de apparaten of gebruikersgroepen die betrokken waren bij de remediatie, en moet worden herhaald gedurende een periode van minimaal enkele dagen om te verzekeren dat het probleem niet terugkeert en dat de remediatie duurzaam is. Als het probleem ondanks de uitgevoerde remediatie-acties aanhoudt of terugkeert, moet er een duidelijk gedefinieerd escalatieproces zijn geactiveerd dat gespecialiseerde IT-ondersteuning betrekt, zoals senior system engineers of security architects die uitgebreidere diagnostiek kunnen uitvoeren, of indien nodig Microsoft support die toegang heeft tot diepere systeeminformatie en gespecialiseerde troubleshooting tools. Alle remediatie-activiteiten moeten volledig worden gedocumenteerd volgens een gestandaardiseerd format dat minimaal de datum en tijd van de remediatie bevat, de geïdentificeerde oorzaak van het probleem met gedetailleerde uitleg, alle genomen maatregelen met specifieke stappen en configuratiewijzigingen, en het resultaat van de remediatie met verificatie van compliance.

Gebruik PowerShell-script serial-api-blocked.ps1 (functie Invoke-Remediation) – Het remediatie script herstelt de Serial API blokkering configuratie op niet-compliant apparaten en verifieert dat de remediatie succesvol is geweest..

Compliance en Auditing

Het blokkeren van de Serial API in Microsoft Edge heeft diepgaande en veelomvattende implicaties voor compliance met verschillende regelgevingskaders en beveiligingsstandaarden die van toepassing zijn op Nederlandse overheidsorganisaties en andere publieke sector instellingen die gevoelige gegevens verwerken. Deze compliance-aspecten vormen een fundamenteel onderdeel van de rechtvaardiging voor de implementatie van dit beveiligingsbeleid en moeten daarom zorgvuldig worden begrepen en gedocumenteerd om te voldoen aan de eisen van interne en externe auditors, regelgevingsinstanties, en andere stakeholders. Voor Nederlandse overheidsorganisaties is met name de Baseline Informatiebeveiliging Overheid (BIO) van directe toepassing, waarbij controle 13.01.01 specifiek ingaat op technische beveiligingsmaatregelen die organisaties moeten implementeren om hun informatievoorziening te beveiligen tegen bedreigingen en kwetsbaarheden. Door de Serial API te blokkeren via Microsoft Intune, kunnen organisaties concrete aantoonbare maatregelen presenteren die zij hebben genomen om ongeautoriseerde toegang tot hardware-interfaces te voorkomen, om data-exfiltratie via seriële poorten te blokkeren, en om te voldoen aan de BIO-normenkader vereisten voor technische beveiligingsmaatregelen. Dit is met name relevant en kritiek wanneer gebruikers toegang hebben tot gevoelige gegevens of systemen die kunnen worden gecompromitteerd door kwaadaardige websites of webapplicaties die proberen toegang te krijgen tot hardware-interfaces voor illegale doeleinden. Vanuit het perspectief van de Algemene Verordening Gegevensbescherming (AVG) is het van fundamenteel belang dat organisaties passende technische maatregelen implementeren om persoonsgegevens te beschermen tegen ongeautoriseerde toegang en verlies. Het blokkeren van de Serial API draagt hieraan bij door het voorkomen van ongeautoriseerde data-exfiltratie via seriële poorten, wat kan leiden tot datalekken of privacy schendingen. Organisaties moeten volledig documenteren welke beveiligingsmaatregelen zijn geïmplementeerd, waarom deze maatregelen noodzakelijk zijn, en hoe deze maatregelen bijdragen aan de AVG-compliance doelstellingen van de organisatie. Daarnaast moet er een duidelijk proces zijn voor het beheren van uitzonderingen wanneer legitieme bedrijfsprocessen toegang tot seriële poorten vereisen, waarbij wordt verzekerd dat deze uitzonderingen worden goedgekeurd en gedocumenteerd volgens de AVG-vereisten. Voor ISO 27001 certificering is controle A.12.6.1 van toepassing, die specifiek ingaat op technisch beheer van kwetsbaarheden en die vereist dat organisaties technische maatregelen implementeren om kwetsbaarheden te identificeren, te beoordelen, en te mitigeren. Hoewel het blokkeren van de Serial API niet direct gerelateerd is aan kwetsbaarheidsbeheer in de traditionele zin, draagt het wel significant bij aan de algehele beveiligingspostuur van de organisatie door het beperken van de aanvalsoppervlakte die beschikbaar is voor aanvallers, en door het voorkomen van blootstelling aan kwaadaardige websites of webapplicaties die proberen toegang te krijgen tot hardware-interfaces. De implementatie van dit beleid moet volledig worden gedocumenteerd in het Information Security Management System (ISMS) van de organisatie, dat alle beveiligingsbeleidsmaatregelen en -processen bevat die bijdragen aan de informatiebeveiligingsdoelstellingen van de organisatie. Daarnaast moet dit beleid worden opgenomen in de regelmatige security assessments die worden uitgevoerd om te verifiëren dat het beleid effectief is en nog steeds voldoet aan de beveiligingsvereisten van de organisatie. Auditactiviteiten voor dit beveiligingsbeleid omvatten uitgebreide en regelmatige controles van de configuratie om te verifiëren dat het beleid nog steeds actief is en correct wordt toegepast op alle relevante apparaten binnen de organisatie. Deze auditactiviteiten moeten worden uitgevoerd door onafhankelijke auditors die beschikken over uitgebreide kennis van informatiebeveiliging en compliance, of door een interne auditfunctie die beschikt over de juiste vaardigheden en onafhankelijkheid om objectieve beoordelingen uit te voeren. Tijdens elke audit moet worden gecontroleerd of alle relevante apparaten het beleid hebben ontvangen en of de configuratie correct is toegepast, of de configuratie volledig overeenkomt met de gedocumenteerde specificaties zoals vastgelegd in het beveiligingsbeleid, en of er geen onbevoegde wijzigingen zijn aangebracht aan de configuratie die kunnen wijzen op een beveiligingsincident of een onbedoelde configuratiefout. De auditresultaten moeten volledig worden gedocumenteerd in een formaat dat geschikt is voor review door management en stakeholders, en moeten worden gebruikt om het beheerproces te verbeteren door het identificeren van zwakke punten en het implementeren van verbeteringen die de effectiviteit en compliance van het beleid verhogen. Beleidsdocumentatie vormt een essentieel en fundamenteel onderdeel van compliance en auditing, omdat zonder uitgebreide documentatie auditors niet kunnen verifiëren dat het beveiligingsbeleid correct is geïmplementeerd en wordt nageleefd. Alle aspecten van het beveiligingsbeleid moeten volledig worden gedocumenteerd in een formaat dat duidelijk en toegankelijk is voor alle betrokkenen, inclusief de rationale voor de implementatie met uitleg waarom dit beleid nodig is en welke risico's worden gemitigeerd, de technische configuratie met gedetailleerde specificaties van alle instellingen en parameters, de toegewezen gebruikersgroepen en apparaatgroepen met uitleg waarom deze groepen zijn geselecteerd, en eventuele uitzonderingen die zijn gemaakt met de specifieke redenen voor deze uitzonderingen. Deze documentatie moet regelmatig worden bijgewerkt wanneer er wijzigingen worden aangebracht aan de configuratie, wanneer er nieuwe inzichten zijn over de effectiviteit van het beleid, of wanneer er nieuwe compliance-vereisten van toepassing zijn die aanvullende maatregelen vereisen. De documentatie moet worden bewaard voor de periode die is vastgesteld in het record retention beleid van de organisatie, wat doorgaans minimaal één jaar is maar kan variëren afhankelijk van de specifieke compliancevereisten die van toepassing zijn op de organisatie, zoals langere retentieperioden voor overheidsorganisaties die moeten voldoen aan archiefwetgeving.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Edge Security: Serial API Blocked .DESCRIPTION CIS - Web Serial API moet blocked (hardware access risk). .NOTES Filename: serial-api-blocked.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Edge\DefaultSerialGuardSetting|Expected: 2 #> #Requires -Version 5.1 #Requires -RunAsAdministrator [CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert) $ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge"; $RegName = "DefaultSerialGuardSetting"; $ExpectedValue = 2 function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) } function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "serial-api-blocked.ps1"; PolicyName = "Serial API Blocked"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; if (-not(Test-Path $RegPath)) { $r.IsCompliant = $true; $r.Details += "Default blocked"; return $r }; try { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop; $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Serial API blocked" }else { $r.Details += "Serial API toegestaan" } }catch { $r.IsCompliant = $true; $r.Details += "Default" }; return $r } function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Serial API blocked" -ForegroundColor Green } function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r } function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue } try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }

Risico zonder implementatie

Risico zonder implementatie
Medium: Ongeautoriseerde toegang tot hardware resources.

Management Samenvatting

Blokkeer Serial API toegang voor hardware bescherming.