💼 Management Samenvatting
Deze beveiligingsinstelling waarborgt de correcte configuratie van Microsoft Edge SmartScreen en beschermt organisaties tegen beveiligingsrisico's die ontstaan wanneer DNS-verificatie wordt uitgeschakeld. SmartScreen is een cruciale beveiligingsfunctie die gebruikers beschermt tegen kwaadaardige websites en downloads door real-time verificatie uit te voeren tegen Microsoft's database van bekende bedreigingen.
Aanbeveling
CONSIDER
Risico zonder
Low
Risk Score
2/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Edge
Het uitschakelen van SmartScreen DNS-verificatie kan leiden tot verhoogde beveiligingsrisico's omdat de browser niet langer controleert of bezochte websites bekend staan als kwaadaardig. Deze instelling beschermt de privacy van gebruikers door het beperken van onnodige dataverzameling, maar behoudt tegelijkertijd de essentiële beveiligingsfuncties die organisaties nodig hebben om hun gebruikers te beschermen tegen phishing-aanvallen, malware en andere cyberbedreigingen.
PowerShell Modules Vereist
Primary API: Graph
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
Dit beleid configureert de SmartScreen DNS-verificatie instelling via Microsoft Intune device configuratiebeleidsregels. Wanneer deze instelling is uitgeschakeld, wordt de DNS-gebaseerde verificatie van websites door SmartScreen niet meer uitgevoerd, wat kan resulteren in verminderde bescherming tegen kwaadaardige websites. Voor Nederlandse overheidsorganisaties is het van cruciaal belang om een balans te vinden tussen privacybescherming en beveiliging, waarbij deze configuratie zorgvuldig moet worden overwogen in het licht van de specifieke beveiligingsvereisten en privacyregelgeving zoals de AVG.
Vereisten
Voor de implementatie van deze beveiligingsinstelling is Microsoft Intune vereist als centraal beheerplatform voor device configuratiebeleidsregels. Organisaties moeten beschikken over een actief Microsoft Intune-abonnement en de juiste licentieverlening, zoals Microsoft 365 E3 of E5, of een specifieke Intune-licentie. Daarnaast is het noodzakelijk dat alle doelapparaten zijn ingeschreven in Microsoft Intune en correct zijn geconfigureerd om beleidsregels te ontvangen. De beheerder die deze configuratie uitvoert, moet beschikken over de juiste Intune-beheerrechten, specifiek de rol van Intune-beheerder of globale beheerder. Voor het implementeren van Edge-beleidsregels via Intune is toegang tot de Microsoft Endpoint Manager admin center vereist, waar device configuratieprofielen kunnen worden aangemaakt en toegewezen aan gebruikersgroepen of apparaatgroepen. Het is belangrijk om te controleren of de Microsoft Edge-browser op de doelapparaten een ondersteunde versie draait, aangezien oudere versies mogelijk niet alle beleidsinstellingen ondersteunen. Voor optimale compatibiliteit wordt aanbevolen om Microsoft Edge versie 88 of hoger te gebruiken, omdat deze versies volledige ondersteuning bieden voor alle SmartScreen-beleidsinstellingen via Intune.
Implementatie
De implementatie van het SmartScreen DNS-uitgeschakeld beleid begint met het aanmaken van een nieuw device configuratieprofiel in Microsoft Intune. Navigeer naar de Microsoft Endpoint Manager admin center en selecteer de optie voor device configuratieprofielen. Kies voor het platform Windows 10 en later, aangezien dit de primaire doelgroep is voor Edge-beleidsregels. Selecteer het profieltype 'Administrative Templates' of 'Settings Catalog', afhankelijk van de beschikbare opties in uw Intune-omgeving. De Settings Catalog biedt de meest uitgebreide set beleidsinstellingen en wordt aanbevolen voor nieuwe implementaties. Zoek naar de specifieke SmartScreen-beleidsinstelling met de naam 'Configure Windows Defender SmartScreen' of 'SmartScreen DNS verification'. Deze instelling bevindt zich doorgaans onder het pad Microsoft Edge > SmartScreen settings. Configureer de instelling op 'Uitgeschakeld' om de DNS-verificatie te deactiveren. Het is belangrijk om te begrijpen dat het uitschakelen van deze functie de beveiliging kan verminderen, dus deze beslissing moet worden genomen in overleg met het security team en in overeenstemming met het organisatiebrede beveiligingsbeleid. Na het configureren van de instelling, wijs het profiel toe aan de gewenste gebruikersgroepen of apparaatgroepen. Het is aanbevolen om eerst een testgroep te gebruiken voordat de configuratie wordt uitgerold naar alle gebruikers. De PowerShell-script smartscreen-dns-disabled.ps1 kan worden gebruikt om de implementatie te monitoren en te verifiëren dat de instelling correct is toegepast op de doelapparaten. Het script controleert de huidige configuratiestatus en rapporteert eventuele afwijkingen, waardoor beheerders snel kunnen identificeren welke apparaten de nieuwe configuratie nog niet hebben ontvangen.
Gebruik PowerShell-script smartscreen-dns-disabled.ps1 (functie Invoke-Monitoring) – Het monitoring script controleert de huidige status van de SmartScreen DNS-instelling op alle doelapparaten en genereert een rapport met de configuratiestatus per apparaat..
Monitoring
Continue monitoring van de SmartScreen DNS-configuratie is essentieel om ervoor te zorgen dat de beveiligingsinstellingen consistent worden toegepast op alle apparaten in de organisatie. Het monitoringproces begint met het regelmatig uitvoeren van het PowerShell-script smartscreen-dns-disabled.ps1, dat de huidige configuratiestatus van alle beheerde apparaten controleert. Het script verbindt met Microsoft Graph API via de Connect-MgGraph cmdlet en haalt de configuratiestatus op van alle apparaten die zijn toegewezen aan het betreffende Intune-beleid. De monitoring moet worden uitgevoerd volgens een vastgesteld schema, bijvoorbeeld wekelijks of maandelijks, afhankelijk van de beveiligingsvereisten van de organisatie. Voor organisaties met hoge beveiligingsstandaarden wordt aanbevolen om wekelijkse controles uit te voeren, terwijl organisaties met minder kritieke omgevingen mogelijk volstaan met maandelijkse verificaties. Het monitoringrapport moet verschillende aspecten bevatten, waaronder het totaal aantal apparaten dat onder het beleid valt, het aantal apparaten waarop de configuratie correct is toegepast, en het aantal apparaten waarop afwijkingen zijn gedetecteerd. Eventuele afwijkingen moeten onmiddellijk worden onderzocht, omdat deze kunnen wijzen op configuratiefouten, niet-compliant apparaten, of mogelijk beveiligingsincidenten. Naast het gebruik van het PowerShell-script kunnen beheerders ook gebruik maken van de ingebouwde rapportagefunctionaliteit in Microsoft Intune. De Intune-beheerconsole biedt gedetailleerde rapporten over de compliance status van alle device configuratieprofielen, inclusief informatie over welke apparaten het beleid hebben ontvangen en welke apparaten nog in behandeling zijn. Deze rapporten kunnen worden geëxporteerd voor verdere analyse en kunnen worden geïntegreerd met SIEM-systemen voor gecentraliseerde beveiligingsmonitoring. Voor geavanceerde monitoring kunnen organisaties ook gebruik maken van Azure Monitor en Log Analytics om aangepaste queries te maken die specifiek gericht zijn op het monitoren van Edge-beveiligingsinstellingen. Deze aanpak maakt het mogelijk om real-time waarschuwingen te configureren wanneer afwijkingen worden gedetecteerd, waardoor beheerders onmiddellijk kunnen reageren op potentiële beveiligingsproblemen.
Gebruik PowerShell-script smartscreen-dns-disabled.ps1 (functie Invoke-Monitoring) – Het monitoring script voert een uitgebreide controle uit op alle beheerde apparaten en genereert een gedetailleerd rapport met de compliance status, inclusief informatie over eventuele afwijkingen en aanbevelingen voor remediatie..
Remediatie
Wanneer monitoring afwijkingen detecteert in de SmartScreen DNS-configuratie, is het van cruciaal belang om snel en effectief te reageren om de beveiligingspostuur van de organisatie te herstellen. Het remediatieproces begint met het identificeren van de oorzaak van de afwijking. Veelvoorkomende oorzaken zijn onder meer apparaten die niet correct zijn ingeschreven in Intune, conflicterende beleidsregels die de configuratie overschrijven, of handmatige wijzigingen die door gebruikers of lokale beheerders zijn aangebracht. Het PowerShell-script smartscreen-dns-disabled.ps1 bevat een remediatiefunctie die automatisch kan worden uitgevoerd om de configuratie te herstellen op niet-compliant apparaten. Deze functie verbindt met Microsoft Graph API en past de juiste beleidsinstellingen toe op de betreffende apparaten. Voor apparaten die niet automatisch kunnen worden hersteld, moet een handmatig remediatieproces worden gevolgd. Dit proces begint met het verifiëren van de Intune-inschrijving van het apparaat en het controleren of het apparaat correct is toegewezen aan het betreffende device configuratieprofiel. Als het apparaat niet is ingeschreven, moet de inschrijving worden voltooid voordat de configuratie kan worden toegepast. Voor apparaten met conflicterende beleidsregels moet de beheerder de verschillende beleidsregels analyseren en bepalen welke prioriteit heeft. In de meeste gevallen hebben Intune-beleidsregels voorrang boven lokale groepsbeleidsregels, maar dit kan variëren afhankelijk van de specifieke configuratie. Als handmatige wijzigingen de oorzaak zijn van de afwijking, moet de beheerder de lokale beheerrechten van gebruikers evalueren en overwegen om deze te beperken om toekomstige wijzigingen te voorkomen. Na het uitvoeren van de remediatie moet het monitoringproces opnieuw worden uitgevoerd om te verifiëren dat de configuratie correct is hersteld. Het is belangrijk om een documentatieproces te hebben waarin alle remediatieacties worden vastgelegd, inclusief de oorzaak van de afwijking, de genomen stappen, en het resultaat van de remediatie. Deze documentatie is waardevol voor toekomstige incidenten en kan helpen bij het identificeren van patronen of terugkerende problemen die structurele oplossingen vereisen.
Gebruik PowerShell-script smartscreen-dns-disabled.ps1 (functie Invoke-Remediation) – Het remediatiescript herstelt automatisch de SmartScreen DNS-configuratie op niet-compliant apparaten en genereert een rapport met de resultaten van de remediatieacties..
Compliance en Auditing
Voor Nederlandse overheidsorganisaties is compliance met relevante beveiligingsstandaarden en regelgeving van essentieel belang. De configuratie van SmartScreen DNS-instellingen moet worden gedocumenteerd en geaudit in het kader van verschillende compliance frameworks, waaronder de Baseline Informatiebeveiliging Overheid (BIO), ISO 27001, en de Algemene Verordening Gegevensbescherming (AVG). De BIO-norm 13.01.01 vereist dat organisaties technische beveiligingsmaatregelen implementeren om informatie te beschermen tegen ongeautoriseerde toegang, wijziging of vernietiging. De SmartScreen-configuratie draagt bij aan deze vereiste door gebruikers te beschermen tegen kwaadaardige websites en downloads. Het is belangrijk om te documenteren waarom bepaalde beveiligingsinstellingen zijn gekozen, inclusief de afweging tussen privacy en beveiliging die is gemaakt bij het configureren van DNS-verificatie. Voor ISO 27001 compliance, specifiek controle A.12.6.1 over technisch kwetsbaarheidsbeheer, moet de organisatie kunnen aantonen dat beveiligingsinstellingen regelmatig worden gecontroleerd en bijgewerkt. Dit betekent dat alle wijzigingen aan de SmartScreen-configuratie moeten worden gedocumenteerd, inclusief de datum van wijziging, de reden voor de wijziging, en de persoon die de wijziging heeft geautoriseerd. Auditlogs moeten worden bewaard voor minimaal één jaar, zoals gespecificeerd in de auditEvidence sectie van dit document. Deze logs moeten informatie bevatten over wanneer de configuratie is toegepast, welke apparaten zijn beïnvloed, en eventuele afwijkingen die zijn gedetecteerd tijdens monitoring. Voor AVG-compliance moet de organisatie kunnen aantonen dat persoonsgegevens adequaat worden beschermd. Hoewel SmartScreen DNS-verificatie mogelijk privacy-implicaties heeft door het verzamelen van website-informatie, moet dit worden afgewogen tegen de beveiligingsvoordelen. De organisatie moet documenteren hoe deze afweging is gemaakt en welke maatregelen zijn genomen om de privacy van gebruikers te beschermen. Regelmatige compliance-audits moeten worden uitgevoerd om te verifiëren dat alle beveiligingsinstellingen correct zijn geconfigureerd en dat de documentatie up-to-date is. Deze audits moeten worden uitgevoerd door onafhankelijke auditors of interne compliance-teams en de resultaten moeten worden gedocumenteerd en gedeeld met het management. Eventuele bevindingen moeten worden opgevolgd met concrete actieplannen om de compliance te verbeteren.
Compliance & Frameworks
- CIS M365: Control Security Controls (L1) - Security hardening
- BIO: 13.01.01 - Technical security measures
- ISO 27001:2022: A.12.6.1 - Technical vulnerability management
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Edge Security: SmartScreen DNS Disabled
.DESCRIPTION
CIS - SmartScreen DNS-based checks configuration.
.NOTES
Filename: smartscreen-dns-disabled.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Edge\SmartScreenDnsRequestsEnabled|Expected: 0 of 1
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge"; $RegName = "SmartScreenDnsRequestsEnabled"; $ExpectedValue = 1
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "smartscreen-dns-disabled.ps1"; PolicyName = "SmartScreen DNS"; IsCompliant = $true; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; if (-not(Test-Path $RegPath)) { $r.Details += "Default config"; return $r }; try { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop; $r.CurrentValue = $v.$RegName; $r.Details += "SmartScreen DNS: $($r.CurrentValue)" }catch { $r.Details += "Default" }; return $r }
function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "SmartScreen DNS configured" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`nSmartScreen DNS: COMPLIANT" -ForegroundColor Green; return $r }
function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit 0 }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit 0 } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
Low: Laag risico.
Management Samenvatting
Configureer DNS.
- Implementatietijd: 2 uur
- FTE required: 0.01 FTE