Edge: SmartScreen Block Mogelijk Unwanted Apps (PUA)

PUA’s zijn geen klassieke malware die direct systemen gijzelen, maar ze vormen wel een sluiproute naar grotere incidenten. Advertentienetwerken die via ongewenste toolbars worden ingeladen, volgen het gedrag van gebruikers, verzamelen metadata over bezochte portals en kunnen inloggegevens onderscheppen zodra een sessie naar een beheerportaal wordt opgebouwd. Hulpprogramma’s die zich voordoen als systeemschoonmakers voegen vaak lokale accounts toe of manipuleren browserinstellingen, waardoor beveiligingsinstellingen worden verlaagd. In omgevingen met vertrouwelijke beleidsinformatie kan zo’n ogenschijnlijk onschuldig programma al snel leiden tot gegevensverlies of reputatieschade. Daarnaast blijkt uit incidentrapportages dat aanvallers PUA’s gebruiken als stepping stone: eerst wordt een extensie of plugin geïnstalleerd die screenshots maakt of verkeer omleidt, daarna volgt een gerichte phishingaanval met verhoogde kans op succes omdat de gebruiker de waarschuwingen inmiddels gewend is geraakt. Door deze context is het waarom van SmartScreen PUA-blokkering glashelder: de maatregel reduceert de kans op menselijke fouten, beperkt Shadow IT en verkleint het aanvalsoppervlak zonder dat gebruikers continu nieuwe procedures hoeven aan te leren. Het beleid sluit aan op de eisen van de Baseline Informatiebeveiliging Overheid (BIO) rondom bescherming tegen ongeautoriseerde software en zorgt dat auditors objectief bewijs zien van preventieve maatregelen. Bovendien ondersteunt de instelling de AVG-verplichting om passende technische maatregelen te treffen die privacyrisico’s mitigeren. Wanneer downloads automatisch worden beoordeeld, ontstaat een aantoonbare verdedigingslinie tegen datalekken die voortkomen uit onbedoelde installaties. Het is daarom geen optionele nicety, maar een noodzakelijke maatregel om de integriteit van werkplekken en gegevensstromen te behouden.

Implementatie

De configuratie richt zich op het afdwingen van de beleidswaarde "Block potentially unwanted apps" binnen Microsoft Edge. Concreet betekent dit dat elk gedownload bestand via Microsoft Defender SmartScreen de reputatieservices van Microsoft raadpleegt, waarna Edge beslist of de download wordt toegestaan, geblokkeerd of slechts met een stevige waarschuwing wordt doorgezet. De eindgebruiker ziet een rood waarschuwingsscherm met heldere toelichting, inclusief de reden van blokkering en de verwijzing naar het organisatiebeleid. Hoewel een gebruiker een override kan uitvoeren, wordt dit gedrag gelogd zodat securityteams proactief opvolging kunnen geven. Daarnaast wordt de blokkering niet alleen op klassieke EXE-bestanden toegepast, maar ook op MSI-installers, scripts, gecomprimeerde archieven en browserextensies. De instelling werkt naadloos samen met Intune, Configuration Manager en traditionele groepsbeleidssjablonen, waardoor bestaande beheerprocessen behouden blijven. Het beleid kan bovendien per groep worden uitgesplitst, zodat ontwikkelaars desgewenst tijdelijk een meer soepele configuratie krijgen mits goedgekeurd door security. SmartScreen PUA-blocking vormt daarmee een fijnmazige controle: streng waar het moet, flexibel waar het kan, en volledig geïntegreerd met rapportages in Microsoft 365 Defender. Door deze combinatie van technische afdwinging, gebruikersfeedback en centrale logging ontstaat een compleet beeld van alle downloadbeslissingen binnen de tenant.

Vereisten

1. Een actuele, door Microsoft ondersteunde versie van Microsoft Edge op Windows 10, Windows 11 en eventueel Windows Server-varianten is onmisbaar, omdat alleen dan de meest recente SmartScreen-signaturen, reputatieverbeteringen en prestatieoptimalisaties automatisch worden aangeleverd. Zorg dat het Evergreen-updateproces daadwerkelijk actief is, dat pilot-ringen vroegtijdig nieuwe builds toetsen en dat het change-proces duidelijk beschrijft hoe snel beveiligingsfixes mogen worden uitgerold. Werkplekken die door langdurige offline scenario’s of netwerksegmentatie geen directe verbinding maken met de Microsoft update-infrastructuur moeten een alternatieve distributieketen hebben, bijvoorbeeld via WSUS of Intune Win32 deployments, zodat de browser nooit meer dan twee versies achterloopt. Neem hierbij ook VDI-omgevingen, kiosks en gedeelde werkstations op in de lifecycleplanning, want die worden vaak vergeten terwijl ze wel toegang hebben tot gevoelige data. Monitor tijdens elke update-cyclus actief op regressies in extensies of line-of-business-applicaties en borg dat een rollback-procedure beschikbaar blijft zodat beveiligingsmaatregelen nooit onnodig lang worden uitgesteld. Koppel release-notes aan het configuration management database zodat precies bekend is welke Edge-builds welk beveiligingsniveau bieden en beoordeel halfjaarlijks of aanvullende hardeningfeatures beschikbaar zijn gekomen.
2. De instelling vereist dat Microsoft Defender SmartScreen volledig is ingeschakeld op het niveau van het besturingssysteem en dat de endpoints betrouwbare toegang hebben tot de cloudservices die reputatiescores leveren. Documenteer daarom welke uitgaande netwerkpoorten en FQDN’s geopend moeten zijn, hoe proxyservers verkeer inspecteren en hoe certificaatpinnen of TLS-inspectie invloed kunnen hebben op de reputatieaanvragen. Beschrijf eveneens hoe het incidentresponsproces omgaat met offline apparaten: wanneer een download niet kan worden gevalideerd omdat de machine tijdelijk geen internet heeft, moet alsnog een blokkade volgen totdat synchronisatie is hersteld. Deze randvoorwaarde garandeert dat de maatregel niet afhankelijk is van handmatige controles. Neem tot slot op dat logging naar Microsoft 365 Defender of Sentinel verplicht is, zodat iedere reputatieaanvraag en -respons achteraf kan worden geverifieerd en verbanden met andere aanvalstechnieken sneller aan het licht komen. Richt een periodieke controle in waarbij netwerkbeheerders steekproefsgewijs controleren of de vereiste endpoints niet door firewallwijzigingen worden geblokkeerd en of redundante paden aanwezig zijn voor kritieke locaties.
3. Een centraal beheerd configuratieplatform, zoals Microsoft Intune, Configuration Manager of Groepsbeleid, is noodzakelijk om de beleidswaarde uniform af te dwingen en om uitzonderingen gecontroleerd af te handelen. Richt rolverdelingen in zodat securityarchitecten het beleid ontwerpen, workplacebeheerders de technische implementatie uitvoeren en servicedeskmedewerkers helder kunnen uitleggen waarom een download is tegengehouden. Leg daarnaast vast hoe uitzonderingen worden aangevraagd, wie ze beoordeelt, hoe lang ze geldig blijven en hoe ze automatisch verlopen. Deze governance-structuur maakt de instelling auditproof en voorkomt dat lokale administrateurs instellingen tijdelijk uitschakelen zonder sporen achter te laten. Voorzie het proces van duidelijke communicatie naar eindgebruikers, inclusief een kennisbankartikel en korte instructievideo, zodat de adoptie soepel verloopt en er geen alternatieve downloadkanalen worden gezocht die buiten de monitoring vallen. Combineer dit met periodieke awareness-sessies voor ontwikkelteams en leveranciersevaluaties, zodat iedereen begrijpt waarom het beleid bestaat en hoe legitieme software toch tijdig kan worden goedgekeurd.

Implementatie

Gebruik PowerShell-script smartscreen-puaenabled.ps1 (functie Invoke-Implementation) – Het script smartscreen-puaenabled.ps1 dwingt het beleid op schaal af via de beheerlaag die binnen de organisatie is gekozen. Het controleert eerst of de vereiste ADMX- of Intune-instellingen aanwezig zijn, schrijft daarna de juiste registerwaarden weg naar HKLM\Software\Policies\Microsoft\Edge en valideert ten slotte of de configuratie is overgenomen door het Edge-beleid. Tijdens de uitvoering worden logging-artefacten opgeslagen, zodat auditteams exact zien welke apparaten zijn bijgewerkt, welke uitzonderingen zijn toegekend en welke clients opnieuw moeten worden opgestart. Dankzij deze geautomatiseerde aanpak ontstaat een reproduceerbaar deploymentproces dat eventuele menselijke fouten uitsluit en nauw aansluit bij change-, test- en goedkeuringsstappen. Desgewenst kan het script in een dry-run-modus draaien waarbij alleen rapportages worden gemaakt, zodat vooraf duidelijk is welke apparaten actie nodig hebben en welke afhankelijkheden nog ontbreken..

De implementatie start met een korte inventarisatie van de huidige Edge-versies en het bestaande beleid. Controleer of er nog legacy-sjablonen actief zijn die conflicterende waarden voor SmartScreen instellen en verwijder deze voordat het nieuwe beleid wordt geplaatst. In Intune kies je vervolgens voor de Settings Catalog, zoek je naar de categorie Microsoft Edge \ SmartScreen instellingen en selecteer je de optie om mogelijk ongewenste toepassingen te blokkeren. Beschrijf binnen het profiel duidelijk het doel van de wijziging, koppel het aan de juiste Azure AD-groepen en plan een gefaseerde uitrol waar eerst een representatieve pilotgroep wordt meegenomen. Tijdens de pilot monitor je de DeviceConfiguration logboeken, Defender for Endpoint waarschuwingen en gebruik je feedbacksessies met gebruikers om eventuele legitieme software die onterecht wordt geblokkeerd te identificeren. Breid de pilot vervolgens uit met scenario’s waarin laptops buiten het bedrijfsnetwerk opereren, zodat ook VPN- en hotspot-situaties worden afgedekt. Documenteer eventuele uitdagingen, zoals proxy-instellingen die reputatieverzoeken tegenhouden, en los deze op voordat je naar productie gaat. Maak tevens een overzicht van applicaties die bewust zijn toegestaan, inclusief hashwaarden en leveranciersinformatie, zodat securityteams weten welke uitzonderingen zijn toegekend en waarom. Door parallel een awarenessbericht te versturen waarin wordt uitgelegd wat gebruikers te zien krijgen en hoe zij terecht kunnen bij de servicedesk, wordt de acceptatie aanzienlijk hoger. Na een succesvolle pilot kun je de beleidsassignatie uitbreiden naar alle productieapparaten. Documenteer iedere stap binnen het change management-systeem, inclusief fallbackplan (bijvoorbeeld een tijdelijk uitschakelprofiel) voor het geval een kritieke bedrijfsapplicatie onverwacht wordt geblokkeerd. Zorg dat servicemanagement een standaardantwoord heeft voor gebruikersvragen en dat het selfservice-portaal uitlegt waarom SmartScreen een download tegenhoudt. Sluit af met een validatiefase waarin via het script, PowerShell-remotemetingen of edge://policy-controles wordt bevestigd dat het beleid op elke relevante build actief is. Deze gedisciplineerde aanpak levert een controleerbaar, herhaalbaar en auditbestendig resultaat op en maakt het eenvoudig om toekomstige Edge-features op dezelfde manier te distribueren.

Compliance

Het beleid sluit direct aan op meerdere normen en richtlijnen die voor Nederlandse overheidsinstanties verplicht zijn. BIO 12.02.01 vereist dat alleen geautoriseerde software kan worden uitgevoerd en dat er preventieve maatregelen bestaan om ongewenste programmatuur te stoppen. Door SmartScreen PUA-blokkering af te dwingen toon je aan dat downloads actief worden beoordeeld en dat gebruikers niet vrijelijk willekeurige hulpprogramma’s kunnen installeren. De maatregel ondersteunt eveneens BIO 12.05 (Bescherming tegen malware) doordat het een aanvullende laag vormt boven antivirus. Binnen het CIS Microsoft Edge Benchmark wordt dezelfde instelling aangemerkt als een Level 2-control, bedoeld voor omgevingen die een verhoogd beveiligingsniveau nastreven. Daarnaast helpt de configuratie om te voldoen aan de eisen van de AVG rondom passende technische maatregelen; logbestanden van geblokkeerde PUA’s vormen aantoonbaar bewijs dat privacyrisico’s worden gemitigeerd. Ook binnen NCSC-richtsnoeren voor webbrowserbeveiliging en in de architectuurprincipes van het Nederlandse Overheidsreferentiemodel (NORA) wordt benadrukt dat organisaties actief moeten sturen op betrouwbare softwareketens. Door SmartScreen centraal te configureren kun je aantonen dat deze principes zijn vertaald naar concrete controls. Koppel de configuratie daarnaast aan de eisen vanuit de Wet beveiliging netwerk- en informatiesystemen (Wbni) en de aankomende NIS2-richtlijn, waarin leveranciersverantwoordelijkheid en supply-chain-beveiliging zwaar wegen. Wanneer ongewenste bundelsoftware automatisch wordt gestopt, beperk je de kans dat third-party componenten zonder due diligence de omgeving binnendringen. Documenteer in het ISMS hoe het beleid wordt ingericht, hoe uitzonderingen worden bijgehouden en hoe periodieke evaluaties verlopen. Leg vast dat elke uitzonderingsaanvraag een risicoafweging bevat, dat de Chief Information Security Officer (CISO) eindverantwoordelijk is voor de goedkeuring en dat rapportages ieder kwartaal worden besproken in het securitycomité. Voeg screenshots of exports van edge://policy, Intune rapportages en Defender for Endpoint waarschuwingen toe als bewijslast. Door deze koppeling tussen techniek en governance kan een auditor exact volgen welke processen verantwoordelijk zijn voor de inrichting, hoe monitoring plaatsvindt en op welke wijze incidenten worden geregistreerd en hersteld. Zo ontstaat een sluitende complianceketen waarin beleid, uitvoering, bewijs en continue verbetering aantoonbaar aanwezig zijn. Gebruik deze onderbouwing bovendien in ENSIA-verklaringen en in leveranciersaudits. Toon aan dat de organisatie inzicht heeft in de effectiviteit van de maatregel via KPI’s zoals het aantal geblokkeerde downloads per maand, het aantal verleende uitzonderingen en de tijd die nodig is om non-compliance te herstellen. Verwijs in auditdossiers naar de betrokken processen binnen DigiD-beheer of andere specifieke ketens wanneer daar aanvullende eisen gelden. Hiermee wordt SmartScreen PUA-blokkering niet slechts een technische instelling, maar een aantoonbaar onderdeel van de bredere control framework dat toezichthouders verwachten.

Monitoring

Gebruik PowerShell-script smartscreen-puaenabled.ps1 (functie Invoke-Monitoring) – De monitoringfunctie in hetzelfde script leest via PowerShell remoting of Intune datawarehouse de beleidsstatus uit, vergelijkt de resultaten met de beoogde configuratie en rapporteert afwijkingen terug aan Microsoft Sentinel of het gekozen SIEM. Daarbij worden registrywaarden, Edge policy-bestanden en Defender for Endpoint signalen gecombineerd, zodat je niet alleen ziet of het beleid technisch is toegepast, maar ook of gebruikers overrides uitvoeren of verhoogde PUA-waarschuwingen genereren. Het script kan periodiek worden ingepland als Azure Automation runbook of Intune remediation, waardoor dagelijkse dashboards ontstaan met aantallen compliant, non-compliant en onbekende apparaten. Voor elk non-compliant systeem wordt automatisch vastgelegd welk scenario speelde (bijvoorbeeld ontbrekende internetverbinding, verouderde Edge-versie of bewust uitgevoerde uitzonderingsaanvraag) en welke vervolgstap hoort bij het incidentproces. Naast de technische controles adviseert het script logkoppelingen te maken naar Defender for Endpoint-advanced hunting queries. Zo kan securityoperations trends detecteren, zoals plotseling meer geblokkeerde PUA’s binnen een bepaald organisatieonderdeel of gebruikers die regelmatig overrides kiezen. Deze inzichten voeden awarenesscampagnes en helpen om beleid gericht aan te scherpen. Breid de monitoringrapportage uit met automatische notificaties richting het CIRT wanneer er in korte tijd veel downloads worden geblokkeerd vanaf dezelfde bron-site, omdat dit kan wijzen op een gerichte phishingcampagne. Leg eveneens drempelwaarden vast waarmee governanceprocessen worden getriggerd, bijvoorbeeld wanneer meer dan vijf procent van de apparaten langer dan 48 uur non-compliant is. Leg ten slotte eigenaarschap vast: de werkplekorganisatie beheert de technische controles, het SOC valideert de signalen, en de CISO ontvangt maandelijkse samenvattingen waarin verbeteracties worden opgevolgd. Door monitoring op deze manier te structureren ontstaat een gesloten feedbackloop: beleid wordt uitgerold, naleving wordt automatisch gemeten, afwijkingen leiden tot tickets en lessons learned vloeien terug naar architectuurstandaarden..

Remediatie

Gebruik PowerShell-script smartscreen-puaenabled.ps1 (functie Invoke-Remediation) – De remediatiefunctie herstelt automatisch afwijkingen door ontbrekende registerwaarden opnieuw te schrijven, Edge policies te forceren en indien nodig een geplande taak te maken die de browser na herstart opnieuw configureert. Wanneer het script detecteert dat een gebruiker via edge://policy een override heeft aangevraagd, wordt de instelling teruggedraaid en wordt een melding richting het SOC gestuurd met details over het tijdstip, de gebruiker en het geblokkeerde bestand. Voor apparaten die offline waren, kan de remediatie worden gekoppeld aan het inlogproces zodat direct bij de volgende aanmelding wordt gecontroleerd of de blokkering actief is. Indien een uitzondering legitiem is verklaard, registreert het script de einddatum van de uitzondering en controleert het automatisch of de instelling na die datum weer in de standaardpositie staat. Op die manier blijft het aantal openstaande uitzonderingen beheersbaar en aantoonbaar verantwoord. Het script bevat bovendien hooks om samen te werken met Microsoft Intune remediation policies en Configuration Manager baselines. Hierdoor kunnen grote omgevingen gefaseerd worden hersteld zonder handmatige acties. Voeg hieraan toe dat het script per apparaat een herstelrapport genereert waarin exacte acties, tijdstempels en de verantwoordelijke beheerder worden genoemd, zodat change management beschikt over sluitend bewijs. Neem ook automatische kwaliteitscontroles op: na elke hersteltaak wordt edge://policy opnieuw uitgelezen, worden event logs geïnspecteerd op foutcodes en wordt zo nodig een tweede herstelpoging uitgevoerd. Door de resultaten in hetzelfde SIEM-dashboard te tonen als de monitoringgegevens, ontstaat inzicht in de effectiviteit van herstelacties en kan het change advisory board zien dat incidenten binnen de afgesproken tijd worden opgelost. Remediatie wordt daarmee een herhaalbare routine die zowel technische integriteit garandeert als governance-eisen afdekt en tegelijkertijd transparantie biedt richting auditteams en toezichthouders..

Compliance & Frameworks

• CIS M365: Control Edge - PUA blocking (L2) -
• BIO: 12.02.01 -

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

Risico zonder implementatie

Management Samenvatting

Activeer en handhaaf SmartScreen PUA-blokkering zodat Edge downloads van dubieuze hulpprogramma’s standaard tegenhoudt, gebruikers duidelijke feedback geeft en securityteams centraal inzicht houden in alle blokkades.

• Implementatietijd: 2 uur
• FTE required: 0.01 FTE