L1 BIO 13.01.01 ISO A.12.6.1 CIS Security Controls

SmartScreen Vertrouwde Bronnen Gecontroleerd

📅 2025-10-30
⏱️ 2 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Deze beveiligingsmaatregel waarborgt de correcte configuratie van Microsoft SmartScreen en beschermt organisaties tegen beveiligingsrisico's die ontstaan wanneer vertrouwde bronnen niet worden gecontroleerd. SmartScreen is een essentiële beveiligingsfunctie in Microsoft Edge die gebruikers beschermt tegen kwaadaardige websites en downloads door gebruik te maken van een uitgebreide database met bekende bedreigingen en reputatie-informatie.

Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
7/10
Implementatie
2u (tech: 1u)
Van toepassing op:
Edge

Deze instelling verhoogt de beveiliging van de browser aanzienlijk en voorkomt bekende aanvalsvectoren door ervoor te zorgen dat Microsoft Edge altijd de reputatie van vertrouwde bronnen verifieert voordat bestanden worden gedownload of uitgevoerd. Zonder deze controle kunnen gebruikers onbewust kwaadaardige software installeren die afkomstig lijkt te zijn van vertrouwde bronnen, wat kan leiden tot datalekken, ransomware-aanvallen en compromittering van het hele netwerk. Voor Nederlandse overheidsorganisaties is dit van cruciaal belang gezien de strenge eisen die worden gesteld aan gegevensbescherming en de hoge risico's die gepaard gaan met cyberaanvallen op publieke dienstverlening.

PowerShell Modules Vereist
Primary API: Graph
Connection: Connect-MgGraph
Required Modules: Microsoft.Graph.DeviceManagement

Implementatie

Deze beveiligingsmaatregel configureert het SmartScreen-beleid voor vertrouwde bronnen via Microsoft Intune device configuratiebeleidsregels. Het beleid zorgt ervoor dat Edge altijd de reputatie van bestanden controleert, zelfs wanneer deze afkomstig zijn van bronnen die normaal gesproken als vertrouwd worden beschouwd. Dit voorkomt dat kwaadaardige software de beveiliging omzeilt door zich voor te doen als afkomstig van legitieme bronnen.

Vereisten

Voor de implementatie van deze beveiligingsmaatregel zijn verschillende technische en organisatorische vereisten van toepassing. Allereerst is Microsoft Intune vereist als device management oplossing, waarbij toegang tot de device configuratiebeleidsregels essentieel is. Organisaties moeten beschikken over een geldig Microsoft 365 E3 of E5 licentie, of een Microsoft Intune licentie, om gebruik te kunnen maken van de device management functionaliteiten. Daarnaast is het noodzakelijk dat alle Edge-browsers binnen de organisatie worden beheerd via Microsoft Intune, wat betekent dat devices moeten zijn ingeschreven in het Mobile Device Management (MDM) of Mobile Application Management (MAM) systeem. Voor hybride omgevingen waarbij devices zowel on-premises als in de cloud worden beheerd, is aanvullende configuratie vereist om ervoor te zorgen dat beleidsregels consistent worden toegepast. Organisatorisch gezien moeten IT-beheerders beschikken over de juiste rechten binnen Microsoft Intune, specifiek de rol van Intune Administrator of Global Administrator, om beleidsregels te kunnen configureren en implementeren. Het is ook belangrijk dat er een duidelijk proces is voor het testen van beleidsregels voordat deze worden uitgerold naar productie-omgevingen, om te voorkomen dat legitieme workflows worden verstoord. Voor Nederlandse overheidsorganisaties is het bovendien vereist dat alle configuraties worden gedocumenteerd in overeenstemming met de BIO-normen en dat wijzigingen worden geregistreerd voor auditdoeleinden. De implementatie vereist ook dat er een back-out plan beschikbaar is voor het geval de configuratie onverwachte problemen veroorzaakt met kritieke applicaties of workflows.

Implementatie

De implementatie van het SmartScreen-beleid voor vertrouwde bronnen begint met het inloggen op de Microsoft Endpoint Manager admin center en het navigeren naar de sectie voor device configuratiebeleidsregels. Binnen deze sectie selecteert u het profieltype voor Microsoft Edge en maakt u een nieuw beleid aan, of wijzigt u een bestaand beleid indien dit al is geconfigureerd. Het specifieke beleid dat moet worden ingeschakeld is 'SmartScreen trusted sources checked', wat ervoor zorgt dat Edge altijd de reputatie controleert van bestanden die worden gedownload, zelfs wanneer deze afkomstig zijn van bronnen die normaal gesproken als vertrouwd worden beschouwd. Tijdens de configuratie is het belangrijk om de instelling in te schakelen en deze toe te wijzen aan de juiste groepen binnen uw organisatie. Het wordt aanbevolen om eerst een pilot uit te voeren met een kleine groep gebruikers om te verifiëren dat de configuratie correct werkt en geen onverwachte problemen veroorzaakt met legitieme downloads of interne applicaties. Na een succesvolle pilotperiode van minimaal twee weken kan het beleid worden uitgerold naar de rest van de organisatie. Het PowerShell-script dat beschikbaar is voor deze beveiligingsmaatregel kan worden gebruikt om de configuratie te monitoren en te verifiëren dat het beleid correct is geïmplementeerd op alle devices. Het script controleert de huidige status van het beleid en rapporteert eventuele afwijkingen of configuratiefouten die moeten worden opgelost.

Gebruik PowerShell-script smartscreen-trusted-sources-checked.ps1 (functie Invoke-Monitoring) – Het monitoring script kan worden gebruikt om de huidige configuratie status te controleren en te verifiëren dat het beleid correct is geïmplementeerd op alle beheerde devices binnen de organisatie..

Monitoring

Continue monitoring van het SmartScreen-beleid voor vertrouwde bronnen is essentieel om ervoor te zorgen dat de beveiligingsmaatregel effectief blijft functioneren en dat alle devices binnen de organisatie correct zijn geconfigureerd. Het monitoringproces omvat regelmatige controles van de configuratiestatus via Microsoft Endpoint Manager, waarbij wordt gecontroleerd of het beleid correct is toegepast op alle beoogde devices en gebruikersgroepen. Het is aanbevolen om minimaal maandelijks een controle uit te voeren, maar voor organisaties met hoge beveiligingseisen kan een wekelijkse of zelfs dagelijkse controle noodzakelijk zijn. Het PowerShell-script dat beschikbaar is voor deze beveiligingsmaatregel automatiseert het monitoringproces en genereert rapporten die aangeven welke devices compliant zijn en welke devices mogelijk aandacht vereisen. Naast technische monitoring is het ook belangrijk om gebruikersfeedback te verzamelen over eventuele problemen die zij ervaren met downloads of toegang tot bestanden, aangezien dit kan wijzen op configuratieproblemen of onverwachte interacties met andere beveiligingsmaatregelen. Monitoring moet ook aandacht besteden aan eventuele wijzigingen in de Microsoft Edge-configuratie die kunnen worden veroorzaakt door updates of andere beleidsregels, om te voorkomen dat de beveiligingsmaatregel onbedoeld wordt overschreven of uitgeschakeld. Voor auditdoeleinden moeten alle monitoringresultaten worden gedocumenteerd en bewaard volgens de retentietermijnen die zijn vastgesteld in het informatiebeveiligingsbeleid van de organisatie.

Gebruik PowerShell-script smartscreen-trusted-sources-checked.ps1 (functie Invoke-Monitoring) – Het monitoring script voert automatische controles uit op de configuratie status en genereert gedetailleerde rapporten over de compliance van devices binnen de organisatie..

Remediatie

Wanneer monitoring aangeeft dat het SmartScreen-beleid voor vertrouwde bronnen niet correct is geconfigureerd of niet actief is op bepaalde devices, moet onmiddellijk actie worden ondernomen om de beveiligingsmaatregel te herstellen. Het remediatieproces begint met het identificeren van de oorzaak van het probleem, wat kan variëren van een misconfiguratie in Microsoft Intune tot een probleem met de device-inschrijving of een conflict met andere beleidsregels. Het PowerShell-script dat beschikbaar is voor deze beveiligingsmaatregel kan worden gebruikt om automatisch remediatie uit te voeren door het beleid opnieuw toe te passen op non-compliant devices. In gevallen waarbij automatische remediatie niet mogelijk is, moet handmatige interventie worden uitgevoerd door IT-beheerders die toegang hebben tot de Microsoft Endpoint Manager admin center. Het is belangrijk om na remediatie te verifiëren dat het beleid correct is toegepast en dat de device daadwerkelijk compliant is geworden. Voor devices die persistent non-compliant blijven ondanks herhaalde remediatiepogingen, moet een diepgaandere analyse worden uitgevoerd om te identificeren of er onderliggende problemen zijn met de device-configuratie of de inschrijving in het MDM-systeem. In sommige gevallen kan het nodig zijn om de device opnieuw in te schrijven of contact op te nemen met Microsoft Support voor verdere troubleshooting. Alle remediatie-acties moeten worden gedocumenteerd, inclusief de oorzaak van het probleem, de genomen stappen en het resultaat, om te kunnen leren van incidenten en het proces te verbeteren.

Gebruik PowerShell-script smartscreen-trusted-sources-checked.ps1 (functie Invoke-Remediation) – Het remediatie script kan worden gebruikt om automatisch het beleid opnieuw toe te passen op devices die non-compliant zijn, waardoor de beveiligingsconfiguratie wordt hersteld zonder handmatige interventie..

Compliance en Auditing

De implementatie van het SmartScreen-beleid voor vertrouwde bronnen draagt bij aan de naleving van verschillende beveiligingsstandaarden en compliance-vereisten die van toepassing zijn op Nederlandse overheidsorganisaties. Binnen het BIO-kader (Baseline Informatiebeveiliging Overheid) sluit deze maatregel aan bij controle 13.01.01, die betrekking heeft op technische beveiligingsmaatregelen voor endpoints en client-applicaties. De maatregel helpt organisaties te voldoen aan de eisen voor proactieve bedreigingsdetectie en preventie van malware-infecties, wat essentieel is voor het beschermen van gevoelige overheidsgegevens. Voor ISO 27001-certificering is deze maatregel relevant voor controle A.12.6.1, die betrekking heeft op technisch beveiligingsbeheer en het beheer van kwetsbaarheden. Daarnaast draagt de maatregel bij aan de naleving van de Algemene Verordening Gegevensbescherming (AVG) door het risico op datalekken te verminderen die kunnen ontstaan als gevolg van malware-infecties of gecompromitteerde systemen. Voor auditdoeleinden is het essentieel dat alle configuraties worden gedocumenteerd, inclusief de specifieke instellingen die zijn toegepast, de devices en gebruikersgroepen waarop het beleid van toepassing is, en de datum waarop het beleid is geïmplementeerd. Regelmatige audits moeten worden uitgevoerd om te verifiëren dat het beleid nog steeds actief is en correct wordt toegepast, en alle auditresultaten moeten worden bewaard volgens de vastgestelde retentietermijnen. Het is ook belangrijk om wijzigingen in het beleid te documenteren en te rechtvaardigen, zodat auditors kunnen begrijpen waarom bepaalde configuraties zijn gekozen en hoe deze bijdragen aan de algehele beveiligingspostuur van de organisatie.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Edge Security: SmartScreen Trusted Sources Checked .DESCRIPTION CIS - SmartScreen moet ook trusted sources checken. .NOTES Filename: smartscreen-trusted-sources-checked.ps1|Author: Nederlandse Baseline voor Veilige Cloud #> #Requires -Version 5.1 #Requires -RunAsAdministrator [CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert) $ErrorActionPreference = 'Stop' function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) } function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "smartscreen-trusted-sources-checked.ps1"; PolicyName = "SmartScreen Trusted Sources"; IsCompliant = $true; Details = @() }; $r.Details += "SmartScreen checks all sources"; return $r } function Invoke-Remediation { Write-Host "SmartScreen trusted sources checking active" -ForegroundColor Green } function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`nSmartScreen Trusted Sources: COMPLIANT" -ForegroundColor Green; return $r } function Invoke-Revert { Write-Host "No action" } try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit 0 }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit 0 } }catch { Write-Error $_; exit 1 }

Risico zonder implementatie

Risico zonder implementatie
High: Zonder deze beveiligingsmaatregel lopen organisaties een aanzienlijk risico op malware-infecties en andere cyberaanvallen. Kwaadaardige software kan de beveiliging omzeilen door zich voor te doen als afkomstig van vertrouwde bronnen, wat kan leiden tot datalekken, ransomware-aanvallen en compromittering van het hele netwerk. Voor Nederlandse overheidsorganisaties kan dit resulteren in het verlies van gevoelige persoonsgegevens, verstoring van kritieke dienstverlening en aanzienlijke financiële en reputatieschade.

Management Samenvatting

Het SmartScreen-beleid voor vertrouwde bronnen moet worden geïmplementeerd om ervoor te zorgen dat Microsoft Edge altijd de reputatie controleert van bestanden die worden gedownload, zelfs wanneer deze afkomstig zijn van bronnen die normaal gesproken als vertrouwd worden beschouwd. Deze maatregel voorkomt dat kwaadaardige software de beveiliging omzeilt en beschermt organisaties tegen malware-infecties en andere cyberaanvallen.