L1 BIO 13.01.01 ISO A.12.6.1 CIS Beveiligingscontroles

Standalone Sidebar Uitgeschakeld

📅 2025-10-30
⏱️ 2 minuten lezen
🟢 Nice-to-Have

💼 Management Samenvatting

Deze beveiligingsmaatregel configureert de instelling voor de standalone sidebar functionaliteit in Microsoft Edge, waarbij de mogelijkheid om de sidebar als losstaand venster te gebruiken wordt uitgeschakeld. Deze configuratie vormt een belangrijk onderdeel van de beveiligingshardening voor Microsoft Edge browsers binnen Nederlandse overheidsorganisaties.

Aanbeveling
CONSIDER
Risico zonder
Low
Risk Score
1/10
Implementatie
2u (tech: 1u)
Van toepassing op:
Edge

Het uitschakelen van de standalone sidebar functionaliteit draagt bij aan een gecontroleerde en veilige gebruikerservaring binnen bedrijfsomgevingen. Door deze functie te deactiveren, voorkomen organisaties dat gebruikers browserfunctionaliteiten gebruiken die buiten de gecontroleerde beveiligingscontext vallen. Dit vermindert het risico op onbevoegde toegang tot gevoelige informatie en zorgt ervoor dat alle browseractiviteiten binnen de beheerde Edge-instantie plaatsvinden. Bovendien draagt deze maatregel bij aan naleving van beveiligingsstandaarden zoals de BIO-normen en CIS-benchmarks, die specifiek aanbevelen dat bedrijfsbrowsers worden geconfigureerd met restrictieve instellingen die de beveiligingspostuur versterken.

PowerShell Modules Vereist
Primary API: Graph
Connection: Connect-MgGraph
Required Modules: Microsoft.Graph.DeviceManagement

Implementatie

Dit beveiligingsbeleid configureert de StandaloneSidebarEnabled-registerinstelling via Microsoft Intune apparaatconfiguratiebeleidsregels. Wanneer dit beleid wordt toegepast, wordt de registerwaarde StandaloneSidebarEnabled ingesteld op 0, wat betekent dat gebruikers de sidebar niet kunnen loskoppelen van het hoofdvenster van Microsoft Edge. De implementatie gebeurt via Group Policy of Microsoft Intune, waarbij de registerwaarde wordt geconfigureerd in het pad HKLM:\SOFTWARE\Policies\Microsoft\Edge. Deze aanpak zorgt ervoor dat de instelling centraal wordt beheerd en niet door individuele gebruikers kan worden gewijzigd, wat essentieel is voor het handhaven van consistente beveiligingsstandaarden binnen de organisatie.

Vereisten

Voor de succesvolle implementatie van deze beveiligingsmaatregel zijn uitgebreide technische en organisatorische vereisten van toepassing die grondige planning en voorbereiding vereisen. Vanuit technisch perspectief vormt Microsoft Intune het primaire apparaatbeheerplatform dat vereist is voor de distributie van deze configuratie, waarbij specifiek apparaatconfiguratiebeleidsregels moeten worden ingezet om de registerinstellingen centraal en gecontroleerd te distribueren naar alle doelapparaten binnen de organisatie. Organisaties die nog steeds gebruikmaken van on-premises Active Directory-infrastructuur kunnen in plaats daarvan Group Policy Objecten gebruiken als alternatief mechanisme om identieke registerinstellingen te configureren, wat flexibiliteit biedt voor verschillende IT-landschappen. De implementatie vereist noodzakelijkerwijs beheerdersrechten op de doelapparaten, aangezien registerwijzigingen in het HKLM-pad worden aangebracht dat alleen toegankelijk is met verhoogde privileges. Dit betekent dat de configuratie niet door eindgebruikers kan worden omzeild of aangepast, wat essentieel is voor het handhaven van consistentie en beveiligingspostuur. Vanuit organisatorisch perspectief moet er een duidelijk en goed gedocumenteerd beleid bestaan dat de noodzaak en het doel van deze restrictie uitgebreid uitlegt aan gebruikers, zodat zij volledig begrijpen waarom bepaalde browserfunctionaliteiten zijn uitgeschakeld en wat de bredere beveiligingscontext is waarbinnen deze maatregel valt. Deze communicatie moet onderdeel zijn van een bredere gebruikerseducatiecampagne die uitlegt hoe browserbeveiliging bijdraagt aan de algehele cybersecuritypostuur van de organisatie. Bovendien moet er een gestructureerd en goed gedefinieerd proces zijn voor het beheren van uitzonderingen, mocht er een legitieme en gedocumenteerde bedrijfsbehoefte zijn voor het gebruik van de standalone sidebar-functionaliteit in specifieke scenario's. Dit uitzonderingsproces moet risicobeoordelingen omvatten, goedkeuring van beveiligingsteams vereisen en regelmatige herbeoordeling van de noodzaak van dergelijke uitzonderingen. De implementatie kan worden uitgevoerd met minimale impact op de dagelijkse gebruikerservaring en productiviteit, aangezien de meeste gebruikers deze specifieke functionaliteit niet regelmatig gebruiken of zelfs niet bewust zijn van het bestaan ervan. Dit maakt het een ideale beveiligingsmaatregel die de beveiligingspostuur versterkt zonder merkbare negatieve gevolgen voor de gebruikerservaring. Het is echter uiterst belangrijk om de wijziging grondig te testen in een representatieve pilotomgeving voordat deze wordt uitgerold naar de volledige organisatie, zodat eventuele onverwachte gevolgen, compatibiliteitsproblemen of randgevallen kunnen worden geïdentificeerd en aangepakt voordat zij impact hebben op de productieomgeving. Deze pilotfase moet meerdere verschillende gebruikersgroepen en applicatiescenario's omvatten om ervoor te zorgen dat de wijziging geen negatieve impact heeft op specifieke werkprocessen of applicaties die mogelijk afhankelijk zijn van deze functionaliteit.

Implementatie

De implementatie van deze beveiligingsmaatregel vereist een gestructureerde en methodische aanpak die begint met grondige voorbereiding en planning van de configuratie in Microsoft Intune of Group Policy, afhankelijk van de beschikbare infrastructuur en het apparaatbeheerframework dat binnen de organisatie wordt gebruikt. Voor organisaties die Microsoft Intune als primair apparaatbeheerplatform hebben ingezet, moet het implementatieproces beginnen met het aanmaken van een nieuw apparaatconfiguratieprofiel binnen het Microsoft Endpoint Manager-beheercentrum, waarbij specifiek het profieltype "Administrative Templates" moet worden geselecteerd om toegang te krijgen tot de Edge-specifieke beleidsinstellingen. Binnen dit nieuw aangemaakte profiel moet vervolgens het Edge-beleid met de naam "StandaloneSidebarEnabled" worden gelokaliseerd in de lijst met beschikbare instellingen, geconfigureerd worden en expliciet ingesteld worden op de waarde "Disabled" om de functionaliteit volledig uit te schakelen. Het profiel moet na configuratie strategisch worden toegewezen aan de relevante gebruikersgroepen of apparaten op basis van een zorgvuldige analyse van de organisatiestructuur en de beoogde scope van de implementatie, waarbij rekening moet worden gehouden met eventuele specifieke uitzonderingen of uitsluitingen die nodig zijn voor bepaalde gebruikersgroepen of apparaten met specifieke bedrijfsvereisten. Voor organisaties die nog steeds gebruikmaken van traditionele Group Policy-infrastructuur als onderdeel van hun hybride of on-premises omgeving, moet het implementatieproces worden uitgevoerd via de Group Policy Management Console, waarbij een nieuw Group Policy Object moet worden aangemaakt of een bestaand GPO moet worden aangepast als de configuratie deel uitmaakt van een breder Edge-beveiligingsbeleid. Binnen de Group Policy Management Console moet worden genavigeerd naar Computer Configuration, gevolgd door Policies, Administrative Templates, en vervolgens Microsoft Edge om toegang te krijgen tot alle beschikbare Edge-specifieke beleidsinstellingen. Hier moet het beleid met de naam "Allow standalone sidebar" worden gelokaliseerd, geopend worden en expliciet worden ingesteld op "Disabled" om ervoor te zorgen dat gebruikers de sidebar niet kunnen loskoppelen van het hoofdvenster. Na het configureren van het beleid met de juiste instellingen moet het GPO strategisch worden gekoppeld aan de relevante Organizational Units binnen Active Directory, waarbij zorgvuldig moet worden overwogen welke OU's moeten worden opgenomen in de scope van de implementatie en welke mogelijk moeten worden uitgesloten op basis van specifieke bedrijfsvereisten of uitzonderingen. Voor beide implementatiemethoden, of het nu gaat om Microsoft Intune of Group Policy, is het ten zeerste aanbevolen om de wijziging eerst uitvoerig te testen op een beperkte en representatieve groep gebruikers of apparaten voordat deze wordt uitgerold naar de volledige organisatie, zodat eventuele onvoorziene gevolgen, compatibiliteitsproblemen of negatieve impact op specifieke werkprocessen kunnen worden geïdentificeerd en aangepakt voordat deze impact hebben op de gehele gebruikerspopulatie. Het PowerShell-script standalone-sidebar-disabled.ps1 kan gedurende deze testfase en daarna worden gebruikt om de configuratie te verifiëren en continu te monitoren, waarbij het script automatisch controleert of de registerwaarde correct is ingesteld op de verwachte waarde en uitgebreid rapporteert over de nalevingsstatus van elk gecontroleerd apparaat. Na een succesvolle en grondige testperiode waarin is bevestigd dat de implementatie geen negatieve gevolgen heeft en dat alle apparaten correct de configuratie ontvangen en toepassen, kan de implementatie geleidelijk worden uitgerold naar de volledige organisatie, waarbij een gefaseerde aanpak wordt aanbevolen om de risico's verder te minimaliseren en eventuele problemen vroegtijdig te kunnen detecteren en oplossen. Het is belangrijk om gebruikers proactief te informeren over de wijziging via verschillende communicatiekanalen zoals e-mail, intranetaankondigingen of teammeetings, hoewel de daadwerkelijke impact op de dagelijkse werkzaamheden en productiviteit minimaal zal zijn aangezien de standalone sidebar-functionaliteit niet essentieel is voor de meeste standaardwerkprocessen en de meeste gebruikers deze functionaliteit waarschijnlijk niet regelmatig gebruiken of zelfs niet bewust zijn van het bestaan ervan.

Gebruik PowerShell-script standalone-sidebar-disabled.ps1 (functie Invoke-Monitoring) – Het PowerShell-script biedt functionaliteit voor het monitoren van de nalevingsstatus van deze beveiligingsinstelling. Door het script uit te voeren met de Monitoring-parameter, wordt gecontroleerd of de StandaloneSidebarEnabled-registerwaarde correct is ingesteld op 0. Het script rapporteert de huidige status en geeft aan of het apparaat conform is met het beveiligingsbeleid..

Monitoring

Effectieve en continue monitoring van deze beveiligingsmaatregel vereist een uitgebreide en gestructureerde aanpak waarbij systematisch en regelmatig wordt gecontroleerd of de configuratie correct is toegepast op alle beheerde apparaten binnen de organisatie, waarbij proactieve detectie van afwijkingen en automatische waarschuwingsmechanismen essentieel zijn voor het handhaven van een sterke beveiligingspostuur. Het PowerShell-script standalone-sidebar-disabled.ps1 vormt de technische basis en het primaire instrument voor deze monitoringactiviteiten, waarbij het script is ontworpen om geautomatiseerde en geplande nalevingsverificaties uit te voeren zonder significante impact op systeembronnen of gebruikersproductiviteit. Het script kan worden uitgevoerd met de specifieke Monitoring-parameter om een uitgebreide controle uit te voeren van de nalevingsstatus op elk gecontroleerd apparaat, waarbij het script een diepgaande analyse uitvoert van de registerconfiguratie en gedetailleerde rapportage genereert over de huidige staat van de beveiligingsinstelling. Het script verifieert grondig of de registerwaarde StandaloneSidebarEnabled daadwerkelijk bestaat in het verwachte registerpad, of deze is ingesteld op de verwachte waarde van 0 die de functionaliteit uitschakelt, en of de waarde niet is gewijzigd door gebruikers of externe processen die mogelijk de beveiligingsconfiguratie kunnen compromitteren. Wanneer de registerwaarde niet bestaat in het registerpad, wordt dit automatisch beschouwd als conform met het beveiligingsbeleid omdat de standaardinstelling van Microsoft Edge de standalone sidebar-functionaliteit standaard uitschakelt, wat betekent dat apparaten waarop de registerwaarde nog niet expliciet is geconfigureerd nog steeds voldoen aan de beveiligingsvereisten zolang zij niet handmatig zijn gewijzigd om de functionaliteit in te schakelen. Voor organisaties die Microsoft Intune gebruiken als hun primaire apparaatbeheerplatform, kan de nalevingsstatus ook uitgebreid worden gemonitord via het Microsoft Endpoint Manager-beheercentrum, waar apparaatconfiguratieprofielen automatisch en realtime rapporteren over de succesvolle toepassing van beleidsregels, waarbij gedetailleerde informatie wordt verstrekt over welke apparaten conform zijn, welke apparaten niet-conform zijn, welke apparaten in behandeling zijn en welke apparaten mogelijk fouten hebben ondervonden tijdens het configuratieproces. Het is ten zeerste aanbevolen om minimaal maandelijks een uitgebreide nalevingsrapportage uit te voeren die alle beheerde apparaten omvat, waarbij wordt geverifieerd dat alle apparaten nog steeds volledig conform zijn met het beveiligingsbeleid en dat er geen nieuwe afwijkingen zijn ontstaan sinds de laatste verificatie, hoewel sommige organisaties met hogere beveiligingsvereisten mogelijk kiezen voor wekelijkse of zelfs dagelijkse verificaties afhankelijk van hun specifieke nalevings- en beveiligingsdoelstellingen. Eventuele niet-conforme apparaten die tijdens de monitoringactiviteiten worden geïdentificeerd, moeten onmiddellijk en grondig worden onderzocht om nauwkeurig te bepalen of de afwijking het gevolg is van een technisch probleem zoals een mislukte beleidsimplementatie, een onbedoelde wijziging door een gebruiker of applicatie, een configuratieconflict met een ander beleid, of een gerechtvaardigde uitzondering die correct moet worden gedocumenteerd en goedgekeurd via het formele uitzonderingsproces. Voor apparaten die via traditionele Group Policy-infrastructuur worden beheerd als onderdeel van een hybride of on-premises omgeving, kan de Group Policy Results Wizard worden gebruikt om uitgebreid te verifiëren dat het beleid correct wordt toegepast en dat er geen beleidsconflicten of filterproblemen zijn die voorkomen dat de configuratie succesvol wordt geïmplementeerd op specifieke apparaten. Daarnaast kunnen organisaties gebruikmaken van geavanceerde endpointbeheertools zoals Microsoft Configuration Manager, System Center Configuration Manager of andere endpointbeheeroplossingen van derde partijen om geautomatiseerde nalevingsrapportages te genereren, waarbij deze tools vaak geavanceerde dashboards en waarschuwingsmechanismen bieden die beveiligingsteams helpen bij het snel identificeren en aanpakken van nalevingsafwijkingen. Het is uiterst belangrijk om een goed gedefinieerd en gedocumenteerd proces te hebben voor het systematisch behandelen van niet-conforme apparaten, waarbij eerst wordt geprobeerd om de configuratie automatisch te herstellen via het geautomatiseerde remediatiescript dat de correcte instellingen opnieuw toepast, en waarbij handmatige interventie alleen wordt ingezet wanneer automatische remediatie herhaaldelijk niet succesvol is of wanneer er sprake is van complexere onderliggende problemen die diepgaander onderzoek en probleemoplossing vereisen.

Gebruik PowerShell-script standalone-sidebar-disabled.ps1 (functie Invoke-Monitoring) – Het monitoringscript controleert de nalevingsstatus van de StandaloneSidebarEnabled-instelling. Het script verifieert de registerwaarde en rapporteert of het apparaat conform is. De output toont de huidige waarde, de verwachte waarde en aanvullende details over de configuratiestatus. Dit script kan worden geïntegreerd in geautomatiseerde monitoringworkflows voor continue nalevingsverificatie..

Remediatie

Wanneer proactieve monitoringactiviteiten niet-conforme apparaten identificeren die afwijken van de verwachte beveiligingsconfiguratie, moet er onmiddellijk een gestructureerd en goed gedocumenteerd remediatieproces worden gevolgd om de beveiligingsconfiguratie snel en effectief te herstellen naar de gewenste staat, waarbij tijdige remediatie essentieel is om te voorkomen dat afwijkingen langdurig bestaan en mogelijke beveiligingsrisico's introduceren. Het PowerShell-script standalone-sidebar-disabled.ps1 biedt uitgebreide en betrouwbare geautomatiseerde remediatiefunctionaliteit die kan worden gebruikt om de StandaloneSidebarEnabled-registerwaarde automatisch en consistent opnieuw in te stellen op de correcte waarde van 0 die de functionaliteit uitschakelt, waarbij het script is ontworpen om veilig en betrouwbaar te opereren zonder onbedoelde negatieve gevolgen voor andere systeemconfiguraties of applicaties. Het script kan worden uitgevoerd met de specifieke Remediation-parameter om automatisch en zonder gebruikersinteractie de correcte beveiligingsconfiguratie toe te passen op het doelapparaat, waarbij het script alle benodigde controles en validaties uitvoert voordat wijzigingen worden aangebracht om ervoor te zorgen dat de remediatie veilig en effectief wordt uitgevoerd. Wanneer het script wordt uitgevoerd voor remediatiedoeleinden, controleert het eerst grondig of het registerpad HKLM:\SOFTWARE\Policies\Microsoft\Edge daadwerkelijk bestaat en of de benodigde padstructuur aanwezig is voor de configuratie, waarbij het script automatisch dit pad creëert indien nodig om ervoor te zorgen dat de remediatie succesvol kan worden voltooid, zelfs wanneer de registerstructuur onvolledig is of beschadigd is geraakt. Vervolgens wordt de StandaloneSidebarEnabled-registerwaarde expliciet en nauwkeurig ingesteld op 0 met het correcte DWord-datatype dat vereist is voor deze specifieke registerinstelling, waarbij het script ervoor zorgt dat de waarde correct wordt geconfigureerd en dat er geen datatypeconflicten of configuratiefouten ontstaan die de remediatie kunnen compromitteren. Na het toepassen van de remediatie via het script, moet het apparaat onmiddellijk opnieuw worden gecontroleerd door het monitoringscript uit te voeren om uitgebreid te verifiëren dat de configuratie daadwerkelijk succesvol is hersteld en dat het apparaat nu volledig conform is met het beveiligingsbeleid, waarbij deze verificatiestap essentieel is om te bevestigen dat de remediatie effectief was en dat er geen aanvullende acties nodig zijn. Voor apparaten die via Microsoft Intune worden beheerd als onderdeel van een moderne cloud-first apparaatbeheerstrategie, kan de remediatie ook worden geactiveerd door het apparaatconfiguratieprofiel opnieuw toe te wijzen aan de betreffende apparaten of door een expliciete synchronisatieactie te forceren vanuit het Microsoft Endpoint Manager-beheercentrum, waarbij deze methoden vaak effectiever zijn wanneer de niet-conformiteit het gevolg is van een mislukte initiële implementatie of wanneer beleidsupdates niet correct zijn toegepast. In sommige gevallen kan het nodig zijn om de Microsoft Edge-browser volledig opnieuw te starten of zelfs het volledige apparaat opnieuw op te starten om ervoor te zorgen dat de wijzigingen volledig worden toegepast en dat Edge de nieuwe registerinstellingen correct laadt en implementeert, hoewel dit meestal alleen noodzakelijk is wanneer de registerwijzigingen zijn aangebracht terwijl Edge actief was en de wijzigingen nog niet zijn geladen in het actieve proces. Het is uiterst belangrijk om uitgebreid te documenteren wanneer en waarom specifieke remediatieacties zijn uitgevoerd, welke apparaten betrokken waren, wat de oorzaak was van de niet-conformiteit en wat het resultaat was van de remediatiepoging, zodat er een volledige en controleerbare audittrail bestaat voor nalevingsdoeleinden, beveiligingsaudits en toekomstige probleemoplossingsactiviteiten. Voor apparaten die herhaaldelijk en consistent niet-conform worden ondanks herhaalde remediatiepogingen, moet er een diepgaander en systematisch onderzoek worden uitgevoerd om nauwkeurig te bepalen of er een onderliggend technisch probleem is met de apparaatbeheerconfiguratie zoals beleidsconflicten, implementatieproblemen of infrastructuurproblemen, of of er mogelijk handmatige wijzigingen worden aangebracht door gebruikers of applicaties die de configuratie systematisch wijzigen en die moeten worden aangepakt via gebruikerseducatie, gebruikersbeleid of aanvullende beveiligingsmaatregelen zoals extra toegangscontroles of monitoring.

Gebruik PowerShell-script standalone-sidebar-disabled.ps1 (functie Invoke-Remediation) – Het remediatiescript past automatisch de correcte beveiligingsconfiguratie toe door de StandaloneSidebarEnabled-registerwaarde in te stellen op 0. Het script zorgt ervoor dat de benodigde registerstructuur bestaat en past de waarde toe met het juiste datatype. Na uitvoering wordt een bevestigingsbericht getoond dat de remediatie succesvol is voltooid..

Compliance en Audit

Deze beveiligingsmaatregel draagt substantieel en meetbaar bij aan naleving van verschillende gerenommeerde beveiligingsstandaarden en frameworks die bijzonder relevant zijn voor Nederlandse overheidsorganisaties die moeten voldoen aan strikte nalevingsvereisten en regelgeving, waarbij de implementatie van deze maatregel direct bijdraagt aan het aantonen van zorgvuldigheid en proactief beveiligingsmanagement tijdens beveiligingsaudits en nalevingsbeoordelingen. Binnen het CIS Microsoft Edge Benchmark, dat algemeen wordt beschouwd als de gouden standaard voor browserbeveiligingshardening in bedrijfsomgevingen, wordt specifiek en expliciet aanbevolen om de standalone sidebar-functionaliteit uit te schakelen in alle bedrijfsomgevingen omdat dit de algehele beveiligingspostuur aanzienlijk versterkt door het systematisch beperken van browserfunctionaliteiten die buiten de gecontroleerde en gemonitorde beveiligingscontext vallen en die potentieel kunnen worden misbruikt of geëxploiteerd door kwaadwillenden. De maatregel is geclassificeerd als een Level 1 (L1) controle binnen het CIS-framework, wat betekent dat deze relatief eenvoudig en snel te implementeren is zonder significante impact op functionaliteit of gebruikerservaring, terwijl het wel een meetbare en aantoonbare verbetering van de beveiligingspostuur oplevert die rechtstreeks bijdraagt aan het verminderen van de aanvalsoppervlakte en het versterken van de defense-in-depth strategie. Binnen het BIO-framework, dat specifiek is ontwikkeld voor Nederlandse overheidsorganisaties en uitgebreide beveiligingsvereisten definieert, wordt deze maatregel direct gekoppeld aan controle 13.01.01, die betrekking heeft op technische beveiligingsmaatregelen en die vereist dat organisaties passende en effectieve technische maatregelen implementeren en onderhouden om de beschikbaarheid, integriteit en vertrouwelijkheid van informatie te waarborgen en te beschermen tegen onbevoegde toegang, wijziging of vernietiging. Door de standalone sidebar expliciet uit te schakelen via gecentraliseerde beleidsconfiguratie, wordt effectief voorkomen dat gebruikers browserfunctionaliteiten kunnen gebruiken die mogelijk beveiligingsrisico's introduceren, die buiten het zicht en de controle van beveiligingsmonitoringtools vallen, of die kunnen worden gebruikt om beveiligingsbeperkingen te omzeilen of gevoelige informatie te onttrekken zonder detectie. Voor ISO 27001-naleving, de internationaal erkende standaard voor informatiebeveiligingsmanagementsystemen die door veel Nederlandse organisaties wordt geadopteerd, is deze maatregel direct relevant voor controle A.12.6.1, die specifiek betrekking heeft op technisch kwetsbaarheidsbeheer en die vereist dat organisaties systematisch technische kwetsbaarheden identificeren, beoordelen, beheren en mitigeren, waarbij het proactief beperken van onnodige functionaliteiten en het minimaliseren van de aanvalsoppervlakte een belangrijke en erkende mitigatiestrategie vormt die bijdraagt aan het verminderen van potentiële kwetsbaarheden en exploitatiemogelijkheden. Voor auditdoeleinden en nalevingsverificaties is het uiterst belangrijk om uitgebreid en nauwkeurig te documenteren dat deze configuratie daadwerkelijk is toegepast binnen de organisatie, inclusief de exacte datum van implementatie, de volledige scope van de implementatie zoals welke apparaten en gebruikersgroepen zijn opgenomen, de resultaten van alle uitgevoerde nalevingsverificaties en eventuele uitzonderingen of afwijkingen die zijn goedgekeurd via het formele uitzonderingsproces. Auditbewijs en documentatie moeten worden bewaard voor een periode van minimaal één jaar, conform de standaard auditbewijsvereisten die worden gesteld door verschillende nalevingsframeworks en auditors, hoewel sommige organisaties met specifieke nalevingsvereisten mogelijk langere bewaartermijnen moeten aanhouden afhankelijk van hun specifieke regelgevingsvereisten. Deze documentatie moet uitgebreid en overtuigend kunnen aantonen dat de registerconfiguratie correct en consistent is ingesteld op alle doelapparaten, dat er regelmatige en systematische monitoring plaatsvindt om te verifiëren dat de configuratie blijft bestaan en niet is gewijzigd, en dat er een actief en effectief proces bestaat voor het detecteren en aanpakken van afwijkingen. Organisaties moeten tijdens audits overtuigend kunnen aantonen dat zij een goed gedefinieerd, gedocumenteerd en effectief functionerend proces hebben voor het proactief identificeren, onderzoeken en remediëren van niet-conforme apparaten, en dat dit proces daadwerkelijk functioneert zoals bedoeld door middel van concrete voorbeelden, rapportages en metriek die aantonen dat het proces succesvol afwijkingen detecteert en herstelt.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Edge Security: Standalone Sidebar Disabled .DESCRIPTION CIS - Standalone/detachable sidebar moet disabled in enterprise. .NOTES Filename: standalone-sidebar-disabled.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Edge\StandaloneSidebarEnabled|Expected: 0 #> #Requires -Version 5.1 #Requires -RunAsAdministrator [CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert) $ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge"; $RegName = "StandaloneSidebarEnabled"; $ExpectedValue = 0 function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) } function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "standalone-sidebar-disabled.ps1"; PolicyName = "Standalone Sidebar Disabled"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; if (-not(Test-Path $RegPath)) { $r.IsCompliant = $true; $r.Details += "Default disabled"; return $r }; try { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop; $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Sidebar disabled" }else { $r.Details += "Sidebar enabled" } }catch { $r.IsCompliant = $true; $r.Details += "Default" }; return $r } function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Standalone sidebar disabled" -ForegroundColor Green } function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r } function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue } try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }

Risico zonder implementatie

Risico zonder implementatie
Low: Het niet implementeren van deze maatregel levert een laag beveiligingsrisico op. Hoewel de standalone sidebar-functionaliteit op zichzelf geen kritieke beveiligingsbedreiging vormt, draagt het uitschakelen ervan bij aan een meer gecontroleerde en beheerde browseromgeving. Zonder deze configuratie kunnen gebruikers browserfunctionaliteiten gebruiken die buiten de gecontroleerde beveiligingscontext vallen, wat kan leiden tot verminderde zichtbaarheid van gebruikersactiviteiten en potentiële nalevingsuitdagingen bij audits.

Management Samenvatting

Schakel de standalone sidebar-functionaliteit uit in Microsoft Edge via apparaatconfiguratiebeleidsregels om een meer gecontroleerde en veilige browseromgeving te creëren. Deze maatregel draagt bij aan naleving van CIS-benchmarks en BIO-normen door het beperken van browserfunctionaliteiten die buiten de beheerde context vallen.