š¼ Management Samenvatting
Het blokkeren van de Web Serial API voorkomt dat websites directe toegang krijgen tot seriƫle poorten (COM-poorten), wat een beveiligingsrisico vormt voor hardware-gebaseerde aanvallen en gegevensexfiltratie.
Aanbeveling
IMPLEMENT
Risico zonder
Medium
Risk Score
6/10
Implementatie
1u (tech: 0.5u)
Van toepassing op:
ā Edge
De Web Serial API vormt een aanzienlijk beveiligingsrisico voor organisaties, met name voor organisaties die actief zijn in industriƫle omgevingen of werken met operationele technologie systemen. Deze API geeft websites de mogelijkheid om direct te communiceren met seriƫle poorten op het systeem, wat in de praktijk betekent dat kwaadaardige websites kunnen proberen verbinding te maken met fysieke apparaten die via seriƫle poorten zijn aangesloten. Dit omvat kritieke infrastructuur zoals routers, switches, industriƫle besturingssystemen, ingebedde apparaten, en verouderde industriƫle apparatuur zoals SCADA-systemen en programmeerbare logische controllers. De risico's zijn veelzijdig en omvatten de mogelijkheid dat aanvallers firmware kunnen manipuleren van aangesloten apparaten, waardoor de integriteit en beschikbaarheid van kritieke systemen in gevaar komen. Daarnaast kunnen gegevens worden geƫxfiltreerd via seriƫle poortcommunicatie, waarbij gevoelige informatie ongemerkt kan worden overgedragen naar externe partijen. Apparaatvingerafdruk via seriƫle poorten kan bovendien worden gebruikt voor tracking en identificatie van specifieke systemen, wat privacy- en beveiligingsimplicaties heeft. Voor de overgrote meerderheid van organisaties is de Web Serial API volledig overbodig en vormt het slechts een onnodig uitgebreid aanvalsoppervlak. Het blokkeren van deze API is daarom een essentiƫle aanbevolen praktijk voor browser hardening en vormt een fundamenteel onderdeel van een defensieve beveiligingsstrategie, met name in omgevingen waar industriƫle systemen of operationele technologie aanwezig zijn. Organisaties die deze API niet blokkeren, stellen zichzelf bloot aan verschillende aanvalsvectoren waarbij kwaadaardige websites misbruik kunnen maken van de directe toegang tot seriƫle interfaces. Deze kwetsbaarheid is bijzonder zorgwekkend omdat seriƫle poorten vaak worden gebruikt voor communicatie met kritieke infrastructuurelementen die normaal gesproken niet direct aan het internet worden blootgesteld. Door de Web Serial API te gebruiken, kunnen aanvallers deze beveiligingslaag omzeilen en rechtstreeks interactie aangaan met gevoelige systemen die via seriƫle interfaces zijn aangesloten op het werkstation van de gebruiker.
PowerShell Modules Vereist
Primary API: Intune/GPO
Connection:
Required Modules:
Connection:
N/ARequired Modules:
Implementatie
Deze beveiligingsmaatregel configureert de DefaultSerialGuardSetting-beleid op waarde 2 (blokkeer alle sites) via het register (HKLM:\SOFTWARE\Policies\Microsoft\Edge\DefaultSerialGuardSetting is 2). Hierdoor kunnen geen websites toegang krijgen tot seriƫle poorten via de Web Serial API.
Vereisten
Het succesvol implementeren van de Web Serial API blokkering vereist een zorgvuldige voorbereiding waarbij zowel technische als organisatorische aspecten moeten worden overwogen. De implementatie begint met het vaststellen van de technische basisvereisten die nodig zijn om de beveiligingsmaatregel effectief te kunnen afdwingen. Microsoft Edge moet geĆÆnstalleerd zijn op alle doelapparaten binnen de organisatie, aangezien de Web Serial API specifiek een functie is van deze browser en de beleidsinstellingen alleen effect hebben wanneer Edge daadwerkelijk als primaire browser wordt gebruikt. Organisaties die momenteel werken met een gemengde browseromgeving of nog afhankelijk zijn van oudere browsers, dienen eerst een strategische migratie naar Microsoft Edge te plannen. Deze migratie is niet alleen noodzakelijk voor de implementatie van deze specifieke beveiligingsmaatregel, maar vormt ook een belangrijk onderdeel van een moderne browserbeveiligingsstrategie waarbij Edge de voorkeur heeft vanwege de uitgebreide beveiligingsfuncties en integratie met Microsoft 365 en Azure diensten. De vereisten voor het besturingssysteem vormen een kritiek onderdeel van de implementatievoorbereiding. De Web Serial API blokkering vereist Windows 10 versie 1809 of hoger, Windows 11, of Windows Server 2016 en nieuwere versies. Deze versievereisten zijn niet willekeurig, maar zijn gebaseerd op de onderliggende beleidsondersteuning en registerstructuur die pas vanaf deze versies volledig beschikbaar zijn. Organisaties die nog werken met verouderde Windows-versies dienen een upgradeplan te ontwikkelen dat niet alleen rekening houdt met de technische vereisten, maar ook met de impact op bestaande applicaties en workflows. Het upgraden van verouderde systemen is overigens niet alleen noodzakelijk voor deze specifieke beveiligingsmaatregel, maar vormt een fundamenteel onderdeel van moderne cybersecurity omdat verouderde systemen inherent kwetsbaarder zijn voor aanvallen en vaak niet meer worden ondersteund met beveiligingsupdates. De implementatie vereist uitgebreide administratorrechten omdat de beleidsinstellingen moeten worden geconfigureerd op het niveau van de lokale machine. Dit kan worden gedaan via Group Policy Objects in een Active Directory omgeving, of via Microsoft Intune voor organisaties die werken met cloud-gebaseerd apparaatbeheer. In beide scenario's is het essentieel dat alleen geautoriseerde IT-beheerders toegang hebben tot deze configuratie-instellingen, en dat eindgebruikers of lokale beheerders niet in staat zijn om deze instellingen te wijzigen of te omzeilen. Dit vereist een goed ingericht toegangsbeheersysteem waarbij rollen en rechten duidelijk zijn gedefinieerd en waarbij regelmatige audits worden uitgevoerd om te verifiĆ«ren dat alleen geautoriseerde personen toegang hebben tot beveiligingsconfiguraties. Een grondige inventarisatie van bestaande web applicaties vormt een belangrijk onderdeel van de implementatievoorbereiding, hoewel het gebruik van de Web Serial API in de praktijk zeer zeldzaam is. De inventarisatie moet worden uitgevoerd voordat de blokkering wordt geĆÆmplementeerd om te voorkomen dat legitieme bedrijfsprocessen worden verstoord. Tijdens deze inventarisatie dienen organisaties speciale aandacht te besteden aan applicaties die mogelijk communiceren met hardware-apparaten, industriĆ«le systemen, of ingebedde apparaten, aangezien deze applicaties theoretisch gebruik zouden kunnen maken van de Web Serial API. De inventarisatie moet niet alleen een lijst bevatten van alle gebruikte web applicaties, maar ook een analyse van de functionaliteit van elke applicatie en de afhankelijkheden die deze heeft van browser-APIs. Wanneer tijdens de inventarisatie applicaties worden geĆÆdentificeerd die mogelijk afhankelijk zijn van de Web Serial API, dient een formele bedrijfscasereview te worden uitgevoerd waarbij de beveiligingsrisico's worden afgewogen tegen de bedrijfsvoordelen. Deze review moet worden uitgevoerd door een multidisciplinair team bestaande uit IT-beheerders, security officers, en business stakeholders. In de meeste gevallen zal blijken dat alternatieve oplossingen beschikbaar zijn die dezelfde functionaliteit bieden zonder de beveiligingsrisico's die gepaard gaan met de Web Serial API. Moderne web applicaties maken gebruik van veiligere communicatieprotocollen zoals WebSockets of REST APIs die via beveiligde HTTPS-verbindingen werken, waardoor de directe toegang tot seriĆ«le poorten via de browser overbodig is geworden. Indien na grondige analyse blijkt dat een legitieme bedrijfscase bestaat waarbij de Web Serial API essentieel is voor de bedrijfsvoering, kunnen uitzonderingen worden geconfigureerd voor specifieke websites via de beleidsinstellingen, waarbij de blokkering behouden blijft voor alle andere websites.
Implementatie
De implementatie van de Web Serial API blokkering kan worden uitgevoerd via verschillende methoden, waarbij de keuze afhankelijk is van de infrastructuur en beheeromgeving van de organisatie. De meest efficiĆ«nte en schaalbare aanpak voor grote organisaties is het gebruik van geautomatiseerde PowerShell scripts die de benodigde registerinstellingen kunnen configureren op meerdere systemen tegelijkertijd. Deze geautomatiseerde aanpak biedt aanzienlijke voordelen ten opzichte van handmatige configuratie, waaronder een drastische vermindering van de kans op menselijke fouten, gegarandeerde consistentie door de gehele organisatie, en de mogelijkheid om de implementatie snel uit te rollen naar honderden of duizenden apparaten zonder dat elke machine individueel moet worden geconfigureerd. Bovendien maken geautomatiseerde scripts het mogelijk om de implementatie te documenteren en te reproduceren, wat essentieel is voor compliance-doeleinden en voor het geval dat de configuratie opnieuw moet worden toegepast na bijvoorbeeld een systeemherstel. Voor organisaties die werken met Microsoft Intune als apparaatbeheeroplossing, biedt het Intune-beheercentrum een gebruiksvriendelijke interface voor het configureren van Edge-beleid zonder dat beheerders diepgaande kennis nodig hebben van registerpaden en technische details. De implementatie via Intune begint met het navigeren naar het Microsoft Intune-beheercentrum, waar beheerders toegang hebben tot alle apparaatbeheerfunctionaliteiten. Vanuit het hoofdmenu navigeert men naar de sectie Apparaten, gevolgd door Configuratieprofielen, waar een nieuw profiel kan worden aangemaakt. Bij het aanmaken van het nieuwe profiel dient men eerst het platform te selecteren, waarbij voor deze implementatie Windows 10 en later moet worden gekozen als het doelplatform. Vervolgens moet het profieltype worden ingesteld op Instellingencatalogus, wat een moderne aanpak is die toegang geeft tot een uitgebreide catalogus van configureerbare instellingen voor Microsoft Edge en andere Microsoft-producten. De Instellingencatalogus biedt een gestructureerde manier om specifieke beleidsinstellingen te vinden en te configureren zonder dat men handmatig registerpaden hoeft te kennen, wat de implementatie aanzienlijk vereenvoudigt en de kans op configuratiefouten minimaliseert. Binnen de instellingencatalogus moet men zoeken naar Microsoft Edge instellingen, specifiek naar de Serial-sectie waar het DefaultSerialGuardSetting beleid zich bevindt. Dit beleid vormt de centrale instelling voor het beheren van Web Serial API toegang en moet worden geconfigureerd op waarde 2, wat betekent dat seriĆ«le poorttoegang wordt geblokkeerd voor alle websites. Deze waarde is de aanbevolen instelling voor de meeste organisaties omdat het de hoogste beveiligingsstandaard biedt zonder dat gebruikers worden lastiggevallen met prompts of waarschuwingen. Het DefaultSerialGuardSetting beleid kent drie mogelijke waarden, elk met verschillende beveiligingsimplicaties die organisaties moeten begrijpen voordat ze een keuze maken. Waarde 1 staat toe dat websites seriĆ«le poorttoegang kunnen vragen aan gebruikers, wat niet wordt aanbevolen omdat het gebruikers blootstelt aan potentiĆ«le social engineering aanvallen waarbij kwaadaardige websites om toegang vragen en gebruikers mogelijk misleiden om toestemming te verlenen voor toegang tot kritieke hardware-interfaces. Waarde 2 blokkeert seriĆ«le poorttoegang voor alle websites volledig, wat de aanbevolen instelling is voor maximale beveiliging en wat de meeste organisaties zouden moeten gebruiken. Waarde 3 vraagt de gebruiker elke keer om toestemming wanneer een website probeert toegang te krijgen tot een seriĆ«le poort, wat te permissief is en gebruikers lastigvalt met constante prompts terwijl het nog steeds beveiligingsrisico's met zich meebrengt omdat gebruikers mogelijk onbewust toestemming verlenen aan kwaadaardige websites. Na het configureren van de beleidsinstelling moet het profiel worden toegewezen aan de juiste gebruikersgroepen, waarbij een zorgvuldige afweging moet worden gemaakt tussen de breedte van de implementatie en eventuele uitzonderingen die tijdens de vereistenanalyse zijn geĆÆdentificeerd. In de meeste gevallen is het aanbevolen om het profiel toe te wijzen aan alle gebruikersgroepen om het aanvalsoppervlak zo breed mogelijk te minimaliseren, maar organisaties met specifieke industriĆ«le of operationele technologie-omgevingen kunnen ervoor kiezen om eerst een pilot uit te voeren met een beperkte groep gebruikers om te verifiĆ«ren dat de implementatie geen onverwachte impact heeft op bedrijfskritieke processen. Na een succesvolle pilot kan de implementatie dan worden uitgebreid naar de rest van de organisatie. Het is belangrijk om te begrijpen dat de Web Serial API standaard geblokkeerd is in Microsoft Edge, zelfs zonder expliciete beleidsconfiguratie. Echter, het configureren van dit beleid via Intune of GPO zorgt ervoor dat de blokkering expliciet wordt afgedwongen en niet kan worden gewijzigd door eindgebruikers of lokale beheerders. Dit biedt organisaties de garantie dat de beveiligingsinstelling consistent blijft op alle apparaten en niet kan worden omzeild door individuele gebruikers of lokale configuratiewijzigingen. Deze expliciete afdwinging is essentieel voor compliance-doeleinden omdat het aantoonbaar maakt dat de organisatie actief maatregelen heeft genomen om deze beveiligingsrisico's te mitigeren, wat belangrijk is tijdens audits en compliance-controles.
Gebruik PowerShell-script web-serial-api-blocked.ps1 (functie Invoke-Remediation) ā PowerShell script voor automatische blokkering van Web Serial API.
Monitoring
Effectieve monitoring van de Web Serial API blokkering vormt een essentieel onderdeel van de beveiligingsstrategie, omdat het garandeert dat de beveiligingsmaatregel daadwerkelijk wordt afgedwongen en niet wordt omzeild door gebruikers of lokale configuratiewijzigingen. Monitoring moet worden uitgevoerd op regelmatige basis, idealiter maandelijks of na belangrijke wijzigingen in de IT-omgeving zoals Windows-updates of Edge-browserupdates die mogelijk de beleidsondersteuning kunnen beĆÆnvloeden. Deze regelmatige monitoring is niet alleen belangrijk voor het detecteren van configuratiewijzigingen, maar ook voor het verifiĆ«ren dat nieuwe apparaten die aan de organisatie worden toegevoegd correct zijn geconfigureerd en dat bestaande apparaten hun configuratie behouden na systeemupdates of hersteloperaties. De primaire monitoringactiviteit betreft het verifiĆ«ren van de registerinstellingen op doelapparaten, waarbij beheerders regelmatig moeten controleren of het DefaultSerialGuardSetting beleid correct is geconfigureerd in het registerpad HKLM:\SOFTWARE\Policies\Microsoft\Edge. De verwachte waarde is 2, wat moet worden opgeslagen als een DWORD-registerwaarde. Deze verificatie kan theoretisch handmatig worden uitgevoerd via de Registry Editor, maar in de praktijk is dit niet haalbaar voor grote organisaties met honderden of duizenden apparaten. Het is daarom veel efficiĆ«nter om geautomatiseerde monitoring scripts te gebruiken die deze controle kunnen uitvoeren op meerdere apparaten tegelijkertijd en de resultaten kunnen rapporteren in een centraal controlepaneel. Deze geautomatiseerde aanpak maakt het mogelijk om de compliancestatus van de gehele organisatie in real-time te monitoren en onmiddellijk te reageren wanneer afwijkingen worden gedetecteerd. Naast technische verificatie van de registerinstellingen is het belangrijk om gebruikersklachten en verzoeken te monitoren die betrekking hebben op seriĆ«le poorttoegang. Wanneer gebruikers melden dat bepaalde web applicaties niet meer functioneren of dat ze toegang nodig hebben tot seriĆ«le poorten, dient dit serieus te worden genomen en moet een grondige analyse worden uitgevoerd om te bepalen of de applicatie daadwerkelijk afhankelijk is van de Web Serial API of dat er een andere oorzaak is voor het probleem. In de meeste gevallen zal blijken dat de applicatie niet daadwerkelijk afhankelijk is van de Web Serial API, maar dat het probleem wordt veroorzaakt door een andere factor zoals een verouderde browserconfiguratie, netwerkproblemen, of incompatibiliteiten met andere beveiligingsinstellingen. In zeldzame gevallen kan echter een legitieme bedrijfscase bestaan die een uitzondering rechtvaardigt, en in dergelijke situaties moet een formele evaluatie worden uitgevoerd. Alle verzoeken voor Serial API toegang moeten worden gedocumenteerd en geĆ«valueerd volgens een gestructureerd proces dat is ontworpen om zowel de beveiligingsrisico's als de bedrijfsvoordelen te beoordelen. Dit proces moet een formele risicoanalyse omvatten waarbij de beveiligingsrisico's worden afgewogen tegen de bedrijfsvoordelen, en waarbij de aanvrager een gedetailleerde bedrijfsrechtvaardiging moet kunnen leveren die uitlegt waarom de Web Serial API essentieel is voor de bedrijfsvoering en waarom alternatieve oplossingen niet haalbaar zijn. Deze rechtvaardigingen moeten worden beoordeeld door zowel de IT-afdeling als de security officer, waarbij beide partijen moeten instemmen voordat een uitzondering kan worden goedgekeurd. Indien goedgekeurd, moeten uitzonderingen worden geconfigureerd op een zo beperkt mogelijke manier, bijvoorbeeld door alleen specifieke websites toe te staan in plaats van de blokkering volledig op te heffen, waardoor het aanvalsoppervlak zo klein mogelijk blijft. Het monitoren van bedrijfsrechtvaardigingen voor uitzonderingen is een continu proces dat niet stopt na de initiĆ«le goedkeuring. Uitzonderingen moeten periodiek worden beoordeeld, idealiter elk kwartaal, om te bepalen of ze nog steeds nodig zijn of dat alternatieve oplossingen inmiddels beschikbaar zijn gekomen. Technologie evolueert snel, en wat vandaag de dag een legitieme bedrijfscase lijkt, kan morgen al overbodig zijn door nieuwe alternatieve oplossingen die dezelfde functionaliteit bieden zonder de beveiligingsrisico's. Door regelmatige beoordelingen kunnen organisaties ervoor zorgen dat uitzonderingen worden ingetrokken zodra ze niet meer nodig zijn, waardoor het aanvalsoppervlak wordt geminimaliseerd en de beveiligingspostuur van de organisatie wordt verbeterd. Geautomatiseerde monitoring tools kunnen een cruciale rol spelen bij het efficiĆ«nt uitvoeren van deze monitoringactiviteiten, vooral voor grote organisaties met honderden of duizenden apparaten. PowerShell scripts kunnen worden geconfigureerd om regelmatig de registerinstellingen te controleren op alle apparaten binnen de organisatie, en kunnen automatisch waarschuwingen genereren wanneer afwijkingen worden gedetecteerd. Deze scripts kunnen worden geĆÆntegreerd met bestaande monitoring- en nalevingsrapportagesystemen zoals Microsoft Intune Compliance Policies, System Center Configuration Manager, of andere enterprise monitoring tools, waardoor beheerders een centraal overzicht krijgen van de compliancestatus van de Web Serial API blokkering door de gehele organisatie. Deze integratie maakt het mogelijk om compliance-rapporten te genereren die kunnen worden gebruikt tijdens audits en compliance-controles, en om trends te identificeren die kunnen wijzen op systematische problemen met de configuratie of op pogingen om de beveiligingsinstellingen te omzeilen.
Gebruik PowerShell-script web-serial-api-blocked.ps1 (functie Invoke-Monitoring) ā Controleert of Web Serial API correct is geblokkeerd.
Compliance en Audit
De implementatie van de Web Serial API blokkering draagt bij aan de naleving van verschillende belangrijke beveiligings- en compliance frameworks die relevant zijn voor Nederlandse overheidsorganisaties en bedrijven die actief zijn in kritieke sectoren. Deze beveiligingsmaatregel vormt een essentieel onderdeel van een brede beveiligingsstrategie die voldoet aan zowel internationale standaarden als Nederlandse specifieke vereisten. Binnen het CIS Microsoft Edge Benchmark framework valt deze beveiligingsmaatregel onder de categorie Hardware API Security. Het CIS Benchmark voor Microsoft Edge bevat specifieke aanbevelingen voor het beveiligen van browser-gebaseerde hardwaretoegang, waarbij de Web Serial API wordt geĆÆdentificeerd als een potentieel beveiligingsrisico dat moet worden beperkt. Door deze beveiligingsmaatregel te implementeren, voldoen organisaties aan de CIS-aanbevelingen voor het minimaliseren van het aanvalsoppervlak dat wordt blootgesteld door browser APIs die directe hardwaretoegang bieden. Voor Nederlandse overheidsorganisaties is de Baseline Informatiebeveiliging Overheid (BIO) van bijzonder belang. Deze beveiligingsmaatregel draagt direct bij aan BIO control 12.06, die betrekking heeft op het beheer van technische kwetsbaarheden. Door de Web Serial API te blokkeren, wordt een potentiĆ«le technische kwetsbaarheid geĆ«limineerd die anders zou kunnen worden misbruikt door aanvallers om toegang te krijgen tot kritieke systemen of om gegevens te exfiltreren. Daarnaast voldoet deze beveiligingsmaatregel aan BIO control 13.01, die betrekking heeft op apparaattoegangsbeheer. Het blokkeren van ongeautoriseerde toegang tot seriĆ«le poorten via webbrowsers vormt een belangrijk onderdeel van effectief apparaattoegangsbeheer, waarbij organisaties ervoor zorgen dat alleen geautoriseerde processen en applicaties toegang hebben tot hardware-interfaces. De internationale ISO 27001 standaard voor informatiebeveiligingsmanagement bevat verschillende controls die relevant zijn voor deze implementatie. ISO 27001 control A.12.6.1 richt zich op het beheer van technische kwetsbaarheden, waarbij organisaties worden verplicht om technische kwetsbaarheden te identificeren, te evalueren en te mitigeren. De Web Serial API vormt een technische kwetsbaarheid omdat het een onnodig uitgebreid aanvalsoppervlak creĆ«ert, en door deze te blokkeren, voldoen organisaties aan de vereisten van deze control. Daarnaast draagt de implementatie bij aan ISO 27001 control A.11.2.6, die betrekking heeft op de beveiliging van apparatuur. Door te voorkomen dat websites directe toegang krijgen tot seriĆ«le poorten, wordt de beveiliging van aangesloten apparatuur verbeterd, wat met name belangrijk is voor industriĆ«le systemen en operationele technologie. De NIS2 richtlijn, die van toepassing is op organisaties in kritieke sectoren zoals energie, transport, en financiĆ«le dienstverlening, bevat in Artikel 21 specifieke vereisten voor de beveiliging tegen ongeautoriseerde apparaattoegang. Deze beveiligingsmaatregel draagt direct bij aan de naleving van deze vereisten door te voorkomen dat kwaadaardige websites ongeautoriseerde toegang kunnen krijgen tot apparaten die via seriĆ«le poorten zijn aangesloten. Voor organisaties die onder de NIS2 richtlijn vallen, is het implementeren van deze beveiligingsmaatregel niet alleen een aanbevolen praktijk, maar ook een compliance-vereiste die moet worden gedocumenteerd en geaudit. Voor organisaties die actief zijn in industriĆ«le omgevingen met operationele technologie (OT) en industrial control systems (ICS), is de IEC 62443 standaard van bijzonder belang. Deze internationale standaard voor cybersecurity in industriĆ«le automatisering en controlesystemen bevat specifieke vereisten voor de beveiliging van serial interfaces. SeriĆ«le poorten vormen een veelgebruikte interface in industriĆ«le omgevingen, waar ze worden gebruikt voor communicatie met PLC's, SCADA-systemen, en andere kritieke industriĆ«le apparatuur. Het blokkeren van web-gebaseerde toegang tot deze interfaces via de Web Serial API draagt direct bij aan de naleving van IEC 62443 vereisten voor serial interface beveiliging, waarbij organisaties ervoor zorgen dat alleen geautoriseerde en gecontroleerde communicatiekanalen worden gebruikt voor toegang tot kritieke industriĆ«le systemen. Bij het voorbereiden van compliance-audits dienen organisaties documentatie te verzamelen die aantoont dat deze beveiligingsmaatregel correct is geĆÆmplementeerd en wordt gemonitord. Dit omvat screenshots van Intune-beleidsconfiguraties, exports van registerinstellingen, compliance-rapporten van monitoring scripts, en gedocumenteerde uitzonderingen indien van toepassing. Deze documentatie moet worden bewaard voor de volledige auditperiode, wat voor de meeste frameworks minimaal zeven jaar is, om te kunnen aantonen dat de organisatie continu heeft voldaan aan de compliance-vereisten.
Remediatie
Wanneer tijdens monitoring wordt vastgesteld dat de Web Serial API blokkering niet correct is geconfigureerd of is omzeild, moet onmiddellijk remediatie worden uitgevoerd om de beveiligingsmaatregel te herstellen en de beveiligingspostuur van de organisatie te beschermen. Remediatie kan worden uitgevoerd via verschillende methoden, waarbij de keuze afhankelijk is van hoe de oorspronkelijke implementatie is gedaan en wat de onderliggende oorzaak is van de niet-naleving. Het is belangrijk om eerst te begrijpen waarom de configuratie niet correct is voordat remediatie wordt uitgevoerd, omdat dit helpt om structurele problemen te identificeren die kunnen worden opgelost om te voorkomen dat het probleem opnieuw optreedt. Voor apparaten die zijn beheerd via Microsoft Intune, kan remediatie worden uitgevoerd door het Intune-beleid opnieuw toe te passen of door te verifiĆ«ren dat het beleid correct is toegewezen aan de betreffende apparaten. In sommige gevallen kan het nodig zijn om het apparaat opnieuw te synchroniseren met Intune door de gebruiker te vragen om handmatig een synchronisatie te starten vanuit de Intune Company Portal, of door het apparaat opnieuw op te starten zodat de beleidsinstellingen opnieuw worden toegepast tijdens het opstartproces. Als het beleid niet correct is geconfigureerd in Intune zelf, moet dit worden gecorrigeerd in het Intune-beheercentrum, waarna de wijzigingen automatisch worden doorgevoerd naar alle toegewezen apparaten tijdens de volgende policy synchronisatie. Het is belangrijk om te verifiĆ«ren dat de wijzigingen daadwerkelijk zijn doorgevoerd door de compliancestatus te controleren in het Intune-beheercentrum, waarbij apparaten die nog steeds niet-compliant zijn mogelijk aanvullende aandacht vereisen. Voor apparaten die zijn beheerd via Group Policy Objects (GPO), kan remediatie worden uitgevoerd door de GPO opnieuw toe te passen via de Group Policy Management Console, waarbij beheerders kunnen kiezen om handmatig een gpupdate /force commando uit te voeren op het betreffende apparaat, of om te wachten tot de volgende automatische Group Policy refresh cyclus die normaal gesproken elke 90 minuten plaatsvindt voor werkstations en elke 5 minuten voor servers. Als de GPO zelf niet correct is geconfigureerd, moet dit worden gecorrigeerd in de Group Policy Management Console, waarna de wijzigingen worden doorgevoerd bij de volgende policy refresh. In gevallen waar meerdere apparaten zijn betrokken, kan het efficiĆ«nter zijn om een geautomatiseerd script te gebruiken dat het gpupdate commando uitvoert op alle betrokken apparaten tegelijkertijd, wat aanzienlijk tijd bespaart vergeleken met handmatige interventie op elk apparaat. In gevallen waar lokale registerwijzigingen de beleidsinstellingen hebben overschreven, moet de registerwaarde handmatig worden hersteld via de Registry Editor, waarbij de DefaultSerialGuardSetting waarde in het pad HKLM:\SOFTWARE\Policies\Microsoft\Edge moet worden ingesteld op 2 (DWORD). Echter, als lokale wijzigingen mogelijk zijn, duidt dit op een fundamenteel probleem met de beveiligingsconfiguratie, aangezien eindgebruikers of lokale beheerders niet in staat zouden moeten zijn om deze instellingen te wijzigen. In dergelijke gevallen moet ook de toegangscontrole worden geĆ«valueerd en verbeterd om te voorkomen dat dit probleem opnieuw optreedt. Dit kan betekenen dat de rechten van lokale beheerders moeten worden beperkt, of dat aanvullende Group Policy instellingen moeten worden geconfigureerd die voorkomen dat gebruikers toegang hebben tot registerpaden die betrekking hebben op beveiligingsconfiguraties. Geautomatiseerde remediatie via PowerShell scripts biedt de meest efficiĆ«nte en betrouwbare methode voor het herstellen van de Web Serial API blokkering op meerdere apparaten tegelijkertijd, vooral voor grote organisaties waar handmatige interventie op elk apparaat niet praktisch is. Deze scripts kunnen worden geconfigureerd om automatisch te worden uitgevoerd wanneer niet-naleving wordt gedetecteerd door monitoring tools, of kunnen handmatig worden uitgevoerd door beheerders wanneer nodig. De scripts verifiĆ«ren eerst de huidige configuratie door de registerwaarde te lezen, en als deze niet correct is, worden de benodigde registerwijzigingen automatisch doorgevoerd om de beveiligingsmaatregel te herstellen. Deze geautomatiseerde aanpak zorgt voor consistentie en vermindert de kans op menselijke fouten, terwijl het ook tijd bespaart vergeleken met handmatige remediatie. Na het uitvoeren van remediatie is het cruciaal om te verifiĆ«ren dat de remediatie succesvol is geweest en dat de beveiligingsconfiguratie daadwerkelijk is hersteld. Dit kan worden gedaan door de registerinstellingen opnieuw te controleren, of door gebruik te maken van dezelfde monitoring scripts die worden gebruikt voor reguliere compliance-controles. Als de remediatie niet succesvol is, moet een diepere analyse worden uitgevoerd om te bepalen wat de onderliggende oorzaak is van het probleem, waarbij factoren zoals systeemrechten, Group Policy conflicten, of corrupte registerwaarden moeten worden onderzocht. Op basis van deze analyse kunnen structurele oplossingen worden geĆÆmplementeerd die voorkomen dat het probleem opnieuw optreedt, zoals het verbeteren van toegangscontroles, het oplossen van Group Policy conflicten, of het implementeren van aanvullende monitoring en automatische remediatie mechanismen.
Gebruik PowerShell-script web-serial-api-blocked.ps1 (functie Invoke-Remediation) ā Herstelt de Web Serial API blokkering wanneer deze niet correct is geconfigureerd.
Compliance & Frameworks
- CIS M365: Control Edge Security - Hardware APIs (L2) - Web Serial API moet zijn geblokkeerd om seriƫle poorttoegang te beperken
- BIO: 12.06.01, 13.01.03 - Kwetsbaarheidsbeheer en apparaattoegangsbeheer
- ISO 27001:2022: A.12.6.1, A.11.2.6 - Technische kwetsbaarheden en apparaatbeveiliging
- NIS2: Artikel - Beveiliging van systemen en toegangsbeheer
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Edge Security: Web Serial API Blocked (duplicate check)
.DESCRIPTION
CIS - Web Serial API blocked verification.
.NOTES
Filename: web-serial-api-blocked.ps1|Author: Nederlandse Baseline voor Veilige Cloud
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge"; $RegName = "DefaultSerialGuardSetting"; $ExpectedValue = 2
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "web-serial-api-blocked.ps1"; PolicyName = "Web Serial API"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; if (-not(Test-Path $RegPath)) { $r.IsCompliant = $true; $r.Details += "Default blocked"; return $r }; try { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop; $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Serial API blocked" }else { $r.Details += "Serial API toegestaan" } }catch { $r.IsCompliant = $true; $r.Details += "Default" }; return $r }
function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Web Serial API blocked" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
Medium: Organisaties die de Web Serial API niet blokkeren lopen een medium tot hoog beveiligingsrisico, met name wanneer zij actief zijn in industriƫle omgevingen of werken met operationele technologie systemen. Kwaadaardige websites kunnen via de Web Serial API directe toegang krijgen tot seriƫle poorten op werkstations, waardoor zij kunnen communiceren met kritieke industriƫle apparatuur zoals routers, switches, industriƫle besturingssystemen, ingebedde apparaten, en verouderde SCADA- en PLC-systemen. Deze toegang kan worden misbruikt voor firmware-manipulatie, gegevensexfiltratie via seriƫle poortcommunicatie, en apparaatvingerafdruk voor tracking doeleinden. Voor de overgrote meerderheid van organisaties is de Web Serial API volledig overbodig en vormt het slechts een onnodig uitgebreid aanvalsoppervlak dat kan worden geƫlimineerd zonder impact op de bedrijfsvoering. Het niet implementeren van deze beveiligingsmaatregel kan leiden tot compliance-problemen met frameworks zoals BIO, ISO 27001, NIS2, en IEC 62443, met name voor organisaties in kritieke sectoren.
Management Samenvatting
Blokkeer Web Serial API om te voorkomen dat websites toegang krijgen tot seriƫle poorten (COM-poorten). Deze beveiligingsmaatregel is essentieel voor het minimaliseren van het aanvalsoppervlak, met name in industriƫle en operationele technologie omgevingen waar seriƫle poorten worden gebruikt voor communicatie met kritieke systemen. Hoewel de Web Serial API standaard geblokkeerd is in Microsoft Edge, zorgt het configureren van dit beleid ervoor dat de blokkering expliciet wordt afgedwongen en niet kan worden omzeild. Implementatie vereist ongeveer 30 minuten en draagt bij aan compliance met verschillende beveiligingsframeworks.
- Implementatietijd: 1 uur
- FTE required: 0.01 FTE