L2 BIO 12.06.01 ISO A.12.6.1 CIS Edge Security - Hardware APIs

WebUSB API Geblokkeerd

📅 2025-10-30
⏱️ 5 minuten lezen
🟢 Should-Have

💼 Management Samenvatting

Het blokkeren van de WebUSB API voorkomt dat websites directe toegang krijgen tot USB-apparaten, wat een aanzienlijk beveiligingsrisico vormt voor hardware-gebaseerde aanvallen en gegevensexfiltratie.

Aanbeveling
IMPLEMENT
Risico zonder
Medium
Risk Score
6/10
Implementatie
1u (tech: 0.5u)
Van toepassing op:
Edge

De WebUSB API is een krachtige browserfunctie die websites directe toegang geeft tot USB-apparaten die op de computer zijn aangesloten. Hoewel deze functionaliteit nuttig kan zijn voor specifieke webapplicaties zoals firmware-updates of hardwareconfiguratie, vormt het ook aanzienlijke beveiligingsrisico's voor organisaties. Kwaadaardige websites kunnen namelijk ongeautoriseerde toegang verkrijgen tot USB-apparaten zoals smartphones, hardwarebeveiligingssleutels of externe opslagmedia. Gegevens kunnen worden geëxfiltreerd via USB-apparaten zonder dat gebruikers zich hiervan bewust zijn, waardoor gevoelige informatie ongemerkt kan worden gestolen. Bovendien kan de firmware van USB-apparaten worden gecompromitteerd, waardoor deze apparaten zelf een beveiligingsrisico worden. Dit kan leiden tot BadUSB-achtige aanvallen waarbij USB-apparaten worden gemanipuleerd om kwaadaardige acties uit te voeren, zelfs nadat ze van de geïnfecteerde computer zijn losgekoppeld. Daarnaast vormt de WebUSB API een privacyrisico door fingerprinting van aangesloten USB-apparaten, waardoor websites informatie kunnen verzamelen over de hardwareconfiguratie van gebruikers. Voor de meeste organisaties is WebUSB niet nodig en vormt het een onnodig aanvalsoppervlak dat kan worden uitgeschakeld zonder functionele impact. Het blokkeren van de WebUSB API is daarom een best practice voor beveiligingshardening die het aanvalsoppervlak aanzienlijk verkleint.

PowerShell Modules Vereist
Primary API: Intune/GPO
Connection: N/A
Required Modules:

Implementatie

Deze control configureert de DefaultWebUsbGuardSetting-beleidsinstelling op waarde 2, wat betekent dat alle websites worden geblokkeerd voor toegang tot USB-apparaten. De configuratie wordt toegepast via het Windows-register op het pad HKLM:\SOFTWARE\Policies\Microsoft\Edge\DefaultWebUsbGuardSetting met de waarde 2. Hierdoor kunnen geen websites toegang krijgen tot USB-apparaten via de WebUSB API, ongeacht of gebruikers hiervoor toestemming geven.

Vereisten

Voor het succesvol implementeren van deze beveiligingscontrol zijn verschillende technische en organisatorische vereisten van toepassing die zorgvuldig moeten worden geëvalueerd voordat de implementatie wordt gestart. Deze vereisten zorgen ervoor dat de blokkering van de WebUSB API op een gecontroleerde en beheerde manier plaatsvindt, zonder onbedoelde verstoring van bedrijfskritieke processen of applicaties. De primaire technische vereiste is dat de Microsoft Edge browser geïnstalleerd moet zijn op alle werkstations waarop deze control wordt toegepast. Microsoft Edge is de standaard browser in moderne Windows-omgevingen en ondersteunt de WebUSB API-beleidsinstellingen die nodig zijn voor deze control. Organisaties die nog andere browsers gebruiken als primaire browser moeten ervoor zorgen dat ook deze browsers worden geconfigureerd, hoewel deze control specifiek gericht is op Microsoft Edge. Het besturingssysteem moet Windows 10 of Windows 11 zijn voor clientwerkstations, of Windows Server 2016 of hoger voor serveromgevingen. Deze versies ondersteunen de benodigde registerbeleidsinstellingen en groepsbeleidsobjecten die vereist zijn voor de implementatie. Oudere versies van Windows ondersteunen deze functionaliteit niet volledig en kunnen aanvullende configuratiestappen vereisen of mogelijk niet compatibel zijn met deze control. Administratorrechten zijn essentieel voor de implementatie van deze control, omdat de configuratie wordt toegepast op register- of beleidsniveau. Dit betekent dat de persoon of het team dat de implementatie uitvoert, beschikking moet hebben over beheerdersrechten voor het configureren van groepsbeleidsobjecten via Active Directory of voor het beheren van Microsoft Intune-configuratieprofielen. Voor organisaties die gebruik maken van gecentraliseerd beheer via Group Policy Objects moet de implementatie worden uitgevoerd door domeinbeheerders of personen met delegatierechten voor groepsbeleidsbeheer. Een kritieke organisatorische vereiste is het uitvoeren van een grondige inventarisatie van alle webapplicaties die mogelijk gebruik maken van de WebUSB API. Dit proces moet worden uitgevoerd voordat de blokkering wordt geactiveerd, om te voorkomen dat kritieke bedrijfsprocessen worden verstoord. De inventarisatie moet alle interne webapplicaties, externe SaaS-diensten en specifieke gebruiksscenario's omvatten waarbij USB-apparaten mogelijk worden gebruikt via de browser. Dit omvat bijvoorbeeld applicaties voor firmware-updates, hardwareconfiguratie tools, of gespecialiseerde industriële applicaties die directe USB-toegang vereisen. Naast de technische inventarisatie moet er een bedrijfsgevalbeoordeling worden uitgevoerd voor eventuele legitieme gebruikssituaties waarbij WebUSB noodzakelijk is voor bedrijfsprocessen. Deze beoordeling moet de zakelijke noodzaak evalueren, alternatieve oplossingen onderzoeken, en indien nodig uitzonderingsprocedures vaststellen. Organisaties moeten een formeel proces hebben voor het aanvragen en goedkeuren van uitzonderingen, waarbij elke uitzondering wordt gedocumenteerd met een duidelijke zakelijke rechtvaardiging en beveiligingsmaatregelen die de risico's van de uitzondering mitigeren. Deze beoordeling moet regelmatig worden herzien om te bepalen of uitzonderingen nog steeds noodzakelijk zijn of kunnen worden opgeheven naarmate alternatieve oplossingen beschikbaar komen.

Implementatie

De WebUSB API kan worden geblokkeerd via verschillende implementatiemethoden, afhankelijk van de infrastructuur en beheeromgeving van de organisatie. Elke methode heeft specifieke voordelen en overwegingen die moeten worden meegenomen in de keuze voor de meest geschikte aanpak. De implementatie kan worden uitgevoerd via geautomatiseerde scripts, gecentraliseerd beheer via Microsoft Intune, of traditionele groepsbeleidsobjecten in Active Directory-omgevingen. Voor organisaties die geautomatiseerde implementatie prefereren, is er een PowerShell-script beschikbaar dat de configuratie automatisch toepast op werkstations. Dit script voert de benodigde registerwijzigingen uit en verifieert de correcte configuratie, waardoor handmatige fouten worden voorkomen en de implementatie reproduceerbaar is voor alle systemen in de omgeving.

Gebruik PowerShell-script webusb-api-blocked.ps1 (functie Invoke-Remediation) – PowerShell script voor automatische blokkering van WebUSB API.

Voor handmatige implementatie via Microsoft Intune begint het proces met het openen van het Microsoft Intune-beheercentrum, de centrale beheerconsole voor moderne device management in Microsoft 365-omgevingen. Vanuit het beheercentrum navigeert de beheerder naar de sectie Devices, gevolgd door Configuration profiles, waar een nieuw configuratieprofiel kan worden aangemaakt. Bij het aanmaken van het profiel moet het platform worden geselecteerd als Windows 10 en later, wat de moderne Windows-clientversies omvat die deze functionaliteit ondersteunen. Het profieltype moet worden ingesteld op Settings catalog, wat toegang geeft tot de uitgebreide catalogus van configureerbare instellingen voor Microsoft Edge en andere Microsoft-applicaties. Binnen de Settings catalog moet worden gezocht naar de Microsoft Edge-sectie, gevolgd door de USB-subcategorie, waar de DefaultWebUsbGuardSetting-beleidsinstelling zich bevindt. Deze instelling bepaalt hoe de browser omgaat met verzoeken van websites om toegang tot USB-apparaten. De instelling moet worden geconfigureerd op waarde 2, wat betekent dat USB-toegang voor alle websites wordt geblokkeerd, ongeacht of gebruikers hiervoor toestemming geven. Deze waarde is de aanbevolen instelling voor maximale beveiliging en voorkomt dat kwaadaardige websites gebruik kunnen maken van de WebUSB API. Na de configuratie van de beleidsinstelling moet het profiel worden toegewezen aan alle relevante gebruikersgroepen binnen de organisatie. Deze toewijzing kan worden gedaan op basis van beveiligingsgroepen, organisatie-eenheden, of andere groeperingscriteria die passen bij de organisatiestructuur. Het is belangrijk om ervoor te zorgen dat alle gebruikers die Microsoft Edge gebruiken worden gedekt door het beleid, om te voorkomen dat er gaten in de beveiliging ontstaan. De DefaultWebUsbGuardSetting-beleidsinstelling kent drie mogelijke waarden die verschillende niveaus van toegangscontrole bieden. Waarde 1 staat toe dat websites gebruikers kunnen vragen om USB-toegang, wat niet wordt aanbevolen omdat dit gebruikers blootstelt aan social engineering-aanvallen waarbij kwaadaardige websites om toestemming vragen. Waarde 2 blokkeert USB-toegang voor alle websites volledig, wat de aanbevolen instelling is voor maximale beveiliging en het voorkomen van ongeautoriseerde toegang tot USB-apparaten. Waarde 3 vraagt de gebruiker elke keer om toestemming wanneer een website USB-toegang probeert te verkrijgen, wat te permissief is en gebruikers belast met herhaalde prompts die kunnen leiden tot toestemmingsmoeheid, waarbij gebruikers automatisch op toestemming klikken zonder de gevolgen te overwegen. Het is belangrijk om te begrijpen dat WebUSB standaard geblokkeerd is in de meeste moderne browsers, inclusief Microsoft Edge. Deze beleidsinstelling zorgt er echter voor dat de blokkering expliciet wordt geconfigureerd en afgedwongen via centraal beheer, waardoor lokale wijzigingen door gebruikers of andere processen worden voorkomen. Dit biedt organisaties de garantie dat de beveiligingsinstelling consistent wordt toegepast op alle systemen en niet kan worden omzeild zonder beheerdersrechten. Bovendien maakt deze expliciete configuratie het mogelijk om de instelling te monitoren en te auditen, wat belangrijk is voor compliance-doeleinden en beveiligingsverificatie.

Monitoring

Effectieve monitoring van de WebUSB API-blokkering is essentieel om te verzekeren dat de beveiligingscontrol correct functioneert en consistent wordt toegepast op alle systemen binnen de organisatie. Monitoring moet worden uitgevoerd op regelmatige basis en omvat zowel technische verificatie van de configuratie als organisatorische beoordeling van gebruikerservaringen en uitzonderingsverzoeken. Een gestructureerde monitoringaanpak zorgt ervoor dat eventuele configuratiedrift wordt gedetecteerd, dat gebruikersproblemen tijdig worden geïdentificeerd, en dat de effectiviteit van de control kan worden aangetoond tijdens audits en compliance-verificaties.

Gebruik PowerShell-script webusb-api-blocked.ps1 (functie Invoke-Monitoring) – Controleert of WebUSB API correct is geblokkeerd.

De technische monitoring begint met regelmatige verificatie van de registerconfiguratie op alle beheerde systemen. Het registerpad dat moet worden gecontroleerd is HKLM:\SOFTWARE\Policies\Microsoft\Edge, wat het lokale machine-register betreft waar de Microsoft Edge-beleidsinstellingen worden opgeslagen. Binnen dit registerpad moet de waarde DefaultWebUsbGuardSetting worden gecontroleerd, die de configuratie van de WebUSB API-blokkering bevat. De verwachte waarde is 2, opgeslagen als een DWORD-registerwaarde, wat aangeeft dat USB-toegang voor alle websites volledig is geblokkeerd. Elke afwijking van deze waarde moet worden onderzocht, omdat dit kan duiden op configuratiedrift, onbevoegde wijzigingen, of problemen met de beleidsdistributie. Naast de technische verificatie van registerwaarden moet er ook aandacht worden besteed aan gebruikerservaringen en klachten die kunnen wijzen op problemen met de implementatie of onbedoelde gevolgen van de blokkering. Gebruikersklachten over USB-apparaattoegang moeten worden gemonitord en geëvalueerd om te bepalen of deze gerelateerd zijn aan de WebUSB API-blokkering of aan andere beveiligingsmaatregelen. Het is belangrijk om een duidelijk proces te hebben voor het registreren en escaleren van dergelijke klachten, zodat deze snel kunnen worden onderzocht en indien nodig kunnen worden opgelost zonder de beveiliging te compromitteren. Organisaties moeten ook een proces hebben voor het volgen en beoordelen van verzoeken voor WebUSB-toegang, waarbij gebruikers of afdelingen kunnen aanvragen dat specifieke websites of applicaties uitzonderingen krijgen op de blokkering. Deze verzoeken moeten worden beoordeeld op basis van zakelijke noodzaak, beveiligingsrisico's, en beschikbaarheid van alternatieve oplossingen. Elke uitzondering moet worden gedocumenteerd met een duidelijke zakelijke rechtvaardiging, de specifieke websites of applicaties die zijn uitgezonderd, en eventuele aanvullende beveiligingsmaatregelen die zijn geïmplementeerd om de risico's van de uitzondering te mitigeren. De beoordeling van zakelijke rechtvaardigingen voor uitzonderingen moet regelmatig worden uitgevoerd, idealiter op kwartaalbasis of wanneer er significante wijzigingen zijn in de bedrijfsprocessen of technologieën. Tijdens deze beoordelingen moet worden geëvalueerd of de oorspronkelijke rechtvaardiging voor een uitzondering nog steeds geldig is, of er alternatieve oplossingen beschikbaar zijn gekomen die de uitzondering overbodig maken, en of de beveiligingsmaatregelen die zijn geïmplementeerd voor de uitzondering nog steeds adequaat zijn. Uitzonderingen die niet langer nodig zijn moeten worden opgeheven om het aanvalsoppervlak te minimaliseren en de beveiligingspostuur van de organisatie te verbeteren. Monitoring moet worden geïntegreerd in de bredere beveiligingsmonitoring en compliance-processen van de organisatie, zodat de status van de WebUSB API-blokkering kan worden gerapporteerd aan management en auditors. Dit omvat het bijhouden van compliance-percentages, het documenteren van uitzonderingen en hun rechtvaardigingen, en het rapporteren van eventuele beveiligingsincidenten die gerelateerd zijn aan USB-apparaattoegang. Deze informatie is waardevol voor risicobeoordelingen, compliance-rapportages, en het aantonen van due diligence bij beveiligingsaudits.

Compliance en Auditing

De implementatie van de WebUSB API-blokkering draagt bij aan de naleving van verschillende belangrijke beveiligings- en compliance-frameworks die relevant zijn voor Nederlandse overheidsorganisaties en andere publieke sector organisaties. Deze control adresseert specifieke vereisten binnen deze frameworks door het beperken van ongeautoriseerde toegang tot hardware-apparaten via webbrowsers, wat een kritiek aspect is van moderne beveiligingsposturen. Binnen de CIS Microsoft Edge Benchmark wordt deze control geadresseerd onder de Hardware API Security-sectie, die zich richt op het beperken van browser-toegang tot hardware-apparaten zoals USB, Bluetooth, en seriële poorten. De CIS Benchmark is een internationaal erkende standaard voor beveiligingsconfiguratie en wordt veel gebruikt door organisaties die hun beveiligingspostuur willen verbeteren en benchmarken tegen industriebest practices. De implementatie van deze control helpt organisaties om te voldoen aan de CIS-aanbevelingen voor het beveiligen van browser-gebaseerde hardware-toegang. Voor Nederlandse overheidsorganisaties is de Baseline Informatiebeveiliging Overheid, kortweg BIO, van bijzonder belang. Deze control draagt bij aan BIO 12.06, dat zich richt op het beheer van technische kwetsbaarheden. Door het blokkeren van de WebUSB API wordt het aanvalsoppervlak verkleind en worden potentiële kwetsbaarheden geëlimineerd die kunnen ontstaan wanneer kwaadaardige websites toegang krijgen tot USB-apparaten. Daarnaast adresseert deze control BIO 13.01, dat zich richt op netwerkbeveiliging en apparaattoegangsbeheer. Het blokkeren van ongeautoriseerde USB-toegang via browsers is een essentieel onderdeel van effectief apparaattoegangsbeheer, omdat het voorkomt dat externe entiteiten via webbrowsers toegang krijgen tot lokale hardware. De internationale ISO 27001-standaard voor informatiebeveiligingsmanagement bevat verschillende controls die relevant zijn voor deze implementatie. ISO 27001 A.12.6.1 richt zich op het beheer van technische kwetsbaarheden, waarbij organisaties moeten zorgen voor tijdige identificatie en behandeling van beveiligingskwetsbaarheden. Door het blokkeren van de WebUSB API worden potentiële kwetsbaarheden geëlimineerd die kunnen ontstaan wanneer kwaadaardige websites misbruik maken van browser-toegang tot USB-apparaten. ISO 27001 A.11.2.6 richt zich op de beveiliging van apparatuur buiten gebouwen, wat relevant is omdat USB-apparaten vaak worden meegenomen buiten de fysieke beveiligingsperimeter van de organisatie. Door het beperken van browser-toegang tot deze apparaten wordt het risico verkleind dat kwaadaardige websites de beveiliging van mobiele USB-apparaten kunnen compromitteren. De NIS2-richtlijn, die van toepassing is op essentiële en belangrijke entiteiten binnen de Europese Unie, bevat in Artikel 21 specifieke vereisten voor beveiliging tegen ongeautoriseerde apparaattoegang. Deze control draagt bij aan de naleving van deze vereisten door het voorkomen van ongeautoriseerde toegang tot USB-apparaten via webbrowsers. Organisaties die onder de NIS2-richtlijn vallen moeten kunnen aantonen dat zij passende technische en organisatorische maatregelen hebben genomen om hun systemen te beveiligen, en de implementatie van deze control is een concrete maatregel die kan worden gedocumenteerd en geverifieerd tijdens audits. Voor compliance- en auditdoeleinden is het belangrijk dat organisaties de implementatie van deze control kunnen aantonen en verifiëren. Dit omvat het documenteren van de configuratie, het bijhouden van compliance-percentages, en het kunnen rapporteren over de status van de implementatie tijdens audits. De monitoring- en verificatieprocessen die zijn beschreven in de monitoring-sectie zijn essentieel voor het kunnen aantonen van compliance met deze verschillende frameworks. Organisaties moeten ervoor zorgen dat zij over de benodigde documentatie en bewijsstukken beschikken om te kunnen aantonen dat de control correct is geïmplementeerd en wordt gehandhaafd.

Remediatie

Remediatie van de WebUSB API-blokkering verwijst naar het proces van het herstellen of corrigeren van systemen waar de blokkering niet correct is geconfigureerd of waar configuratiedrift heeft plaatsgevonden. Dit proces is essentieel voor het handhaven van een consistente beveiligingspostuur en het verzekeren dat alle systemen binnen de organisatie voldoen aan de beveiligingsvereisten. Remediatie moet worden uitgevoerd wanneer monitoring aangeeft dat systemen niet voldoen aan de verwachte configuratie, of wanneer nieuwe systemen worden toegevoegd aan de omgeving die nog niet zijn geconfigureerd volgens de beveiligingsstandaarden. Het remediatieproces begint met de identificatie van systemen die niet voldoen aan de vereiste configuratie. Dit kan worden gedaan via geautomatiseerde monitoring scripts die regelmatig de registerconfiguratie controleren en rapporteren over systemen waar de DefaultWebUsbGuardSetting-waarde niet correct is ingesteld. Systemen waar de waarde ontbreekt, op een andere waarde staat dan 2, of waar de configuratie op een andere manier afwijkt van de verwachte staat, moeten worden geïdentificeerd voor remediatie. Voor geautomatiseerde remediatie is er een PowerShell-script beschikbaar dat de correcte configuratie automatisch toepast op systemen die niet voldoen aan de vereisten. Dit script controleert de huidige configuratie, past indien nodig de registerwaarde aan naar de correcte instelling, en verifieert dat de wijziging succesvol is toegepast. Het gebruik van geautomatiseerde remediatie zorgt voor consistentie en vermindert de kans op menselijke fouten tijdens het herstelproces.

Gebruik PowerShell-script webusb-api-blocked.ps1 (functie Invoke-Remediation) – Herstelt de WebUSB API-blokkering op systemen waar deze niet correct is geconfigureerd.

Wanneer geautomatiseerde remediatie niet mogelijk is of wanneer handmatige interventie vereist is, moet het remediatieproces worden uitgevoerd door beheerders met de benodigde rechten. Voor systemen die worden beheerd via Microsoft Intune moet het configuratieprofiel worden gecontroleerd en indien nodig worden bijgewerkt of opnieuw toegewezen aan de betreffende systemen. Voor systemen die worden beheerd via groepsbeleidsobjecten moet het GPO worden gecontroleerd en indien nodig worden geforceerd om de configuratie opnieuw toe te passen. Na het uitvoeren van remediatie moet altijd verificatie plaatsvinden om te bevestigen dat de configuratie correct is toegepast. Dit omvat het controleren van de registerwaarde, het verifiëren dat de waarde correct is ingesteld op 2, en het bevestigen dat de configuratie persistent is en niet wordt overschreven door andere processen of instellingen. Verificatie moet worden uitgevoerd binnen een redelijke tijdsperiode na de remediatie, idealiter binnen 24 uur, om te verzekeren dat de remediatie succesvol was en dat er geen terugval heeft plaatsgevonden. Voor systemen waar remediatie herhaaldelijk nodig is of waar configuratiedrift blijft optreden, moet een diepgaandere analyse worden uitgevoerd om de onderliggende oorzaak te identificeren. Dit kan duiden op problemen met beleidsdistributie, conflicterende configuraties, of onbevoegde wijzigingen aan systemen. Dergelijke problemen moeten worden geadresseerd op het niveau van de beheerprocessen en infrastructuur, niet alleen op het niveau van individuele systemen, om te voorkomen dat het probleem zich blijft voordoen. Remediatie moet worden gedocumenteerd als onderdeel van het beveiligingsbeheerproces, inclusief informatie over welke systemen zijn geremediateerd, wanneer de remediatie heeft plaatsgevonden, welke methode is gebruikt, en wat de resultaten waren van de verificatie. Deze documentatie is belangrijk voor compliance-doeleinden, voor het identificeren van patronen in configuratiedrift, en voor het verbeteren van de beheerprocessen om toekomstige problemen te voorkomen. Organisaties moeten een proces hebben voor het bijhouden en rapporteren over remediatie-activiteiten, zodat trends kunnen worden geïdentificeerd en proactieve maatregelen kunnen worden genomen om configuratiedrift te voorkomen.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Edge Security: WebUSB API Blocked .DESCRIPTION CIS - WebUSB API moet blocked (hardware access risk). .NOTES Filename: webusb-api-blocked.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Edge\DefaultWebUsbGuardSetting|Expected: 2 #> #Requires -Version 5.1 #Requires -RunAsAdministrator [CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert) $ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge"; $RegName = "DefaultWebUsbGuardSetting"; $ExpectedValue = 2 function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) } function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "webusb-api-blocked.ps1"; PolicyName = "WebUSB API Blocked"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; if (-not(Test-Path $RegPath)) { $r.IsCompliant = $true; $r.Details += "Default blocked"; return $r }; try { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop; $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "WebUSB API blocked" }else { $r.Details += "WebUSB API toegestaan" } }catch { $r.IsCompliant = $true; $r.Details += "Default" }; return $r } function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "WebUSB API blocked" -ForegroundColor Green } function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r } function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue } try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }

Risico zonder implementatie

Risico zonder implementatie
Medium: Gemiddeld risico op hardware-gebaseerde aanvallen en gegevensexfiltratie via USB-apparaten. Kwaadaardige websites kunnen toegang krijgen tot aangesloten USB-apparaten, wat kan leiden tot compromittering van firmware, gegevensexfiltratie, en BadUSB-achtige aanvallen. Voor de meeste organisaties is WebUSB niet nodig en vormt het een onnodig aanvalsoppervlak.

Management Samenvatting

Blokkeer WebUSB API om te voorkomen dat websites toegang krijgen tot USB-apparaten. WebUSB is zelden nodig en vormt een beveiligingsrisico. Standaard geblokkeerd maar policy dwingt dit af. Implementatie: 30 minuten.