BIO 11.02.01 ISO A.8.8

Veilige Launch (System Guard) Ingeschakeld

📅 2025-10-30
⏱️ 6 minuten lezen
🟢 Should-Have

💼 Management Samenvatting

Veilige Launch (System Guard Veilige Launch) gebruikt hardware-gebaseerde bootintegriteit om firmware rootkits en bootkit malware te voorkomen.

Aanbeveling
OVERWEGEN
Risico zonder
Low
Risk Score
3/10
Implementatie
8u (tech: 4u)
Van toepassing op:
Windows 10
Windows 11

Boot-level malware zoals bootkits en rootkits blijven bestaan na herinstallaties van het besturingssysteem en zijn extreem moeilijk te detecteren. Deze geavanceerde bedreigingen opereren op het laagste niveau van het systeem, voordat het besturingssysteem volledig is opgestart, waardoor traditionele beveiligingsoplossingen ze niet kunnen detecteren. Veilige Launch biedt een fundamentele bescherming tegen deze aanvallen door gebruik te maken van hardware-verificatie. Het systeem verifieert de integriteit van de UEFI firmware door middel van de CPU en TPM voordat de bootprocedure wordt gestart. Dit voorkomt dat malware kan blijven bestaan op firmware niveau, zelfs na volledige systeemreinstallaties. Daarnaast biedt System Guard runtime attestation continue verificatie dat de bootintegriteit behouden blijft tijdens de werking van het systeem. BELANGRIJKE HARDWARE VEREISTEN: Een moderne CPU met Dynamic Root of Trust voor Measurement (DRTM) ondersteuning zoals Intel TXT of AMD Memory Guard, TPM 2.0, UEFI firmware (geen legacy BIOS), en Virtualization-based Security (VBS) ondersteuning. Veilige Launch is een geavanceerde functie die alleen wordt ondersteund door de nieuwste hardware. Voor organisaties met hoge beveiligingseisen zoals overheden, financiële instellingen en organisaties die werken met geclassificeerde data, is Veilige Launch een essentiële verdediging tegen geavanceerde boot-level aanvallen.

PowerShell Modules Vereist
Primary API: Intune / groep beleid
Connection: Local
Required Modules:

Implementatie

Veilige Launch wordt ingeschakeld via de registerwaarde: HKLM:\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\SystemGuard\Enabled ingesteld op 1. VEREIST: Hardware ondersteuning, UEFI firmware, TPM 2.0 en VBS moeten allemaal actief zijn. Controleer de status via msinfo32 → System Summary → Veilige Launch State moet 'Running' zijn.

Vereisten

De implementatie van Veilige Launch vereist specifieke hardware- en softwarecomponenten die samenwerken om boot-level beveiliging te bieden. Deze vereisten zijn kritisch omdat Veilige Launch afhankelijk is van hardware-ondersteuning die niet kan worden geëmuleerd of geconfigureerd via software alleen. Organisaties moeten eerst een grondige inventarisatie uitvoeren van hun hardwarepark voordat zij overgaan tot implementatie. De meest kritische vereiste is een moderne CPU met Dynamic Root of Trust voor Measurement (DRTM) ondersteuning. Dit omvat Intel-processors met Intel Trusted Execution Technology (TXT) of AMD-processors met AMD Memory Guard functionaliteit. Deze technologieën maken het mogelijk om een vertrouwde omgeving te creëren vanaf het moment dat de processor wordt ingeschakeld, voordat eventuele kwaadaardige code kan worden uitgevoerd. Zonder deze CPU-functionaliteit kan Veilige Launch niet worden geactiveerd, ongeacht andere configuraties. Een Trusted Platform Module (TPM) versie 2.0 is essentieel voor het opslaan van cryptografische sleutels en het uitvoeren van metingen tijdens het bootproces. De TPM fungeert als een hardwarematige root of trust die cryptografisch bewijs levert van de integriteit van het bootproces. Organisaties moeten verifiëren dat TPM 2.0 niet alleen aanwezig is, maar ook correct is ingeschakeld in de UEFI-instellingen en dat de TPM-status actief is in Windows. UEFI firmware is een absolute vereiste, omdat legacy BIOS-systemen de benodigde functionaliteit niet ondersteunen. UEFI biedt de Secure Boot functionaliteit die nodig is voor het verifiëren van bootloaders en drivers voordat ze worden uitgevoerd. Organisaties met oudere systemen die nog legacy BIOS gebruiken, moeten deze systemen upgraden of uitsluiten van Veilige Launch implementatie. Secure Boot moet actief zijn ingeschakeld in de UEFI-instellingen. Deze functie verifieert de digitale handtekeningen van alle bootcomponenten en voorkomt dat onbevoegde of gemanipuleerde code wordt uitgevoerd tijdens het opstartproces. Secure Boot werkt samen met Veilige Launch om een gelaagde beveiligingsbenadering te bieden. Virtualization-based Security (VBS) moet actief zijn, omdat Veilige Launch gebruik maakt van virtualisatietechnologie om een geïsoleerde, beveiligde omgeving te creëren. VBS vereist op zijn beurt dat hardware-virtualisatie is ingeschakeld in de BIOS/UEFI-instellingen en dat Hyper-V functionaliteit beschikbaar is, zelfs als Hyper-V zelf niet als hypervisor wordt gebruikt. Het besturingssysteem moet Windows 10 versie 1903 of hoger zijn, of Windows 11. Eerdere versies van Windows 10 ondersteunen Veilige Launch niet. Organisaties moeten ervoor zorgen dat alle doelapparaten minimaal deze versies draaien voordat zij overgaan tot implementatie. Voordat organisaties beginnen met de implementatie, moeten zij een hardwarecompatibiliteitscontrole uitvoeren. Dit kan worden gedaan door het uitvoeren van msinfo32 op elk apparaat en te verifiëren dat 'Veilige Launch Supported' de waarde 'Yes' heeft. Apparaten die deze ondersteuning niet hebben, kunnen Veilige Launch niet gebruiken en moeten worden uitgesloten of geüpgraded. Organisaties kunnen ook gebruik maken van PowerShell-scripts of Intune-rapportage om een geautomatiseerde inventarisatie uit te voeren van alle apparaten en hun Veilige Launch ondersteuningsstatus.

Implementatie

Gebruik PowerShell-script secure-launch-enabled.ps1 (functie Invoke-Remediation) – Schakel Veilige Launch in (HARDWARE AFHANKELIJK - kan falen op niet-ondersteunde apparaten).

De implementatie van Veilige Launch vereist een zorgvuldige, gefaseerde aanpak waarbij hardwarecompatibiliteit eerst wordt geverifieerd voordat configuratiewijzigingen worden doorgevoerd. Omdat Veilige Launch afhankelijk is van specifieke hardwarefunctionaliteit, kan de implementatie mislukken op apparaten die niet over de benodigde ondersteuning beschikken. Organisaties moeten daarom beginnen met een uitgebreide pre-check fase waarin alle doelapparaten worden geïnventariseerd en geëvalueerd. De eerste stap in het implementatieproces is het uitvoeren van een hardwarecompatibiliteitscontrole op elk doelapparaat. Dit wordt gedaan door msinfo32 uit te voeren en te navigeren naar System Summary, waar de waarde 'Veilige Launch Supported' moet worden gecontroleerd. Deze waarde moet 'Yes' zijn om door te kunnen gaan met de implementatie. Apparaten die 'No' of 'Not Supported' tonen, kunnen Veilige Launch niet gebruiken en moeten worden uitgesloten van deze configuratie. Organisaties kunnen deze controle automatiseren met behulp van PowerShell-scripts die de msinfo32 output parsen of door gebruik te maken van WMI-query's die dezelfde informatie ophalen. Voor organisaties die Microsoft Intune gebruiken voor device management, is de aanbevolen methode om Veilige Launch in te schakelen via het Intune-beheerportaal. Navigeer naar Endpoint Security → Aanvalsoppervlakreductie → System Guard, waar de Veilige Launch-instelling kan worden geconfigureerd. Deze methode biedt centrale beheerbaarheid en maakt het mogelijk om de configuratie toe te passen op specifieke groepen apparaten, waardoor organisaties kunnen beginnen met een pilotgroep voordat zij de configuratie uitrollen naar het volledige apparaatpark. Als alternatief voor Intune-configuratie, of voor organisaties die lokale groepsbeleid gebruiken, kan Veilige Launch worden ingeschakeld via een registerwaarde. De registerwaarde HKLM:\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\SystemGuard\Enabled moet worden ingesteld op 1. Het is belangrijk om te benadrukken dat na het instellen van deze registerwaarde een herstart van het systeem absoluut vereist is. Veilige Launch wordt alleen geactiveerd tijdens het bootproces, en zonder herstart zal de configuratie niet van kracht worden. Organisaties moeten gebruikers informeren over de vereiste herstart en deze plannen tijdens onderhoudsvensters wanneer mogelijk. Na de herstart moet de status van Veilige Launch worden geverifieerd om te bevestigen dat de implementatie succesvol is. Dit wordt opnieuw gedaan via msinfo32 → System Summary, waar 'Veilige Launch State' de waarde 'Running' moet hebben. Als de status 'Not Running' of 'Not Supported' is, moet de organisatie onderzoeken wat de oorzaak is. Mogelijke oorzaken zijn hardware die niet volledig compatibel is, ontbrekende UEFI-instellingen, of conflicterende beveiligingsconfiguraties. Voor apparaten die 'Not Supported' blijven tonen na implementatiepogingen, hebben organisaties twee opties. De eerste optie is om een hardware-upgrade te plannen voor deze apparaten, wat met name relevant is voor organisaties met hoge beveiligingseisen waar Veilige Launch een kritieke beveiligingscontrole is. De tweede optie is om deze controle over te slaan voor specifieke apparaten die niet kunnen worden geüpgraded, bijvoorbeeld vanwege budgettaire beperkingen of omdat de apparaten binnenkort worden vervangen. In dergelijke gevallen moet de organisatie documenteren waarom bepaalde apparaten zijn uitgesloten en welke alternatieve beveiligingsmaatregelen zijn geïmplementeerd om het risico te mitigeren.

Monitoring

Gebruik PowerShell-script secure-launch-enabled.ps1 (functie Invoke-Monitoring) – Controleren van Veilige Launch status.

Effectieve monitoring van Veilige Launch is essentieel om te verzekeren dat de beveiligingscontrole actief blijft en om tijdig te kunnen reageren op eventuele problemen of configuratiewijzigingen. Organisaties moeten een uitgebreide monitoringstrategie implementeren die zowel de hardwarecompatibiliteit als de operationele status van Veilige Launch volgt. Een kritiek onderdeel van de monitoring is het bijhouden van een hardware-inventaris die aangeeft welk percentage van de apparaten Veilige Launch ondersteuning heeft. Deze informatie is waardevol voor capaciteitsplanning en helpt organisaties te begrijpen hoeveel van hun apparaatpark kan profiteren van deze beveiligingsfunctie. Organisaties moeten regelmatig, bijvoorbeeld maandelijks of na grote hardware-aankopen, hun apparaatpark opnieuw inventariseren om te zien of nieuwe apparaten zijn toegevoegd die Veilige Launch ondersteunen. Deze inventarisatie kan worden geautomatiseerd met behulp van PowerShell-scripts die WMI of msinfo32 gebruiken om de hardwarecompatibiliteit te controleren, of via Intune-rapportage die deze informatie centraal verzamelt. De ingeschakelde status van Veilige Launch moet continu worden gemonitord om te verzekeren dat de configuratie actief blijft. Dit kan worden gedaan door geautomatiseerde queries die de msinfo32 output parsen of door directe registerquery's die de registerwaarde HKLM:\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\SystemGuard\Enabled controleren. Organisaties moeten alert zijn op apparaten waar de status onverwacht verandert van 'Running' naar 'Not Running', wat kan wijzen op configuratiewijzigingen, hardwareproblemen, of beveiligingsincidenten. Automatisering van deze monitoring is aanbevolen, waarbij scripts dagelijks of wekelijks worden uitgevoerd en afwijkingen worden gerapporteerd aan het security operations team. Bootintegriteitsgebeurtenissen in Event Viewer bieden waardevolle informatie over het functioneren van Veilige Launch en kunnen helpen bij het detecteren van potentiële problemen of aanvallen. Organisaties moeten regelmatig de Windows Logs → System log controleren op gebeurtenissen die gerelateerd zijn aan System Guard en bootintegriteit. Specifieke gebeurtenis-ID's die relevant zijn voor Veilige Launch moeten worden geïdentificeerd en gemonitord. Eventuele waarschuwingen of fouten met betrekking tot bootintegriteit moeten onmiddellijk worden onderzocht, omdat deze kunnen wijzen op pogingen tot boot-level aanvallen of problemen met de hardware-ondersteuning. Device Health Attestation (DHA) rapporten bieden een geaggregeerde weergave van de beveiligingsstatus van apparaten, inclusief Veilige Launch status. Deze rapporten zijn met name waardevol voor organisaties die Microsoft Intune of Microsoft Endpoint Manager gebruiken, omdat zij een centraal overzicht bieden van de compliance status van het volledige apparaatpark. Organisaties moeten deze rapporten regelmatig raadplegen, bijvoorbeeld wekelijks of maandelijks, om trends te identificeren en om te verzekeren dat het percentage apparaten met actieve Veilige Launch configuratie stabiel blijft of toeneemt. Dalingen in compliance percentages moeten worden onderzocht om te begrijpen of dit wordt veroorzaakt door nieuwe apparaten zonder ondersteuning, configuratiewijzigingen, of andere factoren. Naast deze technische monitoringaspecten, moeten organisaties ook procesmatige monitoring implementeren. Dit omvat het regelmatig reviewen van de monitoringdata met stakeholders, het bijhouden van trends over tijd, en het documenteren van acties die zijn ondernomen naar aanleiding van monitoringwaarschuwingen. Organisaties moeten ook overwegen om monitoringwaarschuwingen te integreren in hun Security Information and Event Management (SIEM) systeem, zodat Veilige Launch statuswijzigingen kunnen worden gecorreleerd met andere beveiligingsgebeurtenissen en incidenten.

Compliance en Auditing

Veilige Launch draagt bij aan naleving van verschillende beveiligingsstandaarden en frameworks die worden gebruikt door Nederlandse overheidsorganisaties en bedrijven. De implementatie van deze beveiligingscontrole helpt organisaties te voldoen aan zowel internationale als nationale beveiligingsvereisten. De CIS Windows Benchmark, een veelgebruikte beveiligingsstandaard voor Windows-systemen, bevat aanbevelingen voor geavanceerde beveiligingsfuncties die boot-level bescherming omvatten. Veilige Launch valt onder deze categorie van geavanceerde beveiligingsfuncties en helpt organisaties te voldoen aan de aanbevelingen voor hardware-gebaseerde beveiliging. Organisaties die de CIS Windows Benchmark volgen, moeten evalueren of Veilige Launch past binnen hun beveiligingsarchitectuur en of de hardware-vereisten haalbaar zijn voor hun omgeving. Voor organisaties met hoge beveiligingseisen is de implementatie van Veilige Launch vaak een logische stap om te voldoen aan de geavanceerde beveiligingsaanbevelingen. De Baseline Informatiebeveiliging Overheid (BIO) bevat specifieke controles voor hardware-gebaseerde beveiliging, waaronder controle 11.02 die betrekking heeft op het gebruik van hardware security features. Veilige Launch valt onder deze controle omdat het gebruik maakt van hardware-functionaliteit zoals TPM en CPU-gebaseerde metingen om bootintegriteit te verzekeren. Nederlandse overheidsorganisaties die de BIO-normen volgen, moeten overwegen om Veilige Launch te implementeren als onderdeel van hun naleving van deze controle. Het is belangrijk om te documenteren hoe Veilige Launch bijdraagt aan de naleving en om regelmatig te verifiëren dat de configuratie actief blijft. ISO 27001:2022 controle A.8.8 betreft het beheer van technische kwetsbaarheden en vereist dat organisaties maatregelen nemen om kwetsbaarheden te identificeren, te evalueren en te mitigeren. Boot-level kwetsbaarheden vormen een significant risico omdat traditionele beveiligingsoplossingen deze vaak niet kunnen detecteren of voorkomen. Veilige Launch biedt bescherming tegen boot-level aanvallen door hardware-verificatie te gebruiken, wat bijdraagt aan de naleving van deze ISO 27001 controle. Organisaties die gecertificeerd zijn volgens ISO 27001 of die werken naar certificering, moeten documenteren hoe Veilige Launch bijdraagt aan hun kwetsbaarheidsbeheerprogramma en hoe het risico van boot-level aanvallen wordt gemitigeerd. Voor omgevingen met hoge beveiligingseisen, zoals overheden, defensieorganisaties, en organisaties die werken met geclassificeerde data, is Veilige Launch vaak een essentiële beveiligingscontrole. Deze organisaties worden regelmatig geconfronteerd met geavanceerde, persistente bedreigingen (APT's) die gebruik kunnen maken van boot-level malware om langdurige toegang te behouden tot systemen. Veilige Launch biedt een fundamentele verdedigingslaag tegen dergelijke aanvallen door te voorkomen dat malware kan blijven bestaan op firmware niveau. Voor deze organisaties is de implementatie van Veilige Launch niet alleen een aanbeveling, maar vaak een vereiste om te voldoen aan hun beveiligingsbeleid en compliance-vereisten. Tijdens audits moeten organisaties kunnen aantonen dat Veilige Launch correct is geconfigureerd en actief is op relevante apparaten. Dit vereist gedocumenteerde procedures voor implementatie, monitoring, en onderhoud. Auditoren zullen waarschijnlijk vragen naar hardwarecompatibiliteitsrapporten, configuratiebewijs, en monitoringdata die aantonen dat de controle actief blijft. Organisaties moeten ervoor zorgen dat deze documentatie up-to-date is en gemakkelijk toegankelijk is voor auditdoeleinden. Het is ook belangrijk om te documenteren welke apparaten zijn uitgesloten van Veilige Launch implementatie en waarom, zodat auditoren kunnen begrijpen dat deze beslissingen bewust zijn genomen en dat alternatieve beveiligingsmaatregelen zijn geïmplementeerd waar nodig.

Remediatie

Gebruik PowerShell-script secure-launch-enabled.ps1 (functie Invoke-Remediation) – Herstellen van Veilige Launch configuratie.

Wanneer monitoring aangeeft dat Veilige Launch niet actief is op apparaten waar dit wel verwacht wordt, moeten organisaties een gestructureerd remediatieproces volgen om de configuratie te herstellen. Het remediatieproces begint met het identificeren van de oorzaak van het probleem, omdat verschillende oorzaken verschillende oplossingen vereisen. Als een apparaat eerder Veilige Launch ondersteunde maar nu 'Not Running' toont, moet eerst worden gecontroleerd of de registerwaarde nog steeds correct is ingesteld. De registerwaarde HKLM:\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\SystemGuard\Enabled moet de waarde 1 hebben. Als deze waarde is gewijzigd of ontbreekt, moet deze worden hersteld. Mogelijke oorzaken voor wijzigingen in de registerwaarde zijn handmatige configuratiewijzigingen, groepsbeleid conflicten, of malware die probeert beveiligingscontroles uit te schakelen. Na het herstellen van de registerwaarde is een herstart van het systeem vereist om Veilige Launch opnieuw te activeren. Als de registerwaarde correct is maar Veilige Launch nog steeds niet actief is, moet worden gecontroleerd of alle hardware-vereisten nog steeds worden voldaan. Dit omvat verificatie dat TPM 2.0 actief is, dat UEFI firmware correct is geconfigureerd, dat Secure Boot is ingeschakeld, en dat VBS actief is. Hardwareproblemen zoals een defecte TPM of firmwareproblemen kunnen ervoor zorgen dat Veilige Launch niet kan worden geactiveerd, zelfs als de softwareconfiguratie correct is. In dergelijke gevallen kan hardware-onderhoud of firmware-updates nodig zijn. Voor apparaten die via Intune worden beheerd, moet worden gecontroleerd of het Intune-beleid correct is toegepast. Soms kunnen beleidsconflicten of synchronisatieproblemen ervoor zorgen dat configuraties niet correct worden doorgevoerd. Organisaties moeten het Intune-beheerportaal controleren op foutmeldingen of waarschuwingen met betrekking tot de Veilige Launch configuratie en indien nodig het beleid opnieuw toepassen of de apparaatregistratie opnieuw synchroniseren. In gevallen waar remediatie niet mogelijk is omdat de hardware niet langer compatibel is of omdat hardware-ondersteuning is verloren na firmware-updates, moeten organisaties een beslissing nemen over het lot van het apparaat. Voor organisaties met hoge beveiligingseisen kan dit betekenen dat het apparaat moet worden vervangen of geüpgraded. Voor andere organisaties kan het betekenen dat het apparaat wordt uitgesloten van Veilige Launch implementatie, mits deze beslissing wordt gedocumenteerd en alternatieve beveiligingsmaatregelen worden geïmplementeerd. Het is belangrijk dat alle remediatie-acties worden gedocumenteerd, inclusief de geïdentificeerde oorzaak, de genomen stappen, en het resultaat. Deze documentatie helpt bij het identificeren van patronen en het verbeteren van het implementatie- en onderhoudsproces. Organisaties moeten ook overwegen om geautomatiseerde remediatie te implementeren waar mogelijk, bijvoorbeeld door gebruik te maken van Intune-remediatiescripts of door PowerShell-scripts te gebruiken die automatisch de registerwaarde controleren en herstellen wanneer nodig.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Intune Security: Secure Launch Enabled .DESCRIPTION CIS - Secure Launch (System Guard Secure Launch) moet enabled zijn. .NOTES Filename: secure-launch-enabled.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\SystemGuard|Expected: 1 #> #Requires -Version 5.1 #Requires -RunAsAdministrator [CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert) $ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\SystemGuard"; $RegName = "Enabled"; $ExpectedValue = 1 function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) } function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "secure-launch-enabled.ps1"; PolicyName = "Secure Launch"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue; Write-Host "Secure Launch disabled - REBOOT REQUIRED" } try { if (Test-Path $RegPath) { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue; if ($v) { $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Secure Launch enabled" }else { $r.Details += "Secure Launch disabled" } }else { $r.Details += "Niet geconfigureerd" } }else { $r.CurrentValue = "Not Supported"; $r.Details += "Hardware ondersteunt geen Secure Launch" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r } function Invoke-Remediation { Write-Host "Secure Launch vereist hardware ondersteuning (TPM 2.0, UEFI)" -ForegroundColor Yellow; if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Secure Launch enabled - REBOOT REQUIRED" -ForegroundColor Yellow } function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r } function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue; Write-Host "Secure Launch disabled - REBOOT REQUIRED" } try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }

Risico zonder implementatie

Risico zonder implementatie
Low: Laag risico voor de meeste organisaties omdat boot-level aanvallen geavanceerd en zeldzaam zijn. Hoog risico voor overheid, defensie en omgevingen met geclassificeerde data waar dergelijke aanvallen vaker voorkomen. HARDWARE AFHANKELIJK - veel apparaten kunnen Veilige Launch niet ondersteunen omdat dit de nieuwste CPU's vereist. Voor organisaties zonder compatibele hardware: OVERSLAAN of plan hardwarevernieuwing. Voor organisaties met hoge beveiligingseisen die over compatibele hardware beschikken: IMPLEMENTEER.

Management Samenvatting

Schakel Veilige Launch in voor bootintegriteitsbescherming tegen rootkits. Vereist moderne hardware (DRTM CPU, TPM 2.0, UEFI, VBS). Controleer eerst de compatibiliteit. Omgevingen met hoge beveiligingseisen: IMPLEMENTEER. Standaard bedrijven: OVERWEG gebaseerd op hardwarebeschikbaarheid. Implementatie: 4-8 uur (voornamelijk hardware-inventarisatie en compatibiliteitstesten).