BIO 18.01.01

Indexing Van Versleuteld Items Geblokkeerd

📅 2025-10-30
⏱️ 4 minuten lezen
🟢 Should-Have

💼 Management Samenvatting

Het blokkeren van Windows Search-indexering van versleutelde bestanden voorkomt dat gedecodeerde inhoud in de zoekindex terechtkomt en daarmee de beveiliging van versleutelde gegevens ondermijnt.

Aanbeveling
CONSIDER
Risico zonder
Medium
Risk Score
5/10
Implementatie
0.5u (tech: 0.25u)
Van toepassing op:
Windows 10
Windows 11

Windows Search indexeert standaard de inhoud van bestanden om snelle zoekopdrachten mogelijk te maken. Voor versleutelde bestanden die zijn beveiligd met BitLocker of EFS (Encrypting File System) ontstaat echter een kritiek beveiligingsprobleem: om de inhoud te kunnen indexeren moet het systeem de bestanden eerst decoderen. Deze gedecodeerde inhoudsfragmenten worden vervolgens opgeslagen in de zoekindex, maar deze index zelf is niet versleuteld. Dit betekent dat wanneer een aanvaller toegang krijgt tot de zoekdatabase, hij direct toegang heeft tot de gedecodeerde inhoud van versleutelde bestanden, waardoor de versleuteling effectief wordt omzeild. Voor organisaties met hoge beveiligingseisen, zoals overheidsinstellingen en organisaties die werken met gevoelige persoonsgegevens, is het daarom essentieel om de indexering van versleutelde items te blokkeren. Deze maatregel vormt een belangrijke verdedigingslaag tegen datalekken en onbevoegde toegang tot gevoelige informatie.

PowerShell Modules Vereist
Primary API: Intune/GPO
Connection: N/A
Required Modules:

Implementatie

De instelling AllowIndexingEncryptedStoresOrItems bepaalt of Windows Search versleutelde bestanden mag indexeren. Door deze instelling op waarde 0 te zetten, wordt de indexering van versleutelde content volledig geblokkeerd. Dit voorkomt dat gedecodeerde fragmenten van versleutelde bestanden in de onversleutelde zoekindex worden opgeslagen, waardoor de beveiligingsintegriteit van versleutelde gegevens wordt gewaarborgd.

Implementatie

De implementatie van het blokkeren van indexering van versleutelde bestanden kan worden uitgevoerd via Microsoft Intune of via Groepsbeleidsobjecten (GPO) in een Active Directory-omgeving. Beide methoden bieden een betrouwbare manier om deze beveiligingsinstelling centraal te beheren en te handhaven over alle Windows-apparaten binnen de organisatie.

Voor organisaties die Microsoft Intune gebruiken voor endpoint management, kan deze instelling worden geconfigureerd via een configuratieprofiel. Deze methode biedt centrale beheer en handhaving van beveiligingsinstellingen over alle Windows-apparaten binnen de organisatie, ongeacht of deze apparaten lid zijn van een Active Directory-domein of niet. Navigeer naar Endpoint Security in het Microsoft Endpoint Manager beheercentrum en selecteer Account Protection of Security Policies, afhankelijk van de specifieke configuratie die u wilt gebruiken. Maak een nieuw beleid voor Windows 10 en later, of pas een bestaand beleid aan als u al een configuratieprofiel hebt voor Windows Search-instellingen. Zoek naar de instelling voor Windows Search en configureer de AllowIndexingEncryptedStoresOrItems policy op de waarde 0, wat betekent dat de indexering van versleutelde bestanden is uitgeschakeld. Wijs het beleid toe aan de relevante beveiligingsgroepen, waarbij u rekening houdt met de verschillende rollen en afdelingen binnen uw organisatie. Voor apparaten met zeer gevoelige gegevens, zoals die van de directie of de juridische afdeling, is het aan te raden deze instelling verplicht te stellen en te voorkomen dat gebruikers deze kunnen wijzigen. Dit kan worden bereikt door de instelling te configureren als verplicht in het configuratieprofiel en door lokale beheerrechten te beperken voor gebruikers op deze apparaten.

In een traditionele Active Directory-omgeving kan dezelfde instelling worden geconfigureerd via Groepsbeleid, wat een krachtige methode is voor centrale beheer en handhaving van beveiligingsinstellingen in een domeinomgeving. Open de Group Policy Management Console, wat de centrale beheerconsole is voor het beheren van Groepsbeleidsobjecten in een Active Directory-omgeving. Navigeer naar Computer Configuration, vervolgens naar Policies, Administrative Templates, Windows Components, en ten slotte naar Search. Deze navigatiepad leidt u naar de Windows Search-beleidsinstellingen die kunnen worden geconfigureerd via Groepsbeleid. Zoek de policy Allow indexing of encrypted files en stel deze in op Disabled, wat betekent dat de indexering van versleutelde bestanden is uitgeschakeld. Koppel het Groepsbeleidsobject aan de relevante organisatie-eenheden binnen uw Active Directory-structuur, waarbij u rekening houdt met de verschillende afdelingen, rollen en beveiligingsvereisten binnen uw organisatie. Houd er rekening mee dat Groepsbeleidsobjecten alleen van toepassing zijn op apparaten die lid zijn van het domein en dat de instellingen worden toegepast bij de volgende groepsbeleidsupdate, die standaard elke 90 minuten plaatsvindt. Voor onmiddellijke toepassing kunt u een geforceerde groepsbeleidsupdate uitvoeren met de opdracht gpupdate /force, wat handig is tijdens de initiële implementatie of wanneer u snel een wijziging moet doorvoeren.

Na het implementeren van deze instelling is het belangrijk om gebruikers te informeren over de gevolgen. Versleutelde bestanden zullen niet meer verschijnen in Windows Search-resultaten, wat betekent dat gebruikers deze bestanden niet meer kunnen vinden via de zoekfunctie. Gebruikers moeten alternatieve methoden gebruiken om versleutelde bestanden te lokaliseren, zoals directe navigatie naar de bestandslocatie of het gebruik van bestandsverkenner met bekende paden. Deze beperking is een bewuste afweging tussen gebruiksgemak en beveiliging, waarbij beveiliging prioriteit heeft voor gevoelige gegevens.

Voor een gefaseerde implementatie kunt u beginnen met een pilotgroep van hoogrisico-apparaten of afdelingen die werken met zeer gevoelige gegevens. Deze gefaseerde aanpak heeft verschillende voordelen. Ten eerste kunt u de impact op productiviteit en gebruikerservaring evalueren voordat u de implementatie uitbreidt naar de hele organisatie. Ten tweede kunt u eventuele problemen of uitdagingen identificeren en oplossen voordat u de implementatie uitbreidt. Ten derde kunt u feedback verzamelen van gebruikers en deze gebruiken om de implementatie te verbeteren of aanvullende procedures of trainingen te ontwikkelen. Monitor de impact op productiviteit en gebruikerservaring gedurende een periode van twee tot vier weken, waarbij u let op zaken zoals het aantal vragen of klachten van gebruikers, de tijd die gebruikers nodig hebben om versleutelde bestanden te vinden via alternatieve methoden, en eventuele werkonderbrekingen of productiviteitsverliezen. Verzamel feedback van gebruikers door middel van enquêtes, interviews of focusgroepen, en pas indien nodig aanvullende procedures of trainingen toe om gebruikers te helpen bij het vinden van versleutelde bestanden via alternatieve methoden. Na een succesvolle pilot kan de implementatie worden uitgebreid naar de rest van de organisatie, waarbij u de lessen die u hebt geleerd tijdens de pilot gebruikt om de implementatie te verbeteren. Zorg ervoor dat alle betrokken partijen, waaronder IT-support, security officers en eindgebruikers, op de hoogte zijn van de wijziging en de onderliggende beveiligingsredenen, zodat zij begrijpen waarom deze maatregel belangrijk is en hoe zij ermee kunnen werken.

Monitoring en verificatie

Regelmatige monitoring en verificatie van de AllowIndexingEncryptedStoresOrItems-instelling is essentieel om te waarborgen dat de beveiligingsmaatregel daadwerkelijk actief is op alle doelapparaten. Zonder continue monitoring bestaat het risico dat instellingen onbedoeld worden gewijzigd, dat nieuwe apparaten niet correct worden geconfigureerd, of dat gebruikers met lokale beheerrechten de instelling handmatig aanpassen.

Gebruik PowerShell-script allow-indexing-encrypted-stores-or-items-is-set-to-block.ps1 (functie Invoke-Monitoring) – Het monitoring script controleert de huidige status van de AllowIndexingEncryptedStoresOrItems-instelling op Windows-apparaten en rapporteert of de instelling correct is geconfigureerd..

Het monitoringproces begint met het verifiëren dat het beleid daadwerkelijk is toegepast op de doelapparaten. In een Intune-omgeving kunt u de nalevingsstatus controleren via het Microsoft Endpoint Manager beheercentrum. Navigeer naar Apparaten en vervolgens naar Configuratieprofielen en selecteer het relevante beleid. Bekijk de apparaatstatus en gebruikersstatus om te zien welke apparaten het beleid hebben ontvangen en of er fouten zijn opgetreden tijdens de implementatie. Apparaten die niet voldoen aan het beleid, moeten worden onderzocht om te bepalen waarom het beleid niet correct is toegepast. Deze verificatie is cruciaal omdat het beleid alleen effectief is wanneer het daadwerkelijk wordt toegepast op alle doelapparaten. Zonder regelmatige controle bestaat het risico dat sommige apparaten onbeveiligd blijven, wat een beveiligingslek kan vormen.

Voor een diepgaandere verificatie kunt u het PowerShell-monitoringscript uitvoeren op individuele apparaten. Dit script controleert de daadwerkelijke registerwaarde op het apparaat zelf, wat belangrijk is omdat registerwaarden kunnen worden overschreven door lokale instellingen of andere beleidsregels. Het script controleert de registerwaarde op HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Search en verifieert of AllowIndexingEncryptedStoresOrItems is ingesteld op 0. Het script genereert een rapport met de status van elk gecontroleerd apparaat, inclusief eventuele afwijkingen of waarschuwingen.

Naast technische verificatie is het belangrijk om functionele tests uit te voeren om te bevestigen dat de instelling daadwerkelijk werkt zoals bedoeld. Test of versleutelde bestanden inderdaad niet meer verschijnen in Windows Search-resultaten. Maak een testbestand op een versleutelde schijf of in een versleutelde map, wacht tot de indexering zou hebben plaatsgevonden (normaal gesproken binnen enkele minuten), en voer vervolgens een zoekopdracht uit. Het versleutelde bestand mag niet in de zoekresultaten verschijnen, terwijl onversleutelde bestanden met vergelijkbare namen of inhoud wel moeten worden gevonden.

Voor continue monitoring in een grotere omgeving kunt u geautomatiseerde nalevingsrapportages instellen. Configureer regelmatige scans, bijvoorbeeld wekelijks of maandelijks, die alle apparaten controleren en een rapport genereren met de nalevingsstatus. Stel waarschuwingen in voor apparaten die niet meer voldoen aan het beleid, zodat u direct actie kunt ondernemen. Integreer deze monitoring in uw bestaande security operations center workflows of IT-service management systemen voor een geïntegreerde aanpak van beveiligingsmonitoring. Een security operations center, ofwel SOC, is verantwoordelijk voor continue beveiligingsmonitoring en incident response, terwijl IT-service management systemen helpen bij het beheren van IT-processen en -services. Door de monitoring van deze beveiligingsinstelling te integreren in deze bestaande workflows, zorgt u ervoor dat non-compliance snel wordt gedetecteerd en opgelost, zonder dat er extra handmatige processen nodig zijn.

Bij het detecteren van apparaten die niet voldoen aan het beleid is het belangrijk om de oorzaak grondig te onderzoeken. Mogelijke oorzaken zijn divers en vereisen elk een andere aanpak. Ten eerste kan het beleid niet correct zijn toegepast vanuit het beheersysteem, wat kan wijzen op een configuratiefout of synchronisatieprobleem. Ten tweede kan een gebruiker met lokale beheerrechten de instelling handmatig hebben gewijzigd, wat een beveiligingsrisico vormt en mogelijk wijst op onvoldoende toegangscontroles. Ten derde kan een andere beleidsregel deze instelling overschrijven, wat een conflict in de beleidsconfiguratie betekent. Ten vierde kan het apparaat de beleidsupdate nog niet hebben ontvangen, wat normaal is voor nieuwe apparaten of apparaten die tijdelijk offline zijn geweest. Documenteer alle gevallen van non-compliance en de genomen corrigerende maatregelen voor auditdoeleinden en om trends te identificeren die kunnen wijzen op systematische problemen in de implementatie of handhaving van het beleid. Deze documentatie is essentieel voor het verbeteren van het beveiligingsbeheer en het voorkomen van toekomstige problemen.

Compliance en Auditing

Het blokkeren van indexering van versleutelde bestanden draagt direct bij aan naleving van verschillende beveiligingsstandaarden en compliance-frameworks die relevant zijn voor Nederlandse overheidsorganisaties en organisaties die werken met gevoelige persoonsgegevens. Deze maatregel vormt een belangrijke controle binnen een breder gegevensbeschermingsprogramma en helpt organisaties te voldoen aan zowel nationale als internationale beveiligings- en privacyvereisten.

Binnen het CIS (Center for Internet Security) Controls framework valt deze instelling onder de categorie gegevensbescherming. CIS Control 3.3 richt zich specifiek op het beveiligen van gegevens in rust, waarbij het voorkomen van onbevoegde toegang tot versleutelde gegevens een kernvereiste is. Door te voorkomen dat gedecodeerde fragmenten van versleutelde bestanden worden opgeslagen in een onversleutelde zoekindex, versterkt deze instelling de effectiviteit van versleutelingsmaatregelen en voorkomt het dat versleuteling wordt omzeild door toegang tot de zoekdatabase. Dit draagt bij aan de algehele beveiligingspostuur van de organisatie en helpt bij het voldoen aan CIS-benchmarkvereisten voor Windows-apparaten.

Voor Nederlandse overheidsorganisaties is de Baseline Informatiebeveiliging Overheid (BIO) het primaire beveiligingskader. BIO-norm 18.01 richt zich op versleuteling en vereist dat organisaties passende versleutelingsmaatregelen implementeren om gevoelige gegevens te beschermen. Het blokkeren van indexering van versleutelde items is een essentiële aanvullende controle die ervoor zorgt dat versleuteling daadwerkelijk effectief is. Zonder deze maatregel zou versleuteling theoretisch aanwezig kunnen zijn, maar praktisch worden omzeild door de onversleutelde zoekindex, wat in strijd zou zijn met de geest en intentie van BIO-norm 18.01. Tijdens BIO-audits wordt gecontroleerd of organisaties niet alleen versleuteling implementeren, maar ook aanvullende maatregelen treffen om te voorkomen dat versleuteling wordt omzeild.

In de context van de Algemene Verordening Gegevensbescherming (AVG) draagt deze instelling bij aan de naleving van artikel 32, dat vereist dat organisaties passende technische en organisatorische maatregelen treffen om persoonsgegevens te beveiligen. Het voorkomen van onbevoegde toegang tot gedecodeerde fragmenten van versleutelde persoonsgegevens is een concrete technische maatregel die de beveiliging van persoonsgegevens versterkt. Bovendien helpt deze maatregel bij het voldoen aan het principe van privacy by design, waarbij beveiligingsmaatregelen zijn ingebouwd in de systemen en processen vanaf het begin, in plaats van als een latere toevoeging.

Voor auditdoeleinden is het belangrijk om te documenteren dat deze instelling actief is en regelmatig wordt geverifieerd. Auditoren zullen willen zien: bewijs dat het beleid is geïmplementeerd op alle relevante apparaten, resultaten van regelmatige compliance-controles, documentatie van eventuele non-compliance gevallen en de genomen corrigerende maatregelen, en bewijs dat gebruikers zijn geïnformeerd over de gevolgen van deze instelling. Zorg ervoor dat alle monitoringrapporten en compliance-verificaties worden bewaard voor de vereiste bewaarperiode, die doorgaans minimaal drie jaar is voor beveiligings- en compliance-documentatie.

Naast formele compliance-frameworks draagt deze instelling ook bij aan de naleving van sectorale normen en best practices. Organisaties in de zorgsector moeten voldoen aan de NEN 7510 norm voor informatiebeveiliging in de zorg, waarbij versleuteling en gegevensbescherming centrale thema's zijn. Financiële instellingen moeten voldoen aan DNB-richtlijnen en toezichtvereisten, waarbij gegevensbescherming een kritieke component is. Door deze instelling te implementeren, tonen organisaties aan dat zij serieus omgaan met gegevensbescherming en proactief maatregelen treffen om risico's te mitigeren, wat positief wordt beoordeeld tijdens audits en compliance-controles.

Remediatie

Wanneer monitoring of nalevingscontroles aangeven dat de AllowIndexingEncryptedStoresOrItems-instelling niet correct is geconfigureerd op een apparaat, is het belangrijk om snel corrigerende maatregelen te nemen. Het niet naleven van deze instelling vormt een direct beveiligingsrisico, omdat versleutelde bestanden mogelijk worden geïndexeerd en gedecodeerde fragmenten in de onversleutelde zoekindex terechtkomen. Dit betekent dat de versleuteling effectief wordt omzeild, wat in strijd is met de beveiligingsdoelstellingen van de organisatie. Remediatie moet daarom worden uitgevoerd zodra non-compliance wordt gedetecteerd, met prioriteit voor apparaten die toegang hebben tot zeer gevoelige gegevens zoals persoonsgegevens, financiële informatie of vertrouwelijke bedrijfsgegevens. Voor dergelijke apparaten moet remediatie binnen 24 uur worden uitgevoerd, terwijl voor minder kritieke apparaten een termijn van 72 uur acceptabel kan zijn, afhankelijk van het beveiligingsbeleid van de organisatie.

Gebruik PowerShell-script allow-indexing-encrypted-stores-or-items-is-set-to-block.ps1 (functie Invoke-Remediation) – Het remediatiescript past automatisch de AllowIndexingEncryptedStoresOrItems-instelling aan op de waarde 0 (Disabled) om de beveiligingsconfiguratie te herstellen..

Het remediatieproces begint met het identificeren van de oorzaak van de non-compliance. Deze stap is cruciaal omdat alleen het herstellen van de instelling zonder de onderliggende oorzaak te begrijpen, kan leiden tot herhaalde problemen. Mogelijke oorzaken zijn divers en vereisen elk een andere aanpak. Ten eerste kan het beleid niet correct zijn toegepast vanuit Intune of Groepsbeleid, wat kan wijzen op een configuratiefout in het beheersysteem of een synchronisatieprobleem tussen het beheersysteem en het apparaat. Ten tweede kan een gebruiker met lokale beheerrechten de instelling handmatig hebben gewijzigd, wat een beveiligingsrisico vormt en mogelijk wijst op onvoldoende toegangscontroles of onvoldoende bewustwording bij gebruikers. Ten derde kan een andere beleidsregel of script de instelling hebben overschreven, wat een conflict in de beleidsconfiguratie betekent. Ten vierde kan het apparaat de beleidsupdate nog niet hebben ontvangen, wat normaal is voor nieuwe apparaten of apparaten die tijdelijk offline zijn geweest. Onderzoek de registerwaarde en de beleidsgeschiedenis grondig om te bepalen wat de oorzaak is, zodat u niet alleen de symptomen kunt behandelen, maar ook de onderliggende oorzaak kunt aanpakken en toekomstige problemen kunt voorkomen.

Voor apparaten die worden beheerd via Microsoft Intune, kan remediatie worden uitgevoerd door het beleid opnieuw toe te wijzen of door te forceren dat het apparaat de beleidsupdate opnieuw ophaalt. In het Microsoft Endpoint Manager admin center kunt u een sync-actie starten voor het specifieke apparaat, waardoor het apparaat onmiddellijk contact opneemt met Intune en de nieuwste beleidsinstellingen ophaalt. Als het beleid correct is geconfigureerd in Intune maar niet wordt toegepast op het apparaat, kan dit wijzen op een synchronisatieprobleem of een conflict met een andere beleidsregel. Onderzoek dergelijke gevallen grondig om te voorkomen dat het probleem zich herhaalt.

In een Active Directory-omgeving met Groepsbeleid kan remediatie worden uitgevoerd door een geforceerde groepsbeleidsupdate uit te voeren op het apparaat dat niet voldoet aan het beleid. Open een PowerShell-sessie met beheerrechten op het apparaat en voer de opdracht gpupdate /force uit. Deze opdracht dwingt het apparaat om onmiddellijk alle groepsbeleidsinstellingen opnieuw te evalueren en toe te passen, in plaats van te wachten op de volgende automatische update die standaard elke 90 minuten plaatsvindt. Na de update moet u controleren of de instelling correct is toegepast door de registerwaarde opnieuw te verifiëren met behulp van het monitoring script of door handmatig de registerwaarde te controleren. Als het probleem aanhoudt na de geforceerde update, controleer dan of het apparaat correct is gekoppeld aan de juiste organisatie-eenheid binnen Active Directory. Daarnaast moet u controleren of er geen WMI-filters of beveiligingsfilters zijn geconfigureerd die voorkomen dat het beleid wordt toegepast op dit specifieke apparaat of deze groep apparaten. WMI-filters kunnen worden gebruikt om beleidsregels alleen toe te passen op apparaten die aan bepaalde criteria voldoen, terwijl beveiligingsfilters kunnen worden gebruikt om te bepalen welke gebruikers of groepen het beleid ontvangen.

Voor gevallen waarin de instelling handmatig is gewijzigd door een gebruiker met lokale beheerrechten, is het belangrijk om niet alleen de instelling te herstellen, maar ook te onderzoeken waarom de gebruiker deze wijziging heeft gemaakt. Dit onderzoek is essentieel omdat het kan wijzen op verschillende onderliggende problemen. Ten eerste kan er sprake zijn van een gebrek aan bewustzijn over beveiligingsbeleid, waarbij gebruikers niet begrijpen waarom bepaalde instellingen zijn geconfigureerd en deze daarom wijzigen om hun werkzaamheden te vergemakkelijken. Ten tweede kan er sprake zijn van onvoldoende training, waarbij gebruikers niet zijn geïnformeerd over het belang van beveiligingsinstellingen en de gevolgen van het wijzigen ervan. Ten derde kan er sprake zijn van opzettelijke omzeiling van beveiligingsmaatregelen, wat een ernstig beveiligingsrisico vormt en mogelijk wijst op kwaadwillende intenties of onvoldoende toegangscontroles. Herstel de instelling onmiddellijk om het beveiligingsrisico te mitigeren en voer vervolgens een gesprek met de gebruiker om te begrijpen wat de motivatie was voor de wijziging. Overweeg om aanvullende beperkingen in te stellen voor lokale beheerrechten als dit een terugkerend probleem is, of om gebruikers beter te informeren over het belang van beveiligingsinstellingen door middel van trainingen of communicatiecampagnes.

Na het uitvoeren van remediatie is het essentieel om te verifiëren dat de instelling correct is hersteld en dat het beveiligingsrisico daadwerkelijk is gemitigeerd. Deze verificatiestap is cruciaal omdat het alleen herstellen van de instelling zonder verificatie niet garandeert dat het probleem daadwerkelijk is opgelost. Voer het monitoring script opnieuw uit op het apparaat om te bevestigen dat de AllowIndexingEncryptedStoresOrItems-instelling nu correct is ingesteld op 0. Deze technische verificatie controleert de daadwerkelijke registerwaarde op het apparaat, wat belangrijk is omdat registerwaarden kunnen worden overschreven door lokale instellingen of andere beleidsregels. Voer indien mogelijk ook een functionele test uit om te bevestigen dat versleutelde bestanden niet meer worden geïndexeerd. Deze functionele test bevestigt dat de instelling niet alleen technisch correct is geconfigureerd, maar ook daadwerkelijk werkt zoals bedoeld. Documenteer alle remediatie-acties uitgebreid, inclusief de oorzaak van de non-compliance, de genomen corrigerende maatregelen, en de verificatie dat het probleem is opgelost. Deze documentatie is belangrijk voor auditdoeleinden en helpt bij het identificeren van trends of systematische problemen die aanvullende maatregelen vereisen, zoals verbeterde training, strengere toegangscontroles, of aanpassingen aan het beveiligingsbeleid.

Voor apparaten waarop versleutelde bestanden al zijn geïndexeerd voordat de instelling werd geactiveerd, moet u overwegen om de zoekindex te wissen en opnieuw te laten opbouwen. Deze stap is belangrijk omdat het alleen activeren van de instelling voorkomt dat nieuwe versleutelde bestanden worden geïndexeerd, maar bestaande gedecodeerde fragmenten in de index blijven staan totdat de index wordt gewist. Dit zorgt ervoor dat eventuele gedecodeerde fragmenten van versleutelde bestanden worden verwijderd uit de index, waardoor het beveiligingsrisico volledig wordt gemitigeerd. Open de Indexeringsopties in Windows-instellingen, selecteer Geavanceerd, en klik op Opnieuw opbouwen om de index te wissen en opnieuw te laten opbouwen. Houd er rekening mee dat het opnieuw opbouwen van de index enige tijd kan duren, afhankelijk van de grootte van de index en het aantal bestanden op het apparaat. Tijdens dit proces kunnen gebruikers beperkte zoekfunctionaliteit ervaren, omdat de index niet beschikbaar is totdat het opnieuw opbouwen is voltooid. Informeer gebruikers vooraf over deze actie en de verwachte impact op hun werkzaamheden, en plan deze indien mogelijk buiten kantooruren om de impact op de productiviteit te minimaliseren. Voor apparaten met zeer grote indexen kan het opnieuw opbouwen meerdere uren duren, dus zorg ervoor dat gebruikers hiervan op de hoogte zijn en alternatieve methoden hebben om bestanden te vinden tijdens dit proces.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Intune Application Control: Block Indexing Encrypted Stores .DESCRIPTION CIS - Indexing van encrypted items moet blocked zijn. .NOTES Filename: allow-indexing-encrypted-stores-or-items-is-set-to-block.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Windows\Windows Search\AllowIndexingEncryptedStoresOrItems|Expected: 0 #> #Requires -Version 5.1 #Requires -RunAsAdministrator [CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert) $ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\Windows Search"; $RegName = "AllowIndexingEncryptedStoresOrItems"; $ExpectedValue = 0 function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) } function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "allow-indexing-encrypted-stores.ps1"; PolicyName = "Block Encrypted Indexing"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue } try { if (Test-Path $RegPath) { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue; if ($v) { $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Encrypted indexing blocked" }else { $r.Details += "Encrypted indexing allowed" } }else { $r.IsCompliant = $true; $r.Details += "Default: blocked" } }else { $r.IsCompliant = $true; $r.Details += "Default config" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r } function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Encrypted indexing blocked" -ForegroundColor Green } function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r } function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue } try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }

Risico zonder implementatie

Risico zonder implementatie
Medium: Gemiddeld risico - versleutelde inhoud kan terechtkomen in onversleutelde zoekindex, waardoor versleuteling effectief wordt omzeild.

Management Samenvatting

Blokkeer indexering van versleutelde bestanden om te voorkomen dat gedecodeerde fragmenten in de onversleutelde zoekindex worden opgeslagen. Implementatietijd: 15-30 minuten.