Implementatie

Applicatie Hardening: Beveiligen van Gebruikersapplicaties Tegen Exploitatie

📊 Operationeel 👥 Security‑engineers, werkplekbeheerders, IT‑operations ⏱️ 26 min lezen
! Employee Phishing Awareness 87% Password Hygiene 92% Device Security 74% Overall Security Awareness 84% - Good
Executive Summary

Applications providing rich functionality inevitably introduce security risks. Features enabling legitimate business use can be abused for malicious purposes. Web browser plugins enabling interactive content can be exploited for code execution. PDF JavaScript enabling dynamic forms can execute malicious scripts. Office document macros enabling automation deliver malware. Application hardening principle: disable features posing security risks that organization doesn't require for legitimate business. This reduces attack surface - fewer features means fewer potential vulnerabilities and exploitation vectors.

Essentieel Acht #4 focuses specifically on user applications - software end users interact with daily. Web browsers (Chrome, Edge, Firefox) because browsing internet exposes users to malicious websites. PDF readers (Adobe Acrobat, alternative readers) because PDF documents are common attack vector. Office applications already partially addressed via macro security (#3) but additional hardening beyond macros. Email clients (Outlook) handling untrusted email content.

Configuration-based hardening leverages built-in security settings in applications. Modern applications include security-focused configuration options designed for enterprise environments: browsers can block dangerous plugins, PDFs can disable JavaScript, Office can restrict add-ins. These settings typically disabled by default favoring user convenience and functionality. Enterprise hardening enables these protective settings via centralized policy management (Group Policy for domain-joined Windows systems, Intune for cloud-managed devices, or application-specific management for other platforms).

For Nederlandse overheid, application hardening provides layered defense. Even if user clicks malicious link (phishing bypassed), hardened browser may prevent drive-by download exploitation. Even if user opens weaponized PDF (social engineering successful), disabled JavaScript prevents exploit execution. This defense-in-depth approach acknowledges that no single control is perfect - layering hardening with antivirus, application control, en user training provides comprehensive protection.

Webbrowser-hardening in de Nederlandse overheid

Webbrowsers zijn voor medewerkers in de Nederlandse publieke sector het belangrijkste venster op het internet. Vrijwel iedere taak – van het raadplegen van zaaksystemen en cloudapplicaties tot het openen van e‑mailbijlagen in webmail – loopt via Microsoft Edge, Google Chrome of een andere moderne browser. Tegelijkertijd vormen juist deze applicaties een aantrekkelijk doelwit voor aanvallers: iedere keer dat een gebruiker een website bezoekt, een bijlage downloadt of inlogt op een online dienst, kan kwaadaardige code proberen misbruik te maken van kwetsbaarheden in de browser of in bijbehorende extensies. Webbrowser‑hardening heeft daarom één centrale doelstelling: de functionaliteit van de browser zo in te richten dat gebruikers hun werk goed kunnen doen, maar dat alle overbodige en risicovolle mogelijkheden worden uitgeschakeld.

In een standaardinstallatie zijn browsers vooral geconfigureerd voor gebruiksgemak. Gebruikers mogen zelf extensies installeren, vrijwel alle soorten downloads zijn toegestaan en verbindingen via onbeveiligde HTTP worden vaak nog geaccepteerd. Voor een thuisgebruiker is dat misschien acceptabel, maar voor een gemeentelijke organisatie, ministerie of uitvoeringsinstantie introduceert dit onnodige risico’s. Hardening draait deze logica om: beveiliging staat centraal, en functionaliteit wordt alleen toegestaan als er een aantoonbare zakelijke noodzaak voor is. Concreet betekent dit dat extensies en plug‑ins standaard worden geblokkeerd, dat downloads van uitvoerbare bestanden sterk worden beperkt en dat alleen versleutelde verbindingen via HTTPS zijn toegestaan.

Voor Microsoft Edge en Google Chrome, die in de meeste Windows‑omgevingen dominant zijn, gebeurt deze hardening idealiter centraal via Group Policy of Intune. De security‑ en werkplekbeheerders definiëren beleidsinstellingen die op alle werkplekken worden afgedwongen. Extensies mogen bijvoorbeeld uitsluitend worden geïnstalleerd als ze op een expliciete allowlist van goedgekeurde uitbreidingen staan. Productiviteitshulpmiddelen zonder duidelijke eigenaar, extensies die advertenties injecteren en onbekende password managers worden geweerd, terwijl enkele zorgvuldig beoordeelde uitbreidingen – bijvoorbeeld voor authenticatie of rapportage – juist verplicht worden uitgerold. Dit voorkomt dat individuele medewerkers, vaak uit praktische overwegingen, extensies installeren die ongemerkt data verzamelen of kwetsbaarheden bevatten.

Een tweede belangrijk thema is bescherming tegen kwaadaardige websites en downloads. Door de ingebouwde beveiligingsfuncties van Edge en Chrome maximaal te benutten, krijgt de organisatie een extra verdedigingslinie bovenop netwerk‑ en endpointbeveiliging. Denk aan het inschakelen van geavanceerde bescherming tegen phishing en malware, het blokkeren van bekende gevaarlijke domeinen en het voorkomen dat gebruikers zonder waarschuwing uitvoerbare bestanden, scripts of gecomprimeerde archieven met potentieel schadelijke inhoud kunnen downloaden. In een overheidscontext, waar medewerkers regelmatig documenten uitwisselen met burgers, leveranciers en ketenpartners, beperkt dit de kans dat één ondoordachte klik leidt tot een ransomware‑incident of datalek.

Een derde pijler van browser‑hardening is het afdwingen van versleutelde verbindingen en het strikt controleren van certificaten. Door HTTPS als norm te hanteren en onbeveiligde HTTP‑verbindingen actief te blokkeren, wordt het moeilijker voor aanvallers om verkeer af te luisteren of te manipuleren, bijvoorbeeld op publieke wifi of in onbetrouwbare netwerken bij thuiswerken. Tegelijk hoort hierbij dat gebruikers certificaatfouten niet kunnen negeren. Waar een consument nog wel eens op "toch doorgaan" klikt, moet een medewerker bij de overheid dat niet kunnen doen; afwijkingen in certificaten moeten altijd worden onderzocht door IT, omdat ze kunnen wijzen op misconfiguraties of actieve aanvallen.

Ook vanuit privacy‑ en governance‑perspectief is browser‑hardening relevant. Het beperken van het opslaan van wachtwoorden in de ingebouwde password manager, het uitschakelen van automatische opslag van betaalgegevens en het blokkeren van third‑party cookies verminderen de kans dat gevoelige informatie op ongecontroleerde plekken terechtkomt. Voor organisaties die werken onder de BIO en AVG betekent dit dat de browser niet langer als onzichtbare schaduw‑applicatie fungeert, maar als gecontroleerd onderdeel van de digitale werkplek. Vaak wordt gekozen voor een centraal beheerde wachtwoordmanager of identiteitsoplossing, zodat accounts beter beheerd en ingetrokken kunnen worden.

De praktijk leert dat strengere browserinstellingen soms tot frictie leiden: bepaalde legacy‑webapplicaties verwachten bijvoorbeeld onbeveiligde verbindingen of vereisen verouderde technologieën. Een volwassen hardening‑aanpak voorziet daarom in een gestructureerd uitzonderingsproces. Kritieke applicaties worden vooraf getest in een acceptatieomgeving, samen met applicatie‑eigenaren en functioneel beheerders. Als blijkt dat voor een beperkt aantal interne websites tijdelijk soepelere instellingen nodig zijn, kan dat met gerichte uitzonderingen, bijvoorbeeld via site‑specifieke policies of aparte browserprofielen voor interne toepassingen. Tegelijkertijd wordt actief gewerkt aan het moderniseren van deze applicaties, zodat uitzonderingen stap voor stap kunnen worden afgebouwd.

Voor organisaties die naast Edge en Chrome ook Firefox inzetten, gelden dezelfde principes. Via de enterprise‑beleidsondersteuning van Mozilla kunnen vergelijkbare instellingen worden afgedwongen: gecontroleerd beheer van extensies, strikte downloadbeleid, verplichte HTTPS‑verbindingen en het uitschakelen van risicovolle functies. Aanvullend kan in Firefox via geavanceerde configuratieopties het lekken van interne IP‑adressen via WebRTC worden beperkt en kan het gedrag van referrer‑headers worden aangescherpt om onnodige metadata‑deling met externe partijen te voorkomen.

Tot slot speelt browser‑isolatie een rol bij hoogrisicoscenario’s, zoals onderzoek naar verdachte websites door security‑analisten of toegang tot onbekende externe portals door medewerkers met verhoogde privileges. Door een browser in een virtuele container of in een cloudgebaseerde remote browseromgeving te draaien, wordt eventuele exploitcode geïsoleerd van de primaire werkplek. Voor de medewerker oogt dit als een normale browserervaring, maar de uitvoering van scripts en het verwerken van content vinden plaats in een gecontroleerde omgeving die losstaat van het productienetwerk. In combinatie met de eerder beschreven hardeningmaatregelen ontstaat zo een gelaagde verdediging waarin één menselijke fout niet automatisch leidt tot een groot incident, maar wordt opgevangen door technische en organisatorische beveiligingsmaatregelen.

Conclusie

Application hardening delivers substantial security improvement with relatively minimal implementation effort. Configuration changes requiring no additional software purchases, deployable via existing management infrastructure, protecting against common attack vectors. Organizations implementing comprehensive hardening experience 60-75% reduction in application-based malware compared to default configurations.

Executive Aanbevelingen
  • Implement browser hardening blocking risky plugins and extensions
  • Disable PDF JavaScript eliminating common exploit vector
  • Deploy Attack Surface Reduction rules for defense-in-depth
  • Test thoroughly before deployment preventing business disruption
  • Establish exception handling for legitimate business needs
Applicatie‑hardening browserbeveiliging PDF‑beveiliging Office‑beveiliging aanvalsoppervlak verkleinen