💼 Management Samenvatting
Het blokkeren van gehoste webapplicaties vormt een essentiële beveiligingsmaatregel om ongecontroleerde uitvoering van webcontent te voorkomen en de beveiligingspostuur van Windows-apparaten te versterken. Deze maatregel is van cruciaal belang voor organisaties die streven naar een robuuste beveiligingsarchitectuur waarin alle applicaties worden beheerd via gecontroleerde kanalen en waarbij ongeautoriseerde software-uitvoering wordt voorkomen.
Aanbeveling
IMPLEMENT
Risico zonder
Medium
Risk Score
5/10
Implementatie
0.5u (tech: 0.25u)
Van toepassing op:
✓ Windows 10
✓ Windows 11
✓ Windows 11
Gehoste webapplicaties vertegenwoordigen webcontent die is verpakt als Windows-applicaties, waardoor traditionele applicatiecontrolemechanismen kunnen worden omzeild. Deze technologie stelt gebruikers in staat om webgebaseerde content uit te voeren zonder dat deze door de standaard beveiligingsprocessen van de organisatie is gegaan. De beveiligingsrisico's zijn aanzienlijk omdat gehoste webapplicaties applicatiecontrolebeleid kunnen omzeilen, waardoor ongeverifieerde webcontent kan worden uitgevoerd zonder de gebruikelijke beveiligingscontroles. Voor ondernemingen en overheidsorganisaties is het van cruciaal belang dat applicatiedeployment plaatsvindt via gecontroleerde kanalen zoals Microsoft Intune of System Center Configuration Manager, niet via gehoste webapplicaties die buiten deze beheersprocessen vallen. Het toestaan van gehoste webapplicaties creëert een beveiligingslek omdat deze applicaties niet onderworpen zijn aan dezelfde beveiligingscontroles als traditionele applicaties. Dit kan leiden tot de uitvoering van kwaadaardige code, datalekken of andere beveiligingsincidenten die de organisatie kunnen schaden. Bovendien maken gehoste webapplicaties het moeilijk voor IT-beheerteams om te bewaken welke software wordt uitgevoerd op apparaten. Dit vermindert de beveiligingszichtbaarheid aanzienlijk en bemoeilijkt het detecteren van beveiligingsdreigingen en het adequaat reageren daarop.
PowerShell Modules Vereist
Primary API: Intune/GPO
Connection:
Required Modules:
Connection:
N/ARequired Modules:
Implementatie
Door de registerwaarde EnableWebContentEvaluation in te stellen op 0 worden gehoste webapplicaties volledig geblokkeerd op Windows-apparaten. Deze configuratie voorkomt dat gebruikers webcontent kunnen uitvoeren die is verpakt als Windows-applicatie. Hierdoor wordt de beveiligingscontrole versterkt en kunnen alleen goedgekeurde applicaties via beheerde kanalen worden geïnstalleerd en uitgevoerd. Deze technische implementatie zorgt ervoor dat Windows-apparaten geen gehoste webapplicaties kunnen uitvoeren, ongeacht of gebruikers proberen deze te installeren of uit te voeren. De configuratie werkt op het besturingssysteemniveau, waardoor het niet kan worden omzeild door gebruikers zonder administratorrechten. Dit maakt het een effectieve beveiligingsmaatregel die de beveiligingspostuur van de organisatie helpt verbeteren door ervoor te zorgen dat alleen goedgekeurde en beheerde applicaties kunnen worden uitgevoerd op Windows-apparaten.
Implementatie
De implementatie van het blokkeren van gehoste webapplicaties vereist een zorgvuldige en gestructureerde aanpak die begint met een grondige analyse van de huidige omgeving. Organisaties moeten eerst een uitgebreide inventarisatie uitvoeren om te identificeren welke gehoste webapplicaties momenteel in gebruik zijn binnen hun Windows-omgeving. Deze inventarisatie is essentieel omdat het blokkeren van applicaties zonder volledig inzicht in de impact kan leiden tot verstoring van legitieme bedrijfsprocessen. Organisaties kunnen verschillende methoden gebruiken om deze inventarisatie uit te voeren. Dit omvat geautomatiseerde inventarisatiescripts die door het netwerk worden uitgevoerd, Microsoft Intune-rapportagefunctionaliteiten die automatisch geïnstalleerde applicaties detecteren, of handmatige onderzoeken waarbij IT-beheerteams samenwerken met afdelingshoofden om te identificeren welke applicaties worden gebruikt voor specifieke bedrijfsprocessen. Het is cruciaal om te begrijpen welke bedrijfsprocessen mogelijk afhankelijk zijn van gehoste webapplicaties, zodat alternatieve oplossingen kunnen worden geïdentificeerd en geïmplementeerd voordat de blokkering wordt geactiveerd. Deze inventarisatiefase vereist typisch 2 tot 4 weken, afhankelijk van de grootte van de organisatie en de complexiteit van de applicatielandschap. Tijdens deze fase moeten organisaties ook communiceren met eindgebruikers om te begrijpen hoe zij deze applicaties gebruiken en welke functionaliteiten zij als kritiek beschouwen voor hun dagelijkse werkzaamheden. Deze dialoog met gebruikers is van fundamenteel belang omdat het helpt om verborgen afhankelijkheden te ontdekken die mogelijk niet zichtbaar zijn in technische inventarisaties. Gebruikers kunnen bijvoorbeeld specifieke workflows gebruiken die afhankelijk zijn van gehoste webapplicaties voor taken die op het eerste gezicht niet kritiek lijken, maar wel essentieel zijn voor hun productiviteit. Door actief te communiceren met gebruikers kunnen organisaties deze verborgen afhankelijkheden identificeren en tijdig alternatieve oplossingen ontwikkelen. Dit zorgt ervoor dat de implementatie soepeler verloopt en de gebruikersproductiviteit wordt behouden.
Na de inventarisatiefase kunnen organisaties overgaan tot de technische implementatie van de blokkering. De technische implementatie verloopt via het configureren van een specifieke registerwaarde op Windows-apparaten. Specifiek moet de registerwaarde EnableWebContentEvaluation worden ingesteld op 0 in het registerpad HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System. Deze registerwaarde bepaalt of Windows-apparaten gehoste webapplicaties kunnen uitvoeren, waarbij een waarde van 0 betekent dat deze functionaliteit volledig is uitgeschakeld. Deze configuratie kan worden toegepast via verschillende implementatiemethoden, afhankelijk van de bestaande infrastructuur en beheerprocessen van de organisatie. De meest voorkomende implementatiemethoden zijn Microsoft Intune-beleid voor moderne cloud-gebaseerde beheeromgevingen, Group Policy Objects (GPO) voor organisaties die nog steeds gebruik maken van on-premises Active Directory-infrastructuur, of PowerShell-scripts die centraal worden uitgerold via System Center Configuration Manager (SCCM) of andere centrale beheertools. De keuze voor een specifieke implementatiemethode hangt af van meerdere factoren, waaronder de huidige infrastructuur, de beschikbare beheerresources, en de voorkeuren van de IT-afdeling. Voor organisaties die al gebruik maken van Microsoft Intune als primair beheerplatform, is de aanbevolen aanpak het creëren van een aangepast configuratieprofiel dat specifiek is geconfigureerd voor het blokkeren van gehoste webapplicaties.
Het configuratieprofiel in Microsoft Intune biedt flexibiliteit bij het toewijzen van de beveiligingsmaatregel aan specifieke doelgroepen. Het profiel kan worden toegewezen aan specifieke apparaatgroepen, zoals alle laptops in de verkoopafdeling, of aan gebruikersgroepen, zoals alle medewerkers in de financiële afdeling. Deze granulariteit maakt gefaseerde implementatie mogelijk, waarbij organisaties de beveiligingsmaatregel eerst implementeren op een beperkte groep testapparaten voordat deze wordt uitgerold naar de volledige organisatie. De implementatie begint typisch met een pilotgroep van 10 tot 20 testapparaten die representatief zijn voor de organisatie, waarbij zowel gebruikers uit verschillende afdelingen als verschillende apparaattypen worden betrokken. Tijdens deze pilotfase, die typisch 1 tot 2 weken duurt, moeten organisaties nauwlettend bewaken of er onverwachte problemen optreden, of gebruikers nog steeds toegang hebben tot alle benodigde functionaliteiten, en of de blokkering daadwerkelijk werkt zoals bedoeld. Dit omvat het testen van verschillende scenario's, zoals pogingen om gehoste webapplicaties te installeren, het uitvoeren van bestaande gehoste applicaties, en het verifiëren dat legitieme applicaties via beheerde kanalen nog steeds functioneren. Alleen na succesvolle validatie in de pilotfase moet de implementatie worden uitgebreid naar grotere groepen apparaten, met uiteindelijk volledige organisatie-brede implementatie.
Tijdens de implementatiefase is effectieve communicatie met eindgebruikers essentieel voor het succes van de beveiligingsmaatregel. Gebruikers moeten tijdig worden geïnformeerd over de geplande wijziging, de achterliggende redenen voor de implementatie, en de verwachte impact op hun dagelijkse werkzaamheden. Deze communicatie moet plaatsvinden minimaal 2 weken voordat de blokkering wordt geactiveerd, zodat gebruikers voldoende tijd hebben om zich voor te bereiden en alternatieve oplossingen te verkennen. De communicatiestrategie moet duidelijk uitleggen waarom deze beveiligingsmaatregel wordt geïmplementeerd, bijvoorbeeld door te benadrukken dat het helpt om de organisatie te beschermen tegen cyberdreigingen, dat het zorgt voor consistente applicatiebeveiliging, en dat het bijdraagt aan het naleven van nalevingsvereisten. Gebruikers moeten begrijpen dat deze maatregel bijdraagt aan de algehele beveiliging van de organisatie en hen helpt beschermen tegen potentieel kwaadaardige applicaties. Bovendien moeten organisaties duidelijk communiceren welke alternatieve methoden beschikbaar zijn voor het uitvoeren van legitieme webgebaseerde taken, zoals officiële webapplicaties die via de standaard applicatiedeploymentprocessen kunnen worden uitgerold, of gecontroleerde alternatieven waarvoor organisaties licenties kunnen aanschaffen.
Organisaties moeten ook een duidelijk en toegankelijk proces hebben voor het aanvragen van uitzonderingen, mocht dit nodig zijn voor specifieke bedrijfsprocessen die legitiem afhankelijk zijn van gehoste webapplicaties. Dit uitzonderingsproces moet een gestructureerde aanvraagprocedure omvatten waarbij gebruikers of afdelingshoofden uitleggen waarom een specifieke gehoste webapplicatie essentieel is voor hun werkzaamheden, welke alternatieve oplossingen zijn overwogen, en waarom deze alternatieven niet geschikt zijn. Alle uitzonderingsaanvragen moeten worden beoordeeld door de beveiligingsafdeling in samenwerking met de IT-afdeling, waarbij wordt geëvalueerd of de gevraagde uitzondering gerechtvaardigd is en of er acceptabele alternatieve oplossingen beschikbaar zijn. Goedgekeurde uitzonderingen moeten worden gedocumenteerd met details over de reden voor de uitzondering, de duur van de uitzondering, en eventuele aanvullende beveiligingsmaatregelen die zijn geïmplementeerd om de risico's te mitigeren. Bovendien moeten uitzonderingen regelmatig worden geëvalueerd, bij voorkeur elk kwartaal, om te bepalen of ze nog steeds noodzakelijk zijn of dat er inmiddels geschikte alternatieve oplossingen beschikbaar zijn. Dit voorkomt dat tijdelijke uitzonderingen permanent worden zonder goede rechtvaardiging.
Na de implementatie is het belangrijk om de configuratie te verifiëren op alle doelapparaten om ervoor te zorgen dat de beveiligingsmaatregel correct is toegepast. Deze verificatie kan worden uitgevoerd door middel van verschillende methoden, afhankelijk van de gebruikte implementatiemethode. Voor Microsoft Intune kan nalevingsrapportage worden gebruikt om automatisch te verifiëren welke apparaten voldoen aan de configuratievereisten en welke apparaten aandacht vereisen. Deze rapportage biedt realtime inzicht in de configuratiestatus van alle beheerde apparaten en identificeert automatisch apparaten waar de configuratie ontbreekt of is gewijzigd. Voor organisaties die gebruik maken van Group Policy kunnen Group Policy-resultaten worden gebruikt om te verifiëren dat de configuratie correct is toegepast, terwijl voor PowerShell-script-gebaseerde implementaties verificatiescripts kunnen worden uitgevoerd die controleren of de registerwaarde correct is ingesteld. Organisaties moeten ervoor zorgen dat de registerwaarde EnableWebContentEvaluation correct is ingesteld op 0 op alle beheerde apparaten en dat er geen uitzonderingen zijn die de beveiligingsmaatregel kunnen ondermijnen, behalve die welke expliciet zijn goedgekeurd via het uitzonderingsproces.
De verificatie moet worden uitgevoerd op verschillende momenten na de implementatie, niet alleen direct na de initiële rollout. Organisaties moeten een proces hebben voor het periodiek controleren van de configuratiestatus, bij voorkeur wekelijks gedurende de eerste maand na implementatie en daarna maandelijks, om ervoor te zorgen dat de beveiligingsmaatregel actief blijft op alle beheerde apparaten. Dit helpt om te identificeren of er apparaten zijn waar de configuratie onbedoeld is gewijzigd, bijvoorbeeld door lokale administrators of door malware, of waar de implementatie niet succesvol is geweest. Bovendien is dit proces vooral belangrijk bij nieuwe apparaten die worden toegevoegd aan de omgeving, omdat deze automatisch de juiste configuratie moeten ontvangen voordat ze in productie worden genomen. Organisaties moeten ervoor zorgen dat hun onboarding-proces voor nieuwe apparaten de toepassing van deze beveiligingsconfiguratie omvat, zodat nieuwe apparaten vanaf het moment dat ze worden toegevoegd aan de omgeving beschermd zijn tegen gehoste webapplicaties. Dit vereist vaak de automatisering van configuratie-toepassing tijdens het onboarding-proces, zodat IT-beheerteams niet handmatig hoeven te interveniëren voor elk nieuw apparaat.
Gebruik PowerShell-script app-runtime-block-gehoste-apps.ps1 (functie Invoke-Remediation) – Automatische implementatie van het blokkeren van gehoste webapplicaties via PowerShell-script.
Monitoring
Effectieve bewaking van de blokkering van gehoste webapplicaties vereist een continue en gestructureerde controle op zowel de configuratiestatus als eventuele pogingen tot omzeiling van de beveiligingsmaatregel. Organisaties moeten een uitgebreide bewakingsstrategie implementeren die zowel proactieve als reactieve elementen bevat om ervoor te zorgen dat de beveiligingsmaatregel effectief blijft en dat beveiligingsincidenten tijdig worden gedetecteerd. Proactieve bewaking richt zich op het verifiëren dat de beveiligingsconfiguratie actief blijft op alle beheerde apparaten en dat er geen onbedoelde wijzigingen zijn aangebracht aan de configuratie. Dit omvat regelmatige controles van de registerwaarde, verificatie dat alle nieuwe apparaten automatisch de juiste configuratie ontvangen, en het valideren dat bestaande apparaten nog steeds voldoen aan de configuratievereisten. Reactieve bewaking concentreert zich op het detecteren van pogingen om gehoste webapplicaties te gebruiken, het identificeren van pogingen tot omzeiling van de beveiligingsmaatregel, en het analyseren van eventuele beveiligingsincidenten die verband houden met gehoste webapplicaties. Deze tweeledige aanpak zorgt ervoor dat organisaties niet alleen kunnen reageren op problemen wanneer deze zich voordoen, maar ook preventief kunnen optreden door regelmatig te controleren of de beveiligingsconfiguratie nog steeds correct is toegepast en of er tekenen zijn van mogelijke beveiligingsdreigingen.
De primaire bewakingsmethode bestaat uit het regelmatig controleren van de registerwaarde EnableWebContentEvaluation op alle Windows-apparaten in de omgeving. Deze registerwaarde moet consistent op 0 staan op alle beheerde apparaten om ervoor te zorgen dat gehoste webapplicaties daadwerkelijk worden geblokkeerd en dat gebruikers niet in staat zijn om deze functionaliteit te activeren of te omzeilen. Organisaties kunnen deze bewaking automatiseren door middel van nalevingsbeleid in Microsoft Intune, waarbij apparaten die niet voldoen aan de vereiste configuratie automatisch worden geïdentificeerd en gemeld aan IT-beheerteams. Deze geautomatiseerde bewaking is essentieel voor grote organisaties met honderden of duizenden apparaten, omdat handmatige controle van alle apparaten niet praktisch haalbaar is en te veel tijd en resources zou vereisen. De nalevingsrapportage in Microsoft Intune biedt organisaties een overzichtelijk dashboard waarop ze direct kunnen zien welke apparaten voldoen aan de vereiste configuratie, welke apparaten aandacht vereisen, en wat de nalevingspercentages zijn voor verschillende apparaatgroepen of afdelingen. Dit maakt het mogelijk om snel te reageren op afwijkingen en ervoor te zorgen dat de beveiligingsmaatregel effectief blijft op alle beheerde apparaten. Organisaties moeten deze nalevingsrapportage regelmatig controleren, bij voorkeur dagelijks gedurende de eerste weken na implementatie en daarna wekelijks, om ervoor te zorgen dat eventuele problemen snel worden gedetecteerd en aangepakt.
Naast het monitoren van de configuratiestatus is het belangrijk om te controleren op eventuele pogingen om gehoste webapplicaties te gebruiken of om de beveiligingsmaatregel te omzeilen. Windows-gebeurtenislogboeken bevatten relevante informatie over applicatie-uitvoeringspogingen, systeemconfiguratiewijzigingen, en beveiligingsgebeurtenissen die kunnen wijzen op ongeautoriseerde activiteit of pogingen tot omzeiling. Organisaties moeten deze logs regelmatig analyseren op tekenen van ongeautoriseerde activiteit, waarbij beveiligingsteams specifiek letten op gebeurtenislogvermeldingen die wijzen op pogingen om webcontent uit te voeren die door de blokkering worden tegengehouden, of op registratiewijzigingen die kunnen wijzen op pogingen om de EnableWebContentEvaluation-waarde te wijzigen. Deze loganalyse is belangrijk omdat het niet alleen helpt om te identificeren wanneer gebruikers proberen gehoste webapplicaties te gebruiken, maar ook om patronen te herkennen die kunnen wijzen op mogelijke beveiligingsdreigingen of geautomatiseerde aanvallen. Bijvoorbeeld, als meerdere apparaten binnen een korte tijdspanne pogingen doen om gehoste webapplicaties te gebruiken, kan dit wijzen op een gecoördineerde aanval of een malware-infectie die probeert de beveiligingsmaatregel te omzeilen door gehoste webapplicaties te gebruiken als een manier om kwaadaardige code uit te voeren zonder detectie door traditionele antivirusoplossingen. Organisaties moeten daarom regelmatig hun gebeurtenislogboeken analyseren en alert zijn op ongebruikelijke patronen of activiteiten die kunnen wijzen op beveiligingsincidenten.
Voor grotere organisaties met complexe IT-omgevingen is het sterk aanbevolen om een gecentraliseerde bewakingsoplossing te implementeren die nalevingsinformatie verzamelt van alle beheerde apparaten en deze combineert met andere beveiligingsgegevens voor een holistisch beeld van de beveiligingsstatus. Microsoft Intune biedt ingebouwde rapportagefunctionaliteiten die kunnen worden gebruikt om de nalevingsstatus te visualiseren, trends te identificeren over tijd, en gedetailleerde rapporten te genereren voor verschillende doelgroepen, zoals directie, IT-beheerteams, of nalevingsauditors. Deze rapportagefunctionaliteiten maken het mogelijk om nalevingsstatistieken te bekijken per apparaatgroep, per afdeling, of per geografische locatie, wat helpt om gebieden te identificeren waar aanvullende aandacht of training nodig is. Daarnaast kunnen organisaties gebruik maken van Microsoft Endpoint Manager-rapportage of aangepaste dashboards die zijn geïntegreerd met hun bestaande beveiligingsinformatie- en gebeurtenisbeheersystemen (SIEM), zoals Microsoft Sentinel, Splunk, of IBM QRadar. Deze gecentraliseerde aanpak maakt het mogelijk om nalevingsinformatie van alle apparaten op één centrale locatie te verzamelen en te analyseren, wat het beheer en de bewaking aanzienlijk vereenvoudigt en zorgt voor consistente rapportage en analyse.
De integratie met SIEM-systemen biedt aanvullende voordelen door de nalevingsinformatie te combineren met andere beveiligingsgegevens, zoals antiviruswaarschuwingen, firewall-logs, en identiteitsverificatiegebeurtenissen, om een completer en meer contextueel beeld te krijgen van de beveiligingsstatus van de omgeving. Dit helpt om correlaties te identificeren tussen verschillende beveiligingsgebeurtenissen, bijvoorbeeld wanneer een apparaat met een gewijzigde configuratie ook verdachte netwerkactiviteit vertoont, wat kan wijzen op een beveiligingsincident of gecompromitteerd apparaat. Bovendien kunnen SIEM-systemen geavanceerde analyse uitvoeren om anomalieën te detecteren, zoals ongebruikelijke patronen in configuratiewijzigingen of pogingen om gehoste webapplicaties te gebruiken op momenten of locaties die niet overeenkomen met normale gebruikspatronen. Deze geavanceerde analyse helpt beveiligingsteams om potentiële beveiligingsdreigingen vroegtijdig te detecteren en proactief te reageren voordat er schade kan worden aangericht aan de organisatie of haar gegevens.
Het bewaken van deze beveiligingsmaatregel moet een integraal onderdeel zijn van de reguliere beveiligingsaudits en nalevingscontroles die organisaties uitvoeren. Tijdens deze controles, die bij voorkeur elk kwartaal worden uitgevoerd, moeten organisaties verifiëren dat de configuratie correct is toegepast op alle beheerde apparaten, dat er geen uitzonderingen zijn gemaakt zonder goede rechtvaardiging of documentatie, en dat eventuele wijzigingen aan de configuratie zijn gedocumenteerd en goedgekeurd volgens de standaard wijzigingsbeheerprocessen van de organisatie. Deze regelmatige audits zijn essentieel om ervoor te zorgen dat de beveiligingsmaatregel effectief blijft en dat eventuele problemen of afwijkingen tijdig worden geïdentificeerd en aangepakt voordat ze kunnen leiden tot beveiligingsincidenten of nalevingsproblemen. Tijdens audits moeten organisaties niet alleen controleren of de technische configuratie correct is, maar ook of de processen en procedures rondom de beveiligingsmaatregel nog steeds adequaat zijn en of ze voldoen aan de huidige beveiligings- en nalevingsvereisten. Dit omvat het controleren van documentatie om ervoor te zorgen dat deze bijgewerkt is, het verifiëren van toegangsrechten om te bevestigen dat alleen geautoriseerd personeel wijzigingen kan aanbrengen, en het beoordelen van de effectiviteit van de bewakings- en remediatieprocessen om te identificeren of er verbeteringen nodig zijn.
Door deze regelmatige controles kunnen organisaties ervoor zorgen dat hun beveiligingsmaatregelen actueel blijven, effectief blijven in het beschermen van hun omgeving tegen beveiligingsdreigingen, en blijven voldoen aan nalevingsvereisten zoals AVG, NIS2, of ISO 27001. Bovendien helpen deze audits organisaties om trends te identificeren, zoals een toename van pogingen om gehoste webapplicaties te gebruiken na een specifieke training of communicatie, wat kan wijzen op de noodzaak voor aanvullende gebruikerseducatie of het aanscherpen van beveiligingsbeleid. De belangrijkste indicator voor succesvolle implementatie en effectieve monitoring is de registerwaarde EnableWebContentEvaluation die consistent op 0 staat in het registerpad HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System op alle beheerde apparaten. Deze waarde kan worden geverifieerd via verschillende methoden, waaronder PowerShell-scripts die automatisch worden uitgevoerd, Group Policy-resultaten die beschikbaar zijn via Group Policy Management Console, of Microsoft Intune nalevingsrapportage die realtime inzicht biedt in de configuratiestatus van alle beheerde apparaten. Organisaties moeten ervoor zorgen dat deze verificatie regelmatig plaatsvindt en dat alle afwijkingen worden gedocumenteerd, geanalyseerd, en indien nodig gecorrigeerd via de geëigende remediatieprocessen.
Gebruik PowerShell-script app-runtime-block-hosted-apps.ps1 (functie Invoke-Monitoring) – Automatische verificatie van de configuratiestatus voor het blokkeren van gehoste webapplicaties via PowerShell-script.
Remediatie
Wanneer monitoring aangeeft dat de configuratie voor het blokkeren van gehoste webapplicaties niet correct is toegepast of is gewijzigd, moet onmiddellijk remediatie worden uitgevoerd om de beveiligingsintegriteit te herstellen en te voorkomen dat de afwijking leidt tot beveiligingsincidenten. Remediatieprocessen moeten worden geautomatiseerd waar mogelijk om ervoor te zorgen dat afwijkingen snel worden gecorrigeerd zonder handmatige interventie, wat de beveiligingseffectiviteit aanzienlijk verhoogt en de operationele belasting voor IT-beheerteams vermindert. Geautomatiseerde remediatie is vooral belangrijk in grote organisaties waar handmatige interventie voor elke afwijking niet praktisch haalbaar is en waar de schaal van de omgeving vereist dat problemen snel worden opgelost voordat ze kunnen escaleren tot beveiligingsincidenten. Door automatische remediatie te implementeren, kunnen organisaties ervoor zorgen dat afwijkingen binnen minuten worden gecorrigeerd, in plaats van uren of dagen die nodig zijn voor handmatige interventie, wat het beveiligingsrisico aanzienlijk vermindert en ervoor zorgt dat de beveiligingsconfiguratie consistent blijft op alle beheerde apparaten. Bovendien maakt geautomatiseerde remediatie het mogelijk om continu te reageren op afwijkingen, zonder dat IT-beheerteams permanent beschikbaar hoeven te zijn, wat vooral belangrijk is voor organisaties met internationale operaties of apparaten die buiten normale kantooruren worden gebruikt.
De primaire remediatieactie bestaat uit het opnieuw instellen van de registerwaarde EnableWebContentEvaluation naar 0 op apparaten waar deze waarde is gewijzigd of ontbreekt, waardoor de beveiligingsconfiguratie wordt hersteld naar de vereiste staat. Voor apparaten die worden beheerd via Microsoft Intune kan dit automatisch worden gedaan door middel van nalevingsbeleid met automatische remediatie, waarbij het systeem automatisch detecteert wanneer een apparaat niet voldoet aan de configuratievereisten en onmiddellijk corrigerende acties onderneemt. Wanneer een apparaat wordt gedetecteerd dat niet voldoet aan de vereiste configuratie, kan Intune automatisch een remediatiescript uitvoeren dat de registerwaarde corrigeert zonder dat handmatige interventie nodig is. Deze automatische remediatie werkt door middel van nalevingsbeleid dat is geconfigureerd om specifieke configuratievereisten te controleren en automatisch corrigerende acties uit te voeren wanneer afwijkingen worden gedetecteerd, waarbij het systeem regelmatig de configuratiestatus controleert en onmiddellijk reageert op eventuele wijzigingen. Het remediatiescript dat wordt uitgevoerd, controleert eerst de huidige waarde van de registerinstelling en stelt deze vervolgens in op de vereiste waarde als deze afwijkt, waarna de configuratie opnieuw wordt geverifieerd om te bevestigen dat de correctie succesvol is geweest. Dit proces zorgt ervoor dat afwijkingen snel worden gecorrigeerd zonder dat handmatige interventie nodig is, wat de beveiligingseffectiviteit aanzienlijk verhoogt en ervoor zorgt dat apparaten consistent blijven voldoen aan de beveiligingsvereisten.
In gevallen waar automatische remediatie niet mogelijk is of niet succesvol is geweest, moeten IT-beheerteams handmatige interventie uitvoeren om de configuratie te herstellen en te voorkomen dat de afwijking leidt tot beveiligingsproblemen. Dit proces begint met het identificeren van de oorzaak van de afwijking, wat essentieel is om te bepalen welke aanvullende maatregelen nodig zijn om te voorkomen dat het probleem opnieuw optreedt en om te begrijpen of de afwijking het gevolg is van een technisch probleem, een beveiligingsincident, of een opzettelijke actie. Mogelijke oorzaken kunnen zijn: lokale administratorwijzigingen waarbij gebruikers met administratorrechten de configuratie hebben gewijzigd, conflicterende Group Policy-instellingen die de configuratie overschrijven, of malware die de configuratie heeft gewijzigd als onderdeel van een aanval. Na het identificeren van de oorzaak moet de configuratie worden hersteld naar de vereiste staat en moeten aanvullende maatregelen worden genomen om te voorkomen dat de afwijking opnieuw optreedt, waarbij organisaties moeten overwegen om aanvullende beveiligingscontroles te implementeren of bestaande processen aan te passen. Bijvoorbeeld, als de afwijking is veroorzaakt door een lokale administrator die de configuratie heeft gewijzigd, moeten organisaties overwegen om de lokale administratorrechten te beperken, aanvullende monitoring te implementeren op apparaten waar dit probleem zich voordoet, of gebruikers te trainen over het belang van beveiligingsconfiguraties. Als de afwijking is veroorzaakt door malware, moeten organisaties een volledige beveiligingsscan uitvoeren om te controleren of er andere beveiligingsproblemen zijn, ervoor zorgen dat de malware volledig is verwijderd, en onderzoeken hoe de malware de configuratie heeft kunnen wijzigen om toekomstige incidenten te voorkomen.
Voor apparaten waar de configuratie herhaaldelijk wordt gewijzigd, moeten organisaties een diepgaandere analyse uitvoeren om de onderliggende oorzaak te identificeren en passende maatregelen te nemen om het probleem permanent op te lossen. Herhaaldelijke afwijkingen kunnen verschillende oorzaken hebben, waaronder opzettelijke omzeiling door gebruikers die proberen beveiligingsmaatregelen te omzeilen, onvoldoende beveiligingscontroles die het mogelijk maken om configuraties te wijzigen, of technische problemen met de configuratie-implementatie die ervoor zorgen dat wijzigingen niet persistent zijn. Dit kan wijzen op een poging tot opzettelijke omzeiling van beveiligingsmaatregelen, wat mogelijk een disciplinaire actie vereist in overeenstemming met het beveiligingsbeleid van de organisatie, of op een fundamenteel probleem met de beveiligingsarchitectuur dat moet worden aangepakt. Organisaties moeten daarom een systematische aanpak volgen om de oorzaak te identificeren en passende maatregelen te nemen, waarbij ze moeten overwegen om aanvullende beveiligingscontroles te implementeren, zoals het beperken van lokale administratorrechten, het implementeren van aanvullende monitoring op specifieke apparaten, of het toepassen van strengere beveiligingsbeleidsregels op specifieke apparaten of gebruikers. In sommige gevallen kan het nodig zijn om disciplinaire maatregelen te nemen tegen gebruikers die opzettelijk proberen beveiligingsmaatregelen te omzeilen, vooral als dit herhaaldelijk gebeurt of als het een beveiligingsrisico vormt voor de organisatie, waarbij organisaties moeten werken met HR-afdelingen om passende acties te ondernemen in overeenstemming met het arbeidsrecht en het beveiligingsbeleid.
Remediatieprocessen moeten worden gedocumenteerd en geaudit om ervoor te zorgen dat organisaties kunnen leren van incidenten, trends kunnen identificeren, en hun beveiligingsprocessen continu kunnen verbeteren. Elke remediatieactie moet worden vastgelegd met uitgebreide informatie over wanneer de afwijking is gedetecteerd, welke acties zijn ondernomen om deze te corrigeren, wat de oorzaak was, en welke maatregelen zijn genomen om te voorkomen dat het probleem opnieuw optreedt. Deze documentatie is essentieel voor nalevingsdoeleinden, omdat auditors willen zien dat organisaties effectieve processen hebben voor het detecteren en corrigeren van beveiligingsafwijkingen, en helpt organisaties om trends te identificeren en hun beveiligingsprocessen continu te verbeteren. Bovendien moet na elke remediatieactie worden geverifieerd dat de configuratie correct is hersteld en dat er geen verdere afwijkingen zijn, waarbij organisaties moeten controleren of de remediatie succesvol is geweest en of er aanvullende maatregelen nodig zijn. Goede documentatie maakt het mogelijk om patronen te herkennen in afwijkingen en om te identificeren welke apparaten of gebruikers vaker problemen hebben, wat kan helpen om proactieve maatregelen te nemen om toekomstige problemen te voorkomen en om gerichte training of aanvullende beveiligingscontroles te implementeren waar nodig. Organisaties moeten daarom een gestructureerd proces hebben voor het documenteren van alle remediatieacties, inclusief de details van de afwijking, de genomen corrigerende acties, de verificatie dat de remediatie succesvol is geweest, en eventuele follow-up acties die nodig zijn om te voorkomen dat het probleem opnieuw optreedt.
Gebruik PowerShell-script app-runtime-block-hosted-apps.ps1 (functie Invoke-Remediation) – Automatische remediatie van afwijkingen in de configuratie voor het blokkeren van gehoste webapplicaties.
Compliance & Frameworks
- BIO: 05.01.01 - Informatiebeveiligingscontroles
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Intune Application Control: Block Hosted Web Apps
.DESCRIPTION
CIS - Hosted web apps moeten blocked zijn.
.NOTES
Filename: app-runtime-block-hosted-apps.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\AppHost\EnableWebContentEvaluation|Expected: 0
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\AppHost"; $RegName = "EnableWebContentEvaluation"; $ExpectedValue = 0
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance {
$r = [PSCustomObject]@{ScriptName = "app-runtime-block-hosted-apps.ps1"; PolicyName = "Block Hosted Apps"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (Test-Path $RegPath) { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue; if ($v) { $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Hosted apps blocked" }else { $r.Details += "Hosted apps allowed" } }else { $r.IsCompliant = $true; $r.Details += "Default" } }else { $r.IsCompliant = $true; $r.Details += "Default" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r
}
function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Hosted apps blocked" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
Medium: Gemiddeld risico - ongecontroleerde uitvoering van webcontent die applicatiecontrolebeleid kan omzeilen en beveiligingsrisico's introduceert.
Management Samenvatting
Blokkeer gehoste web applicaties. Implementatie: 15-30 min.
- Implementatietijd: 0.5 uur
- FTE required: 0.005 FTE