💼 Management Samenvatting
Toegangscontrole voor verwijderbare opslagmedia en authenticatie voorkomt gegevenslekken via USB-sticks en externe schijven. Deze beveiligingsmaatregel vormt een essentieel onderdeel van een complete datalekpreventiestrategie voor moderne organisaties.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
12u (tech: 4u)
Van toepassing op:
✓ Windows 10
✓ Windows 11
✓ Windows 11
Verwijderbare opslagmedia zoals USB-sticks vormen de belangrijkste bedreigingsvector voor insider threats binnen organisaties. Een medewerker kan eenvoudig vertrouwelijke bestanden naar een USB-stick kopiëren en het gebouw verlaten, wat resulteert in een ernstig gegevenslek. Deze risico's worden versterkt door de draagbaarheid en anonimiteit van USB-apparaten, waardoor detectie en preventie complex worden. Organisaties moeten daarom strategische keuzes maken tussen verschillende beveiligingsniveaus. De eerste optie is volledige blokkering, waarbij alle USB-opslag wordt geblokkeerd voor zowel lezen als schrijven. Deze aanpak biedt het hoogste beveiligingsniveau maar heeft aanzienlijke gevolgen voor de gebruiksvriendelijkheid. De tweede optie is alleen-lezen toegang, waarbij gebruikers bestanden van USB-apparaten kunnen lezen maar geen bestanden kunnen kopiëren naar deze apparaten. Deze benadering voorkomt gegevenslekken terwijl bestandsoverdracht naar apparaten nog steeds mogelijk blijft. De derde optie is toegang met Data Loss Prevention monitoring, waarbij USB-opslag wordt toegestaan maar wordt gemonitord en geblokkeerd via Endpoint DLP-beleidsregels. Deze aanpak vereist Microsoft Defender voor Endpoint P2 en biedt granulair beheer. De vierde optie is een whitelist-benadering, waarbij alle USB-apparaten worden geblokkeerd behalve goedgekeurde apparaten op basis van hardware-ID. Deze methode balanceert beveiliging en gebruiksvriendelijkheid. Voor omgevingen met geclassificeerde gegevens wordt volledige blokkering aanbevolen, terwijl voor standaard ondernemingen een alleen-lezen of DLP-gemonitorde aanpak geschikter is.
PowerShell Modules Vereist
Primary API: Intune
Connection:
Required Modules:
Connection:
N/ARequired Modules:
Implementatie
Toegangscontrole voor verwijderbare opslagmedia wordt geïmplementeerd via Intune OMA-URI-beleidsregels. De belangrijkste configuratiepaden zijn ./Vendor/MSFT/Policy/Config/RemovableStorageDevices/AllClasses_DenyWrite ingesteld op 1 om schrijftoegang te blokkeren, of /AllClasses_DenyRead ingesteld op 1 om leestoegang te blokkeren. Een alternatieve benadering maakt gebruik van Endpoint DLP-beleidsregels met USB-monitoring voor geavanceerde detectie en preventie. Goedgekeurde apparaten kunnen worden toegevoegd aan een whitelist via DeviceInstallation-beleidsregels, waardoor specifieke hardware-ID's worden toegestaan terwijl alle andere apparaten worden geblokkeerd.
Vereisten
Voordat u begint met de implementatie van toegangscontrole voor verwijderbare opslagmedia, moet u ervoor zorgen dat alle technische en organisatorische vereisten zijn vervuld. De eerste vereiste is een actief Microsoft Intune-abonnement met de juiste licentieconfiguratie. Zonder Intune kunt u geen centraal beheer uitvoeren van apparaatbeveiligingsbeleid op Windows-apparaten. Daarnaast moet u een strategische beslissing nemen over het beveiligingsniveau dat u wilt implementeren. Deze beslissing is cruciaal omdat deze de gebruikerservaring en beveiligingspostuur van uw organisatie direct beïnvloedt. U moet kiezen tussen volledige blokkering, alleen-lezen toegang, of een DLP-gemonitorde aanpak. Elke optie heeft specifieke technische en organisatorische implicaties die zorgvuldig moeten worden overwogen.
Voor organisaties die kiezen voor een whitelist-benadering is het essentieel om hardware-ID's te verzamelen van alle goedgekeurde USB-apparaten. Deze hardware-ID's zijn unieke identificatoren die door Windows worden gebruikt om specifieke apparaten te herkennen. Het verzamelen van deze ID's vereist fysieke toegang tot de apparaten en het gebruik van Windows Device Manager of PowerShell-scripts. Zonder deze hardware-ID's kan de whitelist-functionaliteit niet worden geïmplementeerd. Voor organisaties die kiezen voor de DLP-gemonitorde aanpak zijn aanvullende vereisten van toepassing. U moet beschikken over Microsoft Defender voor Endpoint P2-licenties voor alle betrokken apparaten, omdat Endpoint DLP-functionaliteit alleen beschikbaar is in deze licentieversie. Daarnaast moeten Endpoint DLP-beleidsregels worden geconfigureerd die specifiek zijn afgestemd op USB-monitoring en gegevenslekpreventie.
Een kritieke organisatorische vereiste is effectieve gebruikerscommunicatie. Gebruikers moeten duidelijk worden geïnformeerd over USB-beperkingen en de redenen achter deze beperkingen. Transparante communicatie voorkomt frustratie en verhoogt de acceptatiegraad van beveiligingsmaatregelen. Daarnaast moeten gebruikers worden geïnformeerd over goedgekeurde alternatieven voor bestandsoverdracht, zoals OneDrive voor persoonlijke bestanden en Microsoft Teams voor collaboratieve documenten. Deze alternatieven moeten niet alleen worden genoemd, maar gebruikers moeten ook worden getraind in het effectieve gebruik ervan. Tot slot moeten alternatieve bestandsoverdrachtsmethoden worden geïmplementeerd en beschikbaar zijn voordat USB-beperkingen worden geactiveerd. Dit omvat netwerkshares voor interne bestandsoverdracht en cloudopslagoplossingen zoals OneDrive en SharePoint voor externe toegang en samenwerking. Zonder deze alternatieven kunnen gebruikers hun werk niet effectief uitvoeren, wat leidt tot productiviteitsverlies en mogelijke omzeiling van beveiligingsmaatregelen.
Implementatie
Gebruik PowerShell-script removable-opslag-access-control.ps1 (functie Invoke-Monitoring) – Verifieer removable opslag policy configuration.
De implementatie van toegangscontrole voor verwijderbare opslagmedia begint met het selecteren van de juiste beveiligingsstrategie voor uw organisatie. Er zijn drie primaire implementatieopties beschikbaar, elk met specifieke voor- en nadelen. De keuze hangt af van uw beveiligingsvereisten, gebruikersbehoeften en technische mogelijkheden.
OPTIE 1 - ALLEEN-LEZEN TOEGANG (aanbevolen balans): Deze optie biedt een evenwichtige benadering tussen beveiliging en gebruiksvriendelijkheid. Om deze optie te implementeren, navigeert u in Microsoft Intune naar Apparaten, vervolgens naar Configuratieprofielen en selecteert u Nieuw maken. Kies voor Instellingencatalogus als profieltype, wat u toegang geeft tot een uitgebreide verzameling beveiligingsinstellingen. Zoek in de catalogus naar verwijderbare opslag en selecteer de instelling 'Schrijftoegang tot verwijderbare schijven weigeren' en schakel deze in. Deze configuratie zorgt ervoor dat gebruikers bestanden van USB-apparaten kunnen lezen, maar geen bestanden kunnen kopiëren naar deze apparaten. Het effect is dat gegevenslekken worden voorkomen terwijl gebruikers nog steeds toegang hebben tot bestanden op USB-apparaten. Wijs dit profiel toe aan alle apparaten of specifiek aan hoogbeveiligde groepen binnen uw organisatie. Deze aanpak is bijzonder geschikt voor organisaties die een balans zoeken tussen beveiliging en productiviteit.
OPTIE 2 - VOLLEDIGE BLOKKERING (maximale beveiliging): Voor omgevingen met zeer gevoelige gegevens of geclassificeerde informatie is volledige blokkering de meest veilige optie. Deze implementatie vereist het inschakelen van zowel 'Schrijftoegang tot verwijderbare schijven weigeren' als 'Leestoegang tot verwijderbare schijven weigeren' in de Intune-instellingencatalogus. Alternatief kunt u gebruikmaken van OMA-URI-beleidsregels door het pad ./Vendor/MSFT/Policy/Config/opslag/RemovableDiskDenyWriteAccess in te stellen op 1 en het bijbehorende leestoegangspad eveneens in te stellen op 1. Het gebruikerseffect van deze aanpak is hoog, omdat alle USB-opslag volledig wordt geblokkeerd. Gebruikers kunnen geen bestanden lezen van of schrijven naar USB-apparaten. Daarom is het essentieel om alternatieven te bieden voordat deze beperking wordt geactiveerd. Zorg ervoor dat OneDrive, netwerkshares en andere goedgekeurde bestandsoverdrachtsmethoden volledig operationeel zijn en dat gebruikers zijn getraind in het gebruik ervan. Deze aanpak is verplicht voor omgevingen met geclassificeerde gegevens en wordt sterk aanbevolen voor organisaties met strikte compliance-vereisten.
OPTIE 3 - DLP-GEMONITORD (geavanceerd): De meest geavanceerde implementatieoptie maakt gebruik van Endpoint Data Loss Prevention om USB-opslag toe te staan maar te monitoren en selectief te blokkeren. Deze benadering vereist dat u USB-opslag toestaat op apparaatniveau, maar vervolgens Endpoint DLP-beleidsregels configureert die het kopiëren van bestanden met gevoeligheidslabels naar USB-apparaten blokkeren. Deze implementatie vereist Microsoft Defender voor Endpoint P2-licenties voor alle betrokken apparaten, omdat Endpoint DLP-functionaliteit alleen beschikbaar is in deze licentieversie. Daarnaast moeten DLP-beleidsregels zorgvuldig worden geconfigureerd om de juiste balans te vinden tussen beveiliging en gebruiksvriendelijkheid. Deze aanpak biedt granulair beheer, waarbij alleen bestanden met specifieke gevoeligheidslabels worden geblokkeerd, terwijl andere bestanden vrij kunnen worden gekopieerd. Bovendien biedt het een volledig audittrail van alle USB-activiteiten, wat waardevol is voor compliance en forensisch onderzoek. De gebruikerservaring is het beste met deze optie, omdat USB-apparaten normaal functioneren voor niet-gevoelige bestanden, terwijl gevoelige gegevens automatisch worden beschermd.
monitoring
Gebruik PowerShell-script removable-storage-access-control.ps1 (functie Invoke-Monitoring) – Controleren.
Effectieve monitoring van toegangscontrole voor verwijderbare opslagmedia is essentieel om te verzekeren dat beveiligingsbeleid correct wordt geïmplementeerd en om potentiële problemen vroegtijdig te identificeren. De primaire monitoringactiviteit betreft de Intune-compliance status, waarbij u regelmatig de implementatiestatus van beleidsregels moet controleren. Deze status geeft aan hoeveel apparaten het beleid hebben ontvangen, hoeveel apparaten compliant zijn en hoeveel apparaten mogelijk configuratiefouten hebben. Regelmatige controle van deze metrics stelt u in staat om implementatieproblemen snel te identificeren en op te lossen voordat ze leiden tot beveiligingslekken.
Voor organisaties die de DLP-gemonitorde aanpak hebben geïmplementeerd, is aanvullende monitoring vereist via Endpoint DLP-gebeurtenissen. Deze gebeurtenissen registreren alle pogingen om bestanden naar USB-apparaten te kopiëren, inclusief geslaagde en geblokkeerde pogingen. Analyse van deze gebeurtenissen kan waardevolle inzichten opleveren over gebruikersgedrag, potentiële beveiligingsrisico's en de effectiviteit van DLP-beleidsregels. Let specifiek op patronen zoals herhaalde pogingen om gevoelige bestanden te kopiëren, wat kan wijzen op onwetendheid, frustratie of mogelijk kwaadwillende intentie.
Een belangrijke indicator voor de effectiviteit van USB-beperkingen is het volume van helpdesktickets gerelateerd aan USB-toegangsverzoeken. Een hoog aantal tickets kan wijzen op onduidelijke communicatie, onvoldoende alternatieven of gebruikers die legitieme werkzaamheden niet kunnen uitvoeren. Monitoring van deze tickets helpt u om gebruikerservaring te verbeteren en potentiële omzeiling van beveiligingsmaatregelen te voorkomen. Daarnaast moet u de adoptie van alternatieve methoden monitoren door gebruik te maken van OneDrive-gebruiksstatistieken en andere cloudopslagmetrics. Toename in gebruik van deze alternatieven wijst op succesvolle acceptatie van nieuwe werkwijzen, terwijl lage adoptiecijfers kunnen wijzen op trainingstekorten of technische problemen die moeten worden opgelost.
Compliance en Auditing
Toegangscontrole voor verwijderbare opslagmedia is een kritieke vereiste voor naleving van verschillende beveiligingsstandaarden en frameworks die relevant zijn voor Nederlandse overheidsorganisaties. De CIS Windows Benchmark bevat specifieke aanbevelingen voor het beheren van verwijderbare media, waarbij wordt benadrukt dat organisaties moeten beschikken over mechanismen om ongeautoriseerde toegang tot verwijderbare opslagmedia te voorkomen. Deze benchmark vormt een belangrijke referentie voor technische implementaties en wordt veelvuldig gebruikt in audits en certificeringstrajecten.
Het Baseline Informatiebeveiliging Overheid (BIO) framework vereist in controle 11.05 specifieke maatregelen voor gegevenslekpreventie. Deze controle stelt dat organisaties moeten beschikken over technische en organisatorische maatregelen om te voorkomen dat gegevens onrechtmatig worden geëxtraheerd uit informatiesystemen. Toegangscontrole voor verwijderbare opslagmedia vormt een essentieel onderdeel van deze maatregelen, omdat USB-apparaten een primaire vector vormen voor gegevenslekken. Implementatie van deze controle draagt direct bij aan naleving van BIO-vereisten en moet worden gedocumenteerd in beveiligingsdocumentatie.
De ISO 27001:2022 standaard bevat meerdere controles die relevant zijn voor toegangscontrole voor verwijderbare opslagmedia. Controle A.8.11 betreft datamaskering en vereist dat organisaties maatregelen implementeren om ongeautoriseerde extractie van gegevens te voorkomen. Deze controle is direct van toepassing op USB-beperkingen, omdat deze voorkomen dat gevoelige gegevens worden gekopieerd naar externe opslagmedia. Daarnaast is controle A.7.7 relevant, die betrekking heeft op clear desk en clear screen policies, inclusief fysieke media controls. Deze controle benadrukt het belang van het beheren van fysieke opslagmedia, waaronder USB-apparaten, om te voorkomen dat gevoelige informatie onbeheerd achterblijft of wordt verwijderd uit beveiligde omgevingen.
Voor omgevingen met geclassificeerde gegevens gelden aanvullende en strengere vereisten. In deze omgevingen is volledige blokkering van verwijderbare opslagmedia verplicht, zonder uitzonderingen. Deze vereiste is gebaseerd op nationale beveiligingsrichtlijnen en classificatievoorschriften die specifieke beschermingsniveaus vereisen voor verschillende gegevenscategorieën. Organisaties die werken met geclassificeerde gegevens moeten kunnen aantonen dat alle verwijderbare opslagmedia volledig zijn geblokkeerd en dat er geen technische of organisatorische omwegen bestaan waarlangs gegevens kunnen worden geëxtraheerd. Regelmatige audits en technische verificaties zijn essentieel om naleving van deze vereisten te waarborgen.
Remediatie
Gebruik PowerShell-script removable-storage-access-control.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer monitoring of audits aangeven dat toegangscontrole voor verwijderbare opslagmedia niet correct is geïmplementeerd of niet compliant is, moet onmiddellijk remediatie worden uitgevoerd. De eerste stap in het remediatieproces is het identificeren van de specifieke niet-compliant apparaten via Intune-compliance rapportage. Apparaten die het beleid niet hebben ontvangen of die configuratiefouten vertonen, moeten worden geïdentificeerd en geanalyseerd om de onderliggende oorzaak te bepalen. Veelvoorkomende oorzaken zijn netwerkproblemen die beleidsdistributie verhinderen, apparaatconfiguratiefouten of gebruikers die beheerrechten hebben en lokale wijzigingen hebben aangebracht.
Voor apparaten die het beleid niet hebben ontvangen, moet de beleidsdistributie worden geforceerd via Intune-synchronisatie of door het apparaat handmatig te dwingen om beleidsupdates op te halen. In gevallen waar lokale configuratiewijzigingen het beleid hebben overschreven, moet de lokale configuratie worden hersteld en moeten gebruikersrechten worden gecontroleerd om te verzekeren dat gebruikers geen beheerrechten hebben die dergelijke wijzigingen mogelijk maken. Voor omgevingen met geclassificeerde gegevens is onmiddellijke actie vereist, waarbij niet-compliant apparaten mogelijk tijdelijk moeten worden geïsoleerd van het netwerk totdat de beveiligingsconfiguratie is hersteld.
Na technische remediatie moet een root cause analysis worden uitgevoerd om te begrijpen waarom de niet-compliance is opgetreden. Deze analyse helpt om herhaling te voorkomen en kan leiden tot verbeteringen in beleidsconfiguratie, gebruikerscommunicatie of technische implementatie. Documentatie van alle remediatie-activiteiten is essentieel voor auditdoeleinden en moet worden opgeslagen in overeenstemming met de bewaartermijnen zoals gespecificeerd in uw compliance-framework.
Compliance & Frameworks
- BIO: 11.05.01 - Preventie van gegevenslekken via USB-beheer
- ISO 27001:2022: A.8.11, A.7.7 - Preventie van gegevensextractie en beheer van fysieke media
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Intune Data Protection: Removable Storage Access Control
.DESCRIPTION
CIS - Removable storage (USB) access control voor data leakage preventie.
.NOTES
Filename: removable-storage-access-control.ps1|Author: Nederlandse Baseline voor Veilige Cloud|OMA-URI: ./Vendor/MSFT/Policy/Config/RemovableStorageDevices|Expected: Controlled
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\RemovableStorageDevices"; $ExpectedValue = "Configured"
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance {
$r = [PSCustomObject]@{ScriptName = "removable-storage-access-control.ps1"; PolicyName = "Removable Storage Control"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; function Invoke-Revert { Write-Host "Revert via Intune" }
try { if (Test-Path $RegPath) { $keys = Get-ChildItem -Path $RegPath -ErrorAction SilentlyContinue; if ($keys) { $r.IsCompliant = $true; $r.CurrentValue = "Policy configured"; $r.Details += "Removable storage policy active" }else { $r.Details += "Policy path leeg" } }else { $r.Details += "Geen removable storage policy" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r
}
function Invoke-Remediation { Write-Host "Removable Storage Control configureren via Intune:" -ForegroundColor Yellow; Write-Host "Endpoint Security > Attack Surface Reduction" -ForegroundColor Gray; Write-Host "OMA-URI: ./Vendor/MSFT/Policy/Config/RemovableStorageDevices/AllClasses_DenyWrite" -ForegroundColor Gray; Write-Host "Value: 1 (Block) of 0 (Allow)" -ForegroundColor Gray; Write-Host "Note: Balance security vs usability" -ForegroundColor Yellow }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { Write-Host "Revert via Intune" }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
High: Hoge risico op gegevenslekken. USB-apparaten vormen de primaire bedreigingsvector voor insider threats. Een medewerker die vertrouwelijke bestanden naar een USB-stick kopieert en het gebouw verlaat, resulteert direct in een ernstig gegevenslek. Voor organisaties met intellectueel eigendom, vertrouwelijke gegevens of compliance-vereisten is USB-beheer essentieel. Aanbeveling: alleen-lezen toegang voor een gebalanceerde benadering tussen beveiliging en gebruiksvriendelijkheid, volledige blokkering voor hoogbeveiligde omgevingen, DLP-gemonitorde aanpak voor organisaties met volwassen DLP-programma's.
Management Samenvatting
Beheer toegang tot USB-opslagmedia. Opties: alleen-lezen toegang (aanbevolen balans), volledige blokkering (maximale beveiliging), DLP-gemonitord (granulair beheer, vereist Defender P2). Voorkomt gegevenslekken via USB. Voldoet aan BIO 11.05, ISO 27001 A.8.11. Implementatietijd: 4-12 uur.
- Implementatietijd: 12 uur
- FTE required: 0.05 FTE