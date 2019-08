De oude engine EdgeHTML is geschrapt ten faveure van Chromiums blink. Dat betekent dat je op een aantal gebieden Edge moet gaan behandelen als Chrome en soortgelijke policy's moet toepassen. Edge staat los van het OS en kan worden verwijderd en opnieuw geïnstalleerd. Het ondersteunt de legacymodus voor IE, maar in tegenstelling tot de huidige implementatie waarop bij een IE-koppeling een nieuwe browser wordt aangesproken, opent de legacymodus in de reeds geopende Edge-sessie, analoog aan de tabbladextensies van Chrome.

De nieuwe Edge-browser levert privacyinstellingen die ervoor zorgen dat third party's worden beperkt in het volgen van de gebruikers. Edge Chromium onderscheidt zich van Chrome door zakelijke beheerinstellingen toe te voegen (Group Policy, MDM en Intune) alsmede andere beheerfeatures. Zelfs in het huidige bètatraject kun je een bèta binnenhalen van Group Policy ADMX om te zien welke comfiguratie-opties momenteel worden getest. In deze documentatie lees je meer over de enterprise uitrol.

Einde aan drive-by

Een drive-by-aanval is een aanval op de software van de gebruiker die een website bezoekt. Beveiligingsorganisatie MITRE omschrijft dat proces al volgt:

Een gebruiker bezoekt een website die content van de aanvaller bevat.

Scripts die zoeken naar browserversies en plug-ins die potentieel kwetsbaarheden bevatten, worden automatisch uitgevoerd.

In sommige gevallen moet de gebruiker nog een actie uitvoeren door een script of component te toe te staan of een waarschuwing te negeren.

Als een kwetsbare versie wordt gedetecteerd, wordt een exploitcode uitgevoerd.

Als dat succesvol is, heeft de aanvaller toegang tot het systeem, tenzij er andere beveiligingsmaatregelen op z'n plek zijn.

In sommige gevallen is een tweede bezoek vereist: de eerste voert de scan uit en de tweede keer wordt de exploitcode afgeleverd.

In Edge Chromium kun je onder meer tegen drive-by's beveiligen door de instelling DefaultJavaScriptSetting . Daar kun je mee bepalen of websites JavaScript kunnen draaien. Als je deze niet configureert, kunnen alle sites JavaScript gebruiken, maar de eindgebruiker kan deze instellingen aanpassen. In de Group Policy-instelling (en later volgen MDM en Intune) kun je de waarde 1 ingeven voor het toestaan van JavaScript voor alle sites of 2 voor het blokkeren van JavaScript voor alle sites.

MITRE meldt daarnaast dat adblockers ervoor zorgen dat malafide code kan worden uitgevoerd en scriptblokkerende extensies kunnen ervoor zorgen dat JavaScriptjes die veel worden gebruikt om de exploit af te vuren worden geweerd.

Het beheren van extensies

Omdat deze versie van Edge extensies toestaan, is het beheer van deze add-ons een andere manier om systemen te beveiligen. De nieuwe Edge-browser heeft de instelling ExtensionInstallAllowlist waarmee je kunt bepalen welke extensies zijn goedgekeurd voor jouw bedrijf. Plan dus vooruit. De helft van alle Chrome-extensies heeft minder dan 16 installaties, wat betekent dat de meeste extensies weinig in de praktijk zijn getest. Slechts een paar extensies worden veelgebruikt, zoals:

Deze lijst van populaire extensies bevatten niet altijd add-ons die ik zie als goede beveiligingsmaatregelen. Voor zakelijke omgevingen raad ik dan ook nog eens de volgende twee aan:

LastPass , zodat gebruikers sterkere wachtwoorden kiezen en minder hergebruiken.

Ghostery , om trackers te blokkeren. Mogelijk is deze extensie niet meer nodig met de verbeterde privacyinstellingen van Edge Chromium met drie niveaus.

We zullen zien of en hoe bedrijven deze browser zullen verkiezen boven Chrome, maar de bèta is stabiel genoeg dat ik hem nu gebruik als standaardbrowser op een van mijn systemen. Ik raad je aan net als ik de browser te installeren en te testen, zodat je kunt zien of hij past in jouw omgeving - vooral als het bedrijf nu Chrome gebruikt. Als je vooruit wilt blikken, kun je ook naar het dev-kanaal van Edge Chromium stappen.