‘Privacybrowser’ als valkuil: zo blokkeer je malafide browsers en extensies op werk-laptops

Herkenbaar? Een ‘privacybrowser’ die te mooi klinkt om waar te zijn

Je medewerker ziet een advertentie: een nieuwe ‘privacybrowser’ die trackers blokkeert, sneller is en extra veilig. Klik, downloaden, klaar. Alleen blijkt die browser een keylogger te bevatten, maakt hij screenshots en plaatst hij een service die bij elke start weer mee opkomt. Op werk-laptops is één installatie genoeg om wachtwoorden, klantgegevens en e-mail over te nemen.

Recent onderzoek liet zien dat zulke ‘privacybrowsers’ geen uitzondering zijn. Ze lijken legitiem (Chromium-achtig, eigen logo, nette website), maar kapen je standaardbrowser, installeren extensies en sturen data naar onbekende servers. Goede antivirus herkent dit soms, maar niet altijd meteen. De oplossing zit daarom in preventie: toestaan wat moet, blokkeren wat niet nodig is en een strak plan als er toch iets binnenkomt.

Waarom kleine organisaties extra kwetsbaar zijn

In kleine teams ontbreekt vaak een formeel device-beleid. Medewerkers hebben soms lokale adminrechten en browsers worden gezien als ‘gewoon een app’. Juist daar zit risico: browsers hebben toegang tot alles wat je typt, krijgen rechten via extensies en zijn voortdurend online. Een malafide browser of extensie draait onder de radar terwijl MFA-promptjes nog gewoon doorkomen.

Bij Rendar zien we dat een paar gerichte maatregelen het verschil maken. Je hoeft geen enterprise-omgeving te hebben om grip te krijgen. Met Windows 11, Microsoft Defender en een paar duidelijke keuzes zet je binnen een middag een stevig fundament neer.

Stap 1: maak een whitelist van toegestane browsers

Kies bewust welke browsers op werk-laptops mogen draaien, en blokkeer de rest. Praktisch werkt dit het beste met één primaire browser (vaak Microsoft Edge) en eventueel een tweede (Chrome of Firefox) voor uitzonderingen.

Zo pak je het aan

  • Beperk lokale adminrechten. Werkgebruikers zijn standaard user. Installeren van software doet een beheerder of gaat via een beheerde store.
  • Windows 11 Pro zonder MDM: gebruik AppLocker met uitgeversregels om alleen Edge en eventueel Chrome/Firefox toe te staan. Zet regels op voor executables en installers.
  • Met Microsoft 365 Business Premium/Defender for Business: gebruik Windows Defender Application Control via Intune. Start met een aanbevolen basisprofiel en voeg expliciet toegestane browsers toe.
  • Beperk installatiepaden. Blokkeer uitvoeren vanuit gebruikersmappen als Downloads en AppData waar veel malafide installers belanden.

Waarom dit werkt: een whitelist draait het model om. Je hoeft niet alle slechte varianten te kennen, je staat alleen het noodzakelijke toe.

Stap 2: beheer extensies alsof het kleine apps zijn

Extensies krijgen vergaande rechten: lezen van alle webpagina’s, toetsaanslagen, clipboard. Dat is handig voor een password manager, maar gevaarlijk als het misbruikt wordt.

Beleid voor Edge/Chrome

  • Sta alleen goedgekeurde extensies toe via policies. In Edge en Chrome kan dat met een allowlist op extensie-ID. Blokkeer de rest.
  • Forceer installatie van een paar nuttige extensies (bijvoorbeeld een password manager of adblocker) zodat gebruikers niet zelf gaan zoeken.
  • Blokkeer sideloaden van ongepakte extensies en zet ontwikkelaarsmodus uit.
  • Beperk aanmelding met persoonlijke accounts in de werkbrowser, of houd werk en privé strikt gescheiden met profielen.

Waarom dit werkt: je voorkomt onbedoelde permissies en schaduw-IT in de browser, zonder het werk te hinderen.

Stap 3: zet SmartScreen en Defender strak

Windows 11 en Microsoft Defender kunnen veel ruis wegnemen, mits de juiste schakelaars aan staan.

  • Zet SmartScreen aan voor apps en de browser. Schakel ook het blokkeren van mogelijk ongewenste apps (PUA/PUP) in.
  • Activeer reputatiegebaseerde bescherming en netwerkbeveiliging. Dit stopt downloads en verbindingen naar bekende foute domeinen.
  • Overweeg Controlled Folder Access voor kritieke mappen om ongewenste wijzigingen te blokkeren.

Waarom dit werkt: veel malafide browsers en installers gebruiken hergebruikte domeinen, slechte reputatiecertificaten of bekende patronen. Reputatiefilters zijn daar effectief tegen.

Stap 4: DNS-filtering voor een extra vangnet

Zelfs als iets draait, hoeft het nog niet te kunnen praten met de buitenwereld. DNS-filtering blokkeert uitgaande verzoeken naar malafide of twijfelachtige domeinen.

  • Router- of gatewayniveau: stel een resolver met filtering in (bijvoorbeeld Quad9 of Cloudflare Family). Voor UniFi-achtige omgevingen kan dit per netwerk of VLAN.
  • Voor laptops buiten kantoor: gebruik een beheerde DNS-oplossing met client, of handhaaf DNS-over-HTTPS met beleid via Edge/Chrome policies.

Waarom dit werkt: veel data-exfiltratie en command-and-control vereist DNS. Geen DNS-resolutie betekent vaak geen datalek.

Stap 5: sluit alternatieve installatieroutes

  • Beperk de Microsoft Store tot een privé- of goedgekeurde lijst.
  • Blokkeer Developer Mode en het installeren van onbekende apps.
  • Blokkeer uitvoeren van installers vanuit tijdelijke en gebruikersmappen, of scan ze verplicht met Defender.

Waarom dit werkt: malafide browsers leunen op gemak. Minder routes betekent minder kans.

Incident? Een korte IR-checklist voor verdachte browsers

Ontdek je een onbekende browser of extensie, handel dan rustig maar direct. Dit is een pragmatische checklist die we in het mkb toepassen:

  • Isoleren: haal het apparaat tijdelijk van het netwerk of gebruik quarantaine in Microsoft Defender.
  • Inventariseren: controleer Geïnstalleerde apps, standaardbrowserinstelling, en recente installs. Kijk in Taakplanner, Services en Opstart-apps op onbekende vermeldingen.
  • Netwerk en proxy: controleer Windows- en WinHTTP-proxy (netsh winhttp show proxy), en verwijder onbekende instellingen.
  • Certificaten: check gebruikers- en computer-Root stores op vreemde rootcertificaten.
  • Browsers: bekijk profielen en extensies. Verwijder onbekende profielen en niet-goedgekeurde extensies.
  • Verwijderen en scannen: deïnstalleer de verdachte browser, stop resterende processen en draai volledige scans met Microsoft Defender.
  • Accounts veiligstellen: reset wachtwoorden van de gebruiker, draai tokens in Microsoft 365 terug (afmelden op alle sessies), en controleer forwarding- en inboxregels in Exchange.
  • Logboeken: noteer tijdstippen van installatie en connecties. Dit helpt bij het opschonen en eventueel melden.
  • Herstellen: als er meerdere persistenties zijn of je twijfelt, herbouw de laptop schoon en zet hem terug vanuit een bekend goed image.

Waarom dit werkt: je snijdt de drie pijlers door – uitvoering, communicatie en toegang – en beperkt daarmee blijvende schade.

Kort praktijkvoorbeeld

Stel: een medewerker installeert Universe Browser na een advertentie. Binnen een dag staat deze als standaardbrowser, verschijnt er een onbekende service, en in Microsoft 365 zien we een nieuwe locatie in de sign-in logs. In de mailbox duiken twee nieuwe inboxregels op. Met het beleid hierboven was de installatie geblokkeerd door de whitelist, was de download tegengehouden door PUA-blokkades en waren verbindingen naar het command-and-control-domein geweigerd door DNS-filtering. Tijdens de response verwijder je de software, reset je wachtwoorden, meld je alle sessies af en herstel je mailboxregels. De laptop gaat door een schone herinstallatie en wordt voortaan via Intune beheerd.

Zonder Intune: klein beginnen, groot effect

Geen MDM? Houd het simpel en effectief:

  • Maak gebruikers geen lokale admin en installeer apps centraal.
  • Beperk tot Edge als werkbrowser en keur specifieke extensies goed.
  • Zet SmartScreen, PUA-blokkade en netwerkbeveiliging aan.
  • Stel een gefilterde DNS-resolver in op je router.
  • Loop maandelijks de lijst met geïnstalleerde programma’s en browserextensies na.

Dit is vaak genoeg om 80 procent van de rommel buiten te houden.

Met Microsoft 365 Business Premium: schakel het beheer in

Heb je Business Premium of Defender for Business, dan kun je dit strak automatiseren:

  • Intune Settings Catalog: configureer Edge en Chrome policies, extensie-allowlist, profielen en DNS-over-HTTPS.
  • Endpoint security: zet web content filtering, network protection en attack surface reduction aan.
  • Application control: rol WDAC uit met een duidelijk allowlist van browsers en kritieke tools.
  • Rapportage en alerts: laat Defender verdachte downloads, extensies en afwijkende sign-ins melden.

Zo houd je zichtbaar wat er gebeurt en voorkom je afwijkingen zonder losse scripts of handwerk.

Samengevat

Malafide ‘privacybrowsers’ en extensies liften mee op onze behoefte aan snelheid en gemak. Een klein, consistent beleid voorkomt installaties buiten de lijntjes, beperkt rechten van extensies en snijdt verbindingen met de buitenwereld af. En als er toch iets doorheen glipt, helpt een korte checklist om snel en gecontroleerd op te ruimen.

Bij Rendar richten we ons op maatregelen die je vandaag kunt toepassen en die morgen nog werken. Zie je graag dat een whitelist, extensiebeleid en DNS-filtering netjes worden ingericht op jullie Windows 11-laptops, of wil je jullie incident-checklist laten nalopen, neem dan gerust contact op. Eén uur controle nu voorkomt dagen herstel later.