L1 CIS Browser Security

Browser Legacy Edge Mode

📅 2025-10-30
⏱️ 3 minuten lezen
🟢 Should-Have

💼 Management Samenvatting

De beleidsmaatregel voor Browser Legacy Edge Mode zorgt ervoor dat Nederlandse overheidsorganisaties met sterke afhankelijkheden van verouderde webtoepassingen deze applicaties veilig kunnen blijven gebruiken zonder terug te vallen op het afgeschafte Internet Explorer 11. Door Internet Explorer in te kapselen binnen de moderne Edge-browser behoudt de organisatie de voordelen van hedendaagse beveiligingslagen zoals SmartScreen, continue patching en geavanceerde exploitmitigaties, terwijl de legacy-renderingengine alleen wordt geactiveerd voor strikt gedefinieerde bedrijfsprocessen. Deze aanpak vermindert de kans dat medewerkers uitwijken naar onbeheerde browsers of lokale adminrechten opeisen om noodoplossingen te installeren, en ondersteunt daarmee de uitgangspunten van de Nederlandse Baseline voor Veilige Cloud. Het beleid creëert bovendien duidelijkheid richting leveranciers dat ondersteuning voor moderne browsers vereist blijft, terwijl de organisatie zelf de tijd krijgt om migratietrajecten gecontroleerd uit te voeren.

Aanbeveling
Implementeer Edge IE-mode uitsluitend voor die legacy webapplicaties die aantoonbaar nog migratietrajecten doorlopen en borg dat elke URL op de Enterprise Mode Site List jaarlijks wordt herbeoordeeld. Combineer de technische configuratie met strakke governance, duidelijke gebruikerscommunicatie en een exitstrategie zodat IE-mode een gecontroleerde overbruggingsmaatregel blijft.
Risico zonder
Low
Risk Score
3/10
Implementatie
3u (tech: 2u)
Van toepassing op:
Microsoft Edge

Organisaties binnen de publieke sector beheren vaak tientallen maatwerkapplicaties die ooit voor Internet Explorer zijn ontwikkeld en nog niet volledig zijn gemoderniseerd. Zonder IE-mode ontstaat een keuze tussen bedrijfscontinuïteit of beveiliging: legacy applicaties falen, processen stagneren en medewerkers zoeken onveilige omwegen. Cybercriminelen misbruiken dit soort kwetsbare situaties door social engineering of door malafide ActiveX-componenten te verspreiden. Met IE-mode in Microsoft Edge kan de organisatie legacy-functionaliteit blijven aanbieden, terwijl het beheerde updatekanaal, Conditional Access en cloudgebaseerde gecontroleerde configuraties intact blijven. Dit sluit aan op BIO-maatregelen voor continuïteit en op de strategische lijn van het Rijksbrede Cloudbeleid waarin risicobeheersing centraal staat. Bovendien dwingt het beleid een expliciete Enterprise Mode Site List af, waardoor elk legacy-scenario traceerbaar, gedocumenteerd en periodiek herzienbaar wordt, wat essentieel is voor audits door bijvoorbeeld de Algemene Rekenkamer.

PowerShell Modules Vereist
Primary API: Microsoft Graph API
Connection: Connect-MgGraph
Required Modules: Microsoft.Graph.DeviceManagement

Implementatie

De maatregel omvat het definiëren, distribueren en handhaven van een Enterprise Mode Site List vanuit een centraal configuratieplatform zoals Microsoft Intune of groepsbeleid. Binnen deze lijst worden uitsluitend de URL’s opgenomen waarvoor aantoonbaar een legacy-rendering nodig is. Edge detecteert deze bestemmingen en laadt automatisch de ingebouwde Internet Explorer engine, terwijl voor alle andere sites de moderne Chromium-engine actief blijft. Dit proces gaat vergezeld van aanvullende waarborgen: gebruikers krijgen duidelijke meldingen wanneer zij in IE-mode werken, verkeer kan via Microsoft Defender for Cloud Apps en webinhoudsfilters worden gemonitord en scripts mogen alleen draaien binnen de sandbox van Edge. Het beleid beschrijft tevens hoe ontwikkelteams regressietests uitvoeren, hoe Functioneel Beheerders changes aanvragen en hoe Security Officers periodiek toetsen of elke legacy-applicatie nog gerechtvaardigd is. Zo ontstaat een sluitende keten van beleid, techniek en bewijsvoering waarmee de Nederlandse Baseline voor Veilige Cloud wordt nageleefd.

Vereisten

Een organisatie die Browser Legacy Edge Mode wil inzetten binnen het kader van de Nederlandse Baseline voor Veilige Cloud moet beschikken over een volwassen Intune- of Configuration Manager-implementatie waarin Windows Update for Business, Microsoft Defender en Edge-beleid al centraal worden beheerd. Deze configuratiestack vormt de basis voor geautomatiseerde distributie van de Enterprise Mode Site List, versiebeheer van de Edge-browser en de handhaving van aanvullende veiligheidsmaatregelen zoals SmartScreen en Application Guard. Zonder deze basisvoorzieningen ontbreekt de garantie dat alle werkstations dezelfde instellingen toepassen, dat wijzigingen gecontroleerd worden uitgerold en dat incidentrespons kan vertrouwen op actuele telemetrie. Daarnaast zijn netwerkvoorzieningen nodig waarmee configuratiebestanden veilig worden gehost, bijvoorbeeld via een door de organisatie beheerde Azure Storage-account met private endpoints, zodat het laden van site lists niet afhankelijk is van verouderde file shares. Tot slot dienen de werkplekken aan hardwarematige eisen te voldoen, zoals TPM 2.0 en moderne CPU-instructiesets, zodat Edge optimaal gebruik kan maken van exploitmitigaties en sandboxing. Specifiek voor kritieke overheidsomgevingen is het raadzaam om een aparte managementresourcegroep in Azure in te richten waarin de site list, ondersteunende scripts en logging worden opgeslagen. Door gebruik te maken van Azure Policy en Defender for Cloud kan men afdwingen dat opslagaccounts in deze resourcegroep versleuteling met klantbeheerde sleutels toepassen en dat verkeer uitsluitend via private endpoints loopt. Verder zijn service principals nodig met minimaal benodigde rechten om site lists te publiceren via DevOps-pijplijnen, zodat menselijke fouten worden beperkt. Werkplekken die via VDI’s of gedeelde apparaten draaien, vragen om additionele configuraties voor roaming profiles en profielcontainers; ook die moeten vooraf beschikbaar zijn om te voorkomen dat IE-mode-instellingen verloren gaan bij elke sessie. Tot slot is integratie met het centrale loggingplatform essentieel: zonder Log Analytics-agenten of Microsoft Defender XDR-sensoren kunnen afwijkingen niet tijdig worden gedetecteerd en is er geen audittrail voor toezichthouders. Vanuit security operations-perspectief is het noodzakelijk dat netwerksegmentatie en privilege management al volwassen zijn voordat IE-mode in gebruik wordt genomen. Legacy-applicaties worden vaak gehost op interne servers die nog klassieke authenticatie gebruiken; deze moeten achter firewalls staan met strikte toegangscontroles en voorzien zijn van geactualiseerde TLS-configuraties. Tevens moeten beveiligingsteams beschikken over processen voor certificate lifecycle management, omdat verouderde certificaten een veelvoorkomende oorzaak zijn van storingen binnen legacy webapps. Door deze technische voorwaarden vooraf in kaart te brengen en te toetsen, voorkomt de organisatie dat IE-mode verandert in een vrijplaats voor ongedocumenteerde uitzonderingen. Vul deze basis aan met een configuration drift-programma waarin ConfigMgr of Desired State Configuration dagelijks controleert of de kritieke instellingen zijn gewijzigd en waarbij overtredingen automatisch worden teruggedraaid of als security-incident worden gelogd.

Naast technische randvoorwaarden zijn er beleidsmatige vereisten die verankerd moeten zijn voordat IE-mode in productie mag. De Chief Information Security Officer moet een expliciete vrijstelling afgeven voor elke legacy-applicatie, inclusief een risicobeoordeling waarin wordt onderbouwd waarom vervanging nog niet mogelijk is en welke compensatiemaatregelen gelden. Functioneel beheer stelt een beheerplan op voor de Enterprise Mode Site List met procedures voor aanvraag, beoordeling, acceptatie en verwijdering van URL’s. Juridische en privacy officers toetsen of verwerking van persoonsgegevens binnen deze legacy-applicaties voldoet aan AVG-artikel 32 en de BIO-principes. Tot slot is het cruciaal dat medewerkers zijn getraind in het herkennen van de IE-modeindicator in Edge, weten hoe zij afwijkingen melden bij het security operations center en begrijpen dat IE-mode uitsluitend voor goedgekeurde processen bedoeld is. Deze organisatorische verankering maakt het verschil tussen een tijdelijke noodoplossing en een aantoonbaar beheersbare voorziening. Om deze governance te ondersteunen moet er een multidisciplinair overleg bestaan waarin architectuur, inkoop, functioneel beheer en security samenwerken. Dit overleg bepaalt de roadmap voor het uitfaseren van legacy-applicaties, toetst leverancierscontracten op afspraken over modernisering en bewaakt dat de IE-mode-uitzondering jaarlijks wordt geëvalueerd. Trainingen voor eindgebruikers en servicedeskmedewerkers bevatten scenario’s waarin wordt uitgelegd wat te doen bij foutmeldingen, hoe men kan controleren of een site terecht in IE-mode opent en hoe verdachte situaties meteen worden gemeld. Communicatieafdelingen leveren ondersteunend materiaal zoals infographics en intranetartikelen, zodat de boodschap consistent en herhaalbaar is. Ten slotte moeten audit- en complianceafdelingen beschikken over sjablonen voor bewijsvoering, zodat tijdens controles snel inzichtelijk is welke processen zijn vrijgesteld, hoe beslissingen zijn gedocumenteerd en welke stappen worden gezet richting moderne browsers. Een bijkomende vereiste is structurele betrokkenheid van leveranciersmanagement. Contracten moeten clausules bevatten over moderniseringsdeadlines, rapportageverplichtingen en mogelijke boetebedingen wanneer afspraken niet worden nagekomen. Door deze afspraken te koppelen aan het beleidsdocument ontstaat druk richting leveranciers om IE-mode als tijdelijke maatregel te behandelen, terwijl proceseigenaren handvatten krijgen om migratieprojecten te prioriteren in de portfoliosturing.

Implementatie

De implementatie start met een inventarisatie van alle applicaties die nog Internet Explorer-technologie vereisen, gevolgd door een gestructureerde validatie of Edge met compatibiliteitsinstellingen de functionaliteit daadwerkelijk reproduceert. Documenteer per applicatie welke URL’s noodzakelijk zijn, welke authenticatiemethoden worden gebruikt en welke ActiveX- of document viewer-componenten de pagina laadt, zodat deze afhankelijkheden in de Enterprise Mode Site List kunnen worden vastgelegd. Vervolgens wordt binnen Intune een configuratieprofiel voor Microsoft Edge aangemaakt waarin IE-mode wordt geactiveerd, de locatie van de site list wordt opgegeven en fallback-opties worden uitgeschakeld om ongecontroleerde prompts richting gebruikers te voorkomen. Bij voorkeur wordt de site list gehost in een Azure Storage-container met versiebeheer, waardoor DevOps-teams wijzigingen via pull requests kunnen aanleveren en Security Officers een audittrail behouden. Testgroepen ontvangen de configuratie eerst via een gefaseerde ringstructuur, waarbij gebruik wordt gemaakt van Endpoint Analytics en het Defender for Endpoint-portal om prestatie-impact, crashrapportages en telemetrie te monitoren. Parallel hieraan wordt een communicatiepakket uitgerold waarin medewerkers leren hoe zij IE-mode herkennen, hoe zij problemen melden en waarom de organisatie deze tijdelijke voorziening inzet. Pas wanneer de testresultaten aantonen dat alle kritieke processen stabiel draaien en geen onvoorziene sites in IE-mode openen, wordt de configuratie opgeschaald naar de volledige productiepopulatie. Na de initiële uitrol volgt een fijnmazige validatiefase waarin logbestanden van Edge en het PowerShell-script worden vergeleken met gebruikerservaringen. Eventuele inconsistenties worden teruggevoerd naar het projectteam dat de site list beheert, waarna een nieuwe iteratie van de lijst via het releaseproces beschikbaar komt. Voor ketenprocessen waarin meerdere webapplicaties op elkaar aansluiten, worden scenariotesten ingericht waarin verschillende authenticatiecontexten, zoals ADFS, Azure AD en legacy SAML, worden gecontroleerd. Het projectteam legt elke bevinding vast in Azure Boards of een vergelijkbaar tracking-systeem, zodat lessons learned beschikbaar blijven voor toekomstige migraties. Tot slot wordt het beheer overgedragen aan de lijnorganisatie met duidelijke RACI-matrix, onderhoudskalender en KPI’s voor naleving. Om de implementatie blijvend te borgen worden geautomatiseerde controles ingericht die na elke Edge-update valideren of de IE-mode-instellingen nog correct functioneren. Hierbij hoort een releasekalender waarin beveiligingspatches, browserupdates en site list-wijzigingen in samenhang worden gepland zodat afhankelijkheden inzichtelijk zijn. Change Advisory Boards ontvangen een samenvatting van de technische en organisatorische impact inclusief terugvalscenario’s. Door het gehele traject als DevSecOps-keten te benaderen, inclusief code reviews, pipelinevalidatie en infrastructure as code, ontstaat een reproduceerbare inrichting die eenvoudig is uit te rollen naar nieuwe tenants of naar tijdelijke testomgevingen voor leveranciers.

Gebruik PowerShell-script browser-legacy-edge-mode.ps1 (functie Invoke-Monitoring) – Het script browser-legacy-edge-mode.ps1 bevat functies om de status van Edge-policyobjecten uit Intune en het daadwerkelijke gedrag op werkstations te verifiëren. Door het script in een beheerwerkstation of een Azure Automation-runbook aan te roepen met lokale debugparameters kan men controleren of de juiste configuratieprofielen zijn toegewezen, of de registrywaarden onder HKLM\Software\Policies\Microsoft\Edge consistent zijn en of de Enterprise Mode Site List zonder fouten wordt gedownload. De loggingmodule schrijft resultaten weg naar zowel JSON-rapportages als het centrale Log Analytics-werkruimte, zodat auditteams later kunnen aantonen dat beleid correct is afgedwongen. Gebruik het script na elke wijziging in de site list en plan een periodieke uitvoering, bijvoorbeeld wekelijks, om regressies snel te detecteren. Het script is ontworpen binnen de Nederlandse Baseline voor Veilige Cloud en gebruikt geen extra modules buiten Microsoft.Graph.DeviceManagement, waardoor onderhoud overzichtelijk blijft. Tijdens de implementatiefase kan het script bovendien worden ingezet als geautomatiseerde validatiestap binnen een Azure DevOps-pijplijn. Nadat een nieuwe versie van de Enterprise Mode Site List is gepubliceerd, start de pijplijn een testdevice dat het script uitvoert om te bevestigen dat Edge de correcte configuratie heeft opgehaald en dat de bedoelde URL’s daadwerkelijk in IE-mode openen. Resultaten worden teruggekoppeld aan het change ticket zodat goedkeurders objectief bewijs zien. Dit reduceert menselijke controletijd en versnelt de time-to-deploy zonder concessies te doen aan kwaliteit. Voeg optioneel parameters toe waarmee men een subset van apparaten selecteert, bijvoorbeeld kritieke werkplekken in zorgvuldige ketens, zodat regressies binnen minuten worden gespot..

Monitoring

Gebruik PowerShell-script browser-legacy-edge-mode.ps1 (functie Invoke-Monitoring) – Monitoring van IE-mode begint bij het correleren van configuratiestatus, gebruikerservaring en dreigingsinformatie. De functie Invoke-Monitoring in browser-legacy-edge-mode.ps1 haalt configuratiegegevens op via Microsoft Graph, vergelijkt deze met de ingestelde baseline en genereert alerts wanneer een device afwijkt doordat bijvoorbeeld een gebruiker Edge-handmatige instellingen heeft aangepast of een verouderde site list in de cache houdt. Combineer deze telemetrie met Microsoft Defender for Endpoint-signalen zodat u kunt zien of IE-mode-sessies een hoger risico vormen, bijvoorbeeld door downloads van ActiveX-bestanden of pogingen tot het uitvoeren van legacy scripts die door SmartScreen worden geblokkeerd. Voeg Log Analytics-query’s toe die controleren welke URL’s het vaakst IE-mode activeren en of er onverwachte sites naar voren komen, wat kan duiden op shadow IT. Binnen het SOC kan een workbook worden ingericht dat per apparaatgroep laat zien hoe lang IE-mode is gebruikt, welke versies van Edge actief waren en of Conditional Access policies correct zijn toegepast. Door deze gegevens maandelijks te bespreken in het Cloud Security Board wordt geborgd dat IE-mode daadwerkelijk een tijdelijke overgangsmaatregel blijft en dat leveranciers actief worden aangespoord om moderne webstandaarden te ondersteunen. Monitoringrapportages worden opgeslagen volgens de bewaartermijnen uit de BIO, zodat tijdens audits kan worden aangetoond dat de organisatie continue controle uitoefent op het gebruik van legacy-technologie. Breid het monitoringsproces uit met synthetische transacties: configureer Azure Virtual Desktop-sessies die op vaste tijden de belangrijkste legacy-URL’s openen en de resultaten terugschrijven naar een Application Insights-instance. Hierdoor ziet u onmiddellijk wanneer een site lijst corrupt is, wanneer een certificaat verloopt of wanneer de rendering onverwacht overschakelt naar de moderne engine. Combineer deze uitkomsten met gebruikersfeedback via de Microsoft 365 Service Health-portal, zodat trends in klachten vroegtijdig zichtbaar worden. Voor dreigingsinformatie kan men Microsoft Defender Threat Intelligence raadplegen om te bepalen of legacy-componenten in het wild worden misbruikt; koppel deze indicatoren aan het SOC-dashboard om gericht te reageren. Tot slot dienen lessons learned uit incidenten te worden vastgelegd, zodat de monitoringarchitectuur voortdurend verbetert en de organisatie onderbouwd kan aantonen dat zij proactief stuurt op het minimaliseren van legacy-risico’s. De monitoringstrategie moet bovendien anticiperen op wijzigende regelgeving en disaster recovery-scenario’s. Leg dashboards vast als infrastructure as code zodat zij snel opnieuw zijn uit te rollen na een calamiteit, en voeg indicatoren toe voor toegankelijkheidseisen en andere publieke dienstverplichtingen. Door ook gebruik te maken van user behavior analytics kan worden vastgesteld of medewerkers IE-mode proberen te forceren buiten de goedgekeurde lijst, waarna gerichte awareness of aanvullende remediatie kan volgen..

Remediatie

Gebruik PowerShell-script browser-legacy-edge-mode.ps1 (functie Invoke-Remediation) – Wanneer monitoring een afwijking signaleert, bijvoorbeeld een apparaat waarop de Enterprise Mode Site List niet kan worden geladen of een gebruiker die IE-mode buiten de goedgekeurde URL’s activeert, biedt Invoke-Remediation de mogelijkheid deze situatie automatisch recht te zetten. De functie controleert eerst of het apparaat nog compliant is met de toegewezen Intune-policy’s en forceert indien nodig een her-evaluatie zodat Edge de nieuwste instellingen ophaalt. Daarna wordt de lokale cache van de site list gewist en opnieuw gedownload vanuit de bronlocatie, waarna het script de hash valideert om integriteit te waarborgen. Indien de afwijking het resultaat is van een ongeoorloofde registrywijziging, herstelt het script de beleidswaarden en registreert dit in de centrale auditlog. Voor complexe incidenten kan de remedie worden uitgebreid met een melding naar Azure DevOps of ServiceNow, inclusief diagnostische output, zodat het werkplekteam vervolgacties kan plannen zoals herinstallatie van Edge of herplaatsing van het apparaat in de juiste Intune-groep. Deze geautomatiseerde herstelketen verkort de tijd tussen detectie en oplossing, reduceert de kans dat medewerkers alternatieve browsers installeren en ondersteunt de verplichting uit de Nederlandse Baseline voor Veilige Cloud om legacyoplossingen strikt te beheersen. Remediatie stopt niet bij technische correctie. Het script kan zo worden geconfigureerd dat het bij herhaalde overtredingen automatisch een incidentrapport aanmaakt waarin de verantwoordelijke proceseigenaar wordt geïnformeerd en gevraagd om de noodzaak van de betreffende legacy-applicatie opnieuw te onderbouwen. Wanneer uit analyse blijkt dat een leverancier updates beschikbaar heeft gesteld maar de organisatie deze nog niet heeft getest, koppelt het script terug naar het applicatiemanagementteam om versneld een moderniseringspad in te richten. Voeg desgewenst functionaliteit toe die een snapshot van de site list bewaart op het moment van afwijking; zo blijft aantoonbaar welke configuratie actief was en kan forensisch onderzoek beter worden ondersteund. Door remediatie in lagen uit te voeren – van automatische correctie tot governance-escalatie – blijft IE-mode een gecontroleerde maatregel met duidelijke uitstapcriteria. Borg bovendien dat elke remediatieactie resulteert in een kennisartikel of runbookupdate. Door in het script een integratie met een documentmanagementsysteem op te nemen, kan een samenvatting van de uitgevoerde stappen automatisch worden opgeslagen. Dit helpt servicedesks en change managers om trends te analyseren en structurele verbeteringen te plannen. In uitzonderlijke situaties kan het script het betreffende apparaat tijdelijk isoleren via Microsoft Defender for Endpoint, zodat aanvullend onderzoek kan plaatsvinden zonder de rest van het netwerk te belasten..

Compliance en Auditing

Voor compliance is het noodzakelijk dat alle IE-modeconfiguraties worden vastgelegd in een beleidsdocument waarin doel, scope, rollen, wijzigingsprocedures en exitcriteria zijn uitgewerkt. Dit document verwijst naar relevante normen, zoals BIO-maatregel BBDL3.2 voor applicatiebeheer en AVG-artikel 32 voor passende beveiligingsmaatregelen, en beschrijft hoe de Enterprise Mode Site List periodiek wordt herbeoordeeld door een multidisciplinair team bestaande uit security officers, functioneel beheerders en architecten. Bewijsstukken omvatten change-aanvragen, testresultaten, communicatie richting gebruikers en rapportages van het hierboven beschreven monitoringsproces. Tijdens audits moet kunnen worden aangetoond dat er een actueel migratieplan bestaat om legacy-applicaties te moderniseren en dat IE-mode uitsluitend wordt gebruikt zolang dat plan aantoonbaar vordert. Door deze documentatie te koppelen aan het Centrale Beveiligingsregister van de organisatie ontstaat een transparante keten die zowel interne als externe toezichthouders inzicht geeft in de beheersmaatregelen rondom legacy browserfunctionaliteit. Audittrailbeheer vereist dat elke wijziging in de site list wordt vastgelegd met datum, verantwoordelijke en motivatie. Dit kan worden gerealiseerd door gebruik te maken van Git-repositories waarin merge requests enkel worden goedgekeurd na vier-ogen-principe. De vastgelegde beslissingen dienen te worden gespiegeld aan leveranciersafspraken en projectplanningen zodat auditors kunnen controleren of afgesproken mijlpalen zijn behaald en of IE-mode nog gerechtvaardigd is. Daarnaast moeten privacy officers borgen dat logginggegevens geen overtollige persoonsgegevens bevatten; dit kan door pseudonimisering of data minimization toe te passen voordat rapportages worden gedeeld. Tot slot schrijven toezichthouders steeds vaker voor dat organisaties scenario’s oefenen waarin IE-mode abrupt moet worden uitgezet, bijvoorbeeld vanwege een kritieke kwetsbaarheid. Documenteer daarom noodprocedures en testresultaten van dergelijke oefeningen, zodat aantoonbaar is dat de organisatie snel kan reageren zonder bedrijfsprocessen langdurig te verstoren. Voor internationale en sectorale verantwoording is het raadzaam om het IE-modebeleid te spiegelen aan raamwerken zoals ISO 27001 Annex A, het Europese ENS-stelsel en specifieke richtlijnen van Logius. Door per controlemaatregel te beschrijven hoe IE-mode bijdraagt aan risicobeheersing, ontstaat een duidelijk narratief voor auditors en opdrachtgevers. Plan bovendien periodieke externe reviews door onafhankelijke auditors om te bevestigen dat documentatie, monitoring en remediatie daadwerkelijk worden uitgevoerd zoals beschreven; neem de bevindingen op in een verbeterplan dat onderdeel uitmaakt van de reguliere portfoliosturing.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Edge Policy: IE Integration Level - Beperkt Internet Explorer integratie .DESCRIPTION CIS Microsoft Edge Benchmark - Control 1.84 Configureert het niveau van Internet Explorer integratie in Edge. Internet Explorer is deprecated en bevat bekende beveiligingsrisico's. Deze policy beperkt IE integratie tot een minimum om legacy web applicaties te ondersteunen zonder onnodige exposure aan IE beveiligingsrisico's. RATIONALE: IE mode in Edge is bedoeld voor legacy compatibiliteit, maar moet beperkt worden omdat: - IE engine heeft bekende beveiligingslekken - Legacy rendering engine is minder veilig - Compatibility mode kan misbruikt worden - Minimale IE functionaliteit = minimale attack surface IMPACT: IE integratie wordt beperkt tot het minimaal noodzakelijke niveau. .NOTES Filename: browser-legacy-edge-mode.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 CIS Control: 1.84 (Level 1) Category: Compliance Registry Path: HKLM:\SOFTWARE\Policies\Microsoft\Edge Registry Value: InternetExplorerIntegrationLevel (DWORD) Expected Value: 0 (None) of 1 (IEMode) #> #Requires -Version 5.1 #Requires -RunAsAdministrator [CmdletBinding()] param( [Parameter()][switch]$WhatIf, [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [Parameter()][switch]$Revert ) $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge" $RegName = "InternetExplorerIntegrationLevel" $ExpectedValue = 0 # 0 = None, 1 = IE mode, 2 = IEStandalone $PolicyName = "IE Integration Level" function Connect-RequiredServices { $currentPrincipal = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()) return $currentPrincipal.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) } function Test-Compliance { $result = [PSCustomObject]@{ ScriptName = "browser-legacy-edge-mode.ps1" PolicyName = $PolicyName CISControl = "1.84" Level = "L1" Category = "Compliance" IsCompliant = $false RegistryPath = "$RegPath\$RegName" CurrentValue = $null ExpectedValue = $ExpectedValue Details = @() Recommendations = @() } if (-not (Test-Path $RegPath)) { $result.Details += "Registry pad bestaat niet" $result.Recommendations += "Voer remediatie uit met -Remediation parameter" return $result } try { $regValue = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop $result.CurrentValue = $regValue.$RegName if ($result.CurrentValue -eq $ExpectedValue) { $result.IsCompliant = $true $result.Details += "IE integratie is correct geconfigureerd" $result.Details += "Minimale legacy browser exposure" } else { $result.Details += "IE integratie niveau: $($result.CurrentValue) (verwacht: $ExpectedValue)" $result.Recommendations += "Beperk IE integratie voor betere beveiliging" } } catch { $result.Details += "Policy niet geconfigureerd" $result.Recommendations += "Voer remediatie uit" } return $result } function Invoke-Remediation { Write-Host "`nConfigureren IE Integration Level..." -ForegroundColor Cyan if (-not (Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null } Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force Write-Host " IE integratie level geconfigureerd" -ForegroundColor Green Write-Host "`nRemediatie compleet" -ForegroundColor Green } function Invoke-Monitoring { $result = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "COMPLIANCE CHECK: $($result.PolicyName)" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan if ($result.IsCompliant) { Write-Host "Status: COMPLIANT" -ForegroundColor Green } else { Write-Host "Status: NON-COMPLIANT" -ForegroundColor Red } foreach ($detail in $result.Details) { Write-Host " $detail" -ForegroundColor Gray } Write-Host "`n========================================`n" -ForegroundColor Cyan return $result } function Invoke-Revert { if (Test-Path $RegPath) { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue Write-Host "Policy verwijderd" -ForegroundColor Green } } try { if (-not (Connect-RequiredServices)) { exit 1 } if ($Monitoring) { $result = Invoke-Monitoring exit $(if ($result.IsCompliant) { 0 } else { 1 }) } elseif ($Remediation) { if ($WhatIf) { Write-Host "`nWATIF: Zou InternetExplorerIntegrationLevel = $ExpectedValue instellen" -ForegroundColor Yellow } else { Invoke-Remediation } } elseif ($Revert) { Invoke-Revert } else { $result = Test-Compliance exit $(if ($result.IsCompliant) { 0 } else { 1 }) } } catch { Write-Error $_ exit 1 }

Risico zonder implementatie

Risico zonder implementatie
Low: Wanneer organisaties zonder IE-mode blijven werken terwijl kritieke processen afhankelijk zijn van verouderde webtechnologie, ontstaat een reëel risico op verstoringen en productiviteitsverlies omdat transacties niet meer kunnen worden uitgevoerd. Medewerkers zoeken dan informele oplossingen, zoals het lokaal installeren van onbeheerde browsers of het heractiveren van Internet Explorer 11, wat zowel de kwetsbaarheid voor malware als de kans op datalekken vergroot. Anderzijds leidt het onbeheerst aan laten staan van IE-mode tot structureel gebruik van een kwetsbare engine, waardoor de aanvalsvectoren van Internet Explorer terugkeren. Zonder strikte policies kan een aanvaller via phishing een gebruiker naar een malafide site leiden die automatisch in IE-mode wordt geladen en ActiveX-misbruik mogelijk maakt. Het ontbreken van monitoring en documentatie resulteert bovendien in non-compliance met de BIO en de AVG, omdat niet kan worden aangetoond welke legacy processen nog bestaan en welke beheersmaatregelen zijn getroffen.

Management Samenvatting

Edge IE-mode biedt een gecontroleerde manier om onmisbare legacy webapplicaties beschikbaar te houden terwijl de beveiligingsfuncties van Microsoft Edge intact blijven. Centraal beheerde site lists, Intune-configuraties en het PowerShell-script browser-legacy-edge-mode.ps1 vormen samen de technische basis. Monitoring en remediatie zorgen ervoor dat alleen goedgekeurde URL’s IE-mode activeren en dat afwijkingen snel worden gecorrigeerd. Gebruik deze voorziening tijdelijk, documenteer elke uitzondering, stuur leveranciers aan op modernisering en schakel IE-mode uit zodra applicaties compatibel zijn met moderne webstandaarden.