BIO 05.01.01

Clear IE History Op Exit Disabled

📅 2025-10-30
⏱️ 2 minuten lezen
🟢 Nice-to-Have

💼 Management Samenvatting

Deze beleidsinstelling zorgt ervoor dat Microsoft Edge in IE-modus de browsegeschiedenis van sessies niet automatisch verwijdert zodra de gebruiker de browser sluit, waardoor forensische reconstructie en toezicht op misbruik mogelijk blijven zonder de dagelijkse gebruikerservaring onnodig te belasten.

Aanbeveling
AFWEGEN - LAGE PRIORITEIT
Risico zonder
Low
Risk Score
2/10
Implementatie
2u (tech: 1u)
Van toepassing op:
Edge

Wanneer geschiedenisgegevens abrupt verdwijnen, verliest de organisatie zicht op welke oude webapplicaties zijn benaderd, welke formulieren zijn ingevuld en of er verdachte redirects hebben plaatsgevonden; het uitschakelen van automatisch verwijderen verkleint daarmee het risico op onopgemerkte datalekken, fraudepatronen en beleidsafwijkingen.

PowerShell Modules Vereist
Primary API: Graph
Connection: Connect-MgGraph
Required Modules: Microsoft.Graph.DeviceManagement

Implementatie

De maatregel configureert via Microsoft Intune een Edge policy die het wissen van IE-modusgegevens bij het afsluiten blokkeert, borgt dat logging wordt doorgestuurd naar het centrale SIEM en koppelt dit aan procesafspraken over incidentrespons, privacy en archivering, volledig in lijn met de Nederlandse Baseline voor Veilige Cloud.

Vereisten

Het afdwingen van de instelling Clear IE History on Exit Disabled vereist dat het beheerteam een eenduidig governancekader voor Edge-policybeheer heeft vastgesteld waarin verantwoordelijkheden voor beleidsontwikkeling, configuratiebeheer en toezicht zijn vastgelegd. Zonder een formeel vastgesteld mandaat tussen CISO-office, functioneel beheer en werkplekbeheer ontstaat het risico dat beleidswijzigingen ad hoc plaatsvinden en dat uitzonderingen onvoldoende worden vastgelegd. Daarom is het noodzakelijk dat de organisatie een actueel beleid voor browser- en applicatiebeheer bezit, inclusief verwijzingen naar de Nederlandse Baseline voor Veilige Cloud, de BIO en interne privacyrichtlijnen, zodat iedere wijziging aantoonbaar is afgestemd met security, privacy en de ondernemingsraad. Waar nodig worden tijdelijke meetinstrumenten ingezet om configuratieverschillen tussen Intune en legacy GPO's inzichtelijk te maken. Daarnaast moeten de technische randvoorwaarden op orde zijn. Dat betekent dat Microsoft Intune of een gelijkwaardige beheertool centraal wordt ingezet, dat de tenants zijn gekoppeld aan Azure AD Conditional Access en dat Edge in IE-modus uitsluitend via beheerde werkplekken toegankelijk is. Beheerdersaccounts dienen meervoudige authenticatie te gebruiken, logging naar een gecentraliseerd SIEM te sturen en wijzigingen uitsluitend via change management te laten verlopen. Het licentiemodel moet Microsoft 365 E3 of hoger bevatten zodat het volledige spectrum aan browser policies en beheer-API's beschikbaar is. Werkstations moeten up-to-date Windows 10 of 11 builds draaien die door het SCCM- of Intune-team worden onderhouden, inclusief recente cumulatieve updates en een bewezen rollbackprocedure. Informatiebeveiliging en privacy spelen eveneens een grote rol. Omdat het uitschakelen van het automatisch wissen van geschiedenissen sporen achterlaat van mogelijk gevoelige onderzoeks- of opsporingsinformatie, moet er een classificatieplan bestaan dat aangeeft hoe browsergeschiedenis wordt aangemerkt en hoe lang deze gegevens mogen worden bewaard. Juridische en privacy officers moeten bevestigen dat het bewaren van IE-modusgeschiedenis in lijn is met AVG, Archiefwet en interne bewaartermijnen. Tegelijkertijd moet de organisatie procedures hebben om op verzoek van werknemers de gegevens in te zien of te verwijderen binnen de wettelijke kaders, inclusief het betrekken van de functionaris gegevensbescherming. Zonder deze afspraken kan de maatregel juridisch worden aangevochten en verdwijnt het draagvlak. Menselijke randvoorwaarden zijn minstens zo belangrijk als techniek. Servicedesks en lijnmanagers moeten weten waarom de wijziging nodig is, welke uitzonderingen er gelden en hoe gebruikersvragen moeten worden afgehandeld. Awarenessmateriaal legt uit dat de maatregel niet bedoeld is om medewerkers te bespioneren, maar om forensische sporen veilig te stellen bij incidenten of integriteitsonderzoeken. Trainingstrajecten voor beheer en security-analisten behandelen het uitlezen van Edge-logboeken, het veilig exporteren van geschiedenisgegevens en het anonimiseren van data voordat deze met externe partijen worden gedeeld. Ook wordt beschreven hoe verzoeken van opsporingsdiensten via het juridische kanaal moeten worden afgehandeld. Tot slot vraagt de maatregel om robuuste change- en releaseprocessen. Elke wijziging aan Edge policies wordt vooraf vastgelegd in een RFC, voorzien van risicoanalyse, rollbackplan en communicatiepakket. De organisatie moet een configuratiebaseline onderhouden waarin deze policy standaard is opgenomen, samen met scripts voor Desired State Configuration of Intune JSON-profielen. Er moet tooling zijn die policyverspreiding valideert op verschillende devicegroepen, inclusief thuiswerkplekken die via VPN verbinden en werkstations in maatwerkdomeinen. Door deze voorwaarden te borgen kan de instelling duurzaam worden afgedwongen en blijft de audittrail aantoonbaar consistent tijdens interne en externe controles.

Implementatie

De implementatie start met een nulmeting waarin het werkplekteam alle bestaande Edge policies inventariseert, inclusief lokale registry-instellingen die via oude groepsbeleidsobjecten worden afgedwongen. De bevindingen worden vastgelegd in de configuratiebibliotheek zodat duidelijk is waar inconsistenties bestaan tussen verschillende devicegroepen. Tijdens deze fase identificeert men ook legacy-toepassingen die IE-modus gebruiken, welke websites ze aanspreken en of er webapplicaties zijn die vertrouwelijke gegevens verwerken en dus extra logging behoeven. Het resultaat is een gedetailleerd vertrekpunt waarop de rest van het project kan bouwen, aangevuld met metrics over het aantal apparaten per configuratievariant zodat prioriteiten kunnen worden gesteld. Vervolgens definieert het security architectuurteam het functionele ontwerp. Zij beschrijven welke risico's de maatregel adresseert, welke juridische kaders relevant zijn en welke uitzonderingen tijdelijk kunnen worden toegestaan. Het ontwerp bevat besliscriteria voor situaties waarin het wissen van geschiedenis toch vereist is, bijvoorbeeld bij publieke kioskplekken of VDI-omgevingen waar gebruikers gedeelde werkstations gebruiken. Er worden datastromen en componentdiagrammen opgenomen zodat duidelijk is hoe IE-modus verkeer wordt gelogd, welke proxy's of CASB-oplossingen betrokken zijn en hoe gegevens worden beveiligd tijdens transport en opslag. Het document benoemt ook afhankelijkheden met SIEM- en recordsmanagementprocessen en bevat de bevindingen uit het privacy impact assessment. Daarna configureert het Intune-team een nieuw configuratieprofiel op basis van de Edge administrative templates. Men selecteert de policy ClearBrowsingDataOnExitList, vult expliciet de waarde in die voorkomt dat IE-modus geschiedenis wordt verwijderd, en koppelt deze instelling aan de juiste scope tags. In hetzelfde profiel worden gerelateerde instellingen meegenomen, zoals het verplicht gebruiken van Windows inloggegevens voor IE-modus en het beperken van wijzigingen door lokale beheerders, om de consistentie te verhogen. De configuratie wordt eerst uitgerold naar een afgesloten testgroep met virtuele machines die de verschillende werkplekscenario's nabootsen, inclusief apparaten die via privénetwerken of mobiele verbindingen werken. Wanneer het beleid is aangemaakt, wordt het deploymentplan uitgevoerd. Dit plan bevat een gefaseerde uitrol per businessunit, duidelijke communicatie over de impact en instructies voor servicedesks. Voor iedere golf wordt gecontroleerd of apparaten gezond rapporteren naar Intune, of de policy succesvol is toegepast en of er geen conflicterende instellingen bestaan vanuit oudere GPO's of lokale scripts. Het change team monitort realtime de compliance status in de Intune-rapportages, legt afwijkingen vast in het change register en stuurt waar nodig bij. Eventuele foutmeldingen worden direct geëscaleerd naar de productowner zodat technische blockers snel worden opgelost. Omdat IE-modus vaak wordt gebruikt voor bedrijfskritische line-of-business applicaties, wordt parallel een grondige test uitgevoerd met applicatie-eigenaren. Zij valideren dat functionaliteit behouden blijft en dat logging geen merkbare vertraging veroorzaakt. Het projectteam legt scripts vast waarmee tijdens incidenten de geschiedenis snel kan worden geëxporteerd en veilig kan worden gedeeld met forensische onderzoekers. Ook worden procedures opgesteld voor het minimaliseren van persoonsgegevens in exports, voor het versleutelen van bestanden en voor het registreren van wie toegang heeft tot de informatie. Resultaten van deze testen worden gedeeld met het privacy- en complianceforum zodat er breed draagvlak ontstaat. Ten slotte borgt de organisatie het beheer. De documentatie in het technische kennisportaal wordt bijgewerkt, inclusief screenshots, PowerShell-voorbeelden en verwijzingen naar de JSON-configuratie. Onafhankelijke kwaliteitscontrole verifieert dat het beleid is toegevoegd aan de standaard image, aan alle Intune device configuratieprofielen en aan eventuele fallback-scripts voor offline scenario's. Servicedeskteams ontvangen runbooks voor incidentafhandeling, terwijl security operations hun playbooks actualiseren om de nieuwe loggingbronnen te benutten. De implementatie wordt afgesloten met een formele go/no-go waarin security, privacy en operations bevestigen dat alle acceptatiecriteria zijn gehaald en dat kennis volledig is overgedragen.

Gebruik PowerShell-script clear-ie-history-on-exit-disabled.ps1 (functie Invoke-Monitoring) – Monitoren.

Monitoring

Effectieve monitoring begint met het definiëren van duidelijke meetpunten voor zowel configuratiecompliance als operationele signalen. Intune levert rapportages over het percentage apparaten dat de policy succesvol ontvangt; deze data wordt dagelijks geëxporteerd naar het datawarehouse zodat trends zichtbaar blijven. Aan de clientzijde worden Windows Event Logs en Edge Diagnostic Data verzameld om te controleren of geschiedenisbestanden daadwerkelijk behouden blijven na het afsluiten van IE-modus. Door deze meetpunten te combineren en te koppelen aan releasekalenders kan het beheerteam onderscheid maken tussen configuratiefouten, gebruikersgedrag en applicatieproblemen. Naast telemetrie op device-niveau wordt netwerk- en proxylogging ingezet om te zien welke IE-moduswebsites veel worden bezocht en of er plotseling ongebruikelijke patronen ontstaan. Deze logregels worden verrijkt met device- en gebruikerscontext voordat ze het SIEM bereiken, zodat analisten direct herleidbare informatie hebben. Dashboards geven inzicht in anomalieën, bijvoorbeeld als een device plotseling stopt met het versturen van geschiedenisdata of wanneer een applicatie massaal een clearing-actie initieert. Door de data minimaal een jaar te bewaren en periodiek te herbeoordelen kan men tijdens audits aantonen dat historie structureel beschikbaar is. Het SOC onderhoudt specifieke use cases in het SIEM die gericht zijn op het detecteren van pogingen om geschiedenisbestanden te manipuleren. Voorbeelden zijn scripts die de lokale Edge-profielmap vaak benaderen, onverwachte registrywijzigingen aan ClearBrowsingDataOnExitList of het gebruik van derde apps die geschiedenisbestanden opschonen. Wanneer dergelijke signalen binnenkomen, genereert het SIEM een waarschuwing die wordt verrijkt met Intune-compliancedata en endpoint-beveiligingsstatussen. Dit versnelt triage omdat analisten onmiddellijk zien of het een opzettelijke sabotagepoging betreft of een legitiem beheerproces en welke devices prioriteit hebben. Geautomatiseerde controles versterken de monitoring. Een PowerShell-runbook in Azure Automation haalt dagelijks een steekproef van apparaten op, controleert via Graph API of het beleid actief is en vergelijkt dit met lokale registrywaarden en bestandstijdstempels. Afwijkingen worden als tickets geregistreerd in het ITSM-systeem en gekoppeld aan de verantwoordelijke teamleads. Daarnaast worden gebruikersmeldingen uit de servicedesk geanalyseerd op sleutelwoorden over IE-modus of browsegeschiedenis; deze tekstanalyses helpen om patronen te herkennen voordat ze escaleren en zorgen voor een feedbackloop naar het adoptieteam. Een volwassen monitoringsaanpak omvat ook periodieke evaluaties met privacy en compliance. Zij beoordelen of de verzamelde gegevens nog proportioneel zijn, of bewaartermijnen worden nageleefd en of additionele pseudonimisatie nodig is. Jaarlijks voert interne audit een steekproef uit waarbij apparaten worden onderzocht op aanwezigheid van geschiedenisdata en wordt vergeleken met de rapportages. De bevindingen worden verwerkt in een verbeterplan dat zorgt voor continue optimalisatie van processen, tooling en rapportages, inclusief afspraken over wie welke metric onderhoudt. Naast technische signalen wordt ook aandacht besteed aan organisatorische kwaliteitsmetingen. Elke kwartaal wordt een monitoringsreview gehouden waarin SOC, werkplekbeheer, privacy en businessrepresentanten gezamenlijk de bevindingen bespreken. Zij analyseren terugkerende waarschuwingen, beoordelen of runbooks nog actueel zijn en bepalen of extra automatisering nodig is. De notulen worden opgeslagen in het ISMS, inclusief beslissingen over verbeteracties, opleidingsbehoeften en eventuele escalaties naar het risicocomité. Hiermee ontstaat een traceerbare dialoog over de effectiviteit van de monitoring en wordt voorkomen dat signalen onder de radar verdwijnen. Elke review eindigt met een actielijst met eigenaar, einddatum en rapportagepad naar het directierisicocomité, zodat de opvolging aantoonbaar en bestuurbaar blijft.

Gebruik PowerShell-script clear-ie-history-on-exit-disabled.ps1 (functie Invoke-Monitoring) – Controleren.

Remediatie

Wanneer monitoring een afwijking signaleert, start het remediatieproces met een snelle validatie in het SOC. Analisten controleren of het signaal afkomstig is van een legitiem onderhoudsvenster, een bekende applicatie of mogelijk schadelijk gedrag. Zij raadplegen Intune, Defender for Endpoint en het SIEM om een tijdlijn te reconstrueren en aanvullende context te verzamelen. Deze validatie vindt bij voorkeur binnen vijftien minuten plaats zodat bewijsmateriaal niet verloren gaat. Pas zodra menselijke bevestiging is verkregen dat sprake is van een echte drift, wordt een incident geopend in het ITSM-systeem met een duidelijke classificatie en urgentie. Het incident wordt vervolgens overgedragen aan het werkplek- of applicatieteam dat eigenaar is van de betreffende devicegroep. Zij analyseren configuratieprofielen, scope tags en mogelijke conflicten met andere Edge policies. Indien nodig wordt een tijdelijke policy push gestart via Intune en wordt lokaal gecontroleerd of de registrywaarde is hersteld. Voor apparaten die offline zijn, wordt een script verstuurd via ConfigMgr of een remote assist-sessie om de instelling handmatig te corrigeren. Waar remote interventie niet mogelijk is, plant men een on-site bezoek en wordt het device uit productie genomen. Alle acties worden gelogd zodat later kan worden aangetoond dat het incident zorgvuldig is afgehandeld. Wanneer de oorzaak ligt bij een fout in het configuratieprofiel, wordt het wijzigingsproces opnieuw doorlopen. De policy wordt aangepast in de ontwikkeltenant, getest tegen referentieapparaten en daarna via change management uitgerold. Documentatie beschrijft exact welke versie van het profiel actief is en welke hashwaarden daarbij horen. Bij structurele fouten kan een hotfixrelease nodig zijn waarbij het oude profiel wordt teruggedraaid en een verbeterde versie wordt gepubliceerd. Hierbij hoort een duidelijke communicatie naar gebruikers zodat zij weten dat de geschiedenis tijdelijk mogelijk is gewist en dat aanvullende stappen worden genomen om dataverlies te beperken. Gerelateerde forensische gegevens moeten veilig worden behandeld. Als blijkt dat geschiedenisbestanden toch zijn gewist, wordt onderzocht of back-ups, SIEM-exports of proxylogs de ontbrekende informatie kunnen aanvullen. Eventuele herstelbestanden worden versleuteld opgeslagen met beperkte toegang zodat ketenpartners alleen lezen wat noodzakelijk is. Wanneer persoonsgegevens betrokken zijn, wordt de functionaris gegevensbescherming geïnformeerd en wordt beoordeeld of een datalekmelding noodzakelijk is. Het team documenteert welke gegevens zijn hersteld, welke niet, en hoe toekomstige verliezen worden voorkomen. Indien kwaadwillig handelen wordt vermoed, schakelt men direct het integriteits- of HR-team in. Na elke remediatie volgt een evaluatie. Lessons learned worden toegevoegd aan de runbooks, scripts worden verbeterd en monitoringregels worden aangescherpt zodat een vergelijkbare afwijking sneller wordt gedetecteerd. KPI's zoals mean time to detect en mean time to remediate worden bijgewerkt en besproken in het maandelijkse security governanceoverleg. De evaluatie resulteert in concrete verbeteracties met eigenaar, deadline en verwachte impact, die tijdens het volgende overleg worden gerapporteerd. Daarmee groeit de organisatie naar een voorspelbaar proces waarin afwijkingen van de Clear IE History on Exit Disabled policy snel én aantoonbaar worden hersteld. Governance speelt tijdens de remediatiefase eveneens een rol. Het risicocomité ontvangt maandelijks een samenvatting van alle afwijkingen, inclusief oorzaak, oplostijd en lessons learned. Deze rapportage toont of structurele verbetermaatregelen effect hebben en of extra capaciteit nodig is. Door de combinatie van managementrapportages en inhoudelijke reviews ontstaat een lerende organisatie waarin technische teams en bestuurders gezamenlijk prioriteiten stellen en borging van deze policy blijvend onder de aandacht houden.

Gebruik PowerShell-script clear-ie-history-on-exit-disabled.ps1 (functie Invoke-Remediation) – Herstellen.

Compliance en Auditing

Het borgen van compliance begint met duidelijke documentatie waarin het doel van Clear IE History on Exit Disabled wordt beschreven, inclusief koppelingen naar de Nederlandse Baseline voor Veilige Cloud, de BIO-controle 05.01.01 en relevante AVG-artikelen. Deze documentatie ligt vast in het informatiebeveiligingshandboek, wordt jaarlijks geactualiseerd en is beschikbaar voor auditors. Het beschrijft welke rollen verantwoordelijk zijn voor beleid, configuratie, monitoring en incidentafhandeling en hoe escalaties verlopen. Door deze context aan auditors te tonen is direct zichtbaar dat de maatregel onderdeel is van een breder governancekader en dat de verantwoordelijkheden zijn verankerd in het mandaat van het CISO-office. Naast beleidsdocumenten moet er een operationeel controlespoor zijn. Configuratie-exporten uit Intune, screenshots van het Edge-beheerportaal en resultaten van geautomatiseerde controles worden gearchiveerd in het auditdossier. Elk bestand krijgt metadata mee, zoals datum, verantwoordelijke en scope, zodat terug te leiden is waarom de controle is uitgevoerd. Hierdoor kan men aantonen dat de instelling continu actief is geweest en dat afwijkingen direct zijn opgepakt. Bij kwartaalreviews levert het werkplekteam een rapport aan waarin compliancepercentages, incidenten en verbeteracties zijn opgenomen, zodat bestuurders inzicht houden en tijdig bijsturen. Auditors hechten waarde aan een sluitende audittrail. Daarom wordt voor iedere wijziging aan het Edge-profiel een change record aangemaakt met referenties naar het besluitvormingsdocument, het testplan en de verificatieresultaten. Tijdens een audit kan men deze records naast de Intune-historie leggen om te bewijzen dat wijzigingen traceerbaar zijn en dat segregatie of duties is toegepast. Het is raadzaam een steekproefproces op te zetten waarbij maandelijks drie apparaten fysiek worden gecontroleerd; de bevindingen worden toegevoegd aan het dossier als aanvullende zekerheid en worden gedeeld met het lijnmanagement. Privacy en gegevensbescherming vormen een apart aandachtspunt omdat het bewaren van browsegeschiedenis persoonsgegevens kan bevatten. Het DPIA beschrijft waarom de maatregel proportioneel is, welke waarborgen gelden en hoe verzoeken van betrokkenen worden afgehandeld. Er is een procedure beschikbaar waarin staat hoe medewerkers inzage of verwijdering kunnen aanvragen, hoe juridische toetsing plaatsvindt en binnen welke termijn wordt gereageerd. Tevens wordt vastgelegd hoe lang geschiedenisdata mogen worden bewaard en welke technische maatregelen, zoals versleuteling, netwerksegmentatie en logging van toegang, van toepassing zijn. Tot slot moeten organisaties kunnen aantonen dat de maatregel aansluit bij bredere wettelijke verplichtingen, zoals de Archiefwet en sectorale richtlijnen voor de publieke sector. Dit betekent dat recordsmanagementteams betrokken zijn en dat bewaarschema's synchroon lopen met de loggingstrategie. Evaluaties met interne en externe auditors leveren aanbevelingen op die worden opgenomen in een verbeterregister met duidelijke eigenaar en einddatum. Door deze cyclus vol te houden, bewijst de organisatie dat Clear IE History on Exit Disabled niet slechts een losse technische instelling is, maar een volwassen control die integraal onderdeel vormt van het compliance- en auditprogramma. Daarnaast wordt tooling ingezet om de volledigheid van bewijsmateriaal te bewaken. Een geautomatiseerde workflow herinnert proceseigenaren eraan om elk kwartaal nieuwe exports, screenshots en auditnotulen te uploaden naar de centrale SharePoint-site. Het systeem controleert op metadata en versiebeheer, zodat auditors altijd de juiste versie terugvinden en wijzigingen in de tijd kunnen volgen. Deze discipline verlaagt de kans op ontbrekende stukken tijdens een audit aanzienlijk en ondersteunt continue verbetering van het complianceprogramma.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Edge Policy: Clear Browsing History On Exit - Behoud geschiedenis voor audit .DESCRIPTION CIS Microsoft Edge Benchmark - Control 1.56 Configureert of browsing history automatisch wordt gewist bij afsluiten. In enterprise omgevingen moet browsing history behouden blijven voor: - Security auditing en forensics - Compliance monitoring - Incident response - User behavior analytics RATIONALE: Het automatisch wissen van browsing history voorkomt: - Security audits en investigations - Compliance verificatie - Incident response procedures - Threat hunting activiteiten IMPACT: Browsing history wordt niet automatisch gewist en blijft beschikbaar voor audit doeleinden. .NOTES Filename: clear-ie-history-on-exit-disabled.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 CIS Control: 1.56 (Level 1) Category: Compliance Registry Path: HKLM:\SOFTWARE\Policies\Microsoft\Edge Registry Value: ClearBrowsingHistoryOnExit (DWORD) Expected Value: 0 (Disabled) #> #Requires -Version 5.1 #Requires -RunAsAdministrator [CmdletBinding()] param( [Parameter()][switch]$WhatIf, [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [Parameter()][switch]$Revert ) $ErrorActionPreference = 'Stop' $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge" $RegName = "ClearBrowsingHistoryOnExit" $ExpectedValue = 0 $PolicyName = "Clear Browsing History On Exit Disabled" function Connect-RequiredServices { $currentPrincipal = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()) return $currentPrincipal.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) } function Test-Compliance { $result = [PSCustomObject]@{ ScriptName = "clear-ie-history-on-exit-disabled.ps1" PolicyName = $PolicyName CISControl = "1.56" IsCompliant = $false CurrentValue = $null ExpectedValue = $ExpectedValue Details = @() } if (-not (Test-Path $RegPath)) { $result.Details += "Registry pad bestaat niet" return $result } try { $regValue = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop $result.CurrentValue = $regValue.$RegName if ($result.CurrentValue -eq $ExpectedValue) { $result.IsCompliant = $true $result.Details += "Browsing history wordt behouden voor audit" } else { $result.Details += "History wordt mogelijk gewist - audit problemen" } } catch { $result.Details += "Policy niet geconfigureerd" } return $result } function Invoke-Remediation { if (-not (Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null } Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force Write-Host "Clear history on exit disabled" -ForegroundColor Green } function Invoke-Monitoring { $result = Test-Compliance Write-Host "`nPolicy: $($result.PolicyName)" -ForegroundColor Cyan Write-Host "Status: $(if ($result.IsCompliant) { 'COMPLIANT' } else { 'NON-COMPLIANT' })" -ForegroundColor $(if ($result.IsCompliant) { 'Green' } else { 'Red' }) return $result } function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue } try { if (-not (Connect-RequiredServices)) { exit 1 } if ($Monitoring) { $result = Invoke-Monitoring exit $(if ($result.IsCompliant) { 0 } else { 1 }) } elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } } elseif ($Revert) { Invoke-Revert } else { $result = Test-Compliance exit $(if ($result.IsCompliant) { 0 } else { 1 }) } } catch { Write-Error $_ exit 1 }

Risico zonder implementatie

Risico zonder implementatie
Low: Wanneer Edge in IE-modus de browsegeschiedenis nog steeds automatisch wist, verdwijnen sporen die nodig zijn voor forensisch onderzoek, AVG-verzoeken en reconstructie van frauduleus gedrag. Hierdoor wordt het vrijwel onmogelijk om vast te stellen welke gevoelige webapplicaties zijn bezocht, welke formulieren zijn ingestuurd en welke accounts betrokken waren bij misbruik, met reputatie- en compliancegevolgen als gevolg.

Management Samenvatting

Schakel het automatisch wissen van IE-modusgeschiedenis uit zodat onderzoeksteams een volledig spoor behouden, blijf transparant richting gebruikers over het doel en combineer Intune policies met logging, monitoring en duidelijke processen voor privacyverzoeken.