L1 BIO 12.06.01 ISO A.12.6.1 CIS 1.113

IE Mode Reload Knop Uitgeschakeld

📅 2025-10-30
⏱️ 5 minuten lezen
🟢 Should-Have

💼 Management Samenvatting

Verberg de 'Reload in Internet Explorer mode' knop in Edge om te voorkomen dat gebruikers handmatig kunnen switchen naar de legacy Internet Explorer engine, wat beveiligingsrisico's introduceert.

Aanbeveling
IMPLEMENT
Risico zonder
Medium
Risk Score
5/10
Implementatie
1u (tech: 0.5u)
Van toepassing op:
Edge

Internet Explorer mode in Edge maakt het mogelijk om legacy web applicaties die IE vereisen te blijven gebruiken, maar introduceert alle bekende IE beveiligingsrisico's: legacy rendering engine met known vulnerabilities, geen moderne security features (site isolation, sandboxing), ActiveX beheer mogelijk (major security risk), en legacy script engines met exploits. De 'Reload in IE mode' knop geeft gebruikers de mogelijkheid om elke willekeurige website in IE mode te openen, wat betekent: gebruikers kunnen bewust security omzeilen door moderne sites in IE mode te laden, IE mode wordt gebruikt buiten de geBeheereerde enterprise site list, en onnodige exposure aan IE kwetsbaarheden voor sites die het niet nodig hebben. IE mode moet ALLEEN worden gebruikt voor specifieke legacy business applicaties die in de enterprise site list staan, niet als algemene feature. Door de knop te verbergen wordt IE mode usage beperkt tot geBeheereerde scenarios.

PowerShell Modules Vereist
Primary API: Intune/GPO
Connection: N/A
Required Modules:

Implementatie

Deze control configureert de ShowReloadInInternetExplorerModeButton-policy op waarde 0 (verberg knop) via het register (HKLM:\SOFTWARE\Policies\Microsoft\Edge\ShowReloadInInternetExplorerModeButton is 0). Hierdoor is de 'Reload in IE mode' knop niet zichtbaar in de Edge UI. IE mode werkt nog steeds voor sites in de Enterprise Mode Site List (geconfigureerd via InternetExplorerIntegrationSiteList policy), maar gebruikers kunnen niet handmatig sites in IE mode laden.

Vereisten

Voor het implementeren van deze control is het belangrijk dat de organisatie een aantal basisvoorwaarden op orde heeft. Allereerst moet Microsoft Edge de primaire browser zijn op de werkplekken waarop dit beleid wordt afgedwongen. Dit betekent dat Edge daadwerkelijk in gebruik is als standaardbrowser voor medewerkers en dat eventuele resterende Internet Explorer-installaties zijn uitgefaseerd of strikt worden beperkt tot gecontroleerde scenario’s. Daarnaast moeten de betrokken systemen draaien op een ondersteund platform, zoals Windows 10, Windows 11 of een recente versie van Windows Server. Alleen dan zijn de benodigde beleidsinstellingen, beheermogelijkheden en beveiligingsupdates beschikbaar om IE mode op een veilige manier te configureren.

Een tweede vereiste is dat beheerders over de juiste rechten en processen beschikken om instellingen centraal te kunnen uitrollen. In de praktijk betekent dit dat er functionerende beheerkanalen zijn via bijvoorbeeld Microsoft Intune, Groepsbeleid (GPO) of een vergelijkbaar centraal beheerplatform. Beheerders hebben lokale administrator- of equivalente rechten op de doelapparaten, of zij kunnen via een geautomatiseerd configuratieproces beleidsinstellingen uitrollen zonder handmatige acties op individuele machines. Zonder deze centrale beheerlaag is het moeilijk om consistent af te dwingen dat de IE mode-knop overal daadwerkelijk wordt verborgen.

Omdat IE mode uitsluitend bedoeld is voor een beperkt aantal legacy bedrijfsapplicaties, is een actuele inventarisatie van deze applicaties een essentiële randvoorwaarde. De organisatie moet precies weten welke webapplicaties nog afhankelijk zijn van de Internet Explorer-renderingengine, welke businessprocessen daarvan gebruikmaken, en op welke systemen of voor welke gebruikersgroepen dit relevant is. Deze inventaris vormt de basis voor de Enterprise Mode Site List, waarin de concrete URL’s worden vastgelegd die nog in IE mode mogen openen. Zonder een zorgvuldig beheer van deze lijst wordt IE mode al snel een generieke vluchtweg voor gebruikers om moderne beveiligingsmaatregelen te omzeilen.

Tot slot is er een organisatorische voorwaarde: heldere afspraken over eigenaarschap en beheer van IE mode. Er moet duidelijk zijn welke afdeling verantwoordelijk is voor het bijhouden van de Enterprise Mode Site List, wie bepaalt of een nieuwe applicatie aan de lijst mag worden toegevoegd en hoe vaak de lijst wordt herzien. Ook moeten servicedesk- en supportprocessen zijn ingericht om meldingen over niet-werkende legacy applicaties op te vangen, zonder direct uit gemak de IE mode-knop weer zichtbaar te maken. Door deze verantwoordelijkheden expliciet vast te leggen, wordt voorkomen dat tijdelijke uitzonderingen of ad‑hocoplossingen uitgroeien tot een structureel beveiligingsrisico.

Implementatie

De implementatie van deze control begint met het kiezen van een centraal beheerkanaal waarmee Edge‑beleid uniform kan worden afgedwongen. In veel organisaties is Microsoft Intune het primaire platform voor moderne werkplekken, terwijl in meer traditionele omgevingen Groepsbeleid (GPO) nog een belangrijke rol speelt. Ongeacht het gekozen platform is het doel hetzelfde: de beleidsinstelling ShowReloadInInternetExplorerModeButton moet expliciet worden uitgeschakeld, zodat de knop om een pagina opnieuw te laden in IE mode niet langer zichtbaar is in de Edge-interface. Deze instelling wordt doorgaans als onderdeel van de Microsoft Edge beleidsset geconfigureerd en resulteert technisch in een registrywaarde onder HKLM:\SOFTWARE\Policies\Microsoft\Edge.

Bij gebruik van Intune wordt een configuratieprofiel aangemaakt voor het platform "Windows 10 en later", waarbij de instellingen worden beheerd via de Settings catalog. Binnen deze catalogus wordt de categorie voor Microsoft Edge en specifiek de sectie voor Internet Explorer-integratie geselecteerd. Daar wordt de instelling voor de knop ingesteld op uitgeschakeld, zodat Edge het element in de gebruikersinterface niet meer aanbiedt. Parallel hieraan wordt gecontroleerd of de algemene IE mode‑configuratie correct is ingericht: IE mode moet alleen worden geactiveerd wanneer daadwerkelijk legacy applicaties in beeld zijn, en nooit als generieke browseroptie voor alle websites.

Een cruciale stap in de implementatie is het goed configureren en beheren van de Enterprise Mode Site List. In deze lijst staan de URL’s van de specifieke legacy webapplicaties die nog in IE mode mogen draaien. De lijst wordt als XML-bestand gepubliceerd op een centraal bereikbare locatie en het pad daarnaar wordt via beleid aan Edge doorgegeven. Tijdens de implementatie wordt gecontroleerd of de business‑eigenaren van de betrokken applicaties de inhoud van de lijst hebben gevalideerd en of er geen generieke of te brede patronen zijn opgenomen die de scope van IE mode onnodig vergroten. Tegelijkertijd wordt getest of gebruikers die de betreffende applicaties nodig hebben, deze nog steeds probleemloos kunnen benaderen.

Voor organisaties die aanvullende automatisering wensen, kan het meegeleverde PowerShell‑script worden ingezet om de gewenste instellingen te controleren en waar nodig te herstellen. Het script is ontworpen om zowel de beleidswaarde voor de IE mode-knop als de onderliggende registryinstellingen te valideren, zodat afwijkingen snel worden gedetecteerd. Dit maakt het mogelijk om de control op grote schaal uit te rollen en tegelijkertijd de configuratie in lijn te houden met de overeengekomen beveiligingsstandaard. Na implementatie wordt de wijziging gecommuniceerd naar gebruikers, met een duidelijke uitleg dat IE mode uitsluitend nog via de enterprise lijst wordt gebruikt voor specifieke bedrijfsapplicaties en niet langer handmatig kan worden geactiveerd via de knop.

Gebruik PowerShell-script ie-mode-button-disabled.ps1 (functie Invoke-Remediation) – PowerShell-script voor geautomatiseerde implementatie en herstel van de IE mode-knopconfiguratie.

Monitoring

Na implementatie is doorlopende monitoring noodzakelijk om zeker te stellen dat de IE mode-knop verborgen blijft en dat IE mode uitsluitend wordt gebruikt voor de beoogde legacy applicaties. De basis hiervan is een technische controle op de configuratie van Microsoft Edge. In de registry onder HKLM:\SOFTWARE\Policies\Microsoft\Edge moet de waarde voor ShowReloadInInternetExplorerModeButton aanwezig zijn en de waarde nul hebben. Wanneer deze waarde ontbreekt of een andere configuratie bevat, bestaat het risico dat de knop toch zichtbaar wordt of dat toekomstige wijzigingen in beleid niet correct worden toegepast.

Naast de statische configuratiecontrole is het van belang om het daadwerkelijke gebruik van IE mode te volgen. Veel organisaties maken hiervoor gebruik van telemetrie en rapportages binnen het Edge-beheer- of securitydashboard. Door inzichtelijk te maken welke sites in IE mode worden geopend, hoe vaak dit gebeurt en welke gebruikers hierbij betrokken zijn, kan worden beoordeeld of het gebruik overeenkomt met de vastgestelde Enterprise Mode Site List. Afwijkingen, zoals moderne websites die onverwacht in IE mode worden geladen, zijn een signaal dat de configuratie moet worden herzien of dat gebruikers proberen beperkingen te omzeilen.

Het monitoringproces omvat ook een periodieke review van verzoeken om nieuwe sites aan de Enterprise Mode Site List toe te voegen. Dergelijke verzoeken worden idealiter vastgelegd in een formele changeprocedure, waarin de functionele noodzaak, de risicoanalyse en de goedkeuring door een security- of compliancefunctie worden gedocumenteerd. Door deze workflow te koppelen aan de rapportages over echt gebruik ontstaat een sluitende beheercyclus: alleen sites met een aantoonbare businessbehoefte worden toegevoegd, en gebruik van IE mode buiten deze scope wordt snel gedetecteerd en gecorrigeerd.

Gebruik PowerShell-script ie-mode-button-disabled.ps1 (functie Invoke-Monitoring) – Script voor geautomatiseerde controle van configuratie en IE mode-gebruik.

Compliance en Auditing

Het verbergen van de IE mode-knop draagt direct bij aan meerdere compliance-eisen die gericht zijn op het beheersen van technische kwetsbaarheden en het beperken van legacytechnologie. Door gebruikers niet langer de mogelijkheid te geven om willekeurige websites in IE mode te openen, wordt het aanvalsoppervlak van de organisatie verkleind en wordt voldaan aan het principe dat verouderde componenten alleen in strikt gecontroleerde situaties mogen worden gebruikt. Deze control sluit aan op de CIS Microsoft Edge Benchmark, waarin expliciet wordt aanbevolen om de knop te verbergen zodat IE mode niet als generiek hulpmiddel beschikbaar is op werkplekken.

Ook binnen Nederlandse kaders, zoals de Baseline Informatiebeveiliging Overheid (BIO), is het beheerst omgaan met kwetsbaarheden en legacysoftware een belangrijk aandachtspunt. Door IE mode uitsluitend in combinatie met een beheerde Enterprise Mode Site List toe te staan, kan de organisatie aantonen dat het gebruik van verouderde technologie is beperkt tot noodzakelijke bedrijfsapplicaties en dat er compenserende maatregelen zijn getroffen om de risico’s te beheersen. Dit ondersteunt de naleving van BIO-maatregelen rond kwetsbaarheidsbeheer en het uitfaseren van niet-ondersteunde software.

Internationale normen, zoals ISO 27001, benadrukken eveneens het belang van systematische beheersing van technische kwetsbaarheden. Door deze control te implementeren kan in audits worden aangetoond dat de organisatie een concreet en aantoonbaar beleid voert om de risico’s van Internet Explorer te minimaliseren. Tot slot sluit de maatregel aan bij de eisen uit NIS2, waar het beperken van legacytechnologie en het verhogen van de algehele cyberweerbaarheid van essentiële en belangrijke entiteiten centraal staat. In auditdossiers kunnen verwijzingen naar de relevante controls worden opgenomen, samen met configuratie-exporten, rapportages en bewijsmateriaal uit monitoring, zodat aantoonbare naleving eenvoudig is te onderbouwen.

Remediatie

Gebruik PowerShell-script ie-mode-button-disabled.ps1 (functie Invoke-Remediation) – Herstelt automatisch de configuratie zodat de IE mode-knop wordt verborgen en de registersleutel overeenkomt met het vastgestelde beleid..

Wanneer tijdens monitoring, auditing of incidentonderzoek blijkt dat de IE mode-knop toch zichtbaar is of dat de onderliggende registerinstelling ontbreekt of een onjuiste waarde heeft, moet dit snel en gecontroleerd worden hersteld. De eerste stap in de remediatie is het vaststellen van de omvang van het probleem: betreft het één individuele werkplek, een specifieke gebruikersgroep of een breder segment van de omgeving. Op basis hiervan wordt bepaald of handmatig ingrijpen volstaat of dat een geautomatiseerde aanpak nodig is. In veel gevallen is het efficiënter om de bestaande configuratieprofielen in Intune of GPO opnieuw af te dwingen, zodat de gewenste instelling opnieuw wordt toegepast op alle doelapparaten. Tegelijkertijd wordt nagegaan of recente wijzigingen in beleid, scripts of registry-instellingen onbedoeld hebben geleid tot het terugdraaien van de configuratie.

Het meegeleverde PowerShell-script ie-mode-button-disabled.ps1 speelt een centrale rol in het herstelproces. De functie Invoke-Remediation controleert of de sleutel ShowReloadInInternetExplorerModeButton aanwezig is en zet deze indien nodig op de juiste waarde, inclusief het aanmaken van ontbrekende registerpaden. Dit script kan gericht worden ingezet op de systemen waarop afwijkingen zijn vastgesteld, bijvoorbeeld via een Intune remediation policy of een ander beheerplatform. Door de remediatie te automatiseren, wordt de kans op menselijke fouten verkleind en kan binnen korte tijd worden verzekerd dat alle betrokken werkplekken opnieuw voldoen aan de vastgestelde norm.

Na het uitvoeren van de remediatie is een expliciete naverificatie noodzakelijk. Beheerders controleren zowel technisch als functioneel of de IE mode-knop daadwerkelijk is verdwenen uit de Edge-interface en of de Enterprise Mode Site List nog correct functioneert. Daarnaast wordt de incidentdocumentatie bijgewerkt: oorzaak, impact, genomen maatregelen en eventueel vervolgacties worden vastgelegd, zodat hier bij toekomstige audits of evaluaties naar kan worden verwezen. Indien het incident wijst op structurele tekortkomingen in beheerprocessen, bijvoorbeeld ontbrekende changecontrole of onvoldoende testen, worden verbetermaatregelen geformuleerd. Op deze manier wordt remediatie niet alleen een technische herstelactie, maar een integraal onderdeel van continue verbetering van de beveiliging en naleving binnen de organisatie.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Edge Policy: IE Mode Button Disabled - Verbergt IE mode reload knop .DESCRIPTION CIS Microsoft Edge Benchmark - Control 1.113 Verbergt de "Reload in Internet Explorer mode" knop in Edge. Deze knop stelt gebruikers in staat om pagina's handmatig in IE mode te laden, wat legacy IE beveiligingsrisico's introduceert. De knop moet verborgen worden tenzij IE mode expliciet vereist is volgens enterprise site list. RATIONALE: De IE mode reload knop kan leiden tot: - Ongeautoriseerd gebruik van legacy IE engine - Onnodige exposure aan IE beveiligingsrisico's - Gebruikers die bewust security omzeilen - IE mode gebruik buiten gecontroleerde site list IMPACT: Gebruikers kunnen niet handmatig naar IE mode switchen. IE mode werkt alleen voor sites in de enterprise site list. .NOTES Filename: ie-mode-button-disabled.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 CIS Control: 1.113 (Level 1) Category: Compliance Registry Path: HKLM:\SOFTWARE\Policies\Microsoft\Edge Registry Value: ShowReloadInInternetExplorerModeButton (DWORD) Expected Value: 0 (Disabled/Hidden) #> #Requires -Version 5.1 #Requires -RunAsAdministrator [CmdletBinding()] param( [Parameter()][switch]$WhatIf, [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [Parameter()][switch]$Revert ) $ErrorActionPreference = 'Stop' $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge" $RegName = "ShowReloadInInternetExplorerModeButton" $ExpectedValue = 0 $PolicyName = "IE Mode Button Disabled" function Connect-RequiredServices { $currentPrincipal = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()) return $currentPrincipal.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) } function Test-Compliance { $result = [PSCustomObject]@{ ScriptName = "ie-mode-button-disabled.ps1" PolicyName = $PolicyName CISControl = "1.113" IsCompliant = $false CurrentValue = $null ExpectedValue = $ExpectedValue Details = @() } if (-not (Test-Path $RegPath)) { $result.Details += "Registry pad bestaat niet" return $result } try { $regValue = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop $result.CurrentValue = $regValue.$RegName if ($result.CurrentValue -eq $ExpectedValue) { $result.IsCompliant = $true $result.Details += "IE mode button is verborgen" $result.Details += "Gebruikers kunnen niet handmatig naar IE mode switchen" } else { $result.Details += "IE mode button is zichtbaar - security risk" } } catch { $result.Details += "Policy niet geconfigureerd" } return $result } function Invoke-Remediation { if (-not (Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null } Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force Write-Host "IE mode reload button disabled" -ForegroundColor Green } function Invoke-Monitoring { $result = Test-Compliance Write-Host "`nPolicy: $($result.PolicyName)" -ForegroundColor Cyan Write-Host "Status: $(if ($result.IsCompliant) { 'COMPLIANT' } else { 'NON-COMPLIANT' })" -ForegroundColor $(if ($result.IsCompliant) { 'Green' } else { 'Red' }) return $result } function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue } try { if (-not (Connect-RequiredServices)) { exit 1 } if ($Monitoring) { $result = Invoke-Monitoring exit $(if ($result.IsCompliant) { 0 } else { 1 }) } elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } } elseif ($Revert) { Invoke-Revert } else { $result = Test-Compliance exit $(if ($result.IsCompliant) { 0 } else { 1 }) } } catch { Write-Error $_ exit 1 }

Risico zonder implementatie

Risico zonder implementatie
Medium: Medium risico op onnodige blootstelling aan kwetsbaarheden in Internet Explorer. Gebruikers kunnen handmatig sites in IE mode laden buiten de beheerde Enterprise Mode Site List, wat bekende beveiligingsproblemen introduceert. Internet Explorer is end-of-life en mag alleen worden gebruikt voor specifieke legacy businessapplicaties, niet als algemene optie voor browsen.

Management Samenvatting

Verberg de IE mode-reloadknop om gebruikers te beperken tot gecontroleerd IE mode-gebruik via de Enterprise Mode Site List. IE mode is uitsluitend bedoeld voor legacy businessapplicaties en niet voor algemeen internetgebruik. Implementatie: ongeveer 30 minuten en draagt bij aan naleving van CIS 1.113.