BIO 05.01.01

IE Mode Unconfigured Reload Disabled

📅 2025-10-30
⏱️ 2 minuten lezen
🟢 Nice-to-Have

💼 Management Samenvatting

Deze beleidsmaatregel voorkomt dat medewerkers willekeurig Microsoft Edge in IE-modus herladen en houdt legacy webapplicaties binnen de strikt beheerde Enterprise Site List, zodat de digitale werkplek van Nederlandse overheden voorspelbaar en veilig blijft.

Aanbeveling
OVERWEEG - LAAG PRIORITEIT
Risico zonder
Laag
Risk Score
2/10
Implementatie
2u (tech: 1u)
Van toepassing op:
Edge

Wanneer gebruikers onbeheerde sites naar de oude Internet Explorer-engine kunnen sturen, ontstaan onverwachte aanvalspaden, inconsistent logging en afwijkingen van de BIO- en AVG-controles. Het uitschakelen van de herlaadknop borgt dat alleen goedgekeurde bedrijfsapplicaties nog IE-mode mogen gebruiken, waardoor kwetsbaarheden en compliance-afwijkingen vroegtijdig worden voorkomen.

PowerShell Modules Vereist
Primary API: Graph
Connection: Connect-MgGraph
Required Modules: Microsoft.Graph.DeviceManagement

Implementatie

De maatregel configureert Microsoft Edge via Intune of een gelijkwaardige beheerlaag met de policy InternetExplorerModeToolbarButtonEnabled = Disabled, gekoppeld aan een onderhouden Enterprise Site List, aanvullende change- en releaseprocedures en communicatie naar dienstverleners zodat gebruikerservaring, supportprocessen en audittrail synchroon blijven.

Vereisten

Het afdwingen van de instelling IE Mode Unconfigured Reload Disabled begint met een duidelijk begrip van waarom organisaties van de Nederlandse publieke sector het gebruik van de verouderde Internet Explorer-engine willen beperken. Zonder een verplichte Enterprise Site List kunnen gebruikers eigenhandig legacy weergave forceren, waardoor verkeer buiten het gecontroleerde applicatielandschap loopt. Voor deze maatregel is een actuele inventarisatie nodig van alle websites die IE-mode echt nog vereisen, inclusief beschrijvingen van onderliggende afhankelijkheden, authenticatiemethoden en functionele eigenaren. Documenteer voor elke toepassing welke bedrijfsprocessen geraakt worden, welke persoonsgegevens worden verwerkt en welke risico’s optreden wanneer gebruikers willekeurig overschakelen naar IE-mode. Naast de functionele inventarisatie vereist deze maatregel bestuurlijke randvoorwaarden. Stel een besluit vast waarin CISO, lijnmanagement en proceseigenaren expliciet instemmen met het verbod op handmatig herladen van onbeheerde sites. Veranker dit besluit in het informatiebeveiligingsbeleid, de BIO-maatregelen en relevante aanbestedingsdocumenten. Zorg dat privacy officers bevestigen dat het beperken van IE-mode helpt om verwerking van persoonsgegevens binnen ondersteunde browsers te houden en daarmee de naleving van de AVG bevordert. Leg vervolgens vast welke uitzonderingsprocedure geldt voor situaties waarin nieuwe applicaties tijdelijk IE-mode nodig hebben, inclusief maximale doorlooptijd, verantwoordelijke en goedkeuringsmatrix. Technisch gezien moet de organisatie beschikken over Microsoft Intune of een equivalent beheerplatform waarmee Microsoft Edge policies centraal kunnen worden uitgedeeld aan alle werkplekken die toegang hebben tot publieke diensten. Beheerderaccounts moeten de juiste rollen hebben in Entra ID, zoals Intune Administrator en Global Reader, zodat configuraties gecontroleerd en vier-ogen gevalideerd kunnen worden. Daarnaast is een up-to-date Enterprise Site List vereist die wordt opgeslagen in een versiebeheersysteem zoals Azure DevOps of GitHub Enterprise, zodat wijzigingen traceerbaar zijn. Werkstations moeten minimaal Windows 10 22H2 of Windows 11 draaien en Microsoft Edge versie 118 of hoger hebben om volledige ondersteuning voor deze policy te garanderen. Voorafgaand aan implementatie zijn test- en acceptatieomgevingen noodzakelijk waarin productieconfiguraties representatief gerepliceerd zijn. Richt een Intune-testtenant of -scope in met pilotapparaten uit verschillende organisatieonderdelen, inclusief apparaten met aanvullende beveiligingssoftware zoals EDR-agents of hardening-tools. Automatiseer configuratievalidatie door gebruik te maken van PowerShell-scripts en het Microsoft Graph API, maar zorg dat scripts statische code-analyse ondergaan en opgeslagen worden in de centrale code-repository van het project Nederlandse Baseline voor Veilige Cloud. Bovendien is een mechanisme nodig voor change- en releasebeheer, bijvoorbeeld via Azure Pipelines, zodat policywijzigingen alleen na formele goedkeuring richting productie gaan. Tot slot moeten ondersteunende diensten voorbereid zijn. Servicedeskmedewerkers hebben kennisartikelen nodig die beschrijven hoe gebruikers de Enterprisepolicy kunnen herkennen, welke foutmeldingen kunnen verschijnen en hoe verzoeken om uitzonderingen geregistreerd worden. Communicatieteams moeten intranetberichten en e-mails voorbereiden waarin helder wordt uitgelegd waarom het handmatig inschakelen van IE-mode niet meer is toegestaan en welke alternatieve browseropties beschikbaar zijn. Trainingen voor ontwikkelteams en leveranciers moeten benadrukken dat zij moderne browsertechnieken moeten toepassen en dat afwijkingen alleen via de uitzonderingsprocedure worden geaccepteerd. Door deze organisatorische, technische en communicatieve voorwaarden te realiseren ontstaat een stabiele basis voor het daadwerkelijk afdwingen van IE Mode Unconfigured Reload Disabled. Daarnaast vereist de maatregel dat leveranciersketens vroegtijdig worden betrokken. Veel publieke diensten hangen af van externe ontwikkelaars of SaaS-platforms die jarenlang Internet Explorer hebben ondersteund. Vraag in aanbestedingen om een roadmap richting moderne browsers, leg boeteclausules vast wanneer leveranciers geen migratiestappen leveren en organiseer gezamenlijke testsessies waarin zij aantonen dat functionaliteit zonder IE-mode werkt. Zorg dat de contractbeheerder deze verplichtingen volgt en dat juridische afdelingen paraat staan om uitzonderingen formeel te bekrachtigen. Door ook partners te positioneren binnen de randvoorwaarden ontstaat een consistent ecosysteem waarin ongecontroleerde IE-mode-acties niet meer worden getolereerd.

Implementatie

De implementatie start met het actualiseren van de Enterprise Site List en het vastleggen van verantwoordelijkheden binnen het werkplekteam. Breng in kaart welke businessapplicaties IE-mode nog vereisen en welke daarvan al gemigreerd zijn, zodat het project zich kan richten op uitzonderingen. Documenteer voor elk scenario welke fallback beschikbaar is, welke authenticatiemethodiek wordt gebruikt en welk team het eigenaarschap heeft. Deze inventarisatie vormt de basis voor de change die in het CAB wordt ingebracht en zorgt dat de organisatie kan aantonen dat de maatregel niet zomaar gebruikers hindert maar een expliciet beveiligingsdoel ondersteunt. Vervolgens configureert het Intune-team een nieuw configuratieprofiel voor Microsoft Edge met de instelling InternetExplorerModeToolbarButtonEnabled op Disabled. Hierbij worden scope tags en toewijzingen afgestemd op de bestaande hiërarchie van beheerorganisaties, zodat rijksbrede apparaten en gemeentelijke apparaten dezelfde policy op hun eigen tempo ontvangen. In het profiel worden aanvullende instellingen opgenomen, zoals de locatie van de Enterprise Site List en telemetrie-opties die het gebruik van IE-mode loggen. Elk profiel krijgt een duidelijke naamgeving en versiebeheerreferentie naar de repository van het project Nederlandse Baseline voor Veilige Cloud. Automatisering zorgt ervoor dat deze configuratie consequent kan worden uitgerold. Het aangehaalde PowerShell-script ie-mode-unconfigured-reload-disabled.ps1 gebruikt het Microsoft Graph API om beleidsstatussen uit te lezen en veranderingen gefaseerd uit te rollen. Voorafgaand aan productie wordt het script lokaal getest met veilige debuginstellingen, inclusief -WhatIf-scenario’s en transcriptlogging, zodat beheerders exact zien welke objecten worden aangemaakt of bijgewerkt. Het script wordt opgenomen in een pipeline waarin code-analyse, unittests van helperfuncties en een verplichte peer review zijn opgenomen. Voordat policies breed worden toegewezen, voert het projectteam een pilot uit met vertegenwoordigers van primaire processen, facilitair beheer en leveranciers. Gedurende minstens één volledige werkweek worden scenario’s getest waarin gebruikers proberen om onbeheerde sites in IE-mode te openen, terwijl de ondersteuning monitort welke meldingen of performanceverschillen optreden. Fallbackprocedures beschrijven hoe pilotgebruikers tijdelijk de policy kunnen omzeilen via een goedgekeurde registry override die automatisch na 24 uur verloopt. Alle bevindingen worden vastgelegd in Azure DevOps en gebruikt om documentatie en messaging aan te scherpen. Na de pilot volgt de productie-uitrol in golven. Elke golf bevat een communicatiemoment, een Intune-toewijzing, een verificatie via configuratierapporten en een akkoord van de servicemanager. Pas wanneer de rapportages uitwijzen dat honderd procent van de apparaten de instelling heeft ontvangen, wordt de oude policy verwijderd. De definitieve documentatie omvat een beheerinstructie voor werkplekbeheerders, een FAQ voor servicedesks en een paraaf van de CISO die bevestigt dat het verbod op handmatige IE-mode-activering in lijn is met de strategische beveiligingskaders. Tijdens de uitvoeringsfase is duidelijke communicatie richting eindgebruikers en leveranciers essentieel. Plan servicedeskscripts, walk-in sessies en korte video’s waarin wordt uitgelegd hoe het nieuwe gedrag eruitziet en welke stappen gebruikers moeten volgen als een site niet meer werkt. Koppel deze communicatie aan het moment waarop iedere implementatiegolf start, zodat gebruikers nooit verrast worden door de wijziging. Zorg bovendien voor een gecontroleerd change freeze-venster rond kritieke periodes, zoals verkiezingen of subsidierondes, waarin de policy tijdelijk niet wordt aangepast. Dit voorkomt dat belangrijke publieke processen risico lopen terwijl de werkplek wordt omgevormd.

Gebruik PowerShell-script ie-mode-unconfigured-reload-disabled.ps1 (functie Invoke-Monitoring) – Monitoren.

Monitoring

Monitoring van deze maatregel is cruciaal omdat gebruikersgedrag snel verandert zodra de IE-modeknop verdwijnt en er geen visuele aanwijzing meer is dat een site in legacy modus draait. Zonder inzicht kunnen beheerders niet aantonen dat de organisatie voldoet aan de eigen beleidsregels en is het onmogelijk om afwijkingen tijdig te corrigeren. Daarom definieert de organisatie een monitoringstrategie waarin zowel technische signalen als gebruikersfeedback worden meegenomen, zodat security officers, werkplekbeheerders en privacy officers dezelfde feitenbasis delen. De belangrijkste gegevensbron is Microsoft Edge zelf. Via het eventlog Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider wordt vastgelegd of de policy is toegepast en wanneer gebruikers toch proberen de IE-modeknop te activeren. Deze logs worden dagelijks naar Microsoft Sentinel of een andere SIEM-oplossing gestreamd, waar KQL-queries controleren of apparaten de juiste policyversie hebben. Daarnaast haalt het Graph-script compliancerapporten op uit Intune, zodat verschillen tussen configuratie en werkelijke status zichtbaar worden. Servicedeskregistraties en feedbackformulieren worden toegevoegd om te zien of gebruikers alsnog legacy gedrag proberen af te dwingen. Automatisering bundelt deze signalen. Het monitorscript in de repository draait volgens een schema in Azure Automation of GitHub Actions en gebruikt veilige applicatierechten om Graph te raadplegen. Het script genereert HTML- en CSV-rapporten die automatisch naar het werkplekteam en de CISO-office worden gemaild. Wanneer de job langer dan vijftien seconden loopt, wordt deze afgebroken om aan de projectspecificaties te voldoen en start een lichte variant die alleen kritieke controles uitvoert. Foutafhandeling schrijft naar het centrale incidentmanagementsysteem zodat geen enkel monitoringprobleem onopgemerkt blijft. De rapportages bevatten duidelijke indicatoren: het percentage apparaten waarop de policy compliant is, het aantal pogingen om onbeheerde sites opnieuw in IE-mode te laden, de tijd tussen detectie en follow-up, en eventuele uitzonderingen die via de governanceprocedure zijn goedgekeurd. Voor elk cijfer bestaat een drempelwaarde. Zo triggert elke afwijking boven de vijf procent automatisch een ticket voor het werkplekteam, terwijl een plotselinge stijging in gebruikersmeldingen leidt tot een communicatiecampagne. Grafieken laten trends per organisatieonderdeel zien zodat lokale managers kunnen bijsturen. Tot slot wordt monitoring ingebed in de reguliere besturing. De resultaten worden opgenomen in het maandelijkse BIO-rapport, gedeeld met de functionaris gegevensbescherming en besproken in het securityoverleg. Tijdens audits kan de organisatie aantonen dat er continu toezicht is op deze maatregel, inclusief bewaarde logs, scripts, wijzigingsverzoeken en beslisdocumenten. Door monitoring als integraal onderdeel van de levenscyclus te behandelen, blijft het verbod op ad-hoc IE-modegebruik niet alleen technisch actief maar ook bestuurlijk geborgd. Naast technische signalen worden ook kwalitatieve inzichten verzameld. Elk kwartaal organiseert het securityteam een gebruikerspanel waarin medewerkers uit verschillende generaties werkplekervaring geven over de stabiliteit van Edge zonder IE-modeknop. Hun input wordt vergeleken met de statistieken uit de SIEM om te bepalen of aanvullende communicatie of training nodig is. Tegelijkertijd wordt bekeken of loggegevens volgens de bewaartermijnen uit de Archiefwet worden opgeslagen, bijvoorbeeld door Sentinel-workspaces te koppelen aan Azure Storage met lifecycle policies. Zo ontstaat een volledig beeld waarin zowel cijfers als ervaringen laten zien dat de maatregel doet wat hij moet doen. Verder wordt monitoring gekoppeld aan de bredere risicoregisters van de organisatie. Elk kwartaal worden de rapportages besproken in het CIO-beraad en vergeleken met andere werkplekrisico’s, zoals patchachterstanden of identity-incidenten. Wanneer de trend laat zien dat IE-modegebruik ondanks het beleid toeneemt, kan het bestuur aanvullende maatregelen vaststellen, variërend van versnelde applicatiemigraties tot het beperken van lokale administratorrechten. Dezelfde rapportages voeden de planning van opleidingen, zodat teams met hogere aantallen afwijkingen extra workshops krijgen over modern webdesign en het correct aanmelden van uitzonderingen.

Gebruik PowerShell-script ie-mode-unconfigured-reload-disabled.ps1 (functie Invoke-Monitoring) – Controleren.

Remediatie

Wanneer monitoring uitwijst dat een apparaat of gebruiker alsnog onbeheerde sites in IE-mode kan herladen, treedt een strak gedefinieerd remediatieproces in werking. Het incident wordt automatisch vastgelegd in het ITSM-systeem met context zoals apparaatnaam, laatste synchronisatietijd, toegepaste policyversie en betrokken gebruiker. Het doel is om binnen dezelfde werkdag te bepalen of het om een technische afwijking gaat of om bewust ongeoorloofd gedrag. De eerste stap is classificatie. Het werkplekteam controleert of het apparaat recent verbinding heeft gehad met Intune en of er fouten voorkomen in het DeviceManagement-logboek. Wanneer het apparaat offline is, wordt de gebruiker gevraagd opnieuw in te loggen of verbinding te maken via VPN. Als de policy wel is toegewezen maar niet toegepast, wordt nagegaan of andere beveiligingsinstellingen conflicteren, bijvoorbeeld lokale groepsbeleidinstellingen of third-party hardeningtools. Bij vermoedens van opzettelijke omzeiling wordt de CISO gealarmeerd en kan het account tijdelijk in een beperkte groep worden geplaatst. Vervolgens wordt de technische correctie uitgevoerd. Het PowerShell-script Invoke-Remediation voert gecontroleerd dezelfde configuratiestappen uit als tijdens de implementatie, maar dan gericht op het probleemapparaat. Het script draait standaard met de parameter -Verbose en -Confirm:$false zodat beheerders de voortgang live zien terwijl de handeling zonder extra prompt wordt voltooid. Wanneer de afhankelijkheden het toelaten, wordt de Edge policy geforceerd gesynchroniseerd, de Enterprise Site List opnieuw ingeladen en het apparaat herstart. Alle acties worden gelogd en gekoppeld aan het incidentnummer. Na de technische herstelactie verifieert de servicedesk samen met de gebruiker of het probleem daadwerkelijk is opgelost. De gebruiker probeert opnieuw een onbeheerde site te openen; bij correcte configuratie verschijnt er geen IE-modeknop en wordt de site volgens de moderne Edge-engine weergegeven. De medewerker bevestigt dit via een kort feedbackformulier dat automatisch wordt toegevoegd aan het incidentdossier. Indien de gebruiker toch IE-mode nodig heeft, wordt de formele uitzonderingsprocedure gestart en wordt de aanvraag beoordeeld door de productowner van de betreffende applicatie. Het remediatieproces eindigt met een oorzaakanalyse en structurele maatregelen. Incidenten worden geaggregeerd om trends te herkennen, zoals specifieke organisatieonderdelen waarin policies vaker mislukken of leveranciers die verouderde instructies verspreiden. Het securityteam beoordeelt maandelijks of bestaande documentatie, trainingsmateriaal en automatiseringsscripts moeten worden bijgewerkt. Bevindingen worden gedeeld met het programmamanagement van Nederlandse Baseline voor Veilige Cloud zodat toekomstige releases rekening houden met dezelfde leerpunten. Zo blijft remediatie geen ad-hocactiviteit maar een continu verbeterproces. Waar mogelijk wordt remediatie ondersteund door contractuele afspraken met leveranciers. In beheercontracten wordt vastgelegd dat applicatiebouwers die nog IE-mode vereisen verplicht zijn een migratiepad te leveren en samen te werken bij tests. Indien een leverancier toch instructies rondstuurt om handmatig naar IE-mode te schakelen, kan de organisatie het contract aanspreken en eventueel boetes opleggen. Deze juridische borging geeft remediatiesteams extra gezag en voorkomt dat dezelfde fout zich blijft herhalen. Om remediatie te versnellen worden prestatie-indicatoren vastgelegd, zoals het aantal minuten tussen detectie en eerste actie, het percentage incidenten dat binnen één werkdag is opgelost en het aantal keren dat een uitzonderingsverzoek is afgewezen wegens ontbrekende onderbouwing. Deze cijfers worden besproken in het wekelijkse werkplekoverleg en vormen input voor verbeteracties. Daarnaast wordt iedere grote afwijking afgesloten met een mini-postmortem waarin lessons learned worden beschreven en gedeeld met andere overheidsorganisaties. Zo groeit de gezamenlijke kennisbasis en worden toekomstige incidenten sneller herkend.

Gebruik PowerShell-script ie-mode-unconfigured-reload-disabled.ps1 (functie Invoke-Remediation) – Herstellen.

Compliance en Auditing

Vanuit complianceperspectief onderbouwt deze maatregel meerdere BIO-controles, waaronder 05.01.01 over beleid voor informatiebeveiliging en 09.04 over toegangsbeveiliging van systemen. Door IE-mode-herlaadfunctionaliteit uit te schakelen laat de organisatie zien dat legacycomponenten alleen binnen vooraf goedgekeurde kaders mogen draaien. Dit ondersteunt bovendien de AVG, omdat het risico op verwerking van persoonsgegevens in niet-ondersteunde browsers aanzienlijk afneemt. In beleidsdocumenten wordt beschreven dat de moderne werkplek standaard Edge in moderne modus gebruikt en dat uitzonderingen via de Enterprise Site List verlopen. Auditors verwachten tastbaar bewijs. Daarom archiveert de organisatie alle relevante artefacten: exporten van Intune-configuratieprofielen, versies van de Enterprise Site List, screenshots van Edge-instellingen, changelogvermeldingen en correspondentie met applicatie-eigenaren. Elk artefact wordt voorzien van een versie, datum, eigenaar en bewaartermijn van minimaal één jaar. Door gebruik te maken van SharePoint Online met retentielabels wordt voorkomen dat bewijs per ongeluk wordt verwijderd. Tijdens audits wordt een steekproef uitgevoerd op apparaten, waarin auditors live laten zien dat de IE-modeknop ontbreekt. Parallel wordt een review gedaan van de monitoringrapporten en incidenttickets om te verifiëren dat afwijkingen consequent zijn opgepakt. Het team licht toe hoe de organisatie borgt dat leveranciersaanpassingen niet buiten zicht plaatsvinden, bijvoorbeeld door eisen op te nemen in SLA’s en door periodieke leveranciersaudits. Compliance vereist ook dat iedere wijziging aan deze policy via het formele changeproces loopt. Changeverzoeken bevatten een risicoanalyse, testresultaten, rollbackplan en een bevestiging dat scripts binnen vijftien seconden draaien of anders worden opgesplitst. Het CAB bewaart notulen waarin staat wie de wijziging heeft goedgekeurd en welke controles na uitrol zijn uitgevoerd. Deze documentatie vormt later de kern van het auditdossier. Ten slotte wordt naleving verankerd in het continue verbeterproces. Lessons learned uit monitoring en remediatie worden toegevoegd aan de beleidsdocumenten en gedeeld met andere overheidsorganisaties via het programma Nederlandse Baseline voor Veilige Cloud. Door duidelijk te rapporteren over behaalde resultaten en resterende risico’s bouwen organisaties vertrouwen op bij toezichthouders en bestuurders. Daarmee evolueert de maatregel van een technische instelling naar een gedocumenteerde governancepraktijk die duurzaam bijdraagt aan veilige clouddiensten. Specifiek voor auditors van de Algemene Rekenkamer en interne auditdiensten is het relevant dat de organisatie kan aantonen hoe beslissingen tot stand komen. Daarom bevat het compliance-dossier ook besluitvormingsnotities waarin de CISO uitlegt waarom ad-hoc IE-modegebruik onacceptabel is, hoe de organisatie uitzonderingen evalueert en welke alternatieven beschikbaar zijn. Wanneer een auditteam aanvullende informatie vraagt, kan men meteen verwijzen naar deze notities, wat tijd en discussie scheelt. Daarnaast is het raadzaam KPI’s rond naleving vast te leggen, zoals het aantal dagen tussen een geconstateerde afwijking en het leveren van auditbewijs, of het percentage applicatie-eigenaren dat de jaarlijkse herbeoordeling van de Enterprise Site List heeft afgerond. Deze indicatoren worden opgenomen in de managementrapportage en gekoppeld aan doelstellingen binnen de prestatiecyclus van betrokken teams. Hiermee wordt compliance meetbaar en krijgt het voldoende prioriteit in de organisatieplanning.

De volledige beleidscascade wordt ondersteund door duidelijke documentatie en versiebeheer. Elke wijziging aan procedures, scripts of communicatiemiddelen wordt vastgelegd in de centrale kennisbank, inclusief verwijzing naar het besluitnummer, verantwoordelijke en datum van inwerkingtreding. Hierdoor kunnen auditors en management onmiddellijk herleiden hoe de maatregel zich heeft ontwikkeld en welke lessen zijn geleerd na eerdere incidenten. Bovendien beschrijft de documentatie welke rollen betrokken zijn bij het onderhouden van de Enterprise Site List, hoe escalaties verlopen en welke communicatiekanalen worden gebruikt om medewerkers te informeren wanneer uitzonderingen vervallen. Deze transparantie voorkomt interpretatieverschillen tussen lijn- en stafafdelingen en maakt het eenvoudiger om nieuwe collega’s of externe auditors snel op snelheid te brengen.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Edge Policy: IE Mode Unconfigured Sites Reload Disabled .DESCRIPTION CIS Microsoft Edge Benchmark - Control 1.43 Voorkomt dat unconfigured sites in IE mode kunnen worden geladen. Deze policy voorkomt dat sites die NIET op de enterprise site list staan, kunnen worden geladen in IE mode. Dit zorgt ervoor dat alleen approved legacy apps IE mode gebruiken. RATIONALE: Ongecontroleerd IE mode gebruik kan: - Legacy IE kwetsbaarheden introduceren - Security boundaries omzeilen - Compliance issues creëren - Ongeautoriseerde legacy app access toestaan IMPACT: Alleen sites op de enterprise site list kunnen IE mode gebruiken. .NOTES Filename: ie-mode-unconfigured-reload-disabled.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 CIS Control: 1.43 (Level 1) Category: Compliance Registry Path: HKLM:\SOFTWARE\Policies\Microsoft\Edge Registry Value: AllowUnconfiguredSitesToReloadInInternetExplorerMode (DWORD) Expected Value: 0 (Disabled) #> #Requires -Version 5.1 #Requires -RunAsAdministrator [CmdletBinding()] param( [Parameter()][switch]$WhatIf, [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [Parameter()][switch]$Revert ) $ErrorActionPreference = 'Stop' $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge" $RegName = "AllowUnconfiguredSitesToReloadInInternetExplorerMode" $ExpectedValue = 0 $PolicyName = "IE Mode Unconfigured Sites Disabled" function Connect-RequiredServices { $currentPrincipal = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()) return $currentPrincipal.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) } function Test-Compliance { $result = [PSCustomObject]@{ ScriptName = "ie-mode-unconfigured-reload-disabled.ps1" PolicyName = $PolicyName CISControl = "1.43" IsCompliant = $false CurrentValue = $null ExpectedValue = $ExpectedValue Details = @() } if (-not (Test-Path $RegPath)) { $result.Details += "Registry pad bestaat niet" return $result } try { $regValue = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop $result.CurrentValue = $regValue.$RegName if ($result.CurrentValue -eq $ExpectedValue) { $result.IsCompliant = $true $result.Details += "Unconfigured sites kunnen niet in IE mode" $result.Details += "Alleen enterprise site list sites gebruiken IE mode" } else { $result.Details += "Unconfigured sites kunnen IE mode gebruiken - security risk" } } catch { $result.Details += "Policy niet geconfigureerd" } return $result } function Invoke-Remediation { if (-not (Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null } Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force Write-Host "Unconfigured sites IE mode reload disabled" -ForegroundColor Green } function Invoke-Monitoring { $result = Test-Compliance Write-Host "`nPolicy: $($result.PolicyName)" -ForegroundColor Cyan Write-Host "Status: $(if ($result.IsCompliant) { 'COMPLIANT' } else { 'NON-COMPLIANT' })" -ForegroundColor $(if ($result.IsCompliant) { 'Green' } else { 'Red' }) return $result } function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue } try { if (-not (Connect-RequiredServices)) { exit 1 } if ($Monitoring) { $result = Invoke-Monitoring exit $(if ($result.IsCompliant) { 0 } else { 1 }) } elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } } elseif ($Revert) { Invoke-Revert } else { $result = Test-Compliance exit $(if ($result.IsCompliant) { 0 } else { 1 }) } } catch { Write-Error $_ exit 1 }

Risico zonder implementatie

Risico zonder implementatie
Laag: Als gebruikers onbeheerde sites opnieuw in IE-modus kunnen laden, kunnen zij buiten de Enterprise Site List om kwetsbare legacycomponenten activeren, logging omzeilen en governance-afspraken schenden. Hierdoor wordt het lastig om BIO-controles en AVG-verplichtingen aan te tonen en blijft een kleine maar reële kans bestaan dat kwaadwillenden misbruik maken van verouderde rendering-engines.

Management Samenvatting

Schakel de IE-mode-herlaadknop in Microsoft Edge uit zodat alleen de formele Enterprise Site List bepaalt welke sites legacy weergave gebruiken. Hiermee behoud je governance, beperk je uitzonderingen en voorkom je dat gebruikers ad-hoc kwetsbare engines starten. Implementatie via Intune kost circa één uur, kent minimale kosten en levert vooral bestuurlijke rust op.