BIO 05.01.01

IE Mode Wait Voor Unload Disabled

📅 2025-10-30
⏱️ 2 minuten lezen
🟢 Nice-to-Have

💼 Management Samenvatting

Deze beleidsinstelling optimaliseert het gedrag van Microsoft Edge wanneer legacy IE-modus wordt gebruikt, zodat gebruikers geen onnodige vertraging ervaren bij het sluiten van kritieke bedrijfsapplicaties.

Aanbeveling
OVERWEEG - LAAG PRIORITEIT
Risico zonder
Low
Risk Score
1/10
Implementatie
2u (tech: 1u)
Van toepassing op:
Edge

Door de wachttijd voor het ontladen van IE-modus te beheersen, voorkom je dat sessies vastlopen en blijft de gebruikerservaring voorspelbaar terwijl tegelijkertijd de beheersbaarheid van applicaties met hogere risicoprofielen behouden blijft.

PowerShell Modules Vereist
Primary API: Graph
Connection: Connect-MgGraph
Required Modules: Microsoft.Graph.DeviceManagement

Implementatie

Het beleid wordt uitgerold via Microsoft Intune en onderliggende Windows-beheerkanalen, waarbij documentatie, governance en validatie worden afgestemd op de Nederlandse kaders van de BIO, ISO/IEC 27001 en sectorale richtlijnen.

Vereisten

Een consistente configuratie van IE-modus in Microsoft Edge begint met een volledige inventarisatie van alle verouderde line-of-business-applicaties die nog steeds afhankelijk zijn van legacy rendering engines. Teams moeten per applicatie documenteren welke verouderde ActiveX-componenten, aangepaste beveiligingszones of intranetverwijzingen noodzakelijk zijn, zodat beleidsregels exact kunnen bepalen voor welke URL's IE-modus geactiveerd blijft. Zonder deze gedetailleerde lijst loop je het risico dat de instelling "Wait for Unload" onterecht wordt toegepast, waardoor gebruikers onnodig lang wachten op het sluiten van tabbladen. De inventarisatie omvat tevens een beoordeling van contractuele verplichtingen richting leveranciers en de verwachte uitfaseringsdatum, zodat het besluit om deze optimalisatie door te voeren breed gedragen wordt. Daarnaast moeten organisaties beschikken over een modern devicebeheerplatform, bij voorkeur Microsoft Intune met Endpoint Security-profielen en Azure AD Conditional Access, aangevuld met een duidelijk change control-proces. De basisvoorwaarde is dat alle betrokken Windows-clients zijn ingeschreven, dat ze voldoen aan de minimale OS-versies voor de gekozen Edge-release en dat ze regelmatig synchroniseren zodat beleidswijzigingen binnen enkele uren worden doorgezet. Het change- en releaseproces moet duidelijke freeze-periodes kennen en rollbackprocedures bevatten, omdat het uitschakelen van de wachttijd voor unload een merkbaar effect kan hebben op oudere webapplicaties die vertrouwen op synchrone opruimacties. Zonder deze governance-structuur ontstaat er geen gecontroleerde route om feedback uit pilots op te nemen. Netwerkinfrastructuur vormt een derde pijler. Zorg voor voldoende zichtbaarheid in proxy- en firewall-logs zodat je kunt herleiden welke sessies IE-modus activeren en welke vertragingen optreden tijdens het sluiten van pagina's. Vooraf ingestelde diagnostische kanalen, zoals Microsoft Edge Enterprise Sync, Microsoft 365 Lighthouse of Azure Monitor, moeten de telemetrie leveren die nodig is om prestaties voor en na de wijziging te vergelijken. Bovendien hoort een beveiligde configuratierepository, bijvoorbeeld een GitOps-achtige inrichting met verplichte code reviews en signing van beleidsbestanden, bij de basiseisen zodat wijzigingen in beleidssjablonen traceerbaar zijn en altijd vier-ogencontrole krijgen. Tot slot moeten ondersteunende functies zijn voorbereid. Helpdesks hebben scenario-gebonden scripts nodig om gebruikersvragen over veranderde laadtijden of foutmeldingen in IE-modus snel te triageren. Security officers en privacy officers toetsen vooraf dat het verkorten van unload-wachttijden geen effect heeft op logging, auditeerbaarheid of gegevensbewaring. Trainingen voor beheerders en key users moeten duidelijk maken hoe het beleid wordt uitgerold, hoe men lokale overrides herkent en hoe incidenten worden geëscaleerd. Wanneer aan deze organisatorische voorwaarden is voldaan, kan het team de configuratiewijziging verantwoord introduceren. Vergeet daarbij niet de juridische en contractuele randvoorwaarden. Dat betekent dat afspraken met leveranciers over ondersteuning van IE-modus schriftelijk zijn vastgelegd, dat service level agreements het effect op responstijden bespreken en dat de ondernemingsraad of cliëntenraad, indien relevant, is geïnformeerd. Ook moet er een besluitvormingsdocument liggen waarin de CISO expliciet vrijgeeft dat de instelling "Wait for Unload" mag worden uitgeschakeld op basis van een risicoanalyse. Pas wanneer alle genoemde voorbereidende werkzaamheden traceerbaar zijn vastgelegd in het configuration management database (CMDB) en in het security managementsysteem, voldoet de organisatie aan de vereisten om deze beleidsinstelling veilig toe te passen. Als sluitstuk hoort automatisering binnen bereik te zijn. Een volwassen organisatie beschikt over pipelines die configuratiebestanden linten, testen en signeren voordat ze naar Intune worden gepubliceerd. Daarbij worden referentie-VM's in Azure Lab Services of Windows 365 Cloud PC gebruikt om installatie, regressietests en prestatiemetingen te automatiseren. Deze technische randvoorwaarde borgt dat het team snel kan itereren wanneer nieuwe Edge-versies verschijnen of wanneer aanvullende uitzonderingen moeten worden toegevoegd, zonder dat de kwaliteit van het beleid onder druk komt te staan.

Implementatie

De implementatie van "IE Mode Wait voor Unload Disabled" start met een ontwerpdocument dat de doelarchitectuur voor Edge-beleid beschrijft en waarin expliciet staat welke zones, sites of applicatiegroepen op welk moment de wijziging ontvangen. Beschrijf daarin de relatie met bestaande configuraties, zoals Enterprise Mode Site Lists, en benoem hoe het beleid zich verhoudt tot andere optimalisaties, bijvoorbeeld het forceren van moderne rendering voor intranetsites. Vervolgens wordt het beleid vertaald naar een Intune device configuration profile of een aangepaste ADMX-template, waarbij de beleidsinstelling wordt gezet op "Disabled" en voorzien van duidelijke naamconventies en tags zodat beheerders in één oogopslag herkennen dat het onderdeel is van de Nederlandse Baseline voor Veilige Cloud. Na het ontwerp volgt een gecontroleerde bouwfase. Gebruik een gescheiden beheertenant of een speciaal testsegment binnen Intune om het beleid klaar te zetten. Versleutelde opslag van het JSON-profiel in een broncodebeheeromgeving garandeert traceerbaarheid; elke wijziging gaat gepaard met een pull request, review door een collega-beheerder en een automatische validatie via PowerShell-testen. Het script `code/edge/compliance/ie-mode-wait-for-unload-disabled.ps1` wordt in deze fase ingezet om parameterwaarden te controleren, afhankelijkheden te valideren en mock-rapportages te genereren die laten zien welke apparaten in scope zijn. Wanneer het beleid stabiel is, start een pilot met een kleine representatieve gebruikersgroep die exact dezelfde legacy-applicaties gebruikt als de productieorganisatie. Leg vast hoe lang pagina's nodig hebben om te sluiten vóór en na de wijziging, welke foutcodes optreden en of er regressies ontstaan in combinatie met beveiligingssoftware zoals Microsoft Defender SmartScreen. Verzamel feedback via gestructureerde formulieren, beoordeel incidenttickets dagelijks en documenteer alle bevindingen in het projectdossier. Alleen als het gedrag voorspelbaar blijft en geen bedrijfskritieke processen hindert, mag de pilot door naar de volgende fase. De uitrol naar productie verloopt gefaseerd via ring-based deployment. Ring 0 bestaat uit het beheerteam zelf, ring 1 omvat kritieke afdelingen met directe ondersteuning, en ring 2 en verder volgen pas nadat monitoringgegevens aantonen dat de wijziging stabiel is. Elke ring kent een go/no-go-moment waarop de CISO of security architect formeel akkoord geeft. Maak gebruik van Intune assignment filters zodat apparaten met specifieke risico's, bijvoorbeeld medische apparatuur, voorlopig worden uitgesloten. Communicatieplannen voorzien gebruikers van duidelijke toelichtingen over wat er verandert en welke voordelen dit oplevert. Na voltooiing van de uitrol worden de configuraties geborgd in de reguliere lijnorganisatie. Het beheerteam plant periodieke reviews om te controleren of er nieuwe applicaties bijkomen die toch gebaat zijn bij het oude gedrag of dat legacy-componenten eindelijk uitgefaseerd zijn waardoor de instelling kan worden teruggedraaid. De volledige implementatiedocumentatie, inclusief testresultaten, risicoafwegingen en goedkeuringsbesluiten, wordt opgeslagen in het informatiebeveiligingsmanagementsysteem (ISMS). Zo blijft aantoonbaar dat de wijziging zorgvuldig, reproduceerbaar en in lijn met de Nederlandse Baseline voor Veilige Cloud is uitgevoerd. Als vervolgactiviteit wordt een permanente kennisborging ingericht. Documenteer lessons learned in het kennisportaal, voeg scenario's toe aan technische runbooks en verzorg kennissessies voor beheerders van applicaties die IE-modus gebruiken. Door ook leveranciers en externe auditpartners toegang te geven tot deze documentatie, kan het implementatieproces sneller worden herhaald wanneer nieuwe tenants aansluiten bij dezelfde baseline. Het succes van de implementatie staat of valt met betrokkenheid van proceseigenaren en informatiebeveiligingsfunctionarissen. Plan daarom gezamenlijke checkpoints waarin zij de gebruikerseffecten, risicoacceptatie en documentatie accorderen. Leg vast welke succescriteria gelden, zoals een reductie van gemiddelde tabsluitingstijd met tien procent of nul kritieke incidenten gedurende de pilot, en koppel hieraan expliciete exitcriteria zodat iedereen weet wanneer de rollout tijdelijk wordt gepauzeerd.

Gebruik PowerShell-script ie-mode-wait-for-unload-disabled.ps1 (functie Invoke-Monitoring) – Monitoren.

Monitoring

Monitoring begint met het vaststellen van concrete prestatie-indicatoren. Meet de gemiddelde tijd tussen het sluiten van een IE-modus-tabblad en het beschikbaar komen van Edge voor een nieuwe navigatie, zowel voor als na het uitschakelen van de wachttijd. Gebruik Microsoft Edge diagnostische logboeken, Windows Event Tracing for Browser (ETW) en inzichten uit Microsoft Intune om compliancepercentages per devicegroep te tonen. Combineer deze gegevens met gegevens van Azure Monitor of Sentinel om afwijkingen snel te herkennen. Het script `code/edge/compliance/ie-mode-wait-for-unload-disabled.ps1` levert geautomatiseerde controles op beleidstoepassing en registreert resultaten in een centrale Log Analytics-workspace. Zo ontstaat een eenduidige bron van waarheid over welke apparaten het beleid hebben ontvangen, wanneer de laatste synchronisatie heeft plaatsgevonden en of er fouten optraden tijdens de verwerking van het profiel. Deze data wordt verrijkt met hardwarekenmerken en applicatieversies, waardoor beheerders patronen kunnen herkennen, zoals specifieke bouwversies die vaker problemen tonen. Voor gebruikerservaringen worden digitale experience monitoring-middelen ingezet. Denk aan Microsoft Endpoint Analytics of derde partijen die real-user measurements verzamelen. Rapportages vergelijken de duur van pagina-overgangen, het aantal geforceerde herstarts van Edge en het volume aan helpdesktickets dat is gekoppeld aan IE-modus. Deze kwalitatieve informatie vormt een aanvulling op de technische telemetrie en geeft signalen of aanvullende communicatie of training nodig is. Monitoring omvat eveneens beveiligingsaspecten. Controleer of het uitschakelen van de wachttijd geen ongewenste effecten heeft op auditing of forensische reconstructies. Door correlaties te leggen tussen browser-logs en platformlogs, bijvoorbeeld de Windows Security-log of Defender for Endpoint alerts, kan men aantonen dat belangrijke gebeurtenissen zoals sessie-einde of cookieverwijdering nog steeds correct worden vastgelegd. Indien afwijkingen worden gevonden, moeten deze automatisch een melding genereren richting het SOC zodat tijdig herstelacties worden gestart. Alle bevindingen worden gevisualiseerd in Power BI- of Kusto-dashboarden die minimaal wekelijks worden beoordeeld tijdens operationele overlegmomenten. De dashboards tonen trends, compliancecijfers en outliers per organisatieonderdeel. Wanneer drempelwaarden worden overschreden, triggert het platform automatisch een werkstroom in Microsoft Defender XDR of een ServiceNow-ticket zodat opvolging nooit afhankelijk is van handmatige controles. Hiermee voldoet de organisatie aan de eis dat de configuratie continu aantoonbaar onder controle is. Tot slot wordt monitoring gekoppeld aan service level agreements. Elke cluster van werkplekken krijgt een targetwaarde voor maximale vertraging bij het sluiten van IE-modus en een maximaal aantal afwijkingen per rapportageperiode. Wanneer deze targets niet worden gehaald, informeert het dashboard automatisch de proceseigenaar en wordt een post-incident review gepland. Door deze feedbackloop structureel te maken, blijft de monitoring gericht op continue verbetering. Om datagedreven beslissingen mogelijk te maken worden monitoringresultaten verrijkt met metadata over locaties, business units en applicatieprofielen. Hierdoor is direct zichtbaar of bijvoorbeeld gemeentelijke kantoren andere prestaties ervaren dan landelijke diensten. De rapportages vermelden tevens de status van lopende verbeteracties en geven inzicht in de capaciteit die het beheerteam nodig heeft om afwijkingen af te handelen. SOC-analisten ontvangen daarnaast automatische alerts zodra het aantal afwijkende apparaten boven een vooraf bepaalde drempel komt. In het incidentresponsportaal staat exact beschreven welke triagevragen zij moeten stellen en hoe bevindingen worden teruggekoppeld naar het werkplekteam. Hiermee ontstaat één geïntegreerde ketenbewaking waarbij security en werkplekbeheer dezelfde telemetrie interpreteren.

Gebruik PowerShell-script ie-mode-wait-for-unload-disabled.ps1 (functie Invoke-Monitoring) – Controleren.

Remediatie

Wanneer monitoring uitwijst dat apparaten afwijken van het gewenste gedrag, wordt een gestandaardiseerd remediatieproces gevolgd. Stap één is het bevestigen van de feitelijke configuratiestatus met behulp van het PowerShell-script `code/edge/compliance/ie-mode-wait-for-unload-disabled.ps1`, dat de relevante registersleutels en beleidsinstellingen uitleest en vastlegt in een auditlog. Op basis van deze gegevens bepaalt het beheerteam of het probleem wordt veroorzaakt door synchronisatiefouten, lokale beleidsoverschrijvingen of incompatibele applicaties. Vervolgens wordt op elk betrokken apparaat een herconfiguratie uitgevoerd. Dit kan een geforceerde Intune-sync zijn, het opnieuw toepassen van het configuratieprofiel of het pushen van een herstelpolicy via een remediatiescript. Alle acties worden centraal gelogd, inclusief tijdstempel, uitvoerder en resultaatcode, zodat het bewijs direct beschikbaar is voor audits. Indien blijkt dat de wijziging structureel mislukt vanwege een specifieke legacy-toepassing, wordt een tijdelijke uitzondering aangevraagd bij de CISO, inclusief risico- en impactanalyse. Tijdens de remediatiefase staat communicatie centraal. Eindgebruikers worden geïnformeerd over de geplande werkzaamheden, verwachte impact en eventuele tijdelijke beperkingen. Helpdesks ontvangen kant-en-klare antwoorden en stappenplannen zodat zij gebruikersvragen snel kunnen beantwoorden. Indien bedrijfsprocessen risico lopen, wordt een business continuity-plan geactiveerd waarin alternatieve werkwijzen zijn uitgewerkt totdat het beleid weer conform is. Wanneer herstelacties zijn uitgevoerd, volgt een verificatiestap. Het monitoringdashboard moet aantonen dat de betreffende apparaten opnieuw compliant zijn en dat prestatie-indicatoren terugkeren naar normale waarden. Deze verificatie wordt door een andere beheerder dan degene die de remediatie uitvoerde bevestigd, conform het vier-ogenprincipe. Eventuele lessons learned worden vastgelegd in het ISMS en gedeeld met het change advisory board zodat toekomstige wijzigingen sneller en veiliger verlopen. Tot slot worden structurele verbetermaatregelen geformuleerd. Denk aan het aanscherpen van assignment filters, het toevoegen van aanvullende validaties in het CI/CD-proces voor configuraties of het automatiseren van herstelscripts via Intune Remediation Policies. Door remediatie niet alleen als herstelactie maar ook als leermoment te zien, bouwt de organisatie aan een volwassen beheerproces dat continu bijdraagt aan de betrouwbaarheid van de Nederlandse Baseline voor Veilige Cloud. Om de effectiviteit van remediatie te meten, worden key performance indicators gedefinieerd, zoals de gemiddelde oplostijd per incidentcategorie, het aantal apparaten dat na één herstelpoging compliant is en het percentage uitzonderingen dat langer dan dertig dagen openstaat. Deze cijfers worden elk kwartaal besproken met proceseigenaren en de CISO, zodat strategische keuzes kunnen worden gemaakt over verdere automatisering of het beëindigen van legacy-ondersteuning. Naast reguliere incidenten voert het beheerteam periodiek herstel-oefeningen uit waarbij bewust fouten in configuraties worden geïntroduceerd. Deze chaos engineering-benadering toont of detectie- en herstelprocedures ook werken wanneer meerdere afhankelijkheden tegelijk falen, zoals een onbereikbare Intune-service of een corrupte Enterprise Mode Site List. De resultaten worden gebruikt om runbooks te verfijnen en extra automatisering te rechtvaardigen. Resultaten van iedere herstelactie worden toegevoegd aan een centrale kennisbank met zoekbare casussen, screenshots en commando's. Nieuwe beheerders kunnen deze bibliotheek gebruiken als trainingsmateriaal en zien direct welke aanpak het effectiefst bleek voor specifieke foutcodes of apparaattypen. Naast technische acties wordt ook aandacht besteed aan organisatorische nazorg. Proceseigenaren evalueren met het beheerteam of tijdelijke work-arounds correct zijn verwijderd en of communicatie richting gebruikers voldoende duidelijk was. Deze terugblik resulteert in concrete verbeterpunten voor toekomstige wijzigingen en zorgt ervoor dat remediatie niet alleen de techniek herstelt, maar ook vertrouwen in de dienstverlening.

Gebruik PowerShell-script ie-mode-wait-for-unload-disabled.ps1 (functie Invoke-Remediation) – Herstellen.

Compliance en Auditing

Naleving draait om aantoonbaarheid. Documenteer dat deze beleidsinstelling onderdeel is van het informatiebeveiligingsplan en expliciet bijdraagt aan BIO-maatregel 05.01.01, omdat het beheer van technische kwetsbaarheden wordt verbeterd door verouderde componenten gecontroleerd te laten functioneren. Beschrijf in het ISMS hoe de instelling de continuïteit van kritieke processen ondersteunt en dat een bewuste risicoafweging door de CISO heeft plaatsgevonden. Voeg daarbij het besluit, de onderliggende tests en de verwachte voordelen als bijlage toe zodat auditors direct de rode draad zien. In lijn met de AVG moet worden aangetoond dat gebruikerservaringen en logging niet leiden tot het onnodig bewaren van persoonsgegevens. Daarom bevat de documentatie een overzicht van welke logbestanden worden verzameld, hoe lang deze worden bewaard en welke grondslag daarvoor geldt. De privacy officer bekijkt of verkorte unload-tijden geen effect hebben op de beschikbaarheid van forensische data en legt dit oordeel vast in het register van verwerkingsactiviteiten. Voor ISO/IEC 27001-verplichtingen is het noodzakelijk dat wijzigingen worden beheerst via formele change management-processen (Annex A.12). Alle stappen van inventarisatie tot en met productie-uitrol worden vastgelegd in change records met unieke identifiers, inclusief goedkeuringen, testrapporten en fallback-scenario's. Auditors kunnen zo verifiëren dat het principe van continue verbetering (Plan-Do-Check-Act) daadwerkelijk wordt toegepast. Ook leveranciers- en contractmanagement spelen een rol. Wanneer externe partijen betrokken zijn bij het beheer van Edge of bij het hosten van legacy-applicaties, moeten hun verplichtingen rondom het testen en ondersteunen van deze instelling contractueel worden geborgd. Leg vast welke service levels gelden, hoe escalaties verlopen en op welke wijze leveranciers rapporteren over compliance. Dit voorkomt discussies tijdens audits en zorgt voor een gedeeld verantwoordelijkheidsgevoel. Tot slot hoort bewijsmateriaal eenvoudig beschikbaar te zijn. Bewaar exports van Intune-rapportages, resultaten van het PowerShell-script, screenshots van monitoringdashboards en communicatie-uitingen richting gebruikers in een centrale auditmap met toegangsbeperkingen. Plan minimaal jaarlijks een interne audit waarin steekproeven worden genomen op deze evidences. Door deze cyclus consequent te volgen, blijft aantoonbaar dat de organisatie niet alleen het beleid heeft ingesteld, maar ook structureel bewaakt dat het effect in lijn blijft met de eisen van de Nederlandse Baseline voor Veilige Cloud. Voor extra transparantie wordt een compliance-roadmap gedeeld met het bestuur en, indien van toepassing, toezichthouders. Deze roadmap beschrijft welke aanvullende controles gepland staan, welke risico's resteren en hoe de organisatie borgt dat IE-modus volledig wordt uitgefaseerd zodra legacy-applicaties zijn gemoderniseerd. Door stakeholders proactief te informeren en hun feedback te verwerken, groeit het vertrouwen dat de configuratie niet alleen technisch klopt, maar ook bestuurlijk volwassen is. Publiceer samenvattende KPI's over naleving in het kwartaalrapportagepakket van de CISO, inclusief een overzicht van resterende risico's, geplande mitigaties en afhankelijkheden van externe partijen. Door deze rapportage te koppelen aan de enterprise risk management-cyclus blijft zichtbaar hoe de instelling bijdraagt aan de bredere strategie voor veilige digitale dienstverlening. Voor kritieke releases kan een onafhankelijke derde, bijvoorbeeld de interne auditafdeling of een externe assurancepartner, steekproeven uitvoeren op de gedocumenteerde stappen. Hun bevindingen worden opgenomen in het ISAE 3402- of DigiD-assessmentdossier zodat aantoonbaar is dat niet alleen eigen controles bestaan, maar dat ze ook extern zijn getoetst.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Edge Policy: IE Mode Wait For Unload Disabled .DESCRIPTION CIS Microsoft Edge Benchmark - Control 1.122 Configureert of Edge moet wachten tot IE mode tabs zijn unload voordat sessie eindigt. Deze policy voorkomt dat Edge onnodig wacht op IE mode tabs bij afsluiten. Dit verbetert de shutdown performance en voorkomt hang scenarios. RATIONALE: Wachten op IE mode tab unload kan: - Browser shutdown vertragen - Hang scenarios veroorzaken - User experience verslechteren - Forced shutdown noodzakelijk maken IMPACT: Edge sluit sneller af zonder te wachten op IE mode tabs. .NOTES Filename: ie-mode-wait-for-unload-disabled.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 CIS Control: 1.122 (Level 1) Category: Compliance Registry Path: HKLM:\SOFTWARE\Policies\Microsoft\Edge Registry Value: WaitForInternetExplorerModeTabsToUnloadBeforeBrowserSessionEnds (DWORD) Expected Value: 0 (Disabled - don't wait) #> #Requires -Version 5.1 #Requires -RunAsAdministrator [CmdletBinding()] param( [Parameter()][switch]$WhatIf, [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [Parameter()][switch]$Revert ) $ErrorActionPreference = 'Stop' $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge" $RegName = "WaitForInternetExplorerModeTabsToUnloadBeforeBrowserSessionEnds" $ExpectedValue = 0 $PolicyName = "IE Mode Wait For Unload Disabled" function Connect-RequiredServices { $currentPrincipal = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()) return $currentPrincipal.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) } function Test-Compliance { $result = [PSCustomObject]@{ ScriptName = "ie-mode-wait-for-unload-disabled.ps1" PolicyName = $PolicyName CISControl = "1.122" IsCompliant = $false CurrentValue = $null ExpectedValue = $ExpectedValue Details = @() } if (-not (Test-Path $RegPath)) { $result.Details += "Registry pad bestaat niet" return $result } try { $regValue = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop $result.CurrentValue = $regValue.$RegName if ($result.CurrentValue -eq $ExpectedValue) { $result.IsCompliant = $true $result.Details += "Edge wacht niet op IE mode tabs bij afsluiten" $result.Details += "Betere shutdown performance" } else { $result.Details += "Edge wacht op IE mode tabs - mogelijk hang scenarios" } } catch { $result.Details += "Policy niet geconfigureerd" } return $result } function Invoke-Remediation { if (-not (Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null } Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force Write-Host "IE mode wait for unload disabled" -ForegroundColor Green } function Invoke-Monitoring { $result = Test-Compliance Write-Host "`nPolicy: $($result.PolicyName)" -ForegroundColor Cyan Write-Host "Status: $(if ($result.IsCompliant) { 'COMPLIANT' } else { 'NON-COMPLIANT' })" -ForegroundColor $(if ($result.IsCompliant) { 'Green' } else { 'Red' }) return $result } function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue } try { if (-not (Connect-RequiredServices)) { exit 1 } if ($Monitoring) { $result = Invoke-Monitoring exit $(if ($result.IsCompliant) { 0 } else { 1 }) } elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } } elseif ($Revert) { Invoke-Revert } else { $result = Test-Compliance exit $(if ($result.IsCompliant) { 0 } else { 1 }) } } catch { Write-Error $_ exit 1 }

Risico zonder implementatie

Risico zonder implementatie
Low: IE mode wait for unload = minor performance impact (page transitions delayed waiting for legacy IE cleanup). Technical optimization, no security risk. Het risico is NONE - performance optimization only.

Management Samenvatting

IE Mode Wait for Unload Disabled: Disable waiting for IE mode page unload during transitions (minor performance optimization - faster navigation). NO security impact - purely performance tuning. Activatie: Edge policy → Configure IE mode transition behavior. Gratis. Implementatie: 1 uur. Very low priority - minimal performance benefit, no security value.