Background Mode Uitgeschakeld

De achtergrondmodus houdt Edge-processen actief zelfs na het sluiten van alle browservensters. Dit heeft verschillende nadelen: onnodige consumptie van systeembronnen zoals CPU en geheugen, een vergroot aanvalsoppervlak omdat actieve processen kunnen worden geëxploiteerd, en moeilijkere probleemoplossing omdat processen actief blijven hangen. Voor bedrijfsomgevingen is het beter om Edge volledig te stoppen bij afsluiten om deze risico's te beperken en de beveiligingspostuur te verbeteren.

Implementatie

Deze beheersmaatregel configureert de registerwaarde BackgroundModeEnabled op 0 via het pad HKLM:\SOFTWARE\Policies\Microsoft\Edge\BackgroundModeEnabled. Hierdoor stopt Edge volledig bij het sluiten van het laatste venster in plaats van processen actief te houden in de achtergrond. Deze technische configuratie zorgt ervoor dat alle Edge-processen worden beëindigd zodra het laatste browservenster wordt gesloten, waardoor er geen achtergrondactiviteit meer plaatsvindt. Dit vermindert niet alleen het bronnengebruik, maar minimaliseert ook het aanvalsoppervlak door te voorkomen dat er actieve processen blijven draaien die potentiële doelwitten kunnen vormen voor aanvallers.

Vereisten

Voordat u de achtergrondmodus-functionaliteit van Microsoft Edge uitschakelt, is het essentieel om te verifiëren dat uw organisatie beschikt over de juiste software, rechten en infrastructuur. Deze vereisten vormen de basis voor een succesvolle implementatie en zorgen ervoor dat de configuratie correct wordt toegepast zonder onbedoelde gevolgen voor de gebruikerservaring of beveiligingspostuur van de organisatie. Een grondige voorbereiding voorkomt implementatieproblemen en zorgt ervoor dat de wijziging naadloos wordt geïntegreerd in de bestaande IT-infrastructuur van de organisatie.

De primaire softwarevereiste is de aanwezigheid van Microsoft Edge op alle doelapparaten binnen de organisatie. Microsoft Edge is de standaard browser in moderne Windows-omgevingen en wordt automatisch geïnstalleerd met Windows 10 versie 1809 en hoger, evenals Windows 11. Voor organisaties die nog werken met oudere Windows-versies of die Edge handmatig hebben verwijderd, moet eerst een recente versie van Microsoft Edge worden geïnstalleerd. Het is belangrijk om te verifiëren dat alle apparaten minimaal Microsoft Edge versie 88 of hoger gebruiken, omdat oudere versies mogelijk niet volledig compatibel zijn met alle beleidsinstellingen die nodig zijn voor het uitschakelen van de achtergrondmodus. Deze versievereiste is cruciaal omdat Microsoft in latere versies verbeterde ondersteuning heeft toegevoegd voor enterprise-beleidsinstellingen via zowel Group Policy als Microsoft Intune.

Voor het configureren van de achtergrondmodus-instellingen zijn beheerdersrechten vereist op zowel het niveau van de clientapparaten als op het niveau van het beheersysteem. Op clientapparaten moeten lokale beheerdersrechten beschikbaar zijn wanneer u de instellingen handmatig configureert via het Windows-register. Echter, voor bedrijfsomgevingen wordt sterk aanbevolen om deze configuratie centraal te beheren via Microsoft Intune of Groepsbeleidsobjecten (GPO), wat vereist dat de persoon die de configuratie uitvoert beschikt over de juiste rechten binnen het beheersysteem. Centraal beheer biedt significante voordelen ten opzichte van handmatige configuratie, waaronder consistentie, schaalbaarheid en de mogelijkheid om wijzigingen automatisch te handhaven en te monitoren.

Voor Microsoft Intune-implementaties moet de beheerder beschikken over een licentie voor Microsoft Intune of Microsoft Endpoint Manager, en moet de organisatie beschikken over een Azure Active Directory-omgeving met de juiste Intune-licenties voor alle gebruikers of apparaten waarop het beleid wordt toegepast. De beheerder moet minimaal de rol 'Intune Service Administrator' of 'Policy and Profile Manager' hebben om Edge-beleid te kunnen maken en toewijzen. Daarnaast moet er een verbinding zijn tussen de apparaten en Intune, wat betekent dat apparaten moeten zijn ingeschreven via Mobile Device Management (MDM) of Mobile Application Management (MAM), afhankelijk van de implementatiestrategie van de organisatie. Deze inschrijving is een kritieke vereiste omdat zonder juiste inschrijving de beleidsinstellingen niet kunnen worden toegepast op de apparaten, wat resulteert in non-compliance en potentiële beveiligingsrisico's.

Voor Groepsbeleid-implementaties moet de organisatie beschikken over een Active Directory Domain Services-omgeving met de Groepsbeleidsbeheerconsole (GPMC) geïnstalleerd op een domeincontroller of een beheerwerkstation. De beheerder moet lid zijn van de 'Domain Admins' groep of beschikken over gedelegeerde rechten voor het beheren van Groepsbeleidsobjecten. Het is belangrijk om te verifiëren dat alle clientapparaten lid zijn van het Active Directory-domein en dat de Groepsbeleidsclient-service actief is en correct functioneert op alle doelapparaten. Deze verificatie is essentieel omdat een niet-functionerende Groepsbeleidsclient ervoor zorgt dat beleidsinstellingen niet worden toegepast, wat kan leiden tot inconsistenties in de beveiligingsconfiguratie en compliance-problemen tijdens audits.

Naast de technische vereisten is het ook belangrijk om organisatorische overwegingen te maken. Het uitschakelen van de achtergrondmodus kan invloed hebben op bepaalde functionaliteiten die gebruikers mogelijk verwachten, zoals het ontvangen van meldingen van websites wanneer de browser is gesloten, of het automatisch bijwerken van webapplicaties die in de achtergrond actief moeten blijven. Organisaties moeten daarom communiceren met gebruikers over deze wijziging en eventuele alternatieve oplossingen aanbieden voor functionaliteiten die mogelijk worden beïnvloed. Daarnaast moet er een testproces zijn waarbij de configuratie eerst wordt getest op een beperkte groep apparaten voordat deze wordt uitgerold naar de volledige organisatie. Deze gefaseerde aanpak minimaliseert de impact op de productiviteit van gebruikers en stelt IT-beheerders in staat om eventuele problemen te identificeren en op te lossen voordat de configuratie wordt uitgerold naar de volledige organisatie. Goede communicatie en gebruikersondersteuning zijn cruciaal voor het succes van deze wijziging en helpen bij het voorkomen van gebruikersfrustratie en ondersteuningsverzoeken.

Implementatie

Gebruik PowerShell-script background-mode-disabled.ps1 (functie Invoke-Remediation) – Automatiseert het uitschakelen van de achtergrondmodus via registerinstellingen en verifieert de configuratie.

De implementatie van het uitschakelen van de achtergrondmodus in Microsoft Edge kan worden uitgevoerd via verschillende methoden, afhankelijk van de infrastructuur en beheerstrategie van uw organisatie. De meest voorkomende methoden zijn Microsoft Intune voor cloud-gebaseerd beheer, Groepsbeleidsobjecten voor on-premises Active Directory-omgevingen, en handmatige registerconfiguratie voor individuele apparaten of testomgevingen. Elke methode heeft specifieke stappen en overwegingen die moeten worden gevolgd om een succesvolle implementatie te garanderen. De keuze voor een specifieke methode hangt af van verschillende factoren, waaronder de beschikbare infrastructuur, de grootte van de organisatie, de beheerstrategie en de vereisten voor schaalbaarheid en automatisering.

Voor organisaties die gebruikmaken van Microsoft Intune als primair beheersysteem, begint de implementatie met het aanmaken van een nieuwe App Configuration Policy voor Microsoft Edge. Navigeer naar het Microsoft Endpoint Manager admin center en selecteer Apps, gevolgd door App configuration policies. Klik op 'Add' en selecteer 'Managed apps' als het beleidstype. Kies Microsoft Edge uit de lijst van beschikbare apps en geef het beleid een duidelijke naam zoals 'Edge Achtergrondmodus Uitgeschakeld - Productie'. In de Configuration settings sectie moet u een nieuwe key-value pair toevoegen met de key 'BackgroundModeEnabled' en de waarde '0' om de achtergrondmodus uit te schakelen. Deze instelling zorgt ervoor dat Edge volledig stopt wanneer alle browservensters worden gesloten, in plaats van processen actief te houden in de achtergrond. Het gebruik van duidelijke naamconventies is belangrijk voor het beheer en de documentatie van beleidsinstellingen, vooral in grote organisaties waar meerdere beheerders betrokken zijn bij het beheer van de IT-infrastructuur.

Na het configureren van de beleidsinstellingen moet u het beleid toewijzen aan de juiste gebruikersgroepen of apparaatgroepen binnen uw organisatie. Het is aanbevolen om het beleid eerst toe te wijzen aan een testgroep met beperkte gebruikers om te verifiëren dat de configuratie correct werkt en geen onbedoelde gevolgen heeft voor de gebruikerservaring. Na succesvolle validatie kan het beleid worden uitgerold naar de volledige organisatie. Het beleid wordt automatisch toegepast wanneer apparaten synchroniseren met Intune, wat normaal gesproken binnen enkele minuten tot een uur gebeurt, afhankelijk van de synchronisatie-instellingen van het apparaat. Deze gefaseerde implementatieaanpak is een best practice die helpt bij het identificeren en oplossen van problemen voordat ze impact hebben op de volledige organisatie, wat de algehele succesvolle implementatie van de configuratie verbetert.

Voor organisaties die gebruikmaken van on-premises Active Directory met Groepsbeleid, moet u een nieuw Groepsbeleidsobject aanmaken of een bestaand GPO bewerken. Open de Groepsbeleidsbeheerconsole en navigeer naar de gewenste organisatie-eenheid of het domein waar u het beleid wilt toepassen. Maak een nieuw GPO aan met een duidelijke naam zoals 'Edge Achtergrondmodus Uitgeschakeld' of bewerk een bestaand Edge-beleidsobject. Navigeer naar Computer Configuration, Policies, Administrative Templates, Microsoft Edge. Zoek naar de beleidsinstelling 'Configure background mode' en stel deze in op 'Disabled'. Deze instelling komt overeen met het instellen van de registerwaarde BackgroundModeEnabled op 0 in het pad HKLM:\SOFTWARE\Policies\Microsoft\Edge. Het gebruik van Groepsbeleid biedt de mogelijkheid om beleidsinstellingen centraal te beheren en automatisch toe te passen op alle apparaten binnen een organisatie-eenheid, wat zorgt voor consistentie en vermindert de administratieve overhead van handmatige configuratie.

Na het configureren van de Groepsbeleidsinstellingen moet u de GPO koppelen aan de juiste organisatie-eenheden binnen Active Directory. Het is belangrijk om te verifiëren dat het beleid wordt toegepast op de juiste computeraccounts en niet op gebruikersaccounts, omdat de registerinstelling op machineniveau moet worden geconfigureerd. Na het koppelen van de GPO worden de instellingen automatisch toegepast wanneer clientapparaten hun Groepsbeleid bijwerken, wat normaal gesproken gebeurt bij de volgende Groepsbeleidsverversingscyclus (standaard elke 90 minuten) of bij het opnieuw opstarten van het apparaat. U kunt ook handmatig een Groepsbeleidsupdate forceren door de opdracht 'gpupdate /force' uit te voeren op de clientapparaten. Deze automatische toepassing zorgt ervoor dat nieuwe apparaten die aan het domein worden toegevoegd automatisch de juiste configuratie ontvangen, en dat wijzigingen in de beleidsinstellingen consistent worden toegepast op alle apparaten binnen de organisatie-eenheid.

Voor handmatige implementatie op individuele apparaten of in testomgevingen kunt u de registerinstelling direct configureren via de Register-editor of via PowerShell. Open de Register-editor (regedit.exe) met beheerdersrechten en navigeer naar het pad HKLM:\SOFTWARE\Policies\Microsoft\Edge. Als deze registersleutel nog niet bestaat, moet u deze eerst aanmaken. Maak vervolgens een nieuwe DWORD-waarde aan met de naam 'BackgroundModeEnabled' en stel de waarde in op 0. Als alternatief kunt u PowerShell gebruiken met de opdracht: New-ItemProperty -Path 'HKLM:\SOFTWARE\Policies\Microsoft\Edge' -Name 'BackgroundModeEnabled' -Value 0 -PropertyType DWORD -Force. Na het instellen van de registerwaarde moet Microsoft Edge volledig worden afgesloten en opnieuw worden gestart om de wijziging te activeren. Handmatige configuratie is vooral nuttig voor testdoeleinden of voor het oplossen van problemen, maar wordt niet aanbevolen voor productieomgevingen vanwege het gebrek aan centralisatie en de moeilijkheid om consistentie te handhaven over meerdere apparaten.

Ongeacht de gekozen implementatiemethode is het essentieel om na de implementatie te verifiëren dat de configuratie correct is toegepast. U kunt dit controleren door te verifiëren dat de registerwaarde BackgroundModeEnabled is ingesteld op 0 in het pad HKLM:\SOFTWARE\Policies\Microsoft\Edge. Daarnaast kunt u testen of Edge volledig stopt wanneer alle browservensters worden gesloten door Taakbeheer te openen en te controleren of er geen Edge-processen actief blijven na het sluiten van alle vensters. Het is ook aanbevolen om gebruikers te informeren over deze wijziging, omdat sommige functionaliteiten zoals achtergrondmeldingen mogelijk niet meer werken zoals gebruikers gewend zijn. Deze verificatie is een kritieke stap in het implementatieproces omdat het bevestigt dat de configuratie daadwerkelijk effect heeft en dat de beoogde beveiligingsdoelstellingen worden bereikt. Regelmatige verificatie helpt ook bij het identificeren van configuratiedrift, waarbij instellingen onbedoeld worden gewijzigd door gebruikers of andere software.

Monitoring

Gebruik PowerShell-script background-mode-disabled.ps1 (functie Invoke-Monitoring) – Verifieert de achtergrondmodusstatus op apparaten en rapporteert compliance-informatie.

Effectieve monitoring van de achtergrondmodus-configuratie is essentieel om te garanderen dat de beveiligingsinstelling consistent wordt toegepast op alle apparaten binnen de organisatie en om eventuele configuratiedrift of onbedoelde wijzigingen tijdig te detecteren. Monitoring moet worden uitgevoerd op regelmatige basis en moet zowel technische verificatie van de configuratie als compliance-rapportage omvatten om te voldoen aan audit- en governance-vereisten. Een goed ingericht monitoringsproces stelt organisaties in staat om proactief te reageren op compliance-problemen en zorgt ervoor dat de beveiligingsconfiguratie op peil blijft, wat cruciaal is voor het handhaven van een sterke beveiligingspostuur en het voldoen aan regelgevingsvereisten.

De primaire monitoringmethode is het verifiëren van de registerwaarde BackgroundModeEnabled op alle doelapparaten. Deze waarde moet consistent zijn ingesteld op 0 voor alle apparaten waar het beleid is toegepast. Voor Microsoft Intune-omgevingen kunt u de compliance-status controleren via het Microsoft Endpoint Manager admin center door te navigeren naar Devices, Compliance policies, en de compliance-status van apparaten te bekijken. Apparaten die niet voldoen aan het beleid worden gemarkeerd als 'Non-compliant' en moeten worden onderzocht om te bepalen waarom de configuratie niet correct is toegepast. Deze verificatie moet regelmatig worden uitgevoerd, bij voorkeur dagelijks of wekelijks, afhankelijk van de grootte van de organisatie en de beveiligingsvereisten. Automatische monitoringtools kunnen deze verificatie stroomlijnen en waarschuwingen genereren wanneer non-compliance wordt gedetecteerd, wat de responssnelheid verbetert en de algehele beveiligingspostuur versterkt.

Voor Groepsbeleid-omgevingen kunt u de Group Policy Results (GPResult) tool gebruiken om te verifiëren of het beleid correct wordt toegepast op clientapparaten. Voer de opdracht 'gpresult /h report.html' uit op een clientapparaat om een gedetailleerd rapport te genereren dat toont welke Groepsbeleidsobjecten zijn toegepast en of er eventuele fouten zijn opgetreden tijdens het toepassen van de beleidsregels. Daarnaast kunt u de Groepsbeleidsbeheerconsole gebruiken om de status van GPO's te controleren en te verifiëren dat ze correct zijn gekoppeld aan de juiste organisatie-eenheden. Deze tools bieden inzicht in de effectiviteit van de Groepsbeleidsimplementatie en helpen bij het identificeren van problemen die kunnen voorkomen dat beleidsinstellingen correct worden toegepast, zoals netwerkproblemen, servicefouten of conflicterende beleidsregels.

Geautomatiseerde monitoring kan worden geïmplementeerd via PowerShell-scripts die regelmatig worden uitgevoerd op alle apparaten binnen de organisatie. Deze scripts moeten de registerwaarde BackgroundModeEnabled controleren en rapporteren over apparaten waar de waarde niet correct is ingesteld. De scripts kunnen worden geïntegreerd met bestaande monitoring- en rapportagesystemen zoals Microsoft System Center Configuration Manager (SCCM), Microsoft Intune, of externe endpoint management oplossingen. Het is aanbevolen om deze geautomatiseerde controles minimaal dagelijks uit te voeren om configuratiedrift snel te detecteren. Deze geautomatiseerde aanpak zorgt ervoor dat non-compliance tijdig wordt opgemerkt en dat er direct actie kan worden ondernomen om de beveiligingsconfiguratie te herstellen. Geautomatiseerde monitoring vermindert de administratieve overhead aanzienlijk en zorgt voor consistentie in de monitoringprocessen, wat vooral belangrijk is in grote organisaties met honderden of duizenden apparaten die moeten worden gemonitord.

Naast technische verificatie van de configuratie is het ook belangrijk om te monitoren of Edge daadwerkelijk volledig stopt wanneer alle browservensters worden gesloten. Dit kan worden geverifieerd door periodiek Taakbeheer te controleren op actieve Edge-processen nadat alle Edge-vensters zijn gesloten. Als de achtergrondmodus correct is uitgeschakeld, zouden er geen Edge-processen actief moeten blijven in Taakbeheer. Deze verificatie kan worden geautomatiseerd via PowerShell-scripts die de Get-Process cmdlet gebruiken om te controleren op actieve Edge-processen. Deze functionele verificatie is belangrijk omdat het bevestigt dat de configuratie niet alleen technisch correct is ingesteld, maar ook daadwerkelijk het beoogde gedrag produceert. Functionele tests moeten worden uitgevoerd na de initiële implementatie en periodiek daarna om te verifiëren dat de configuratie effectief blijft, vooral na Edge-updates die mogelijk de werking van de achtergrondmodus-instelling kunnen beïnvloeden.

Voor compliance- en audit-doeleinden moet er regelmatige rapportage plaatsvinden over de compliance-status van de achtergrondmodus-configuratie. Deze rapporten moeten informatie bevatten over het totale aantal apparaten waar het beleid is toegepast, het aantal apparaten dat voldoet aan het beleid, het aantal apparaten dat niet voldoet, en eventuele trends in compliance over tijd. Deze rapporten kunnen worden gebruikt om management te informeren over de beveiligingspostuur van de organisatie en om te identificeren waar aanvullende aandacht nodig is voor het verbeteren van compliance. Effectieve rapportage is essentieel voor het demonstreren van compliance aan externe auditors en voor het ondersteunen van besluitvorming op managementniveau over beveiligingsinvesteringen en prioriteiten. Rapportage moet worden uitgevoerd op een regelmatige basis, bij voorkeur maandelijks of kwartaal, en moet worden opgeslagen voor audit-doeleinden volgens de documentatieretentievereisten van de organisatie.

Wanneer niet-compliant apparaten worden gedetecteerd, moet er een gestructureerd proces zijn voor het onderzoeken en oplossen van de problemen. Dit proces moet beginnen met het identificeren van de oorzaak van de non-compliance, wat kan variëren van beleidstoewijzingsproblemen tot lokale registerwijzigingen door gebruikers of andere software. Na het identificeren van de oorzaak moet de configuratie worden hersteld en moet worden onderzocht of er aanvullende maatregelen nodig zijn om te voorkomen dat het probleem opnieuw optreedt. Het is ook belangrijk om te documenteren welke maatregelen zijn genomen en wat de resultaten waren voor toekomstige referentie en audit-doeleinden. Dit gestructureerde proces zorgt voor consistentie in de aanpak van compliance-problemen en helpt bij het identificeren van systematische problemen die moeten worden aangepakt, zoals onvoldoende gebruikerseducatie, onvoldoende technische controles, of problemen met het beheersysteem zelf. Goede documentatie is essentieel voor het leren van incidenten en het verbeteren van de algehele beveiligingsprocessen van de organisatie.

Compliance en Accountantscontrole

Het uitschakelen van de achtergrondmodus in Microsoft Edge draagt bij aan het voldoen aan verschillende beveiligings- en compliance-frameworks die relevant zijn voor Nederlandse overheidsorganisaties en bedrijven die werken met gevoelige gegevens. Deze maatregel helpt organisaties om te voldoen aan vereisten voor resource management, beveiligingspostuur en risicobeperking zoals gedefinieerd in internationale en nationale standaarden. Compliance met deze frameworks is niet alleen een regelgevingsvereiste, maar ook een belangrijke indicator van de volwassenheid van de beveiligingsprocessen van een organisatie en het vermogen om effectief om te gaan met beveiligingsrisico's in een steeds complexere IT-omgeving.

De CIS Microsoft Edge Benchmark versie 1.0.0 bevat specifieke aanbevelingen voor het beveiligen van Microsoft Edge in bedrijfsomgevingen. Control 1.84 van deze benchmark beveelt expliciet aan om de achtergrondmodus uit te schakelen om te voorkomen dat Edge-processen actief blijven na het sluiten van alle browservensters. Deze control is geclassificeerd als Level 2, wat betekent dat het wordt aanbevolen voor organisaties die een hoger beveiligingsniveau willen bereiken. De CIS Benchmark wordt wereldwijd erkend als een best practice framework voor het beveiligen van IT-systemen en wordt vaak gebruikt als basis voor beveiligingsbeoordelingen en compliance-controles. Implementatie van CIS Benchmarks wordt door veel organisaties beschouwd als een belangrijke stap in het verbeteren van de beveiligingspostuur en het demonstreren van due diligence bij het beheren van IT-beveiligingsrisico's.

Het Baseline Informatiebeveiliging Overheid (BIO) framework, dat de Nederlandse standaard is voor informatiebeveiliging in de publieke sector, bevat verschillende controls die relevant zijn voor het uitschakelen van de achtergrondmodus. Specifiek verwijst control 12.06 naar resource management, waarbij organisaties moeten zorgen voor efficiënt gebruik van systeembronnen en moeten voorkomen dat onnodige processen resources consumeren. De achtergrondmodus houdt Edge-processen actief die CPU en geheugen gebruiken, zelfs wanneer de browser niet actief wordt gebruikt, wat in strijd is met het principe van efficiënt resource management zoals gedefinieerd in de BIO. Voor Nederlandse overheidsorganisaties is compliance met het BIO-framework een wettelijke vereiste, en het niet voldoen aan deze vereisten kan leiden tot compliance-problemen en mogelijke gevolgen tijdens audits door de Autoriteit Persoonsgegevens of andere toezichthouders.

Daarnaast draagt het uitschakelen van de achtergrondmodus bij aan het verminderen van het aanvalsoppervlak, wat relevant is voor verschillende BIO controls gerelateerd aan beveiligingsmaatregelen en risicobeperking. Actieve processen kunnen potentiële doelwitten zijn voor aanvallen, en door Edge volledig te stoppen wanneer het niet wordt gebruikt, wordt het aanvalsoppervlak verkleind. Dit is met name belangrijk voor organisaties die werken met gevoelige of geclassificeerde informatie, waarbij elk mogelijk beveiligingsrisico moet worden beperkt. Het principe van minimalisatie van het aanvalsoppervlak is een fundamenteel beveiligingsprincipe dat wordt ondersteund door alle belangrijke beveiligingsframeworks en is vooral relevant in een tijdperk waarin cyberaanvallen steeds geavanceerder worden en organisaties worden blootgesteld aan een breed scala aan bedreigingen.

Voor organisaties die moeten voldoen aan de Algemene Verordening Gegevensbescherming (AVG) kan het uitschakelen van de achtergrondmodus ook relevant zijn vanuit het perspectief van data minimalisatie en purpose limitation. De achtergrondmodus kan ervoor zorgen dat Edge blijft communiceren met externe services en data blijft verwerken, zelfs wanneer gebruikers de browser niet actief gebruiken. Door de achtergrondmodus uit te schakelen, zorgen organisaties ervoor dat dataverwerking alleen plaatsvindt wanneer dit daadwerkelijk nodig is voor de functionaliteit die de gebruiker op dat moment gebruikt, wat beter aansluit bij het principe van data minimalisatie. Dit principe vereist dat organisaties alleen de minimale hoeveelheid persoonsgegevens verzamelen en verwerken die nodig is voor het specifieke doel, en het uitschakelen van onnodige achtergrondverwerking helpt bij het naleven van deze vereiste. Compliance met de AVG is niet alleen een wettelijke verplichting, maar ook een belangrijke factor in het opbouwen van vertrouwen met burgers en het beschermen van hun privacyrechten.

Voor accountantscontrole-doeleinden is het belangrijk om te documenteren dat de achtergrondmodus-configuratie correct is geïmplementeerd en wordt gehandhaafd. Dit omvat het bijhouden van wanneer de configuratie is geïmplementeerd, welke apparaten zijn geconfigureerd, en regelmatige verificatie dat de configuratie nog steeds actief is. Bewijsmateriaal voor accountantscontrole kan worden verzameld via registercontroles, Groepsbeleidsrapporten, of Intune compliance-rapporten, afhankelijk van de gebruikte beheermethode. Deze documentatie moet worden bewaard voor de vereiste retentieperiode zoals gespecificeerd in het accountantscontrolebeleid van de organisatie, wat typisch minimaal 7 jaar is voor overheidsorganisaties in Nederland. Goede documentatie is essentieel voor het demonstreren van due diligence en het ondersteunen van compliance-claims tijdens externe audits. Het ontbreken van adequate documentatie kan leiden tot bevindingen tijdens audits en kan de geloofwaardigheid van de beveiligingsprocessen van de organisatie ondermijnen.

Tijdens externe accountantscontroles of compliance-beoordelingen kunnen accountants vragen om bewijs dat de achtergrondmodus-configuratie correct is geïmplementeerd. Dit bewijs kan worden geleverd door het tonen van registercontroles op willekeurig geselecteerde apparaten, het presenteren van compliance-rapporten uit het beheersysteem, of het demonstreren van de configuratie via Groepsbeleid of Intune beleidsinstellingen. Het is belangrijk om ervoor te zorgen dat deze documentatie actueel is en gemakkelijk toegankelijk is wanneer deze wordt gevraagd tijdens accountantscontroles. Het vermogen om snel en accuraat bewijs te leveren van compliance is een belangrijke indicator van de volwassenheid van de beveiligingsprocessen van een organisatie en kan het vertrouwen van auditors en stakeholders vergroten. Organisaties moeten daarom een gestructureerd proces hebben voor het verzamelen, opslaan en beheren van auditbewijs, inclusief regelmatige verificatie dat de documentatie compleet en accuraat is.

Remediatie

Gebruik PowerShell-script background-mode-disabled.ps1 (functie Invoke-Remediation) – Herstelt de achtergrondmodus-configuratie op apparaten waar deze niet correct is ingesteld.

Wanneer monitoring of compliance-controles aangeven dat de achtergrondmodus-configuratie niet correct is toegepast op bepaalde apparaten, moet er een gestructureerd remediatieproces worden gevolgd om de configuratie te herstellen en te verifiëren dat deze correct werkt. Remediatie moet worden uitgevoerd zodra non-compliance wordt gedetecteerd om te voorkomen dat apparaten langere tijd in een niet-beveiligde staat blijven en om te voldoen aan compliance-vereisten. Een snel en effectief remediatieproces is essentieel voor het handhaven van een sterke beveiligingspostuur en het minimaliseren van de tijd dat apparaten kwetsbaar zijn voor potentiële beveiligingsbedreigingen. Het proces moet worden gedocumenteerd en regelmatig worden geëvalueerd om te zorgen voor continue verbetering en effectiviteit.

Het remediatieproces begint met het identificeren van de oorzaak van de non-compliance. Er zijn verschillende mogelijke oorzaken waarom de achtergrondmodus-configuratie mogelijk niet correct is toegepast. Voor Microsoft Intune-omgevingen kan dit betekenen dat het beleid niet correct is toegewezen aan het apparaat, dat het apparaat niet correct is gesynchroniseerd met Intune, of dat er een conflict is met een andere beleidsinstelling. Voor Groepsbeleid-omgevingen kan dit betekenen dat de GPO niet correct is gekoppeld aan de organisatie-eenheid waar het apparaat zich bevindt, dat er een probleem is met de Groepsbeleidsclient-service, of dat er een conflict is met een andere GPO die de instelling overschrijft. Een grondige analyse van de oorzaak is essentieel voor het ontwikkelen van een effectieve remediatiestrategie en het voorkomen dat het probleem opnieuw optreedt. Deze analyse moet worden gedocumenteerd voor toekomstige referentie en om patronen te identificeren die kunnen wijzen op systematische problemen die moeten worden aangepakt.

Na het identificeren van de oorzaak moet de configuratie worden hersteld. Voor apparaten die beheerd worden via Microsoft Intune, kan dit betekenen dat de beleidstoewijzing moet worden geverifieerd en eventueel opnieuw moet worden toegepast. Als het apparaat niet correct synchroniseert met Intune, moet de synchronisatie worden geforceerd door de gebruiker te vragen om de bedrijfsportal-app te openen en handmatig te synchroniseren, of door een remote action te triggeren vanuit het Microsoft Endpoint Manager admin center. Als er een beleidsconflict is, moet dit worden opgelost door de conflicterende beleidsregels te herzien en te bepalen welk beleid prioriteit moet hebben. Het oplossen van conflicten vereist vaak een grondige analyse van de verschillende beleidsregels en hun doelen, en kan leiden tot het herzien van de algehele beleidsstructuur om toekomstige conflicten te voorkomen. Effectieve conflictresolutie is belangrijk voor het handhaven van consistente beveiligingsconfiguraties en het voorkomen van onbedoelde gevolgen van overlappende beleidsregels.

Voor apparaten die beheerd worden via Groepsbeleid, kan remediatie betekenen dat de GPO-koppeling moet worden geverifieerd en eventueel opnieuw moet worden toegepast. Als er een probleem is met de Groepsbeleidsclient-service, moet deze service worden herstart en moet worden gecontroleerd of deze correct functioneert. Als er een GPO-conflict is, moet dit worden opgelost door de Groepsbeleidsbeheerconsole te gebruiken om de beleidsprecedentie te controleren en eventueel aan te passen. Na het oplossen van het probleem moet een Groepsbeleidsupdate worden geforceerd op het clientapparaat door de opdracht 'gpupdate /force' uit te voeren. Het oplossen van Groepsbeleidsproblemen vereist vaak een combinatie van technische troubleshooting en administratieve acties, en kan leiden tot het identificeren van bredere problemen met de Groepsbeleidsinfrastructuur die moeten worden aangepakt om toekomstige problemen te voorkomen.

In sommige gevallen kan het nodig zijn om de registerinstelling handmatig te herstellen, met name wanneer de oorzaak van de non-compliance niet duidelijk is of wanneer er sprake is van lokale wijzigingen die niet via het beheersysteem kunnen worden opgelost. In deze gevallen moet de registerwaarde BackgroundModeEnabled handmatig worden ingesteld op 0 in het pad HKLM:\SOFTWARE\Policies\Microsoft\Edge. Dit kan worden gedaan via de Register-editor of via PowerShell met de opdracht: Set-ItemProperty -Path 'HKLM:\SOFTWARE\Policies\Microsoft\Edge' -Name 'BackgroundModeEnabled' -Value 0 -Type DWORD -Force. Na het instellen van de registerwaarde moet Microsoft Edge volledig worden afgesloten en opnieuw worden gestart om te verifiëren dat de wijziging effect heeft. Handmatige remediatie moet worden beschouwd als een tijdelijke oplossing, en de onderliggende oorzaak van de non-compliance moet worden geïdentificeerd en aangepakt om te voorkomen dat het probleem opnieuw optreedt. Herhaalde handmatige interventie kan wijzen op systematische problemen die moeten worden opgelost op het niveau van het beheersysteem of de organisatorische processen.

Na het uitvoeren van de remediatie moet de configuratie worden geverifieerd om te bevestigen dat deze correct is hersteld. Dit omvat het controleren van de registerwaarde BackgroundModeEnabled om te verifiëren dat deze is ingesteld op 0, en het testen of Edge volledig stopt wanneer alle browservensters worden gesloten. Als de remediatie succesvol is, moet het apparaat worden gemarkeerd als compliant in het beheersysteem en moet de compliance-status worden bijgewerkt. Als de remediatie niet succesvol is, moet het probleem verder worden onderzocht en moeten aanvullende maatregelen worden genomen. Verificatie is een kritieke stap in het remediatieproces omdat het bevestigt dat de configuratie daadwerkelijk is hersteld en dat het apparaat niet langer kwetsbaar is. Zonder adequate verificatie kan een organisatie ten onrechte aannemen dat een probleem is opgelost, wat kan leiden tot voortdurende compliance-problemen en beveiligingsrisico's.

Het is belangrijk om alle remediatie-acties te documenteren voor audit- en compliance-doeleinden. Deze documentatie moet informatie bevatten over wanneer de non-compliance werd gedetecteerd, wat de geïdentificeerde oorzaak was, welke remediatie-acties zijn uitgevoerd, en wat het resultaat was. Deze documentatie kan worden gebruikt om trends te identificeren in non-compliance en om te bepalen of er systematische problemen zijn die moeten worden aangepakt, zoals beleidsconfiguratiefouten of problemen met het beheersysteem zelf. Effectieve documentatie ondersteunt niet alleen compliance-vereisten, maar biedt ook waardevolle inzichten voor het verbeteren van beveiligingsprocessen en het voorkomen van toekomstige problemen. Analyse van remediatiegegevens kan leiden tot het identificeren van patronen die wijzen op beh behoefte aan aanvullende gebruikerseducatie, verbeteringen aan het beheersysteem, of wijzigingen in de beleidsstructuur om compliance te verbeteren.

Compliance & Frameworks

• CIS M365: Control 1.84 (L2) - Achtergrondmodus uitschakelen
• BIO: 12.06.01 - Resource management

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

Risico zonder implementatie

Management Samenvatting

Schakel de achtergrondmodus van Edge uit om volledig te stoppen bij afsluiten. Vermindert bronnengebruik. Implementatie: 30 minuten.

• Implementatietijd: 0.75 uur
• FTE required: 0.01 FTE