L1 BIO 13.01.01 ISO A.12.6.1 CIS Security Controls

First Run Experience Hidden

📅 2025-10-30
⏱️ 2 minuten lezen
🟢 Should-Have

💼 Management Samenvatting

Het verbergen van de First Run Experience in Microsoft Edge is een essentiële beveiligingsmaatregel voor enterprise omgevingen die consistentie, controle en beveiliging waarborgt door gebruikers te beschermen tegen onbeheerde configuratiewijzigingen tijdens de eerste opstartprocedure.

Aanbeveling
IMPLEMENT
Risico zonder
Low
Risk Score
2/10
Implementatie
2u (tech: 1u)
Van toepassing op:
Edge

De First Run Experience van Microsoft Edge toont standaard welkomstschermen, configuratiewizards en opties voor gebruikersinstellingen wanneer de browser voor het eerst wordt gestart. In een beheerde enterprise omgeving vormt dit een significant beveiligingsrisico omdat gebruikers onbewust instellingen kunnen wijzigen die in strijd zijn met het organisatiebeleid. Door deze ervaring te verbergen, voorkomt de organisatie dat gebruikers toegang krijgen tot configuratieopties die de beveiligingspostuur kunnen verzwakken. Bovendien zorgt deze maatregel voor een consistente gebruikerservaring waarbij alle Edge-instellingen centraal worden beheerd via Microsoft Intune, wat de naleving van beveiligingsstandaarden zoals CIS Controls en BIO-normen ondersteunt. De instelling voorkomt ook dat gebruikers tijdens de eerste opstartprocedure extensies installeren, standaardzoekmachines wijzigen of privacy-instellingen aanpassen die de organisatie heeft geconfigureerd.

PowerShell Modules Vereist
Primary API: Graph
Connection: Connect-MgGraph
Required Modules: Microsoft.Graph.DeviceManagement

Implementatie

Dit beleid configureert de registry-instelling HideFirstRunExperience via Microsoft Intune apparaatconfiguratiebeleidsregels, waardoor de welkomstschermen en configuratiewizards van Edge worden uitgeschakeld bij de eerste opstartprocedure. De instelling wordt toegepast op alle Windows-apparaten die beheerd worden via Intune en zorgt ervoor dat Edge direct start met de door de organisatie geconfigureerde instellingen zonder tussenkomst van de gebruiker.

Vereisten

Voor de implementatie van het First Run Experience Hidden beleid zijn verschillende technische en organisatorische vereisten van toepassing. Allereerst is Microsoft Intune vereist als Mobile Device Management (MDM) oplossing voor het beheren van Windows-apparaten. De organisatie moet beschikken over een geldige Microsoft 365 licentie die Intune omvat, zoals Microsoft 365 E3, E5, of een vergelijkbare licentie die apparaatbeheerfunctionaliteit biedt. Daarnaast moeten alle doelapparaten geregistreerd zijn in Microsoft Intune en onder beheer staan via het apparaatbeheerplatform. De apparaten moeten Windows 10 versie 1809 of hoger draaien, of Windows 11, omdat deze versies volledige ondersteuning bieden voor Edge-beleidsinstellingen via Intune. Vanuit een technisch perspectief vereist de implementatie dat de IT-beheerder beschikt over de juiste Intune-beheerdersrechten, specifiek de rol van Intune-beheerder of globale beheerder, om apparaatconfiguratiebeleidsregels te kunnen maken en toewijzen. De organisatie moet ook beschikken over een werkende Azure Active Directory (Azure AD) omgeving die gekoppeld is aan de Intune-tenant, omdat apparaatregistratie en beleidstoewijzing afhankelijk zijn van deze integratie. Vanuit een organisatorisch oogpunt is het belangrijk dat de beveiligings- en IT-afdeling een duidelijk beeld hebben van welke apparaten en gebruikersgroepen dit beleid moeten ontvangen. Dit vereist coördinatie tussen verschillende afdelingen om ervoor te zorgen dat de implementatie geen negatieve impact heeft op de gebruikerservaring, terwijl tegelijkertijd de beveiligingsdoelstellingen worden bereikt. Bovendien moet de organisatie beschikken over documentatie en procedures voor het monitoren en onderhouden van dit beleid, inclusief processen voor het afhandelen van uitzonderingen en het reageren op nalevingsafwijkingen.

Implementatie

De implementatie van het First Run Experience Hidden beleid begint met het maken van een nieuw apparaatconfiguratiebeleid in Microsoft Intune. Navigeer naar het Intune-beheercentrum en selecteer de sectie Apparaten, gevolgd door Configuratieprofielen. Klik op Profiel maken om een nieuw beleid aan te maken. Selecteer het platform Windows 10 en later en kies als profieltype Sjablonen, gevolgd door Beheersjablonen. Deze sjabloon biedt toegang tot alle Edge-beleidsinstellingen die beschikbaar zijn via Groepsbeleid. Geef het beleid een duidelijke naam zoals 'Edge Beveiliging - Verberg First Run Experience' en voeg indien nodig een beschrijving toe die uitlegt waarom dit beleid wordt geïmplementeerd. In de volgende stap moet u de specifieke Edge-beleidsinstelling configureren. Zoek naar de instelling 'HideFirstRunExperience' in de lijst met beschikbare Edge-beleidsregels. Deze instelling bevindt zich onder de categorie Microsoft Edge-beleidsregels. Activeer de instelling door deze in te schakelen en stel de waarde in op Ingeschakeld. Dit zorgt ervoor dat de registry-waarde HideFirstRunExperience wordt ingesteld op 1 op alle doelapparaten. Na het configureren van de instelling moet u het beleid toewijzen aan de juiste gebruikersgroepen of apparaatgroepen. Selecteer de relevante Azure AD-groepen die de apparaten bevatten waarop Edge wordt gebruikt. Het is belangrijk om te overwegen of het beleid moet worden toegepast op alle apparaten of alleen op specifieke afdelingen of gebruikersgroepen. Voor een gefaseerde implementatie kunt u beginnen met een pilotgroep om te testen of het beleid correct werkt en geen onverwachte problemen veroorzaakt. Na de toewijzing duurt het meestal enkele minuten tot enkele uren voordat het beleid wordt toegepast op de apparaten, afhankelijk van wanneer de apparaten de volgende keer synchroniseren met Intune. Apparaten synchroniseren automatisch met Intune, maar u kunt ook handmatig een synchronisatie forceren vanuit het Intune-beheercentrum of via het apparaat zelf. Voor het monitoren van de implementatie kunt u gebruik maken van het PowerShell-script first-run-experience-hidden.ps1 dat beschikbaar is in de code repository. Dit script controleert of de registry-instelling correct is geconfigureerd en rapporteert de nalevingsstatus. Het script kan lokaal worden uitgevoerd op apparaten om te verifiëren dat het beleid correct is toegepast, of het kan worden geïntegreerd in een geautomatiseerd monitoringproces. Na de implementatie is het belangrijk om te verifiëren dat Edge correct start zonder de First Run Experience te tonen op een testapparaat. Open Edge op een nieuw apparaat of verwijder de Edge-profielgegevens om te simuleren dat Edge voor het eerst wordt gestart. Als het beleid correct is geïmplementeerd, zou Edge direct moeten starten zonder welkomstschermen of configuratiewizards te tonen.

Gebruik PowerShell-script first-run-experience-hidden.ps1 (functie Invoke-Monitoring) – Monitoren.

Monitoring

Het monitoren van de First Run Experience Hidden instelling is cruciaal om ervoor te zorgen dat het beleid correct wordt toegepast en blijft gehandhaafd op alle doelapparaten. Monitoring kan worden uitgevoerd op verschillende niveaus, van individuele apparaatcontroles tot bedrijfsbrede nalevingsrapportage. Op apparaatniveau kan de nalevingsstatus worden gecontroleerd door de registry-waarde te verifiëren op het pad HKLM:\SOFTWARE\Policies\Microsoft\Edge met de naam HideFirstRunExperience. Deze waarde moet ingesteld zijn op 1 om aan te geven dat de First Run Experience is verborgen. Het PowerShell-script first-run-experience-hidden.ps1 biedt een geautomatiseerde manier om deze controle uit te voeren. Het script kan worden uitgevoerd met de parameter -Monitoring om de huidige nalevingsstatus te rapporteren. Het script controleert of de registry-waarde bestaat en of deze de juiste waarde heeft, en rapporteert vervolgens of het apparaat nalevend of niet-nalevend is. Voor bedrijfsbrede monitoring biedt Microsoft Intune ingebouwde rapportagefunctionaliteit. In het Intune-beheercentrum kunt u de nalevingsstatus van alle apparaten bekijken die het beleid hebben ontvangen. Navigeer naar Apparaten, gevolgd door Configuratieprofielen, en selecteer het First Run Experience Hidden beleid. Hier kunt u zien hoeveel apparaten het beleid hebben ontvangen, hoeveel apparaten nalevend zijn, en hoeveel apparaten afwijkingen vertonen. Deze informatie is essentieel voor het identificeren van apparaten waar het beleid niet correct is toegepast, bijvoorbeeld omdat het apparaat offline was tijdens de beleidstoewijzing of omdat er een conflict is met een ander beleid. Voor geavanceerde monitoring en rapportage kunt u gebruik maken van Microsoft Graph API om programmatisch de nalevingsstatus op te halen van alle apparaten in uw organisatie. Dit maakt het mogelijk om aangepaste dashboards te maken of de monitoring te integreren in bestaande security information and event management (SIEM) systemen. Daarnaast kunnen geautomatiseerde monitoringprocessen worden opgezet die regelmatig de nalevingsstatus controleren en waarschuwingen genereren wanneer apparaten niet-nalevend worden. Dit is vooral belangrijk omdat gebruikers of andere processen de registry-instellingen mogelijk kunnen wijzigen, waardoor de beveiligingsconfiguratie wordt ondermijnd. Het is aanbevolen om minimaal wekelijks een nalevingscontrole uit te voeren, of vaker in omgevingen met hoge beveiligingsvereisten. Bij het detecteren van niet-nalevende apparaten moet een onderzoek worden gestart om te bepalen waarom het beleid niet correct is toegepast en welke acties nodig zijn om de naleving te herstellen. Documentatie van alle monitoringactiviteiten en nalevingsafwijkingen is belangrijk voor auditdoeleinden en helpt bij het identificeren van trends of terugkerende problemen die mogelijk wijzen op systematische problemen met de beleidsimplementatie.

Gebruik PowerShell-script first-run-experience-hidden.ps1 (functie Invoke-Monitoring) – Controleren.

Remediatie

Wanneer monitoring aangeeft dat een apparaat niet-nalevend is voor het First Run Experience Hidden beleid, moet onmiddellijk actie worden ondernomen om de beveiligingsconfiguratie te herstellen. Remediatie kan op verschillende manieren worden uitgevoerd, afhankelijk van de oorzaak van de niet-naleving en de beschikbare tools en processen binnen de organisatie. De meest directe manier om een niet-nalevend apparaat te herstellen is door het PowerShell-script first-run-experience-hidden.ps1 uit te voeren met de parameter -Remediation. Dit script controleert eerst de huidige status van de registry-instelling en past deze vervolgens aan indien nodig. Het script maakt automatisch de benodigde registry-sleutel aan als deze niet bestaat en stelt de HideFirstRunExperience waarde in op 1. Het script vereist lokale beheerdersrechten om registry-wijzigingen te kunnen doorvoeren, dus het moet worden uitgevoerd in een PowerShell-sessie met verhoogde rechten. Voor bedrijfsbrede remediatie kan Microsoft Intune worden gebruikt om het beleid opnieuw toe te wijzen aan niet-nalevende apparaten. In het Intune-beheercentrum kunt u de lijst met niet-nalevende apparaten bekijken en handmatig een synchronisatie forceren voor specifieke apparaten. Dit dwingt het apparaat om opnieuw te synchroniseren met Intune en het beleid opnieuw toe te passen. Als alternatief kunt u het beleid tijdelijk verwijderen en opnieuw toewijzen aan de betreffende apparaten, hoewel dit meestal niet nodig is als de apparaten correct zijn geregistreerd en online zijn. In sommige gevallen kan niet-naleving worden veroorzaakt door conflicterende beleidsregels of door handmatige wijzigingen die gebruikers of andere software hebben aangebracht. In dergelijke situaties is het belangrijk om eerst te onderzoeken wat de oorzaak is van de niet-naleving voordat remediatie wordt uitgevoerd. Als er bijvoorbeeld een conflict is met een ander Edge-beleid, moet dit conflict worden opgelost door de beleidsregels aan te passen of door prioriteiten in te stellen voor welke beleidsregel voorrang heeft. Als gebruikers handmatig registry-instellingen hebben gewijzigd, moet worden onderzocht hoe dit mogelijk was en moeten aanvullende maatregelen worden genomen om te voorkomen dat dit opnieuw gebeurt. Dit kan bijvoorbeeld betekenen dat gebruikersrechten moeten worden beperkt of dat aanvullende monitoring en waarschuwingen moeten worden geïmplementeerd. Na het uitvoeren van remediatie moet altijd worden geverifieerd dat de remediatie succesvol was door opnieuw een nalevingscontrole uit te voeren. Het PowerShell-script kan opnieuw worden uitgevoerd met de parameter -Monitoring om te bevestigen dat het apparaat nu nalevend is. Daarnaast is het aanbevolen om te documenteren welke remediatie-acties zijn uitgevoerd, wanneer deze zijn uitgevoerd, en wat de oorzaak was van de niet-naleving. Deze documentatie is belangrijk voor auditdoeleinden en helpt bij het identificeren van patronen of terugkerende problemen. Voor geautomatiseerde remediatie kunnen processen worden opgezet die automatisch remediatie uitvoeren wanneer niet-naleving wordt gedetecteerd. Dit kan bijvoorbeeld worden geïmplementeerd via Microsoft Intune met behulp van nalevingsbeleidsregels en automatische acties, of via aangepaste scripts die regelmatig worden uitgevoerd en automatisch remediatie uitvoeren wanneer nodig. Het is echter belangrijk om voorzichtig te zijn met geautomatiseerde remediatie, omdat dit kan interfereren met legitieme configuratiewijzigingen of kan leiden tot een eindeloze cyclus van wijzigingen en herstelacties.

Gebruik PowerShell-script first-run-experience-hidden.ps1 (functie Invoke-Remediation) – Herstellen.

Compliance en Audit

Het First Run Experience Hidden beleid speelt een cruciale rol in het voldoen aan verschillende beveiligingsstandaarden en nalevingsvereisten die van toepassing zijn op Nederlandse overheidsorganisaties en bedrijven die werken met gevoelige informatie. Naleving betekent niet alleen dat de technische instellingen correct zijn geconfigureerd, maar ook dat de organisatie kan aantonen dat deze maatregelen consistent worden toegepast en gemonitord, en dat er adequate processen zijn voor het afhandelen van afwijkingen. Voor Nederlandse overheidsorganisaties zijn de BIO-normen van bijzonder belang. Het verbergen van de First Run Experience draagt bij aan BIO-controle 13.01.01, die betrekking heeft op technische beveiligingsmaatregelen. Deze controle vereist dat organisaties technische maatregelen implementeren om de beschikbaarheid, integriteit en vertrouwelijkheid van informatie te waarborgen. Door gebruikers te voorkomen dat zij tijdens de eerste opstartprocedure configuratieopties kunnen wijzigen die de beveiligingspostuur kunnen verzwakken, beschermt de organisatie de integriteit van de browserconfiguratie en voorkomt zij dat onbevoegde wijzigingen worden aangebracht. Bovendien draagt deze maatregel bij aan de beschikbaarheid door ervoor te zorgen dat Edge consistent start met de juiste configuratie, zonder dat gebruikers worden geconfronteerd met configuratiewizards die mogelijk verwarring kunnen veroorzaken of leiden tot onjuiste instellingen. Voor organisaties die moeten voldoen aan de ISO 27001-standaard is controle A.12.6.1 relevant, die betrekking heeft op technisch kwetsbaarheidsbeheer. Hoewel het verbergen van de First Run Experience niet direct een kwetsbaarheid adresseert, draagt het bij aan een robuuste beveiligingsconfiguratie die het risico op misconfiguraties vermindert. Misconfiguraties kunnen worden beschouwd als een vorm van technische kwetsbaarheid, en door gebruikers te voorkomen dat zij instellingen kunnen wijzigen die de beveiliging kunnen verzwakken, verkleint de organisatie het risico op dergelijke misconfiguraties. De CIS Controls, een internationaal erkende set van beveiligingsbest practices, benadrukken het belang van beveiligingshardening, wat precies is wat dit beleid beoogt te bereiken. Beveiligingshardening omvat het configureren van systemen en applicaties op een manier die de aanvalsoppervlakte minimaliseert en onnodige functionaliteiten uitschakelt. Door de First Run Experience te verbergen, wordt een onnodige functionaliteit uitgeschakeld die gebruikers toegang geeft tot configuratieopties die beter centraal kunnen worden beheerd. Voor auditdoeleinden is het essentieel dat de organisatie kan aantonen dat het beleid correct is geïmplementeerd en wordt gehandhaafd. Dit vereist uitgebreide documentatie van het beleid zelf, inclusief de rationale achter de implementatie, de technische configuratie, en de procedures voor monitoring en remediatie. Daarnaast moeten nalevingsrapportages regelmatig worden gegenereerd die aantonen welk percentage van de apparaten nalevend is met het beleid. Deze rapportages moeten worden bewaard voor de vereiste bewaartermijn, die doorgaans minimaal één jaar is, maar kan variëren afhankelijk van de specifieke nalevingsvereisten van de organisatie. Tijdens externe audits, zoals die worden uitgevoerd door de Autoriteit Persoonsgegevens voor AVG-naleving of door certificeringsinstanties voor ISO 27001, moeten auditors kunnen verifiëren dat de beveiligingsmaatregelen daadwerkelijk worden toegepast. Dit betekent dat de organisatie toegang moet kunnen bieden tot Intune-nalevingsrapportages, PowerShell-script uitvoer die de registry-instellingen verifieert, en documentatie die aantoont dat niet-naleving wordt gedetecteerd en gecorrigeerd. Het is belangrijk om te realiseren dat naleving een continu proces is, niet een eenmalige activiteit. De organisatie moet regelmatig controleren of het beleid nog steeds effectief is en of er wijzigingen zijn in de omgeving die aanpassingen aan het beleid vereisen. Bovendien moeten nieuwe apparaten automatisch het beleid ontvangen wanneer zij worden geregistreerd in Intune, en moeten processen aanwezig zijn om ervoor te zorgen dat het beleid opnieuw wordt toegepast na software-updates of herinstallaties die mogelijk de configuratie hebben gereset. Voor organisaties die moeten voldoen aan de Algemene Verordening Gegevensbescherming is het belangrijk om te erkennen dat het First Run Experience Hidden beleid indirect bijdraagt aan gegevensbescherming door ervoor te zorgen dat privacy-instellingen niet onbedoeld worden gewijzigd door gebruikers tijdens de eerste opstartprocedure. Hoewel dit beleid op zichzelf geen directe AVG-vereiste is, ondersteunt het wel de naleving van AVG Artikel 32, dat vereist dat organisaties passende technische en organisatorische maatregelen nemen om persoonsgegevens te beveiligen. Door te voorkomen dat gebruikers privacy-instellingen kunnen wijzigen tijdens de eerste opstartprocedure, helpt de organisatie ervoor te zorgen dat de privacyconfiguratie die door de organisatie is bepaald, consistent wordt toegepast op alle apparaten.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Edge Security: First Run Experience Hidden .DESCRIPTION CIS - First run experience moet uitgeschakeld in enterprise environment. .NOTES Filename: first-run-experience-hidden.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Edge\HideFirstRunExperience|Expected: 1 #> #Requires -Version 5.1 #Requires -RunAsAdministrator [CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert) $ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge"; $RegName = "HideFirstRunExperience"; $ExpectedValue = 1 function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) } function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "first-run-experience-hidden.ps1"; PolicyName = "First Run Hidden"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; if (-not(Test-Path $RegPath)) { $r.Details += "Niet geconfigureerd"; return $r }; try { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop; $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "First run hidden" }else { $r.Details += "First run shown" } }catch { $r.Details += "Niet geconfigureerd" }; return $r } function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "First run experience hidden" -ForegroundColor Green } function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r } function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue } try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }

Risico zonder implementatie

Risico zonder implementatie
Low: Laag risico.

Management Samenvatting

Hide FRE.