💼 Management Samenvatting
Deze maatregel legt vast dat elke Microsoft Edge-sessie opent met een door de organisatie beheerde startpagina, waardoor gebruikers vanaf het eerste moment worden geleid naar vertrouwde en gecontroleerde informatiebronnen.
Aanbeveling
CONSIDER
Risico zonder
Low
Risk Score
2/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Edge
Door de eerste browserervaring te standaardiseren blokkeer je scenario's waarin malware, ongewenste extensies of gebruikersfouten de startpagina kapen en zo phishing, datalekken of beleidsafwijkingen introduceren.
PowerShell Modules Vereist
Primary API: Graph
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
Het beleid wordt uitgerold via Microsoft Intune device configuratieprofielen in combinatie met bewaakte PowerShell-scripts die de ingestelde waarden valideren en afwijkingen automatisch rapporteren.
Vereisten
Het afdwingen van een gecontroleerde startpagina in Microsoft Edge vraagt om een solide fundament binnen de beheerketen. Alle betrokken werkstations moeten zijn opgenomen in Microsoft Intune, beschikken over ondersteunde Windows 10 of 11 builds en consistent netwerkbereik hebben naar de Microsoft Endpoint Manager service. Daarnaast is het noodzakelijk dat Azure Active Directory-groepen voor device targeting zijn opgeschoond en duidelijke benamingen hebben, zodat test-, pilot- en productieringen elkaar niet overlappen. Zonder deze basis wordt het vrijwel onmogelijk om beleidswijzigingen gecontroleerd uit te rollen en terug te draaien wanneer een wijziging onverwachte effecten veroorzaakt. Licenties en technische afhankelijkheden mogen niet worden onderschat. Zorg dat elke gebruiker die het beleid ontvangt beschikt over een Intune Suite- of ten minste een Microsoft 365 E3-licentie met Endpoint Security-functionaliteit. Controleer tevens of Microsoft Edge is bijgewerkt tot het stabiele kanaal dat door de organisatie is goedgekeurd, want oudere builds respecteren sommige beleidsobjecten slechts gedeeltelijk. Verder moeten beheerders toegang hebben tot PowerShell 7, de Microsoft.Graph.DeviceManagement-module en het Change Advisory Board-proces, zodat scripted validaties, rollbacks en rapportages aantoonbaar zijn. Documenteer expliciet welke service-accounts het beleid publiceren en welke rechten zij gebruiken; zo wordt privilege creep voorkomen en kan Identity Governance het principe van minimale rechten handhaven. Voor de uiteindelijke configuratie is een testprocedure vereist die de volledige levenscyclus van het beleid nabootst. Begin in een laboratoriumtenant of een exclusieve pilootgroep met minder dan vijf procent van het totale devicebestand. Valideer of het beleid niet botst met andere Edge-beleidsinstellingen, zoals de configuratie van tabbladen, zoekmachinebeheer of contentfilters. Automatiseer deze controle waar mogelijk met het script homepage-startup-Beheerled.ps1, aangevuld met Configuration Profiles rapportages en de Intune Management Extension-logboeken. Maak screenshots en policyrapporten voordat het beleid wordt aangepast, zodat auditors later kunnen reconstrueren wanneer welke waarde actief was. Voeg daarnaast een fallback-configuratie toe die de vorige startpagina-instelling terugzet, inclusief uitgewerkte instructies voor servicedeskmedewerkers. De operationele borging vraagt ten slotte om duidelijke communicatie naar eindgebruikers. Informeer medewerkers over de reden van de vaste startpagina, benadruk welke bedrijfsinformatie daarop beschikbaar is en beschrijf hoe uitzonderingen kunnen worden aangevraagd, bijvoorbeeld voor ontwikkel- of onderzoeksomgevingen. Combineer deze communicatie met adoptietraining voor digitale werkplekken, zodat gebruikers begrijpen dat Edge bij het opstarten direct kritieke meldingen, security dashboards of beleidsupdates toont. Wanneer deze randvoorwaarden zijn ingevuld, kan de organisatie de startpagina-instelling veilig afdwingen, verstoringen minimaliseren en snel bewijzen leveren dat de maatregel is afgestemd op de Nederlandse Baseline voor Veilige Cloud. Registreer tenslotte elke wijziging in het centrale Configuration Management Database record, inclusief versienummering van het Intune-profiel, zodat lifecyclebeheer en incidentcorrelatie altijd mogelijk blijven.
Implementatie
Gebruik PowerShell-script homepage-startup-Beheerled.ps1 (functie Invoke-Monitoring) – Monitoren.
Monitoring
Gebruik PowerShell-script homepage-startup-controlled.ps1 (functie Invoke-Monitoring) – Controleren.
Remediatie
Gebruik PowerShell-script homepage-startup-controlled.ps1 (functie Invoke-Remediation) – Herstellen.
Compliance en Auditing
Het afdwingen van een voorgeschreven startpagina ondersteunt meerdere compliancekaders doordat de browser direct verwijst naar interne richtlijnen, meldpunten en monitoringportalen. Voor de Baseline Informatiebeveiliging Overheid sluit dit direct aan op maatregel 13.01.01, waarin wordt geëist dat technische voorzieningen doelbewust worden ingericht om misbruik van systemen te voorkomen. Door Edge consequent te laten openen op een gecontroleerde intranetsite worden gebruikers automatisch herinnerd aan actuele beveiligingsmeldingen en organisatiebrede campagnes, wat aantoonbaar bijdraagt aan bewustwording en incidentpreventie. Bovendien voorkomt de maatregel dat kwaadaardige extensies of malware de startpagina ongemerkt kunnen overschrijven en zo phishing- of malvertisingcampagnes kunnen injecteren. Voor auditors is het cruciaal dat de instelling reproduceerbaar en controleerbaar is. Bewaar daarom het Intune-profiel, de export van het JSON-configuratiebestand en de onderliggende wijzigingsaanvraag in een gedeelde auditbibliotheek met versiebeheer. Leg in het CAB-besluit vast welke risicobeoordeling is uitgevoerd, welke testresultaten zijn geboekt en welke fallback werd voorbereid. Combineer deze documentatie met screenshots of HTML-exporten van de startpagina, zodat auditors kunnen bevestigen dat de gepubliceerde inhoud daadwerkelijk aansluit op het beschreven doel: het aanbieden van beveiligde workflows en beleidsinformatie. Voeg tevens een matrix toe waarin is uitgewerkt welke afdelingen verantwoordelijk zijn voor het actueel houden van de startpagina-inhoud, inclusief tijdslijnen voor herziening. Continu toezicht is even belangrijk als initiële documentatie. Richt daarom een maandelijks controleproces in waarbij het script homepage-startup-controlled.ps1 wordt gebruikt om apparaten steekproefsgewijs te scannen. De resultaten worden vergeleken met Intune compliance-rapportages en, indien mogelijk, met Microsoft Defender for Endpoint device compliance. Wanneer een apparaat een afwijkende startpagina toont, moet het incident worden vastgelegd in het ticketsysteem met verwijzing naar het bijbehorende device, gebruiker, tijdstip en herstelactie. Deze registratie ondersteunt zowel AVG-documentatieplichten als de BIO-eis om beveiligingsincidenten te monitoren en te evalueren. Aan de governancezijde hoort de maatregel thuis binnen het privacy- en dataclassificatiebeleid. Omdat de startpagina vaak toegang biedt tot vertrouwelijke dashboards, moet worden vastgesteld dat de verbinding via HTTPS verloopt, dat Single Sign-On wordt afgedwongen en dat sessietime-outs zijn afgestemd op de gevoeligheid van de getoonde informatie. Beschrijf in het beleid hoe lang loggegevens worden bewaard (minimaal één jaar volgens deze baseline), welke rollen toegang hebben tot de configuraties en hoe wijzigingen worden goedgekeurd. Neem ook op dat uitzonderingen alleen tijdelijk en met expliciete directieautorisatie mogen worden toegestaan, zodat auditors kunnen nagaan dat afwijkingen gecontroleerd plaatsvinden. Tot slot moeten organisaties rapporteren over de effectiviteit van de maatregel. Stel een kwartaalrapport op waarin kernindicatoren zoals uitrolpercentage, aantal afwijkingen, gemiddelde hersteltijd en gebruikersfeedback worden besproken. Koppel deze cijfers aan bredere doelstellingen binnen de Nederlandse Baseline voor Veilige Cloud, zoals het verhogen van situational awareness en het verkleinen van de aanvalsoppervlakte. Wanneer dit rapport wordt gedeeld met CISO, CIO en interne audit, ontstaat een aantoonbare lijn van toezicht die laat zien dat de startpagina niet louter een cosmetische instelling is, maar een gecontroleerd kanaal voor operationele en veiligheidskritieke communicatie. Deze transparantie maakt het eenvoudiger om externe audits, zoals ENSIA of ISO 27001 hercertificeringen, succesvol af te ronden.
Compliance & Frameworks
- CIS M365: Control Security Controls (L1) - Security hardening
- BIO: 13.01.01 - Technical security measures
- ISO 27001:2022: A.12.6.1 - Technical vulnerability management
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Edge Security: Homepage and Startup Controlled
.DESCRIPTION
CIS - Homepage en startup pages moeten centraal beheerd worden.
.NOTES
Filename: homepage-startup-controlled.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Edge\RestoreOnStartup|Expected: configured
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge"; $RegName = "RestoreOnStartup"; $ExpectedValue = 4
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "homepage-startup-controlled.ps1"; PolicyName = "Homepage Startup Controlled"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; if (-not(Test-Path $RegPath)) { $r.Details += "Niet geconfigureerd"; return $r }; try { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop; $r.CurrentValue = $v.$RegName; if ($null -ne $r.CurrentValue) { $r.IsCompliant = $true; $r.Details += "Startup configured: $($r.CurrentValue)" }else { $r.Details += "Niet geconfigureerd" } }catch { $r.Details += "Niet geconfigureerd" }; return $r }
function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Startup page policy configured" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
Low: Laag risico.
Management Samenvatting
Beheer homepage.
- Implementatietijd: 2 uur
- FTE required: 0.01 FTE