InPrivate-modus Uitgeschakeld Of Beheerd

InPrivate browsing is ontworpen om geen geschiedenis, cookies of tijdelijke bestanden te bewaren. Dat is handig voor individuele gebruikers, maar het creëert blinde vlekken in loggingketens, verhindert reconstructie van incidenten en maakt het moeilijk om data-exfiltratie via browserkanalen te bewijzen. Overheidsorganisaties en vitale aanbieders vallen onder BIO, AVG en NIS2 en moeten kunnen aantonen wie welke clouddienst heeft bezocht, welke formulieren zijn ingevuld en welke gevoelige gegevens zijn geüpload of gedownload. Zonder controle op InPrivate-modus kan een kwaadwillende medewerker onderzoek naar misbruik vertragen, kan een auditor geen sluitende keten aantonen en wordt het spanningsveld tussen privacyverwachting en wettelijke verslaglegging niet bestuurbaar.

Implementatie

Deze maatregel configureert de policy InPrivateModeAvailability via het registerpad HKLM:\SOFTWARE\Policies\Microsoft\Edge\InPrivateModeAvailability of via Intune- en GPO-profielen. Waarde 0 laat InPrivate onbeperkt toe, waarde 1 schakelt de modus volledig uit en waarde 2 dwingt juist permanent privé browsen af. In de Nederlandse Baseline voor Veilige Cloud is waarde 1 het uitgangspunt, terwijl uitzonderingen alleen na expliciete risk acceptance en aanvullende monitoring worden toegestaan.

Vereisten

Een organisatie die InPrivate-modus wil uitschakelen of strak wil beheersen, moet beginnen met een volledig begrip van haar digitale werkpleklandschap. Dit betekent dat er een actuele inventaris is van alle Edge-versies, distributiekanalen en beheermethoden, zodat duidelijk is welke apparaten via Intune, Configuration Manager of traditionele groepsbeleidobjecten worden bestuurd. Zonder zo'n inventaris kan de maatregel ongelijkmatig worden uitgerold, waardoor gebruikers alsnog toegang houden tot een route waarmee logging wordt omzeild. Daarnaast vraagt de maatregel om een formeel besluit van de security board waarin staat dat privacybehoeften gewogen zijn tegen audit- en forensische eisen, inclusief de juridische grondslag voor het verwerken van nieuwe loggegevens.

Aan de technische kant moeten apparaten Windows 10, Windows 11 of ondersteunde Windows Server-edities draaien met Microsoft Edge (Chromium) als standaardbrowser. Administratorrechten zijn nodig om registerinstellingen onder HKLM te wijzigen of om beleid via de MDM-bridge te forceren. Voor Intune-beheerde apparaten geldt dat de tenant het template Administrative Templates heeft geactiveerd en dat het device compliancebeleid reeds afdwingt dat alleen beheerde browsers worden gebruikt. Voor GPO-gedreven omgevingen moet het centrale store de laatste Edge ADMX-bestanden bevatten, zodat de InPrivateModeAvailability-parameter beschikbaar is.

Naast tooling zijn duidelijke compliance-eisen een vereiste. De BIO, ISO 27001 en NIS2 verplichten tot volledige registratie van relevante gebeurtenissen, terwijl de AVG vraagt om dataminimalisatie en transparantie. Een data protection impact assessment (DPIA) moet aantonen dat het beperken van InPrivate-modus proportioneel is en dat passende waarborgen, zoals rolgebaseerde toegang tot logbestanden en een bewaartermijnbeleid, aanwezig zijn. Verder moet het SOC aantonen dat het aanvullende telemetrie, zoals proxy-logs of cloud access security broker-rapportages, kan opslaan en analyseren.

Tot slot is er een communicatie- en verandermanagementvereiste. Gebruikers verwachten een zekere mate van privé browsen, dus het beleid moet uitleggen waarom de maatregel noodzakelijk is, welke alternatieven bestaan voor legitieme privacybehoeften (bijvoorbeeld persoonlijke browsers op privéapparatuur), en hoe klachten worden afgehandeld. Trainingen voor helpdeskmedewerkers moeten scenario’s behandelen waarin medewerkers uitzonderingen aanvragen, terwijl juridische teams richtlijnen opstellen voor het verwerken van eventuele bezwaarprocedures. Pas wanneer deze organisatorische voorwaarden zijn geborgd, heeft het uitschakelen van InPrivate-modus kans van slagen zonder de dienstverlening te verstoren.

Als sluitstuk gelden rapportagevereisten. Het programma definieert Key Risk Indicators zoals het percentage Edge-installaties met beleidsgarantie, het aantal afwijkingen per maand en de doorlooptijd van uitzonderingsaanvragen. Deze indicatoren worden opgenomen in de kwartaalrapportage aan de CIO en vormen input voor de jaarlijkse zelfevaluatie van de Nederlandse Baseline voor Veilige Cloud. Door al tijdens de voorbereidingsfase te bepalen hoe prestaties worden gemeten, kunnen teams tijdig bijsturen en is aantoonbaarheid richting toezichthouders geborgd.

Implementatie

De implementatie start met het kiezen van een standaardbeheerpad per apparaattype. Werkplekken die volledig door Intune worden aangestuurd krijgen een configuration profile dat uitsluitend het beleid InPrivateModeAvailability instelt, zodat de wijziging eenvoudig te testen en terug te draaien is. Voor domeingekoppelde systemen blijft een GPO-variant beschikbaar, maar beleidsconflicten worden vooraf opgelost door een configuration baseline waarin duidelijk staat wie eigenaar is van Edge-beleid. De standaardwaarde wordt ingesteld op 1, waarmee gebruikers de InPrivate-knop niet langer kunnen openen; Edge toont dan direct een beheerdersmelding zodat duidelijk is dat het beleid bewust is toegepast.

Gebruik PowerShell-script inprivate-mode-disabled.ps1 (functie Invoke-Remediation) – PowerShell script voor automatische uitschakeling van InPrivate-modus.

Binnen Intune wordt een template Administrative Templates → Microsoft Edge aangemaakt. InPrivateModeAvailability krijgt waarde 1 en het profiel wordt eerst toegewezen aan een pilotgroep met representatieve gebruikers, zoals beleidsmedewerkers, developers en externe consultants. Via het lokale eventlog en de registry key HKLM:\SOFTWARE\Policies\Microsoft\Edge controleren beheerders of het beleid effectief is toegepast. Pas na een stabiele pilot wordt de toewijzing uitgebreid naar productie, waarbij filters zorgen dat gedeelde apparaten, kiosken of labs met afwijkend beleid tijdelijk worden uitgesloten.

Voor omgevingen die nog GPO’s gebruiken wordt het Edge-admx-pakket aan de centrale store toegevoegd. Vervolgens configureert men onder Computer Configuration → Administrative Templates → Microsoft Edge → InPrivateModeAvailability de gewenste waarde. Een WMI-filter kan ervoor zorgen dat alleen Windows 10 of hoger het beleid ontvangt. Het GPO wordt gekoppeld aan de OU’s waarin werkstations staan, terwijl servers die slechts incidenteel Edge gebruiken via security filtering kunnen worden uitgesloten. Documenteer altijd welke GPO’s aanpassingen bevatten zodat regressies snel te herleiden zijn.

Wanneer uitzonderingen nodig zijn, bijvoorbeeld voor digitale rechercheteams of productmanagers die websites testen, wordt waarde 0 toegewezen via een apart beleid dat alleen op hun apparaatgroepen van toepassing is. Het beleid waarin waarde 2 wordt gebruikt – waarbij elke sessie verplicht InPrivate is – wordt zelden aanbevolen, omdat het dan juist onmogelijk wordt om zakelijke logging te verkrijgen. Alle uitzonderingen worden vastgelegd in het centrale risicoregister, inclusief de termijn waarop de noodzaak opnieuw wordt beoordeeld.

Naast configuratie op apparaten is een netwerkcomponent vereist. Proxy’s, CASB-oplossingen en Secure Web Gateways moeten herconfiguraties herkennen en automatisch incidentmeldingen genereren zodra ze verkeer detecteren dat toch vanuit InPrivate-vensters lijkt te komen. Het PowerShell-script in deze control kan onderdeel worden van een Intune remediation policy waarmee afwijkende waarden binnen 15 minuten worden gecorrigeerd. Combineer dit met Endpoint analytics om in dashboards te volgen welk percentage van de vloot compliant is.

Tot slot wordt de maatregel geborgd in change- en releaseprocessen. Elke Edge-update wordt voorafgegaan door een regressietest waarbij InPrivate-modus opnieuw wordt geopend om te controleren of gebruikers niet opnieuw een knop zien. Documenteer resultaten in het CAB-dossier, zodat auditors precies kunnen zien dat de instelling na een grote browserrelease opnieuw is bevestigd. Daarmee ontstaat een herhaalbaar en aantoonbaar proces dat aansluit bij het principe van continue verbetering in de Nederlandse Baseline voor Veilige Cloud.

Monitoring

Gebruik PowerShell-script inprivate-mode-disabled.ps1 (functie Invoke-Monitoring) – Beheereert of InPrivate-modus correct is geconfigureerd.

Monitoring begint bij het vastleggen van de bron van waarheid. Azure Monitor of Sentinel ontvangt configuratierapportages uit Intune, Configuration Manager of GPO Resultant Set of Policy. Deze telemetrie wordt dagelijks vergeleken met de CMDB zodat afwijkende apparaten direct zichtbaar zijn. Het script in deze control valideert de registrywaarde, schrijft het resultaat naar het Windows eventlog en stuurt het door naar de SIEM. Zo ontstaat een gesloten keten van nalevingsbewijs zonder dat engineers handmatig steekproeven hoeven te doen.

Daarnaast wordt netwerkverkeer geanalyseerd. Omdat InPrivate-modus vooral impact heeft op de zichtbaarheid van browsing-activiteiten, is het essentieel om proxy- en CASB-logs te correleren met endpointgegevens. Als een gebruiker plotseling geen browsergeschiedenis meer toont terwijl de proxy wel verkeer registreert naar risicovolle domeinen, ontstaat een onderzoekstrigger. SOC-analisten gebruiken een use case in Sentinel die controleert op het event "InPrivatePolicyBypassed"; wanneer dit voorkomt, wordt automatisch een incident aangemaakt en geprioriteerd op basis van het betrokken gegevensdomein.

Gebruikersfeedback vormt een tweede monitoringkanaal. ServiceNow of een vergelijkbaar ITSM-systeem categoriseert tickets waarin medewerkers klagen over ontbrekende InPrivate-functionaliteit. Een plotselinge stijging van het aantal klachten kan wijzen op een onbedoelde wijziging, bijvoorbeeld een pilotbeleid dat te snel wereldwijd is uitgerold. Door maandelijkse rapportages te maken waarin functionele klachten naast technische conformiteit worden gelegd, ontstaat zicht op de balans tussen privacyverwachtingen en auditvereisten.

Ten slotte worden kwartaalreviews gehouden waarin auditlogs, change-registraties en monitoringresultaten samenkomen. Tijdens deze sessies controleren security officers of alle uitzonderingen nog geldig zijn, of de DPIA-updates tijdig plaatsvinden en of nieuwe Edge-functies aanvullende maatregelen vereisen. Indien nodig wordt de monitoring uitgebreid met browser extensions die verhinderen dat gebruikers via commandline-switches toch een InPrivate-sessie starten. Door monitoring als doorlopend proces te organiseren, kan de organisatie aantonen dat de configuratie niet alleen is ingesteld, maar ook aantoonbaar effectief blijft.

Voor de dashboarding wordt een speciaal InPrivate-nalevingsoverzicht ingericht waarin de verschillende databronnen worden samengevoegd. Het dashboard toont realtime compliancepercentages, trendanalyses, openstaande incidenten en het aantal apparaten dat via remediatie is hersteld. Managers kunnen inzoomen op specifieke organisatieonderdelen en direct zien welke acties zijn uitgezet. Een duidelijke visualisatie vergroot de accountability en helpt bij het voorbereiden van audits of rapportages aan de Chief Information Security Officer.

Compliance en Auditing

Het uitschakelen of beheersen van InPrivate-modus raakt meerdere compliancekaders tegelijk. De CIS Microsoft Edge Benchmark geeft expliciet aan dat private browsing moet worden uitgeschakeld in omgevingen waar logverplichtingen gelden, waardoor deze maatregel rechtstreeks scoort op het verbeterprogramma van veel organisaties. Door de instelling te borgen in zowel Intune als GPO kan eenvoudig worden aangetoond dat alle apparaten binnen scope dezelfde standaard volgen, iets wat auditors vaak als eerste toetsen.

In de Baseline Informatiebeveiliging Overheid (BIO) hoofdstuk 12 ligt de nadruk op logging en monitoring. Control 12.04.01 vereist dat relevante gebeurtenissen worden vastgelegd en dat men aantoonbaar kan reconstrueren wie wanneer welke dataset heeft geraadpleegd. Wanneer InPrivate-modus actief blijft, ontbreekt een deel van die gebeurtenissen, waardoor organisaties niet aan de BIO kunnen voldoen. Door de modus te blokkeren en tegelijkertijd te investeren in proxy- en CASB-logging, kan men laten zien dat iedere webaanvraag onder toezicht staat.

ISO 27001-controles A.12.4.1 en A.12.4.2 vragen om zowel registratie als actieve monitoring. De maatregel documenteert niet alleen de technische instelling, maar ook de governance eromheen: wie mag uitzonderingen goedkeuren, welke logging wordt bewaard, hoe incidenten worden onderzocht. Dat sluit aan bij de eis om processen aantoonbaar te maken. Tijdens audits kan een organisatie rapporten overleggen waarin de registrywaarden, Intune compliance status en SIEM-correlaties samen een compleet beeld opleveren.

Onder de AVG is het blokkeren van InPrivate-modus verdedigbaar zolang duidelijk is waarom deze beperking nodig is en hoe men alsnog de privacy van medewerkers waarborgt. Artikel 5 benadrukt integriteit en vertrouwelijkheid; door logging veilig te bewaren, streng te autoriseren en bewaartermijnen te respecteren, wordt voldaan aan de beginselen. NIS2 Artikel 21 vereist tenslotte continue logging en incidentdetectie voor vitale processen. Het beleid rond InPrivate-modus toont aan dat de organisatie proactief maatregelen neemt om zicht te houden op digitale activiteiten, iets wat toezichthouders waarderen bij toezichtonderzoeken.

Alle bewijsstukken worden in een centraal pakket samengebracht: export van Intune policies, screenshots van GPO-instellingen, resultaten van het monitoring-script en notulen van CAB-besluiten. Dit pakket ondersteunt zowel interne audits als externe controles door bijvoorbeeld de Algemene Rekenkamer of een NIS2-toezichthouder. Door continu dezelfde structuur te hanteren, kost het weinig tijd om nieuwe audits voor te bereiden en blijft de organisatie aantoonbaar in control.

Remediatie

Gebruik PowerShell-script inprivate-mode-disabled.ps1 (functie Invoke-Remediation) – Herstellen.

Remediatie is nodig zodra monitoring detecteert dat een apparaat de waarde 0 hanteert terwijl het volgens beleid waarde 1 hoort te hebben. Het script in deze control wordt opgenomen in een Intune remediation policy of Configuration Manager configuration baseline, zodat het automatisch draait wanneer een afwijking wordt gevonden. Het script schrijft de correcte registrywaarde weg, forceert een Edge policy refresh en rapporteert de uitkomst terug naar het managementsysteem, waardoor de tijd tussen detectie en herstel beperkt blijft tot enkele minuten.

Wanneer een afwijking meerdere keren terugkeert op hetzelfde apparaat, wordt een incident geopend. De helpdesk controleert dan of de gebruiker lokale administratorrechten heeft misbruikt, of dat er sprake is van een verouderde image waarin het beleid ontbreekt. In veel gevallen blijkt dat een device nog niet opnieuw is ingeschreven na herinstallatie. Daarom maakt het runbook onderdeel uit van het onboardingproces: elke nieuwe werkplek doorloopt een validatiestap waarin InPrivate-modus bewust wordt getest.

Remediatie gaat verder dan techniek alleen. Het change-team analyseert of recente software roll-outs, zoals een alternatieve browserextension of een security-agent, het beleid hebben teruggedraaid. Bevindingen worden gedeeld met leveranciers zodat zij hun installers aanpassen. Indien blijkt dat een bepaalde gebruikersgroep legitieme redenen heeft om InPrivate toch nodig te hebben, wordt een uitzonderingsprocedure gestart met tijdelijke policies, loggingmaatregelen en een herbeoordeling binnen maximaal drie maanden.

Tot slot wordt na elke grote verstoring een post-incident review uitgevoerd. Deze bevat een tijdlijn van detectie, herstelacties, communicatie met het SOC en eventueel verstuurde meldingen naar privacy officers. Lessons learned worden vertaald naar verbeteringen in het PowerShell-script, een uitbreiding van Sentinel-detecties of extra controles in het buildproces van werkplekimages. Daardoor blijft remediatie niet beperkt tot het terugzetten van één registerwaarde, maar groeit het uit tot een volwaardige borgingshaak in de Nederlandse Baseline voor Veilige Cloud.

De effectiviteit van het remediatieproces wordt tenslotte gemeten met serviceniveaus: maximaal 60 minuten tussen detectie en herstel voor reguliere werkplekken en maximaal 15 minuten voor beheerderswerkplekken. Resultaten worden vastgelegd in een maandrapport, gecombineerd met root-cause-statistieken. Zo ontstaat transparantie over waar in het proces verbeteringen nodig zijn, bijvoorbeeld in packaging, device enrollment of communicatie richting eindgebruikers.

Compliance & Frameworks

• CIS M365: Control Edge Security - Private Browsing (L2) - InPrivate-modus moet worden uitgeschakeld indien audittrails vereist zijn
• BIO: 12.04.01, 12.04.02 - Logging en monitoring van gebruikersactiviteiten
• ISO 27001:2022: A.12.4.1, A.12.4.2 - Registratie en monitoring van gebeurtenissen
• NIS2: Artikel - Logging en monitoring voor detectie van incidenten

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

Risico zonder implementatie

Management Samenvatting

Dwing InPrivateModeAvailability = 1 af op alle beheerde Edge-installaties, monitor continu op afwijkingen en herstel deze automatisch. Combineer de maatregel met duidelijke communicatie over privacyverwachtingen en zorgvuldig beheer van uitzonderingen zodat zowel audit- als gebruikersbehoeften in balans blijven.

• Implementatietijd: 2.5 uur
• FTE required: 0.02 FTE