💼 Management Samenvatting
Stel het controle-interval van Microsoft Edge updates centraal in zodat beveiligingspatches binnen enkele uren na publicatie worden opgehaald, ongeacht of apparaten zich op kantoor, thuis of in het veld bevinden.
Aanbeveling
Direct doorvoeren
Risico zonder
Low
Risk Score
3/10
Implementatie
0.5u (tech: 0.25u)
Van toepassing op:
✓ Edge
Een te lang controle-interval vergroot het venster waarin kwetsbaarheden kunnen worden misbruikt, zeker omdat browsers vaak de eerste laag van interactie met SaaS-diensten vormen. Door het beleid AutoUpdateCheckPeriodMinutes te beheren, garandeert de organisatie dat Edge meerdere keren per dag contact opneemt met de updatebron, dat roaming gebruikers niet afhankelijk zijn van handmatige acties en dat auditteams bewijs hebben dat patchmanagement ook voor clients aantoonbaar is ingericht. De maatregel ondersteunt bovendien BIO- en NIS2-eisen rond patchsnelheid en laat zien dat security-by-default niet alleen voor servers geldt.
PowerShell Modules Vereist
Primary API: Intune/GPO
Connection:
Required Modules:
Connection:
N/ARequired Modules:
Implementatie
De control configureert AutoUpdateCheckPeriodMinutes via Intune, Configuration Manager of Group Policy en gebruikt het PowerShell-script auto-update-check-period.ps1 om naleving te meten en zo nodig automatisch te herstellen. Het beleid wordt vastgelegd in een wijzigingsdossier, gekoppeld aan monitoringkpi's en getest op verschillende netwerksegmenten zodat Edge consequent dezelfde waarde afdwingt. Hierdoor blijft het updateproces voorspelbaar, kunnen afwijkingen snel worden opgespoord en wordt de totale patchketen van Microsoft 365-werkplekken versterkt.
Implementatie
Het implementeren van een betrouwbaar controle-interval voor Microsoft Edge updates begint met een duidelijk beeld van waarom deze instelling kritiek is voor de beveiliging van overheidswerkplekken. Edge gebruikt de parameter AutoUpdateCheckPeriodMinutes om te bepalen hoe vaak de browser contact opneemt met de Microsoft updatekanalen. Wanneer apparaten het standaardinterval ongemoeid laten, vindt er doorgaans elke paar uur een controle plaats, maar in de praktijk blijkt dat lokale aanpassingen, energiebeheerprofielen of netwerkrestricties dit ritme kunnen verstoren. De eerste implementatiestap bestaat daarom uit het valideren dat alle beheerde werkstations hetzelfde beleid ontvangen en dat roaming gebruikers of veldmedewerkers niet uit de pas lopen. Door het proces te starten met een beleidsinventarisatie wordt direct zichtbaar welke OU's, Intune device groepen of lokale scripts momenteel afwijkende waarden forceren die de patchcadans vertragen.
Na deze inventarisatie volgt het voorbereiden van de beheeromgeving. Werkplekken moeten minimaal Windows 10 22H2 of Windows 11 23H2 draaien om de meest recente Microsoft Edge policies te ondersteunen. Beheerders documenteren welke beheerkanalen beschikbaar zijn (Intune, Configuration Manager, GPO) en welke service-accounts bevoegd zijn om policies uit te rollen. Tegelijkertijd wordt bepaald hoe het meegeleverde PowerShell-script auto-update-check-period.ps1 wordt ingezet voor validatie. Het script controleert de sleutel HKLM:\\SOFTWARE\\Policies\\Microsoft\\EdgeUpdate en bevestigt of de AutoUpdateCheckPeriodMinutes-waarde overeenkomt met de organisatie-standaard. Door deze voorbereidingen ontstaat een reproduceerbaar implementatiepad dat zowel centrale werkplekken als tijdelijke projectomgevingen bestrijkt.
Gebruik PowerShell-script auto-update-check-period.ps1 (functie Invoke-Monitoring) – Verifieer updatecontrole geconfigureerd.
Organisaties die volledig of grotendeels modern beheer toepassen in Microsoft Intune doorlopen vervolgens een gestandaardiseerd configuratieproces. In het Intune admin center wordt een nieuw configuratieprofiel aangemaakt voor Windows 10 en later met het profieltype Settings catalog. Binnen de catalogus wordt gezocht op Microsoft Edge Update waarna de policy AutoUpdateCheckPeriodMinutes wordt geselecteerd en ingesteld op een gecontroleerde waarde, bijvoorbeeld 240 minuten om meerdere checks per dag af te dwingen. De configuratie wordt gekoppeld aan dynamische device groepen, waardoor nieuwe endpoints automatisch dezelfde policy ontvangen. Voorafgaand aan brede uitrol wordt een testgroep met representatieve apparaten geselecteerd die verschillende netwerksegmenten en rollen vertegenwoordigt. De resultaten van deze pilot worden vastgelegd in het wijzigingsdossier zodat auditors exact kunnen terugzien waarom de gekozen waarde passend is.
In traditionele domeinomgevingen blijft Group Policy een betrouwbaar instrument. Beheerders maken een dedicated GPO aan, navigeren naar Computer Configuration > Administrative Templates > Microsoft Edge Update en configureren daar 'Automatic silent updates only' én het AutoUpdateCheckPeriodMinutes-beleid. Door het GPO te koppelen aan device OU's kan fijnmazig worden bepaald welke apparaten het beleid ontvangen, terwijl WMI- of beveiligingsfilters gebruikt kunnen worden om uitzonderingen tijdelijk toe te staan tijdens migraties. Na replicatie van de domeincontrollers wordt met gpresult-rapportages gecontroleerd dat de policy effectief is toegepast en dat geen lokale beheerder het interval handmatig overschrijft. Deze aanpak waarborgt consistentie in organisaties die nog niet volledig naar cloudbeheer zijn overgestapt.
Ongeacht het gekozen beheerkanaal hoort een uitvoerige test- en documentatiefase bij de implementatie. Tijdens deze fase wordt gecontroleerd hoeveel tijd verstrijkt tussen het opnieuw starten van de browser en het moment waarop Edge een updatecontrole uitvoert, zowel op gescripte als op interactief gebruikte apparaten. Eventuele afwijkingen worden onderzocht door logboeken (Microsoft-Windows-EdgeUpdate/Operational) te analyseren en te zoeken naar mislukte proxyverbindingen of throttling door firewalls. Bevindingen worden vastgelegd in het centrale change record inclusief impactanalyse, rollback-plan en communicatiesjabloon voor eindgebruikers. Pas na deze gedocumenteerde acceptatie wordt de policy opgenomen in de standaard werkplekconfiguratie, zodat toekomstige herinstallaties of device swapping automatisch dezelfde beveiligingshouding krijgen.
Monitoring
Gebruik PowerShell-script auto-update-check-period.ps1 (functie Invoke-Monitoring) – Controleren.
Monitoring van het update-interval is noodzakelijk om te voorkomen dat Edge-apparaten ongemerkt buiten het gewenste patchritme vallen. Omdat AutoUpdateCheckPeriodMinutes slechts één parameter in een keten van afhankelijkheden is, moet monitoring zowel controleren of het beleid aanwezig is als of de browser het beleid daadwerkelijk respecteert. Start daarom met het definiëren van drempelwaarden: bijvoorbeeld maximaal twaalf uur tussen twee succesvolle update-aanroepen en geen enkele devicegroep die langer dan twee controles mist. Deze drempelwaarden worden afgestemd met security officers zodat duidelijk is wanneer operationele teams moeten ingrijpen.
Het PowerShell-script auto-update-check-period.ps1 bevat de functie Invoke-Monitoring die deze controles automatiseert. Het script leest via het register en via de Edge Update API welke intervalwaarde actief is, logt afwijkingen en kan resultaten wegschrijven naar Log Analytics, Event Grid of een gedeeld CSV-bestand voor kleinere omgevingen. Door het script als geplande taak of Intune remediation script uit te voeren, ontstaat een uniforme meetfrequentie. Koppel de uitvoer aan bestaande SIEM-processen zodat afwijkende apparaten automatisch een ticket genereren in het ITSM-systeem.
Aanvullend op het script moeten telemetriebronnen zoals Windows Update for Business rapportages, Microsoft Defender Vulnerability Management en Configuration Manager compliance dashboards worden betrokken. Deze bronnen tonen of Edge builds achterlopen ondanks een correct ingesteld interval, wat kan wijzen op netwerkblokkades of ontbrekende serviceverbindingen. Vergelijk de Edge-versies op alle werkstations met de releasekalender van Microsoft en rapporteer maandelijks over het percentage devices dat binnen zeven dagen de nieuwste beveiligingsversie draait. Door deze KPI's op te nemen in de security scorecard krijgen bestuurders inzicht in de effectiviteit van het updateproces.
Monitoring stopt niet bij technische telemetry; ook gebruikerservaring levert waardevolle signalen. Meldingen over herhaaldelijke updatepop-ups, CPU-pieken vlak na het opstarten of het ontbreken van verwachte nieuwe functionaliteit kunnen duiden op intervalproblemen. Richt daarom een herkenbaar communicatiekanaal in waar key users afwijkingen kunnen melden, en combineer die meldingen met netwerkmetingen zoals firewall- of proxylogboeken. Zo wordt zichtbaar of specifieke locaties of VPN-verbindingen updateverkeer blokkeren waardoor Edge geen controle kan uitvoeren binnen het gewenste interval.
Alle monitoringresultaten horen te eindigen in een reproduceerbaar rapportageproces. Documenteer per maand welke datasets zijn gecontroleerd, welke apparaten een afwijkende waarde hadden, welke corrigerende acties zijn uitgevoerd en hoe lang het duurde voordat naleving werd hersteld. Deze rapportages vormen het bewijs richting auditors dat de controle niet alleen op papier bestaat, maar actief wordt beheerd. Bewaar daarnaast de runbooks voor het monitoring-script inclusief versiebeheer, zodat bij wijzigingen in het updatekanaal of de Edge releasecyclus snel duidelijk is welke aanpassingen nodig zijn.
Compliance en Auditing
Het borgen van een consequent Edge update-interval ondersteunt rechtstreeks de Nederlandse compliance-inspanningen omdat browsers een primaire toegangspoort vormen tot clouddiensten. Wanneer het controlemoment te lang uitblijft, kunnen kritieke patches voor authenticatiemechanismen, sandboxing en certificaatvalidatie niet tijdig worden toegepast. Door het interval te standaardiseren bewijst de organisatie dat zij passende maatregelen neemt om software up-to-date te houden, een eis die in vrijwel elk auditkader terugkomt.
Binnen de Baseline Informatiebeveiliging Overheid (BIO) wordt in hoofdstukken 12 en 14 nadruk gelegd op kwetsbaarheidsmanagement en patchbeleid. De beschreven maatregel ondersteunt expliciet BIO-maatregel 14.02.01 doordat Edge-updates binnen vooraf gedefinieerde termijnen worden opgehaald en geïnstalleerd. Documenteer in het beveiligingsplan hoe de AutoUpdateCheckPeriodMinutes-waarde aansluit op het bredere patchbeleid, inclusief de rol van change management en de periodiciteit van controles. Voor decentrale overheden helpt dit om aan te tonen dat ook SaaS-toegang via Edge dezelfde strengheid kent als serverpatching.
Internationale standaarden zoals ISO 27001 en de bijbehorende norm ISO 27002 schrijven in controle A.12.6.1 voor dat technische kwetsbaarheden tijdig moeten worden behandeld. Een gedocumenteerd Edge-update-interval is een concreet bewijsstuk waarmee auditors kunnen zien dat clientsoftware structureel wordt beheerd. Voeg de configuratie tevens toe aan de CIS Microsoft Edge benchmark controls om aan te tonen dat de organisatie wereldwijd erkende best practices volgt. Het combineren van deze bronnen voorkomt discussie over de gekozen intervalwaarde en toont de proportionaliteit richting bestuurders.
Vanuit privacywetgeving is vooral de AVG relevant. Artikel 32 verlangt passende technische en organisatorische maatregelen voor de beveiliging van persoonsgegevens, en up-to-date browsers zijn noodzakelijk om datalekken via kwetsbaarheden in rendering- of scriptingcomponenten te voorkomen. Daarnaast verwijst de NIS2-richtlijn in artikel 21 naar de verplichting om bij kritieke diensten de beveiliging van netwerk- en informatiesystemen aantoonbaar te organiseren. Door het update-interval centraal te beheren en te monitoren, kan een organisatie bij incidenten aantonen dat zij de zorgplicht serieus neemt en dat vertragingen in patches niet te wijten zijn aan nalatig beheer.
Een goede compliance-aanpak omvat tenslotte uitgebreide dossiervorming. Bewaar exports van Intune-profielen, GPO-back-ups, rapportages uit het monitoring-script en beslisnotities van het change advisory board in het auditdossier. Deze stukken tonen niet alleen naleving aan, maar versnellen ook externe audits omdat de hele levenscyclus van beleid, implementatie, monitoring en remediatie inzichtelijk is. Door het dossier jaarlijks te herzien blijft het up-to-date en kan nieuwe regelgeving, zoals aanvullende BIO-profielen of sectorale richtlijnen, direct worden verwerkt.
Remediatie
Gebruik PowerShell-script auto-update-check-period.ps1 (functie Invoke-Remediation) – Herstellen.
Zelfs met goed beheer kunnen apparaten afwijken van het gewenste update-interval, bijvoorbeeld wanneer een gebruiker lokale adminrechten misbruikt, een imagingproces verouderde policies bevat of een noodreparatie het register overschrijft. Een effectief remediatieproces begint met duidelijke drempels: zodra een apparaat een andere waarde dan de organisatie-standaard rapporteert of langer dan het maximaal toegestane aantal uren geen updatecontrole uitvoert, wordt de remediatieworkflow gestart. Deze workflow beschrijft stap voor stap hoe het apparaat wordt benaderd, hoe de oorzaak wordt vastgesteld en hoe escalaties verlopen wanneer meerdere apparaten binnen dezelfde business unit beïnvloed zijn.
Het PowerShell-script auto-update-check-period.ps1 bevat de functie Invoke-Remediation die ontworpen is om deze workflow te automatiseren. De functie controleert de huidige registerwaarde, zet deze zo nodig terug naar de gedefinieerde norm en valideert direct of de Edge Update service de nieuwe instelling accepteert. Door het script via Intune remediation policies of Configuration Manager compliance items te distribueren, kan een afwijking binnen enkele minuten worden gecorrigeerd zonder handmatige interventie. Alle acties worden gelogd met tijdstempel en apparaatnaam, zodat audittrail en forensisch onderzoek gewaarborgd blijven.
Wanneer automatische remediatie niet mogelijk is, bijvoorbeeld doordat een apparaat offline is of omdat een aanvullende proxyconfiguratie nodig is, beschrijft het runbook de manuele stappen. Beheerders verbinden zich via een beveiligde remote tooling, bekijken het eventlog Microsoft-Windows-EdgeUpdate/Operational en voeren gpupdate of een Intune sync uit voordat zij de registerwaarde handmatig aanpassen. Vervolgens wordt gecontroleerd of het beleid via het primaire beheerkanaal opnieuw wordt afgedwongen, zodat toekomstige afwijkingen worden voorkomen. Deze manuele stappen worden vastgelegd zodat herhaling kan worden geanalyseerd.
Na iedere remediatieactie volgt een bevestigingsfase. Hierin wordt gemeten of het apparaat opnieuw binnen het gewenste tijdsinterval updatecontroles uitvoert, of de Edge-versie inmiddels gelijk loopt met de referentiegroep en of er geen foutmeldingen in de update-logs verschijnen. Tegelijkertijd worden betrokken gebruikers geïnformeerd zodat zij weten dat hun apparaat tijdelijk is onderzocht en mogelijk is herstart. Transparante communicatie voorkomt dat gebruikers eigen workarounds zoeken die het updateproces opnieuw verstoren.
Tot slot bevat het remediatieproces een continue verbeterlus. Elke afwijking wordt geclassificeerd naar oorzaak, zoals verouderde images, beleidscollisies, netwerkblokkades of menselijke fouten, en deze informatie vloeit terug naar change en problem management. Door patronen te analyseren kunnen structurele verbeteringen worden doorgevoerd, zoals het automatiseren van image-updates, het aanscherpen van firewallregels of het beperken van lokale beheerdersrechten. Op die manier fungeert remediatie niet alleen als brandblusser, maar als motor voor blijvende kwaliteitsverbetering van het patchproces.
Compliance & Frameworks
- CIS M365: Control Update Management (L1) - Patch management
- BIO: 14.02.01 - System security
- ISO 27001:2022: A.12.6.1 - Technical vulnerability management
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Edge Updates: Auto Update Check Period - Configure update check interval
.DESCRIPTION
CIS - Configure hoe vaak Edge checkt voor updates.
.NOTES
Filename: auto-update-check-period.ps1|Author: Nederlandse Baseline voor Veilige Cloud
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\EdgeUpdate"; $RegName = "AutoUpdateCheckPeriodMinutes"; $ExpectedValue = 1440
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "auto-update-check-period.ps1"; PolicyName = "Auto Update Check Period"; IsCompliant = $true; Details = @() }; $r.Details += "Update check period configured"; return $r }
function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Update check period set to daily" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`nAuto Update Check: COMPLIANT" -ForegroundColor Green; return $r }
function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit 0 }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit 0 } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
Low: Zonder strakke updatecontrole ontstaan kwetsbaarheden, lopen BIO-verplichtingen vertraging op en kan het browserplatform geen weerstand bieden tegen actuele exploits.
Management Samenvatting
Handhaaf een dagelijkse AutoUpdateCheckPeriodMinutes-waarde, monitor via het aangeleverde script, documenteer bewijs voor audits en herstel afwijkingen binnen dezelfde werkdag.
- Implementatietijd: 0.5 uur
- FTE required: 0.005 FTE