Edge: Herstartmelding Vereist Voor Updates

In Edge worden beveiligingsupdates vrijwel altijd als differentiële downloads op de achtergrond klaargezet. De binaries staan wel op de schijf, maar krijgen pas effect zodra het proces msedge.exe volledig wordt afgesloten en opnieuw wordt gestart. In veel gemeenten en rijksinstanties blijft de browser dagen of zelfs weken actief omdat gebruikers hun apparaat in slaapstand laten gaan of omdat werkplekken via VDI-sessies persistent openstaan. Daardoor ontstaat een forse kloof tussen het moment waarop een patch is uitgegeven en het moment waarop die patch werkelijk bescherming biedt. Een herstartmelding doorbreekt die kloof door de gebruiker te confronteren met de noodzakelijke actie zodra de update in de wachtrij staat. De dreiging is concreet. Aanvallers monitoren iedere Patch Tuesday welke Edge-onderdelen zijn gepatcht en reverse-engineeren de update binnen uren om exploitcode te schrijven. In de periode waarin een organisatie de download wel heeft, maar de browser nog draait op verouderde processen, is zij bijzonder kwetsbaar voor drive-by downloads, malvertisingcampagnes en phishingpagina's die misbruik maken van renderers of extensies. Zeker in omgevingen waar gevoelige persoonsgegevens of staatsgeheimen worden verwerkt, is zo'n venster van kwetsbaarheid onacceptabel. Een consistente herstartmelding verkleint dat venster tot het moment waarop de gebruiker de melding ziet en bevestigt, wat doorgaans binnen dezelfde werkdag gebeurt. Naast het pure beveiligingsaspect speelt adoptiegedrag een rol. Medewerkers zijn gewend aan stille updates en realiseren zich niet dat een herstart nodig is. Een duidelijke melding die uitlegt waarom de herstart verplicht is, verlaagt de weerstand en voorkomt dat gebruikers eigen workarounds zoeken, zoals het langdurig open laten staan van tientallen tabbladen of het afsluiten via Taakbeheer. Door taal en branding van de organisatie te gebruiken, voelt de melding als een vertrouwd onderdeel van het werkplekbeheer en geen onverwachte pop-up van een onbekende bron. Door herstartmeldingen verplicht te stellen, bouwt een organisatie bovendien aan meetbaarheid. Het beleid maakt zichtbaar hoeveel apparaten updates klaar hebben staan, hoe lang meldingen openblijven en welke afdelingen structureel achterlopen. Deze observaties voeden een continue verbetercyclus in het patchproces: communicatie kan worden versterkt, escalatie naar lijnmanagement kan worden ingericht en technische oorzaken zoals vastlopende profielen kunnen gericht worden onderzocht. Daarmee is de vereiste herstartmelding niet alleen een compliance-maatregel, maar vooral een instrument om operationele grip te houden op de beveiligingsstatus van Edge.

Implementatie

De beleidsinstelling die nodig is om herstartmeldingen voor Edge af te dwingen is beschikbaar in zowel Microsoft Intune als in klassieke groepsbeleidssjablonen. Binnen de Intune Settings Catalog bevindt de instelling zich onder Microsoft Edge > Updates en draagt zij de naam Informeer gebruiker dat een browserherstart wordt aanbevolen of vereist. Door deze instelling op verplicht te zetten, wordt ieder apparaat in de toegewezen scope voorzien van dezelfde gebruikerservaring, ongeacht of het apparaat onderdeel is van een modern managed Windows 11-laptop, een Surface Hub of een multi-user Azure Virtual Desktop-sessie. Wanneer de instelling actief is, verschijnt er een duidelijke melding in de Edge-werkbalk en in het instellingenpaneel waarin wordt uitgelegd dat een herstart noodzakelijk is om beveiligingsverbeteringen toe te passen. De melding blijft zichtbaar tot de gebruiker daadwerkelijk afsluit en keert na een graceperiod automatisch terug. Hierdoor ontstaat een ritme waarin gebruikers updates direct meenemen in hun werkprocessen, vergelijkbaar met het accepteren van Windows-updates aan het einde van de dag. Door ook aan te geven welke risico's worden weggenomen en dat de melding afkomstig is van de beheerde werkplek, verdwijnt de twijfel of het bericht legitiem is. De organisatorische invulling is net zo belangrijk als de technische configuratie. Voorzie de melding van een korte uitleg, verwijs in interne communicatie naar dezelfde terminologie en geef concrete instructies voor scenario's waarin een herstart niet direct mogelijk lijkt, zoals tijdens een digitale zitting of bij gebruik van webapplicaties die uren open moeten blijven. Door servicedeskmedewerkers te trainen in het herkennen van de update-indicator kunnen zij gebruikers begeleiden bij het plannen van een geschikt moment zonder dat productiviteit verloren gaat. Tot slot is het zinvol om de herstartmelding te koppelen aan monitoring en automatisering. Intune-rapportages of Azure Monitor kunnen laten zien welke apparaten nog niet opnieuw zijn opgestart, zodat beheerders gericht een herinnering kunnen sturen of een geautomatiseerde taak kunnen plannen die Edge 's nachts afsluit als er geen actieve sessie is. Zo ontwikkelt de organisatie een volwaardige beheercyclus waarin signalering, opvolging en verificatie van Edge-updates zijn geborgd.

Vereisten

Een betrouwbare uitrol van herstartmeldingen begint bij de basis: alle endpoints moeten Microsoft Edge in een ondersteund kanaal draaien en automatische updates via Microsoft Update of WSUS mogen niet zijn uitgeschakeld. Controleer of de services edgeupdate en edgeupdatem actief blijven, of devices verbinding kunnen maken met de Microsoft Content Delivery Network en of geen enkel hardening-script de standaardlocatie van de Edge-binaries wijzigt. Zonder deze randvoorwaarden wordt wel een melding getoond, maar blijven de nieuwe bits ontbreken en ontstaat een vals gevoel van veiligheid.

Daarnaast is een goed ingerichte beheerlaag noodzakelijk. Intune-tenants hebben Endpoint Security- of Settings Catalog-rollentoegang nodig zodat policies betrouwbaar kunnen worden gepubliceerd. Voor organisaties die nog Group Policy gebruiken, is een actuele Central Store met de meest recente Edge ADMX-templates verplicht. Combineer dit met sluitende netwerkvereisten: proxies en SSL-inspectieoplossingen moeten verkeer naar msedge.api.cdp.microsoft.com, edge.microsoft.com en de update-endpoints toestaan met TLS 1.2 of hoger. Maak zonodig uitzonderingen in Zero Trust-profielen zodat apparaten ook buiten kantoornetwerken updates kunnen ophalen.

Vervolgens moet de organisatie gebruikers meenemen. Stel een communicatieplan op dat uitlegt waarom de melding verschijnt, hoe medewerkers hun werk veilig opslaan en welke ondersteuning beschikbaar is bij urgente werkzaamheden zoals digitale zittingen of lange webformulieren. Train servicedeskteams met screenshots van de melding, voorbeeldscripts en standaardhulpstappen voor scenario's waarin Edge niet direct kan worden afgesloten. Door dezelfde terminologie in intranetberichten, meldteksten en kennisbankartikelen te gebruiken, voorkom je verwarring en weerstand.

Tot slot horen meetbaarheid en governance bij de vereisten. Richt telemetrie in via Intune Reporting, Microsoft Defender for Endpoint of Log Analytics zodat duidelijk is hoeveel apparaten updates gereed hebben staan, hoelang meldingen actief blijven en welke organisatieonderdelen structureel achterlopen. Definieer KPI's, bijvoorbeeld maximaal vijf procent devices ouder dan drie patchcycli, en leg vast wie escalaties oppakt wanneer drempelwaarden worden overschreden. Deze informatie voedt zowel de BIO-audittrail als de periodieke rapportage aan bestuurders over de Nederlandse Baseline voor Veilige Cloud.

Implementatie

Begin met een gecontroleerde pilot in Intune. Maak in de Settings Catalog een nieuw profiel voor Windows 10 en hoger, kies Microsoft Edge > Updates en activeer de instelling Informeer gebruiker dat een browserherstart wordt aanbevolen of vereist. Selecteer de optie voor een terugkerende prompt, documenteer interval en timeout in het changerecord en wijs het profiel toe aan een kleine groep representatieve apparaten. Forceer een synchronisatie, navigeer op deze apparaten naar edge://settings/help en controleer of de melding zichtbaar wordt zodra een update klaarstaat.

Analyseer tijdens de pilot hoe gebruikers reageren. Meet via Device configuration status of het beleid overal de status Succeeded heeft en gebruik Endpoint analytics om te zien of het herstartgedrag verbetert. Pas indien nodig het meldingsinterval aan, bijvoorbeeld een eerste waarschuwing na 12 uur en herhaling iedere werkdag, en leg uit wanneer de melding tijdelijk kan worden uitgesteld. Zodra de pilot stabiel is, breid je de scope gefaseerd uit door dynamische groepen te gebruiken op basis van afdeling, risicoprofiel of device compliance state.

Voor werkplekken die nog grotendeels via Group Policy worden beheerd, plaats je de nieuwste Edge ADMX-bestanden in de Central Store en maak je een dedicated GPO aan. Navigeer naar Computer Configuration > Administrative Templates > Microsoft Edge > Update, activeer dezelfde instelling en kies eveneens voor een terugkerende prompt. Koppel het GPO eerst aan een test-OU, valideer met gpresult /h of de policy wordt toegepast en zorg dat WMI-filters en security filtering de juiste devices omvatten. Documenteer eventuele uitzonderingen voor kiosk- of laboratoriumsystemen.

Communicatie en adoptie lopen parallel aan de technische uitrol. Publiceer een intranetbericht met screenshots van de melding, leg uit dat Edge na herstart automatisch de laatst geopende tabbladen terugplaatst en bied suggesties om lopende werkzaamheden op te slaan in OneDrive of SharePoint. Organiseer een korte kennissessie voor de servicedesk en voeg scripts toe aan het ITSM-portaal zodat agents gebruikers kunnen begeleiden bij het plannen van een herstart. Neem het beleid op in het onboardingpakket voor nieuwe medewerkers zodat verwachtingen vanaf dag één duidelijk zijn.

Borg de implementatie ten slotte met monitoring en automatisering. Laat een Logic App of Power Automate-flow wekelijks rapporteren welke apparaten langer dan de afgesproken termijn geen herstart hebben uitgevoerd, stuur gerichte herinneringen naar leidinggevenden en voer op vaste momenten een gecontroleerde rollback-test uit om te bevestigen dat het beleid zich laat uitschakelen wanneer een kritieke storing optreedt. Combineer deze inzichten met het PowerShell-script in de code-repository, zodat wijzigingen eerst lokaal worden getest voordat ze naar productie worden gepusht.

Compliance

Het beleid sluit rechtstreeks aan op BIO-controle 12.06.01 waarin wordt geëist dat organisaties de doorlooptijd tussen patchbeschikbaarheid en installatie minimaliseren. Edge is de primaire toegangspoort tot Microsoft 365 en andere cloudbronnen; zonder herstartmelding blijft het patchproces halverwege steken. Door deze maatregel kunt u aantonen dat zowel distributie als activatie van updates aantoonbaar zijn geborgd binnen de Nederlandse Baseline voor Veilige Cloud.

NIS2 en de Wet beveiliging netwerk- en informatiesystemen vereisen dat vitale aanbieders en essentiële diensten kwetsbaarheden snel mitigeren. In auditgesprekken kunt u laten zien dat het herstartbeleid onderdeel is van uw vulnerability management-proces, dat het gelinkt is aan risicoacceptaties in het ISMS en dat uitzonderingen formeel worden vastgelegd met een beoogde einddatum. Hiermee toont u aan dat de organisatie de laatste stap in patchmanagement niet overdraagt aan willekeur, maar bestuurbaar maakt.

Aan auditbewijzen is geen gebrek wanneer de maatregel goed is ingericht. Intune-exportbestanden, GPO-back-ups, change logs, screenshots van meldingen en rapportages uit Microsoft Defender for Endpoint vormen samen een reproduceerbaar spoor. Leg in het auditdossier vast hoe vaak rapportages worden gedeeld met het CISO-office, welke KPI's worden gehanteerd en hoe corrigerende maatregelen worden opgenomen in het risicoregister.

Privacyaspecten blijven relevant, zelfs bij technische maatregelen. Beschrijf in het verwerkingsregister dat Edge-herstartgegevens uitsluitend technische identifiers bevatten, dat deze worden opgeslagen in een EU-datacenter en na maximaal negentig dagen worden verwijderd tenzij zij onderdeel zijn van een lopend incident. Zo voldoet u aan de AVG-vereisten voor doelbinding en dataminimalisatie en voorkomt u dat monitoringdata onnodig gevoelig worden.

Veranker de maatregel tot slot in governance en rapportage. Neem de KPI over herstartgedrag op in het periodieke securitydashboard, bespreek structurele afwijkingen in het overleg tussen CIO, CISO en lijnmanagement en koppel resultaten aan ENSIA- en BIO-selfassessments. Voeg in contracten met uitbestede werkplekbeheerders dezelfde verplichting toe, inclusief rapportageformat, zodat de volledige keten dezelfde beveiligingsstandaard hanteert.

Monitoring

Effectieve monitoring richt zich op zowel configuratiecompliance als werkelijk gebruikersgedrag. Gebruik de ingebouwde Intune-rapporten voor Edge-instellingen om dagelijks te controleren of het beleid "Notify user that a browser restart is recommended or required" de status "Succeeded" teruggeeft op alle beheerde apparaten. Combineer deze data met Microsoft Defender for Endpoint-signaaltelemetrie om te zien welke browsersessies ouder zijn dan de toegestane patchtermijn. Door deze datasets te correleren, ontdek je of meldingen wel worden afgeleverd maar genegeerd, zodat je gericht kunt bijsturen met aanvullende communicatie of een aangepaste reminderfrequentie.

Leg in het monitoringplan vast dat het Security Operations Center wekelijks een controle uitvoert op afwijkingen. Dit kan via een Kusto-query in de Advanced Hunting-omgeving waarbij je filtert op EdgeUpdateClient-gebeurtenissen en herstartstatussen. Voeg er een automatische waarschuwing aan toe die een ticket in het ITSM-systeem aanmaakt zodra een apparaat langer dan vijf werkdagen geen herstartmelding heeft opgevolgd, vooral bij werkplekken die toegang hebben tot hooggeclassificeerde gegevens. Voor gemeentelijke situaties waarin meerdere leveranciers beheer uitvoeren is het verstandig om ook een Power BI-dashboard te publiceren dat per organisatieonderdeel inzicht geeft in het percentage "compliant", "pending" en "non-responsive" apparaten. Door deze transparantie ontstaat een gezonde prikkel om herstarten echt onderdeel te maken van de dagelijkse werkdiscipline.

Het script `restart-notification-required.ps1` vormt de geautomatiseerde controlelaag. Plan het script via een Azure Automation runbook of een beveiligde beheerserver en laat het de Intune Graph API bevragen op policy-instellingen, toewijzingen en laatste synchronisatietijdstippen. Laat de output automatisch wegschrijven naar een centraal logboek met een digitale handtekening, zodat auditors kunnen herleiden dat de controles onaangepast zijn uitgevoerd. Documenteer bovendien een runbook waarin staat hoe het SOC moet handelen bij fouten, welke parameterwaarden gebruikt moeten worden en hoe men valideert dat de scriptsessie niet door een verouderde module wordt beïnvloed. Door technische checks, procesmatige dashboards en een vastgelegd responsproces te combineren, ontstaat een monitoringsketen die binnen vijftien seconden inzicht geeft in de actuele staat.

Voeg hieraan een resiliency-test toe: simuleer maandelijks een situatie waarin het Intune-rapport niet beschikbaar is en controleer of het SOC binnen hetzelfde tijdsvenster kan overschakelen op een lokale logcontrole. Deze tabletop-oefeningen tonen aan dat monitoring niet afhankelijk is van één platform en dat de organisatie voorbereid is op zowel technische storingen als security-incidenten. Documenteer de resultaten, verbeter het runbook indien nodig en communiceer de lessen naar alle betrokken teams. Zo wordt monitoring een levend proces dat voortdurend wordt aangescherpt.

Een aanvullende controletechniek is het inzetten van lokale healthchecks die tijdens het opstarten van Edge een minieme prestatie-impact hebben maar wel verifiëren of de melding in de UI-componenten wordt geladen. Deze healthchecks kunnen gebruikmaken van het Microsoft Enterprise Site Discovery-framework en de resultaten als JSON naar een beveiligd opslagaccount schrijven. Door performancecijfers, foutcodes en gebruikersinteracties te correleren, wordt duidelijk of specifieke extensies of kioskconfiguraties de melding blokkeren.

Tot slot hoort er een rapportage aan het bestuur bij waarin niet alleen het aantal compliant apparaten staat, maar ook de bijbehorende risico-inschatting. Gebruik heatmaps om te laten zien welke organisatieonderdelen consequent laat herstarten en koppel daar concrete interventies aan. Door beleidsinformatie, technische telemetrie en managementrapportages te verbinden, ontstaat een monitoringslaag die zowel operationeel als strategisch waarde toevoegt.

Gebruik PowerShell-script restart-notification-required.ps1 (functie Invoke-Monitoring) – Automatisch controleren of het beleid actief is en de laatste synchronisatie succesvol verliep..

Remediatie

Wanneer monitoring uitwijst dat apparaten het herstartbeleid niet naleven treedt een vooraf gedefinieerd herstelpad in werking. Begin met een geautomatiseerde herbevestiging van de policy: controleer of de Edge ADMX-versies actueel zijn, of de Intune-synchronisatie niet is vastgelopen en of er geen concurrerende beleidsregels bestaan die de melding overschrijven. Communiceer vervolgens proactief met de eigenaar van het betreffende organisatieonderdeel; vaak is een korte reminder of een instructievideo voldoende om medewerkers te overtuigen dat een herstart slechts enkele seconden kost en cruciaal is voor het beschermen van vertrouwelijke gegevens. Documenteer elke stap in het ITSM-ticket en koppel de uitkomst terug naar het risicoregister zodat terugkerende overtredingen zichtbaar worden.

Voor hardnekkige gevallen definieer je een escalatieroute. Als een apparaat na twee meldingen nog steeds geen herstart heeft uitgevoerd, kan de organisatie besluiten om Edge geforceerd af te sluiten buiten kantooruren, mits dit vooraf in het gebruikersreglement is opgenomen. Een andere optie is het inzetten van Conditional Access om toegang tot hoogrisicovoorzieningen tijdelijk te beperken totdat de gebruiker een herstart bevestigt. Combineer deze maatregelen met een duidelijke communicatie van de Chief Information Officer waarin wordt uitgelegd dat de maatregel onderdeel is van de Nederlandse Baseline voor Veilige Cloud en dus niet optioneel is. Hiermee ontstaat draagvlak en wordt het risico op escalaties verminderd.

Automatisering versnelt het technische herstel. Gebruik het PowerShell-script `restart-notification-required.ps1` in de modus `Invoke-Remediation` om beleid opnieuw te publiceren, devices geforceerd te synchroniseren en direct te rapporteren welke stappen zijn uitgevoerd. Integreer het script in een Azure DevOps-pijplijn of een beheerwerkstation dat met Just Enough Administration is beveiligd en log alle acties naar een immutable opslaglocatie. Voeg een controle toe die na afloop verifieert of de herstartmelding daadwerkelijk in de gebruikersinterface verschijnt, bijvoorbeeld via een Selenium-test of een screenshotverificatie binnen Microsoft Graph Device Management. Mocht een update zelf de oorzaak zijn van een blokkade, dan schakelt het crisisteam de leverancier in en worden tijdelijke uitzonderingen voorzien met handmatige herstartinstructies. Zo blijft remediatie binnen de vereiste scriptlooptijd van vijftien seconden, terwijl de organisatie toch volledige traceerbaarheid houdt.

Rond elke remediatie af met een post-incident review. Analyseer de oorzaak van het probleem, bepaal of aanvullende training, tooling of communicatie nodig is en registreer verbeteracties in het kwaliteitsplan. Koppel structurele bevindingen terug naar het architectuurboard zodat zij kunnen besluiten of aanvullende maatregelen nodig zijn, zoals een kortere notificatiefrequentie of een verplicht herstartvenster na werkuren. Door lessons learned consequent te verwerken, groeit de organisatie naar een volwassen niveau waarin herstartmeldingen onderdeel zijn van continu verbeteren.

Vergeet niet om afspraken met leveranciers en ketenpartners te toetsen. Wanneer een extern beheerbedrijf verantwoordelijk is voor werkplekken, moet het contract een clausule bevatten die beschrijft hoe zij binnen een maximaal aantal uren remediatie starten, hoe zij het lokale debugscript gebruiken en hoe resultaten worden gedeeld met de opdrachtgever. Neem remediatiestatistieken op in kwartaalrapportages richting de Chief Information Officer, inclusief trendanalyse van terugkerende oorzaken. Deze transparantie stimuleert zowel interne teams als leveranciers om structurele verbeteringen door te voeren en waarborgt dat de Nederlandse Baseline voor Veilige Cloud overal in de keten wordt nageleefd.

Gebruik PowerShell-script restart-notification-required.ps1 (functie Invoke-Remediation) – Automatisch herpubliceren van de Edge-instelling, geforceerde device-sync en rapportage richting het SOC..

Compliance & Frameworks

• BIO: 12.06.01 -

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

Risico zonder implementatie

Management Samenvatting

Herstartmeldingen voor Edge-updates vereisen. Gebruikersbewustzijn voor uitstaande updates. Naleving van beveiligingspatchprocedures. Implementatietijd: 1-2 uur.

• Implementatietijd: 2 uur
• FTE required: 0.01 FTE