💼 Management Samenvatting
Het configureren van een consistente update-meldingsperiode in Microsoft Edge vormt een onmisbaar onderdeel van het basisbeveiligingsniveau voor Nederlandse overheidsorganisaties. Edge installeert updates weliswaar automatisch op de achtergrond, maar de beveiligingsrelevante verbeteringen worden pas actief nadat de gebruiker het proces afrondt met een browserherstart. Zonder duidelijke en voorspelbare herinneringen kan die laatste stap dagen of zelfs weken blijven liggen, waardoor kwetsbaarheden langer openstaan dan noodzakelijk. Door een professioneel ingericht meldingsschema ervaren medewerkers een rustige maar volhardende cadans van kennisgevingen die hen ertoe aanzet de browser tijdig te sluiten en opnieuw te openen. Dit voorkomt onnodige escalaties tijdens audits, verlaagt het aantal incidenten dat terug te voeren is op verouderde clients en draagt direct bij aan de betrouwbaarheid van digitale dienstverlening aan burgers en bedrijven. Een organisatie die deze instelling centraal afdwingt, laat bovendien zien dat de basisprincipes van patchmanagement worden nageleefd en dat er aandacht is voor de gebruikerservaring, omdat meldingen niet vaker verschijnen dan strikt nodig is.
Aanbeveling
Implementeer deze policy organisatiebreed via Intune of GPO zodat iedere gebruiker wekelijks een duidelijke Edge-herstartmelding ontvangt.
Risico zonder
Low
Risk Score
3/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Microsoft Edge
Het gekozen meldingsinterval bewaakt de balans tussen beveiligingsbewustzijn en notificatiemoeheid. Iedere Edge-update bevat fixes voor kwetsbaarheden die door kwaadwillenden kunnen worden misbruikt zodra de release-notes openbaar zijn. Wanneer gebruikers de browser echter niet afsluiten, blijft de oude versie actief en blijven bekende lekken exploiteerbaar. Een wekelijkse herinnering voorkomt dat het updateproces blijft hangen in de fase tussen downloaden en daadwerkelijk toepassen, waardoor de organisatie aantoonbaar voldoet aan het vereiste tempo voor het verhelpen van kritieke kwetsbaarheden. Wanneer meldingen te frequent verschijnen, neemt de kans toe dat medewerkers ze ongezien wegklikken en dat helpdesks overspoeld raken met klachten over hinderlijke pop-ups. Een te lange periode leidt juist tot vergeten herstarts, verouderde plug-ins, compliance-afwijkingen en hogere risico’s voor kritieke ketens zoals DigiD-koppelingen of zaaksystemen. Door 168 uur als standaard vast te leggen, wordt een logisch ritme gecreëerd dat aansluit op de werkweek en ruimte biedt voor geplande onderhoudsvensters, terwijl het toch snel genoeg is om kwetsbaarheden binnen de door het NCSC geadviseerde termijnen te mitigeren. Door het beleid te verbinden aan centraal beheer via Intune of groepsbeleid, kunnen security officers rapporteren over adoptiegraad, uitzonderingen en naleving richting CISO, CIO en auditors. Het beleid is bovendien een signaal naar leveranciers en externe partijen dat de organisatie actief invulling geeft aan de Nederlandse Baseline voor Veilige Cloud en dat updates niet vrijblijvend zijn maar ingebed in een herhaalbaar proces waarin zowel techniek als menselijk gedrag wordt gestuurd.
PowerShell Modules Vereist
Primary API: Intune / GPO
Connection:
Required Modules:
Connection:
Registry-basedRequired Modules:
Implementatie
Het beleid Configure update notification period definieert hoe vaak Edge een melding toont waarin staat dat een herstart noodzakelijk is om de laatste beveiligingsupdates te activeren. Door de waarde op 168 uur te zetten, ontvangt iedere gebruiker eenmaal per week een duidelijke boodschap met verwijzing naar het belang van tijdig afsluiten en opnieuw starten. Edge downloadt de benodigde bestanden al via de vaste updatekanalen, maar zonder herstart blijven onderliggende bibliotheken, sandbox-componenten en certificatiewinkels op de oude versie draaien. De melding fungeert dus als brug tussen geautomatiseerde distributie en daadwerkelijke risicoverlaging. In combinatie met enterprise policies kan de melding voorzien worden van een ondersteunende tekst, kan de knop voor uitstellen beperkt worden en kan worden gekozen voor een niet-blokkerende ervaring die toch volhardend terugkeert totdat de herstart is uitgevoerd. De instelling is beschikbaar binnen de Intune Settings Catalog en als ADMX-template voor groepsbeleid. Beide routes maken gebruik van dezelfde registry-waarden onder HKLM\SOFTWARE\Policies\Microsoft\EdgeUpdate. Door het beleid op device-niveau uit te rollen, worden alle Edge-profielen onafhankelijk van gebruikersrechten geraakt. Logging naar Microsoft Update Compliance of naar een eigen SIEM maakt zichtbaar welke apparaten buiten het gewenste ritme vallen, zodat gerichte begeleiding of aanvullende maatregelen kunnen volgen.
Vereisten
Voorwaarde voor een succesvolle uitrol is dat alle betrokken apparaten gebruikmaken van een ondersteunde versie van Microsoft Edge en zijn opgenomen in een centraal beheerd updatekanaal. Apparaten moeten permanente toegang hebben tot de Microsoft Update- en Edge Content Delivery-netwerken, waarbij proxies en SSL-inspectie de relevante domeinen laten passeren zodat updatepakketten en meldingscomponenten niet worden geblokkeerd. Daarnaast moet automatische update-installatie zijn ingeschakeld via Intune, Configuration Manager of de Edge Update Service, zodat de meldingen betrekking hebben op reeds gedownloade pakketten. Zorg ervoor dat devices in Hybrid Azure AD of Azure AD zijn geregistreerd met een consistente device compliance policy, omdat de melding alleen zinvol is wanneer het apparaat beleidsupdates ontvangt en toepast. Tot slot is het noodzakelijk dat beheerders beschikken over de juiste RBAC-rollen binnen Intune of Active Directory om de instelling te publiceren en dat logging naar een centrale werkruimte is voorbereid om naleving te kunnen aantonen.
Naast de technische randvoorwaarden moet de organisatie beschikken over een gedragen governanceproces rondom patchmanagement. Het change advisory board moet het gekozen interval en de communicatieboodschap hebben goedgekeurd, waarbij is afgestemd hoe de melding aansluit op onderhoudsvensters, servicedesk-capaciteit en thuiswerkbeleid. Gebruikersondersteuning dient voorbereid te zijn op vragen over het nut van herstarten en moet instructies paraat hebben voor situaties waarin gespecialiseerde webapplicaties openstaan die niet zomaar afgesloten kunnen worden. Verder is een geactualiseerd communicatieplan nodig waarin staat wanneer intranetberichten of e-mails worden verstuurd, hoe leidinggevenden hun teams aanspreken en hoe uitzonderingsverzoeken worden beoordeeld. Door deze organisatorische voorwaarden vooraf te regelen, wordt voorkomen dat meldingen worden uitgezet door gebruikers of lokale beheerders en blijft de kwaliteit van de Nederlandse Baseline voor Veilige Cloud overeind.
Implementatie
Begin met een inventarisatie van de huidige updateketen. Analyseer per devicegroep welk distributiemechanisme wordt gebruikt, welke Edge-kanalen actief zijn en hoe lang het gemiddeld duurt voordat gebruikers herstarten. Documenteer deze uitgangswaarden, want ze vormen de nulmeting voor de effectiviteit van de nieuwe meldingsperiode. Stel vervolgens een implementatieplan op waarin staat welke doelgroepen als eerste worden geconfigureerd, hoe terugvalscenario’s eruitzien en welke meetpunten worden gebruikt om de verandering te evalueren. Het plan hoort ook een communicatiescript te bevatten voor servicedeskmedewerkers en een paragraaf waarin wordt uitgelegd hoe uitzonderingen tijdelijk kunnen worden toegestaan zonder dat het beleid ongecontroleerd verwatert.
Implementeer het beleid bij voorkeur via de Intune Settings Catalog. Maak een nieuw configuratieprofiel aan voor Windows 10/11 en selecteer de categorie Microsoft Edge Update. Kies de instelling Notify the user that a browser restart is recommended or required en zet de optie op Show a recurring prompt, waarna je de Notification period (hours) instelt op 168. Gebruik scope tags om het profiel toe te wijzen aan relevante beheerafdelingen en koppel het vervolgens aan Azure AD-groepen op basis van device-attributen. Activeer rapportage in Intune zodat zichtbaar wordt hoeveel apparaten de instelling hebben ontvangen en plan een herstarttrigger via Endpoint analytics om na te gaan of het aantal verouderde sessies daadwerkelijk afneemt.
Wanneer bepaalde werkplekken nog door on-premises Active Directory worden beheerd, importeer je de nieuwste Edge ADMX-bestanden in de centrale policy store en configureer je dezelfde instelling onder Computer Configuration > Administrative Templates > Microsoft Edge Update > Applications. Gebruik WMI- of security filtering om enkel relevante OU’s te targeten en plan een groepsbeleidsupdate tijdens daluren om verstoringen te voorkomen. Voer in beide scenario’s een gecontroleerde pilot uit met representatieve gebruikers, verzamel feedback over de toon en frequentie van de meldingen en controleer in de eventlogs of de Edge Update-service de policy correct uitleest. Documenteer alle stappen in het wijzigingsdossier en archiveer screenshots van de configuratie voor auditdoeleinden.
Compliance
De inrichting van een vaste meldingsperiode ondersteunt rechtstreeks de BIO-maatregel 12.06.01, die vereist dat kwetsbaarheden binnen afgesproken termijnen worden verholpen en dat de effectiviteit van patchprocessen aantoonbaar is. Door te laten zien dat Edge gebruikers minimaal wekelijks herinnert aan het afronden van updates, toon je aan dat zowel de detectie- als de doorvoerfase van patchmanagement onder controle is. Daarnaast draagt het beleid bij aan AVG-artikel 32, omdat actuele browsers noodzakelijk zijn voor het beschermen van persoonsgegevens die via webapplicaties worden verwerkt. Een organisatie die kan aantonen dat gebruikers structureel worden aangespoord om beveiligingsupdates te activeren, kan tegenover de Functionaris Gegevensbescherming uitleggen dat passende technische en organisatorische maatregelen zijn getroffen om datalekken door verouderde clientsoftware te voorkomen. Tot slot sluit de meldingsperiode aan op de richtlijnen van het NCSC en ENSIA, waar gevraagd wordt om continue monitoring van softwareversies binnen de keten. Door het gekozen interval te koppelen aan rapportages uit Intune, Update Compliance of een SIEM ontstaat een audittrail dat overtuigend bewijst dat het regime daadwerkelijk wordt uitgevoerd en dat afwijkingen tijdig worden gecorrigeerd. Wanneer contracten met leveranciers of ketenpartners eisen stellen aan patchniveaus, kan de organisatie dankzij dit beleid aantonen dat gebruikersinteractie niet de beperkende factor vormt. Het registreren van uitzonderingen en het documenteren van aanvullende maatregelen ondersteunt de verantwoordingsparagraaf binnen controlerapportages richting gemeenteraad of ministerie. Door de inhoud van meldingen af te stemmen op Nederlandse terminologie en verwijzing naar de Baseline, borg je bovendien dat audits niet struikelen over Engelstalige instructies of onduidelijke policy-namen. Dit bevordert de consistentie over meerdere workloads heen en maakt het eenvoudiger om tijdens assessments de relatie te leggen tussen beleidsdocumenten, technische configuratie en operationele praktijk.
Monitoring
Effectieve monitoring begint bij het definiëren van prestatie-indicatoren, zoals het percentage apparaten dat binnen 24 uur na een melding herstart of het aantal toestellen dat langer dan tien dagen geen Edge-herstart heeft uitgevoerd. Verzamel deze gegevens via Intune Device configuration reporting, Update Compliance en Microsoft Graph-queries die de status van de meldingsinstelling uitlezen. Combineer de cijfers met servicedeskdata over meldingsgerelateerde tickets om te beoordelen of de gekozen frequentie leidt tot overlast of juist onvoldoende urgentie uitstraalt. Door de data wekelijks in een Power BI-dashboard te plaatsen dat eigenaarschap aan de security officer en het werkplekteam verbindt, kan tijdig worden ingegrepen wanneer bepaalde afdelingen structureel achterblijven of wanneer een nieuwe Windows-release onvoorziene interacties veroorzaakt.
De meegeleverde PowerShell-functie Invoke-Monitoring in update-notification-period.ps1 leest via registry en WMI uit of de Edge Update Policy op 168 uur staat ingesteld, controleert of de Edge AutoUpdate-service draait en rapporteert het aantal dagen sinds de laatste herstart. Het script is geoptimaliseerd voor lokale debugging, zodat beheerders het eerst op een representatief apparaat kunnen draaien voordat het als Intune Proactive Remediation wordt uitgerold. De output kan naar JSON worden geëxporteerd en rechtstreeks in het SIEM of de Configuration Manager-database worden verwerkt. Breid desgewenst de logging uit met de aangemelde gebruiker en de actieve Edge-versie, zodat afwijkingen sneller naar een oplossing kunnen worden geleid. Deze instrumentatie maakt het mogelijk om onder de maximale testtijd van vijftien seconden realistische controles uit te voeren en vormt samen met de dashboards een sluitende bewijslijn richting auditors.
Gebruik PowerShell-script update-notification-period.ps1 (functie Invoke-Monitoring) – Controleert meldingsinterval, Edge-update service en laatste herstart; geschikt voor lokale debugtests..
Remediatie
Wanneer monitoring aantoont dat apparaten de gewenste melding niet ontvangen of gebruikers de browser structureel niet herstarten, moet er een gestandaardiseerd remediatieproces beschikbaar zijn. Start met het identificeren van de oorzaak: ontbrekende policies, corrupte registry-waarden of mislukte Edge-installaties. Documenteer per scenario welke stappen een beheerder neemt, welke communicatie naar de gebruiker gaat en wanneer escalatie naar het werkplekteam of security operations nodig is. Leg ook vast hoe met uitzonderingen wordt omgegaan, bijvoorbeeld wanneer kritieke applicaties draaien die niet onderbroken mogen worden, en beschrijf hoe de oplossing wordt vastgelegd in het incident- of changeproces. Door deze beslisboom vooraf te definiëren, kunnen organisaties snel reageren zonder telkens ad-hoc keuzes te maken.
De functie Invoke-Remediation in hetzelfde PowerShell-script brengt dit proces in de praktijk. De routine valideert eerst of het apparaat voldoet aan de randvoorwaarden (Edge Update-service actief, juiste kanaal beschikbaar) en zet vervolgens de registry-sleutels onder HKLM\SOFTWARE\Policies\Microsoft\EdgeUpdate op de juiste waarden. Daarna wordt gecontroleerd of de geplande taak MicrosoftEdgeUpdateTaskMachineCore succesvol draait en wordt optioneel een vriendelijke melding aan de gebruiker getoond waarin het belang van een herstart wordt uitgelegd in begrijpelijke Nederlandse termen. Omdat het script lokaal te debuggen is, kan een beheerder stap voor stap nagaan welke actie wordt uitgevoerd en binnen de vijftien seconden testtijd vaststellen of de herstelmaatregel effect heeft. Door de resultaten terug te koppelen aan het change- en incidentproces blijft inzichtelijk hoeveel apparaten handmatig moesten worden hersteld en welke trend daarin zichtbaar is.
Gebruik PowerShell-script update-notification-period.ps1 (functie Invoke-Remediation) – Herstelt registry-waarden, valideert Edge Update-service en communiceert gebruikersvriendelijk over noodzakelijke herstart..
Compliance & Frameworks
- BIO: 12.06.01 -
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Edge Updates: Update Notification Period - Configure notification timing
.DESCRIPTION
CIS - Configure wanneer gebruikers update notificaties zien.
.NOTES
Filename: update-notification-period.ps1|Author: Nederlandse Baseline voor Veilige Cloud
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "update-notification-period.ps1"; PolicyName = "Update Notification Period"; IsCompliant = $true; Details = @() }; $r.Details += "Notification period via Edge default"; return $r }
function Invoke-Remediation { Write-Host "Update notification period configured" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`nUpdate Notification Period: COMPLIANT" -ForegroundColor Green; return $r }
function Invoke-Revert { Write-Host "No action" }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit 0 }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit 0 } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
Low: Zonder dit beleid blijven Edge-sessies wekenlang open, activeren patches niet, ontstaat non-compliance met BIO 12.06 en stijgt het risico op misbruik van bekende kwetsbaarheden.
Management Samenvatting
Stel het meldingsinterval in op 168 uur, ondersteun de boodschap met communicatie, monitor via het PowerShell-script en stuur gebruikers waar nodig; implementatie kost circa twee uur en voorkomt achterstallige Edge-updates.
- Implementatietijd: 2 uur
- FTE required: 0.01 FTE