💼 Management Samenvatting
Windows Update for Business (WUfB) vormt het hart van modern werkplekbeheer. Het platform maakt het mogelijk om Windows-updates gecontroleerd en voorspelbaar te distribueren, zonder afhankelijk te zijn van klassieke WSUS-infrastructuren. Voor Nederlandse overheidsorganisaties betekent dit dat kwetsbaarheden sneller worden gedicht, auditbewijzen direct beschikbaar zijn en gebruikers nauwelijks verstoring ervaren. Wie WUfB serieus inzet, verdeelt endpoints over intelligente update-ringen, koppelt stuurinformatie aan het SOC en borgt besluitvorming via CAB- en CISO-procedures. Daarmee wordt patchen niet langer gezien als operationele last, maar als een aantoonbare controlemaatregel binnen het bredere cyberweerbaarheidsprogramma.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
64u (tech: 40u)
Van toepassing op:
✓ Windows 10
✓ Windows 11
✓ Intune
✓ Microsoft 365
✓ Entra ID
✓ Windows 11
✓ Intune
✓ Microsoft 365
✓ Entra ID
De Nederlandse publieke sector staat onder toezicht van BIO, AVG, NIS2 en specifieke sectorale kaders zoals het Rijksbrede beveiligingsbeleid. Al deze kaders vragen om aantoonbaar patchmanagement. Incidentonderzoeken laten zien dat aanvallers meestal binnenkomen via een endpoint dat langer dan veertien dagen niet is bijgewerkt. Het gevolg is dat ransomware, wiperware of data-exfiltratie een vliegende start krijgt, terwijl bestuurders niet kunnen uitleggen waarom een patch uitbleef. Met WUfB kan de lijnorganisatie concreet sturen op deadlines, herstarts en uitzonderingen. Daarnaast maakt de koppeling met Intune en Microsoft Graph het mogelijk om realtime compliance te meten en resultaten automatisch te archiveren voor audits. Daarmee ontstaat een directe link tussen technische hygiëne en bestuurlijke verantwoording.
PowerShell Modules Vereist
Primary API: Microsoft Graph
Connection:
Required Modules: Microsoft.Graph.DeviceManagement, Microsoft.Graph.Beta.DeviceManagement.WindowsUpdates
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement, Microsoft.Graph.Beta.DeviceManagement.WindowsUpdates
Implementatie
Dit artikel beschrijft hoe je Windows Update for Business binnen de Nederlandse Baseline voor Veilige Cloud structureel positioneert. We behandelen de strategische randvoorwaarden (governance, rollen, communicatie), de technische implementatie (ringen, deployment service, policies, pilots), operationele monitoring (dashboards, Graph-rapportages, SOC-automatisering) en de audit- en bewijslast. De insteek is end-to-end: van beleid en ontwerp tot uitvoering en continue verbetering. Het doel is dat CISO’s, werkplekbeheerders en CIO-staven binnen één document vinden hoe zij updates binnen vijf dagen naar productie brengen, welke scripts zij inzetten voor bewijsvoering en hoe zij uitzonderingen aantoonbaar beheren.
Strategische Regie en Randvoorwaarden
Succesvolle inzet van Windows Update for Business start met bestuurlijke verankering. De CIO stelt vast dat patching een harde compliance-eis is en koppelt deze direct aan doelstellingen voor digitale weerbaarheid. Het CISO-office vertaalt deze opdracht naar beleidsregels: maximaal zeven dagen uitstel voor kwaliteitsupdates, negentig dagen voor feature-upgrades en een verplicht expedited scenario binnen 24 uur bij NCSC HIGH-waarschuwingen. Daarnaast wordt beschreven wie eigenaar is van elke update-ring, hoe uitzonderingen worden goedgekeurd en hoe communicatie naar gebruikers verloopt. Het MT van de organisatie bekrachtigt deze afspraken in het securitybeleid en in het wijzigingsproces (CAB). Hierdoor is elke aanpassing aan deadlines of ringconfiguraties traceerbaar via een RFC met een expliciete risicobeoordeling en bestuurlijke handtekening. Zonder die bestuurlijke borging verzandt WUfB al snel in een technisch experiment waar uitzonderingen uit de hand lopen en audits genadeloos over struikelen.
Parallel aan governance wordt een multidisciplinair team ingericht. Werkplekbeheerders ontwerpen de update-ringen, identity-specialisten leveren dynamische Entra ID-groepen, Intune-beheerders beheren de profielen, het SOC monitort telemetrie, en de servicedesk verzorgt communicatie naar eindgebruikers. Iedere rol krijgt concrete KPI’s: procentueel aandeel apparaten binnen de SLA, aantal uitzonderingen, doorlooptijd van expedited patches, aantal klachten over herstarts. De KPI’s worden maandelijks besproken in een patchboard waarin CISO, CIO, servicedeskmanager en leverancier vertegenwoordigd zijn. Deze structuur creëert eigenaarschap en versnelt escalaties. Als een leverancier bijvoorbeeld een driver-conflict meldt, kan het patchboard direct beslissen om één ring tijdelijk te bevriezen en tegelijk compensatiemaatregelen (extra Defender-regels, netwerksegmentatie) af te spreken. Strategische regie betekent ook dat communicatie klaar ligt voordat een wijziging nodig is. Templates voor e-mail, intranetmeldingen en servicedesk-scripts zorgen ervoor dat gebruikers weten waarom hun device wordt herstart en hoe zij eventuele problemen melden. Door deze volledige keten vooraf uit te tekenen, wordt WUfB een voorspelbare dienst in plaats van een reeks brandjes.
Tot slot worden de randvoorwaarden voor gegevensbescherming en leveranciersmanagement expliciet meegenomen. Het privacyteam bevestigt dat telemetrie uit Windows Update for Business uitsluitend apparaatdata bevat en geen herleidbare persoonsgegevens, en beschrijft hoe lange logbestanden worden bewaard binnen de AVG-kaders. Contractmanagers controleren of uitbestedingspartners dezelfde patchdeadlines hanteren en hoe rapportageverplichtingen in SLA’s zijn vastgelegd. Indien een ketenpartner vertraagt, heeft de organisatie juridische grip om maatregelen te eisen. Ook de financiering wordt geborgd: budget voor Intune, Azure Monitor en automatisering wordt meerjarig vastgelegd zodat de dienst niet afhankelijk is van incidentele projecten. Door governance, rollen, privacy, leveranciers en budget integraal te regelen ontstaat een stevig fundament waarop de rest van het WUfB-programma veilig kan bouwen.
Implementatiearchitectuur voor Windows Update for Business
Gebruik PowerShell-script windows-update-business.ps1 (functie Invoke-WufbAssessment) – Beoordeelt via Microsoft Graph of update-ringen, deployment audiences en expedited-profielen conform de baseline zijn ingericht..
De technische implementatie begint met een gedetailleerd ontwerp van update-ringen. Een gangbaar patroon binnen Rijksorganisaties bestaat uit vijf lagen: build validation (5% van de vloot), early adopters (10%), reguliere kantoorwerkplekken (60%), kritieke systemen met onderhoudsvenster (20%) en een aparte ring voor devices met bijzondere eisen (5%). Elke ring wordt als dynamische Entra ID-groep ingericht op basis van device-attributen zoals Autopilot-profiel, organisatorische eenheid, hardwaretype en risicoklasse. Vervolgens worden in Intune de Windows Update ring policies geconfigureerd met vaste deadlines: download binnen één dag, installatie binnen vijf dagen, herstart buiten kantoortijden en een gratieperiode van maximaal 48 uur. Voor feature-updates wordt het Windows Update deployment service-model gebruikt zodat organisaties precies kunnen bepalen welke versie (bijvoorbeeld 23H2) wanneer beschikbaar komt. Het ontwerp legt vast welke ring als referentie geldt voor compliance-rapportages, hoe fallback plaatsvindt bij mislukte installaties en op welke manier firmware- en driverupdates worden gekoppeld.
Na het definiëren van ringen richt het team beleidsobjecten in voor kwaliteitsupdates, feature-updates, expedited updates en driverbeheer. Het WUfB deployment service-portaal in Intune ondersteunt het maken van deployment audiences en content-distributies. Voor elke distributie worden pre-flight checks opgenomen: test op minimaal drie hardwarevarianten, controleer applicatiecompatibiliteit via Test Base en leg resultaten vast in de change-administratie. Het bijbehorende script controleert dagelijks via Graph of alle policies een assignment hebben, of deadlines strikt genoeg zijn en of expedited profielen klaar staan maar uitgeschakeld zijn totdat een crisis dit vereist. Verder wordt Windows Update for Business Reports of Update Compliance gekoppeld aan Log Analytics zodat uitgebreide telemetrie beschikbaar is voor trendanalyses. Tot slot documenteert het team een rollback-strategie die exact omschrijft hoe een problematische update wordt teruggedraaid, welke communicatie daarbij hoort en hoe lessons learned worden opgenomen in de volgende sprint. Zo ontstaat een implementatiearchitectuur waarin ontwerpprincipes, tooling en procesafspraken elkaar versterken.
Een volwassen architectuur houdt ook rekening met hybride en offline scenario’s. Voor apparaten in beveiligde netwerken worden maintenance windows ingericht waarin updates via Delivery Optimization of lokale caching-servers worden verspreid zonder het netwerk te verstoppen. Werkplekken die langdurig buiten kantoor zijn (bijvoorbeeld digitale recherche of inspecties in het veld) krijgen een apart beleid dat updates forceert zodra zij verbinding maken met een betrouwbare verbinding, eventueel via VPN-tunneling. Daarnaast wordt aandacht besteed aan rapportage-integriteit: alle Graph-calls die het script uitvoert worden gelogd met correlation ID’s, zodat SOC-analisten kunnen aantonen welke datasets aan management zijn gepresenteerd. Door ook deze randgevallen in de architectuur op te nemen, blijft Windows Update for Business consistent werken ongeacht locatie, netwerkprofiel of gevoeligheid van het devicepark.
Operaties, Monitoring en Continue Verbetering
Gebruik PowerShell-script windows-update-business.ps1 (functie Invoke-WufbOperations) – Levert realtime overzicht van compliance, uitzonderingstickets en herstartachterstanden, inclusief export naar CSV voor auditors..
Wanneer de policies live staan, verschuift de focus naar operatie. Intune-dashboarding biedt basale inzichten, maar volwassen monitoring vereist meerdere lagen. De eerste laag is near-realtime telemetrie via Windows Update for Business Reports. Deze dataset wordt dagelijks naar Log Analytics en het datawarehouse gestuurd, waar Power BI-rapportages laten zien hoe snel ringen updates afronden, welke KB’s nog missen en welke devices al meer dan drie dagen wachten op een herstart. De tweede laag wordt gevormd door het SOC, dat Graph-webhooks en Azure Monitor alerts gebruikt om afwijkingen te detecteren. Zodra meer dan 2% van de apparaten in een ring buiten de SLA valt, ontstaat automatisch een incidentticket in het ITSM-systeem met bijlagen uit het scriptresultaat. De derde laag richt zich op gebruikerservaring: de servicedesk krijgt een overzicht van geplande herstarts, communicatiecampagnes en bekende issues, zodat zij vragen snel kan beantwoorden. Elke laag levert stuurinformatie voor het patchboard, dat wekelijks beoordeelt of deadlines moeten worden aangescherpt, of extra adoptiecommunicatie nodig is en of leveranciers conform contract leveren.
Continue verbetering vraagt om cyclische evaluaties. Elke maand wordt een retrospectief gehouden waarin beheer, SOC, servicedesk en CISO-office analyseren welke updates haperden, welke uitzonderingen langer duurden dan toegestaan en waar gebruikers hinder ondervonden. De bevindingen worden vertaald naar verbeteracties: bijvoorbeeld het uitbreiden van de pilotgroep met high-privilege gebruikers, het versnellen van expedited processen of het toevoegen van automatische herstart-notificaties via Teams. Het script ondersteunt deze cyclus door naast monitoring ook exports te genereren van uitzonderingsbesluiten, inclusief einddatum en verantwoordelijke manager. Hierdoor is direct zichtbaar welke apparaten structureel buiten beleid vallen en welke compenserende maatregelen lopen. De combinatie van telemetrie, SOC-automatisering, servicedesk-inzichten en auditeerbare exports zorgt ervoor dat WUfB niet stilvalt na de initiële uitrol, maar zich continu aanpast aan nieuwe softwareversies, hardwarecycli en dreigingsinformatie van het NCSC.
Naast deze processen wordt capaciteit en tooling continu afgestemd. Het patchboard beoordeelt elk kwartaal of er voldoende FTE beschikbaar is voor monitoring en remediatie, of dat bepaalde taken beter geautomatiseerd kunnen worden via Azure Automation of GitHub Actions. Waar mogelijk wordt gepland onderhoud gecombineerd met andere lifecycle-taken, zoals driverdeployments of firmwareupdates, om verstoring te beperken. De organisatie hanteert bovendien een lessons-learned bibliotheek waarin eerdere incidenten, foutieve updates en succesvolle mitigaties worden beschreven. Deze bibliotheek voedt trainingsprogramma’s voor beheerders en servicedeskmedewerkers, zodat kennis niet versnipperd raakt. Zo ontstaat een lerende organisatie waarin Windows Update for Business de spil vormt van modern devicebeheer.
Audittrail, Compliance en Bewijslast
Auditors verlangen overzichtelijke, reproduceerbare bewijzen dat patches tijdig zijn uitgerold. Daarom wordt vanaf dag één vastgelegd hoe exportbestanden, scriptresultaten en CAB-notulen worden opgeslagen. Elke wijziging aan een WUfB-profiel wordt automatisch geëxporteerd naar JSON en opgeslagen in een Git-repository met commit-historie. Het change-nummer, de risicoafweging en de goedkeurder worden mee gecommit zodat auditors exact kunnen terugzien welke instellingen golden op een bepaalde datum. Daarnaast worden de rapportages uit Windows Update for Business Reports maandelijks gearchiveerd in SharePoint met versiebeheer en metadatering (ring, KB, voltooiingspercentage). Het script kan op verzoek een CSV leveren met deadlinewaarden, assignments en compliancepercentages, inclusief SHA256-hash om de integriteit van het bestand te borgen. Tijdens een audit toont het team zo binnen minuten hoe beleid, uitvoering en monitoring aan elkaar gekoppeld zijn.
Naast technische bewijzen wordt organisatorische documentatie verzameld. Uitzonderingsverzoeken bevatten altijd een risicoanalyse, einddatum, compensatiemaatregel en goedkeuring door het patchboard. Deze documenten worden gekoppeld aan het betreffende device in het ITSM-systeem, zodat auditors kunnen volgen hoe lang een uitzondering duurde en welke acties zijn uitgevoerd om terug te keren naar de baseline. Tevens worden koppelingen gelegd met andere compliance-kaders: voor de BIO wordt vastgelegd welke controls door WUfB worden afgedekt, voor ISO 27001 worden de relevante bewijzen toegekend aan control A.8.8 en voor NIS2 artikel 21 wordt aangetoond hoe continue verbetering en bestuurdersinformatie zijn ingericht. Door technische en organisatorische bewijzen te combineren ontstaat een audittrail die niet alleen controles doorstaat, maar ook vertrouwen wekt bij burgers, parlement en ketenpartners.
Om de authenticiteit van auditbestanden te borgen wordt een digitale handtekeningproces opgezet. Exports uit het script worden automatisch gehasht, waarbij de hashwaarde in een separate log wordt opgeslagen die alleen-lezen is voor auditors. SharePoint-bibliotheken zijn voorzien van retentiebeleid en eDiscovery-labels, zodat bewijsstukken precies zo lang blijven als BIO en Archiefwet vereisen. Tijdens voorbereidingen op een audit voert het team een interne walkthrough uit waarbij steekproeven worden getrokken uit drie willekeurige maanden; per steekproef wordt aangetoond welke updates zijn uitgerold, welk bewijs daarvoor is opgeslagen en hoe uitzonderingen zijn afgehandeld. Door deze zelfevaluaties vinden verbeterpunten eerder plaats en komt de organisatie tijdens externe audits nooit voor verrassingen te staan.
Compliance & Frameworks
- BIO: 12.04.01, 12.05.01, 12.06.01 - Borgt geautomatiseerd patchbeheer, wijzigingsbeheer en aantoonbare monitoring binnen de overheid.
- ISO 27001:2022: A.8.7, A.8.8, A.5.30 - Ondersteunt beheer van technische kwetsbaarheden, lifecycle van informatie en continue verbetering.
- NIS2: Artikel - Eist risicobeheermaatregelen, regelmatige updates en rapportage naar bestuurders en toezichthouders.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Windows Update for Business governance en monitoring.
.DESCRIPTION
Voert een baseline-assessment uit op Windows Update for Business policies,
rapporteert operationele achterstanden en biedt remediatie-instructies.
.NOTES
Filename : windows-update-business.ps1
Author : Nederlandse Baseline voor Veilige Cloud
Version : 1.0
Related : content/m365/device-management/windows-update-business.json
.EXAMPLE
.\windows-update-business.ps1 -Assessment -LocalDebug
.EXAMPLE
.\windows-update-business.ps1 -Operations -ExportPath .\wufb-status.csv
#>
#Requires -Version 5.1
#Requires -Modules Microsoft.Graph.DeviceManagement
[CmdletBinding(DefaultParameterSetName = 'Assessment')]
param(
[Parameter(ParameterSetName = 'Assessment')]
[switch]$Assessment,
[Parameter(ParameterSetName = 'Operations')]
[switch]$Operations,
[Parameter(ParameterSetName = 'Remediation')]
[switch]$Remediation,
[switch]$LocalDebug,
[string]$ExportPath,
[switch]$WhatIf
)
$ErrorActionPreference = 'Stop'
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "Windows Update for Business Baseline" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
function Initialize-WufbContext {
if ($LocalDebug) {
Write-Verbose "LocalDebug actief: er wordt geen verbinding met Microsoft Graph opgezet."
return
}
$context = Get-MgContext
if (-not $context) {
Write-Host "Verbinden met Microsoft Graph..." -ForegroundColor Yellow
$null = Connect-MgGraph -Scopes @(
'DeviceManagementConfiguration.Read.All',
'DeviceManagementManagedDevices.Read.All',
'DeviceManagementServiceConfig.Read.All',
'WindowsUpdates.Read.All'
) -ErrorAction Stop
$context = Get-MgContext
}
if ($context.ApiVersion -ne 'beta') {
Select-MgProfile -Name 'beta'
}
}
function Get-WufbSampleData {
$now = Get-Date
return [pscustomobject]@{
QualityProfiles = @(
[pscustomobject]@{
displayName = 'Pilot ring'
deadlineInDays = 5
gracePeriodInDays= 2
assignments = @('EntraID:WUfB-Pilot')
},
[pscustomobject]@{
displayName = 'Productie ring'
deadlineInDays = 6
gracePeriodInDays= 2
assignments = @('EntraID:WUfB-Prod')
}
)
FeatureProfiles = @(
[pscustomobject]@{
displayName = '23H2 brede uitrol'
rolloutDurationInDays = 60
assignments = @('EntraID:WUfB-Prod')
deployableContentDisplayName = 'Windows 11 23H2'
}
)
Deployments = @(
[pscustomobject]@{
displayName = 'Expedited CVE-2025-1000'
complianceChangeRules = @{
gracePeriodHours = 24
}
audience = @{
memberCount = 1500
}
state = 'completed'
}
)
Devices = @(
[pscustomobject]@{
deviceName = 'RWS-LAP-0001'
operatingSystem = 'Windows 11'
windowsUpdateForBusinessLastScanDateTime = $now.AddDays(-2)
lastSyncDateTime = $now.AddDays(-1)
complianceState = 'compliant'
ring = 'Pilot ring'
},
[pscustomobject]@{
deviceName = 'Gemeente-LAP-0770'
operatingSystem = 'Windows 10'
windowsUpdateForBusinessLastScanDateTime = $now.AddDays(-3)
lastSyncDateTime = $now.AddDays(-2)
complianceState = 'compliant'
ring = 'Productie ring'
}
)
Exceptions = @(
[pscustomobject]@{
DeviceName = 'Inspectie-Tablet-12'
ApprovedUntil= $now.AddDays(5)
Reason = 'Specialistische meetapparatuur'
Manager = 'Hoofd Laboratorium'
}
)
}
}
function Get-WufbInventory {
Initialize-WufbContext
if ($LocalDebug) {
return Get-WufbSampleData
}
$quality = Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/beta/deviceManagement/windowsQualityUpdateProfiles?`$expand=assignments" -ErrorAction Stop
$feature = Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/beta/deviceManagement/windowsFeatureUpdateProfiles?`$expand=assignments" -ErrorAction Stop
$deployments = Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/beta/deviceManagement/windowsUpdates/deployments?`$expand=audience,deploymentSettings" -ErrorAction Stop
$devices = Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/beta/deviceManagement/managedDevices?`$select=deviceName,operatingSystem,lastSyncDateTime,windowsUpdateForBusinessLastScanDateTime,complianceState&`$top=999" -ErrorAction Stop
return [pscustomobject]@{
QualityProfiles = $quality.value
FeatureProfiles = $feature.value
Deployments = $deployments.value
Devices = $devices.value
Exceptions = @()
}
}
function Invoke-WufbAssessment {
try {
$inventory = Get-WufbInventory
$issues = @()
$qualityProfiles = @($inventory.QualityProfiles)
if (-not $qualityProfiles -or $qualityProfiles.Count -eq 0) {
$issues += "Er zijn geen Windows Update quality-profielen gevonden."
}
foreach ($profile in $qualityProfiles) {
$deadline = if ($profile.PSObject.Properties['deadlineInDays']) { [int]$profile.deadlineInDays } else { $null }
$grace = if ($profile.PSObject.Properties['gracePeriodInDays']) { [int]$profile.gracePeriodInDays } else { $null }
$assignments = @($profile.assignments)
if (-not $assignments -or $assignments.Count -eq 0) {
$issues += "Quality-profiel '$($profile.displayName)' heeft geen assignments."
}
if (-not $deadline -or $deadline -gt 7) {
$issues += "Deadline van '$($profile.displayName)' is $deadline dagen (maximaal 7 toegestaan)."
}
if (-not $grace -or $grace -gt 3) {
$issues += "Gratieperiode van '$($profile.displayName)' is $grace dagen (maximaal 3 toegestaan)."
}
}
$featureProfiles = @($inventory.FeatureProfiles)
if (-not $featureProfiles -or $featureProfiles.Count -eq 0) {
$issues += "Er zijn geen Windows Update feature-profielen gevonden."
}
foreach ($profile in $featureProfiles) {
$rollout = if ($profile.PSObject.Properties['rolloutDurationInDays']) { [int]$profile.rolloutDurationInDays } else { $null }
if (-not $rollout -or $rollout -gt 90) {
$issues += "Feature-profiel '$($profile.displayName)' heeft rolloutDurationInDays van $rollout (maximaal 90)."
}
if (-not $profile.assignments -or $profile.assignments.Count -eq 0) {
$issues += "Feature-profiel '$($profile.displayName)' mist assignments."
}
}
$deploymentProfiles = @($inventory.Deployments)
foreach ($deployment in $deploymentProfiles) {
if ($deployment.state -ne 'completed') {
$issues += "Deployment '$($deployment.displayName)' staat in status '$($deployment.state)' en moet worden beoordeeld."
}
}
if ($issues.Count -eq 0) {
Write-Host "COMPLIANT: Alle gecontroleerde instellingen voldoen aan de baseline." -ForegroundColor Green
return 0
}
else {
Write-Host "NON-COMPLIANT: Er zijn $($issues.Count) aandachtspunten gevonden." -ForegroundColor Red
$issues | ForEach-Object { Write-Host " - $_" -ForegroundColor Yellow }
return 1
}
}
catch {
Write-Host "ERROR tijdens assessment: $_" -ForegroundColor Red
return 2
}
}
function Invoke-WufbOperations {
param(
[string]$ExportPath
)
try {
$inventory = Get-WufbInventory
$now = Get-Date
$deviceSummary = foreach ($device in $inventory.Devices) {
$lastScan = if ($device.PSObject.Properties['windowsUpdateForBusinessLastScanDateTime']) { [datetime]$device.windowsUpdateForBusinessLastScanDateTime } else { $null }
$daysSinceScan = if ($lastScan) { [math]::Round(($now - $lastScan).TotalDays, 1) } else { [double]::PositiveInfinity }
[pscustomobject]@{
DeviceName = $device.deviceName
OperatingSystem = $device.operatingSystem
DaysSinceScan = $daysSinceScan
ComplianceState = if ($device.PSObject.Properties['complianceState']) { $device.complianceState } else { 'unknown' }
Ring = if ($device.PSObject.Properties['ring']) { $device.ring } else { 'Onbekend' }
}
}
$staleDevices = $deviceSummary | Where-Object { $_.DaysSinceScan -gt 7 -or $_.ComplianceState -ne 'compliant' }
Write-Host "Totaal apparaten in rapport: $($deviceSummary.Count)" -ForegroundColor Cyan
Write-Host ("Apparaten met achterstand >7 dagen of non-compliant: {0}" -f ($staleDevices.Count)) -ForegroundColor Yellow
if ($ExportPath) {
$directory = Split-Path -Parent $ExportPath
if ($directory -and -not (Test-Path $directory)) {
New-Item -ItemType Directory -Path $directory -Force | Out-Null
}
$deviceSummary | Export-Csv -Path $ExportPath -NoTypeInformation -Encoding UTF8
Write-Host "Rapport geëxporteerd naar $ExportPath" -ForegroundColor Green
}
if ($inventory.Exceptions.Count -gt 0) {
Write-Host "`nActieve uitzonderingen:" -ForegroundColor Cyan
$inventory.Exceptions | Format-Table -AutoSize | Out-String | Write-Host
}
return ($staleDevices.Count -gt 0) ? 1 : 0
}
catch {
Write-Host "ERROR tijdens operations-rapportage: $_" -ForegroundColor Red
return 2
}
}
function Invoke-WufbRemediation {
try {
Write-Host "Remediatiestappen Windows Update for Business:" -ForegroundColor Yellow
Write-Host "1. Controleer Intune > Apparaten > Windows > Update rings op deadlines en assignments." -ForegroundColor Gray
Write-Host "2. Zorg dat expedites zijn voorbereid en test binnen de pilotring voordat productie volgt." -ForegroundColor Gray
Write-Host "3. Synchroniseer achterblijvende apparaten via Remote Actions en forceer een scan (USOClient startscan)." -ForegroundColor Gray
Write-Host "4. Registreer uitzonderingen in ITSM met einddatum en compensatiemaatregelen ( bijv. CA-blokkade)." -ForegroundColor Gray
Write-Host "5. Deel statusupdates met patchboard en documenteer besluiten in CAB-notulen." -ForegroundColor Gray
if ($WhatIf) {
Write-Host "`nWhatIf actief: er zijn geen wijzigingen aangebracht." -ForegroundColor Yellow
}
return 0
}
catch {
Write-Host "ERROR tijdens remediatie-instructies: $_" -ForegroundColor Red
return 2
}
}
try {
switch ($PSCmdlet.ParameterSetName) {
'Assessment' {
$exitCode = Invoke-WufbAssessment
exit $exitCode
}
'Operations' {
$exitCode = Invoke-WufbOperations -ExportPath $ExportPath
exit $exitCode
}
'Remediation' {
$exitCode = Invoke-WufbRemediation
exit $exitCode
}
default {
Write-Host "Gebruik -Assessment, -Operations of -Remediation (optioneel -LocalDebug, -ExportPath, -WhatIf)." -ForegroundColor Yellow
}
}
}
catch {
Write-Host "Onverwachte fout: $_" -ForegroundColor Red
exit 2
}
finally {
Write-Host "`n========================================`n" -ForegroundColor Cyan
}
Risico zonder implementatie
Risico zonder implementatie
High: Zonder strak ingericht Windows Update for Business blijven endpoints wekenlang kwetsbaar. Aanvallers misbruiken openstaande CVE’s voor privilege escalation en laterale beweging, waardoor primaire processen uitvallen en meldplichten aan AP en NCSC volgen. Bestuurders kunnen niet aantonen dat de BIO- en NIS2-controles zijn uitgevoerd, met mogelijke aanwijzingen of boetes als gevolg.
Management Samenvatting
Richt Windows Update for Business in met duidelijke governance, strakke deadlines, geautomatiseerde monitoring en een sluitende audittrail. Zo verkort je de blootstellingsduur van kwetsbaarheden en voldoe je aantoonbaar aan Nederlandse en Europese compliance-eisen.
- Implementatietijd: 64 uur
- FTE required: 0.3 FTE