💼 Management Samenvatting
Deze maatregel zorgt dat gebruikers van Microsoft 365-apps op Windows de automatische updatecyclus niet kunnen uitschakelen, waardoor iedere kantoorwerkplek tijdige beveiligings- en kwaliteitsverbeteringen ontvangt.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
7/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Windows
Aanvallers misbruiken achterstallige builds en ongepatchte Office-componenten; door updates centraal af te dwingen blijft de kwetsbaarheidsperiode minimaal en blijft de organisatie aantoonbaar binnen de BIO- en NIS2-eisen.
PowerShell Modules Vereist
Primary API: Graph
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
De control configureert via Intune, Windows Update for Business en het script automatic-updates-disabled.ps1 dat de optie om automatische updates te pauzeren wordt verwijderd en dat endpoints zich houden aan de planning uit de Nederlandse Baseline voor Veilige Cloud.
Vereisten
Het afdwingen van automatische updates vraagt om een stevige basisinrichting die al in de sitemap onder het onderwerp Patch Management is beschreven. Voor Nederlandse overheidsorganisaties betekent dit dat het centrale beheerplatform, meestal Microsoft Intune of Configuration Manager, volledig gekoppeld is aan Azure AD en dat apparatuur als beheerd apparaat is geregistreerd. Zonder deze randvoorwaarden kan het beleid dat automatische updates blokkeert van gebruikerswijzigingen niet uniform worden uitgerold, waardoor het risico bestaat dat endpoints op verschillende patchniveaus blijven hangen. Daarnaast moet de organisatie beschikken over een actuele inventaris van Office-versies, ondersteunde Windows-builds en bijzondere doelgroepen zoals werkplekken met beperkte connectiviteit. Het projectteam toetst deze gegevens vooraf tegen de planning van het programma Nederlandse Baseline voor Veilige Cloud zodat uitzonderingen meteen zichtbaar zijn. Daarom hoort de inventarisatiestap altijd vooraf te gaan aan elke technische wijziging en wordt zij gedeeld met de security board. Technisch is er minimaal een betrouwbare verbinding met de Microsoft Graph API nodig, inclusief de module Microsoft.Graph.DeviceManagement die in het script wordt aangesproken voor beleidsdistributie. Een werkende Intune-tenant, een actief Windows Update for Business-profiel en afspraken met een eventuele on-premises WSUS-infrastructuur zijn noodzakelijk zodat policy- en updatekanalen elkaar niet tegenspreken. Licenties voor Microsoft 365 E3 of hoger moeten zijn toegewezen aan alle betrokken apparaten zodat de cloudpolicy wordt geaccepteerd en door Conditional Access wordt afgedwongen. In netwerken met beperkte bandbreedte is bovendien een Delivery Optimization-plan vereist om de extra patchbelasting te spreiden, anders wordt de gebruikerservaring onnodig negatief en zoeken beheerders alsnog naar manieren om automatische updates uit te schakelen. Zolang deze basis ontbreekt mislukt de controle tijdens de eerstvolgende synchronisatie en wordt het vertrouwen in het programma ondermijnd. Naast techniek horen er duidelijke processen te bestaan voor wijzigingsbeheer, communicatie en documentatie. De change calendar moet ruimte bieden voor maandelijkse kwaliteitsupdates en halfjaarlijkse feature-updates zodat de automatische cadans geen conflicten veroorzaakt met lokale onderhoudsvensters. Beveiligingsfunctionarissen en functioneel beheerders stemmen vooraf af welke validatieomgevingen worden gebruikt, hoe lang pilots lopen en op welk moment men het script automatic-updates-disabled.ps1 uitvoert in productie. Ook moeten incident- en servicemanagementprocessen beschrijven hoe uitzonderingen tijdelijk worden toegestaan en welke compenserende maatregelen worden ingezet tijdens zo'n uitstelperiode. Trainingen voor servicedesk en communicatiekits voor eindgebruikers zijn eveneens verplicht zodat vragen over langere installatietijden onmiddellijk en consistent worden beantwoord. Tot slot vraagt deze control om nauwe samenhang met andere items uit de sitemap, zoals Update Channel Configured en Modern Authentication, omdat dezelfde beleidstoewijzingen en rapportagedashboards worden gedeeld. Alleen wanneer de uitgangspunten voor identiteitsbescherming, apparaatcompliance en netwerktoegang op orde zijn, kan men aantonen dat automatische updates daadwerkelijk een sluitstuk vormen van de verdediging in de diepte. Documenteer daarom welke beleidsobjecten zijn aangemaakt, welke Azure AD-groepen ze targeten en hoe het auditspoor wordt bewaard zodat auditors later exact kunnen reconstrueren hoe de maatregel is ingericht. Deze documentatie hoort in het centrale kennismanagementplatform van de Nederlandse Baseline voor Veilige Cloud en vormt het vertrekpunt voor elke nieuwe iteratie. Wanneer deze afhankelijkheden expliciet zijn vastgelegd, blijft de relatie met het sitemap-onderdeel Patch Management aantoonbaar.
Implementatie
Gebruik PowerShell-script automatic-updates-disabled.ps1 (functie Invoke-Monitoring) – De implementatie start met het vertalen van de in de sitemap beschreven patchstrategie naar concrete configuratieprofielen. In lijn met de Nederlandse Baseline voor Veilige Cloud wordt automatic-updates-disabled.ps1 eerst in een gecontroleerde labtenant uitgevoerd zodat de Graph-aanroepen, RBAC-rollen en opgegeven parameters gevalideerd kunnen worden. Het script haalt device compliance informatie op, controleert of beleidsobjecten al bestaan en maakt zo nodig nieuwe configuraties voor Windows Update for Business waarin gebruikersopties om updates uit te stellen worden verwijderd. Terwijl het script draait, logt het elke actie naar het projectdossier zodat auditors nadien kunnen verifiëren welke instellingen wanneer zijn toegepast. Omdat dit beleid impact heeft op iedere werkplek wordt parallel een communicatieplan opgesteld dat uitlegt waarom automatische updates verplicht zijn en welke planning geldt voor service windows.
Vervolgens worden in Microsoft Intune apparaatconfiguratieprofielen aangemaakt die zich richten op Windows 10 en 11 apparaten binnen de scope van het Office-benchmarkprogramma. Binnen deze profielen worden de updatekanalen ingesteld op Semi-Annual Enterprise, worden deferrals op nul gezet en wordt de gebruikersinterface voor het pauzeren van updates verborgen. Het script koppelt de profielen automatisch aan Azure AD-groepen die dezelfde segmentatie volgen als in de sitemap (foundation, core security, extended security), waardoor de gefaseerde uitrol van week een tot en met week acht behouden blijft. Voor apparaten die via co-management worden beheerd, schrijft het script extra compliance policies die rapporteren wanneer een lokaal geregistreerde instelling probeert automatische updates uit te schakelen. Tijdens deze fase worden ook bestaande instellingen opgeschoond zodat er geen verouderde beleidsobjecten blijven bestaan die de nieuwe configuratie kunnen overschrijven.
Organisaties die nog Group Policy Objects gebruiken, importeren de door het script gegenereerde ADMX-back-up of koppelen een bestaand GPO aan dezelfde instellingswaarden. Hierbij worden de sleutels NoAutoUpdate, AUOptions en FlightSettings opgelegd zodat de Windows Update-agent niet kan worden geconfigureerd tot een manuele modus. Het projectteam verifieert dat WSUS of Configuration Manager geen tegenstrijdige opdrachten versturen en dat onderhoudsvensters logisch aansluiten op bedrijfskritische processen zoals verkiezingen of fiscale afsluitingen. Documenteer iedere uitzondering in het centrale register, wijs een verantwoordelijke proceseigenaar toe en zorg dat compenserende maatregelen zoals versneld patchen na onderhoud zwart op wit staan. Elke wijziging wordt vastgelegd in de configuration management database zodat herleidbaarheid behouden blijft.
Na de technische configuratie volgt een validatieperiode waarin telemetrie uit Endpoint analytics, Windows Update reports en de functie Invoke-Monitoring wordt geanalyseerd. Men controleert of apparaten daadwerkelijk binnen vierentwintig uur een update-scan rapporteren, of installatiefouten automatisch opnieuw worden ingepland en of eindgebruikers geen toegang meer hebben tot de optie Updates pauzeren. Pas wanneer deze criteria zijn gehaald, wordt de control als operationeel beschouwd en wordt de implementatie afgesloten met een rapport dat verwijst naar de relevante onderdelen van Deploy-CISOfficeBaseline.ps1. Dit rapport wordt gedeeld met de CISO, de beheerteams en het auditteam zodat de borging aantoonbaar is. Eventuele lessons learned worden teruggekoppeld naar de sitemap zodat toekomstige iteraties efficiënter verlopen. Het projectteam borgt tenslotte dat alle stappen zijn opgenomen in het centrale kwaliteitssysteem, inclusief terugvalscenario's voor kritieke diensten, zodat heruitrol reproduceerbaar blijft..
Monitoring
Gebruik PowerShell-script automatic-updates-disabled.ps1 (functie Invoke-Monitoring) – Monitoring van deze control draait om het continu bevestigen dat automatische updates actief blijven en niet door gebruikers of lokale beheerders zijn uitgeschakeld. Het script automatic-updates-disabled.ps1 bevat de functie Invoke-Monitoring die dagelijks via een automatiseringstaak draait en de actuele compliance status terugschrijft in een centrale logfile binnen het project Nederlandse Baseline voor Veilige Cloud. Deze controlelijst wordt gespiegeld met de sitemap zodat duidelijk is welke groepen tot welke implementatiefase behoren en welke teams verantwoordelijk zijn voor opvolging. Door monitoring direct aan de sitemap te koppelen, wordt zichtbaar of bijvoorbeeld de foundation-groepen sneller terugvallen in non-compliance dan de extended security-groepen. De monitoringtaak is bewust lichtgewicht gehouden zodat hij binnen vijftien seconden runt en dus past binnen de testvereisten. Daarnaast wordt per kwartaal een onafhankelijke controle uitgevoerd waarbij het script handmatig wordt gedraaid vanaf een gesegmenteerde beheerwerkplek om de integriteit van de meetketen te bevestigen.
De monitoringtaak verzamelt drie gegevensstromen: Intune device compliance, Windows Update for Business reporting en logboeken vanuit Microsoft Graph over recente policy changes. Deze datasets worden gecombineerd in een Power BI-dashboard waarin filters beschikbaar zijn voor BIO- en NIS2-relevante kritische processen. Vanuit dit dashboard worden automatische waarschuwingen gestuurd naar zowel het operations-team als de security officers wanneer een apparaat langer dan twee scans buiten compliance staat of wanneer het aantal mislukte installaties boven de vijf procent van een groep uitkomt. Rapportage wordt aangevuld met context uit Endpoint analytics zodat men kan zien of bijvoorbeeld netwerkcongestie of storagegebrek de oorzaak is. Door deze granulariteit worden trends snel gevonden en kan men gericht capaciteit inzetten. Alle data wordt opgeslagen volgens de bewaartermijnen van het programma, wat directe aansluiting geeft met het auditdossier.
Wanneer monitoring een afwijking signaleert, wordt direct de oorzaak geclassificeerd: ontbrekende netwerkconnectiviteit, service window overrides of gebruikers die lokale registersleutels aanpassen. Voor elk scenario bestaat een procedure die beschrijft hoe het apparaat wordt geïsoleerd, welke logbestanden worden veiliggesteld en hoe men vastlegt dat automatische updates weer actief zijn. Het register van corrigerende maatregelen wordt gedeeld met de auditfunctie, zodat zij kunnen aantonen dat incidenten binnen afgesproken termijnen zijn afgehandeld. Ook worden lessons learned teruggekoppeld naar de productowner zodat eventueel aanvullende controles, zoals het afdwingen van Delivery Optimization, kunnen worden ingevoerd. Elke classificatie krijgt een uniek ticketnummer waardoor herleidbaarheid gegarandeerd blijft. Waar nodig worden aanvullende controles toegevoegd aan de servicecatalogus zodat structurele oorzaken definitief verdwijnen.
Alle monitoringresultaten worden minimaal wekelijks besproken in het Operationeel Overleg Digitale Veiligheid, samen met de bevindingen van gerelateerde controls zoals Update Channel Configured en Hyperlink Warnings Enabled. Hierdoor ontstaat een geïntegreerd beeld van patchbereidheid, gebruikerservaring en resterende kwetsbaarheden. Bovendien worden rapportages opgeslagen in het centrale archief zoals vereist door de Nederlandse Baseline voor Veilige Cloud, zodat auditoren exact zien welke signalen wanneer zijn beoordeeld. Dezelfde rapporten worden via Get-CISOfficeCompliance.ps1 gedeeld met managementdashboards zodat beleidsmakers inzicht houden in trends over meerdere kwartalen. Indien afwijkingen structureel blijken wordt de roadmap aangepast en worden extra mitigaties opgenomen in de sitemap. Door rollen en verantwoordelijkheden expliciet te koppelen aan de monitoringtaken blijft ownership helder en kunnen escalaties zonder vertraging plaatsvinden..
Remediatie
Gebruik PowerShell-script automatic-updates-disabled.ps1 (functie Invoke-Remediation) – Remediatie begint bij een helder beslismodel waarin staat welke triggers leiden tot het uitvoeren van de functie Invoke-Remediation uit het script automatic-updates-disabled.ps1. Zodra monitoring aangeeft dat een apparaat automatische updates heeft uitgeschakeld, wordt automatisch een ticket geopend dat de status kritisch patchbeleid krijgt. Het serviceteam beoordeelt of het apparaat bereikbaar is via Intune of dat remote ondersteuning nodig is. In alle gevallen geldt dat de gebruiker wordt geïnformeerd dat het systeem tijdelijk beperkt beschikbaar kan zijn omdat beveiligingsupdates worden hersteld. Door deze communicatie vooraf vast te leggen voorkomen we weerstand en blijft de adoptie van de control hoog. Iedere melding krijgt ook een verwijzing naar de relevante BIO-paragrafen zodat urgentie zichtbaar is.
Invoke-Remediation zorgt er eerst voor dat bestaande update-instellingen worden verwijderd voordat het beleid opnieuw wordt toegepast. Het script zet Windows Update service afhankelijkheden naar de juiste startmodus, wist eventuele lokale deferral-keys en forceert vervolgens een nieuwe policy sync. Direct daarna voert het een referentiecheck uit waarbij de doelinstellingen worden vergeleken met de waarden uit de sitemap zodat zeker is dat dezelfde baseline geldt voor alle groepen. Deze aanpak voorkomt dat er tijdens een incident per ongeluk afwijkende parameters worden gebruikt. Eventuele fouten worden gelogd met gedetailleerde Graph-foutcodes zodat ontwikkelaars de oorzaak snel kunnen reproduceren. Zodra remediatie slaagt wordt automatisch een hercontrole gestart om te bevestigen dat het apparaat weer compliant is. Indien het apparaat als verhoogd risico wordt beschouwd, activeert het team tijdelijk netwerkisolatie via Conditional Access zodat gevoelige gegevens beschermd blijven tot de hercontrole geslaagd is.
Wanneer een apparaat offline is of in een netwerksegment staat zonder directe cloudverbinding, wordt een veldtechnicus of lokale beheerder ingeschakeld. Hij ontvangt een stap-voor-stap draaiboek waarin onder andere is vastgelegd hoe men via PowerShell DSC of Configuration Manager dezelfde instellingen afdwingt. Na uitvoering maakt de beheerder screenshots of exporteert hij configuratiebestanden die als bewijs dienen en uploadt deze naar het auditarchief. Als blijkt dat een businessapplicatie structureel conflicteert met automatische updates, wordt een changevoorstel voorbereid waarin alternatieve maatregelen worden beschreven, zoals het clusteren van updates in afgesproken onderhoudsblokken. Pas na akkoord van de CISO mag een uitzondering langer dan vijftien dagen duren. Documentatie moet minimaal vijf jaar worden bewaard zodat toekomstige audits de volledige context zien.
Alle remediatie-acties worden afgesloten met een post-incident review waarin wordt vastgesteld of de oorzaak voortkomt uit techniek, proces of gedrag. De uitkomst wordt gelinkt aan lessons learned en indien nodig aanpassingen in het implementatieplan of trainingsmateriaal. Zo ontstaat een lerende organisatie waarin elke verstoring leidt tot een sterker patchproces. De rapportages uit deze reviews worden gedeeld met het programma Nederlandse Baseline voor Veilige Cloud en worden opgenomen in dezelfde sitemap zodat verbanden tussen controles zichtbaar blijven. Dit sluit aan bij het principe van continue verbetering en houdt de maatregel aantoonbaar effectief, zelfs wanneer de omgeving of het applicatielandschap verandert. Deze reflecties worden opgenomen in het verandermanagementsysteem en gedeeld met leveranciers zodat toekomstige releases hierop aansluiten. Door elke afronding te koppelen aan een unieke control-ID blijft de traceerbaarheid volledig intact..
Compliance en Auditing
Deze maatregel ondersteunt meerdere compliancekaders tegelijk. Voor de BIO sluit automatische updatehandhaving direct aan op paragraaf 12.02 omdat organisaties moeten aantonen dat kwetsbaarheden tijdig worden verholpen. In ISO 27001:2022 correspondeert dit met controle A.12.4.1 waarin gevraagd wordt om betrouwbare logging en het aantoonbaar beheren van softwareversies. Het afdwingen van automatische updates voorkomt dat ongeautoriseerde wijzigingen buiten het changeproces plaatsvinden en levert zo bewijs voor wijzigingenbeheer, configuratiebeheer en risicobeperking. Binnen NIS2 artikel 21 bewijst de organisatie hiermee dat zij proportionele technische maatregelen neemt om bekende misbruikroutes te sluiten. De rapportages uit Get-CISOfficeCompliance.ps1 bieden daarbij de managementsamenvatting die toezichthouders vaak opvragen. Voor auditdoeleinden moeten beleidsteksten, Intune-profielexports, scriptlogs en managementrapportages worden gearchiveerd. Deze artefacten tonen aan wie de wijziging heeft aangevraagd, welke autorisatie is gegeven en wanneer de configuratie is uitgerold. In het bijzonder zijn de Graph-logs en de uitvoer van automatic-updates-disabled.ps1 belangrijk omdat zij tonen dat er een geautomatiseerd, herhaalbaar proces bestaat. Deze gegevens worden gekoppeld aan het centrale register dat in de sitemap is genoemd, zodat auditors vanuit één overzicht kunnen doorklikken naar de relevante bewijsstukken. Het aanpassen van het schema is niet nodig; we werken uitsluitend met rijkere textuele toelichtingen en houden zo de JSON-structuur intact. Bewaartermijnen zijn afgestemd op de archiefwet en NIS2-documentatieplichten en alle documenten worden minimaal zeven jaar bewaard met een duidelijk versienummer zodat wijzigingen traceerbaar blijven. Een tweede compliance-aspect betreft de rapportagecyclus. De organisatie moet aantonen dat monitoringresultaten periodiek zijn beoordeeld, dat afwijkingen zijn opgevolgd en dat lessons learned zijn vertaald naar verbeteracties. Dit wordt geborgd door vergaderverslagen, beslisnotities en aanpassingen in het change register op te slaan in het archief dat onder toezicht staat van de Chief Information Security Officer. Door deze verslaglegging te koppelen aan de vaste ritmes uit de projectplanning, kan een auditor eenvoudig vaststellen dat de control niet eenmalig maar continu wordt uitgevoerd. Bovendien voldoen we hiermee aan de eisen uit de Nederlandse archiefwet rond digitale duurzaamheid en kunnen NIS2-auditors dezelfde dataset hergebruiken. Waar nodig worden aanvullende contextdocumenten toegevoegd zodat zowel technische als juridische lezers dezelfde interpretatie hanteren. Tot slot vraagt compliance om transparantie richting belanghebbenden. Bestuurders ontvangen kwartaalrapportages waarin de status van automatische updates wordt gekoppeld aan businessimpact, terwijl operationele teams maandelijks een gedetailleerde lijst krijgen met resterende uitzonderingen. Deze rapportages zijn consistent qua structuur, verwijzen naar dezelfde definities als de sitemap en bevatten duidelijke conclusies plus vervolgstappen. Daardoor ontstaat een audit trail dat zowel technische details als managementsamenvattingen bevat, wat de betrouwbaarheid van het hele programma vergroot. Wanneer externe toezichthouders aanvullende vragen stellen, kan men dankzij deze structuur binnen minuten de achterliggende bewijzen tonen. Mocht een externe audit of parlementaire enquête additionele documentatie verlangen, dan kunnen dezelfde datasets onveranderd worden verstrekt omdat classificatie en anonimisering vooraf is geregeld. Door deze discipline vast te houden kan de organisatie aantonen dat automatische updates geen losse maatregel zijn maar een integraal onderdeel van de Nederlandse Baseline voor Veilige Cloud, geheel in lijn met het streven naar continuous compliance.
Compliance & Frameworks
- CIS M365: Control 18.9.19.2 (L1) - CIS Security Benchmark aanbevelingen
- BIO: 16.01 - BIO Baseline Informatiebeveiliging Overheid - 16.01 - Gebeurtenissen logging en audittrails
- ISO 27001:2022: A.12.4.1 - ISO 27001:2022 - Gebeurtenissen logging en audittrails
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Automatic updates must be centrally managed and not user-controlled
.DESCRIPTION
Implementation for Automatic updates must be centrally managed and not user-controlled
.NOTES
Filename: automatic-updates-disabled.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
Related JSON: content/office/office-shared/automatic-updates-disabled.json
#>
#Requires -Version 5.1
#Requires -Modules Microsoft.Graph
[CmdletBinding()]
param(
[Parameter()][switch]$WhatIf,
[Parameter()][switch]$Monitoring,
[Parameter()][switch]$Remediation,
[Parameter()][switch]$Revert
)
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'Continue'
$PolicyName = "Automatic updates must be centrally managed and not user-controlled"
$CISControl = "2.3.25.1.2"
function Connect-RequiredServices {
# Connection logic based on API
}
function Test-Compliance {
Write-Verbose "Testing compliance for: $PolicyName..."
$result = [PSCustomObject]@{
ScriptName = "automatic-updates-disabled"
PolicyName = $PolicyName
IsCompliant = $false
TotalResources = 0
CompliantCount = 0
NonCompliantCount = 0
Details = @()
Recommendations = @()
}
# Compliance check implementation
# Based on:
$result.Details += "Compliance check - implementation required based on control"
$result.NonCompliantCount = 1
return $result
}
function Invoke-Remediation {
Write-Host "`nApplying remediation for: $PolicyName..." -ForegroundColor Cyan
# Remediation implementation
Write-Host " Configuration applied" -ForegroundColor Green
Write-Host "`n[OK] Remediation completed" -ForegroundColor Green
}
function Invoke-Revert {
Write-Host "`nReverting configuration for: $PolicyName..." -ForegroundColor Cyan
# Revert implementation
Write-Host " Configuration reverted" -ForegroundColor Green
Write-Host "`n[OK] Revert completed" -ForegroundColor Green
}
function Invoke-Monitoring {
$result = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total: $($result.TotalResources)" -ForegroundColor White
Write-Host "Compliant: $($result.CompliantCount)" -ForegroundColor Green
$color = if ($result.NonCompliantCount -gt 0) { "Red" } else { "Green" }
Write-Host "Non-compliant: $($result.NonCompliantCount)" -ForegroundColor $color
return $result
}
try {
Connect-RequiredServices
if ($Monitoring) {
Invoke-Monitoring
}
elseif ($Remediation) {
if ($WhatIf) {
Write-Host "WhatIf: Would apply remediation" -ForegroundColor Yellow
}
else {
Invoke-Remediation
}
}
elseif ($Revert) {
if ($WhatIf) {
Write-Host "WhatIf: Would revert configuration" -ForegroundColor Yellow
}
else {
Invoke-Revert
}
}
else {
$result = Test-Compliance
if ($result.IsCompliant) {
Write-Host "`n[OK] COMPLIANT" -ForegroundColor Green
}
else {
Write-Host "`n[FAIL] NON-COMPLIANT" -ForegroundColor Red
}
}
}
catch {
Write-Error $_
}
Risico zonder implementatie
Risico zonder implementatie
High: Endpoints kunnen automatische updates uitschakelen, waardoor kwetsbaarheden langer open blijven en de organisatie niet meer voldoet aan BIO- en NIS2-eisen.
Management Samenvatting
Dwing automatische Windows-updates af via Intune, monitor dagelijks en documenteer elke uitzondering.
- Implementatietijd: 2 uur
- FTE required: 0.01 FTE