💼 Management Samenvatting
Update policies vormen het vangnet dat bepaalt of kwetsbaarheden binnen uren of pas na weken worden gedicht. Binnen de Nederlandse Baseline voor Veilige Cloud moeten bestuurders kunnen aantonen dat elke Windows-werkplek deelneemt aan een gecontroleerde updateketen met duidelijke ringindelingen, noodprocedures en meetbare servicelevels.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
9/10
Implementatie
88u (tech: 56u)
Van toepassing op:
✓ Windows 11
✓ Windows 10
✓ Surface Hub
✓ Microsoft 365
✓ Windows 10
✓ Surface Hub
✓ Microsoft 365
Incidentanalyses van NCSC, IBD en Auditdienst Rijk laten zien dat overheidsorganisaties vooral worden geraakt als updates te lang blijven liggen of als uitzonderingen slecht worden vastgelegd. Tegelijk eisen BIO, AVG, NIS2 en de Wbni dat patchbeheer aantoonbaar, reproduceerbaar en proportioneel is ingericht. Zonder volwassen update policies kan een organisatie niet uitleggen waarom het ene apparaat binnen 48 uur wordt bijgewerkt en het andere pas na een maand, waardoor toezichthouders een gebrek aan interne beheersing constateren.
PowerShell Modules Vereist
Primary API: Microsoft Graph
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
Dit artikel beschrijft hoe Intune, Windows Update for Business en Microsoft Graph samen een keten vormen waarmee CIO's, security officers en werkplekbeheerders updates plannen, monitoren en auditen. We behandelen governance, technische architectuur, operationele monitoring en audittrajecten en koppelen elke stap aan een script dat meetbare uitkomsten levert. Focus ligt op Nederlandse publieke sector-scenario's zoals verkiezingsprocessen, inspectiediensten en gemeenten met gedeelde ICT-dienstverlening.
Strategie en governance rond update policies
Een volwassen updatebeleid begint bij bestuurlijke verankering. De board van een ministerie of uitvoeringsorganisatie stelt formeel vast dat kritieke Windows-systemen binnen 48 uur na een release beveiligingsupdates ontvangen en dat functionaliteitsupdates volgens een ringstructuur worden beoordeeld. Dat besluit is geen technologische keuze maar een risicobesluit: het beschrijft welke vitale processen beschermd moeten worden, welke impact onderhoudsvensters mogen hebben en hoe uitzonderingen worden verantwoord richting toezichthouders en de Tweede Kamer. Deze governance wordt vertaald naar het Informatiebeveiligings- en privacybeleid en krijgt een directe relatie met het ISMS, waardoor elk wijzigingsverzoek een referentie heeft naar het beleid en de risicoanalyse die eraan ten grondslag ligt.
Het CISO-office werkt de bestuurlijke kaders uit in concrete normen per werkplekgroep. Organisaties definiëren minimaal drie ringen: pilot, vroege adoptie en productie. Voor vitale diensten komt daar een vierde ring bij die alleen kritieke beveiligingspatches toelaat en waarin updates pas live gaan nadat OT- en SCADA-afdelingen hebben getest. Deze indeling wordt niet alleen technisch beschreven maar ook organisatorisch belegd. HR en facility management weten tot welke ring een werkplek behoort, zodat vervanging van hardware of verhuizingen niet leiden tot spontane afwijkingen in updategedrag. Elke ring kent duidelijke KPI's, zoals het percentage apparaten dat binnen een werkdag succesvol herstart of de tijd tussen een patchrelease en de eerste succesmelding in Intune.
Financiële afdelingen en contractmanagers spelen eveneens een rol. Update policies kunnen alleen worden afgedwongen als licenties, hardwaregaranties en servicecontracten voorzien in de noodzakelijke tooling en ondersteuning. Daarom leggen organisaties in raamcontracten vast dat leveranciers updatecompatibele drivers, BIOS-versies en firmware leveren binnen dezelfde tijdslijnen als Microsoft. Wanneer een leverancier uitzonderingen nodig heeft, wordt dat geregistreerd in hetzelfde CAB-proces als interne wijzigingen. Hierdoor ontstaat een sluitende keten waarin duidelijk is wie verantwoordelijk is voor vertragingen en welke compenserende maatregelen, zoals netwerksegmentatie of tijdelijke toelatingscriteria, worden toegepast totdat de achterstand is ingelopen.
Tot slot regelt governance hoe communicatie plaatsvindt naar bestuurders, gebruikers en operationele teams. Een communicatiematrix beschrijft welke informatie wordt gedeeld bij reguliere updates en welke escalaties gelden bij een noodpatch zoals PrintNightmare of ProxyNotShell. De matrix verwijst naar vaste communicatiemiddelen zoals intranetberichten, Teams-kanalen en SMS-gateways voor buitendienstteams. Omdat de Nederlandse Baseline voor Veilige Cloud veel organisaties met gedeelde ICT kent, worden afspraken vastgelegd over wie de lead neemt bij sectorbrede dreigingen en hoe adoptie binnen verbonden partijen wordt gemeten. Daarmee wordt governance geen papieren tijger maar een dagelijks bestuurinstrument dat zichtbaar maakt hoe updatebeleid bijdraagt aan bedrijfscontinuïteit en publieke verantwoording.
Architectuur en technische configuratie
Gebruik PowerShell-script update-policies.ps1 (functie Invoke-UpdateAssessment) – Analyseert Windows Update for Business configuraties, assignments en deadlines voor elke ring en signaleert ontbrekende instellingen of verouderde profielen..
De technische architectuur koppelt Intune-profielen aan Entra ID dynamische groepen zodat elke werkplek onmiddellijk het juiste updatebeleid ontvangt. Windows Update for Business configuraties in Intune bevatten per ring instellingen voor deferral-perioden, deadlines, automatische herstarts en Quality Update optiebijkstellingen. Organisaties modelleren deze profielen als code in Git zodat wijzigingen via pull requests en automatische validatie verlopen. Elk profiel is voorzien van versiebeheer, metadata over verantwoordelijke teams en verwijzingen naar de risicoanalyse. Door dezelfde structuur te hanteren als bij security baselines ontstaat een herkenbaar patroon voor beheerders en vermindert de kans op configuratiefouten.
Ringen worden gekoppeld aan device-filters die rekening houden met hardwaregeneraties, connectiviteitsprofielen en gevoeligheid van data. Bijvoorbeeld: laptops met eSIM voor mobiele inspecteurs blijven in een aparte ring die rekening houdt met beperkte bandbreedte, terwijl kantoorwerkplekken in de reguliere productiering zitten. Filters gebruiken eigenschappen zoals AutopilotGroupTag, devicePhysicalIds en assigned labels, waardoor Intune policies automatisch meeschakelen wanneer een apparaat van functie verandert. Voor Surface Hub of speciale vergaderruimtes worden aparte policies ingericht die rekening houden met vergaderroosters en AV-integraties, zodat vergaderingen niet onverwacht worden onderbroken door herstarts.
Integratie met Microsoft Defender en Security Center zorgt dat updatebeleid geen losstaand eiland vormt. Servicing-gegevens worden vergeleken met kwetsbaarheden uit Defender Threat and Vulnerability Management, waardoor elke CVE direct een update-actie oplevert. Wanneer Defender een kritiek risico detecteert dat al is opgelost in een beschikbare update, triggert Intune automatisch een expedite update of verkort het de deferral-periode. Configuraties leggen vast welke drempelwaarden gelden voor automatische versnellingsacties en hoe dat wordt gecommuniceerd naar gebruikers. Hierdoor blijven patchrondes flexibel zonder dat handmatige interventies nodig zijn.
Een robuuste architectuur bevat ook rollback- en isolatiemechanismen. Intune remediation scripts en Autopilot resetscenario's zijn voorbereid om apparaten snel terug te zetten naar een stabiele build wanneer een update onvoorziene problemen veroorzaakt. Tegelijkertijd wordt gebruikgemaakt van Delivery Optimization en Windows Update for Business reports om netwerkbelasting te beperken. In provinciale of gemeentelijke netwerken waar meerdere organisaties dezelfde verbinding delen, worden peer caching en lokale caching-servers ingezet. Deze maatregelen worden vastgelegd in netwerkarchitectuurdocumenten zodat het beheer van WAN-contracten aansluit op de updatebehoefte.
Operations, monitoring en respons
Gebruik PowerShell-script update-policies.ps1 (functie Invoke-UpdateMonitoring) – Produceert dagelijkse voortgangsrapporten, vergelijkt achterstanden met drempelwaarden en exporteert resultaten voor Power BI of ServiceNow..
Operations start met een eenduidige gegevensbron. Microsoft Graph levert via WindowsUpdates API's realtime informatie over installatiestatus, compliancepercentages en foutcodes. Deze data wordt gecombineerd met Intune rapportages en Defender telemetry zodat SOC, werkplekbeheer en CAB-team naar dezelfde cijfers kijken. Monitoringdashboards tonen per ring de doorlooptijd van updates, het aantal apparaten dat een deadline overschrijdt en de meest voorkomende foutcodes, zodat ondersteunende teams gericht kunnen handelen. Voor buitendienstorganisaties worden dezelfde inzichten ontsloten via PowerApps of Teams-apps, waardoor veldcoördinatoren direct zien welke voertuigen of meetkoffers aandacht nodig hebben.
Het incidentproces is nauw vervlochten met monitoring. Wanneer een noodpatch verschijnt of wanneer Microsoft een Zero Day aankondigt, kan het script binnen minuten bepalen hoeveel apparaten de relevante build al hebben. Zo nodig start automatisch een expedite-update waarbij Intune deadlines terugbrengt naar enkele uren en gebruikers herstartverzoeken ontvangen met duidelijke instructies. Het proces beschrijft ook hoe uitzonderingen worden behandeld: apparaten met lopende forensische onderzoeken of kritieke productieprocessen worden tijdelijk uitgezonderd, maar krijgen meteen compenserende maatregelen zoals extra Defender-regels of netwerkisolatie. Alle uitzonderingen worden geregistreerd in ITSM inclusief einddatum en verantwoordelijke manager.
Communicatie naar gebruikers bepaalt of een updategolf soepel verloopt. Operations-teams werken met getimede berichten via Company Portal, Teams en e-mail die exact uitleggen waarom een update nodig is, hoeveel tijd zij in beslag neemt en hoe medewerkers zelf kunnen controleren of hun apparaat klaar is voor de volgende werkdag. In scenario's zoals verkiezingen of inspecties bepalen communicatie-templates welke leidinggevenden escalaties ontvangen en hoe bereikbaarheid wordt gegarandeerd. Door social engineering risico's worden berichten gesigneerd en via vertrouwde kanalen verspreid; het beleid bevat richtlijnen om phishing te herkennen tijdens grootschalige updatecampagnes.
Na elke updatecyclus volgt een post-implementation review waarin metrics uit het script worden vergeleken met SLA's. Worden deadlines niet gehaald, dan analyseert het team of de oorzaak ligt bij netwerkcapaciteit, incompatibele applicaties of organisatorische factoren zoals communicatie tijdens vakantieperiodes. De bevindingen worden vertaald naar verbeteracties, bijvoorbeeld het uitbreiden van ring 0 met extra referentiehardware of het automatiseren van logboekregistraties in ServiceNow. Zo ontstaat een lerend systeem waarin monitoring niet alleen achterstanden signaleert maar ook concrete optimalisaties initieert.
Audittrail en continue verbetering
Gebruik PowerShell-script update-policies.ps1 (functie Invoke-UpdateRemediation) – Genereert stapsgewijze instructies voor het herstellen van ontbrekende policies, het herverdelen van assignments en het documenteren van uitzonderingen..
Auditability is cruciaal omdat toezichthouders bewijslast vragen bij elk beveiligingsincident. De organisatie legt daarom elke wijziging aan update policies vast in Git, inclusief CAB-nummer, risicoanalyse en testresultaten. Het script slaat controledatasets op met een hashwaarde en timestamp zodat forensische teams exact kunnen aantonen welke configuratie actief was op een bepaalde datum. Tijdens audits van de Algemene Rekenkamer of de Auditdienst Rijk kunnen teams zo de volledige keten tonen: beleidsbesluit, technische instellingen, monitoringgegevens en gebruikerscommunicatie. Deze aanpak voorkomt dat discussies ontaarden in interpretatieverschillen en verkort de auditdoorlooptijd aanzienlijk.
Naast formele audits vindt een continue verbetercyclus plaats. Elk kwartaal selecteert het team drie kritieke updates, bijvoorbeeld een cumulatieve beveiligingspatch, een driverupdate en een functie-upgrade. Voor elk scenario wordt beoordeeld hoe lang detectie, goedkeuring, implementatie en validatie duurden. De lessons learned worden toegevoegd aan het kennisportaal en dienen als input voor budget- en roadmapgesprekken. Hierdoor blijft de organisatie niet steken in reactief patchen maar ontwikkelt zij een strategische moderniseringsagenda waarin lifecycle-management, hardwarevernieuwing en softwarecertificatie op elkaar aansluiten.
Leveranciersmanagement is onderdeel van de auditcyclus. Contracten verplichten partners om hun eigen patchprocessen te documenteren, inclusief bewijs dat drivers en firmware binnen de afgesproken termijnen beschikbaar zijn. Wanneer leveranciers achterblijven, wordt dat zichtbaar in dezelfde dashboards als interne prestaties, waardoor escalaties objectief kunnen worden onderbouwd. Deze transparantie stimuleert leveranciers om eigen DevSecOps-processen te verbeteren en voorkomt dat publieke organisaties afhankelijk worden van onbetrouwbare roadmaps.
Tot slot borgt de organisatie kennis. Nieuwe beheerders volgen een onboardingprogramma waarin zij het script draaien in LocalDebug-modus, readings interpreteren en scenario's simuleren zoals het terughalen van apparaten die de deadline missen. Opleidingsmaterialen koppelen theorie aan praktijkcases uit Nederlandse gemeenten, provincies en uitvoeringsinstanties. Door kennisdeling te structureren, blijft het updateprogramma toekomstvast, zelfs wanneer teams wisselen of wanneer de organisatie nieuwe taken krijgt vanuit het Rijk.
Compliance & Frameworks
- BIO: 12.04.01, 12.05.01, 12.07.01 - Borgt dat vitale processen worden beschermd door aantoonbare patchcycli, gestroomlijnde wijzigingsprocedures en gedocumenteerde fallbackscenario's.
- ISO 27001:2022: A.5.23, A.8.7, A.8.8 - Ondersteunt eisen voor informatiebeveiligingsbeleid, beheer van technische kwetsbaarheden en wijzigingen binnen productieomgevingen.
- NIS2: Artikel - Vraagt aantoonbaar risicobeheer en incidentrespons, inclusief snelle implementatie van beveiligingsupdates voor netwerk- en informatiesystemen.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#+
.SYNOPSIS
Controle van Windows Update for Business en Intune update policies.
.DESCRIPTION
Valideert configuraties, assignments en voortgang van servicing-ringen
volgens de richtlijnen van de Nederlandse Baseline voor Veilige Cloud.
.NOTES
Filename : update-policies.ps1
Author : Nederlandse Baseline voor Veilige Cloud
Version : 1.0
Related : content/m365/device-management/update-policies.json
.EXAMPLE
.\update-policies.ps1 -Assessment -LocalDebug
.EXAMPLE
.\update-policies.ps1 -Monitoring -ExportPath .\wufb-status.csv
.EXAMPLE
.\update-policies.ps1 -Remediation -WhatIf
#>
#Requires -Version 5.1
#Requires -Modules Microsoft.Graph.DeviceManagement
[CmdletBinding(DefaultParameterSetName = 'Assessment')]
param(
[Parameter(ParameterSetName = 'Assessment')]
[switch]$Assessment,
[Parameter(ParameterSetName = 'Monitoring')]
[switch]$Monitoring,
[Parameter(ParameterSetName = 'Remediation')]
[switch]$Remediation,
[switch]$LocalDebug,
[string]$ExportPath,
[switch]$WhatIf
)
$ErrorActionPreference = 'Stop'
function Initialize-UpdateContext {
if ($LocalDebug) {
Write-Verbose 'LocalDebug actief: Graph-verbinding wordt overgeslagen.'
return
}
$context = Get-MgContext
if (-not $context) {
Write-Host 'Verbinden met Microsoft Graph...' -ForegroundColor Yellow
Connect-MgGraph -Scopes @(
'DeviceManagementConfiguration.Read.All',
'DeviceManagementConfiguration.ReadWrite.All',
'DeviceManagementManagedDevices.Read.All',
'DeviceManagementServiceConfig.Read.All'
) -ErrorAction Stop | Out-Null
$context = Get-MgContext
}
if ($context.ApiVersion -ne 'beta') {
Select-MgProfile -Name 'beta'
}
}
function Get-UpdatePolicySampleData {
$now = Get-Date
return [pscustomobject]@{
Policies = @(
[pscustomobject]@{
displayName = 'Ring 0 - Pilot'
ring = 'pilot'
qualityUpdatesDeferralPeriodInDays = 0
featureUpdatesDeferralPeriodInDays = 7
deadlineForQualityUpdatesInDays = 2
deadlineGracePeriodInHours = 8
assignments = @('DG-Pilot')
lastModifiedDateTime = $now.AddDays(-3)
},
[pscustomobject]@{
displayName = 'Ring 1 - Vroege adoptie'
ring = 'earlyAdopter'
qualityUpdatesDeferralPeriodInDays = 2
featureUpdatesDeferralPeriodInDays = 14
deadlineForQualityUpdatesInDays = 5
deadlineGracePeriodInHours = 24
assignments = @('DG-EA')
lastModifiedDateTime = $now.AddDays(-10)
},
[pscustomobject]@{
displayName = 'Ring 2 - Productie'
ring = 'production'
qualityUpdatesDeferralPeriodInDays = 7
featureUpdatesDeferralPeriodInDays = 21
deadlineForQualityUpdatesInDays = 7
deadlineGracePeriodInHours = 48
assignments = @('DG-Prod')
lastModifiedDateTime = $now.AddDays(-8)
}
)
DeploymentStatus = [pscustomobject]@{
compliantCount = 4320
inProgressCount = 280
failedCount = 0
needsAttentionCount = 12
expediteCount = 4
lastReportDateTime = $now.AddHours(-2)
}
FailedDevices = @()
}
}
function Get-UpdatePolicyInventory {
Initialize-UpdateContext
if ($LocalDebug) {
return Get-UpdatePolicySampleData
}
$configUri = "https://graph.microsoft.com/beta/deviceManagement/deviceConfigurations`?\$filter=isof('microsoft.graph.windowsUpdateForBusinessConfiguration')&`$expand=assignments"
$policiesResponse = Invoke-MgGraphRequest -Method GET -Uri $configUri -ErrorAction Stop
$reportsUri = "https://graph.microsoft.com/beta/deviceManagement/reports/getWindowsQualityUpdateStatusSummary"
$reportResponse = Invoke-MgGraphRequest -Method POST -Uri $reportsUri -ContentType 'application/json' -Body (@{} | ConvertTo-Json) -ErrorAction Stop
if ($reportResponse.value) {
$summary = $reportResponse.value | Select-Object -First 1
$reportResponse = [pscustomobject]@{
compliantCount = $summary.compliantDeviceCount
inProgressCount = $summary.inProgressDeviceCount
failedCount = $summary.failedDeviceCount
needsAttentionCount = $summary.needsAttentionDeviceCount
expediteCount = $summary.expeditedDeploymentCount
lastReportDateTime = $summary.generatedDateTime
}
}
$failedUri = "https://graph.microsoft.com/beta/deviceManagement/reports/getWindowsUpdateAlertsPerPolicy"
$failedResponse = Invoke-MgGraphRequest -Method POST -Uri $failedUri -ContentType 'application/json' -Body (@{} | ConvertTo-Json) -ErrorAction SilentlyContinue
$failedDevices = @()
if ($failedResponse.value) {
$failedDevices = $failedResponse.value | ForEach-Object {
[pscustomobject]@{
deviceName = $_.deviceName
ring = $_.policyName
errorCode = $_.errorCode
lastSeen = $_.lastSeenDateTime
}
}
}
return [pscustomobject]@{
Policies = $policiesResponse.value
DeploymentStatus= $reportResponse
FailedDevices = $failedDevices
}
}
function Invoke-UpdateAssessment {
try {
$inventory = Get-UpdatePolicyInventory
$issues = @()
if (-not $inventory.Policies -or $inventory.Policies.Count -lt 3) {
$issues += 'Er zijn minder dan drie Windows Update for Business policies gevonden.'
}
foreach ($policy in @($inventory.Policies)) {
if (-not $policy.assignments -or $policy.assignments.Count -eq 0) {
$issues += "Policy '$($policy.displayName)' heeft geen assignments."
}
$lastModified = Get-Date $policy.lastModifiedDateTime
if ((Get-Date) - $lastModified -gt [TimeSpan]::FromDays(30)) {
$issues += "Policy '$($policy.displayName)' is langer dan 30 dagen niet bijgewerkt."
}
if ($null -eq $policy.qualityUpdatesDeferralPeriodInDays -or $policy.qualityUpdatesDeferralPeriodInDays -gt 7) {
$issues += "Policy '$($policy.displayName)' heeft een ongeldige quality update deferral."
}
if ($null -eq $policy.deadlineForQualityUpdatesInDays -or $policy.deadlineForQualityUpdatesInDays -gt 7) {
$issues += "Policy '$($policy.displayName)' heeft geen strikte deadline voor kwaliteitsupdates."
}
}
if (-not $inventory.DeploymentStatus) {
$issues += 'Er kon geen deploystatus worden opgehaald via Windows Update reports.'
}
elseif ($inventory.DeploymentStatus.failedCount -gt 0) {
$issues += "Er zijn $($inventory.DeploymentStatus.failedCount) apparaten met mislukte updates."
}
if ($issues.Count -eq 0) {
Write-Host 'COMPLIANT: Update policies voldoen aan de controles.' -ForegroundColor Green
return 0
}
else {
Write-Host "NON-COMPLIANT: $($issues.Count) bevinding(en) gevonden." -ForegroundColor Red
$issues | ForEach-Object { Write-Host " - $_" -ForegroundColor Yellow }
return 1
}
}
catch {
Write-Host "ERROR tijdens assessment: $_" -ForegroundColor Red
return 2
}
}
function Invoke-UpdateMonitoring {
param(
[string]$ExportPath
)
try {
$inventory = Get-UpdatePolicyInventory
if ($inventory.DeploymentStatus) {
Write-Host "Laatste rapport : $($inventory.DeploymentStatus.lastReportDateTime)" -ForegroundColor Cyan
Write-Host "Compliant apparaten : $($inventory.DeploymentStatus.compliantCount)" -ForegroundColor Cyan
Write-Host "In uitvoering : $($inventory.DeploymentStatus.inProgressCount)" -ForegroundColor Cyan
Write-Host "Mislukte updates : $($inventory.DeploymentStatus.failedCount)" -ForegroundColor Cyan
Write-Host "Expedite-acties : $($inventory.DeploymentStatus.expediteCount)" -ForegroundColor Cyan
}
$policyRows = foreach ($policy in @($inventory.Policies)) {
[pscustomobject]@{
PolicyName = $policy.displayName
DeferralDays = $policy.qualityUpdatesDeferralPeriodInDays
FeatureDeferral= $policy.featureUpdatesDeferralPeriodInDays
DeadlineDays = $policy.deadlineForQualityUpdatesInDays
Assignments = (@($policy.assignments)).Count
LastModified = $policy.lastModifiedDateTime
}
}
if ($ExportPath) {
$dir = Split-Path -Parent $ExportPath
if ($dir -and -not (Test-Path $dir)) {
New-Item -ItemType Directory -Path $dir -Force | Out-Null
}
$policyRows | Export-Csv -Path $ExportPath -NoTypeInformation -Encoding UTF8
Write-Host "Rapport geëxporteerd naar $ExportPath" -ForegroundColor Green
}
if ($inventory.FailedDevices) {
Write-Host 'Devices met foutcodes:' -ForegroundColor Yellow
$inventory.FailedDevices | Select-Object deviceName, ring, errorCode, lastSeen | Format-Table -AutoSize | Out-String | Write-Host
}
$thresholdExceeded = $inventory.DeploymentStatus -and $inventory.DeploymentStatus.failedCount -gt 25
return $thresholdExceeded ? 1 : 0
}
catch {
Write-Host "ERROR tijdens monitoring: $_" -ForegroundColor Red
return 2
}
}
function Invoke-UpdateRemediation {
try {
Write-Host 'Remediatieplan voor update policies:' -ForegroundColor Yellow
Write-Host '1. Valideer dat elke ring minimaal één actieve assignment heeft en dat dynamische groepen recent zijn gesynchroniseerd.' -ForegroundColor Gray
Write-Host '2. Controleer quality en feature deferral-instellingen en stel deadlines in op maximaal zeven dagen voor kwaliteitsupdates.' -ForegroundColor Gray
Write-Host '3. Voer expedite-updates uit voor CVE''s met hoge prioriteit en registreer uitzonderingen inclusief compenserende maatregelen.' -ForegroundColor Gray
Write-Host '4. Publiceer resultaten in het ISMS en synchroniseer bevindingen met ServiceNow of Azure DevOps voor opvolging.' -ForegroundColor Gray
if ($WhatIf) {
Write-Host 'WhatIf actief: er zijn geen wijzigingen aangebracht.' -ForegroundColor Yellow
}
return 0
}
catch {
Write-Host "ERROR tijdens remediatie: $_" -ForegroundColor Red
return 2
}
}
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host 'Intune Update Policies' -ForegroundColor Cyan
Write-Host 'Nederlandse Baseline voor Veilige Cloud' -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
try {
switch ($PSCmdlet.ParameterSetName) {
'Assessment' {
$exitCode = Invoke-UpdateAssessment
exit $exitCode
}
'Monitoring' {
$exitCode = Invoke-UpdateMonitoring -ExportPath $ExportPath
exit $exitCode
}
'Remediation' {
$exitCode = Invoke-UpdateRemediation
exit $exitCode
}
default {
Write-Host 'Gebruik -Assessment, -Monitoring of -Remediation (optioneel -LocalDebug, -ExportPath, -WhatIf).' -ForegroundColor Yellow
}
}
}
catch {
Write-Host "Onverwachte fout: $_" -ForegroundColor Red
exit 2
}
finally {
Write-Host "`n========================================`n" -ForegroundColor Cyan
}
Risico zonder implementatie
Risico zonder implementatie
High: Het ontbreken van eenduidige update policies leidt tot oncontroleerbare achterstanden, verhoogt de kans op ransomware en belemmert verantwoording richting toezichthouders en volksvertegenwoordiging.
Management Samenvatting
Standaardiseer Windows Update for Business configuraties, monitor voortgang via Microsoft Graph en borg governance in dezelfde processen als andere kritieke controls zodat bestuurders aantoonbare zekerheid hebben over patchstatussen.
- Implementatietijd: 88 uur
- FTE required: 0.4 FTE