💼 Management Samenvatting
De configuratie van Windows Store updates is niet van toepassing wanneer de Store is uitgeschakeld, wat de aanbevolen configuratie is voor enterprise omgevingen.
Aanbeveling
Niet van toepassing indien Store uitgeschakeld
Risico zonder
N/A
Risk Score
10/10
Implementatie
0u
Van toepassing op:
✓ Windows 10
✓ Windows 11
✓ Windows 11
Het beheer van applicatie-updates vormt een kritieke component van de beveiligingsstrategie binnen moderne IT-omgevingen. Wanneer de Windows Store is ingeschakeld, worden applicaties automatisch bijgewerkt vanuit de Microsoft Store zonder enige vorm van bedrijfscontrole. Hoewel deze automatische updates beveiligingspatches kunnen bevatten die de beveiligingspositie verbeteren, ontbreekt het aan de mogelijkheid om updates te testen voordat ze worden uitgerold. Dit kan leiden tot compatibiliteitsproblemen, onverwachte gedragsveranderingen in applicaties, of zelfs beveiligingslekken die pas na implementatie worden ontdekt. Voor Nederlandse overheidsorganisaties die voldoen aan de BIO-normen en AVG-vereisten is deze oncontroleerbare update-cyclus onacceptabel. Wanneer de Windows Store daarentegen is uitgeschakeld, wat de aanbevolen configuratie is, worden alle applicaties beheerd via Intune Company Portal. Dit biedt volledige controle over de implementatie en updates, inclusief de mogelijkheid om updates eerst te testen in een pilotomgeving voordat ze worden uitgerold naar productie. Deze gecontroleerde uitrolstrategie is essentieel voor het waarborgen van stabiliteit, beveiliging en naleving binnen de organisatie. Het ontbreken van controle over applicatie-updates kan ernstige gevolgen hebben voor de beveiligingspostuur van een organisatie. Wanneer updates automatisch worden geïmplementeerd zonder voorafgaande evaluatie, kunnen organisaties worden blootgesteld aan nieuwe beveiligingsrisico's die pas na implementatie worden ontdekt. Bovendien kunnen updates onverwachte wijzigingen introduceren in de functionaliteit van applicaties, wat kan leiden tot verstoring van bedrijfsprocessen en productiviteitsverlies. Voor organisaties die werken met gevoelige gegevens of die onderworpen zijn aan strikte compliance-vereisten, is het hebben van volledige controle over applicatie-updates niet alleen een best practice, maar een absolute noodzaak.
PowerShell Modules Vereist
Primary API: Microsoft Graph API
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
Het Windows Store update-beleid is alleen relevant wanneer de Store is ingeschakeld, wat niet wordt aanbevolen voor bedrijfsomgevingen. Wanneer de Store toch is ingeschakeld, kan het update-beleid worden geconfigureerd om automatische updates toe te staan. Dit betekent dat applicaties automatisch worden bijgewerkt zodra updates beschikbaar zijn, zonder enige mogelijkheid tot planning of controle. De updates worden direct geïmplementeerd zonder voorafgaande testen of goedkeuring. Een alternatieve benadering is het gebruik van Intune-beheerde Store-applicaties, waarbij applicaties worden gehaald vanuit de Store maar worden geïmplementeerd en beheerd via Intune. Deze hybride aanpak biedt meer controle, maar de beste praktijk blijft het volledig uitschakelen van de Store en alle applicaties beheren via Intune. Dit biedt maximale controle, testmogelijkheden en naleving met bedrijfsbeveiligingsstandaarden. Wanneer organisaties ervoor kiezen om de Windows Store volledig uit te schakelen, wat sterk wordt aanbevolen, wordt het update-beleid automatisch niet meer van toepassing omdat er geen Store-applicaties zijn geïnstalleerd die kunnen worden bijgewerkt. In plaats daarvan worden alle applicaties beheerd via Intune Company Portal, waarbij organisaties volledige controle behouden over welke applicaties worden geïnstalleerd, wanneer updates worden uitgerold, en hoe deze updates worden getest voordat ze worden geïmplementeerd. Deze aanpak maakt het mogelijk om een gestructureerd update-proces te implementeren dat voldoet aan alle relevante beveiligings- en compliance-vereisten.
Vereisten
Voor de implementatie van Windows Store update-beheer zijn specifieke vereisten van toepassing, hoewel het belangrijk is te benadrukken dat deze configuratie alleen relevant is wanneer de Windows Store is ingeschakeld. De primaire vereiste is een actief Microsoft Intune-abonnement, wat de basis vormt voor alle apparaatbeheer en applicatiebeheer binnen de Microsoft 365-omgeving. Intune biedt de benodigde infrastructuur en API's voor het configureren en beheren van Store-instellingen op bedrijfsniveau. Deze infrastructuur omvat niet alleen de technische mogelijkheden voor configuratie, maar ook de integratie met andere Microsoft 365-services zoals Azure Active Directory voor authenticatie en autorisatie, en Microsoft Endpoint Manager voor centrale beheerfuncties. Daarnaast is toegang tot de Intune Admin Center vereist, evenals de juiste beheerdersrechten voor het wijzigen van apparaatconfiguratiebeleid. Deze beheerdersrechten zijn doorgaans toegewezen aan rollen zoals Intune-beheerder of Globale beheerder, afhankelijk van de organisatiestructuur en het toegepaste principe van minimale rechten. Voor organisaties die werken met de aanbevolen configuratie waarbij de Store is uitgeschakeld, zijn deze vereisten niet van toepassing omdat de Store update-functionaliteit dan niet actief is. In dat geval worden alle applicaties beheerd via Intune Company Portal, wat andere vereisten met zich meebrengt zoals de configuratie van applicatie-implementatiebeleid en update-ringen. Deze alternatieve aanpak vereist een grondige planning van de applicatieportfolio, waarbij organisaties moeten bepalen welke applicaties nodig zijn voor hun medewerkers en hoe deze het beste kunnen worden gedistribueerd. Het is essentieel dat IT-beheerders begrijpen dat het inschakelen van de Windows Store niet wordt aanbevolen voor bedrijfsomgevingen vanwege de beperkte controle over applicatie-updates en de potentiële beveiligings- en nalevingsrisico's die dit met zich meebrengt. Bovendien vereist effectief Store update-beheer, indien toch geïmplementeerd, een goed begrip van de Microsoft Graph API voor geavanceerde monitoring en rapportage, evenals kennis van PowerShell voor geautomatiseerde configuratie en nalevingsverificatie. Organisaties moeten ook rekening houden met netwerkvereisten, omdat Store-updates bandbreedte verbruiken en mogelijk invloed hebben op de netwerkprestaties tijdens piekmomenten. Voor Nederlandse overheidsorganisaties komen daar nog specifieke nalevingsvereisten bij, zoals het kunnen documenteren van alle wijzigingen voor audit-doeleinden en het kunnen voldoen aan de BIO-normen voor patchbeheer. Naast deze technische vereisten moeten organisaties ook beschikken over voldoende expertise binnen het IT-team om effectief applicatiebeheer uit te voeren. Dit omvat kennis van applicatielevenscyclusbeheer, begrip van beveiligingsimplicaties van applicatie-updates, en vaardigheden in het uitvoeren van risicoanalyses voor software-updates. Organisaties moeten ook beschikken over een gestructureerd proces voor het evalueren, testen en goedkeuren van applicatie-updates voordat ze worden uitgerold naar productieomgevingen. Dit proces moet worden gedocumenteerd en regelmatig worden geëvalueerd om ervoor te zorgen dat het effectief blijft en voldoet aan alle relevante beveiligings- en nalevingsvereisten.
Implementatie
De implementatie van Windows Store update-beheer vereist een zorgvuldige aanpak waarbij de aanbevolen beste praktijk altijd prioriteit heeft boven de technische mogelijkheid. Wanneer een organisatie ervoor kiest om de Windows Store toch in te schakelen, wat niet wordt aanbevolen, kan het update-beleid worden geconfigureerd via de Intune Settings Catalog. Binnen deze catalogus navigeert de beheerder naar de Store-instellingen en specifiek naar de optie 'Turn off Automatic Download and Install of updates'. Deze instelling moet worden uitgeschakeld (Uitgeschakeld) om automatische updates toe te staan, wat betekent dat applicaties automatisch worden bijgewerkt zodra updates beschikbaar zijn. De configuratieprocedure begint met het aanmaken van een nieuwe apparaatconfiguratiebeleid in de Intune Admin Center, waarbij de beheerder de Settings Catalog als bron selecteert. Vervolgens wordt gezocht naar de categorie 'Administrative Templates' en binnen deze categorie naar de subcategorie 'Windows Components' en 'Microsoft Store'. Hier bevindt zich de specifieke instelling voor automatische updates. Het configureren van dit beleid vereist zorgvuldige overweging van de doelgroep, waarbij het beleid wordt toegewezen aan specifieke apparaatgroepen of gebruikersgroepen. Hoewel dit kan zorgen voor snelle implementatie van beveiligingspatches, verliest de organisatie volledige controle over wanneer en welke updates worden geïmplementeerd. Er is geen mogelijkheid tot voorafgaande testen, geen controle over de timing van updates, en geen mogelijkheid om specifieke updates uit te stellen indien nodig. Dit betekent dat kritieke applicaties mogelijk worden bijgewerkt op momenten dat dit niet wenselijk is, zoals tijdens belangrijke bedrijfsprocessen of projectdeadlines. Bovendien kunnen updates onverwachte wijzigingen introduceren in de gebruikersinterface of functionaliteit van applicaties, wat kan leiden tot verwarring bij gebruikers en mogelijk productiviteitsverlies. De sterkste aanbeveling blijft echter om de Windows Store volledig uit te schakelen via de voorgaande controle-instelling. Wanneer de Store is uitgeschakeld, wordt deze update-instelling automatisch niet meer van toepassing omdat er geen Store-applicaties zijn geïnstalleerd die kunnen worden bijgewerkt. In plaats daarvan worden alle applicaties beheerd via Intune Company Portal, waarbij volledige controle wordt behouden over implementatie, updates en testen. Deze aanpak biedt de beste balans tussen beveiliging, stabiliteit en naleving met bedrijfsstandaarden en Nederlandse overheidsvereisten zoals de BIO-normen. De implementatie via Intune Company Portal maakt het mogelijk om updates eerst te testen in een pilotomgeving met een beperkte groep gebruikers, waarna de update geleidelijk kan worden uitgerold naar de rest van de organisatie. Dit gefaseerde uitrolproces is essentieel voor het identificeren van potentiële problemen voordat ze invloed hebben op de volledige organisatie. Tijdens de implementatie moet de beheerder ook rekening houden met de impact op gebruikers en bedrijfsprocessen. Het is belangrijk om gebruikers te informeren over eventuele wijzigingen in applicatiegedrag of functionaliteit die kunnen optreden als gevolg van updates. Bovendien moet er een duidelijk communicatieplan zijn dat gebruikers informeert over wanneer updates worden uitgerold en wat ze kunnen verwachten. Voor organisaties die de aanbevolen configuratie implementeren waarbij de Store is uitgeschakeld, bestaat de implementatie uit het configureren van een apparaatconfiguratiebeleid dat de Store uitschakelt. Dit beleid kan worden toegewezen aan alle relevante apparaatgroepen en wordt automatisch geïmplementeerd op de beheerde apparaten. Na de implementatie moet de beheerder regelmatig controleren of het beleid correct wordt toegepast en of er geen apparaten zijn die nog steeds de Store hebben ingeschakeld.
Compliance
Naleving met Nederlandse overheidsstandaarden en internationale beveiligingsnormen vormt een kritieke overweging bij het beheren van applicatie-updates binnen de Microsoft 365-omgeving. De Baseline Informatiebeveiliging Overheid (BIO) bevat specifieke vereisten voor patchbeheer, zoals vastgelegd in controle 12.06. Deze controle vereist dat organisaties een gestructureerd proces hebben voor het beheren van software-updates, inclusief het testen van updates voordat ze worden uitgerold naar productieomgevingen. Het BIO-framework benadrukt het belang van een risicogebaseerde aanpak, waarbij organisaties moeten beoordelen welke updates kritiek zijn voor de beveiliging en welke updates kunnen worden uitgesteld zonder onacceptabele risico's. Automatische updates vanuit de Windows Store zonder enige vorm van controle of testen voldoen niet aan deze vereisten, omdat er geen mogelijkheid is om updates te evalueren op potentiële beveiligingsrisico's, compatibiliteitsproblemen of invloed op bedrijfsprocessen. Bovendien maakt het ontbreken van controle het onmogelijk om te voldoen aan de documentatievereisten die de BIO stelt, waarbij alle wijzigingen moeten worden gedocumenteerd en goedgekeurd voordat ze worden geïmplementeerd. Voor organisaties die voldoen aan de AVG (Algemene Verordening Gegevensbescherming) is het beheren van applicatie-updates eveneens van belang, omdat updates kunnen leiden tot wijzigingen in de manier waarop persoonsgegevens worden verwerkt of beveiligd. Artikel 32 van de AVG vereist dat organisaties passende technische en organisatorische maatregelen nemen om persoonsgegevens te beveiligen, en het hebben van controle over applicatie-updates is een essentieel onderdeel van deze maatregelen. Het hebben van controle over wanneer en welke updates worden geïmplementeerd is essentieel voor het kunnen documenteren van wijzigingen en het kunnen voldoen aan verantwoordingsvereisten. Dit betekent dat organisaties moeten kunnen aantonen dat ze een proces hebben gevolgd voor het evalueren, testen en goedkeuren van updates voordat ze worden uitgerold. Daarnaast kunnen updates invloed hebben op de configuratie van beveiligingsinstellingen, wat relevant is voor naleving met ISO 27001 en andere informatiebeveiligingsstandaarden. ISO 27001 vereist dat organisaties een informatiebeveiligingsmanagementsysteem (ISMS) hebben dat regelmatig wordt geëvalueerd en bijgewerkt, en het beheren van applicatie-updates is een belangrijk onderdeel van dit systeem. Door de Windows Store uit te schakelen en alle applicaties te beheren via Intune, kunnen organisaties volledige controle behouden over het updateproces en voldoen aan alle relevante nalevingsvereisten. Deze aanpak maakt het mogelijk om een volledige audittrail te creëren van alle wijzigingen, wat essentieel is voor zowel interne audits als externe certificeringen. Voor Nederlandse overheidsorganisaties is het voldoen aan de BIO-normen niet alleen een best practice, maar een wettelijke verplichting. Het niet voldoen aan deze normen kan leiden tot beveiligingsincidenten, datalekken en mogelijke sancties van toezichthouders. Daarom is het essentieel dat organisaties een robuust proces hebben voor het beheren van applicatie-updates dat voldoet aan alle relevante nalevingsvereisten. Dit proces moet worden gedocumenteerd, regelmatig worden geëvalueerd en worden bijgewerkt om ervoor te zorgen dat het effectief blijft en voldoet aan alle veranderende vereisten.
Monitoring
Het monitoren van Windows Store update-configuraties is een essentieel onderdeel van het beveiligingsbeheer binnen de Microsoft 365-omgeving. Voor organisaties die de aanbevolen configuratie hebben geïmplementeerd waarbij de Windows Store is uitgeschakeld, bestaat de monitoring primair uit het verifiëren dat de Store daadwerkelijk is uitgeschakeld op alle beheerde apparaten. Dit kan worden gerealiseerd via de Intune Admin Center, waar de nalevingsstatus van apparaatconfiguratiebeleid kan worden gemonitord. Het nalevingsdashboard biedt een overzicht van alle apparaten en hun nalevingsstatus, waarbij niet-nalevende apparaten worden gemarkeerd voor verdere actie. Daarnaast kunnen PowerShell-scripts worden gebruikt om programmatisch de status van Store-instellingen te controleren op individuele apparaten of apparaatgroepen. Deze scripts kunnen worden geautomatiseerd en uitgevoerd op regelmatige basis, bijvoorbeeld dagelijks of wekelijks, om ervoor te zorgen dat de configuratie consistent blijft. De scripts kunnen ook worden geïntegreerd met monitoring-oplossingen zoals Azure Monitor of System Center Operations Manager voor centrale rapportage en waarschuwingen. Voor organisaties die de Store toch hebben ingeschakeld, is monitoring complexer omdat er geen centrale controle is over wanneer updates worden geïmplementeerd. In dergelijke scenario's is het belangrijk om te monitoren welke applicaties zijn geïnstalleerd vanuit de Store, welke versies actief zijn, en wanneer updates zijn geïmplementeerd. Dit kan worden gerealiseerd via Intune apparaatinventarisrapporten en Microsoft Graph API-query's. De apparaatinventarisrapporten bieden gedetailleerde informatie over alle geïnstalleerde applicaties, inclusief hun versienummers en installatiedatums. Microsoft Graph API-query's maken het mogelijk om deze informatie programmatisch op te halen en te analyseren, wat handig is voor geautomatiseerde monitoring en rapportage. Het monitoren van updatestatus is niet alleen belangrijk voor nalevingsdoeleinden, maar ook voor het identificeren van potentiële beveiligingsrisico's die kunnen ontstaan wanneer applicaties niet worden bijgewerkt of wanneer updates onverwacht worden geïmplementeerd zonder voorafgaande testen. Organisaties moeten ook monitoren op afwijkende patronen, zoals apparaten die updates ontvangen op ongebruikelijke tijden of applicaties die vaker worden bijgewerkt dan verwacht, omdat dit kan wijzen op beveiligingsproblemen of configuratiefouten. Daarnaast is het belangrijk om te monitoren op apparaten die niet-nalevend zijn met het updatebeleid, omdat deze apparaten mogelijk kwetsbaar zijn voor bekende beveiligingslekken die zijn opgelost in nieuwere versies van applicaties. Effectieve monitoring vereist ook regelmatige evaluatie van de monitoringprocessen zelf om ervoor te zorgen dat ze effectief blijven en voldoen aan alle relevante beveiligings- en nalevingsvereisten. Dit omvat het regelmatig controleren van de configuratie van monitoring-oplossingen, het verifiëren dat alle relevante apparaten worden gemonitord, en het evalueren van de effectiviteit van waarschuwingen en rapportage. Organisaties moeten ook een proces hebben voor het reageren op monitoringwaarschuwingen, waarbij duidelijk is wie verantwoordelijk is voor het onderzoeken en oplossen van problemen die worden gedetecteerd door de monitoring-oplossingen.
Gebruik PowerShell-script windows-store-update.ps1 (functie Invoke-Monitoring) – Controleren.
Remediatie
Remediatie van Windows Store update-configuraties is afhankelijk van de specifieke situatie en de gewenste eindstatus. Voor organisaties die de aanbevolen configuratie willen implementeren waarbij de Windows Store is uitgeschakeld, bestaat de remediatie uit het configureren van een apparaatconfiguratiebeleid in Intune dat de Store uitschakelt. Dit beleid kan worden toegewezen aan alle relevante apparaatgroepen en wordt automatisch geïmplementeerd op de beheerde apparaten. Het configureren van dit beleid vereist zorgvuldige planning, omdat het uitschakelen van de Store invloed kan hebben op gebruikers die afhankelijk zijn van Store-applicaties. Daarom is het belangrijk om eerst een inventarisatie te maken van alle Store-applicaties die in gebruik zijn en te bepalen welke alternatieven beschikbaar zijn via Intune Company Portal of andere distributiemethoden. Wanneer apparaten niet-nalevend zijn omdat de Store nog steeds is ingeschakeld, kunnen PowerShell-scripts worden gebruikt om de Store programmatisch uit te schakelen op individuele apparaten. Deze scripts kunnen worden uitgevoerd via Intune als remediatiescripts, waarbij ze automatisch worden uitgevoerd wanneer een apparaat als niet-nalevend wordt gedetecteerd. Voor organisaties die de Store hebben ingeschakeld en problemen ondervinden met ongecontroleerde updates, bestaat de remediatie uit het configureren van het updatebeleid via de Intune Settings Catalog. Echter, de meest effectieve remediatie blijft het volledig uitschakelen van de Store en overstappen op Intune-beheerde applicaties. Deze overstap vereist een migratieplan waarbij bestaande Store-applicaties worden vervangen door Intune-beheerde versies, wat kan betekenen dat applicaties opnieuw moeten worden geïnstalleerd op apparaten. In geval van problemen met Store-applicaties die automatisch zijn bijgewerkt en compatibiliteitsproblemen veroorzaken, is de remediatie complexer omdat er geen eenvoudige manier is om terug te gaan naar een eerdere versie zonder de Store volledig te verwijderen en opnieuw te installeren. In dergelijke situaties moeten organisaties mogelijk contact opnemen met de applicatieontwikkelaar voor ondersteuning, of overwegen om een alternatieve applicatie te gebruiken die wel via Intune kan worden beheerd. Dit onderstreept nogmaals het belang van de aanbevolen configuratie waarbij volledige controle wordt behouden over applicatieversies en updates. Voor organisaties die al problemen hebben ondervonden met Store-updates, is het belangrijk om een incidentresponsplan te hebben dat beschrijft hoe dergelijke situaties moeten worden aangepakt, inclusief wie verantwoordelijk is voor het oplossen van problemen en hoe gebruikers moeten worden geïnformeerd over eventuele invloed op hun werkzaamheden. Het incidentresponsplan moet ook procedures bevatten voor het snel identificeren en isoleren van problematische updates, het communiceren met gebruikers over eventuele impact, en het implementeren van tijdelijke workarounds indien nodig. Daarnaast moet het plan duidelijk maken wie verantwoordelijk is voor het coördineren van de remediatie-inspanningen en hoe de voortgang wordt gemonitord en gerapporteerd aan belanghebbenden. Voor organisaties die migreren van Store-beheerde naar Intune-beheerde applicaties, is het belangrijk om een gestructureerd migratieproces te volgen dat minimale verstoring veroorzaakt voor gebruikers. Dit proces moet beginnen met een grondige inventarisatie van alle Store-applicaties die in gebruik zijn, gevolgd door een evaluatie van alternatieven via Intune Company Portal. Vervolgens moet er een gefaseerd uitrolplan worden ontwikkeld waarbij applicaties geleidelijk worden gemigreerd, beginnend met niet-kritieke applicaties en eindigend met kritieke bedrijfsapplicaties. Tijdens het migratieproces moeten gebruikers regelmatig worden geïnformeerd over de voortgang en eventuele impact op hun werkzaamheden.
Gebruik PowerShell-script windows-store-update.ps1 (functie Invoke-Remediation) – Herstellen.
Compliance & Frameworks
- BIO: 12.06.01 -
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Intune Application Control: Windows Store Update Control
.DESCRIPTION
CIS - Windows Store auto-update configuratie.
.NOTES
Filename: windows-store-update.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\WindowsStore\AutoDownload|Expected: 2 (disabled)
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\WindowsStore"; $RegName = "AutoDownload"; $ExpectedValue = 2
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance {
$r = [PSCustomObject]@{ScriptName = "windows-store-update.ps1"; PolicyName = "Store Auto-Update"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (Test-Path $RegPath) { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue; if ($v) { $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Store auto-update disabled" }else { $r.Details += "Store auto-update: $($r.CurrentValue)" } }else { $r.Details += "Niet geconfigureerd" } }else { $r.Details += "Niet geconfigureerd" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r
}
function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Store auto-update disabled" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
N/A: Niet van toepassing - Focus op het uitschakelen van de Store (voorgaande controle).
Management Samenvatting
Store updates zijn niet van toepassing wanneer de Store is uitgeschakeld, wat de aanbevolen configuratie is. Indien de Store is ingeschakeld: sta automatische updates toe voor beveiligingspatches. Beste praktijk: Schakel Store volledig uit en beheer alle applicaties uitsluitend via Intune. Implementatie: 0 uur (niet van toepassing).
- Implementatietijd: 0 uur
- FTE required: 0.1 FTE