💼 Management Samenvatting
Deze beveiligingsregel waarborgt de correcte configuratie van telemetrie-instellingen op Windows endpoints om privacy te beschermen en datalekken te voorkomen.
Aanbeveling
Implementeer
Risico zonder
High
Risk Score
7/10
Implementatie
0u
Van toepassing op:
✓ Windows
Deze instelling is onderdeel van de Windows beveiligingsbaseline en beschermt tegen onnodige gegevensverzameling door het afdwingen van minimale telemetrie-instellingen die voldoen aan privacyvereisten zonder de functionaliteit te belemmeren.
PowerShell Modules Vereist
Primary API: Graph
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
Deze regel configureert telemetrie-instellingen op basisniveau via Microsoft Intune apparaatconfiguratiebeleid of nalevingsbeleid om Windows endpoints te beveiligen volgens beveiligingsbest practices en privacyregelgeving zoals de AVG.
Vereisten
De implementatie van telemetrie-instellingen op basisniveau vereist een grondige voorbereiding op zowel technisch als organisatorisch vlak. Deze voorbereiding vormt de fundering voor een succesvolle implementatie die niet alleen technisch correct is, maar ook aansluit bij de privacy- en beveiligingsdoelstellingen van de organisatie. Het proces begint met het vaststellen van de huidige infrastructuur en het identificeren van eventuele hiaten die moeten worden opgevuld voordat de implementatie kan beginnen. Vanuit technisch perspectief is Microsoft Intune een absolute vereiste als mobiele apparaatbeheeroplossing. Deze cloudgebaseerde service vormt het centrale platform waarmee alle beveiligingsinstellingen worden beheerd en afgedwongen op Windows endpoints. De configuratie gebeurt via apparaatconfiguratiebeleidsregels die centraal worden gedefinieerd en vervolgens worden uitgerold naar alle relevante apparaten binnen de organisatie. Deze gecentraliseerde aanpak biedt niet alleen efficiëntie, maar ook consistentie in de beveiligingsconfiguratie, wat essentieel is voor een sterke beveiligingspostuur. De licentievereisten vormen een kritiek onderdeel van de technische voorbereiding. Microsoft Intune is beschikbaar als onderdeel van verschillende licentiepakketten, waaronder Microsoft 365 E3 en E5, maar kan ook worden aangeschaft als standalone licentie. Organisaties moeten zorgvuldig evalueren welke licentie het beste aansluit bij hun behoeften en budgettaire overwegingen. Naast de licentievereisten is het essentieel dat beheerders beschikken over de juiste rollen binnen Microsoft Entra ID. De Intune-beheerder rol biedt volledige toegang tot alle Intune-functionaliteiten, terwijl de globale beheerder rol eveneens toegang verleent maar met bredere rechten binnen de gehele Microsoft 365 omgeving. Deze roltoewijzingen moeten zorgvuldig worden beheerd volgens het principe van minimale rechten, waarbij beheerders alleen de rechten krijgen die zij daadwerkelijk nodig hebben voor hun werkzaamheden. De organisatorische voorbereiding is minstens zo belangrijk als de technische voorbereiding. Organisaties moeten een duidelijk beleid ontwikkelen dat uitlegt wat telemetrie is, waarom het beperken van telemetrie belangrijk is, en hoe dit bijdraagt aan de algehele privacy- en beveiligingsstrategie. Dit beleid moet worden gecommuniceerd naar alle relevante stakeholders, inclusief IT-personeel, beveiligingsfunctionarissen, en waar nodig de directie. Het begrijpen van telemetrie is cruciaal: telemetrie omvat gegevens die Windows verzamelt over het gebruik en de prestaties van het besturingssysteem. Deze gegevens kunnen variëren van basisinformatie over systeemconfiguratie tot gedetailleerde gebruiksstatistieken. Het basisniveau van telemetrie verzamelt uitsluitend essentiële gegevens die nodig zijn voor het functioneren van Windows en het oplossen van kritieke problemen, zonder persoonlijke of gevoelige informatie te verzamelen. Dit niveau biedt de optimale balans tussen functionaliteit en privacybescherming. De naleving van regelgeving zoals de Algemene Verordening Gegevensbescherming (AVG) vormt een belangrijke drijfveer voor het beperken van telemetrie. De AVG vereist dat organisaties alleen persoonsgegevens verzamelen die strikt noodzakelijk zijn voor het beoogde doel, en het beperken van telemetrie tot het basisniveau is een concrete maatregel om aan dit principe te voldoen. Voor Nederlandse overheidsorganisaties komt hier nog de BIO Baseline Informatiebeveiliging Overheid bij, die aanvullende eisen stelt aan gegevensbescherming en privacy. Technisch gezien moeten alle Windows-apparaten die beheerd worden via Intune verbonden zijn met het netwerk en regelmatig communiceren met de Intune-service. Deze communicatie is essentieel voor het ontvangen van beleidsupdates en het rapporteren van nalevingsstatus. Apparaten moeten minimaal één keer per 24 uur contact maken met de Intune-service, hoewel vaker contact maken mogelijk is en kan bijdragen aan snellere beleidsupdates. Voor apparaten die niet regelmatig online zijn, zoals mobiele werknemers of apparaten in afgelegen locaties, kunnen langere synchronisatie-intervallen worden geconfigureerd. Het is echter belangrijk om te beseffen dat langere intervallen de tijd verlengen voordat wijzigingen worden doorgevoerd, wat de beveiligingspostuur kan beïnvloeden. De Windows-versie op de endpoints vormt een kritieke factor voor de implementatie. Moderne versies van Windows 10 en Windows 11 ondersteunen telemetrie-instellingen volledig via zowel groepsbeleid als Intune, wat flexibiliteit biedt in de implementatiemethode. Voor oudere versies van Windows kan aanvullende configuratie nodig zijn, of kan het zelfs nodig zijn om upgrades uit te voeren voordat de telemetrie-instellingen kunnen worden geïmplementeerd. Organisaties moeten daarom een uitgebreide inventarisatie uitvoeren van alle Windows-versies in hun omgeving, inclusief het aantal apparaten per versie, de locatie van deze apparaten, en de kritikaliteit van de workloads die op deze apparaten draaien. Deze inventarisatie vormt de basis voor een gefaseerde implementatiestrategie waarbij eerst moderne versies worden geconfigureerd, gevolgd door oudere versies na eventuele upgrades.
Implementatie
De implementatie van telemetrie-instellingen op basisniveau via Microsoft Intune is een proces dat zorgvuldige planning en uitvoering vereist. Het succes van de implementatie hangt niet alleen af van de technische correctheid, maar ook van de strategische aanpak waarbij organisaties rekening houden met hun specifieke omgeving, gebruikersbehoeften, en beveiligingsvereisten. Het proces begint met het maken van een apparaatconfiguratieprofiel in de Microsoft Intune-beheerconsole, wat de centrale component vormt voor het beheren van alle Windows-beveiligingsinstellingen. Het maken van het configuratieprofiel begint met het navigeren naar de Apparaten sectie in de Intune-portal, gevolgd door de Configuratieprofielen sectie. Hier kan een nieuw profiel worden gemaakt specifiek voor Windows 10 en latere versies. Het is belangrijk om het profiel een duidelijke en beschrijvende naam te geven die direct aangeeft wat het doel is, bijvoorbeeld 'Windows Telemetrie Basisniveau - Privacy Beleid'. Deze naamgeving helpt niet alleen bij het beheer, maar ook bij toekomstige audits en documentatie. Bij het configureren van het profiel selecteert de beheerder de categorie Privacy, waar alle privacy-gerelateerde instellingen zijn gegroepeerd. Binnen deze categorie bevindt zich de instelling voor telemetrie, die kan worden ingesteld op verschillende niveaus. Het Beveiligde niveau verzamelt de minste gegevens en is het meest restrictief, maar kan in sommige gevallen functionaliteit beperken. Het Basisniveau verzamelt essentiële gegevens die nodig zijn voor de werking van Windows en het oplossen van kritieke problemen, zonder persoonlijke of gevoelige informatie te bevatten. Het Verbeterde niveau verzamelt aanvullende gegevens die kunnen helpen bij het verbeteren van de gebruikerservaring, terwijl het Volledige niveau de meeste gegevens verzamelt en daarom niet wordt aanbevolen voor organisaties die privacy hoog in het vaandel hebben staan. Voor Nederlandse overheidsorganisaties en organisaties die moeten voldoen aan de AVG wordt het basisniveau sterk aanbevolen. Dit niveau biedt de optimale balans tussen functionaliteit en privacybescherming, waarbij alleen essentiële gegevens worden verzameld die nodig zijn voor de werking van Windows zonder persoonlijke informatie te bevatten. Deze aanpak sluit aan bij het AVG-principe van gegevensminimalisatie, waarbij organisaties alleen gegevens verzamelen die strikt noodzakelijk zijn voor het beoogde doel. Na het configureren van de telemetrie-instelling moet het profiel worden toegewezen aan de juiste groepen apparaten of gebruikers. Deze toewijzing gebeurt via Microsoft Entra ID-beveiligingsgroepen, wat organisaties flexibiliteit biedt in het toepassen van het beleid. Organisaties kunnen kiezen voor apparaatgroepen, waarbij het beleid wordt toegepast op specifieke apparaten, of gebruikersgroepen, waarbij het beleid wordt toegepast op alle apparaten die eigendom zijn van of worden gebruikt door leden van de groep. De keuze tussen deze benaderingen hangt af van de organisatiestructuur en beveiligingsvereisten. Een gefaseerde implementatieaanpak wordt sterk aanbevolen om risico's te minimaliseren en eventuele problemen vroegtijdig te identificeren. Deze aanpak begint met het selecteren van een kleine testgroep bestaande uit representatieve apparaten en gebruikers. Deze testgroep moet verschillende scenario's vertegenwoordigen, zoals verschillende Windows-versies, verschillende gebruikersrollen, en verschillende netwerklocaties. Door het beleid eerst op deze testgroep uit te rollen, kunnen organisaties verifiëren dat de configuratie correct werkt en geen onverwachte problemen veroorzaakt. Na een succesvolle testperiode, meestal één tot twee weken, kan het beleid worden uitgerold naar een bredere groep, gevolgd door de volledige organisatie. De PowerShell-scriptreferentie die beschikbaar is in deze sectie biedt geautomatiseerde ondersteuning voor het implementatieproces. Dit script kan worden gebruikt om de configuratie te valideren voordat deze wordt uitgerold, om te testen of de configuratie correct werkt op specifieke apparaten, en om de implementatie uit te voeren op meerdere apparaten tegelijk. Voor grote organisaties met honderden of duizenden endpoints is deze geautomatiseerde aanpak niet alleen efficiënter, maar ook betrouwbaarder dan handmatige configuratie. Het script kan worden aangepast aan de specifieke behoeften van de organisatie en kan worden geïntegreerd in bestaande implementatieprocessen. Na de implementatie is verificatie cruciaal om te waarborgen dat de instellingen correct zijn toegepast op alle doelapparaten. Deze verificatie gebeurt primair via de Intune-portal, waar organisaties de nalevingsstatus van alle apparaten kunnen bekijken. De nalevingsstatus geeft aan of een apparaat het beleid heeft ontvangen, of de configuratie succesvol is toegepast, en of er eventuele fouten zijn opgetreden tijdens de implementatie. Apparaten worden gecategoriseerd als nalevend wanneer de configuratie correct is toegepast, niet-nalevend wanneer de configuratie niet correct is toegepast, in conflict wanneer er conflicterende instellingen zijn, of fout wanneer er technische problemen zijn opgetreden. Elke categorie vereist specifieke aandacht van de IT-afdeling om te waarborgen dat alle apparaten uiteindelijk nalevend worden.
Gebruik PowerShell-script allow-telemetry-is-set-to-basic.ps1 (functie Invoke-Implementation) – Implementeren.
Controle
Effectieve bewaking van telemetrie-instellingen vormt een essentieel onderdeel van het beveiligingsbeheer en is cruciaal om te waarborgen dat alle Windows endpoints correct zijn geconfigureerd en blijven voldoen aan het beveiligingsbeleid. Bewaking is geen eenmalige activiteit, maar een continu proces dat zowel proactieve controle als reactieve verificatie omvat wanneer wijzigingen worden gedetecteerd of wanneer nieuwe apparaten worden toegevoegd aan de organisatie. Deze continue bewaking is essentieel omdat de beveiligingsomgeving dynamisch is en constant verandert, waardoor configuraties kunnen worden gewijzigd door verschillende factoren zoals gebruikersacties, software-updates, of conflicterende beleidsregels. De primaire bewaking vindt plaats via de Microsoft Intune-beheerconsole, die een gecentraliseerd controlepaneel biedt waar beheerders de nalevingsstatus van alle apparaten kunnen bekijken. Dit controlepaneel biedt real-time inzicht in de configuratiestatus van alle endpoints, waardoor beheerders snel kunnen identificeren welke apparaten voldoen aan het beleid en welke aandacht vereisen. De nalevingsstatus geeft gedetailleerde informatie over of een apparaat het beleid heeft ontvangen, of de configuratie succesvol is toegepast, en of er eventuele fouten zijn opgetreden tijdens het toepassen van de configuratie. Deze informatie is essentieel voor het identificeren van problemen en het nemen van corrigerende maatregelen. Apparaten worden gecategoriseerd in verschillende nalevingsstatussen die elk specifieke aandacht vereisen. Nalevende apparaten zijn correct geconfigureerd en vereisen geen actie, maar moeten regelmatig worden gecontroleerd om te waarborgen dat ze nalevend blijven. Niet-nalevende apparaten hebben het beleid ontvangen maar de configuratie is niet correct toegepast, wat kan wijzen op technische problemen, conflicterende instellingen, of handmatige wijzigingen. Apparaten in conflict hebben meerdere beleidsregels die elkaar tegenspreken, wat vereist dat beheerders bepalen welke configuratie prioriteit heeft. Apparaten met een foutstatus hebben technische problemen die voorkomen dat het beleid wordt toegepast, zoals netwerkconnectiviteitsproblemen of registratieproblemen. Voor niet-nalevende apparaten is het identificeren van de onderliggende oorzaak een kritieke stap in het bewakingsproces. Veelvoorkomende oorzaken zijn onder meer conflicterende groepsbeleidsinstellingen die de Intune-configuratie overschrijven, handmatige wijzigingen door gebruikers met lokale beheerdersrechten, of technische problemen die voorkomen dat het beleid correct wordt toegepast. Door regelmatig de nalevingsrapporten te controleren en te analyseren, kunnen beheerders trends identificeren die wijzen op systematische problemen. Deze trendanalyse maakt het mogelijk om proactief problemen op te lossen voordat ze zich verspreiden naar andere apparaten, wat de algehele beveiligingspostuur verbetert en de werklast voor de IT-afdeling vermindert. Naast de Intune-portal kunnen organisaties gebruik maken van PowerShell-scripts om geautomatiseerde bewaking uit te voeren die verder gaat dan de standaard functionaliteit van de portal. Deze scripts kunnen worden gepland om regelmatig te draaien, bijvoorbeeld dagelijks of wekelijks, en kunnen gedetailleerde rapporten genereren over de nalevingsstatus van telemetrie-instellingen. Deze rapporten kunnen worden geëxporteerd naar verschillende formaten zoals CSV of HTML, en kunnen worden geïntegreerd met bestaande rapportagesystemen of worden gebruikt voor nalevingsdoeleinden. Geavanceerde bewaking kan ook waarschuwingen configureren die automatisch worden verzonden wanneer apparaten niet-nalevend worden, waardoor beheerders onmiddellijk kunnen reageren op wijzigingen in de configuratie. Deze waarschuwingen kunnen worden geconfigureerd voor verschillende scenario's, zoals wanneer een bepaald percentage van apparaten niet-nalevend wordt, of wanneer specifieke kritieke apparaten niet-nalevend worden. Bewaking moet ook rekening houden met nieuwe apparaten die worden toegevoegd aan de organisatie, wat een continue uitdaging vormt in dynamische omgevingen. Wanneer een nieuw Windows-apparaat wordt ingericht en geregistreerd in Intune, moet het automatisch het telemetriebeleid ontvangen als onderdeel van het registratieproces. Het is belangrijk om te verifiëren dat nieuwe apparaten binnen een redelijke tijdspanne, meestal binnen 24 uur maar idealiter binnen enkele uren, het beleid ontvangen en correct configureren. Als dit niet gebeurt, kan dit wijzen op problemen met de apparaatregistratie, beleidstoewijzing, of netwerkconnectiviteit. Organisaties moeten daarom processen hebben om nieuwe apparaten te bewaken en te verifiëren dat ze correct worden geconfigureerd. Daarnaast moeten organisaties regelmatig audits uitvoeren om te verifiëren dat de telemetrie-instellingen daadwerkelijk zijn toegepast op de endpoints en niet alleen in de Intune-configuratie staan. Deze verificatie is essentieel omdat er verschillende factoren kunnen zijn die voorkomen dat de Intune-configuratie daadwerkelijk wordt toegepast, zoals conflicterende groepsbeleidsinstellingen, handmatige wijzigingen, of technische problemen. Audits kunnen worden uitgevoerd door lokaal op een representatieve steekproef van apparaten te controleren of de telemetrie-instelling correct is geconfigureerd. Deze verificatie helpt om te bevestigen dat de Intune-configuratie daadwerkelijk wordt toegepast en dat er geen conflicterende instellingen zijn die de configuratie overschrijven. Voor grote organisaties kan deze verificatie worden geautomatiseerd met behulp van scripts die op afstand de configuratie controleren zonder dat fysieke toegang tot de apparaten nodig is.
Gebruik PowerShell-script allow-telemetry-is-set-to-basic.ps1 (functie Invoke-Monitoring) – Controleren.
Remediatie
Wanneer bewaking aangeeft dat apparaten niet voldoen aan het telemetriebeleid, is snelle en effectieve remediatie essentieel om de beveiligingspostuur van de organisatie te behouden en te voorkomen dat beveiligingsrisico's zich verspreiden. Remediatie is een gestructureerd proces dat begint met het identificeren van de oorzaak van niet-naleving en eindigt met het toepassen van corrigerende maatregelen om de configuratie te herstellen naar de gewenste staat. Dit proces vereist niet alleen technische expertise, maar ook een systematische aanpak waarbij elke stap wordt gedocumenteerd voor toekomstige referentie en nalevingsdoeleinden. De eerste stap in het remediatieproces is het grondig analyseren van de specifieke reden voor niet-naleving. Microsoft Intune biedt gedetailleerde foutmeldingen en diagnostische informatie die aangeven waarom een apparaat niet voldoet aan het beleid. Deze informatie is cruciaal voor het identificeren van de onderliggende oorzaak en het bepalen van de meest effectieve remediatiestrategie. Veelvoorkomende oorzaken zijn onder meer conflicterende groepsbeleidsinstellingen die de Intune-configuratie overschrijven, handmatige wijzigingen door gebruikers met lokale beheerdersrechten, technische problemen die voorkomen dat het beleid correct wordt toegepast, of netwerkconnectiviteitsproblemen die voorkomen dat apparaten communiceren met de Intune-service. Voor conflicterende groepsbeleidsinstellingen moet de IT-afdeling een grondige analyse uitvoeren van alle groepsbeleidsobjecten (GPO's) in Active Directory of Microsoft Entra ID om te identificeren welke specifieke instellingen conflicteren met het Intune-beleid. Deze analyse kan complex zijn omdat groepsbeleid hiërarchisch wordt toegepast en meerdere GPO's kunnen worden toegepast op hetzelfde apparaat. In dergelijke gevallen moet worden bepaald welke configuratie prioriteit heeft en hoe conflicten moeten worden opgelost. Over het algemeen heeft Intune-apparaatconfiguratie prioriteit boven groepsbeleid voor moderne Windows-versies, maar dit kan variëren afhankelijk van de specifieke configuratie, Windows-versie, en of het apparaat hybride is toegevoegd aan Azure AD of alleen in de cloud bestaat. Het oplossen van conflicten kan betekenen dat groepsbeleidsinstellingen moeten worden aangepast of verwijderd om ruimte te maken voor de Intune-configuratie, of dat de Intune-configuratie moet worden aangepast om compatibel te zijn met bestaande groepsbeleidsinstellingen. Wanneer gebruikers handmatig telemetrie-instellingen hebben gewijzigd, is het belangrijk om niet alleen de technische remediatie uit te voeren, maar ook te begrijpen waarom dit is gebeurd. In sommige gevallen kunnen gebruikers onbedoeld instellingen hebben gewijzigd tijdens het oplossen van problemen, bij het aanpassen van privacy-instellingen, of door onwetendheid over het beveiligingsbeleid. In deze gevallen is naast technische remediatie ook gebruikerseducatie nodig om te voorkomen dat het probleem zich opnieuw voordoet. In andere gevallen kan dit wijzen op een bewuste poging om beveiligingsbeleid te omzeilen, wat aanvullende maatregelen vereist zoals het beperken van lokale beheerdersrechten, het implementeren van aanvullende bewaking, of in extreme gevallen disciplinaire maatregelen. Het is belangrijk om een balans te vinden tussen beveiliging en gebruikersvrijheid, waarbij gebruikers de flexibiliteit hebben die ze nodig hebben voor hun werk, maar waarbij beveiligingsbeleid wordt gerespecteerd. Technische problemen die remediatie vereisen kunnen variëren van relatief eenvoudige netwerkconnectiviteitsproblemen tot complexe problemen met apparaatregistratie of identiteitsbeheer. Voor netwerkproblemen moeten beheerders verifiëren dat apparaten toegang hebben tot de vereiste Microsoft-services, dat er geen firewallregels zijn die de communicatie blokkeren, en dat DNS-resolutie correct werkt. Dit kan betekenen dat firewallregels moeten worden aangepast, dat proxy-instellingen moeten worden geconfigureerd, of dat netwerksegmentatie moet worden herzien. Voor registratieproblemen kan het nodig zijn om apparaten opnieuw te registreren in Intune, om de apparaatidentiteit te herstellen, of om problemen met Microsoft Entra ID-connectiviteit op te lossen. Deze problemen kunnen complex zijn en kunnen vereisen dat beheerders samenwerken met netwerk- en identiteitsteams om een oplossing te vinden. De PowerShell-scriptreferentie die beschikbaar is in deze sectie biedt geautomatiseerde remediatiecapaciteiten die kunnen worden gebruikt om niet-nalevende apparaten automatisch te corrigeren zonder handmatige interventie. Deze scripts kunnen worden geconfigureerd om regelmatig te draaien, bijvoorbeeld dagelijks of wekelijks, en kunnen automatisch corrigerende acties uitvoeren wanneer niet-naleving wordt gedetecteerd. Dit vermindert niet alleen de handmatige inspanning die vereist is voor remediatie, maar zorgt er ook voor dat problemen sneller worden opgelost dan wanneer handmatige interventie vereist is. Voor grote organisaties met honderden of duizenden endpoints is deze geautomatiseerde aanpak essentieel voor het handhaven van een sterke beveiligingspostuur. De scripts kunnen worden aangepast aan de specifieke behoeften van de organisatie en kunnen worden geïntegreerd in bestaande bewakings- en remediatieprocessen. Na remediatie is verificatie cruciaal om te waarborgen dat de corrigerende maatregelen succesvol zijn geweest en dat apparaten nu nalevend zijn. Deze verificatie wordt gedaan door de nalevingsstatus opnieuw te controleren na een redelijke wachttijd, meestal binnen enkele uren na de remediatie, om de tijd te geven voor de configuratie om te synchroniseren en te worden toegepast. Als apparaten nog steeds niet-nalevend zijn na remediatie, kan dit wijzen op dieperliggende problemen die aanvullende probleemoplossing vereisen. In dergelijke gevallen moet een meer grondige analyse worden uitgevoerd om de onderliggende oorzaak te identificeren en aan te pakken. Dit kan betekenen dat aanvullende diagnostische informatie moet worden verzameld, dat andere teams moeten worden betrokken bij het oplossen van het probleem, of dat alternatieve remediatiestrategieën moeten worden overwogen.
Gebruik PowerShell-script allow-telemetry-is-set-to-basic.ps1 (functie Invoke-Remediation) – Herstellen.
Compliance en Naleving
Compliance en auditing vormen een essentieel onderdeel van het beheer van telemetrie-instellingen, vooral voor Nederlandse overheidsorganisaties die moeten voldoen aan strikte privacy- en beveiligingsregelgeving. De implementatie van telemetrie-instellingen op basisniveau draagt direct bij aan naleving van verschillende compliance-frameworks en regelgevingsvereisten, maar vereist ook een gestructureerde aanpak voor documentatie, monitoring, en verificatie. Deze aanpak zorgt niet alleen voor naleving op het moment van implementatie, maar ook voor continue naleving naarmate de omgeving verandert en nieuwe apparaten worden toegevoegd. Vanuit het perspectief van de Algemene Verordening Gegevensbescherming (AVG) is het beperken van telemetrie tot het basisniveau een belangrijke maatregel om te voldoen aan het principe van gegevensminimalisatie, dat een van de fundamentele principes van de AVG vormt. Artikel 5 van de AVG vereist dat persoonsgegevens worden verzameld voor specifieke, uitdrukkelijk omschreven en gerechtvaardigde doeleinden, en dat de verzameling beperkt blijft tot wat noodzakelijk is voor die doeleinden. Dit principe staat bekend als gegevensminimalisatie en vereist dat organisaties alleen de minimale hoeveelheid gegevens verzamelen die nodig is om hun doelen te bereiken. Door telemetrie te beperken tot het basisniveau, minimaliseren organisaties de hoeveelheid gegevens die wordt verzameld en verwerkt, wat direct bijdraagt aan AVG-naleving en het vermindert het risico op datalekken en privacyovertredingen. Naast gegevensminimalisatie draagt het beperken van telemetrie ook bij aan andere AVG-principes zoals doelbinding, waarbij gegevens alleen worden verzameld voor specifieke doeleinden, en opslagbeperking, waarbij gegevens niet langer worden bewaard dan noodzakelijk. Het basisniveau van telemetrie verzamelt alleen essentiële gegevens die nodig zijn voor het functioneren van Windows en het oplossen van kritieke problemen, zonder persoonlijke of gevoelige informatie te bevatten. Deze aanpak zorgt ervoor dat organisaties kunnen voldoen aan hun AVG-verplichtingen terwijl ze nog steeds de functionaliteit behouden die nodig is voor effectief systeembeheer. De BIO Baseline Informatiebeveiliging Overheid vormt een specifiek compliance-framework voor Nederlandse overheidsorganisaties en bevat gedetailleerde controles die moeten worden geïmplementeerd om te voldoen aan de beveiligingsvereisten. Specifiek controle 16.01 over gebeurtenissenlogging en audittrails vereist dat organisaties adequate logging en monitoring implementeren om beveiligingsgebeurtenissen te kunnen detecteren, analyseren, en reageren. Hoewel telemetrie-instellingen niet direct gerelateerd zijn aan logging in de traditionele zin, dragen ze bij aan de algehele beveiligingspostuur door ervoor te zorgen dat alleen essentiële gegevens worden verzameld, wat de privacyrisico's vermindert en de focus legt op kritieke beveiligingsgebeurtenissen. Deze aanpak sluit aan bij het BIO-principe van risicogestuurd beveiligingsbeheer, waarbij beveiligingsmaatregelen worden afgestemd op de specifieke risico's die een organisatie loopt. ISO 27001:2022 controle A.12.4.1 over logging en monitoring vereist dat organisaties gebeurtenissen loggen en monitoren om beveiligingsincidenten te detecteren en te analyseren. Deze controle maakt deel uit van het bredere informatiebeveiligingsmanagementsysteem (ISMS) dat ISO 27001 vereist, en benadrukt het belang van continue monitoring en analyse van beveiligingsgebeurtenissen. Het correct configureren van telemetrie-instellingen is onderdeel van een bredere strategie voor logging en monitoring, waarbij organisaties moeten balanceren tussen het verzamelen van voldoende informatie voor beveiligingsdoeleinden en het respecteren van privacyvereisten. Deze balans is essentieel omdat te veel gegevensverzameling privacyrisico's kan creëren, terwijl te weinig gegevensverzameling de effectiviteit van beveiligingsmonitoring kan verminderen. Voor auditing doeleinden is het belangrijk dat organisaties uitgebreide documentatie bijhouden over hoe telemetrie-instellingen zijn geconfigureerd, welke apparaten het beleid hebben ontvangen, wat de nalevingsstatus is, en hoe eventuele problemen zijn opgelost. Deze documentatie moet regelmatig worden bijgewerkt om te reflecteren wijzigingen in de omgeving, nieuwe apparaten, en updates aan het beleid. De documentatie moet beschikbaar zijn voor interne en externe audits, en moet voldoen aan de vereisten van verschillende compliance-frameworks. De Microsoft Intune-beheerconsole biedt uitgebreide rapportagefunctionaliteiten die kunnen worden gebruikt om nalevingsbewijs te genereren voor auditdoeleinden, inclusief gedetailleerde rapporten over nalevingsstatus, configuratiewijzigingen, en historische gegevens. Beleidsdocumentatie moet duidelijk beschrijven waarom telemetrie-instellingen op basisniveau zijn geconfigureerd, welke risico's worden gemitigeerd, en hoe de configuratie bijdraagt aan de algehele beveiligings- en privacystrategie van de organisatie. Deze documentatie moet toegankelijk zijn voor alle relevante stakeholders, inclusief IT-beheerders, beveiligingsfunctionarissen, compliance-medewerkers, en waar nodig de directie. De documentatie moet ook uitleggen hoe de configuratie aansluit bij verschillende compliance-frameworks en regelgevingsvereisten, en moet regelmatig worden herzien om te waarborgen dat deze actueel blijft en aansluit bij de huidige omgeving en vereisten. Regelmatige compliance-controles moeten worden uitgevoerd om te verifiëren dat telemetrie-instellingen correct blijven geconfigureerd en dat nieuwe apparaten automatisch het beleid ontvangen. Deze controles kunnen worden geautomatiseerd met behulp van monitoringtools en PowerShell-scripts, wat efficiëntie biedt en ervoor zorgt dat controles regelmatig worden uitgevoerd zonder handmatige inspanning. Echter, moeten deze geautomatiseerde controles ook worden aangevuld met periodieke handmatige verificatie om te waarborgen dat de configuratie overeenkomt met de gedocumenteerde beleidsvereisten en dat er geen onverwachte problemen zijn die door geautomatiseerde controles worden gemist. Deze combinatie van geautomatiseerde en handmatige controles zorgt voor een robuuste compliance-aanpak die zowel efficiënt als grondig is.
Compliance & Frameworks
- CIS M365: Control 18.9.19.2 (L1) - CIS Security Benchmark aanbevelingen
- BIO: 16.01 - BIO Baseline Informatiebeveiliging Overheid - 16.01 - Gebeurtenissen logging en audittrails
- ISO 27001:2022: A.12.4.1 - ISO 27001:2022 - Gebeurtenissen logging en audittrails
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Intune Privacy: Telemetry Set to Basic
.DESCRIPTION
CIS - Windows telemetry moet op Basic (Security level 0) voor minimale data collection.
.NOTES
Filename: allow-telemetry-is-set-to-basic.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Windows\DataCollection\AllowTelemetry|Expected: 0 (Security)
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\DataCollection"; $RegName = "AllowTelemetry"; $ExpectedValue = 0
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance {
$r = [PSCustomObject]@{ScriptName = "telemetry-basic.ps1"; PolicyName = "Telemetry Level"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = "0 (Security)"; Details = @() }; function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (Test-Path $RegPath) { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue; if ($v) { $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Telemetry: Security (0)" }else { $r.Details += "Telemetry: $($v.$RegName) (0=Sec,1=Basic,2=Enhanced,3=Full)" } }else { $r.Details += "Niet geconfigureerd" } }else { $r.Details += "Niet geconfigureerd" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r
}
function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Telemetry set to Security (0)" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
High: Geen tracking van authenticatiegebeurtenissen mogelijk, verhoogd privacyrisico door onnodige gegevensverzameling.
Management Samenvatting
Configureer telemetrie-instellingen op basisniveau om privacy te beschermen en te voldoen aan AVG-vereisten.
- Implementatietijd: 0 uur
- FTE required: 0.1 FTE