💼 Management Samenvatting
Deze configuratie-instelling zorgt ervoor dat de camera niet kan worden gebruikt op het Windows-vergrendelscherm. Daarmee wordt een veelvoorkomende maar vaak onderschatte privacy- en beveiligingsrisico weggenomen, omdat onbevoegde personen geen beeld kunnen krijgen van de directe omgeving van een werkplek zodra een apparaat vergrendeld is. Door dit centraal te beheren via Microsoft Intune ontstaat een consistente, aantoonbare implementatie over alle beheerde Windows endpoints binnen de organisatie.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
7/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Windows
Het blokkeren van cameragebruik op het vergrendelscherm is onderdeel van de Windows security en privacy baselines en sluit aan bij zorgvuldige omgang met persoonsgegevens en gevoelige bedrijfsinformatie. Een actief gebleven camera kan bijvoorbeeld onbedoeld kantoorruimtes, whiteboards, documenten of personen in beeld brengen, ook wanneer een gebruiker denkt dat het apparaat veilig is vergrendeld. Door deze instelling af te dwingen verminder je het risico op ongewenste observatie, datalekken en reputatieschade, en ondersteun je tevens de naleving van interne informatiebeveiligingsbeleid en de BIO-bepalingen rondom vertrouwelijkheid en privacy.
PowerShell Modules Vereist
Primary API: Graph
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
Deze JSON-beschrijving ondersteunt het configureren van het beleid "Prevent enabling lock screen camera" via Microsoft Intune apparaatconfiguratie- of compliancebeleid. Het doel is dat alle relevante Windows endpoints een uniforme instelling krijgen waarbij de camera op het vergrendelscherm permanent is uitgeschakeld. Beheerders kunnen dit beleid opnemen in een bredere endpoint-beveiligingsarchitectuur, combineren met andere privacy-instellingen (zoals microfoon- en locatieregels) en periodiek controleren of het beleid nog correct wordt toegepast. De focus ligt op een robuuste, herhaalbare en goed gedocumenteerde inrichting die past binnen de Nederlandse Baseline voor Veilige Cloud.
Vereisten
Voor een betrouwbare en beheerbare implementatie van het beleid om de camera op het vergrendelscherm uit te schakelen, moet de organisatie voldoen aan een aantal randvoorwaarden. Allereerst is een werkende Microsoft Intune-omgeving vereist, gekoppeld aan de juiste Microsoft 365-tenant en voorzien van geschikte licenties voor endpointbeheer, zoals Microsoft 365 E3/E5, Business Premium of een vergelijkbare bundel waarin Intune is opgenomen. Daarnaast moeten Windows-apparaten worden ingeschreven in Intune en bij voorkeur zijn gekoppeld aan Azure Active Directory, zodat configuratieprofielen eenduidig kunnen worden toegewezen op basis van groepen, rollen of device collections. Het is belangrijk dat er een helder eigenaarschap is ingericht: een technisch eigenaar (bijvoorbeeld het endpoint- of Intune-beheerteam) en een beleidsmatig eigenaar (zoals de CISO, security officer of privacy officer) die bepalen welke apparaten en gebruikers onder dit beleid vallen. Ook moet er een afgesproken change- en releaseproces bestaan, zodat wijzigingen in privacy- en beveiligingsinstellingen gecontroleerd worden getest voordat zij naar productie gaan. Tot slot is het noodzakelijk dat de documentatie van het informatiebeveiligingsbeleid en de verwerkingsregisters in lijn zijn met deze technische maatregel, zodat bij audits en toezicht helder kan worden aangetoond waarom de camera op het vergrendelscherm is uitgeschakeld en hoe dit bijdraagt aan de bescherming van persoonsgegevens en bedrijfsinformatie.
Implementatie
Gebruik PowerShell-script prevent-enabling-lock-screen-camera-is-set-to-enabled.ps1 (functie Invoke-Monitoring) – Gebruik dit script als ondersteunend hulpmiddel bij de implementatie door het geconfigureerde Intune-beleid te valideren op ingeschreven Windows endpoints en te controleren of de instelling voor het voorkomen van cameragebruik op het vergrendelscherm daadwerkelijk is toegepast..
monitoring
Gebruik PowerShell-script prevent-enabling-lock-screen-camera-is-set-to-enabled.ps1 (functie Invoke-Monitoring) – Dit script kan periodiek of op aanvraag worden gebruikt om de naleving van het beleid te monitoren, rapportages te genereren voor security- en privacyteams en tijdig te signaleren op welke apparaten de instelling ontbreekt of is overschreven, zodat gerichte opvolging mogelijk is..
Remediatie
Gebruik PowerShell-script prevent-enabling-lock-screen-camera-is-set-to-enabled.ps1 (functie Invoke-Remediation) – Zet dit script in om apparaten die niet voldoen aan de vereiste configuratie automatisch te corrigeren, zodat het beleid om het gebruik van de camera op het vergrendelscherm te voorkomen op alle in scope zijnde endpoints consistent wordt hersteld zonder handmatige tussenkomst..
Compliance en Auditing
Voor compliance en auditing is het essentieel dat de technische instelling om cameragebruik op het vergrendelscherm te blokkeren wordt ingebed in het bredere informatiebeveiligings- en privacyraamwerk van de organisatie. Dit betekent dat in beleid en procedures duidelijk wordt vastgelegd waarom deze maatregel is gekozen, op welke apparaten en doelgroepen deze van toepassing is en hoe de instelling wordt beheerd via Microsoft Intune. In documentatie zoals het informatiebeveiligingsbeleid, het verwerkingsregister en het privacy control framework kan worden beschreven dat visuele informatie van kantoorruimtes, medewerkers en bezoekers zo veel mogelijk wordt beperkt, juist ook wanneer apparaten vergrendeld zijn maar fysiek bereikbaar blijven. Tijdens interne en externe audits (bijvoorbeeld BIO- of ISO 27001-audits) kan de organisatie aantonen dat het beleid daadwerkelijk operationeel is door exporten van Intune-configuratieprofielen, rapportages van compliant apparaten en screenshots of configuratieoverzichten te overleggen. In combinatie met logging en rapportages uit het monitoring- en remediatiescript ontstaat een controleerbare keten van beleid, implementatie en toezicht, waarmee aantoonbaar wordt voldaan aan eisen rondom privacy by design en privacy by default zoals deze binnen de Nederlandse publieke sector worden verwacht.
Compliance & Frameworks
- CIS M365: Control 18.9.19.2 (L1) - CIS Security Benchmark aanbevelingen
- BIO: 16.01 - BIO Baseline Informatiebeveiliging Overheid - 16.01 - Gebeurtenissen logging en audittrails
- ISO 27001:2022: A.12.4.1 - ISO 27001:2022 - Gebeurtenissen logging en audittrails
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Intune Privacy: Prevent Lock Screen Camera
.DESCRIPTION
CIS - Camera op lock screen moet disabled.
.NOTES
Filename: prevent-enabling-lock-screen-camera-is-set-to-enabled.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Windows\Personalization\NoLockScreenCamera|Expected: 1
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\Personalization"; $RegName = "NoLockScreenCamera"; $ExpectedValue = 1
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance {
$r = [PSCustomObject]@{ScriptName = "lock-screen-camera.ps1"; PolicyName = "Lock Screen Camera"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = "Disabled"; Details = @() }; function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (Test-Path $RegPath) { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue; if ($v) { $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Lock screen camera disabled" }else { $r.Details += "Lock screen camera enabled" } }else { $r.Details += "Niet geconfigureerd" } }else { $r.Details += "Niet geconfigureerd" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r
}
function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Lock screen camera disabled" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
High: Laat je deze instelling onbeheerd, dan bestaat het risico dat onbevoegden via de camera op het vergrendelscherm ongewenst zicht krijgen op personen, werkplekken en gevoelige informatie, wat kan leiden tot datalekken en schending van privacyrichtlijnen.
Management Samenvatting
Schakel via Intune centraal het cameragebruik op het vergrendelscherm uit om privacyrisico's te beperken en een uniforme beveiligingsbaseline op alle Windows endpoints af te dwingen.
- Implementatietijd: 2 uur
- FTE required: 0.01 FTE