💼 Management Samenvatting
Deze maatregel schakelt Windows Spotlight en alle onderliggende content delivery onderdelen uit zodat Windows 10 en Windows 11 werkplekken geen onnodige cloudgestuurde aanbevelingen tonen.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
7/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Windows
Spotlight verzamelt diagnostische gegevens, advertentie identifiers en gebruikscontext die buiten de kaders van de BIO en de AVG vallen, waardoor het risico op ongewenste profiling en dataminimalisatie overtredingen toeneemt.
PowerShell Modules Vereist
Primary API: Graph
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
We configureren via Microsoft Intune privacyprofielen, compliance regels en ondersteunende PowerShell scripts om Spotlight overal te blokkeren en de maatregel aantoonbaar te verankeren.
Vereisten
Om Windows Spotlight structureel uit te schakelen voor alle beheerde endpoints is een robuust fundament nodig dat veel verder gaat dan enkel het aanmaken van een Intune profiel. Organisaties moeten beschikken over een actuele Microsoft Intune tenant, een hybride of cloud only Azure AD structuur en minstens Microsoft 365 E3 licenties zodat de policy instellingen voor privacy en apparaatconfiguratie beschikbaar zijn. Daarnaast hoort er een centrale architectuurbeschrijving te liggen waarin het gebruik van Windows Spotlight expliciet wordt afgekeurd, omdat advertentiegestuurde of gepersonaliseerde content strijdig is met de beveiligings en privacyprincipes die binnen de Nederlandse overheid gelden. Naast de technische licenties vereist de maatregel een duidelijk eigenaarsmodel. De Chief Information Security Officer definieert de beleidsdoelstellingen, terwijl de Intune beheerder verantwoordelijk is voor de technische inrichting en het lifecycle management van de configuratieprofielen. Functioneel beheerders van de werkplek leveren input over gebruikerservaring zodat eventuele afhankelijkheden met onboarding ervaringen of instructies worden ondervangen. Zonder deze rolverdeling ontstaan snel conflicten tussen gebruikerscommunicatie, beveiligingsdoelen en operationele continuiteit. Het fundament omvat eveneens inzicht in de bestaande telemetrie en diagnostiekstromen. Omdat Windows Spotlight nauw verweven is met Microsoft consumptiediensten, moet in kaart worden gebracht welke firewallregels, proxyprofielen en endpoint detection policies reeds actief zijn. Alleen wanneer de netwerktoegang tot Spotlight endpoints is geinventariseerd kunnen beheerders aantonen dat de Intune configuratie het gewenste effect sorteert en niet wordt tegengewerkt door uitzonderingen of hardcoded beleidsinstellingen in het imagebeheer. Governance moet verder worden ondersteund door een actueel Configuration Management Database record waarin alle apparaattypen, buildversies en uitrolrings zijn opgenomen. Alleen daarmee kan worden aangetoond dat ieder hardwareprofiel en ieder type gebruiksscenario - zoals shared devices, kiosken en mobiele werkplekken - een passend privacyprofiel krijgt. Bovendien is een changeproces nodig waarin wijzigingsverzoeken voor Windows Spotlight expliciet worden afgewezen tenzij er een bestuurlijk besluit is genomen. Dit changeproces bevat een risicoanalyse die de potentiele uitlek van persoonsgegevens en metadata beschrijft zodra Spotlight content van Microsoft servers laadt. Ook op juridisch vlak zijn vereisten aanwezig. De Functionaris Gegevensbescherming moet toetsen dat het uitschakelen van Spotlight is opgenomen in het verwerkingsregister en dat de DPIA voor Windows 10 en 11 werkplekken het risico op profilering adresseert. Contractueel moeten afspraken bestaan met eventuele werkplekuitvoerders of managed service providers zodat zij de Intune configuratie niet zelfstandig kunnen overschrijven. Tot slot moet in het opleidingsplan voor eindgebruikers aandacht zijn voor de gewijzigde gebruikerservaring, bijvoorbeeld door de onboarding app of het intranet aan te passen. Verder moeten test en acceptatieomgevingen beschikbaar zijn die representatief zijn voor productie. Een golden image, Autopilot profielen en Configuration Manager task sequences dienen dezelfde privacy instellingen te bevatten als de Intune profielen zodat regressies vroegtijdig worden opgespoord. Documentatie in het kennisportaal of het werkplek handboek moet beschrijven hoe een engineer kan controleren of Windows Spotlight daadwerkelijk uitgeschakeld is, inclusief referentie logs, schermvoorbeelden en PowerShell validatiescripts. Wanneer al deze randvoorwaarden geborgd zijn, kan de technische implementatie als sluitstuk plaatsvinden. Door vooraf in de architectuur, governance en juridische documentatie te investeren worden discussies over functionaliteit voorkomen en ontstaat een audittrail waarmee aantoonbaar is dat de maatregel noodzakelijk en proportioneel is. Daarmee voldoet de organisatie aan de uitgangspunten van de Nederlandse Baseline voor Veilige Cloud en wordt de basis gelegd voor verdere privacymaatregelen rond contentpersonalisatie. Deze voorbereiding voorkomt versnippering.
Implementatie
De implementatie van het beleid om Windows Spotlight uit te schakelen begint met het ontwerpen van een Intune Configuration Profile dat uitsluitend instellingen uit het onderdeel Experience toepast. Gebruik het profieltype Settings catalog en selecteer de instelling Windows Spotlight zodat zowel de vergrendelingsschermsuggesties, consumer features als gepersonaliseerde tips worden gedeactiveerd. Veranker dit profiel in een dedicated privacy baseline policy zodat wijzigingen traceerbaar blijven en de relatie met andere privacymaatregelen, zoals het blokkeren van consumer features of het beperken van privacydiagnostiek, zichtbaar blijft voor auditors. Werk vervolgens met uitrolrings. Start in een laboratoriumtenant of een beperkte pilotgroep waarin devices met verschillende Windows builds, taalpakketten en OEM afbeeldingen aanwezig zijn. Documenteer per ring welke configuratieprofielen actief zijn, welke conflictscenario's zijn opgelost en welke fallback instellingen via lokale policies zijn vastgelegd. Maak gebruik van de Reports functionaliteit in Intune om inzicht te krijgen in de toestandswijzigingen en koppel daar change nummers aan zodat de ServiceNow of TOPdesk registraties aantonen dat het proces beheerst verloopt. Voor iedere productie ring moet een combinatie van Autopilot profielen en Enrollment Status Pages worden aangepast. Tijdens out of box experience mag geen enkele Spotlight component aanstaan, daarom wordt de privacyconfiguratie als mandatory tijdens ESP ingesteld. Tegelijkertijd is het noodzakelijk om in de task sequence of het imagingproces de policy te pinnen via PowerShell zodat apparaten die offline in productie komen alsnog dezelfde instelling hebben voordat zij zich aanmelden bij Intune. Het script windows-spotlight-disabled.ps1 uit de map code/intune/privacy fungeert als controlemiddel: het voert zowel de monitoringfunctie als de remediatie aan en kan als detection rule binnen een Intune Remediation worden gebruikt. Communiceer het implementatieplan naar gebruikers. Leg uit dat Spotlight is vervangen door een statische achtergrond die voldoet aan de huisstijl van de organisatie en licht toe dat hiermee trackingpixels, advertentie ID's en contextuele tips worden vermeden. Instrueer het supportteam hoe zij vragen van eindgebruikers beantwoorden en welke diagnostieklogs, zoals Application and Services Logs\Microsoft\Windows\ContentDeliveryManager, kunnen worden geraadpleegd als een apparaat toch Spotlight elementen toont. Neem deze stappen op in het standaard intakeformulier voor nieuwe afdelingen zodat men weet dat verzoeken tot re activatie niet worden gehonoreerd zonder afwijkingsbesluit. Een volwassen implementatie bevat eveneens controle op compliance policies. Koppel het Spotlight profiel aan een device compliance rule waarin de registry value Software\Policies\Microsoft\Windows\CloudContent wordt gecontroleerd. Hiermee kan Conditional Access apparaten blokkeren die Spotlight opnieuw inschakelen doordat een lokale beheerder registry wijzigingen uitvoert. Combineer dit met een Endpoint Detection and Response custom rule waarin wijzigingen aan ContentDeliveryManager taken als hoog risico worden aangemerkt zodat security operations onmiddellijk op de hoogte worden gebracht. Ronden implementatieactiviteiten altijd af met een lessons learned. Verzamel metrics zoals het aantal devices dat de policy binnen 24 uur heeft ontvangen, de hoeveelheid helpdesktickets en eventuele conflicts met andere profielen. Door deze inzichten te delen in het periodieke overleg van het werkplek en securityteam borgen organisaties dat toekomstige privacymaatregelen sneller verlopen. Leg tot slot vast hoe het script Invoke-Monitoring uit het gekoppelde PowerShell bestand lokaal kan worden gedraaid met de switch -LocalDebug zodat engineers bewijs kunnen verzamelen tijdens audits. Deze extra documentatie maakt de aanpak reproduceerbaar en auditproof. Een korte validatie call met de security architect voorkomt bovendien laatste moment discussies.
Gebruik PowerShell-script windows-spotlight-disabled.ps1 (functie Invoke-Monitoring) – Monitoren.
monitoring
Monitoring van de Spotlight configuratie draait om het continu zichtbaar maken van afwijkingen voordat gebruikers merkbare impact ervaren. Start met het PowerShell script windows-spotlight-disabled.ps1 in monitoringmodus. Het script leest de relevante registry waarden, controleert de taakplanner items van Content Delivery Manager en valideert of de ingestelde achtergrondafbeeldingen niet langer vanuit assets.microsoft.com worden opgehaald. Door de output naar JSON te serialiseren kan deze eenvoudig worden opgenomen in een Log Analytics workspace of Azure Monitor alert rule waarmee afwijkingen real time worden gerapporteerd. Koppel de monitoring aan Intune Proactive Remediations. Het detectiescript draait dan volgens een vooraf ingestelde frequentie op elk apparaat en rapporteert de nalevingsstatus als onderdeel van de Device Health. Hierdoor wordt zichtbaar welke builds of devicefamilies vaker een handmatige aanpassing nodig hebben. Voeg custom device tags toe die aangeven of een apparaat onder een uitzonderingsbeleid valt zodat dashboards deze systemen kunnen filteren en het securityteam niet wordt overspoeld met false positives. Naast endpoint gebaseerde signalen moet ook de netwerkkant worden bewaakt. Gebruik firewall en proxylogs om te controleren of verkeer naar bekende Spotlight FQDNs of CDN ranges alsnog doorkomt. Wanneer de configuratie correct is toegepast hoort dit verkeer drastisch af te nemen. Zet daarom een Kusto query op die het volume meet en stuur een wekelijkse trendrapportage naar het werkplekteam en de CISO. Door deze rapportage onderdeel te maken van het reguliere BIO rapportkader blijft aantoonbaar dat de maatregel daadwerkelijk effect sorteert. Breid de monitoring uit met een Power BI dashboard waarin technische en procesmatige indicatoren samenkomen. Combineer Intune compliancedata, Azure Monitor alerts, firewallstatistieken en helpdesktickets in een visuele weergave. Voeg slicers toe voor organisatieonderdelen en devicecollecties zodat een security officer onmiddellijk kan inzoomen op afwijkingen. Dit dashboard fungeert tevens als input voor het kwartaalgesprek met leveranciers waarin service level agreements worden getoetst. Security operations profiteren van geintegreerde waarschuwingen in Microsoft Defender XDR. Maak een custom detection die aanslaat zodra het Windows eventlog Microsoft-Windows-ContentDeliveryManager/Operational een event schrijft waarin Spotlight features opnieuw worden geactiveerd. Combineer dit met een automatische ticketaanmaak in het SIEM, gekoppeld aan een playbook dat het monitoringgedeelte van het script draait met de parameter -LocalDebug. Zo ontstaat per incident een volledig forensisch dossier, inclusief tijdstempels, gebruikerscontext en eventuele lokale rechten escalaties. Ook de samenwerking met privacy officers moet zichtbaar zijn. Leg vast dat iedere afwijking groter dan vijf procent van het devicepark wordt besproken in het privacy overleg en dat herhaalde overtredingen leiden tot een gerichte awareness campagne. Gebruik het monitoringrapport om aan te tonen dat persoonsgegevens niet via Spotlight worden verwerkt en registreer dit als auditbewijs onder BIO controle 16.01. Deze kruisbestuiving tussen security en privacy voorkomt dat technische signalen geisoleerd blijven. Tot slot is human monitoring essentieel. Plan een maandelijks reviewmoment waarin het werkplekteam steekproeven uitvoert met behulp van Remote Help of een vergelijkbare tool. Tijdens deze reviews worden schermopnamen gemaakt, geregistreerd in het auditdossier en vergeleken met de verwachte huisstijl. Koppel de bevindingen aan key risk indicators, bijvoorbeeld het percentage apparaten dat langer dan zeven dagen buiten compliance staat of het aantal keren dat een gebruiker bewust Spotlight probeert te activeren. Door deze indicatoren te bespreken in het beveiligingsoverleg blijft bestuur bewust van de privacyrisicos die Spotlight met zich meebrengt en kan bijsturing tijdig plaatsvinden. Monitoring is daarmee niet enkel een technische controle, maar een doorlopende governance activiteit die de betrouwbaarheid van de Nederlandse Baseline voor Veilige Cloud onderstreept.
Gebruik PowerShell-script windows-spotlight-disabled.ps1 (functie Invoke-Monitoring) – Controleren.
Remediatie
Remediatie start zodra monitoring een apparaat markeert als non compliant. Het PowerShell script windows-spotlight-disabled.ps1 bevat de functie Invoke-Remediation die zowel de betreffende registry waarden als geplande taken terugzet naar de beoogde staat. Laat het script eerst een snapshot maken van de huidige configuratie zodat forensische reconstructie mogelijk blijft. Pas daarna worden de waarden DisableWindowsSpotlightOnActionCenter, DisableWindowsSpotlightOnSettings en DisableWindowsSpotlightOnLockScreen opnieuw geconfigureerd en worden Content Delivery Manager taken uitgeschakeld. Dit proces draait bij voorkeur onder System context via Intune Remediations of Configuration Manager zodat lokale gebruikers geen invloed kunnen uitoefenen. Stel een remediatieketen op die de ernst van het incident bepaalt. Wanneer slechts een apparaat afwijkt volstaat een geautomatiseerde herconfiguratie gevolgd door een rapportage in het logboek. Als meerdere apparaten binnen dezelfde ring uit compliance raken moet een major incident procedure worden gestart waarbij zowel werkplekbeheer als security operations betrokken zijn. Dit team identificeert of er sprake is van kwaadwillende herconfiguratie, foutieve softwaredeployment of een recente Windows update die de instellingen overschrijft. Communicatie naar de gebruiker is een integraal onderdeel. Automatische remediatie kan een toast notificatie sturen waarin wordt uitgelegd dat privacyinstellingen zijn hersteld en dat geen actie nodig is. Bij herhaalde overtredingen ontvangt de gebruiker een e mail waarin wordt gevraagd eventuele zelf geinstalleerde tuningtools te verwijderen. Tegelijkertijd wordt het account gemarkeerd voor aanvullende awareness training over privacymaatregelen binnen de Nederlandse Baseline voor Veilige Cloud. Door communicatie te standaardiseren wordt voorkomen dat gebruikers denken dat de maatregel willekeurig is. Leg alle remediatiestappen vast in een ticketingsysteem. Koppel het ticket aan de Intune device ID, het serienummer en de betrokken gebruiker zodat audittrail compleet is. Voeg de uitvoer van het script, inclusief -LocalDebug logs, toe aan het dossier. Wanneer afwijkingen terug te voeren zijn op een specifiek softwarepakket of image wordt een probleemrecord geopend dat leidt tot structurele wijzigingen in het distributieproces. Dit voorkomt herhaling en toont aan dat de organisatie lessons learned daadwerkelijk verwerkt. Neem leveranciers actief mee in het proces. Managed service providers krijgen inzage in de rapportages en moeten een herstel binnen de afgesproken service windows bevestigen. Wordt de oorzaak gevonden in een externe packaging of imaginglijn dan wordt de leverancier contractueel aangesproken en wordt in het volgende kwartaal een extra audit uitgevoerd. Zo blijft duidelijk wie verantwoordelijk is voor welke remediatieactie en wordt de ketenverantwoordelijkheid aantoonbaar ingevuld. Een effectieve remediatie richt zich ook op preventie. Analyseer per kwartaal de statistieken: hoeveel devices moesten handmatig worden hersteld, hoeveel daarvan betrof dezelfde business unit en welke root causes kwamen het vaakst voor. Presenteer deze inzichten aan het security governanceboard en stel waar nodig aanvullende controles voor, bijvoorbeeld het hardenen van lokale administratorrechten of het blokkeren van specifieke consumer ervaringstaken via AppLocker. Zo groeit remediatie uit tot een cyclus van continue verbetering die privacyrisicos structureel verkleint. Tot slot moet ieder remediatieproces eindigen met een validatie. Draai het script opnieuw in monitoringmodus, controleer het SIEM op eventueel resterend verkeer naar Spotlight URLs en voer een visuele check uit via Remote Help. Pas wanneer alle drie de checks positief zijn wordt het ticket gesloten. Deze driedubbele controlelaag bewijst richting toezichthouders dat niet alleen de instelling is hersteld, maar ook dat de kans op herhaling is gemitigeerd. Remediatie is daardoor niet slechts een technische ingreep, maar een aantoonbare maatregel binnen het bredere privacycompliance programma.
Gebruik PowerShell-script windows-spotlight-disabled.ps1 (functie Invoke-Remediation) – Herstellen.
Compliance en Auditing
Compliance en auditing rondom het uitschakelen van Windows Spotlight vereist een duidelijke koppeling tussen technische maatregelen en de normenkaders waar de Nederlandse publieke sector aan moet voldoen. Begin met het beschrijven van de maatregel in het BIO controleplan onder hoofdstuk 16.01, waarin logging en privacyverplichtingen zijn uitgewerkt. Leg vast dat Spotlight wordt gezien als een bron van gepersonaliseerde content en daarmee onder de AVG vereisten voor gegevensminimalisatie valt. Documenteer welke persoonsgegevens theoretisch via Spotlight zouden kunnen worden verwerkt en toon aan dat de maatregel voorkomt dat metadata richting Microsoft servers wordt gestuurd zonder expliciete noodzaak. Koppel de controle vervolgens aan ISO 27001:2022 annex A.12.4 en A.5.23. In het Statement of Applicability noteer je dat de organisatie opt out van consumentgerichte clouddiensten afdwingt via Intune. Bewaar screenshots van de Intune policy, exporteer de JSON configuratie en voeg het resultaat van het PowerShell rapport toe. Deze stukken vormen het auditbewijs waaruit blijkt dat de instelling is uitgerold, wordt bewaakt en kan worden hersteld. Het auditdossier bevat daarnaast een verwijzing naar het logische toegangsbeheer waarmee alleen het werkplekteam schrijfrechten heeft op het policy object. AVG compliance vraagt om aanvullende stappen. Werk de Data Protection Impact Assessment bij met een paragraaf over Spotlight en leg uit waarom de maatregel noodzakelijk en proportioneel is. Verwijs naar het principe van data protection by default: standaardinstellingen moeten privacyvriendelijk zijn en het uitschakelen van Spotlight is daar een concreet voorbeeld van. Registreer in het verwerkingsregister dat geen advertentie IDs of contextuele gegevens worden verzameld en voeg het monitoringrapport toe als bewijs dat deze situatie daadwerkelijk standhoudt. Auditors verwachten bovendien dat de maatregel is ingebed in processen. Beschrijf in het interne controlehandvest dat elke wijziging aan het Spotlight profiel een vier ogen principe doorloopt en wordt geregistreerd in het change management systeem. Voeg controlepunten toe aan de kwartaalreviews van het Privacy Office en laat de CISO een managementverklaring ondertekenen waarin staat dat Spotlight is gedeactiveerd in alle productie omgevingen. Deze verklaring wordt ondersteund door de KPI's uit het monitoringdashboard waarmee het bestuur aantoont dat de privacydoelstellingen meetbaar zijn. Vergeet externe naleving niet. Wanneer de organisatie onder specifieke sectorale regelingen valt, bijvoorbeeld de Wet Digitale Overheid of NEN 7510 voor zorginstellingen, moet het auditdossier expliciet koppelingen maken. Leg uit hoe het uitschakelen van Spotlight bijdraagt aan het beperken van onnodige netwerkcommunicatie en daarmee aan de eisen voor encryptie, logging en incidentrespons. Indien er een externe leverancier betrokken is bij werkplekbeheer moet het contract een clausule bevatten die voorschrijft dat Spotlight altijd gedeactiveerd moet zijn en dat audits onaangekondigd mogen plaatsvinden. Door deze documentatie zorgvuldig op te bouwen ontstaat een sluitende complianceketen. Technische configuraties worden gekoppeld aan beleidsdocumenten, juridische analyses en operationele rapportages. Dit maakt het voor auditors eenvoudig om vast te stellen dat de maatregel niet alleen technisch bestaat, maar ook daadwerkelijk wordt beheerst en getoetst. Het uiteindelijke doel is aantoonbare naleving: iedere belanghebbende kan binnen enkele minuten zien welke norm wordt geraakt, welk bewijs beschikbaar is en welke verantwoordelijke de controle uitvoert. Daarmee levert het uitschakelen van Windows Spotlight een concrete bijdrage aan de geloofwaardigheid van het programma Nederlandse Baseline voor Veilige Cloud. Bewaar de auditlogboeken minimaal twaalf maanden zodat herleidbaarheid geborgd blijft.
Compliance & Frameworks
- CIS M365: Control 18.9.19.2 (L1) - CIS Security Benchmark aanbevelingen
- BIO: 16.01 - BIO Baseline Informatiebeveiliging Overheid - 16.01 - Gebeurtenissen logging en audittrails
- ISO 27001:2022: A.12.4.1 - ISO 27001:2022 - Gebeurtenissen logging en audittrails
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Intune Privacy: Windows Spotlight Disabled
.DESCRIPTION
CIS - Windows Spotlight (lock screen tips/ads) moet disabled.
.NOTES
Filename: windows-spotlight-disabled.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Windows\CloudContent\DisableWindowsSpotlightFeatures|Expected: 1
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\CloudContent"; $RegName = "DisableWindowsSpotlightFeatures"; $ExpectedValue = 1
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance {
$r = [PSCustomObject]@{ScriptName = "windows-spotlight-disabled.ps1"; PolicyName = "Windows Spotlight"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = "Disabled"; Details = @() }; function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (Test-Path $RegPath) { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue; if ($v) { $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Spotlight disabled" }else { $r.Details += "Spotlight enabled" } }else { $r.Details += "Niet geconfigureerd" } }else { $r.Details += "Niet geconfigureerd" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r
}
function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Windows Spotlight disabled" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
High: Gebruikersdata en diagnostiek blijven naar externe diensten stromen, waardoor BIO en AVG controles niet kunnen worden gehaald.
Management Samenvatting
Schakel Windows Spotlight uit via Intune en borg monitoring met scripts.
- Implementatietijd: 2 uur
- FTE required: 0.01 FTE