💼 Management Samenvatting
Het uitschakelen van toegang tot de Windows Store betekent dat de Store-app wordt uitgeschakeld, waardoor gebruikers geen apps kunnen bladeren of installeren. App-deployment vindt uitsluitend plaats via Intune, wat volledige controle over applicaties binnen de organisatie biedt.
Aanbeveling
IMPLEMENT
Risico zonder
Medium
Risk Score
5/10
Implementatie
7u (tech: 2u)
Van toepassing op:
✓ Windows 10
✓ Windows 11
✓ Windows 11
Toegang tot de Windows Store vormt een significant beveiligingsrisico door het ontstaan van shadow IT. Bij onbeperkte toegang tot de Store installeren gebruikers consumentenapps zonder controle, waaronder games, utilities en productiviteitstools die niet door de IT-afdeling zijn goedgekeurd. Deze praktijk introduceert meerdere beveiligingsrisico's: kwaadaardige apps die zich voordoen als legitieme software, ongecontroleerde apps zonder beheer via Intune waardoor updates en verwijdering niet gecentraliseerd kunnen plaatsvinden, en datalekken door apps met buitensporige permissies. De ondernemingsaanpak via Intune Company Portal lost deze problemen op door een gecureerde selectie van ondernemingsapps te bieden die door IT zijn goedgekeurd, getest en centraal beheerd worden. De gecontroleerde deployment volgt een gefaseerde aanpak van pilot naar productie, terwijl updatebeheer volledig gecentraliseerd plaatsvindt via Intune.
PowerShell Modules Vereist
Primary API: Microsoft Graph API
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
Het uitschakelen van Store-toegang wordt bereikt door het beleid 'Uitschakelen toegang tot de Store' in te schakelen. Het effect hiervan is dat de Store-app wordt uitgeschakeld, waarbij gebruikers de app nog wel kunnen openen maar niet kunnen bladeren of apps kunnen installeren. Het Store-pictogram blijft zichtbaar maar wordt grijs weergegeven, wat visueel duidelijk maakt dat de functionaliteit is uitgeschakeld. App-deployment vindt uitsluitend plaats via Intune Company Portal, wat volledige controle en beheer garandeert. Als alternatief kan worden gekozen voor 'Store-app verwijderen', wat een striktere aanpak is waarbij de Store volledig wordt verwijderd van het systeem.
Vereisten
Voor het succesvol implementeren van het beleid om toegang tot de Windows Store uit te schakelen, moeten organisaties aan een aantal technische en organisatorische vereisten voldoen. Deze vereisten zorgen ervoor dat de implementatie naadloos verloopt en dat gebruikers geen beperkingen ondervinden in hun dagelijkse werkzaamheden.
De primaire technische vereiste is een actief Intune-abonnement met een geldige licentie. Microsoft Intune vormt het hart van de mobiele device management (MDM) en mobile application management (MAM) strategie, en zonder dit platform kan de gewenste controle over applicaties niet worden uitgeoefend. Organisaties moeten beschikken over minimaal een Microsoft 365 E3-licentie, hoewel E5-licenties worden aanbevolen voor volledige beveiligings- en conformiteitsfunctionaliteit. Het Intune-abonnement moet correct zijn geconfigureerd en de tenant moet verbonden zijn met Azure Active Directory voor identiteitsbeheer.
Het besturingssysteem speelt een cruciale rol in deze implementatie. Alle doelapparaten moeten draaien op Windows 10 versie 1809 of hoger, of Windows 11 in een ondersteunde versie. Oudere versies van Windows 10 of Windows 7/8.1 worden niet ondersteund voor moderne beheerscenario's via Intune. Het is essentieel dat apparaten correct zijn ingeschreven in Intune en dat de Microsoft Intune Management Extension correct is geïnstalleerd en functioneel is. Apparaten kunnen automatisch worden ingeschreven via Azure AD Join of Hybride Azure AD Join, of handmatig via het apparaatregistratieproces.
De Intune Company Portal moet worden geïmplementeerd als vervanging voor de Windows Store. Dit is van cruciaal belang omdat gebruikers anders geen toegang meer hebben tot applicaties. De Company Portal biedt een gecureerde catalogus van ondernemingsapps die door de IT-afdeling zijn goedgekeurd, getest en beheerd. De implementatie van de Company Portal moet plaatsvinden voordat de Store wordt uitgeschakeld, om te voorkomen dat gebruikers tijdelijk geen toegang hebben tot benodigde applicaties. De Company Portal moet worden geconfigureerd met de juiste app-licenties en moet beschikbaar zijn voor alle gebruikersgroepen die toegang nodig hebben tot ondernemingsapps.
Een goed gestructureerde app-catalogus vormt de basis van een succesvolle implementatie. De IT-afdeling moet een uitgebreide catalogus van ondernemingsapps samenstellen die in Intune zijn gecureerd. Deze catalogus moet minimaal alle kritieke applicaties bevatten die gebruikers nodig hebben voor hun dagelijkse werkzaamheden, waaronder productiviteitsapps, communicatie-apps en sector-specifieke software. Elke app in de catalogus moet worden getest op compatibiliteit, beveiliging en prestatie voordat deze wordt vrijgegeven. Bovendien moeten updateprocedures worden gedefinieerd om ervoor te zorgen dat apps regelmatig worden bijgewerkt naar de nieuwste beveiligde versies. De catalogus moet regelmatig worden beoordeeld en bijgewerkt op basis van gebruikersfeedback en veranderende bedrijfsbehoeften.
Organisatorische vereisten omvatten het opstellen van een duidelijk communicatieplan voor gebruikers, het definiëren van procedures voor app-aanvragen, en het instellen van een proces voor exception handling wanneer specifieke apps noodzakelijk zijn voor bedrijfskritieke processen. Daarnaast moeten IT-beheerders worden getraind in het beheren van de Company Portal en het reageren op gebruikersvragen over app-toegang en installatie.
Implementatie
De implementatie van het beleid om toegang tot de Windows Store uit te schakelen vereist een gestructureerde aanpak via Microsoft Intune. Dit proces bestaat uit verschillende stappen die ervoor zorgen dat de configuratie correct wordt toegepast en dat gebruikers naadloos kunnen overstappen naar de Intune Company Portal voor applicatiebeheer.
De implementatie begint met het openen van de Microsoft Intune admin center en het navigeren naar het gedeelte Apparaten. Hier selecteert u Beleid configureren en vervolgens Profielen maken. Selecteer Windows 10 en later als platform en kies Vormgeving als profieltype. Geef het profiel een duidelijke naam zoals 'Windows Store toegang uitgeschakeld' en voeg een beschrijving toe die het doel van het beleid uitlegt. Deze beschrijving helpt andere beheerders om het beleid te begrijpen en voorkomt onbedoelde wijzigingen in de toekomst.
In de Intune Settings Catalog navigeert u naar de categorie Windows Components en selecteert u vervolgens Store. Hier vindt u de instelling 'Turn off access to the Store' (Uitschakelen toegang tot de Store). Deze instelling moet worden ingeschakeld om de Store-functionaliteit te blokkeren. Het is belangrijk om te begrijpen dat deze instelling de Store-app niet volledig verwijdert, maar wel alle functionaliteit om apps te browsen, downloaden en installeren blokkeert. Gebruikers kunnen de Store-app nog steeds openen, maar zullen zien dat alle functionaliteit is uitgeschakeld en dat ze worden doorverwezen naar de Company Portal voor applicatiebeheer.
Na het configureren van de instelling moet het beleid worden toegewezen aan de juiste gebruikersgroepen of apparaten. Het wordt aanbevolen om het beleid eerst toe te wijzen aan een testgroep met beperkte omvang om te valideren dat de configuratie correct werkt en dat gebruikers nog steeds toegang hebben tot benodigde applicaties via de Company Portal. Na succesvolle validatie kan het beleid gefaseerd worden uitgerold naar grotere gebruikersgroepen, waarbij elke fase wordt gecontroleerd op problemen of gebruikersfeedback.
Voor organisaties die een striktere aanpak prefereren, is er een alternatieve optie beschikbaar: 'Remove Store app' (Store-app verwijderen). Deze instelling verwijdert de Store-app volledig van het apparaat, in plaats van alleen de functionaliteit uit te schakelen. Deze aanpak is aan te bevelen voor hoogbeveiligde omgevingen waar volledige controle over geïnstalleerde software essentieel is. De volledige verwijdering zorgt ervoor dat gebruikers zelfs niet meer kunnen proberen de Store te openen, wat het risico op pogingen tot omzeiling verder verkleint.
Na de implementatie moeten gebruikers worden geïnformeerd over de wijziging en het gebruik van de Company Portal voor app-installatie. Communicatie moet duidelijk uitleggen waarom deze wijziging wordt doorgevoerd, hoe gebruikers toegang krijgen tot apps via de Company Portal, en wie ze moeten contacteren als ze specifieke apps nodig hebben die nog niet beschikbaar zijn. Het opzetten van een helpdeskproces voor app-aanvragen zorgt ervoor dat gebruikers snel toegang krijgen tot benodigde applicaties en vermindert frustratie over de nieuwe beperkingen.
Monitoring van de implementatie is essentieel om te verifiëren dat het beleid correct wordt toegepast op alle doelapparaten. Intune biedt ingebouwde rapportagefunctionaliteit om de compliance-status van apparaten te controleren. Beheerders moeten regelmatig de compliance-rapporten raadplegen om te identificeren welke apparaten het beleid nog niet hebben ontvangen of waar configuratiefouten zijn opgetreden. Het corrigeren van niet-nalevende apparaten moet prioriteit krijgen om te voorkomen dat gebruikers via deze apparaten nog steeds toegang hebben tot de Store.
Compliance
Het uitschakelen van toegang tot de Windows Store draagt bij aan het voldoen aan meerdere belangrijke compliance-frameworks en beveiligingsstandaarden die relevant zijn voor Nederlandse overheidsorganisaties en bedrijven die werken met gevoelige gegevens. Deze maatregel is essentieel voor het handhaven van application control en het voorkomen van ongecontroleerde software-installatie binnen de organisatie.
Voor Nederlandse overheidsorganisaties is de Baseline Informatiebeveiliging Overheid (BIO) het primaire beveiligingskader. BIO-controle 12.05 (Application control) vereist dat organisaties technische maatregelen implementeren om ongeautoriseerde of ongewenste software te voorkomen. Het uitschakelen van de Windows Store is een concrete technische maatregel die bijdraagt aan het voldoen aan deze controle. Door alleen goedgekeurde applicaties toe te staan via Intune Company Portal, verkrijgen organisaties volledige controle over welke software wordt geïnstalleerd op beheerde apparaten, wat essentieel is voor het handhaven van application control en het voorkomen van beveiligingsrisico's door ongeautoriseerde software.
De ISO/IEC 27001-standaard voor informatiebeveiligingsmanagement biedt een internationaal erkend kader voor het beheren van informatiebeveiliging. Binnen dit kader is controle A.12.5.1 (Installation of software on operational systems) van cruciaal belang. Deze controle vereist dat organisaties procedures en controles implementeren om ongeautoriseerde software-installatie te voorkomen. Het uitschakelen van de Windows Store en het verplicht stellen van applicatie-installatie via Intune Company Portal vormt een concrete technische controle die bijdraagt aan het voldoen aan deze ISO-vereiste. Organisaties moeten echter ook procedurele controles implementeren, zoals het definiëren van een proces voor app-goedkeuring en het documenteren van uitzonderingen op het beleid.
De CIS Windows Benchmark biedt gedetailleerde aanbevelingen voor het beveiligen van Windows-apparaten. Binnen deze benchmark wordt het uitschakelen van Store-toegang expliciet aanbevolen als onderdeel van een geharde Windows-configuratie. De CIS Benchmark bevat specifieke aanbevelingen voor het beperken van gebruikersmogelijkheden om software te installeren, wat direct aansluit bij het uitschakelen van Store-toegang. Organisaties die de CIS Windows Benchmark volgen, moeten deze maatregel implementeren om volledig te voldoen aan de aanbevolen beveiligingsconfiguratie.
Voor organisaties die werken met persoonsgegevens is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Hoewel de AVG niet expliciet eist dat Store-toegang wordt uitgeschakeld, draagt deze maatregel bij aan het waarborgen van beveiliging van persoonsgegevens (artikel 32 AVG) door het voorkomen van het installeren van onbeveiligde of kwaadaardige applicaties die mogelijk toegang hebben tot persoonsgegevens. Bovendien draagt gecentraliseerd applicatiebeheer via Intune bij aan het kunnen aantonen van beveiligingsmaatregelen in het geval van een audit of datalek.
Naast het voldoen aan compliance-vereisten is het belangrijk om te documenteren dat de maatregel is geïmplementeerd en actief wordt gehandhaafd. Organisaties moeten regelmatige controleprocedures instellen om te verifiëren dat het beleid correct wordt toegepast op alle beheerde apparaten en dat er geen uitzonderingen zijn gemaakt zonder juiste autorisatie. Deze documentatie is essentieel voor audit-doeleinden en het aantonen van naleving van compliance-frameworks.
Monitoring
Effectieve monitoring van het beleid om toegang tot de Windows Store uit te schakelen is essentieel om te verifiëren dat de configuratie correct wordt toegepast op alle doelapparaten en dat er geen beveiligingslekken ontstaan door niet-nalevende apparaten. Monitoring moet een geïntegreerd onderdeel zijn van het operationele beheer van de Intune-omgeving.
Microsoft Intune biedt ingebouwde rapportagefunctionaliteit voor het monitoren van beleidscompliance. Via de Intune admin center kunnen beheerders de compliance-status van apparaten raadplegen en identificeren welke apparaten het beleid hebben ontvangen en succesvol hebben toegepast. Het is belangrijk om regelmatig, bij voorkeur wekelijks, deze rapporten te raadplegen om te verifiëren dat alle nieuwe apparaten correct zijn geconfigureerd en dat bestaande apparaten nog steeds compliant zijn. Apparaten die niet-nalevend zijn, moeten prioriteit krijgen voor onderzoek en herstel.
Automatische monitoring via PowerShell-scripts stelt organisaties in staat om proactief te reageren op compliance-problemen voordat deze escaleren tot beveiligingsincidenten. Het monitoring-script voor deze configuratie controleert de status van het 'Toegang tot de Store uitschakelen' beleid op alle beheerde apparaten via de Microsoft Graph API. Het script genereert rapporten die identificeren welke apparaten het beleid niet hebben ontvangen, waar configuratiefouten zijn opgetreden, of waar gebruikers mogelijk hebben geprobeerd de Store te omzeilen.
Het monitoren van Store-toegang omvat ook het controleren of gebruikers daadwerkelijk gebruik maken van de Intune Company Portal voor app-installatie. Door gebruikspatronen te analyseren, kunnen organisaties identificeren of bepaalde apps ontbreken in de catalogus of of gebruikers ondersteuning nodig hebben bij het gebruik van de Company Portal. Deze inzichten helpen bij het verbeteren van de app-catalogus en het verhogen van gebruikersacceptatie van het nieuwe applicatiebeheerproces.
Event logging en beveiligingsgebeurtenismonitoring zijn belangrijke aanvullingen op beleidsconformiteitsmonitoring. Windows Event Logs bevatten informatie over pogingen om de Store te openen of apps te installeren, zelfs wanneer het beleid actief is. Het monitoren van deze gebeurtenissen helpt bij het identificeren van pogingen tot omzeiling en het detecteren van mogelijke beveiligingsincidenten. Security Information and Event Management (SIEM) systemen kunnen worden geconfigureerd om waarschuwingen te genereren bij verdachte activiteit gerelateerd aan Store-toegang.
Regelmatige audits moeten worden uitgevoerd om te verifiëren dat alle apparaten binnen de organisatie het beleid hebben ontvangen en toegepast. Deze audits moeten ook controleren of er geen uitzonderingen zijn gemaakt zonder juiste autorisatie en documentatie. Audit-rapporten moeten worden gedocumenteerd en beschikbaar zijn voor interne en externe auditors die compliance willen verifiëren.
Gebruik PowerShell-script turn-off-access-to-the-store-is-set-to-enabled.ps1 (functie Invoke-Monitoring) – Controleren.
Remediatie
Wanneer monitoring identificeert dat apparaten niet-conform zijn of dat het beleid niet correct is toegepast, moeten remediatieacties worden uitgevoerd om de configuratie te herstellen en beveiligingslekken te sluiten. Effectieve remediatie vereist een gestructureerde aanpak die snel problemen oplost zonder verstoring van de gebruikerservaring.
De primaire remediatiemethode voor niet-nalevende apparaten is het opnieuw toepassen van het Intune-beleid. Apparaten die het beleid niet hebben ontvangen, kunnen worden geforceerd om een nieuw beleids-sync uit te voeren via de Intune admin center. Deze sync dwingt het apparaat om opnieuw verbinding te maken met Intune en het beleid opnieuw te downloaden en toe te passen. In de meeste gevallen lost dit het probleem op zonder dat gebruikers worden gehinderd in hun werkzaamheden.
Voor apparaten waar configuratiefouten zijn opgetreden, kan het nodig zijn om het beleid te verwijderen en opnieuw toe te wijzen. Dit proces vereist zorgvuldige coördinatie om te voorkomen dat apparaten tijdelijk zonder beveiligingsconfiguratie zitten. Het wordt aanbevolen om eerst een testapparaat te gebruiken om te valideren dat de remediatieprocedure correct werkt voordat deze wordt toegepast op productieapparaten.
Automatische remediatie via PowerShell-scripts biedt de mogelijkheid om problemen proactief op te lossen zonder handmatige interventie. Het remediatiescript voor deze configuratie controleert de conformiteitsstatus van apparaten en past automatisch correcties toe wanneer niet-conforme apparaten worden gedetecteerd. Het script gebruikt de Microsoft Graph API om beleidsconfiguraties te wijzigen en apparaten te dwingen om opnieuw te synchroniseren met Intune.
In sommige gevallen kan het nodig zijn om apparaten opnieuw te registreren in Intune om configuratieproblemen op te lossen. Dit is echter een drastischere remediatiemethode die moet worden vermeden tenzij andere methoden hebben gefaald, omdat het tijdelijk de beheerbaarheid van het apparaat kan beïnvloeden. Voordat een apparaat opnieuw wordt geregistreerd, moeten alle kritieke gegevens worden geback-upt en moeten gebruikers worden geïnformeerd over de gevolgen van deze actie.
Remediatie moet worden gedocumenteerd voor audit-doeleinden en het leren van incidenten. Elke remediatie-actie moet worden vastgelegd met details over het probleem, de genomen acties, en het resultaat. Deze documentatie helpt bij het identificeren van terugkerende problemen en het verbeteren van de implementatie en monitoring-procedures. Bovendien moeten oorzaakanalyses worden uitgevoerd voor significante compliance-problemen om te voorkomen dat dergelijke problemen in de toekomst opnieuw optreden.
Gebruik PowerShell-script turn-off-access-to-the-store-is-set-to-enabled.ps1 (functie Invoke-Remediation) – Herstellen.
Compliance & Frameworks
- CIS M365: Control Windows - Store access (L1) -
- BIO: 12.05.01 -
- ISO 27001:2022: A.12.5.1 -
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Intune Application Control: Turn Off Store Access
.DESCRIPTION
CIS - Windows Store access moet disabled in enterprise.
.NOTES
Filename: turn-off-access-to-the-store-is-set-to-enabled.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\WindowsStore\RemoveWindowsStore|Expected: 1
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\WindowsStore"; $RegName = "RemoveWindowsStore"; $ExpectedValue = 1
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance {
$r = [PSCustomObject]@{ScriptName = "turn-off-store-access.ps1"; PolicyName = "Store Access Disabled"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (Test-Path $RegPath) { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue; if ($v) { $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Store access disabled" }else { $r.Details += "Store access enabled" } }else { $r.Details += "Niet geconfigureerd" } }else { $r.Details += "Niet geconfigureerd" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r
}
function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Store access disabled" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
Medium: Medium: Store-toegang leidt tot shadow IT met ongecontroleerde apps zonder beheer.
Management Samenvatting
Schakel toegang tot Windows Store uit. Gebruik uitsluitend Intune Company Portal voor applicatiebeheer. Implementatietijd: 2-7 uur.
- Implementatietijd: 7 uur
- FTE required: 0.02 FTE