💼 Management Samenvatting
Het uitschakelen van Microsoft Store voorkomt dat gebruikers ongeautoriseerde consumententoepassingen, games en software kunnen installeren op zakelijke apparaten, waardoor schaduw-IT wordt teruggedrongen, malware-risico's worden verminderd en bedrijfsapplicatiecontrole wordt afgedwongen. Deze maatregel is essentieel voor organisaties die streven naar gecentraliseerd applicatiebeheer en volledige controle over de software die op zakelijke apparaten wordt uitgevoerd.
Aanbeveling
IMPLEMENT
Risico zonder
Medium
Risk Score
5/10
Implementatie
3u (tech: 1u)
Van toepassing op:
✓ Windows 10
✓ Windows 11
✓ Windows 11
Microsoft Store, voorheen bekend als Windows Store, stelt gebruikers in staat om zelfstandig applicaties te installeren zonder goedkeuring van de IT-afdeling. Dit creëert aanzienlijke beveiligings- en beheeruitdagingen voor organisaties. Het probleem van ongeautoriseerde software manifesteert zich op verschillende manieren. Consumententoepassingen met onbekende beveiligingsstatus worden geïnstalleerd zonder dat de IT-afdeling hiervan op de hoogte is. Games en entertainmentsoftware verschijnen op zakelijke apparaten, wat de productiviteit negatief beïnvloedt. Applicaties zonder bedrijfsondersteuning of licentie worden geïnstalleerd, wat kan leiden tot licentieproblemen. Software met potentiële beveiligingskwetsbaarheden kan worden geïnstalleerd zonder dat deze eerst door de beveiligingsafdeling is gecontroleerd. Het probleem van schaduw-IT ontstaat doordat de IT-afdeling geen zicht heeft in Store-geïnstalleerde applicaties. Er is geen gecentraliseerd beheer van updates, waardoor applicaties mogelijk verouderd blijven en kwetsbaarheden bevatten. Licentiecompliance is onbekend, wat betekent dat organisaties mogelijk aansprakelijk zijn voor ongelicenseerde software. Er zijn zorgen over de locatie waar applicatiegegevens worden opgeslagen, wat problemen kan veroorzaken met gegevensresidency en privacy. Malware-risico's zijn reëel omdat niet alle Microsoft Store-applicaties grondig zijn gecontroleerd. Kwaadaardige applicaties hebben de Store bereikt in het verleden, wat aantoont dat het platform niet volledig betrouwbaar is. Applicaties van derde partijen met twijfelachtige ontwikkelaars kunnen beveiligingsrisico's introduceren. Applicaties die om buitensporige machtigingen vragen vormen een privacyrisico. Er is potentieel voor gegevensexfiltratie via applicatietelemetrie, waarbij gevoelige bedrijfsgegevens mogelijk worden verzonden naar externe servers zonder medeweten van de organisatie. Complianceproblemen ontstaan doordat software asset management onvolledig is wanneer Store-applicaties niet worden bijgehouden. Licentie-audits kunnen hiaten vertonen, waardoor organisaties aansprakelijk kunnen zijn voor ongelicenseerde software. Transparantie over gegevensverwerking ontbreekt, wat problemen kan veroorzaken met de Algemene Verordening Gegevensbescherming (AVG) wanneer niet duidelijk is waar applicatiegegevens naartoe gaan. In de praktijk installeren medewerkers persoonlijke productiviteitsapps die bedrijfsgegevens synchroniseren, zoals persoonlijke OneDrive- of Dropbox-accounts. Games worden geïnstalleerd en gebruikt tijdens werktijd, wat de productiviteit negatief beïnvloedt. Cryptocurrency-miners worden geïnstalleerd, wat de prestaties van apparaten aanzienlijk kan beïnvloeden. VPN- of proxy-apps worden geïnstalleerd om beveiligingsbeleid te omzeilen. De best practice voor bedrijfsomgevingen is gecentraliseerd applicatiebeheer, waarbij alle software wordt uitgerold via Intune of System Center Configuration Manager (SCCM). De IT-afdeling keurt alle applicaties goed en test deze voordat ze worden uitgerold. Bedrijfslicenties worden bijgehouden en beheerd. Beveiligingscontroles worden uitgevoerd voordat applicaties worden uitgerold. Microsoft Store conflicteert met deze aanpak omdat gebruikers beleid kunnen omzeilen door Store-applicaties te installeren, waardoor het gecentraliseerde beheer wordt ondermijnd.
PowerShell Modules Vereist
Primary API: Intune / Groepsbeleid
Connection:
Required Modules:
Connection:
N/ARequired Modules:
Implementatie
Deze beveiligingsmaatregel configureert de registerwaarde HKLM:\SOFTWARE\Policies\Microsoft\WindowsStore\RemoveWindowsStore op 1 (Uitgeschakeld) via Microsoft Intune of Groepsbeleid. Deze configuratie schakelt de Microsoft Store-toepassing volledig uit en verwijdert deze uit het Start-menu, de taakbalk en het systeem. Het effect van deze configuratie is dat het Store-app-pictogram wordt verwijderd en niet meer zichtbaar is voor gebruikers. Protocolhandlers voor ms-windows-store:// worden uitgeschakeld, waardoor links naar de Store niet meer werken. De Store-toepassing zelf kan niet meer worden gestart, ongeacht hoe gebruikers proberen deze te openen. Gebruikers kunnen geen nieuwe applicaties installeren via de Store. Bestaande Store-applicaties die al zijn geïnstalleerd blijven functioneel, maar kunnen niet worden bijgewerkt via de Store. Als alternatief voor applicatiedeployment kunnen organisaties gebruik maken van Intune Company Portal voor bedrijfsgoedgekeurde applicaties. Er zijn verschillende alternatieve benaderingen mogelijk. De eerste optie is het volledig uitschakelen van de Store, wat deze beveiligingsmaatregel is en maximale controle biedt. De tweede optie is het gebruik van alleen een privé Store via Microsoft Store voor Business met een door IT samengestelde applicatiecatalogus, wat een balans biedt tussen controle en gebruiksgemak. De derde optie is het inschakelen van de Store maar met beperkingen, zoals het vereisen van beheerdergoedkeuring voor installaties of het gebruik van een toegestane lijst met specifieke goedgekeurde Store-applicaties. De aanbeveling voor de meeste bedrijven is het uitschakelen van de openbare Store, wat deze beveiligingsmaatregel is, en het implementeren van Microsoft Store voor Business met door IT samengestelde apps of het implementeren van alle apps via Intune, wat de Store volledig omzeilt.
Vereisten
Voor het succesvol uitschakelen van Microsoft Store moeten organisaties aan verschillende technische en organisatorische vereisten voldoen. Deze vereisten zijn essentieel om ervoor te zorgen dat de implementatie soepel verloopt en dat gebruikers nog steeds toegang hebben tot de applicaties die zij nodig hebben voor hun werkzaamheden. De technische vereisten beginnen met het besturingssysteem. Apparaten moeten Windows 10 Pro, Windows 10 Enterprise of Windows 11 draaien, omdat deze edities ondersteuning bieden voor gecentraliseerd beheer via Groepsbeleid of Microsoft Intune. Home-edities van Windows ondersteunen deze beheersfunctionaliteiten niet en kunnen daarom niet worden beheerd via deze methoden. Organisaties moeten beschikken over een Microsoft Intune-abonnement voor beleidsimplementatie of een Groepsbeleid-infrastructuur voor on-premises beheer. Voor Intune-omgevingen is een Endpoint Administrator-rol vereist om configuratieprofielen te kunnen maken en toewijzen. Deze rol biedt de benodigde machtigingen om beveiligingsbeleid te configureren en te implementeren op beheerde apparaten. Naast de technische infrastructuur moeten organisaties beschikken over een alternatief mechanisme voor applicatiedeployment. Dit kan Microsoft Intune Company Portal zijn voor bedrijfsgoedgekeurde applicaties, System Center Configuration Manager (SCCM) voor applicatiedistributie, of Microsoft Store voor Business met een privécatalogus. Zonder een alternatief deploymentmechanisme zullen gebruikers niet in staat zijn om de applicaties te installeren die zij nodig hebben, wat kan leiden tot productiviteitsverlies en gebruikersfrustratie. Organisaties moeten een duidelijk gedefinieerd workflowproces hebben voor het goedkeuren van applicaties. Dit proces moet bepalen hoe gebruikers nieuwe software kunnen aanvragen, wie deze aanvragen beoordeelt, welke criteria worden gebruikt voor goedkeuring, en hoe lang het duurt voordat een aanvraag wordt verwerkt. Zonder een duidelijk proces zullen gebruikers gefrustreerd raken en mogelijk proberen om beveiligingsmaatregelen te omzeilen. Effectieve gebruikerscommunicatie is cruciaal voor het succes van deze beveiligingsmaatregel. Organisaties moeten gebruikers uitleggen waarom de Store wordt uitgeschakeld, welke beveiligings- en compliancevoordelen dit biedt, en hoe zij goedgekeurde applicaties kunnen aanvragen en installeren. Deze communicatie moet plaatsvinden voordat de Store wordt uitgeschakeld, zodat gebruikers voldoende tijd hebben om zich voor te bereiden en alternatieve methoden te leren kennen. Voordat de Store wordt uitgeschakeld, moeten organisaties grondig testen om te verifiëren dat bedrijfskritieke applicaties niet afhankelijk zijn van de Store. Sommige applicaties kunnen Store-afhankelijkheden hebben die niet direct zichtbaar zijn, en het is belangrijk om deze te identificeren voordat de Store wordt uitgeschakeld om verstoring van bedrijfsprocessen te voorkomen. Daarnaast moeten organisaties beschikken over voldoende technische expertise om de implementatie uit te voeren en te onderhouden. Dit omvat kennis van Microsoft Intune of Groepsbeleid, begrip van Windows-registerconfiguraties, en vaardigheden in het monitoren en oplossen van problemen met beveiligingsbeleid. Organisaties zonder deze expertise moeten overwegen om externe ondersteuning in te schakelen of hun IT-personeel te trainen voordat zij deze beveiligingsmaatregel implementeren.
Implementatie
De implementatie van het uitschakelen van Microsoft Store kan worden uitgevoerd via verschillende methoden, afhankelijk van de bestaande infrastructuur en beheerprocessen van de organisatie. De aanbevolen methode voor moderne cloud-gebaseerde omgevingen is implementatie via Microsoft Intune, wat gecentraliseerd beheer biedt en naadloos integreert met andere Microsoft 365-services. Het implementatieproces begint in het Microsoft Intune-beheercentrum, waar beheerders navigeren naar Apparaten en vervolgens naar Configuratieprofielen. Beheerders maken een nieuw profiel aan en selecteren Windows 10 en later als platform en Instellingencatalogus als profieltype. In de instellingencatalogus navigeren beheerders naar Windows-onderdelen en vervolgens naar Store. Hier configureren zij de instelling 'Schakel de Store-toepassing uit' en stellen deze in op Ingeschakeld, wat de registerwaarde RemoveWindowsStore op 1 zet. Voor organisaties die meer granulair controle willen, zijn aanvullende instellingen beschikbaar. De instelling 'Schakel alle apps van Microsoft Store uit' kan worden ingeschakeld om te voorkomen dat Store-apps worden geïnstalleerd. De instelling 'Toon alleen de privé Store' kan worden ingeschakeld wanneer organisaties gebruik maken van Microsoft Store voor Business, waardoor gebruikers alleen toegang hebben tot de door IT samengestelde catalogus. Het configuratieprofiel wordt toegewezen aan alle apparaten of specifieke gebruikersgroepen, afhankelijk van de behoeften van de organisatie. Gefaseerde implementatie wordt aanbevolen, waarbij het profiel eerst wordt toegewezen aan een beperkte groep testapparaten voordat het wordt uitgerold naar de volledige organisatie. De implementatiestatus kan worden gemonitord via Intune-apparaatnaleving, waar beheerders kunnen zien welke apparaten voldoen aan de configuratievereisten en welke apparaten aandacht vereisen.
Gebruik PowerShell-script windows-store-disabled.ps1 (functie Invoke-Remediation) – PowerShell-script voor lokale registerconfiguratie tijdens testen en verificatie.
Voor organisaties die nog steeds gebruik maken van on-premises Active Directory-infrastructuur kan de implementatie worden uitgevoerd via Groepsbeleid. Het implementatieproces begint in de Groepsbeleidbeheerconsole, waar beheerders een Groepsbeleidsobject (GPO) bewerken of een nieuw GPO maken. In het GPO navigeren beheerders naar Computerconfiguratie, vervolgens naar Beheersjablonen, en dan naar Windows-onderdelen en Store. Hier schakelen zij de instelling 'Schakel de Store-toepassing uit' in. Het GPO wordt gekoppeld aan de juiste organisatie-eenheden (OU's) in Active Directory, waarbij beheerders ervoor moeten zorgen dat alle relevante computers binnen het bereik van het GPO vallen. Na het koppelen van het GPO moeten beheerders gpupdate /force uitvoeren op testcomputers om te verifiëren dat de configuratie correct wordt toegepast, voordat het GPO wordt uitgerold naar de volledige omgeving. Het is belangrijk om te controleren op conflicterende GPO's die mogelijk de Store-instellingen overschrijven, en om de juiste GPO-verwerkingsvolgorde te configureren om ervoor te zorgen dat de Store-uitschakeling correct wordt toegepast. Tijdens de implementatie moeten beheerders ook rekening houden met de replicatietijd van Groepsbeleid in Active Directory, wat kan variëren afhankelijk van de grootte en complexiteit van de omgeving. Voor grote organisaties met meerdere domeincontrollers kan het enige tijd duren voordat het beleid volledig is gerepliceerd naar alle domeincontrollers, wat betekent dat sommige apparaten het beleid mogelijk niet onmiddellijk ontvangen. Beheerders moeten daarom geduld hebben en de implementatiestatus monitoren om te verifiëren dat alle apparaten het beleid hebben ontvangen voordat zij aannemen dat de implementatie succesvol is voltooid.
Een alternatieve benadering die een balans biedt tussen controle en gebruiksgemak is het gebruik van Microsoft Store voor Business met een privécatalogus. Deze benadering vereist dat organisaties Microsoft Store voor Business implementeren en een privécatalogus configureren waarin alleen door IT goedgekeurde applicaties beschikbaar zijn. IT-beheerteams stellen de catalogus samen door specifieke applicaties toe te voegen die zijn goedgekeurd voor gebruik binnen de organisatie. Gebruikers kunnen alleen applicaties installeren die beschikbaar zijn in deze privécatalogus, wat IT controle geeft over welke applicaties worden gebruikt terwijl gebruikers nog steeds zelf applicaties kunnen installeren zonder tussenkomst van de helpdesk. De voordelen van deze aanpak zijn dat gebruikers zelfservice kunnen gebruiken voor het installeren van goedgekeurde applicaties, wat het gebruiksgemak verhoogt, terwijl IT nog steeds volledige controle heeft over welke applicaties beschikbaar zijn. Het nadeel is dat deze aanpak extra beheeroverhead vereist voor het onderhouden van de privécatalogus en het beoordelen en toevoegen van nieuwe applicaties wanneer gebruikers deze aanvragen.
Effectieve gebruikerscommunicatie is cruciaal voor de succesvolle adoptie van deze beveiligingsmaatregel. Gebruikers moeten duidelijk worden uitgelegd waarom de Store wordt uitgeschakeld, met focus op beveiliging, compliance en het voorkomen van schaduw-IT. Organisaties moeten benadrukken dat deze maatregel helpt om de organisatie te beschermen tegen beveiligingsdreigingen, dat het zorgt voor naleving van licentievereisten, en dat het bijdraagt aan het voorkomen van ongecontroleerde software-installaties. Gebruikers moeten worden geïnformeerd over alternatieve methoden voor het installeren van applicaties, zoals het gebruik van Intune Company Portal voor goedgekeurde applicaties. Het applicatieaanvraagproces moet duidelijk worden uitgelegd, inclusief hoe gebruikers nieuwe software kunnen aanvragen, bijvoorbeeld via een helpdeskticket of een gestructureerd goedkeuringsworkflow. Organisaties moeten realistische verwachtingen stellen over hoe lang het duurt voordat een nieuwe applicatie wordt goedgekeurd en geïnstalleerd, zodat gebruikers weten wat zij kunnen verwachten en niet gefrustreerd raken door onrealistische verwachtingen. Deze communicatie moet plaatsvinden minimaal twee weken voordat de Store wordt uitgeschakeld, zodat gebruikers voldoende tijd hebben om zich voor te bereiden en vragen te stellen.
Monitoring
Gebruik PowerShell-script windows-store-disabled.ps1 (functie Invoke-Monitoring) – Controleert de status van de RemoveWindowsStore-registerwaarde.
Continue monitoring van de Store-uitschakeling is essentieel om ervoor te zorgen dat de beveiligingsmaatregel effectief blijft en dat eventuele problemen tijdig worden gedetecteerd en aangepakt. De primaire monitoringmethode bestaat uit het regelmatig controleren van de registerwaarde HKLM:\SOFTWARE\Policies\Microsoft\WindowsStore\RemoveWindowsStore, die consistent op 1 moet staan op alle beheerde apparaten. Deze registercontrole kan worden geautomatiseerd via PowerShell-scripts die regelmatig worden uitgevoerd, of via Intune-nalevingsbeleid dat automatisch de configuratiestatus controleert en rapporteert. Intune-nalevingsrapportage biedt realtime inzicht in de implementatiestatus van het Store-uitschakelbeleid, waarbij beheerders direct kunnen zien welke apparaten voldoen aan de configuratievereisten en welke apparaten aandacht vereisen. Deze rapportage maakt het mogelijk om snel te reageren op afwijkingen en ervoor te zorgen dat de beveiligingsmaatregel effectief blijft op alle beheerde apparaten. Organisaties moeten deze nalevingsrapportage regelmatig controleren, bij voorkeur dagelijks gedurende de eerste weken na implementatie en daarna wekelijks, om ervoor te zorgen dat eventuele problemen snel worden gedetecteerd en aangepakt.
Naast het monitoren van de configuratiestatus is het belangrijk om applicatie-installaties te monitoren om te verifiëren dat er geen ongeautoriseerde installaties plaatsvinden. Organisaties moeten een proces hebben voor het volgen van applicatie-installaties, waarbij wordt gecontroleerd of er nieuwe Store-applicaties worden geïnstalleerd, wat niet zou moeten gebeuren wanneer de Store correct is uitgeschakeld. Het aantal ongeautoriseerde installaties zou nul moeten zijn, en elke detectie van een nieuwe Store-applicatie moet worden onderzocht om te bepalen hoe deze is geïnstalleerd en of er sprake is van een beveiligingsincident of een configuratieprobleem. Software-inventarisatie moet worden uitgevoerd om Store-applicaties te detecteren die al waren geïnstalleerd voordat de Store werd uitgeschakeld. Deze bestaande applicaties blijven functioneel maar kunnen niet worden bijgewerkt via de Store, wat mogelijk beveiligingsrisico's kan introduceren als deze applicaties verouderd raken en kwetsbaarheden bevatten. Organisaties moeten overwegen om deze bestaande Store-applicaties te vervangen door versies die via beheerde kanalen kunnen worden uitgerold en bijgewerkt.
Gebruikersfeedback is een belangrijke indicator voor de effectiviteit van de beveiligingsmaatregel en de tevredenheid van gebruikers. Organisaties moeten de frequentie van applicatieaanvragen monitoren om te bepalen of er vraag is naar Store-applicaties en of gebruikers alternatieve methoden begrijpen voor het installeren van applicaties. Een hoge frequentie van applicatieaanvragen kan wijzen op een gebrek aan duidelijkheid over het aanvraagproces, of op een behoefte aan meer applicaties in de goedgekeurde catalogus. Helpdesktickets die gerelateerd zijn aan de Store moeten worden bijgehouden om gebruikersfrustratie te monitoren en te identificeren of er problemen zijn met de implementatie of communicatie. Deze tickets kunnen waardevolle inzichten bieden over hoe gebruikers de beveiligingsmaatregel ervaren en waar verbeteringen mogelijk zijn in de communicatie of het aanvraagproces. Beveiligingsmonitoring moet worden uitgevoerd om pogingen te detecteren om de Store-blokkering te omzeilen. Dit kan bijvoorbeeld gebeuren door gebruikers die proberen de registerwaarde handmatig te wijzigen, of door malware die probeert de Store te activeren om kwaadaardige applicaties te installeren. Dergelijke pogingen moeten worden gedetecteerd en onderzocht om te bepalen of er sprake is van een beveiligingsincident of een poging tot opzettelijke omzeiling van beveiligingsmaatregelen.
Remediatie
Gebruik PowerShell-script windows-store-disabled.ps1 (functie Invoke-Remediation) – Automatische remediatie van afwijkingen in de Store-uitschakelconfiguratie.
Wanneer monitoring aangeeft dat de Store nog steeds is ingeschakeld op bepaalde apparaten, moet onmiddellijk remediatie worden uitgevoerd om de beveiligingsintegriteit te herstellen. Het remediatieproces begint met het verifiëren dat het Intune-beleid correct is toegewezen aan het apparaat. Beheerders moeten controleren of het apparaat zich in de juiste doelgroep bevindt en of het beleid correct is geconfigureerd. Het is mogelijk dat het apparaat niet is opgenomen in de doelgroep waaraan het beleid is toegewezen, of dat er een probleem is met de beleidsconfiguratie. Beheerders moeten ook controleren op beleidsconflicten, bijvoorbeeld wanneer zowel Groepsbeleid als Intune-beleid zijn geconfigureerd en er een conflict is in de verwerkingsvolgorde. In dergelijke gevallen moet de juiste verwerkingsvolgorde worden geconfigureerd om ervoor te zorgen dat het Intune-beleid voorrang heeft, of dat het Groepsbeleid correct is geconfigureerd. Als het beleid correct is toegewezen maar nog niet is toegepast, kunnen beheerders een beleidssynchronisatie forceren via Company Portal door gebruikers te vragen om 'Apparaat synchroniseren' te selecteren. Als automatische remediatie niet mogelijk is of niet succesvol is geweest, kunnen beheerders handmatige remediatie uitvoeren door het PowerShell-script lokaal uit te voeren op het apparaat, wat de registerwaarde direct instelt. Na remediatie moet worden geverifieerd dat de Store daadwerkelijk is uitgeschakeld door te proberen de Store te starten, wat niet zou moeten werken wanneer de configuratie correct is toegepast. Tijdens het remediatieproces moeten beheerders ook documenteren welke stappen zijn genomen, wanneer de remediatie is uitgevoerd, en wat de resultaten waren. Deze documentatie is belangrijk voor auditdoeleinden en helpt bij het identificeren van patronen in configuratieproblemen die kunnen wijzen op systematische problemen die moeten worden aangepakt.
Wanneer gebruikers legitieme Store-applicaties nodig hebben voor hun werkzaamheden, moeten organisaties een gestructureerd proces hebben voor het beoordelen en goedkeuren van dergelijke aanvragen. Het beoordelingsproces moet beginnen met het bepalen of de applicatie echt nodig is voor bedrijfsdoeleinden en of er een duidelijke zakelijke rechtvaardiging is voor het gebruik van de applicatie. Beheerders moeten alternatieven onderzoeken om te bepalen of de applicatie beschikbaar is via andere deploymentmethoden, zoals Microsoft Intune of System Center Configuration Manager (SCCM). Als de applicatie beschikbaar is via deze methoden, moet deze worden geïmplementeerd via het gecentraliseerde beheersysteem in plaats van via de Store. De eerste optie voor het implementeren van een benodigde applicatie is implementatie via Intune, wat de voorkeur heeft omdat het gecentraliseerd beheer biedt en naadloos integreert met andere beheersprocessen. De tweede optie is het inschakelen van Microsoft Store voor Business met een samengestelde catalogus, waarbij alleen specifieke goedgekeurde applicaties beschikbaar zijn. Deze optie biedt een balans tussen controle en gebruiksgemak, maar vereist extra beheeroverhead. De derde optie, die niet wordt aanbevolen, is het maken van een uitzondering waarbij een specifieke gebruikersgroep toegang krijgt tot de Store. Deze optie moet alleen worden overwogen in uitzonderlijke omstandigheden en moet worden gedocumenteerd met een duidelijke rechtvaardiging, goedkeuring van de beveiligingsafdeling, en een beoordelingsdatum waarop de uitzondering opnieuw wordt geëvalueerd. Alle uitzonderingen moeten worden gedocumenteerd met details over waarom de Store nodig is, wie de uitzondering heeft goedgekeurd, en wanneer de uitzondering opnieuw moet worden beoordeeld om te bepalen of deze nog steeds noodzakelijk is.
Compliance en Auditing
Het uitschakelen van Microsoft Store draagt aanzienlijk bij aan het naleven van verschillende beveiligings- en compliance-standaarden die relevant zijn voor Nederlandse overheidsorganisaties en bedrijven. Deze beveiligingsmaatregel helpt organisaties om te voldoen aan de vereisten van de CIS Microsoft Windows Benchmark, die aanbevelingen bevat voor applicatiecontrole om te voorkomen dat ongeautoriseerde software wordt geïnstalleerd op beheerde apparaten. De CIS Benchmark specificeert dat organisaties maatregelen moeten nemen om te voorkomen dat gebruikers ongeautoriseerde software kunnen installeren, wat direct wordt bereikt door het uitschakelen van de Store. De maatregel ondersteunt ook de BIO-norm 12.06.02, die specifiek betrekking heeft op kwetsbaarheden van technische aard en restricties op software-installatie. Deze norm vereist dat organisaties maatregelen nemen om te voorkomen dat ongeautoriseerde software wordt geïnstalleerd, wat precies is wat het uitschakelen van de Store bereikt. De BIO-normen zijn specifiek ontwikkeld voor Nederlandse overheidsorganisaties en vormen een belangrijke basis voor cybersecurity in de publieke sector. Voor organisaties die werken volgens ISO 27001:2022 helpt deze maatregel om te voldoen aan controle A.8.8, die betrekking heeft op het beheer van technische kwetsbaarheden, en controle A.12.6.2, die betrekking heeft op restricties op software-installatie. Deze controles vereisen dat organisaties processen hebben voor het beheren van software-installaties en het voorkomen van ongeautoriseerde software, wat wordt bereikt door het uitschakelen van de Store en het implementeren van gecentraliseerd applicatiebeheer. ISO 27001:2022 is een internationaal erkende standaard voor informatiebeveiligingsmanagement, en het naleven van deze controles is essentieel voor organisaties die gecertificeerd willen worden of blijven. De NIS2-richtlijn, die van toepassing is op essentiële en belangrijke entiteiten in de Europese Unie, vereist in artikel 21 dat organisaties maatregelen nemen voor software-installatiecontroles. Het uitschakelen van de Store en het implementeren van gecentraliseerd applicatiebeheer helpt organisaties om te voldoen aan deze vereisten. De NIS2-richtlijn is van bijzonder belang voor Nederlandse organisaties die opereren in kritieke sectoren zoals energie, transport, gezondheidszorg en financiële dienstverlening. De NIST Cybersecurity Framework controle PR.IP-1 vereist dat organisaties een basisconfiguratie hebben waarbij alleen geautoriseerde software wordt gebruikt. Het uitschakelen van de Store en het implementeren van gecentraliseerd applicatiebeheer zorgt ervoor dat alleen software die door de IT-afdeling is goedgekeurd en geautoriseerd kan worden geïnstalleerd, wat direct bijdraagt aan het naleven van deze controle. Het NIST Cybersecurity Framework wordt wereldwijd gebruikt als referentiekader voor cybersecurity, en het naleven van deze controles helpt organisaties om hun cybersecurity-postuur te verbeteren. Daarnaast helpt deze beveiligingsmaatregel organisaties om te voldoen aan de Algemene Verordening Gegevensbescherming (AVG), die vereist dat organisaties passende technische en organisatorische maatregelen nemen om persoonsgegevens te beschermen. Door het voorkomen van ongeautoriseerde software-installaties vermindert deze maatregel het risico dat kwaadaardige of onveilige applicaties toegang krijgen tot persoonsgegevens. Door deze beveiligingsmaatregel te implementeren, kunnen organisaties aantonen aan auditors en compliance-officers dat zij proactieve maatregelen hebben genomen om ongeautoriseerde software-installaties te voorkomen en gecentraliseerd applicatiebeheer te implementeren, wat essentieel is voor het naleven van deze verschillende standaarden en regelgevingen. Tijdens audits kunnen organisaties bewijs leveren van de implementatie door het tonen van de registerconfiguratie, Intune-beleidsinstellingen, en documentatie van het applicatiegoedkeuringsproces.
Compliance & Frameworks
- CIS M365: Control Windows Store Controle (L2) - Schakel Microsoft Store uit voor bedrijfsapplicatiecontrole
- BIO: 12.06.02 - Restricties op software installatie
- ISO 27001:2022: A.8.8, A.12.6.2 - Restricties op software-installatie
- NIS2: Artikel - Applicatiecontrolemaatregelen
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Intune Application Control: Windows Store Disabled
.DESCRIPTION
CIS - Windows Store moet volledig disabled in enterprise.
.NOTES
Filename: windows-store-disabled.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\WindowsStore\RemoveWindowsStore|Expected: 1
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\WindowsStore"; $RegName = "RemoveWindowsStore"; $ExpectedValue = 1
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance {
$r = [PSCustomObject]@{ScriptName = "windows-store-disabled.ps1"; PolicyName = "Windows Store Disabled"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (Test-Path $RegPath) { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue; if ($v) { $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Windows Store disabled" }else { $r.Details += "Windows Store enabled" } }else { $r.Details += "Niet geconfigureerd" } }else { $r.Details += "Niet geconfigureerd" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r
}
function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Windows Store disabled" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
Medium: Gemiddeld risico op schaduw-IT en beveiligingsproblemen: Microsoft Store stelt gebruikers in staat om zelfstandig applicaties te installeren zonder goedkeuring van de IT-afdeling. De risico's omvatten ongeautoriseerde software waarbij malware via Store-apps mogelijk is, schaduw-IT waarbij er geen gecentraliseerd beheer is, licentie-nalevingsproblemen, gegevensprivacyproblemen waarbij apps bedrijfsgegevens kunnen synchroniseren naar onbekende clouds, en productiviteitsverlies door games en entertainmentapps. Voor bedrijven met gecentraliseerd applicatiebeheer zoals Intune vormt de Store een omzeiling van IT-controles. Het uitschakelen van de Store dwingt af dat alle apps via IT-goedgekeurde kanalen worden geïnstalleerd, zorgt voor gecentraliseerd software asset management, en vereist beveiligingscontroles voordat applicaties worden uitgerold.
Management Samenvatting
Schakel Microsoft Store uit (RemoveWindowsStore is 1) voor bedrijfsapplicatiecontrole. Voorkomt ongeautoriseerde app-installaties. Gebruikers gebruiken Intune Company Portal voor goedgekeurde apps. Voldoet aan BIO 12.06, ISO 27001 A.12.6.2. Implementatie: 1-3 uur. Alternatief: Store voor Business met samengestelde catalogus. Aanbevolen voor bedrijven met gecentraliseerd app-deployment (Intune/SCCM).
- Implementatietijd: 3 uur
- FTE required: 0.02 FTE