💼 Management Samenvatting
Deze beveiligingsregel waarborgt de correcte configuratie van privacy-instellingen voor locatiediensten op Windows endpoints.
Aanbeveling
Implementeer
Risico zonder
High
Risk Score
7/10
Implementatie
0u
Van toepassing op:
✓ Windows
Deze instelling is onderdeel van de Windows-beveiligingsbaseline en beschermt tegen privacyrisico's door het afdwingen van veilige configuraties voor locatietracking.
PowerShell Modules Vereist
Primary API: Graph
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
Deze regel configureert de instelling 'Allow Location' op 'Force Location Off' via Microsoft Intune apparaatconfiguratiebeleid of compliancebeleid om Windows endpoints te beveiligen volgens beveiligingsbest practices en privacyvereisten.
Vereisten
Voor de implementatie van deze privacy-instelling zijn verschillende technische en organisatorische vereisten van toepassing. Allereerst is een actieve Microsoft Intune-licentie vereist, waarbij de organisatie beschikt over de juiste licentie voor device management en compliance management. Daarnaast moet de organisatie beschikken over Microsoft Graph API-toegang met de benodigde machtigingen voor het beheren van apparaatconfiguratiebeleid. De IT-afdeling moet beschikken over Intune-beheerdersrechten of minimaal over de rol van Intune-beleidsbeheerder om configuratiebeleid te kunnen maken, toewijzen en beheren. Organisatorisch gezien moet er een duidelijk privacybeleid zijn dat de noodzaak van het uitschakelen van locatiediensten ondersteunt, met name voor zakelijke apparaten waar locatietracking privacyrisico's kan opleveren. De organisatie moet ook beschikken over een duidelijk proces voor het beheren van uitzonderingen, aangezien sommige applicaties of gebruikersscenario's mogelijk legitieme redenen hebben om locatiediensten te gebruiken. Vanuit technisch perspectief moeten alle doelapparaten Windows 10 versie 1809 of hoger draaien, of Windows 11, om volledige ondersteuning te hebben voor deze Intune-beleidsinstelling. De apparaten moeten bovendien correct zijn geregistreerd in Microsoft Intune en beschikken over een actieve verbinding met de Intune-service. Voor het monitoren en controleren van de naleving moet de organisatie beschikken over rapportage- en monitoringtools, zoals de ingebouwde Intune-compliance-rapportage of geavanceerde SIEM-oplossingen die Intune-logboeken kunnen verwerken. Tot slot is het belangrijk dat de organisatie beschikt over gedocumenteerde procedures voor het beheren van deze instelling, inclusief escalatieprocedures voor het afhandelen van niet-naleving en het beheren van uitzonderingen op het beleid.
Implementatie
De implementatie van de instelling 'Allow Location Is Set To Force Location Off' via Microsoft Intune vereist een gestructureerde aanpak die begint met een grondige analyse van de huidige omgeving. Voordat de implementatie start, moet de IT-afdeling een inventarisatie maken van alle Windows-apparaten die onder beheer staan, inclusief het type apparaten, de Windows-versies en de huidige configuratiestatus van locatiediensten. Deze inventarisatie vormt de basis voor het bepalen van de impact van de implementatie en het identificeren van potentiële uitzonderingen. Vervolgens moet er een apparaatconfiguratiebeleid worden aangemaakt in Microsoft Intune via de Microsoft Endpoint Manager admin center. Binnen dit beleid moet de categorie 'Privacy' worden geselecteerd, waarna de specifieke instelling 'Allow Location' kan worden geconfigureerd op de waarde 'Force Location Off'. Deze instelling zorgt ervoor dat gebruikers de locatiediensten niet kunnen inschakelen, zelfs niet via de Windows-instellingen. Na het aanmaken van het beleid moet het worden toegewezen aan de juiste groepen apparaten of gebruikers. Het is aan te raden om te beginnen met een pilotgroep van testapparaten om te verifiëren dat de implementatie correct werkt en geen onverwachte gevolgen heeft voor legitieme bedrijfsprocessen. Tijdens de pilotfase moet er actief worden gemonitord of apparaten de nieuwe configuratie ontvangen en of er geen negatieve impact is op kritieke applicaties of workflows. Na een succesvolle pilot kan het beleid geleidelijk worden uitgerold naar de volledige organisatie, waarbij prioriteit wordt gegeven aan apparaten met een hoog privacyrisico of apparaten die gevoelige gegevens verwerken. De implementatie moet worden ondersteund door duidelijke communicatie naar eindgebruikers over waarom locatiediensten worden uitgeschakeld en wat de gevolgen zijn voor hun dagelijkse werkzaamheden. Daarnaast moet er een helpdeskproces worden opgezet voor het afhandelen van vragen en het beoordelen van uitzonderingsverzoeken. Het gebruik van geautomatiseerde scripts kan de implementatie versnellen en de consistentie waarborgen, waarbij PowerShell-scripts kunnen worden gebruikt voor het bulktoewijzen van beleid of het verifiëren van de configuratiestatus. Na de volledige implementatie moet er een periodieke review plaatsvinden om te controleren of het beleid nog steeds effectief is en of er aanpassingen nodig zijn op basis van veranderende bedrijfsvereisten of nieuwe Windows-functies.
Gebruik PowerShell-script allow-location-is-set-to-force-location-off.ps1 (functie Invoke-Monitoring) – Monitoren.
Monitoring
Effectieve monitoring van de naleving van de 'Allow Location Is Set To Force Location Off' instelling is essentieel om te waarborgen dat de privacyconfiguratie daadwerkelijk wordt toegepast op alle beheerde apparaten. De monitoring moet worden uitgevoerd op meerdere niveaus, te beginnen met de Intune-compliance-rapportage die real-time inzicht biedt in welke apparaten het beleid hebben ontvangen en of ze voldoen aan de configuratievereisten. Deze rapportage kan worden bekeken in de Microsoft Endpoint Manager admin center onder de sectie 'Device compliance', waar per apparaat de compliance-status wordt weergegeven. Naast de standaard Intune-rapportage is het belangrijk om periodieke controles uit te voeren met behulp van PowerShell-scripts die de daadwerkelijke configuratiestatus op de apparaten verifiëren. Deze scripts kunnen worden uitgevoerd via Intune Proactive Remediation of via andere remote management tools, waarbij ze de registerinstellingen of Group Policy Object-status controleren om te verifiëren dat de locatiediensten daadwerkelijk zijn uitgeschakeld. Voor geavanceerde monitoring kan de organisatie gebruik maken van SIEM-oplossingen die Intune-logboeken en Windows Event Logs verzamelen en analyseren. Deze logboeken kunnen worden gebruikt om trends te identificeren, zoals apparaten die herhaaldelijk proberen de instelling te wijzigen of gebruikers die mogelijk omzeilingspogingen ondernemen. De monitoring moet ook aandacht besteden aan nieuwe apparaten die worden toegevoegd aan de organisatie, om te waarborgen dat ze automatisch het juiste beleid ontvangen zodra ze worden geregistreerd in Intune. Daarnaast moet er monitoring plaatsvinden van uitzonderingen op het beleid, waarbij wordt gecontroleerd of uitzonderingen nog steeds gerechtvaardigd zijn en of ze niet worden misbruikt. Het is belangrijk om regelmatig compliance-rapporten te genereren voor management en auditdoeleinden, waarbij wordt gedocumenteerd welk percentage van de apparaten voldoet aan het beleid en welke acties zijn ondernomen om niet-naleving te adresseren. De monitoring moet ook proactief zijn, waarbij automatische waarschuwingen worden geconfigureerd voor apparaten die niet voldoen aan het beleid of voor situaties waarin de configuratie onverwacht wordt gewijzigd. Deze waarschuwingen kunnen worden geïntegreerd in bestaande IT-service management tools of security operations centers om snelle respons mogelijk te maken. Tot slot moet de monitoring worden ondersteund door duidelijke procedures voor het escaleren van niet-naleving en het documenteren van corrigerende maatregelen.
Gebruik PowerShell-script allow-location-is-set-to-force-location-off.ps1 (functie Invoke-Monitoring) – Controleren.
Remediatie
Wanneer monitoring aangeeft dat apparaten niet voldoen aan het 'Allow Location Is Set To Force Location Off' beleid, moet er een gestructureerd remediatieproces worden gevolgd om de configuratie te herstellen. Het remediatieproces begint met het identificeren van de oorzaak van de niet-naleving, waarbij verschillende scenario's mogelijk zijn. Apparaten kunnen het beleid niet hebben ontvangen vanwege communicatieproblemen met de Intune-service, waardoor de configuratie niet is toegepast. In dit geval moet eerst de verbinding tussen het apparaat en Intune worden geverifieerd, waarna het apparaat handmatig kan worden gesynchroniseerd om het beleid opnieuw te ontvangen. Een andere mogelijke oorzaak is dat het apparaat niet is toegewezen aan de juiste groep of dat er een conflict is met een ander beleid dat de instelling overschrijft. In dit geval moet de beleidstoewijzing worden gecontroleerd en eventuele conflicterende beleidsregels moeten worden geïdentificeerd en opgelost. Voor apparaten waar de configuratie handmatig is gewijzigd door een gebruiker met lokale beheerdersrechten, moet de remediatie worden gecombineerd met een herziening van de toegangsrechten en mogelijk met gebruikerseducatie over het belang van het naleven van beveiligingsbeleid. Geautomatiseerde remediatie kan worden geïmplementeerd met behulp van Intune Proactive Remediation scripts die automatisch de configuratie controleren en herstellen wanneer afwijkingen worden gedetecteerd. Deze scripts kunnen worden geconfigureerd om periodiek te draaien, bijvoorbeeld dagelijks of wekelijks, en kunnen automatisch corrigerende acties uitvoeren zonder tussenkomst van IT-personeel. Voor kritieke niet-naleving moet er een escalatieproces zijn waarbij apparaten die herhaaldelijk niet voldoen aan het beleid worden geïdentificeerd en waarbij er actie wordt ondernomen, zoals het tijdelijk blokkeren van toegang tot bedrijfsresources totdat de configuratie is hersteld. Het remediatieproces moet worden gedocumenteerd, waarbij wordt bijgehouden welke apparaten niet voldeden, wat de oorzaak was, welke acties zijn ondernomen en hoe lang het duurde om de configuratie te herstellen. Deze documentatie is belangrijk voor auditdoeleinden en voor het verbeteren van het proces op basis van geleerde lessen. Daarnaast moet er een feedbackloop zijn waarbij informatie over veelvoorkomende oorzaken van niet-naleving wordt gebruikt om het beleid of de implementatie te verbeteren, bijvoorbeeld door aanvullende gebruikersvoorlichting of door het aanpassen van beleidstoewijzingen.
Gebruik PowerShell-script allow-location-is-set-to-force-location-off.ps1 (functie Invoke-Remediation) – Herstellen.
Compliance en Auditing
De implementatie van de 'Allow Location Is Set To Force Location Off' instelling draagt bij aan de naleving van verschillende privacy- en beveiligingsstandaarden die relevant zijn voor Nederlandse overheidsorganisaties. Vanuit het perspectief van de Algemene Verordening Gegevensbescherming (AVG) helpt het uitschakelen van locatiediensten bij het naleven van het principe van gegevensminimalisatie, waarbij alleen die gegevens worden verzameld die strikt noodzakelijk zijn voor het uitvoeren van de taak. Locatiegegevens worden beschouwd als persoonsgegevens onder de AVG, en door deze diensten standaard uit te schakelen, beperkt de organisatie het risico op onbedoelde verzameling van locatiegegevens zonder expliciete toestemming van de betrokkene. Voor de BIO Baseline Informatiebeveiliging Overheid is deze instelling relevant voor verschillende beheersmaatregelen, met name op het gebied van privacybescherming en het beperken van datalekken. Door locatiediensten uit te schakelen, wordt voorkomen dat applicaties of diensten onbedoeld locatiegegevens verzamelen die mogelijk kunnen worden geëxploiteerd door kwaadwillenden of die kunnen leiden tot privacyinbreuken. De ISO 27001:2022 standaard vereist dat organisaties passende technische en organisatorische maatregelen nemen om persoonsgegevens te beschermen, en het uitschakelen van onnodige datacollectie diensten zoals locatietracking vormt een belangrijke technische maatregel. Voor auditdoeleinden moet de organisatie kunnen aantonen dat het beleid daadwerkelijk wordt geïmplementeerd en gehandhaafd, waarbij compliance-rapporten en monitoringlogboeken dienen als bewijs van de effectieve implementatie. Deze auditdocumentatie moet worden bewaard voor de periode die is vastgesteld in het bewaarbeleid van de organisatie, typisch minimaal één jaar, en moet toegankelijk zijn voor interne en externe auditors. De organisatie moet ook kunnen aantonen dat er procedures zijn voor het beheren van uitzonderingen op het beleid en dat deze uitzonderingen worden gedocumenteerd en gerechtvaardigd. Tijdens externe audits, zoals die van de Autoriteit Persoonsgegevens of andere toezichthouders, kan worden gevraagd om bewijs te leveren van de technische maatregelen die zijn genomen om privacy te beschermen, waarbij deze configuratie-instelling een belangrijk onderdeel vormt van het totale privacybeschermingsprogramma. Het is daarom essentieel dat alle aspecten van de implementatie, monitoring en remediatie goed worden gedocumenteerd en dat deze documentatie regelmatig wordt bijgewerkt om de actualiteit te waarborgen.
Compliance & Frameworks
- CIS M365: Control 18.9.19.2 (L1) - CIS Security Benchmark aanbevelingen
- BIO: 16.01 - BIO Baseline Informatiebeveiliging Overheid - 16.01 - Gebeurtenissen logging en audittrails
- ISO 27001:2022: A.12.4.1 - ISO 27001:2022 - Gebeurtenissen logging en audittrails
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Intune Privacy: Location Services Disabled
.DESCRIPTION
CIS - Location services moet disabled voor privacy.
.NOTES
Filename: allow-location-is-set-to-force-location-off.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Windows\LocationAndSensors\DisableLocation|Expected: 1
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\LocationAndSensors"; $RegName = "DisableLocation"; $ExpectedValue = 1
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance {
$r = [PSCustomObject]@{ScriptName = "location-disabled.ps1"; PolicyName = "Location Services"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = "Disabled"; Details = @() }; function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (Test-Path $RegPath) { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue; if ($v) { $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Location disabled" }else { $r.Details += "Location enabled" } }else { $r.Details += "Niet geconfigureerd" } }else { $r.Details += "Policy path niet gevonden" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r
}
function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Location services disabled" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
High: Zonder deze instelling kunnen locatiediensten worden ingeschakeld, wat privacyrisico's oplevert en kan leiden tot onbedoelde verzameling van locatiegegevens.
Management Samenvatting
Schakel locatiediensten uit via Intune-beleid om privacyrisico's te beperken en te voldoen aan AVG-vereisten.
- Implementatietijd: 0 uur
- FTE required: 0.1 FTE