Privacy
Camera Toegang Geblokkeerd Op Windows Endpoints
Het blokkeren van camera toegang op Windows endpoints vormt een essentiële beveiligingsmaatregel binnen de Nederlandse Baseline voor Veilige Cloud. Deze configuratie voorkomt onbevoegde toegang tot beeldmateriaal en beschermt de privacy van medewerkers en organisatiegevoelige informatie.
Locatiediensten Uitschakelen Via Intune
Deze beveiligingsregel waarborgt de correcte configuratie van privacy-instellingen voor locatiediensten op Windows endpoints.
Zoekfunctie Locatiegebruik Blokkeren
Deze beveiligingsregel waarborgt de correcte configuratie van privacy-instellingen op Windows endpoints door te voorkomen dat de zoekfunctie locatiegegevens kan gebruiken.
Telemetrie Ingesteld Op Basisniveau
Deze beveiligingsregel waarborgt de correcte configuratie van telemetrie-instellingen op Windows endpoints om privacy te beschermen en datalekken te voorkomen.
App-privacy: Reclame-ID Uitgeschakeld
Deze beveiligingsregel waarborgt de correcte configuratie van privacy-instellingen voor reclame-identificatie op Windows endpoints om privacy te beschermen en ongewenste tracking te voorkomen.
Biometrische Gezichtskenmerken
Biometrische gezichtsherkenning vormt een kritieke privacy- en beveiligingscomponent in moderne Windows-omgevingen. Deze beveiligingsmaatregel waarborgt de correcte configuratie van biometrische gezichtskenmerken op Windows endpoints, waarbij de privacy van gebruikers wordt beschermd en onbevoegde toegang wordt voorkomen.
Camera Disabled
Deze maatregel zorgt ervoor dat de camera op beheerde Windows‑apparaten standaard wordt uitgeschakeld, zodat organisaties privacygevoelige beelddata beter kunnen beschermen en het aanvalsvlak voor misbruik van de webcam minimaliseren.
Cloud Content Disabled
Deze beveiligingsmaatregel zorgt ervoor dat Windows-eindpunten binnen de organisatie op een beheersbare en voorspelbare manier met cloudinhoud omgaan. In plaats van dat individuele gebruikers of applicaties ongecontroleerd verbinding maken met cloudbronnen, wordt centraal vastgelegd welke functionaliteit is toegestaan en welke expliciet moet worden uitgeschakeld. Dit is met name relevant in omgevingen waar gevoelige of vertrouwelijke informatie wordt verwerkt en waar het risico bestaat dat gegevens onbedoeld naar externe clouddiensten worden gelekt. Door deze instelling consequent toe te passen, ontstaat een uniform beveiligingsniveau voor alle beheerde apparaten en wordt voorkomen dat losse uitzonderingen of ad-hocconfiguraties de totale beveiligingsarchitectuur ondermijnen.
Cortana Disabled
Deze maatregel zorgt ervoor dat Cortana als persoonlijke assistent op Windows endpoints volledig wordt uitgeschakeld, zodat gevoelige organisatie- en gebruikersgegevens niet onnodig worden verzameld, verwerkt of naar externe clouddiensten worden verstuurd. Door Cortana systematisch te deactiveren wordt het aanvalsoppervlak verkleind en wordt beter voldaan aan de eisen rond gegevensminimalisatie en privacybescherming binnen Nederlandse overheidsorganisaties.
Geolocatieservice (lfsvc) Uitschakelen In Windows Via Intune
Deze beveiligingsmaatregel zorgt ervoor dat de geolocatieservice op Windows-eindpunten op een gecontroleerde en privacyvriendelijke manier wordt uitgeschakeld. Door dit centraal via Microsoft Intune te beheren, voorkom je dat afzonderlijke apparaten eigen, afwijkende instellingen hanteren die mogelijk gevoelige locatiegegevens prijsgeven.
Hardened UNC-paden Met Wederzijdse Verificatie, Integriteit En Vertrouwelijkheid Voor Alle Netlogon- En SYSVOL-shares
Deze beveiligingsmaatregel zorgt ervoor dat Windows-eindpunten op een gecontroleerde en uniforme manier omgaan met toegang tot Netlogon- en SYSVOL-shares. Door zogenaamde "hardened UNC-paths" af te dwingen, wordt voorkomen dat verouderde of onbeveiligde protocollen worden gebruikt wanneer domeincontrollers worden benaderd. Dit verkleint direct het risico op misbruik van authenticatie, manipulatie van groepsbeleidsobjecten en ongeautoriseerde wijzigingen in domeinbrede configuraties.
Location Services Disabled
Deze maatregel beschrijft hoe een organisatie locatiediensten op Windows‑apparaten centraal uitschakelt via Microsoft Intune, zodat persoonsgegevens over de fysieke locatie van gebruikers niet onnodig worden verzameld of verwerkt. Door locatiedata standaard te blokkeren ontstaat een voorspelbare, privacyvriendelijke en beter beheersbare configuratie voor alle beheerde eindpunten.
Netwerkgebruik Door Meldingen Op Windows-apparaten
Deze beveiligingsmaatregel richt zich op het beheersen van het netwerkgebruik dat wordt veroorzaakt door systeem- en applicatiemeldingen op Windows-endpoints. In moderne Windows-omgevingen genereren applicaties, achtergrondservices en het besturingssysteem voortdurend meldingen die gegevens kunnen versturen of ophalen via het netwerk. Zonder duidelijke beleidsafspraken kan dit leiden tot ongecontroleerd dataverkeer, mogelijke blootstelling van gevoelige informatie en onnodige telemetrie richting externe diensten.
Voorkom Inschakelen Van Cameragebruik Op Het Vergrendelscherm
Deze configuratie-instelling zorgt ervoor dat de camera niet kan worden gebruikt op het Windows-vergrendelscherm. Daarmee wordt een veelvoorkomende maar vaak onderschatte privacy- en beveiligingsrisico weggenomen, omdat onbevoegde personen geen beeld kunnen krijgen van de directe omgeving van een werkplek zodra een apparaat vergrendeld is. Door dit centraal te beheren via Microsoft Intune ontstaat een consistente, aantoonbare implementatie over alle beheerde Windows endpoints binnen de organisatie.
Domeingebruikers Verplicht Verhogen Bij Het Wijzigen Van De Netwerklocatie
Deze beveiligingsinstelling zorgt ervoor dat alleen geautoriseerde en verhoogde (administrator)accounts de netwerklocatie van een Windows‑apparaat kunnen wijzigen. Daarmee wordt voorkomen dat gewone domeingebruikers de classificatie van een netwerk – bijvoorbeeld van "openbaar" naar "privé" – zelfstandig aanpassen en zo onbedoeld een zwakker beveiligingsprofiel activeren.
Suggesties Uitgeschakeld
Deze beveiligingsmaatregel richt zich op het centraal uitschakelen van Windows-suggesties op alle beheerde endpoints, zodat gebruikersinterface-elementen geen onnodige tips, aanbevelingen of gepersonaliseerde inhoud meer tonen die zijn gebaseerd op gebruikersgedrag of interactiepatronen.
Sync Settings Disabled
Deze maatregel zorgt ervoor dat synchronisatie-instellingen op Windows‑werkplekken uitsluitend centraal door de organisatie worden beheerd en niet langer door individuele gebruikers kunnen worden aangepast of omzeild. Daarmee wordt voorkomen dat persoonlijke voorkeuren, configuratie-instellingen of andere gevoelige gegevens ongemerkt tussen verschillende apparaten, gebruikersprofielen of omgevingen worden gedeeld. In plaats van een onvoorspelbare mix van persoonlijke en zakelijke synchronisatie-instellingen ontstaat een gecontroleerde, uniforme en goed te auditen basis voor alle beheerde endpoints.
Tailored Experiences Disabled
Deze beveiligingsinstelling zorgt ervoor dat zogenoemde "tailored experiences" op Windows‑apparaten worden uitgeschakeld, zodat gebruikers geen gepersonaliseerde tips, aanbevelingen en advertenties ontvangen op basis van hun diagnostische gegevens.
Telemetry Data Collection Limited
Deze beveiligingsmaatregel waarborgt dat Windows-endpoints alleen een beperkt en privacybewust niveau van telemetriegegevens naar Microsoft verzenden. Daarmee wordt onnodige blootstelling van gebruiks- en configuratiegegevens voorkomen en blijft de organisatie beter in controle over welke informatie het netwerk verlaat.
Helpbeoordelingen Uitschakelen In Windows
Deze beveiligingsmaatregel zorgt ervoor dat Windows endpoints zodanig zijn geconfigureerd dat gebruikers geen beoordelingen of feedback over de ingebouwde Help‑ en ondersteuningsfunctionaliteit kunnen versturen naar Microsoft. Door deze vorm van telemetrie in te perken, voorkomt de organisatie dat onnodige gebruiksgegevens of mogelijk gevoelige informatie buiten de eigen omgeving terechtkomen. De instelling richt zich specifiek op Windows 10 en Windows 11 apparaten die centraal worden beheerd via Microsoft Intune en maakt onderdeel uit van een bredere set privacy‑ en auditmaatregelen binnen de Nederlandse Baseline voor Veilige Cloud.
Gebruikersaccount Regelen Alleen Elevate Uiaccess Applications Die Zijn Installed In Veilige Locations Is Set To Ingeschakeld
Deze security regelen waarborgt de correcte configuratie van beveiligingsinstellingen op Windows endpoints.
Gebruikersaccountbeheer: Virtualiseren Van Bestands- En Registerschrijffouten Naar Per-gebruiker Locaties Is Ingesteld Op Ingeschakeld
Deze beveiligingsinstelling zorgt ervoor dat oudere of niet‑compatibele toepassingen geen onveilige schrijfbewerkingen kunnen uitvoeren naar systeemmappen of het register. In plaats daarvan worden mislukte schrijfpogingen automatisch gevirtualiseerd naar per‑gebruiker locaties, waardoor de stabiliteit van het systeem toeneemt en de integriteit van het besturingssysteem beter wordt beschermd. Voor beheerders binnen overheids- en grootzakelijke omgevingen is dit een essentieel fundament om Windows‑omgevingen veilig, beheersbaar en toekomstvast te houden.
Windows Spotlight Disabled
Deze maatregel schakelt Windows Spotlight en alle onderliggende content delivery onderdelen uit zodat Windows 10 en Windows 11 werkplekken geen onnodige cloudgestuurde aanbevelingen tonen.