💼 Management Samenvatting
Deze beveiligingsmaatregel richt zich op het beheersen van het netwerkgebruik dat wordt veroorzaakt door systeem- en applicatiemeldingen op Windows-endpoints. In moderne Windows-omgevingen genereren applicaties, achtergrondservices en het besturingssysteem voortdurend meldingen die gegevens kunnen versturen of ophalen via het netwerk. Zonder duidelijke beleidsafspraken kan dit leiden tot ongecontroleerd dataverkeer, mogelijke blootstelling van gevoelige informatie en onnodige telemetrie richting externe diensten.
Aanbeveling
Implementeren
Risico zonder
High
Risk Score
7/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Windows
Binnen een overheidsorganisatie is transparantie over netwerkverkeer essentieel, zeker wanneer dat verkeer wordt gegenereerd door notificaties die voor de eindgebruiker vaak onzichtbaar zijn. Onbeperkt of slecht geconfigureerd meldingsverkeer kan ertoe leiden dat metadata over gebruikers, apparaten, gebruikte applicaties of gedragspatronen buiten de organisatie terechtkomt. Daarnaast kunnen meldingen extra aanvalsmogelijkheden creëren, bijvoorbeeld wanneer via notificatiekanalen koppelingen naar externe inhoud, scripts of diensten worden aangeboden. Door het netwerkgebruik van meldingen centraal en gestandaardiseerd via Microsoft Intune te beheren, zorgt de organisatie ervoor dat alleen noodzakelijk verkeer is toegestaan, dat dataverzameling is beperkt tot het minimale en dat de configuratie aansluit bij zowel de Windows security baseline als de Nederlandse privacy- en beveiligingseisen.
PowerShell Modules Vereist
Primary API: Graph
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
Deze instelling configureert het netwerkgebruik van meldingen via Microsoft Intune apparaatconfiguratiebeleid of compliance policies. Concreet betekent dit dat u beleid opstelt waarmee wordt bepaald welke typen meldingen netwerktoegang mogen gebruiken, onder welke voorwaarden dit is toegestaan en hoe logging en monitoring rondom dit verkeer worden ingericht. Het doel is om Windows-endpoints volgens vastgestelde beveiligings- en privacyrichtlijnen te laten functioneren: meldingen blijven beschikbaar voor gebruikers waar nodig, maar het onderliggende netwerkverkeer wordt strikt gecontroleerd, gelogd en periodiek geëvalueerd. Daarmee sluit de organisatie aan bij security best practices en waarborgt zij dat meldingsverkeer geen blinde vlek vormt in het beveiligings- en privacybeleid.
Vereisten
Voor het effectief beheren van netwerkgebruik door meldingen in een Windows-omgeving zijn enkele organisatorische, technische en procesmatige randvoorwaarden noodzakelijk. Allereerst moet de organisatie beschikken over een werkende Microsoft Intune-omgeving die is gekoppeld aan de betreffende Microsoft 365-tenant. Apparaten die onder dit beleid vallen, moeten zijn geregistreerd als beheerde Windows-apparaten (bijvoorbeeld als Azure AD-joined of hybride joined devices) en consequent worden beheerd via Intune. Zonder centraal beheer is het niet mogelijk om uniforme configuraties af te dwingen of afwijkingen betrouwbaar te signaleren. Daarnaast is een actuele en gedragen set beveiligings- en privacyrichtlijnen nodig waarin is vastgelegd hoe de organisatie omgaat met telemetry, diagnostische gegevens en applicatiecommunicatie. Deze beleidsdocumenten vormen de basis voor concrete instellingen in Intune: welke soorten meldingen zijn toegestaan, welke diensten of eindpunten mogen worden benaderd en welke gegevens mogen daarbij worden verstuurd. Betrek hierbij de CISO, privacy officer, functionaris gegevensbescherming en vertegenwoordigers van de beheerteams, zodat zowel juridische als technische randvoorwaarden in balans zijn. Aan de technische kant is het van belang dat de netwerk- en beveiligingsinfrastructuur geschikt is om het effect van de configuratie ook daadwerkelijk te monitoren en te handhaven. Denk aan een goed ingerichte firewall- of proxyarchitectuur, logging via bijvoorbeeld Microsoft Defender for Endpoint of andere SIEM-oplossingen, en duidelijke afspraken over het bewaren en analyseren van loggegevens. Verder moeten beheerders beschikken over passende rollen in Intune en eventueel in Microsoft Graph om configuraties te kunnen uitrollen, bij te werken en te controleren. Tot slot is bewustwording bij eindgebruikers van belang: zij moeten begrijpen waarom bepaalde meldingen mogelijk anders werken dan in een onbeheerde omgeving, en hoe zij eventuele problemen kunnen melden via de reguliere servicedesk- of supportprocessen.
Implementatie
De implementatie van gecontroleerd netwerkgebruik voor meldingen begint met een zorgvuldig ontwerp van het Intune-beleid. Start met een inventarisatie van de typen meldingen die in de organisatie een rol spelen: systeemmeldingen van Windows zelf, meldingen van kernapplicaties die door de organisatie worden ondersteund en meldingen van aanvullende tools zoals beveiligingsproducten. Vervolgens bepaalt u welke van deze meldingen daadwerkelijk netwerktoegang nodig hebben om hun functie te vervullen, bijvoorbeeld voor het ophalen van beleidsupdates, het doorgeven van statusinformatie of het tonen van relevante waarschuwingen. Meldingen die uitsluitend lokaal functioneren, zouden in principe geen netwerktoegang nodig moeten hebben. Op basis van deze analyse maakt u in Microsoft Intune een of meerdere configuratieprofielen voor Windows, afgestemd op de rol van het apparaat en de gevoeligheid van de verwerkte gegevens. In deze profielen configureert u instellingen die het gedrag van meldingen met betrekking tot netwerkcommunicatie bepalen. Waar mogelijk beperkt u het verkeer tot specifieke, vertrouwde eindpunten en past u het principe van minimale gegevensverwerking toe: alleen de strikt noodzakelijke gegevens worden verzonden. Door gebruik te maken van device configuration policies en, indien relevant, compliance policies, kunt u ervoor zorgen dat apparaten die niet aan de vereisten voldoen, worden gesignaleerd en eventueel beperkt in hun toegang tot bedrijfsbronnen. Tijdens de implementatie werkt u nauw samen met de netwerk- en securityteams om te verifiëren dat de beleidsinstellingen aansluiten op bestaande firewall-, proxy- en monitoringconfiguraties. Test het beleid eerst op een beperkt aantal pilotapparaten uit verschillende organisatieonderdelen. Verzamel feedback van beheerders en eindgebruikers over de impact op functionaliteit en gebruikservaring. Pas het beleid vervolgens iteratief aan totdat er een goede balans is gevonden tussen privacy, beveiliging en werkbaarheid. Documenteer ten slotte de gekozen instellingen, de bijbehorende achterliggende overwegingen en de stappen die nodig zijn om het beleid te beheren, zodat overdracht naar beheer- en auditteams soepel kan verlopen.
Gebruik PowerShell-script notification-network-usage.ps1 (functie Invoke-Monitoring) – Gebruik dit script om de actuele configuratie van netwerkgebruik door meldingen op beheerde Windows-apparaten uit te lezen en te vergelijken met de beoogde Intune-instellingen. Het script kan worden ingezet in pilots of periodieke controles om te verifiëren of apparaten nog voldoen aan het vastgestelde beleid en om afwijkingen vroegtijdig te signaleren..
monitoring
Monitoring van netwerkgebruik door meldingen is cruciaal om te kunnen beoordelen of het ingestelde beleid in de praktijk werkt en of er zich afwijkingen of risico's voordoen. Begin met het definiëren van een helder doel voor monitoring: wilt u vooral naleving van het beleid aantonen, afwijkend gedrag detecteren of trends in dataverkeer analyseren? Op basis van dit doel bepaalt u welke logbronnen nodig zijn, zoals Windows-eventlogs, Intune-rapportages, Defender for Endpoint-signalen of netwerklogs uit firewall- of proxyoplossingen. Zorg ervoor dat deze logbronnen centraal beschikbaar zijn in een SIEM- of loggingplatform, zodat correlatie tussen meldingsactiviteit en ander beveiligings- of netwerkgedrag mogelijk wordt. Stel vervolgens drempels en detectieregels vast. Denk aan meldingen wanneer bepaalde apparaten structureel meer netwerkverkeer genereren via meldingskanalen dan vergelijkbare apparaten, wanneer verkeer wordt opgebouwd naar niet-geautoriseerde eindpunten of wanneer nieuwe applicaties onverwachts notificatieverkeer naar internet initiëren. Combineer kwantitatieve indicatoren (bijvoorbeeld volumetoename, aantal verbindingen, tijdsduur) met kwalitatieve beoordeling door analisten, zodat zowel bekende patronen als nieuwe of subtiele afwijkingen aan het licht kunnen komen. Leg vast hoe vaak rapportages worden beoordeeld, wie verantwoordelijk is voor opvolging en hoe bevindingen worden teruggekoppeld naar de beheer- en beleidsprocessen. Belangrijk is dat monitoring niet uitsluitend als technische controle wordt gezien, maar ook als input voor continue verbetering van beleid en configuraties. Wanneer uit analyses blijkt dat bepaald meldingsverkeer structureel geen toegevoegde waarde heeft, kan het beleid worden aangescherpt om dit verkeer te blokkeren of te beperken. Omgekeerd kan worden besloten bepaald verkeer juist toe te staan wanneer blijkt dat dit noodzakelijk is voor bedrijfsprocessen en de privacyrisico's aanvaardbaar zijn. Documenteer wijzigingen zorgvuldig en zorg dat bevindingen beschikbaar zijn voor audits en voor periodieke reviews van de Nederlandse Baseline voor Veilige Cloud binnen de organisatie.
Gebruik PowerShell-script notification-network-usage.ps1 (functie Invoke-Monitoring) – Gebruik dit script als geautomatiseerd controlemiddel binnen monitoringprocessen om configuratiegegevens op te halen, te correleren met logging en waar nodig afwijkingen te rapporteren aan beheerders of security-analisten..
Remediatie
Wanneer uit monitoring of audits blijkt dat netwerkgebruik door meldingen niet in lijn is met het vastgestelde beleid, moet de organisatie snel en gecontroleerd kunnen ingrijpen. Remediatie begint met een duidelijke classificatie van bevindingen: gaat het om individuele apparaten met een tijdelijke afwijking, om structurele misconfiguraties in een bepaald profiel of om een fundamentele beleidsfout die een bredere groep apparaten raakt? Op basis van deze classificatie wordt bepaald welke herstelacties nodig zijn en in welke volgorde deze worden uitgevoerd. Hierbij is het belangrijk om zowel de technische impact als de impact op gebruikers en bedrijfsprocessen mee te wegen. Technische remediatie kan bestaan uit het opnieuw toepassen van het juiste Intune-profiel, het bijwerken van configuratie-instellingen, het verwijderen of aanpassen van applicaties die ongewenst meldingsverkeer genereren of het tijdelijk beperken van netwerktoegang totdat de oorzaak is weggenomen. In gevoelige omgevingen, bijvoorbeeld waar bijzondere persoonsgegevens worden verwerkt of waar kritieke bedrijfsprocessen lopen, kan het noodzakelijk zijn om extra controlemechanismen in te bouwen, zoals handmatige goedkeuring van wijzigingen of versnelde reviews door de CISO en privacy officer. Documenteer in alle gevallen welke maatregelen zijn genomen, op welke apparaten of apparaatgroepen deze zijn toegepast en welk resultaat is bereikt. Remediatie is niet alleen een technische handeling, maar ook een leermoment voor de organisatie. Analyseer iedere afwijking om te begrijpen hoe deze heeft kunnen ontstaan: was het beleid onvoldoende duidelijk, waren beheerprocedures niet volledig, ontbrak er training bij beheerders of is er sprake van onverwacht gedrag in software of updates? Verwerk deze lessen in verbeterde processen, aangepaste documentatie en waar nodig aanvullende controles. Door remediatie te zien als onderdeel van een gesloten verbetercyclus (plan–do–check–act) versterkt de organisatie stap voor stap de beheersing van netwerkgebruik door meldingen en draagt zij bij aan de bredere doelen van de Nederlandse Baseline voor Veilige Cloud.
Gebruik PowerShell-script notification-network-usage.ps1 (functie Invoke-Remediation) – Gebruik dit script om geconstateerde afwijkingen in de configuratie van netwerkgebruik door meldingen geautomatiseerd te herstellen naar de gewenste standaard zoals vastgelegd in het Intune-beleid..
Compliance en Auditing
Voor Nederlandse overheidsorganisaties is aantoonbare naleving van informatiebeveiligings- en privacykaders een harde eis. Het gecontroleerd beheren van netwerkgebruik door meldingen levert hier een belangrijke bijdrage aan. Vanuit het perspectief van de BIO en ISO 27001 sluit deze maatregel aan bij de eisen rond logging, controle op communicatiekanalen en het beperken van onnodige gegevensuitwisseling. Door duidelijk vast te leggen hoe meldingsverkeer wordt ingericht, welke eindpunten worden toegestaan en hoe logging wordt georganiseerd, kan de organisatie richting auditors laten zien dat netwerkgedrag van Windows-apparaten geen ongereguleerde ruimte is, maar onderdeel van een beheerst beveiligingsdomein. In audits wordt vaak gevraagd naar de onderbouwing van gemaakte keuzes: waarom is bepaald meldingsverkeer wel toegestaan en ander verkeer niet, hoe wordt geborgd dat beleid up-to-date blijft en op welke wijze worden incidenten en afwijkingen geregistreerd en opgevolgd? Door het beleid rondom netwerkgebruik door meldingen te koppelen aan formele beleidsdocumenten, risicobeoordelingen en change- en incidentprocessen, ontstaat een consistent en herleidbaar geheel. Leg bijvoorbeeld vast dat wijzigingen in Intune-profielen altijd worden voorzien van een change-registratie, dat monitoringrapportages periodiek worden besproken in een overleg met security- en privacyvertegenwoordigers en dat bevindingen uit audits structureel leiden tot verbeteracties. Daarnaast speelt transparantie naar betrokkenen een rol. Hoewel het hier vooral gaat om technische meldingen, kunnen deze indirect iets zeggen over het gebruik van systemen door medewerkers. Zorg er daarom voor dat de verwerking van eventuele persoonsgegevens die via meldingsverkeer of logging worden vastgelegd, is meegenomen in verwerkingsregisters, DPIA's en privacyverklaringen. Hiermee kan de organisatie aantonen dat zij zorgvuldig omgaat met zowel beveiliging als privacy en dat de inrichting van netwerkgebruik door meldingen niet op zichzelf staat, maar onderdeel vormt van een integraal stelsel van maatregelen binnen de Nederlandse Baseline voor Veilige Cloud.
Compliance & Frameworks
- CIS M365: Control 18.9.19.2 (L1) - CIS Security Benchmark aanbevelingen
- BIO: 16.01 - BIO Baseline Informatiebeveiliging Overheid - 16.01 - Gebeurtenissen logging en audittrails
- ISO 27001:2022: A.12.4.1 - ISO 27001:2022 - Gebeurtenissen logging en audittrails
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Intune Privacy: Notification Network Usage
.DESCRIPTION
CIS - Notification network usage moet beperkt voor privacy.
.NOTES
Filename: notification-network-usage.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\PushNotifications\NoCloudApplicationNotification|Expected: 1
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\PushNotifications"; $RegName = "NoCloudApplicationNotification"; $ExpectedValue = 1
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance {
$r = [PSCustomObject]@{ScriptName = "notification-network.ps1"; PolicyName = "Push Notifications"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = "Disabled"; Details = @() }; function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (Test-Path $RegPath) { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue; if ($v) { $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Cloud notifications disabled" }else { $r.Details += "Cloud notifications enabled" } }else { $r.IsCompliant = $true; $r.Details += "Default" } }else { $r.IsCompliant = $true; $r.Details += "Default" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r
}
function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Cloud notifications disabled" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
High: Zonder beleid voor netwerkgebruik door meldingen ontstaat ongecontroleerd dataverkeer, is het lastig om privacy- en beveiligingsrisico's te beoordelen en kan de organisatie geen aantoonbare naleving tonen van relevante normen en richtlijnen.
Management Samenvatting
Beperk en beheer netwerkverkeer dat door Windows-meldingen wordt veroorzaakt via centraal Intune-beleid, zodat privacy, beveiliging en compliance geborgd zijn.
- Implementatietijd: 2 uur
- FTE required: 0.01 FTE