💼 Management Samenvatting
Deze maatregel zorgt ervoor dat synchronisatie-instellingen op Windows‑werkplekken uitsluitend centraal door de organisatie worden beheerd en niet langer door individuele gebruikers kunnen worden aangepast of omzeild. Daarmee wordt voorkomen dat persoonlijke voorkeuren, configuratie-instellingen of andere gevoelige gegevens ongemerkt tussen verschillende apparaten, gebruikersprofielen of omgevingen worden gedeeld. In plaats van een onvoorspelbare mix van persoonlijke en zakelijke synchronisatie-instellingen ontstaat een gecontroleerde, uniforme en goed te auditen basis voor alle beheerde endpoints.
Aanbeveling
IMPLEMENTEREN
Risico zonder
High
Risk Score
7/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Windows
Voor Nederlandse overheidsorganisaties is grip op gegevensstromen en apparaatconfiguraties essentieel. Wanneer gebruikers zelf kunnen bepalen welke onderdelen van hun profiel – zoals browserinstellingen, wachtwoorden, bureaubladconfiguraties of applicatievoorkeuren – worden gesynchroniseerd met persoonlijke of externe accounts, ontstaat al snel een situatie waarin niet meer duidelijk is waar gegevens zich bevinden en wie er toegang toe heeft. Dit raakt direct aan wettelijke verplichtingen vanuit onder meer de AVG en de BIO, maar ook aan interne kaders zoals de Nederlandse Baseline voor Veilige Cloud. Door synchronisatie-instellingen centraal te beheren en gebruikers niet toe te staan om deze zelfstandig aan of uit te zetten, wordt het risico op ongecontroleerde gegevensuitwisseling fors verkleind. Gevoelige configuraties blijven binnen het beheer van de organisatie, er ontstaat minder afhankelijkheid van persoonlijke Microsoft‑accounts en het wordt eenvoudiger om aan te tonen dat werkplekken daadwerkelijk in de bedoelde, beveiligde staat verkeren. Bovendien wordt daarmee voorkomen dat gebruikers – vaak uit gemak of onwetendheid – instellingen kiezen die handig lijken, maar niet passen binnen het vastgestelde beveiligingsbeleid.
PowerShell Modules Vereist
Primary API: Graph
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
Met deze configuratie worden Windows‑apparaten via Microsoft Intune zo ingericht dat gebruikers gestuurde synchronisatie van instellingen is uitgeschakeld en alleen nog centraal vastgesteld beleid wordt toegepast. De organisatie bepaalt op centraal niveau welke typen instellingen wel of niet worden gesynchroniseerd, welke accounts daarvoor gebruikt mogen worden en onder welke voorwaarden hiervan mag worden afgeweken. Intune‑configuratieprofielen en compliance policies zorgen ervoor dat deze keuzes technisch worden afgedwongen en continu worden bewaakt. Concreet betekent dit dat eindgebruikers in de interface van Windows niet langer vrij kunnen schakelen met synchronisatieopties, maar dat de werkplek automatisch de door de organisatie gedefinieerde instellingen overneemt. Hierdoor ontstaat een consistente configuratie over alle beheerde endpoints heen, wordt het beheer eenvoudiger schaalbaar en kan in audits nauwkeurig worden aangetoond welke instellingen op welk moment van kracht waren. Deze aanpak sluit direct aan bij het principe van centrale regie op cloud‑ en werkplekomgevingen zoals beoogd in de Nederlandse Baseline voor Veilige Cloud.
Vereisten
Voor het veilig uitschakelen en centraal beheren van synchronisatie‑instellingen zijn duidelijke technische fundamenten én een volwassen beheerorganisatie noodzakelijk. De basis begint bij een goed ingerichte Microsoft Intune‑omgeving waarin alle relevante Windows‑apparaten als beheerde devices zijn opgenomen. Apparaten moeten zijn ingeschreven in Intune, gekoppeld zijn aan het juiste tenant en voldoen aan de minimale randvoorwaarden, zoals een ondersteunde Windows‑versie, correcte tijd‑ en datuminstellingen en bereikbaarheid van de benodigde Microsoft cloud‑endpoints. Zonder deze randvoorwaarden bestaat het risico dat configuratieprofielen niet betrouwbaar worden toegepast en dat de organisatie slechts een schijnzekerheid heeft over de werkelijke status van endpoints. Daarnaast moeten er expliciete beleidskeuzes zijn gemaakt over het gebruik van accounts en profielen op werkplekken. Een belangrijke vraag is in hoeverre persoonlijke Microsoft‑accounts op overheidssystemen zijn toegestaan en welke rol zij mogen spelen bij synchronisatie. In veel omgevingen wordt ervoor gekozen om uitsluitend organisatieaccounts toe te staan en persoonlijke accounts te blokkeren of sterk te beperken. Ook moet worden bepaald of functionaliteiten zoals het synchroniseren van thema’s, browserfavorieten, wachtwoorden, taalinstellingen of toegankelijkheidsopties noodzakelijk zijn voor het werkproces, of dat deze vanuit privacy‑ en beveiligingsperspectief liever worden uitgeschakeld. Deze technische en functionele keuzes moeten worden verankerd in een normenkader of baseline voor werkplekbeveiliging. De instelling om synchronisatie uit te schakelen is geen op zichzelf staande maatregel, maar maakt deel uit van een bredere set aan maatregelen op het gebied van gegevensbescherming, identiteits- en toegangsbeheer en endpoint‑hardening. Het is daarom raadzaam deze maatregel expliciet te beschrijven in het informatiebeveiligingsbeleid, in architectuurdocumenten en in operationele richtlijnen voor werkplekbeheer. Daarbij hoort ook het vastleggen van de relatie met andere maatregelen, zoals het verbieden van lokale administratieve accounts of het afdwingen van BitLocker‑versleuteling. Een ander cruciaal vereiste is een duidelijke governance‑structuur rond het beheer van Intune‑beleid. Rollen en verantwoordelijkheden tussen functioneel beheerders, technisch beheerders, security officers en privacy officers moeten helder zijn vastgelegd. Wijzigingen in synchronisatiebeleid horen via formele change‑processen te verlopen, inclusief risicobeoordeling, teststappen en goedkeuring door de juiste besluitvormingsorganen. Hiermee wordt voorkomen dat individuele beheerders op eigen initiatief instellingen aanpassen die grote impact kunnen hebben op privacy en compliance. Tot slot vormt communicatie richting eindgebruikers een sleutelvoorwaarde voor succesvolle implementatie. Medewerkers moeten tijdig en in begrijpelijke taal worden geïnformeerd over wat er verandert, waarom bepaalde synchronisatiefuncties worden beperkt en hoe dit bijdraagt aan de bescherming van overheidsinformatie en persoonsgegevens. Door heldere instructies te geven, alternatieven aan te reiken – bijvoorbeeld het gebruik van goedgekeurde samenwerkings- en opslagvoorzieningen – en vragen actief te beantwoorden, wordt draagvlak gecreëerd. Zo wordt de maatregel niet ervaren als een onbegrijpelijke beperking, maar als een logisch onderdeel van professioneel en veilig werken in lijn met de Nederlandse Baseline voor Veilige Cloud.
Implementatie
Gebruik PowerShell-script sync-settings-disabled.ps1 (functie Invoke-Monitoring) – Monitoren.
monitoring
Gebruik PowerShell-script sync-settings-disabled.ps1 (functie Invoke-Monitoring) – Controleren.
Remediatie
Gebruik PowerShell-script sync-settings-disabled.ps1 (functie Invoke-Remediation) – Herstellen.
Compliance en Auditing
Het uitschakelen en centraal beheren van synchronisatie‑instellingen draagt rechtstreeks bij aan het voldoen aan wettelijke en normatieve eisen rondom gegevensbescherming en informatiebeveiliging. Binnen de Nederlandse publieke sector sluit deze maatregel onder meer aan bij de Baseline Informatiebeveiliging Overheid (BIO), de Algemene Verordening Gegevensbescherming (AVG) en interne kaders voor veilig cloudgebruik. Door gebruikers niet zelf te laten bepalen welke gegevens en instellingen worden gesynchroniseerd, kan de organisatie het principe van dataminimalisatie beter borgen en aantonen dat onbeheersbare gegevensstromen naar persoonlijke of externe omgevingen actief worden beperkt. Voor auditors en toezichthouders is vooral de aantoonbaarheid van de gekozen inrichting van belang. Het beleid dat via Intune wordt afgedwongen, moet daarom helder zijn vastgelegd: welke profielen schakelen welke synchronisatiefuncties uit, op welke doelgroep is dit beleid van toepassing en welke uitzonderingen zijn expliciet toegestaan. Door versiebeheer toe te passen op Intune‑configuratieprofielen en change‑documentatie te koppelen aan formele besluitvorming, kan in een audittraject worden gereconstrueerd welke instellingen op welk moment golden. Dit ondersteunt zowel interne audits als externe onderzoeken door bijvoorbeeld de Auditdienst Rijk of privacy‑toezichthouders. Een tweede belangrijk aspect betreft monitoring en rapportage. De organisatie moet kunnen laten zien dat het beleid niet alleen op papier bestaat, maar ook daadwerkelijk is uitgerold en nageleefd wordt. Periodieke rapportages uit Intune – bijvoorbeeld over de nalevingsstatus van compliance policies of de uitrol van configuratieprofielen – maken inzichtelijk welke apparaten het beleid succesvol hebben ontvangen en waar afwijkingen bestaan. Voor ieder apparaat dat niet voldoet, kan in een afwijkingsrapportage worden vastgelegd wat de oorzaak is, welke tijdelijke maatregelen zijn genomen en binnen welke termijn herstel wordt verwacht. Dit sluit aan bij het BIO‑vereiste om de effectiviteit van maatregelen continu te evalueren. Vanuit AVG‑perspectief is het relevant dat de organisatie kan aantonen dat synchronisatie naar persoonlijke of externe accounts niet zonder voorafgaande risicobeoordeling wordt toegestaan. In het verwerkingsregister en in gegevensbeschermingseffectbeoordelingen (DPIA’s) kan worden beschreven dat voor standaardwerkplekken synchronisatie‑instellingen zijn uitgeschakeld en dat uitsluitend onder streng gereguleerde voorwaarden uitzonderingen worden toegestaan, bijvoorbeeld voor gespecialiseerde beheertools. Daarmee toont de organisatie aan dat passende technische en organisatorische maatregelen zijn genomen om ongecontroleerde verspreiding van persoonsgegevens te voorkomen. Tot slot verdient het aanbeveling om deze maatregel expliciet te positioneren binnen het bredere compliance‑ en governance‑raamwerk van de organisatie, waaronder de Nederlandse Baseline voor Veilige Cloud. Door de relatie te leggen met andere maatregelen voor endpoint‑beveiliging, identiteitsbeheer en logging ontstaat een samenhangend geheel van controles dat regelmatig wordt herzien, getest en verbeterd. Dit helpt bestuurders, CISO’s en compliance‑verantwoordelijken om in één oogopslag te zien hoe de inrichting van synchronisatie‑instellingen bijdraagt aan de totale weerbaarheid en compliancepositie van de organisatie.
Compliance & Frameworks
- CIS M365: Control 18.9.19.2 (L1) - CIS Security Benchmark aanbevelingen
- BIO: 16.01 - BIO Baseline Informatiebeveiliging Overheid - 16.01 - Gebeurtenissen logging en audittrails
- ISO 27001:2022: A.12.4.1 - ISO 27001:2022 - Gebeurtenissen logging en audittrails
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Intune Privacy: Sync Settings Disabled
.DESCRIPTION
CIS - Windows sync settings moeten disabled voor privacy.
.NOTES
Filename: sync-settings-disabled.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Windows\SettingSync\DisableSettingSync|Expected: 2
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\SettingSync"; $RegName = "DisableSettingSync"; $ExpectedValue = 2
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance {
$r = [PSCustomObject]@{ScriptName = "sync-settings-disabled.ps1"; PolicyName = "Sync Settings"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = "Disabled"; Details = @() }; function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (Test-Path $RegPath) { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue; if ($v) { $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Sync disabled" }else { $r.Details += "Sync: $($v.$RegName)" } }else { $r.Details += "Niet geconfigureerd" } }else { $r.Details += "Niet geconfigureerd" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r
}
function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Sync settings disabled" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
High: Zonder deze maatregel kunnen gebruikers ongecontroleerd instellingen en mogelijk gevoelige gegevens synchroniseren, wat leidt tot verhoogd risico op datalekken en verlies van grip op configuraties.
Management Samenvatting
Schakel gebruikersgestuurde synchronisatie-instellingen uit en beheer deze centraal via Intune om privacy en configuratie-integriteit te waarborgen.
- Implementatietijd: 2 uur
- FTE required: 0.01 FTE