💼 Management Samenvatting
Het blokkeren van Cortana op zakelijke apparaten is een gerichte en relatief eenvoudige maatregel die een groot verschil maakt voor de bescherming van privacygevoelige informatie. In veel organisaties draait Cortana nog stilletjes op de achtergrond, terwijl medewerkers zich daar nauwelijks van bewust zijn. De spraakassistent analyseert zoekopdrachten, gebruikersgedrag en inhoud van documenten om persoonlijke en contextuele aanbevelingen te doen. Voor een consumentensituatie kan dat handig zijn, maar in een professionele omgeving, en zeker binnen de overheid en kritieke sectoren, levert dit een onnodig en moeilijk te beheersen risico op. Door Cortana centraal te blokkeren via Intune wordt deze hele categorie van onnodige gegevensverwerking uitgeschakeld, zonder dat dit de productiviteit of de gebruikservaring van medewerkers aantast. De maatregel sluit bovendien naadloos aan bij Nederlandse normen en wettelijke verplichtingen, zoals de AVG en de BIO, waarin dataminimalisatie en controle over gegevensstromen centraal staan.
Aanbeveling
IMPLEMENT
Risico zonder
Low
Risk Score
3/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Windows 10
✓ Windows 11
✓ Windows 11
Cortana is ontworpen als persoonlijke digitale assistent die continu leert van het gedrag, de voorkeuren en de interacties van gebruikers. Om dit mogelijk te maken verzamelt de dienst een breed scala aan gegevens: gesproken opdrachten, zoekopdrachten, agenda-informatie, contactgegevens, inhoudsfragmenten uit documenten, locatiegegevens en gebruikspatronen binnen applicaties. Deze informatie wordt niet alleen lokaal verwerkt, maar standaard verzonden naar en opgeslagen in de Microsoft-cloud, waar geavanceerde analysetoepassingen op worden toegepast. Voor organisaties die werken met vertrouwelijke of bijzondere persoonsgegevens betekent dit dat een deel van hun informatieverwerking buiten de directe beheers- en toezichtssfeer terechtkomt. Vanuit beveiligingsperspectief creëert de altijd luisterende aard van spraakassistenten additionele aanvalsvectoren. Onbedoelde activatie kan ertoe leiden dat gesprekken of gevoelige informatie in vergaderruimtes worden vastgelegd en verwerkt, zonder dat gebruikers zich daarvan bewust zijn. Ook kan een aanvaller misbruik maken van spraakgestuurde functionaliteit om acties op een systeem uit te voeren of informatie op te vragen. Vanuit compliance-oogpunt bestaat bovendien het risico dat organisaties niet volledig kunnen aantonen welke gegevens precies zijn verzameld, hoe lang deze zijn bewaard en met welke doeleinden. Dit schuurt direct met de principes van transparantie, doelbinding en opslagbeperking uit de AVG. De BIO en sectorale kaders voor overheidsorganisaties leggen extra nadruk op het minimaliseren van onnodige functionaliteit die gegevens naar externe partijen stuurt. Voor de meeste functies binnen overheid en zakelijke instellingen is een spraakassistent geen noodzakelijke voorziening om het werk uit te voeren. Door Cortana standaard te blokkeren, verkleint de organisatie de hoeveelheid persoonsgegevens die worden verwerkt, beperkt zij het aanvalsoppervlak en maakt zij het veel eenvoudiger om bij audits aan te tonen dat privacybescherming en dataminimalisatie daadwerkelijk in de praktijk worden gebracht.
PowerShell Modules Vereist
Primary API: Microsoft Graph API
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
Het blokkeren van Cortana wordt in moderne omgevingen het meest efficiënt gerealiseerd via Microsoft Intune, gebruikmakend van de Settings Catalog. Binnen deze catalogus is een specifieke instelling beschikbaar, Allow Cortana, waarmee de beheerder centraal kan bepalen of de spraakassistent nog beschikbaar mag zijn op beheerde Windows-apparaten. Door deze instelling op Block te zetten, wordt Cortana voor alle doelapparaten uitgeschakeld. In de praktijk betekent dit dat het Cortana-pictogram verdwijnt uit de taakbalk en startmenu-ervaring, dat de spraakgestuurde functionaliteit niet langer reageert op gebruikers, en dat cloudgebaseerde diensten die door Cortana worden aangestuurd geen gegevens meer ontvangen. Belangrijk is dat deze maatregel geen negatieve impact heeft op de kernfunctionaliteit waar gebruikers dagelijks op vertrouwen. De standaard zoekfunctie van Windows, inclusief het zoeken naar lokale bestanden, applicaties, instellingen en sommige intranetkoppelingen, blijft gewoon beschikbaar. Windows Search blijft lokaal indexeren en werken zoals medewerkers gewend zijn, alleen zonder de extra laag van persoonlijke assistentie en cloudanalyse die Cortana toevoegt. Voor de organisatie betekent dit dat de balans optimaal wordt gevonden: gebruikers behouden een snelle en herkenbare zoekervaring, terwijl overbodige en risicovolle data-uitwisseling met cloudgebaseerde spraakdiensten doelbewust wordt uitgeschakeld. Door dit beleid via Intune te configureren en toe te wijzen aan relevante apparaatgroepen, wordt bovendien gegarandeerd dat de configuratie consistent, reproduceerbaar en controleerbaar is in audits en rapportages.
Vereisten en randvoorwaarden
Voor het implementeren van het Cortana-blokkadebeleid moeten organisaties beschikken over een actieve Microsoft Intune-abonnement met de benodigde licentie voor device management. Intune biedt de Settings Catalog functionaliteit die vereist is om deze beveiligingsinstelling centraal te beheren en te distribueren naar alle zakelijke Windows-apparaten binnen de organisatie. De organisatie moet tevens beschikken over de juiste administratorrechten binnen het Microsoft 365-tenant om Intune-configuratieprofielen te kunnen maken en toewijzen aan apparaten.
De apparaten zelf moeten draaien op Windows 10 of Windows 11, waarbij Cortana standaard is geïnstalleerd als onderdeel van het besturingssysteem. In moderne versies van Windows 10 en Windows 11 is Cortana geïntegreerd in de zoekfunctionaliteit, waardoor het belangrijk is dat het beleid correct wordt toegepast om te voorkomen dat gebruikers per ongeluk toegang krijgen tot Cortana-functionaliteit. Organisaties moeten er ook voor zorgen dat alle doelapparaten correct zijn geregistreerd in Intune en dat de vereiste Intune Management Extension of MDM-agent actief is om het beleid te kunnen ontvangen en toe te passen.
Technisch gezien vereist deze configuratie geen aanvullende hardware of software-investeringen, aangezien het volledig via Intune wordt beheerd. De organisatie moet echter wel beschikken over IT-personeel met kennis van Intune-beheer en Windows-beleidsconfiguratie. Bovendien is het raadzaam om vooraf te communiceren met gebruikers over de wijziging, hoewel de impact op de dagelijkse werkzaamheden minimaal is aangezien de lokale zoekfunctionaliteit behouden blijft.
Implementatiestappen en configuratie
De implementatie van het Cortana-blokkadebeleid verloopt via de Microsoft Intune Settings Catalog, een centraal beheerpunt waar administrators beveiligingsinstellingen kunnen configureren zonder dat daarvoor aangepaste CSP-paden of complexe XML-configuraties nodig zijn. De Settings Catalog biedt een gebruiksvriendelijke interface die het configureren van deze essentiële beveiligingsmaatregel aanzienlijk vereenvoudigt.
Om het beleid te configureren, navigeert de administrator naar het Microsoft Endpoint Manager Admin Center en selecteert de optie Devices, gevolgd door Configuration profiles. Vervolgens wordt een nieuw profiel aangemaakt met het profieltype Settings catalog. Binnen de catalogus moet de categorie Experience worden geselecteerd, waar de instelling Allow Cortana beschikbaar is. Deze instelling dient te worden geconfigureerd op de waarde Block, waardoor Cortana volledig wordt uitgeschakeld op alle doelapparaten.
Na de configuratie van de instelling moet het profiel worden toegewezen aan de relevante groepen binnen de organisatie. Dit kan gebeuren op basis van security groups, device groups of alle devices binnen de tenant. Het is belangrijk om te testen met een klein aantal apparaten voordat het beleid wordt uitgerold naar de gehele organisatie, hoewel de impact op gebruikers minimaal is aangezien de lokale Windows Search-functionaliteit volledig blijft werken. De lokale bestands- en applicatie-indexering wordt niet beïnvloed door deze instelling, waardoor gebruikers nog steeds efficiënt kunnen zoeken naar bestanden, applicaties en instellingen zonder dat er gegevens naar de cloud worden verzonden.
Na implementatie duurt het meestal enkele minuten tot maximaal een paar uur voordat het beleid is toegepast op alle doelapparaten, afhankelijk van de synchronisatiefrequentie tussen de apparaten en Intune. Administrators kunnen de naleving monitoren via het Compliance-rapport in Intune, waar per apparaat wordt weergegeven of het beleid correct is toegepast. Eventuele problemen kunnen worden opgelost via de device troubleshooting-functionaliteit binnen Intune.
Compliance en regelgevingsvereisten
Het blokkeren van Cortana draagt direct bij aan de naleving van meerdere belangrijke regelgevingskaders die van toepassing zijn op Nederlandse overheidsorganisaties en organisaties die met gevoelige gegevens werken. De belangrijkste compliance-vereisten worden hieronder uitgebreid beschreven, inclusief de specifieke artikelen en controls die door deze maatregel worden ondersteund.
De Algemene Verordening Gegevensbescherming (AVG) vereist in artikel 5 dat organisaties het principe van gegevensminimalisatie toepassen. Dit betekent dat persoonsgegevens alleen mogen worden verzameld voor specifieke, uitdrukkelijk omschreven en gerechtvaardigde doeleinden, en dat de hoeveelheid verzamelde gegevens beperkt moet blijven tot wat noodzakelijk is voor deze doeleinden. Cortana verzamelt echter automatisch uitgebreide gegevens zoals spraakopnamen, zoekqueries, kalendergegevens en e-mailinhoud zonder dat er een duidelijke zakelijke noodzaak voor bestaat. Door Cortana te blokkeren, voorkomt de organisatie deze overmatige gegevensverzameling en voldoet daarmee aan de AVG-vereisten voor gegevensminimalisatie.
De Baseline Informatiebeveiliging Overheid (BIO) bevat in control 08.01 specifieke vereisten voor privacybescherming. Deze control vereist dat organisaties passende technische en organisatorische maatregelen treffen om de privacy van personen te waarborgen en te voorkomen dat gegevens ongeautoriseerd worden verzameld of verwerkt. Het blokkeren van Cortana is een technische maatregel die direct bijdraagt aan deze privacybescherming door te voorkomen dat gevoelige gegevens zonder toezicht worden verzonden naar externe clouddiensten. Bovendien ondersteunt deze maatregel control 08.01.02, die specifiek gericht is op het beperken van gegevensverzameling tot wat strikt noodzakelijk is.
ISO 27001, de internationale norm voor informatiebeveiligingsmanagement, bevat in control A.8.11 vereisten voor data masking en gegevensbescherming. Deze control vereist dat organisaties maatregelen implementeren om te voorkomen dat gevoelige informatie wordt blootgesteld aan onbevoegde partijen. Door Cortana te blokkeren, voorkomt de organisatie dat gevoelige bedrijfsinformatie via de spraakassistent onbedoeld wordt verzonden naar externe cloudservices, waardoor deze control wordt ondersteund. Daarnaast draagt deze maatregel bij aan de algemene beveiligingsdoelstellingen van ISO 27001 door het verkleinen van de aanvalsoppervlakte en het beperken van onnodige data-exfiltratiekanalen.
Voor Nederlandse overheidsorganisaties zijn deze compliance-vereisten niet optioneel maar verplicht. Het niet blokkeren van Cortana kan leiden tot non-compliance tijdens audits, wat kan resulteren in financiële boetes, reputatieschade en het verlies van vertrouwen bij burgers en stakeholders. Daarom is het implementeren van deze maatregel een essentieel onderdeel van een robuuste compliance-strategie.
Monitoring en verificatie
Regelmatige monitoring van de Cortana-blokkadeconfiguratie is essentieel om te waarborgen dat het beleid correct wordt toegepast op alle apparaten en dat er geen onbedoelde wijzigingen plaatsvinden die de beveiligingspostuur van de organisatie kunnen verzwakken. Monitoring stelt administrators in staat om vroegtijdig problemen te detecteren, zoals apparaten die het beleid niet correct hebben ontvangen of waar de configuratie onbedoeld is gewijzigd door gebruikers of andere systemen.
Microsoft Intune biedt verschillende ingebouwde mechanismen voor het monitoren van configuratieprofielen en hun naleving. Administrators kunnen via het Endpoint Manager Admin Center real-time inzicht krijgen in de status van het Cortana-blokkadebeleid per apparaat. Het compliance dashboard toont per device of het beleid succesvol is toegepast, of er fouten zijn opgetreden tijdens de implementatie, en of er conflicterende beleidsregels zijn die de toepassing kunnen beïnvloeden.
Voor geautomatiseerde monitoring en rapportage kunnen organisaties gebruik maken van het bijbehorende PowerShell-script dat specifiek is ontwikkeld voor het controleren van de Cortana-blokkadeconfiguratie. Dit script kan worden geïntegreerd in bestaande monitoring- en alertingoplossingen, waardoor administrators proactief kunnen worden gewaarschuwd wanneer apparaten niet voldoen aan het beleid. Regelmatige uitvoering van dit script, bijvoorbeeld dagelijks of wekelijks, zorgt ervoor dat eventuele problemen snel worden geïdentificeerd en opgelost voordat ze een significant beveiligingsrisico vormen.
Gebruik PowerShell-script allow-cortana-is-set-to-block.ps1 (functie Invoke-Monitoring) – Het monitoring script controleert de Cortana-blokkadeconfiguratie op alle beheerde apparaten en rapporteert de nalevingsstatus.
Naast technische monitoring is het ook belangrijk om gebruikers te informeren over het beleid en hen te vragen eventuele problemen te melden. Hoewel de impact op gebruikers minimaal is, kan het voorkomen dat sommige gebruikers vragen hebben over waarom bepaalde functionaliteit niet beschikbaar is. Goede communicatie en documentatie helpen om dergelijke vragen proactief te beantwoorden en het bewustzijn over privacy en beveiliging binnen de organisatie te vergroten.
Remediatie en probleemoplossing
Wanneer monitoring aangeeft dat bepaalde apparaten niet voldoen aan het Cortana-blokkadebeleid, moet er direct actie worden ondernomen om de beveiligingsconfiguratie te herstellen. Remediatieprocedures zijn cruciaal om te waarborgen dat alle apparaten binnen de organisatie consistent zijn geconfigureerd en dat er geen beveiligingslekken ontstaan door niet-naleving van het beleid.
De meest voorkomende oorzaken van non-compliance zijn apparaten die het beleid niet hebben ontvangen vanwege synchronisatieproblemen met Intune, conflicterende beleidsregels die het Cortana-blokkadebeleid overschrijven, of apparaten die recent zijn toegevoegd aan de organisatie en nog niet volledig zijn gesynchroniseerd. In dergelijke gevallen kan het handmatig forceren van een policy sync via Intune vaak het probleem oplossen zonder verdere interventie.
Voor geautomatiseerde remediatie kan het bijbehorende PowerShell-script worden gebruikt dat specifiek is ontwikkeld voor het herstellen van de Cortana-blokkadeconfiguratie. Dit script kan worden uitgevoerd via Intune Proactive Remediations, waardoor apparaten automatisch worden hersteld zonder dat daar handmatige interventie van administrators voor nodig is. Het script controleert de huidige configuratie en past deze automatisch aan indien deze niet overeenkomt met het gewenste beleid.
Gebruik PowerShell-script allow-cortana-is-set-to-block.ps1 (functie Invoke-Remediation) – Het remediatie script herstelt automatisch de Cortana-blokkadeconfiguratie op apparaten die niet voldoen aan het beleid.
In gevallen waar automatische remediatie niet succesvol is, moeten administrators handmatig onderzoeken wat de oorzaak is van het probleem. Dit kan inhouden dat er gekeken wordt naar eventuele conflicterende GPO-beleidsregels, lokale groepbeleidsinstellingen, of andere configuratiebeheeroplossingen die mogelijk interfereren met het Intune-beleid. Het is belangrijk om dergelijke conflicten op te lossen door de prioriteit van beleidsregels aan te passen of door conflicterende configuraties te verwijderen.
Na remediatie moet altijd worden geverifieerd dat het beleid correct is toegepast door het monitoring-script opnieuw uit te voeren en te controleren of het apparaat nu wel voldoet aan de vereisten. Documentatie van remediatie-acties is belangrijk voor auditdoeleinden en helpt om patronen te identificeren die kunnen wijzen op structurele problemen die een meer permanente oplossing vereisen.
Compliance & Frameworks
- BIO: 08.01.02 -
- ISO 27001:2022: A.8.11 -
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Intune Security Options: Cortana Blocked
.DESCRIPTION
CIS - Cortana moet blocked.
.NOTES
Filename: cortana-blocked.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Windows\Windows Search\AllowCortana|Expected: 0
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\Windows Search"; $RegName = "AllowCortana"; $ExpectedValue = 0
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance {
$r = [PSCustomObject]@{ScriptName = "cortana-block.ps1"; PolicyName = "Cortana"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = "Blocked"; Details = @() }; function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (Test-Path $RegPath) { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue; if ($v -and $v.$RegName -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Cortana blocked" }else { $r.Details += "Cortana enabled" } }else { $r.Details += "Niet geconfigureerd" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r
}
function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Cortana blocked" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
Low: Laag maar onnodig risico: Cortana verzamelt structureel meer gegevens dan noodzakelijk, wat spanning oplevert met het AVG-principe van dataminimalisatie en tijdens audits vragen kan oproepen over de noodzaak van deze verwerking.
Management Samenvatting
Schakel Cortana op zakelijke Windows-apparaten uit via Intune. Dit voorkomt overmatige gegevensverzameling, ondersteunt AVG- en BIO-naleving en heeft in de praktijk geen negatieve impact op de productiviteit. De maatregel is in één tot twee uur te ontwerpen, te testen en organisatiebreed uit te rollen.
- Implementatietijd: 2 uur
- FTE required: 0.01 FTE