💼 Management Samenvatting
De functie voor cross-device clipboard (Windows Cloud Clipboard) synchroniseert klembordinhoud via de Microsoft-cloud naar andere apparaten. Voor organisaties die werken met vertrouwelijke of gevoelige informatie is dit een onaanvaardbaar risico, waardoor het noodzakelijk is deze functionaliteit standaard te blokkeren en alle klembordgegevens lokaal op het werkapparaat te houden.
Aanbeveling
IMPLEMENT
Risico zonder
Medium
Risk Score
5/10
Implementatie
1.5u (tech: 0.5u)
Van toepassing op:
✓ Windows 10 1809+
✓ Windows 11
✓ Windows 11
Windows Cloud Clipboard maakt het voor gebruikers eenvoudig om tekst, wachtwoorden, fragmenten uit spreadsheets, broncode of andere gevoelige informatie te kopiëren op één apparaat en deze automatisch beschikbaar te maken op andere Windows-apparaten die zijn aangemeld met hetzelfde Microsoft-account. In een zakelijke of overheidsomgeving betekent dit dat gegevens die afkomstig zijn van interne systemen, dossiers of documenten ongemerkt in een consumentgerichte Microsoft-cloudomgeving kunnen belanden, los van het beheerde Microsoft 365-tenant van de organisatie. Hierdoor is er geen afdwinging van bedrijfsbrede DLP-regels, geen centrale logging of inzicht in welke gegevens zijn gesynchroniseerd, en geen garantie dat de opslaglocatie van deze gegevens voldoet aan de eisen rond datalocatie en soevereiniteit. Bovendien ontstaat het risico dat medewerkers onbewust hun werk- en privéaccounts door elkaar gebruiken, waardoor vertrouwelijke informatie van een zakelijk apparaat beschikbaar komt op een privé-pc of -laptop buiten de beveiligde omgeving. Omdat het hier gaat om tijdelijke, maar vaak zeer gevoelige gegevens uit het klembord (zoals wachtwoorden of fragments van rapportages), is het moeilijk om achteraf te reconstrueren wat er precies is gedeeld en waar het is opgeslagen. Dit leidt tot potentiële schendingen van het AVG-beginsel van dataminimalisatie en kan strijdig zijn met BIO-eisen rond controle op gegevensuitwisseling. Door cross-device clipboard uit te schakelen, wordt deze categorie risico's structureel weggenomen.
PowerShell Modules Vereist
Primary API: Intune / Group Policy
Connection:
Required Modules:
Connection:
RegistryRequired Modules:
Implementatie
De maatregel bestaat eruit dat de mogelijkheid om klembordinhoud via de cloud tussen apparaten te synchroniseren volledig wordt geblokkeerd. Dit gebeurt door in beleid de instelling AllowCrossDeviceClipboard op de waarde 0 (Block) te zetten, bijvoorbeeld via Intune of Group Policy, wat resulteert in een registerwaarde onder HKLM:\SOFTWARE\Policies\Microsoft\Windows\System. Na het toepassen van deze configuratie blijft het klembord gewoon bruikbaar op het lokale apparaat en kunnen gebruikers zonder beperkingen kopiëren en plakken binnen dezelfde werkplek. De cloudgebaseerde synchronisatie wordt echter volledig uitgeschakeld, zodat er geen gegevens meer naar externe diensten worden verstuurd en de klembordgeschiedenis (Windows+V) uitsluitend lokaal beschikbaar blijft.
Vereisten
- Om cross-device clipboard veilig te kunnen uitschakelen, moeten de doelapparaten draaien op een ondersteunde versie van Windows 10 (versie 1809 of hoger) of Windows 11. Deze besturingssysteemversies bevatten de cloudgebaseerde klembordfunctionaliteit die met deze maatregel wordt aangesproken. Daarnaast moeten de apparaten volledig onder beheer staan van de organisatie, bijvoorbeeld via Azure Active Directory-join en inschrijving in Microsoft Intune of domeinlidmaatschap in een on-premises Active Directory-omgeving. Alleen dan kan de organisatie centraal beleid afdwingen en controleren of de configuratie daadwerkelijk op alle relevante systemen actief is.
- Voor de daadwerkelijke configuratie is een centraal beheerplatform vereist, zoals Microsoft Intune of Group Policy (GPO). Bij gebruik van Intune is een geschikt licentieniveau nodig dat het uitrollen van configuratieprofielen naar Windows-apparaten ondersteunt. Beheerders hebben toegang nodig tot het Intune-beheerportaal of de Group Policy Management Console, inclusief de juiste rechten om beleidsinstellingen aan te maken en toe te wijzen. Daarnaast moet de organisatie beschikken over basisprocesafspraken voor change- en configuratiebeheer, zodat wijzigingen aan beveiligingsinstellingen zoals deze vooraf worden getoetst, gedocumenteerd en eerst in een test- of acceptatieomgeving worden gevalideerd voordat zij organisatiebreed worden uitgerold.
Implementatie
Gebruik PowerShell-script allow-cross-device-clipboard-is-set-to-block.ps1 (functie Invoke-Remediation) – Gebruik dit script om op schaal de registerinstelling voor AllowCrossDeviceClipboard te configureren, zodat cloudgebaseerde klembordsynchronisatie op alle beheerde apparaten wordt geblokkeerd..
De implementatie van deze maatregel verloopt idealiter via een centraal beheerd beleid in Microsoft Intune. In het Intune-beheerportaal maakt de beheerder een nieuw configuratieprofiel aan voor het platform "Windows 10 and later" en kiest hij voor een profiel op basis van de Settings Catalog. Binnen deze catalogus wordt gezocht naar de systeeminstelling voor het klembord, doorgaans onder de categorie System of Clipboard, waar de optie "AllowCrossDeviceClipboard" beschikbaar is. Deze instelling wordt expliciet ingesteld op de waarde Block (0), wat overeenkomt met het uitschakelen van de cross-device klembordsynchronisatie in het register onder HKLM:\SOFTWARE\Policies\Microsoft\Windows\System. Nadat de instelling is toegevoegd aan het profiel, wordt het profiel toegewezen aan een representatieve pilotgroep van apparaten. In deze pilot wordt gecontroleerd of gebruikers geen meldingen of opties meer zien voor het synchroniseren van klembordinhoud tussen apparaten en of normale kopieer- en plakacties binnen één apparaat ongestoord blijven functioneren. Na een succesvolle pilotfase kan het profiel gefaseerd worden uitgerold naar alle relevante apparaten binnen de organisatie. Het is raadzaam om hierbij gebruik te maken van logische groepen, zoals afdelingen of locaties, zodat eventuele onverwachte effecten snel zijn te herleiden en te corrigeren. Voor omgevingen die nog sterk leunen op traditionele domein-joined werkplekken kan dezelfde instelling via Group Policy worden afgedwongen met behulp van de bijbehorende administratieve templates of een rechtstreeks registrybeleid. Ongeacht de gekozen beheermethode is het belangrijk om de wijziging vast te leggen in het changeproces, inclusief de achterliggende risicoafweging en de verwachte effecten voor gebruikers. Door deze implementatiestappen zorgvuldig te doorlopen, wordt gegarandeerd dat cross-device clipboard op een gecontroleerde, auditeerbare manier wordt uitgeschakeld, geheel in lijn met de uitgangspunten van de "Nederlandse Baseline voor Veilige Cloud".
Monitoring
Gebruik PowerShell-script allow-cross-device-clipboard-is-set-to-block.ps1 (functie Invoke-Monitoring) – Verify AllowCrossDeviceClipboard is 0.
Compliance en Auditing
- Het uitschakelen van cross-device clipboard ondersteunt direct het AVG-beginsel van gegevensminimalisatie uit artikel 5. Dit artikel verplicht organisaties om de verzameling en verwerking van persoonsgegevens te beperken tot wat strikt noodzakelijk is voor het beoogde doel. Cloudgebaseerde klembordsynchronisatie zorgt er echter voor dat zeer gevoelige, maar tijdelijk gebruikte gegevens zoals wachtwoorden, klantnummers, medische gegevens of interne URL’s automatisch naar een externe cloudomgeving worden gekopieerd zonder dat daar een aantoonbare noodzaak voor bestaat. Door deze functionaliteit standaard te blokkeren, voorkomt de organisatie dat deze data buiten het directe zicht en de controle van het eigen informatiebeveiligings- en privacyraamwerk terechtkomt.
- Binnen de BIO sluit deze maatregel aan op controls in hoofdstuk 13 rond het beheersen van gegevensoverdracht. De BIO verlangt dat gegevensuitwisseling tussen systemen en omgevingen bewust wordt ingericht, passend wordt beveiligd en dat organisaties zicht houden op welke informatie waarheen wordt verstuurd. Cloud clipboard creëert een extra, moeilijk te controleren kanaal voor gegevensoverdracht tussen werk- en privéapparaten en tussen verschillende cloudomgevingen. Door cross-device clipboard uit te schakelen wordt dit ongecontroleerde kanaal geëlimineerd, waardoor gegevensstromen beter beheersbaar en aantoonbaar in lijn met het beveiligingsbeleid blijven.
- Ook vanuit ISO 27001-perspectief is het blokkeren van klembordsynchronisatie goed te onderbouwen, met name in relatie tot control A.13.2.1 rond beleid voor informatieoverdracht. Deze control vraagt om duidelijke afspraken en technische maatregelen voor het veilig uitwisselen van informatie tussen systemen en organisaties. Cloud clipboard past doorgaans niet in het formele beleid voor informatieoverdracht, omdat het ad-hoc gegevens verplaatst naar een externe dienst zonder logging, classificatie of aanvullende beschermingsmaatregelen. Door de functionaliteit uit te schakelen, maakt de organisatie haar informatieoverdracht meer voorspelbaar en beheersbaar. In auditrapportages kan worden vastgelegd dat klembordsynchronisatie is geblokkeerd, dat de onderliggende risicoanalyse is uitgevoerd en dat de gekozen maatregel aantoonbaar bijdraagt aan het terugdringen van ongecontroleerde gegevensstromen.
Remediatie
Gebruik PowerShell-script allow-cross-device-clipboard-is-set-to-block.ps1 (functie Invoke-Remediation) – Herstellen.
Compliance & Frameworks
- BIO: 13.02.01 - Beheersmaatregelen voor gecontroleerde en veilige overdracht van gegevens tussen systemen en omgevingen.
- ISO 27001:2022: A.13.2.1 - Beleid en maatregelen voor het veilig uitwisselen van informatie binnen en buiten de organisatie.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Intune Security Options: Cross Device Clipboard Blocked
.DESCRIPTION
CIS - Cross-device clipboard moet blocked.
.NOTES
Filename: cross-device-clipboard.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Windows\System\AllowCrossDeviceClipboard|Expected: 0
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\System"; $RegName = "AllowCrossDeviceClipboard"; $ExpectedValue = 0
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance {
$r = [PSCustomObject]@{ScriptName = "cross-clipboard.ps1"; PolicyName = "Cross Device Clipboard"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = "Blocked"; Details = @() }; function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (Test-Path $RegPath) { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue; if ($v -and $v.$RegName -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Cross clipboard blocked" }else { $r.Details += "Cross clipboard allowed" } }else { $r.IsCompliant = $true; $r.Details += "Default" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r
}
function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Cross device clipboard blocked" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
Medium: Wanneer cross-device clipboard ingeschakeld blijft, bestaat een reëel risico dat zeer gevoelige, maar tijdelijk gebruikte gegevens zoals wachtwoorden, vertrouwelijke klantinformatie of interne URL’s automatisch worden gesynchroniseerd naar privéapparaten en consumentcloudomgevingen buiten de controle van de organisatie.
Management Samenvatting
Schakel cloudgebaseerde klembordsynchronisatie uit (AllowCrossDeviceClipboard=0) zodat alle klemborddata lokaal op het werkapparaat blijft, terwijl gewoon kopiëren en plakken binnen hetzelfde apparaat mogelijk blijft.
- Implementatietijd: 1.5 uur
- FTE required: 0.01 FTE