BIO 13.02.01 ISO A.13.2.3

Windows Game DVR Geblokkeerd

📅 2025-10-30
⏱️ 5 minuten lezen
🟢 Should-Have

💼 Management Samenvatting

Game DVR, beter bekend als de Xbox Game Bar, is standaard bedoeld voor consumenten die hun games willen opnemen en delen, maar in een zakelijke of overheidsomgeving introduceert deze functionaliteit onnodige risico's op gegevenslekken en afleiding. Door Game DVR centraal te blokkeren beschermt de organisatie vertrouwelijke informatie, voorkomt zij ongecontroleerde schermopnames en zorgt zij ervoor dat medewerkers hun werkmiddelen uitsluitend gebruiken voor zakelijke doeleinden. Het uitschakelen van Game DVR is daarmee een eenvoudige, laagdrempelige maatregel met een duidelijk effect op zowel informatiebeveiliging als productiviteit.

Aanbeveling
IMPLEMENT
Risico zonder
Medium
Risk Score
5/10
Implementatie
3u (tech: 1u)
Van toepassing op:
Windows 10
Windows 11

Wanneer Game DVR is ingeschakeld, kunnen gebruikers met een eenvoudige sneltoets op ieder moment hun volledige scherm of een actief venster opnemen, zonder dat zij hiervoor een gecontroleerde bedrijfsapplicatie hoeven te gebruiken. Alles wat op het scherm zichtbaar is, kan worden vastgelegd: vertrouwelijke rapportages, klantdossiers, financiële dashboards, interne beheertools, maar ook schermen met persoonsgegevens van burgers of medewerkers. De gemaakte video's worden standaard lokaal opgeslagen in de map met videobestanden van de gebruiker, buiten het zicht van beheerders en vaak zonder dat er Data Loss Prevention of centrale logging op wordt toegepast. Hierdoor kunnen deze bestanden ongezien worden gekopieerd naar een USB‑stick, persoonlijke cloudopslag of sociale mediaplatformen. In scenario's waarin medewerkers onbewust een gevoelige presentatie opnemen en delen, of een ondersteuningsmedewerker een schermopname met klantgegevens doorstuurt naar een privé‑account, ontstaat al snel een datalek dat onder de AVG moet worden gemeld. Naast het risico op gegevenslekken creëert Game DVR een cultuur waarin gaming en entertainmentfunctionaliteit aanwezig is op werkplekken die daar niet voor bedoeld zijn. De Game Bar moedigt het starten van spellen en het delen van clips aan, genereert meldingen en gebruikt systeembronnen op de achtergrond. Dit leidt af, verkleint de beschikbaarheid van werkapparaten voor kritieke taken en past niet bij de verwachtingen van een professionele, veilige werkomgeving in de publieke sector. Vanuit een governance‑perspectief is het veel beter om schermopnames uitsluitend toe te staan via goedgekeurde middelen, bijvoorbeeld Microsoft Teams, een gecontroleerde schermopnametool of beveiligde supportsoftware, waarbij logging, bewaartermijnen en toegangsrechten zijn ingericht.

PowerShell Modules Vereist
Primary API: Intune / Group Policy
Connection: Registry Policy
Required Modules:

Implementatie

De aanbevolen maatregel is om Game DVR centraal uit te schakelen door het beleidsregister voor Windows aan te passen. In een beheerde omgeving wordt dit gerealiseerd door het registerpad HKLM:\SOFTWARE\Policies\Microsoft\Windows\GameDVR te gebruiken en daar de instelling AllowGameDVR als DWORD‑waarde op 0 te zetten. Deze configuratie zorgt ervoor dat de sneltoets Windows‑toets plus G geen effect meer heeft, de Game Bar niet wordt geopend en de bijbehorende achtergrondservices niet langer actief zijn. Medewerkers kunnen dan niet meer spontaan schermopnames via de Game Bar starten, terwijl alle reguliere kantoorfunctionaliteit van Windows gewoon beschikbaar blijft. Voor organisaties die wel schermopnames nodig hebben, bijvoorbeeld voor instructievideo's, gebruikersondersteuning of training, wordt gestuurd op het gebruik van expliciet goedgekeurde tools. Deze oplossingen worden zodanig ingericht dat zij aansluiten op het interne beleid voor logging, bewaartermijnen, dataclassificatie en AVG‑verplichtingen. Door Game DVR te blokkeren en tegelijkertijd alternatieven te positioneren, wordt het risico op ongecontroleerde opnames geminimaliseerd zonder de legitieme behoefte aan kennisdeling of ondersteuning te blokkeren.

Vereisten

Voor het veilig uitrollen van deze maatregel is een beperkte maar duidelijke set aan randvoorwaarden noodzakelijk. Allereerst moet de organisatie beschikken over centraal beheer van de Windows eindpunten, bijvoorbeeld via Microsoft Intune, een bestaande Group Policy infrastructuur of een ander configuration management systeem dat registry beleid kan afdwingen. Het beleid richt zich op moderne Windows versies, zoals ondersteunde builds van Windows 10 en Windows 11, zodat de instelling voor Game DVR betrouwbaar wordt toegepast en in lijn is met de lifecycle afspraken van de organisatie. Daarnaast is er een helder kader voor informatiebeveiliging nodig waarin is vastgelegd dat ongecontroleerde schermopnamefunctionaliteit op werkapparaten niet is toegestaan. Dit beleid vormt de basis voor de keuze om Game DVR systematisch te blokkeren en geeft richting aan aanvullende maatregelen zoals monitoring, logging en awareness. Ook moet vooraf zijn bepaald welke alternatieve middelen medewerkers mogen gebruiken om scherminformatie te delen, bijvoorbeeld Microsoft Teams opnamefuncties, goedgekeurde schermafdruktools of een door de organisatie geselecteerde schermopnameservice met adequate beveiligings‑ en privacyinstellingen. Zonder dit alternatief ontstaat het risico dat gebruikers zelf onveilige oplossingen gaan zoeken. Verder is het belangrijk dat het change‑ en releaseproces van de organisatie wordt gevolgd, inclusief testomgevingen waarin het nieuwe beleid eerst op een beperkte groep werkplekken wordt uitgerold om compatibiliteit en gebruikerservaring te verifiëren. Tot slot moet er aandacht zijn voor documentatie en communicatie: beheerders moeten precies weten welke registry sleutels worden gezet en hoe de compliance kan worden gecontroleerd, terwijl eindgebruikers via intranet, handleidingen of korte berichten worden geïnformeerd dat de Xbox Game Bar bewust is uitgeschakeld en welke hulpmiddelen zij in plaats daarvan mogen gebruiken.

Implementatie

De implementatie van het blokkeren van Game DVR sluit idealiter aan op de bestaande beheerprocessen van de organisatie. In een moderne omgeving gebeurt dit bij voorkeur via Microsoft Intune met een beleid dat de relevante registry waarde afdwingt op alle beheerde Windows apparaten. Het doel is om een consistente, controleerbare configuratie neer te zetten waarbij er geen ruimte blijft voor handmatige uitzonderingen of lokale aanpassingen door gebruikers. Onderstaande stappen beschrijven een pragmatische aanpak om het beleid gefaseerd, controleerbaar en met minimale verstoring voor de eindgebruiker uit te rollen.

Start in het Intune beheerportaal bij het onderdeel voor apparaatconfiguratie en maak een nieuw configuratieprofiel aan voor Windows 10 en hoger. Kies voor een profieltype dat het gebruik van de uitgebreide instellingenbibliotheek ondersteunt, zodat ook gaming‑ en Game DVR instellingen beschikbaar zijn. Binnen de instellingenbibliotheek navigeert de beheerder naar de categorie voor gaming of specifieke Game DVR opties en selecteert daar de instelling waarmee het gebruik van Game DVR wordt geblokkeerd. De effectieve configuratie zorgt er in de achtergrond voor dat de registry sleutel AllowGameDVR onder het GameDVR beleidspad op waarde nul wordt gezet. Documenteer expliciet welke instelling is gekozen, op welke Windows versies deze van toepassing is en hoe dit zich verhoudt tot bestaande beleidsregels rond schermopnamen en dataclassificatie.

Vervolgens wordt bepaald op welke groepen apparaten of gebruikers het beleid wordt toegepast. In de meeste scenario's is het verstandig om te starten met een pilotgroep, bijvoorbeeld een afgebakende set werkstations binnen de IT‑afdeling of een security‑bewuste business unit. In deze pilotfase wordt geverifieerd dat de Game Bar daadwerkelijk niet meer beschikbaar is, dat er geen onverwachte foutmeldingen optreden en dat eventuele tooling die afhankelijk is van Game DVR (zoals specifieke game‑ of testomgevingen) binnen de scope van de pilot worden meegenomen. Daarna wordt het beleid stapsgewijs opgeschaald naar bredere apparaatgroepen, waarbij elke uitrolstap wordt begeleid door korte communicatie richting de betrokken medewerkers.

Voor organisaties die Group Policy gebruiken, kan een vergelijkbare configuratie worden gerealiseerd via een beleidsobject dat dezelfde registry waarde afdwingt op domein‑joined systemen. Ook in dat geval is het belangrijk om duidelijk te beschrijven welke Organizational Units onder het beleid vallen, hoe conflicten met bestaande GPO's worden opgelost en hoe beheerders kunnen controleren dat de instelling daadwerkelijk actief is. In alle implementatiescenario's geldt dat logging en rapportage in Intune, in de on‑premises beheeromgeving of in een SIEM‑oplossing worden ingezet om naleving van het beleid te volgen en incidenten snel te signaleren.

Gebruik PowerShell-script allow-game-dvr-is-set-to-block.ps1 (functie Invoke-Remediation) – Schakel uit Game DVR via registry.

Monitoring

Gebruik PowerShell-script allow-game-dvr-is-set-to-block.ps1 (functie Invoke-Monitoring) – Verifieer AllowGameDVR is 0.

Monitoring is essentieel om te borgen dat de blokkade van Game DVR niet alleen een eenmalige configuratieactie is, maar een blijvend onderdeel vormt van het beveiligingsniveau van de organisatie. De eerste verdedigingslinie bestaat uit technische controles die rechtstreeks verifiëren dat de beleidssleutel AllowGameDVR op alle relevante systemen daadwerkelijk is ingesteld op de gewenste waarde. Dit kan worden gerealiseerd met het gekoppelde PowerShell script, dat periodiek of op aanvraag de registry controleert en de resultaten rapporteert aan Intune, een beheerconsole of een centraal loggingsysteem. Deze technische controle wordt aangevuld met compliance‑rapportages binnen Intune of andere beheertooling, waarin zichtbaar is welke apparaten het beleid succesvol hebben toegepast, welke systemen nog in afwachting zijn van synchronisatie en of er apparaten zijn die langdurig buiten beheer vallen. Naast deze directe configuratiecontrole is het verstandig om in samenwerking met het security‑ en privacyteam aanvullende monitoring in te richten op mogelijke omwegen. Zo kan Data Loss Prevention in Microsoft 365 worden geconfigureerd om bijzondere aandacht te besteden aan videobestanden met mogelijk gevoelige inhoud, met name wanneer deze afkomstig zijn uit bekende opslaglocaties voor schermopnames. Hoewel Game DVR zelf wordt uitgeschakeld, kan dit helpen om alternatieve routes voor ongecontroleerde schermopnames vroegtijdig te detecteren. Ook logbestanden van eindpuntbeveiliging en SIEM‑oplossingen kunnen worden gebruikt om signalen op te vangen van gebruikers die proberen de Game Bar te starten of eigen tools installeren om schermen op te nemen. Door zulke signalen te koppelen aan awareness of gerichte opvolging kan de organisatie haar beveiligingsbewustzijn verder verhogen. Ten slotte is het raadzaam om periodiek steekproeven en audits uit te voeren. Hierbij wordt gecontroleerd of de configuratie nog overeenkomt met het ontwerp, of nieuwe werkplekken en speciale doelapparaten (zoals kiosks of demo‑pc's) onder het beleid vallen en of er geen uitzonderingen zijn ontstaan die niet door het changeproces zijn goedgekeurd. De bevindingen uit monitoring en auditing worden vastgelegd en gebruikt om het beleid, de implementatie en de communicatie bij te sturen, zodat de maatregel op de lange termijn effectief en proportioneel blijft.

Compliance en Auditing

Het blokkeren van Game DVR draagt direct bij aan meerdere compliance‑eisen die voor Nederlandse overheidsorganisaties en andere publieke instellingen gelden. Binnen de Baseline Informatiebeveiliging Overheid sluit deze maatregel aan bij de verplichting om ongeautoriseerde overdracht van informatie te voorkomen. Door ongecontroleerde schermopnamefunctionaliteit uit te schakelen, wordt het risico kleiner dat vertrouwelijke gegevens via informele kanalen worden vastgelegd en gedeeld. Ook in het kader van de AVG is dit relevant: wanneer schermopnames zonder duidelijke grondslag of informatieplicht worden gemaakt en vervolgens verspreid, kan dit leiden tot onrechtmatige verwerking van persoonsgegevens en mogelijke meldplichtige datalekken. Door Game DVR proactief te blokkeren en tegelijkertijd gecontroleerde alternatieven aan te bieden, toont de organisatie aan dat zij passende technische en organisatorische maatregelen neemt om gegevensbescherming serieus te borgen.

Daarnaast sluit de maatregel aan bij internationale normen zoals ISO 27001, waarin wordt gevraagd om het risico op ongeautoriseerde openbaarmaking van informatie via eindgebruikersapparatuur te beheersen. Schermopnames zijn in feite een vorm van gegevensoverdracht die zich lastig laat controleren wanneer deze via consumentenfunctionaliteit plaatsvinden. Door een duidelijke scheiding aan te brengen tussen privé‑gebruik en zakelijke inzet van werkapparaten voldoet de organisatie beter aan de eisen rond toegangsbeheer, logging en controleerbaarheid. In auditcontext kan worden aangetoond dat de instelling voor Game DVR centraal is afgedwongen, dat er rapportages beschikbaar zijn over naleving en dat uitzonderingen alleen via formele besluitvorming tot stand komen. Dit ondersteunt zowel interne audits als externe toetsingen door toezichthouders of certificerende partijen.

Belangrijk is dat de maatregel wordt ingebed in het bredere informatiebeveiligingsbeleid en dat dit beleid expliciet verwijst naar het verbod op ongecontroleerde schermopnames via consumentenapps. In procedures rond incidentmanagement moet zijn opgenomen hoe wordt omgegaan met mogelijke datalekken via schermopnames, welke analyses worden uitgevoerd en welke maatregelen worden genomen om herhaling te voorkomen. Door beleid, technische maatregelen, monitoring en awareness op elkaar af te stemmen, ontstaat een consistent verhaal dat voor auditors helder maakt waarom Game DVR is geblokkeerd en hoe dit bijdraagt aan een aantoonbaar betrouwbare en veilige cloud‑ en werkplekomgeving.

Remediatie

Gebruik PowerShell-script allow-game-dvr-is-set-to-block.ps1 (functie Invoke-Remediation) – De remediatiestap richt zich op het herstellen of forceren van de gewenste configuratie op systemen waar Game DVR nog niet correct is uitgeschakeld, of waar gebruikers of software leveranciers wijzigingen hebben aangebracht in het register. Het gekoppelde PowerShell script controleert de relevante beleidssleutel voor Game DVR en zet deze, indien nodig, opnieuw op de juiste waarde. Daarbij wordt bij voorkeur gelogd welke apparaten zijn aangepast, welke gebruikers waren aangemeld en of er aanwijzingen zijn dat de wijziging het gevolg was van bewuste sabotage, foutieve ondersteuning of verouderde images. Deze informatie wordt gedeeld met het beheer‑ en securityteam, zodat zij vervolgacties kunnen uitzetten, bijvoorbeeld het actualiseren van golden images, het aanpassen van uitrolscripts of het plannen van extra controles. Remediatie omvat meer dan alleen de technische herconfiguratie. Wanneer wordt vastgesteld dat Game DVR actief was op een apparaat waar dit niet wenselijk is, moet worden beoordeeld of er schermopnames zijn gemaakt die gevoelige informatie kunnen bevatten. In dat geval volgt een reguliere datalekbeoordeling volgens de interne procedures: er wordt nagegaan welke bestanden zijn aangemaakt, waar deze zich bevinden, of zij zijn gedeeld en met wie. Indien nodig wordt het incident gemeld aan de Functionaris Gegevensbescherming en worden betrokken partijen geïnformeerd. Waar mogelijk worden bestanden verwijderd of beveiligd en worden aanvullende maatregelen genomen om herhaling te voorkomen, bijvoorbeeld door extra awareness sessies voor de betrokken afdeling. Tot slot is het zinvol om remediatie structureel in te bedden in het beheerproces. Dat betekent dat het script niet alleen op ad‑hoc basis wordt gebruikt, maar bijvoorbeeld wordt opgenomen in reguliere health checks of in het onboardingproces van nieuwe werkstations. Door automatisch te controleren of de Game DVR instelling overeenkomt met de beleidsafspraken en afwijkingen direct te corrigeren, blijft de organisatie op de lange termijn in control. Dit sluit aan bij de filosofie van de Nederlandse Baseline voor Veilige Cloud: eenvoudige, herhaalbare maatregelen inzetten die stap voor stap bijdragen aan een aantoonbaar veiligere digitale werkomgeving..

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Intune Security Options: Game DVR Blocked .DESCRIPTION CIS - Game DVR moet blocked in enterprise. .NOTES Filename: game-dvr.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Windows\GameDVR\AllowGameDVR|Expected: 0 #> #Requires -Version 5.1 #Requires -RunAsAdministrator [CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert) $ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\GameDVR"; $RegName = "AllowGameDVR"; $ExpectedValue = 0 function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) } function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "game-dvr.ps1"; PolicyName = "Game DVR"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = "Blocked"; Details = @() }; function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue } try { if (Test-Path $RegPath) { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue; if ($v -and $v.$RegName -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Game DVR blocked" }else { $r.Details += "Game DVR enabled" } }else { $r.IsCompliant = $true; $r.Details += "Default" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r } function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Game DVR blocked" -ForegroundColor Green } function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r } function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue } try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }

Risico zonder implementatie

Risico zonder implementatie
Medium: medium risico: Unauthorized screen recording via Game DVR kan leiden tot gegevenslekken van confidential information. Productivity impact via gaming features op work devices.

Management Samenvatting

Blokkeer Windows Game DVR/Xbox Game Bar in enterprise. voorkomt unauthorized screen recording en gaming distractions. gebruiken authorized tools voor legitimate screen capture needs. Voldoet aan BIO 13.02, AVG. Implementatie: 1-3 uur.