BIO 12.05.01 ISO A.12.5.1

Intune: Windows Store Applicatie Volledig Verwijderen

📅 2025-10-30
⏱️ 3 minuten lezen
🟢 Should-Have

💼 Management Samenvatting

Het uitschakelen van de Windows Store-toepassing betekent dat de Store-app volledig wordt verwijderd van het systeem. Dit is de strengste vorm van controle waarbij gebruikers de Store-app niet eens kunnen openen, omdat deze volledig afwezig is van het systeem.

Aanbeveling
VOORWAARDELIJK (omgevingen met hoge beveiligingseisen)
Risico zonder
Low
Risk Score
3/10
Implementatie
3u (tech: 1u)
Van toepassing op:
Windows 10
Windows 11

Het verwijderen van de Windows Store-applicatie biedt de meest complete blokkering van consumententoepassingen op Windows-apparaten. Het is belangrijk om het onderscheid te maken tussen twee verschillende benaderingen: 'Disable Store' (de vorige controle) waarbij de Store-app aanwezig blijft maar uitgeschakeld is, waardoor gebruikers het pictogram nog steeds zien maar de app niet kunnen gebruiken, en 'Turn off Store application' (deze controle) waarbij de Store-app volledig wordt verwijderd en niet meer zichtbaar is in het Start-menu. Deze maatregel is met name geschikt voor omgevingen met hoge beveiligingseisen zoals overheidsorganisaties, defensie-instellingen en financiële instellingen waar zero tolerance geldt voor consumententoepassingen. In dergelijke omgevingen is alleen enterprise-software toegestaan en wordt strikte controle uitgeoefend waarbij uitsluitend de Intune Company Portal beschikbaar is voor app-deployment. Dit zorgt ervoor dat alle geïnstalleerde applicaties centraal worden beheerd en voldoen aan organisatiebeleid. Als alternatief kan 'Disable Store' worden gebruikt voor een zachtere aanpak waarbij de Store-app aanwezig blijft maar uitgeschakeld is, wat minder disruptief is voor gebruikers maar ook minder beveiliging biedt.

PowerShell Modules Vereist
Primary API: Microsoft Graph API
Connection: Connect-MgGraph
Required Modules: Microsoft.Graph.DeviceManagement

Implementatie

Het uitschakelen van de Windows Store-applicatie wordt geconfigureerd via een registry-instelling waarbij RemoveWindowsStore wordt ingesteld op 1. Het effect hiervan is dat de Windows Store-app volledig wordt verwijderd van het systeem. In het Start-menu verschijnt geen Store-pictogram of tegel meer, en gebruikers kunnen de Store op geen enkele manier benaderen, wat strikter is dan alleen uitschakelen. Voor app-deployment moeten organisaties uitsluitend gebruikmaken van de Intune Company Portal, waardoor alle applicaties centraal worden beheerd en voldoen aan organisatiebeleid en beveiligingsvereisten.

Vereisten

Voordat u de Windows Store-applicatie volledig verwijdert van Windows-apparaten, moet u ervoor zorgen dat uw organisatie beschikt over de juiste infrastructuur, licenties en processen. Deze vereisten zijn essentieel voor een succesvolle implementatie en om te waarborgen dat gebruikers nog steeds toegang hebben tot benodigde applicaties via alternatieve kanalen.

De primaire technische vereiste is een actief Microsoft Intune-abonnement met de juiste licenties voor alle gebruikers en apparaten waarop deze maatregel wordt toegepast. Intune is het centrale platform voor het beheren van deze configuratie-instelling en voor het distribueren van alternatieve applicaties via de Company Portal. Organisaties moeten beschikken over een van de volgende licentie-opties: Microsoft 365 E3 of E5, Microsoft 365 Business Premium, of een standalone Intune-licentie. Het is belangrijk om te verifiëren dat alle gebruikers en apparaten correct zijn gelicenseerd voordat u deze maatregel implementeert, omdat niet-gelicenseerde apparaten de configuratie niet zullen ontvangen.

Een tweede kritieke vereiste is dat alle doelapparaten Windows 10 versie 1709 of hoger draaien, of Windows 11. Deze maatregel is niet beschikbaar voor oudere versies van Windows zoals Windows 8.1 of Windows 7, omdat deze besturingssystemen niet de benodigde registry-instellingen ondersteunen. Voor Windows 10-apparaten moet minimaal versie 1709 (Fall Creators Update) zijn geïnstalleerd, hoewel het wordt aanbevolen om de nieuwste versie te gebruiken voor optimale beveiliging en functionaliteit. Organisaties moeten een inventarisatie uitvoeren van alle Windows-apparaten in hun omgeving om te verifiëren dat ze voldoen aan deze versievereisten voordat ze deze maatregel implementeren.

Een derde essentiële vereiste is de implementatie van de Intune Company Portal als alternatief mechanisme voor app-deployment. Wanneer de Windows Store volledig wordt verwijderd, verliezen gebruikers toegang tot het primaire kanaal voor het installeren van applicaties. De Intune Company Portal fungeert als vervanging en biedt gebruikers een beheerd kanaal voor het installeren van goedgekeurde applicaties. Organisaties moeten ervoor zorgen dat de Company Portal correct is geconfigureerd en beschikbaar is voor alle gebruikers voordat de Store wordt verwijderd. Dit omvat het configureren van app-deployment policies, het toevoegen van benodigde applicaties aan de Company Portal, en het trainen van gebruikers in het gebruik van de Company Portal voor app-installatie. Zonder een goed functionerende Company Portal zullen gebruikers niet in staat zijn om nieuwe applicaties te installeren, wat kan leiden tot productiviteitsverlies en gebruikersfrustratie.

Voor organisaties met hoge beveiligingseisen, zoals overheidsinstanties, defensie-instellingen of financiële instellingen, is deze maatregel vaak een absolute vereiste. In dergelijke omgevingen is zero tolerance voor consumententoepassingen en moet alle software centraal worden beheerd via enterprise-app-deployment mechanismen. Organisaties moeten een duidelijk beleid hebben dat specificeert welke applicaties zijn toegestaan en welke zijn verboden, en dit beleid moet worden gecommuniceerd naar alle gebruikers. Daarnaast moeten organisaties beschikken over een proces voor het evalueren en goedkeuren van nieuwe applicaties die gebruikers nodig hebben, zodat deze kunnen worden toegevoegd aan de Company Portal wanneer nodig.

Organisaties moeten ook beschikken over een change management proces voor het implementeren van deze maatregel, omdat het verwijderen van de Windows Store een significante impact kan hebben op gebruikers. Dit proces moet communicatie naar gebruikers omvatten over waarom de Store wordt verwijderd, hoe ze toegang kunnen krijgen tot applicaties via de Company Portal, en wat te doen als ze een applicatie nodig hebben die niet beschikbaar is. Daarnaast moet er een proces zijn voor het testen van deze configuratie in een pilotgroep voordat deze wordt uitgerold naar alle apparaten, om te verifiëren dat alle benodigde applicaties beschikbaar zijn via de Company Portal en dat gebruikers geen kritieke functionaliteit verliezen.

Ten slotte moeten organisaties beschikken over monitoring en reporting capabilities om te verifiëren dat de configuratie correct is toegepast op alle doelapparaten. Dit omvat het gebruik van Intune compliance policies om te controleren of apparaten de juiste registry-instelling hebben, en het gebruik van reporting tools om apparaten te identificeren die niet voldoen aan de configuratie. Organisaties moeten ook een proces hebben voor het oplossen van problemen wanneer apparaten de configuratie niet correct ontvangen of wanneer gebruikers problemen ondervinden met het installeren van applicaties via de Company Portal.

Implementatie

Gebruik PowerShell-script turn-off-the-store-application-is-set-to-enabled.ps1 (functie Invoke-Remediation) – Automatiseert de configuratie van Windows Store-verwijdering via Intune.

De implementatie van het volledig verwijderen van de Windows Store-applicatie wordt uitgevoerd via de Microsoft Intune Settings Catalog, een centrale locatie voor het configureren van Windows-beveiligingsinstellingen. Het proces begint met het aanmelden bij de Microsoft Endpoint Manager admin center en het navigeren naar Devices, Configuration, en vervolgens Create profile. Selecteer Windows 10 and later als platform en kies Settings catalog als profieltype. Deze aanpak biedt de meest directe en betrouwbare methode voor het configureren van deze specifieke instelling.

Binnen de Settings Catalog navigeert u naar Windows Components en vervolgens naar Store. Hier vindt u de instelling 'Turn off the Store application' die moet worden geconfigureerd. Selecteer deze instelling en stel de waarde in op Enabled. Deze configuratie resulteert in het instellen van de registry-waarde RemoveWindowsStore op 1, wat ervoor zorgt dat de Windows Store-app volledig wordt verwijderd van het systeem. Het is belangrijk om te begrijpen dat deze instelling verschilt van 'Disable Store', wat een zachtere aanpak is waarbij de Store-app aanwezig blijft maar uitgeschakeld is.

Na het configureren van de instelling moet u het profiel een duidelijke naam geven, zoals 'Windows Store Removal - High Security', en een beschrijving toevoegen die uitlegt waarom deze maatregel is geïmplementeerd. Dit helpt bij het beheer en de documentatie van de configuratie. Vervolgens moet u het profiel toewijzen aan de juiste gebruikersgroepen of apparaatgroepen. Het wordt aanbevolen om te beginnen met een pilotgroep van testapparaten om te verifiëren dat de configuratie correct werkt voordat deze wordt uitgerold naar alle apparaten in de organisatie.

Voor de toewijzing van het profiel kunt u kiezen tussen gebruikersgroepen of apparaatgroepen, afhankelijk van uw organisatiestructuur en beheerstrategie. Apparaatgroepen zijn vaak geschikter voor deze configuratie omdat het een apparaat-specifieke instelling is die niet afhankelijk is van de gebruiker. Configureer de toewijzing zodat het profiel wordt toegepast op alle relevante Windows-apparaten, maar zorg ervoor dat u uitzonderingen configureert voor apparaten die mogelijk nog toegang tot de Store nodig hebben, zoals ontwikkelaarsapparaten of testomgevingen waar specifieke Store-apps nodig zijn voor ontwikkeling of testing.

Na het toewijzen van het profiel moet u wachten tot de configuratie is gesynchroniseerd met de apparaten. Dit gebeurt automatisch wanneer apparaten verbinding maken met Intune, wat normaal gesproken binnen enkele minuten tot een uur plaatsvindt, afhankelijk van wanneer het apparaat de laatste keer verbinding heeft gemaakt met Intune. U kunt de status van de profieltoewijzing monitoren via de Endpoint Manager admin center, waar u kunt zien welke apparaten het profiel hebben ontvangen en of de configuratie succesvol is toegepast.

Het effect van deze configuratie is dat de Windows Store-app volledig wordt verwijderd van het systeem. Gebruikers zullen geen Store-pictogram of tegel meer zien in het Start-menu, en pogingen om de Store te openen via andere methoden zullen falen omdat de app niet meer aanwezig is op het systeem. Dit is strikter dan alleen uitschakelen, waarbij de app nog steeds aanwezig is maar niet functioneel. Na het verwijderen van de Store moeten gebruikers uitsluitend gebruikmaken van de Intune Company Portal voor het installeren van applicaties, wat zorgt voor centrale controle over alle geïnstalleerde software.

Als alternatief voor deze strenge aanpak kunnen organisaties kiezen voor 'Disable Store', wat een zachtere benadering is waarbij de Store-app aanwezig blijft maar uitgeschakeld is. Deze aanpak is minder disruptief voor gebruikers maar biedt ook minder beveiliging, omdat gebruikers het Store-pictogram nog steeds zien en mogelijk kunnen proberen de Store te openen. De keuze tussen volledige verwijdering en uitschakeling hangt af van de beveiligingseisen van de organisatie en de acceptatie van gebruikers voor deze maatregel.

Na de implementatie is het belangrijk om gebruikers te trainen in het gebruik van de Intune Company Portal voor app-installatie. Organisaties moeten duidelijke instructies verstrekken over hoe gebruikers toegang kunnen krijgen tot de Company Portal, hoe ze applicaties kunnen zoeken en installeren, en wat ze moeten doen als ze een applicatie nodig hebben die niet beschikbaar is. Daarnaast moet er een proces zijn voor het aanvragen van nieuwe applicaties die gebruikers nodig hebben, zodat deze kunnen worden geëvalueerd en toegevoegd aan de Company Portal wanneer ze voldoen aan organisatiebeleid en beveiligingsvereisten.

Compliance

Het volledig verwijderen van de Windows Store-applicatie is essentieel voor het voldoen aan verschillende compliance-frameworks en regelgevingsvereisten die van toepassing zijn op Nederlandse organisaties, met name in de publieke sector en omgevingen met hoge beveiligingseisen. Deze maatregel helpt organisaties te voldoen aan vereisten voor applicatiecontrole, het voorkomen van ongeautoriseerde software-installatie, en het waarborgen dat alleen goedgekeurde applicaties worden gebruikt op organisatieapparaten. Zonder deze maatregel kunnen organisaties niet volledig voldoen aan de vereisten van frameworks zoals de BIO-baseline, ISO 27001, en DISA STIG.

De Baseline Informatiebeveiliging Overheid (BIO) specificeert in Thema 12.05 dat organisaties maatregelen moeten implementeren voor applicatiecontrole om te voorkomen dat ongeautoriseerde software wordt geïnstalleerd en gebruikt op organisatieapparaten. Deze maatregel is met name relevant voor overheidsorganisaties die moeten voldoen aan de BIO-baseline. Het volledig verwijderen van de Windows Store-applicatie helpt organisaties te voldoen aan deze vereiste door gebruikers te voorkomen om ongeautoriseerde consumententoepassingen te installeren via de Store. In plaats daarvan moeten alle applicaties worden geïnstalleerd via beheerde kanalen zoals de Intune Company Portal, wat zorgt voor centrale controle en goedkeuring van alle geïnstalleerde software. Voor Nederlandse overheidsorganisaties is de BIO-baseline verplicht, en het niet voldoen aan deze vereisten kan leiden tot beveiligingsincidenten en compliance-problemen.

ISO 27001 controle A.12.5.1 richt zich op informatiebeveiliging in ontwikkeling en ondersteuning, en vereist dat organisaties maatregelen implementeren om te voorkomen dat ongeautoriseerde software wordt geïnstalleerd op systemen. Deze controle is onderdeel van het informatiebeveiligingsbeheersysteem (ISMS) en vereist dat organisaties kunnen aantonen dat ze controle hebben over welke software wordt geïnstalleerd en gebruikt op hun systemen. Het volledig verwijderen van de Windows Store-applicatie helpt organisaties te voldoen aan deze vereiste door gebruikers te voorkomen om software te installeren zonder centrale goedkeuring. Organisaties moeten kunnen aantonen dat alle geïnstalleerde software is goedgekeurd en voldoet aan organisatiebeleid en beveiligingsvereisten. Zonder deze maatregel kunnen organisaties deze controle niet volledig aantonen omdat gebruikers nog steeds ongeautoriseerde software kunnen installeren via de Store.

De Defense Information Systems Agency (DISA) Security Technical Implementation Guide (STIG) voor Windows bevat specifieke vereisten voor het verwijderen of uitschakelen van de Windows Store-applicatie in omgevingen met hoge beveiligingseisen. DISA STIG-richtlijnen zijn met name relevant voor defensie-instellingen en organisaties die werken met classified information of gevoelige gegevens. De STIG-richtlijnen specificeren dat consumententoepassingen zoals de Windows Store moeten worden verwijderd of uitgeschakeld om het aanvalsoppervlak te minimaliseren en te voorkomen dat gebruikers ongeautoriseerde software installeren. Het volledig verwijderen van de Store-applicatie is de strengste vorm van controle en wordt aanbevolen voor omgevingen met de hoogste beveiligingseisen. Organisaties die moeten voldoen aan DISA STIG-vereisten moeten deze maatregel implementeren om compliance te waarborgen.

Naast deze specifieke compliance-frameworks zijn er ook algemene beveiligingsprincipes die het verwijderen van de Windows Store ondersteunen. Het principe van least privilege vereist dat gebruikers alleen toegang hebben tot de functionaliteit die ze nodig hebben voor hun werkzaamheden, en het voorkomen van ongeautoriseerde software-installatie is een belangrijk onderdeel hiervan. Het principe van defense in depth vereist dat organisaties meerdere beveiligingslagen implementeren, en het verwijderen van de Store-applicatie vormt een belangrijke laag in de beveiligingsarchitectuur. Daarnaast helpt deze maatregel bij het waarborgen van software compliance door ervoor te zorgen dat alle geïnstalleerde software centraal wordt beheerd en voldoet aan licentievereisten en beveiligingsstandaarden.

Voor auditdoeleinden moeten organisaties kunnen aantonen dat de Windows Store-applicatie is verwijderd van alle relevante apparaten. Dit omvat het documenteren van de Intune-configuratie, het bijhouden van welke apparaten de configuratie hebben ontvangen, en het regelmatig verifiëren dat de Store-applicatie daadwerkelijk is verwijderd. Organisaties moeten ook kunnen aantonen dat er een alternatief mechanisme is voor app-deployment, zoals de Intune Company Portal, en dat gebruikers zijn getraind in het gebruik van dit mechanisme. Deze documentatie is essentieel voor het succesvol doorstaan van compliance-audits en voor het aantonen van due diligence bij beveiligingsincidenten.

Monitoring

Gebruik PowerShell-script turn-off-the-store-application-is-set-to-enabled.ps1 (functie Invoke-Monitoring) – Automatiseert de monitoring van Windows Store-verwijdering configuratie en verifieert dat de Store-app daadwerkelijk is verwijderd van alle doelapparaten.

Effectieve monitoring van de Windows Store-verwijdering configuratie is essentieel om te waarborgen dat de maatregel correct is toegepast op alle doelapparaten, dat de Store-app daadwerkelijk is verwijderd, en dat gebruikers nog steeds toegang hebben tot benodigde applicaties via alternatieve kanalen. Monitoring omvat het continu volgen van de configuratiestatus, het detecteren van apparaten die niet voldoen aan de configuratie, het verifiëren dat de Store-app is verwijderd, en het waarborgen dat gebruikers geen problemen ondervinden met app-installatie via de Company Portal. Zonder uitgebreide monitoring kunnen organisaties niet garanderen dat de maatregel effectief is en dat gebruikers nog steeds productief kunnen werken.

De basis van monitoring wordt gevormd door de Microsoft Endpoint Manager admin center, waar organisaties de status van configuratieprofielen kunnen bekijken. Navigeer naar Devices, Configuration profiles, en selecteer het profiel voor Windows Store-verwijdering. Hier kunt u zien hoeveel apparaten het profiel hebben ontvangen, hoeveel apparaten de configuratie succesvol hebben toegepast, en hoeveel apparaten fouten hebben ondervonden. Het is belangrijk om regelmatig deze status te controleren, bij voorkeur wekelijks, om te verifiëren dat alle apparaten de configuratie correct hebben ontvangen en toegepast.

Voor apparaten die fouten ondervinden bij het toepassen van de configuratie, moet er een troubleshooting-proces zijn om de oorzaak te identificeren en op te lossen. Veelvoorkomende oorzaken van fouten zijn: apparaten die niet verbonden zijn met Intune, apparaten die niet voldoen aan de Windows-versievereisten, of conflicterende configuraties die de implementatie blokkeren. Organisaties moeten een proces hebben voor het onderzoeken van deze fouten en het oplossen van problemen, waarbij gebruik wordt gemaakt van Intune-logs en apparaatdiagnostiek om de exacte oorzaak te identificeren.

Naast het monitoren van de configuratiestatus moeten organisaties ook verifiëren dat de Windows Store-app daadwerkelijk is verwijderd van apparaten. Dit kan worden gedaan via PowerShell-scripts die de registry-waarde RemoveWindowsStore controleren, of via Intune compliance policies die verifiëren dat de registry-waarde correct is ingesteld. Het wordt aanbevolen om maandelijks een steekproef van apparaten te controleren om te verifiëren dat de Store-app niet meer aanwezig is en dat gebruikers deze niet kunnen openen. Deze verificatie is belangrijk omdat configuratiefouten of gebruikers met lokale administrator-rechten mogelijk de Store-app kunnen herstellen.

Monitoring van gebruikerservaring is ook essentieel om te waarborgen dat gebruikers nog steeds productief kunnen werken na het verwijderen van de Store. Organisaties moeten bijhouden hoeveel gebruikers de Intune Company Portal gebruiken voor app-installatie, hoeveel app-aanvragen worden ingediend, en of er gebruikers zijn die problemen ondervinden met het installeren van applicaties. Deze informatie kan worden verzameld via Intune-usage reports en via feedback van gebruikers. Als gebruikers significante problemen ondervinden met app-installatie via de Company Portal, kan dit wijzen op problemen met de Company Portal-configuratie of op het ontbreken van benodigde applicaties in de portal.

Azure Monitor en Log Analytics kunnen worden gebruikt voor geavanceerde monitoring en alerting. Organisaties kunnen custom queries maken die de configuratiestatus van apparaten monitoren en waarschuwingen genereren wanneer apparaten niet voldoen aan de configuratie. Deze waarschuwingen kunnen worden geconfigureerd om automatisch e-mails te sturen naar IT-beheerders wanneer problemen worden gedetecteerd, zodat deze snel kunnen worden opgelost. Daarnaast kunnen organisaties dashboards maken die een overzicht geven van de compliance-status van alle apparaten, wat helpt bij het identificeren van trends en problemen.

Kwartaalreviews van de monitoringdata zijn essentieel om te waarborgen dat de maatregel effectief blijft en dat er geen nieuwe problemen zijn ontstaan. Tijdens deze reviews moeten organisaties analyseren hoeveel apparaten voldoen aan de configuratie, hoeveel apparaten fouten ondervinden, en wat de trends zijn over tijd. Als het aantal niet-compliant apparaten toeneemt, kan dit wijzen op problemen met de configuratie of op nieuwe apparaten die niet correct zijn geconfigureerd. Deze reviews moeten worden gedocumenteerd en alle bevindingen moeten worden gebruikt om de configuratie en monitoring te verbeteren.

Ten slotte moeten organisaties een proces hebben voor het monitoren van beveiligingsincidenten die verband houden met ongeautoriseerde software-installatie. Hoewel het verwijderen van de Store-applicatie het risico op ongeautoriseerde software-installatie aanzienlijk vermindert, kunnen gebruikers nog steeds proberen om software te installeren via andere methoden, zoals het downloaden van installatiebestanden van het internet. Organisaties moeten monitoringtools gebruiken om te detecteren wanneer nieuwe software wordt geïnstalleerd op apparaten, en deze installaties moeten worden onderzocht om te verifiëren dat ze zijn goedgekeurd en voldoen aan organisatiebeleid. Microsoft Defender for Endpoint en andere endpoint detection and response (EDR) tools kunnen worden gebruikt voor deze monitoring.

Remediatie

Gebruik PowerShell-script turn-off-the-store-application-is-set-to-enabled.ps1 (functie Invoke-Remediation) – Automatiseert de remediatie van Windows Store-verwijdering configuratie voor apparaten die niet voldoen aan de vereisten.

Remediatie van de Windows Store-verwijdering configuratie omvat het oplossen van problemen waarbij apparaten de configuratie niet correct hebben ontvangen of toegepast, het herstellen van de configuratie wanneer deze per ongeluk is verwijderd, en het adresseren van situaties waarin gebruikers problemen ondervinden met app-installatie na het verwijderen van de Store. Het is belangrijk om een gestructureerd remediatieproces te hebben dat snel problemen kan identificeren en oplossen, zodat gebruikers geen langdurige impact ondervinden van configuratiefouten.

Voor apparaten die de configuratie niet hebben ontvangen, moet eerst worden gecontroleerd of het apparaat correct is toegewezen aan het configuratieprofiel. Verifieer in de Microsoft Endpoint Manager admin center of het apparaat deel uitmaakt van de doelgroep die is toegewezen aan het profiel. Als het apparaat niet in de doelgroep zit, moet het worden toegevoegd aan de juiste groep. Als het apparaat wel in de doelgroep zit maar de configuratie niet heeft ontvangen, kan dit wijzen op een synchronisatieprobleem. In dit geval moet het apparaat handmatig worden gesynchroniseerd met Intune, wat kan worden gedaan via de Endpoint Manager admin center door te navigeren naar het apparaat en de optie 'Sync' te selecteren. Na synchronisatie moet het apparaat binnen enkele minuten de configuratie ontvangen.

Voor apparaten die de configuratie hebben ontvangen maar deze niet correct hebben toegepast, moet worden onderzocht wat de oorzaak is. Veelvoorkomende oorzaken zijn: conflicterende Group Policy-instellingen die de Intune-configuratie overschrijven, lokale administrator-wijzigingen die de registry-waarde hebben gewijzigd, of Windows-versies die de configuratie niet volledig ondersteunen. Om conflicterende Group Policy-instellingen te identificeren, moet worden gecontroleerd of er lokale Group Policies zijn geconfigureerd die de Store-instellingen beïnvloeden. Als dit het geval is, moeten deze Group Policies worden aangepast of verwijderd om de Intune-configuratie toe te staan. Voor lokale administrator-wijzigingen moet worden gecontroleerd of gebruikers lokale administrator-rechten hebben en of deze rechten nodig zijn voor hun werkzaamheden. Als dit niet het geval is, moeten deze rechten worden ingetrokken om te voorkomen dat gebruikers de configuratie kunnen wijzigen.

Wanneer de Windows Store-app per ongeluk is hersteld of wanneer de registry-waarde is gewijzigd, moet de configuratie opnieuw worden toegepast. Dit kan worden gedaan door het apparaat opnieuw te synchroniseren met Intune, wat ervoor zorgt dat de configuratie opnieuw wordt toegepast. Als dit niet werkt, kan de registry-waarde handmatig worden aangepast via PowerShell met administrator-rechten. De registry-waarde RemoveWindowsStore moet worden ingesteld op 1 in het pad HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsStore. Na het aanpassen van de registry-waarde moet het apparaat opnieuw worden opgestart om ervoor te zorgen dat de wijzigingen effect hebben. Het is belangrijk om te documenteren wanneer en waarom handmatige interventie nodig was, zodat dit kan worden gebruikt om toekomstige problemen te voorkomen.

Voor gebruikers die problemen ondervinden met het installeren van applicaties via de Intune Company Portal na het verwijderen van de Store, moet eerst worden gecontroleerd of de Company Portal correct is geconfigureerd en beschikbaar is. Verifieer dat de Company Portal-app is geïnstalleerd op het apparaat en dat gebruikers de juiste licenties hebben. Als de Company Portal niet beschikbaar is, moet deze worden geïnstalleerd via een andere methode, zoals via een andere app-deployment tool of handmatige installatie. Daarnaast moet worden gecontroleerd of de benodigde applicaties beschikbaar zijn in de Company Portal. Als gebruikers specifieke applicaties nodig hebben die niet beschikbaar zijn, moeten deze worden geëvalueerd en toegevoegd aan de Company Portal wanneer ze voldoen aan organisatiebeleid.

In sommige gevallen kan het nodig zijn om tijdelijk de Store-app te herstellen voor specifieke gebruikers of apparaten die legitieme behoeften hebben die niet kunnen worden opgelost via de Company Portal. Dit moet echter alleen worden gedaan als uitzondering en met expliciete goedkeuring van security management. Voor dergelijke uitzonderingen moet een specifiek Intune-profiel worden gemaakt dat de Store-app niet verwijdert, en dit profiel moet alleen worden toegewezen aan de specifieke gebruikers of apparaten die de uitzondering nodig hebben. Alle uitzonderingen moeten worden gedocumenteerd en regelmatig worden gereviewd om te verifiëren dat ze nog steeds nodig zijn.

Voor apparaten die niet voldoen aan de Windows-versievereisten en daarom de configuratie niet kunnen ontvangen, moet worden overwogen om deze apparaten te upgraden naar een ondersteunde Windows-versie. Als dit niet mogelijk is vanwege hardwarebeperkingen of andere redenen, moeten deze apparaten worden uitgesloten van de configuratie en moeten alternatieve beveiligingsmaatregelen worden geïmplementeerd, zoals het gebruik van Group Policy om de Store uit te schakelen in plaats van te verwijderen. Het is belangrijk om een plan te hebben voor het vervangen of upgraden van verouderde apparaten die niet voldoen aan de vereisten, zodat alle apparaten uiteindelijk kunnen profiteren van de beveiligingsmaatregel.

Na het oplossen van remediatieproblemen moet worden geverifieerd dat de configuratie correct is toegepast en dat gebruikers geen verdere problemen ondervinden. Dit omvat het controleren van de configuratiestatus in Intune, het verifiëren dat de Store-app is verwijderd, en het verzamelen van feedback van gebruikers over hun ervaring met app-installatie via de Company Portal. Alle remediatie-activiteiten moeten worden gedocumenteerd, inclusief de oorzaak van het probleem, de genomen stappen om het op te lossen, en de resultaten. Deze documentatie helpt bij het verbeteren van het remediatieproces en bij het voorkomen van vergelijkbare problemen in de toekomst.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Intune Application Control: Turn Off Store Application .DESCRIPTION CIS - Windows Store application moet disabled. .NOTES Filename: turn-off-the-store-application-is-set-to-enabled.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\WindowsStore\DisableOSUpgrade|Expected: 1 #> #Requires -Version 5.1 #Requires -RunAsAdministrator [CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert) $ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\WindowsStore"; $RegName = "DisableOSUpgrade"; $ExpectedValue = 1 function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) } function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "turn-off-store-application.ps1"; PolicyName = "Store Application Disabled"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue } try { if (Test-Path $RegPath) { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue; if ($v) { $r.CurrentValue = $v.$RegName; if ($r.CurrentValue -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Store app disabled" }else { $r.Details += "Store app enabled" } }else { $r.Details += "Niet geconfigureerd" } }else { $r.Details += "Niet geconfigureerd" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r } function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Store application disabled" -ForegroundColor Green } function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r } function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue } try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }

Risico zonder implementatie

Risico zonder implementatie
Low: Laag: Het volledig verwijderen van de Store-app is de strengste aanpak (alternatief: Store uitschakelen is zachter). Wanneer de Windows Store-applicatie niet wordt verwijderd in omgevingen met hoge beveiligingseisen, kunnen gebruikers ongeautoriseerde consumententoepassingen installeren die niet voldoen aan organisatiebeleid en beveiligingsvereisten. Dit kan leiden tot shadow IT, compliance-problemen, en beveiligingsrisico's wanneer gebruikers software installeren die niet is geëvalueerd op beveiligingskwetsbaarheden of licentiecompliance. Voor organisaties in de publieke sector, defensie of financiële dienstverlening kan dit resulteren in niet-naleving van frameworks zoals BIO, ISO 27001 of DISA STIG. Het risico is laag voor algemene bedrijfsomgevingen maar hoog voor omgevingen met classified information of gevoelige gegevens waar zero tolerance geldt voor ongeautoriseerde software.

Management Samenvatting

Het volledig verwijderen van de Windows Store-applicatie biedt de strengste vorm van applicatiecontrole door de Store-app volledig te verwijderen van het systeem in plaats van alleen uit te schakelen. Deze maatregel is met name geschikt voor omgevingen met hoge beveiligingseisen zoals overheidsorganisaties, defensie-instellingen en financiële instellingen waar alleen enterprise-software is toegestaan. Na verwijdering van de Store moeten gebruikers uitsluitend gebruikmaken van de Intune Company Portal voor app-deployment, wat zorgt voor centrale controle over alle geïnstalleerde software. Implementatie-inspanning is 1-3 uur inclusief Intune-configuratie, profieltoewijzing, en gebruikerscommunicatie. Doorlopende inspanning is minimaal, voornamelijk monitoring en incidentafhandeling. Return on investment komt van verbeterde beveiligingspositie, compliance-bereiking met frameworks zoals BIO en ISO 27001, en verminderd risico op shadow IT en ongeautoriseerde software-installatie.