💼 Management Samenvatting
Deze beveiligingsmaatregel zorgt ervoor dat de geolocatieservice op Windows-eindpunten op een gecontroleerde en privacyvriendelijke manier wordt uitgeschakeld. Door dit centraal via Microsoft Intune te beheren, voorkom je dat afzonderlijke apparaten eigen, afwijkende instellingen hanteren die mogelijk gevoelige locatiegegevens prijsgeven.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
7/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Windows
De Windows-geolocatieservice kan locatie-informatie verzamelen en delen met applicaties en diensten. In veel overheids- en bedrijfsomgevingen is het ongewenst dat werkplekken continu of onnodig locatiegegevens verwerken, omdat dit kan leiden tot privacyrisico’s, schending van interne beleidsregels en mogelijke non-compliance met regelgeving zoals de AVG en de BIO. Door de geolocatieservice standaard uit te schakelen en alleen in uitzonderlijke, goed onderbouwde scenario’s toe te staan, verklein je de aanvalsoppervlakte en voorkom je ongecontroleerde gegevensverwerkingen.
PowerShell Modules Vereist
Primary API: Graph
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
Deze maatregel configureert de Windows-geolocatieservice (lfsvc) zodanig dat deze op beheerde werkstations standaard is uitgeschakeld. Dit gebeurt via Microsoft Intune, met behulp van apparaatconfiguratieprofielen of compliance policies die centraal worden uitgerold naar de betreffende Windows-apparaten. De instelling wordt gehandhaafd als onderdeel van de bredere Windows-beveiligingsbaseline, zodat werkplekken voldoen aan de eisen uit de "Nederlandse Baseline voor Veilige Cloud" en er een consistente, aantoonbare implementatie van privacy- en beveiligingsafspraken ontstaat.
Vereisten
Voor het veilig uitschakelen van de geolocatieservice op Windows-eindpunten zijn enkele technische en organisatorische voorwaarden noodzakelijk. Allereerst moet de organisatie beschikken over een werkende Microsoft Intune-omgeving waarin Windows-apparaten hybride of volledig in de cloud worden beheerd. De betrokken werkplekken dienen correct te zijn geregistreerd in Azure AD, zodat beleid op basis van beveiligingsgroepen, device collections of dynamische groepen kan worden toegewezen. Daarnaast moet er een duidelijk en vastgesteld privacy- en beveiligingsbeleid zijn waarin staat beschreven wanneer het gebruik van locatiegegevens is toegestaan en onder welke voorwaarden dit expliciet wordt verboden. Dit beleid vormt de basis voor de inrichting van het Intune-configuratieprofiel waarmee de geolocatieservice wordt uitgeschakeld. Verder is het belangrijk dat beheerders over de juiste rollen en bevoegdheden beschikken binnen Intune en de Microsoft 365-tenant. Denk hierbij aan rollen zoals Intune-beheerder of Endpoint Security-beheerder, zodat zij configuratieprofielen kunnen aanmaken, aanpassen en toewijzen aan de juiste apparaten. Ook moeten er procedures bestaan voor wijzigingsbeheer, zodat aanpassingen aan het beleid vooraf worden afgestemd met security officers, privacy officers en eventueel de functionaris gegevensbescherming. Tot slot is het noodzakelijk dat de logging- en rapportagefunctionaliteit is ingericht, zodat de organisatie kan aantonen dat het beleid daadwerkelijk is toegepast en blijft gelden. Dit omvat zowel de controle op succesvolle policy-toepassing op de endpoints als de documentatie van beslissingen rondom uitzonderingen voor specifieke doelgroepen of apparaten. Door deze vereisten te borgen, ontstaat een solide fundament voor een consistente en aantoonbare implementatie van deze privacymaatregel.
Implementatie
Gebruik PowerShell-script geolocation-service-lfsvc-is-set-to-disabled.ps1 (functie Invoke-Monitoring) – Monitoren.
Monitoring
Gebruik PowerShell-script geolocation-service-lfsvc-is-set-to-disabled.ps1 (functie Invoke-Monitoring) – Controleren.
Remediatie
Gebruik PowerShell-script geolocation-service-lfsvc-is-set-to-disabled.ps1 (functie Invoke-Remediation) – Herstellen.
Compliance en Auditing
Voor compliance en auditing is het cruciaal dat het uitschakelen van de geolocatieservice niet alleen technisch wordt geregeld, maar ook aantoonbaar wordt vastgelegd in beleid en documentatie. De organisatie moet in haar informatiebeveiligingsbeleid en privacybeleid expliciet opnemen hoe met locatiegegevens wordt omgegaan, waarom de geolocatieservice standaard wordt uitgeschakeld en onder welke uitzonderlijke omstandigheden hiervan kan worden afgeweken. Deze beleidsdocumenten moeten aansluiten bij relevante kaders zoals de AVG, de BIO en interne richtlijnen rondom gegevensminimalisatie en doelbinding. Door helder te beschrijven dat locatiegegevens alleen worden verwerkt als dit strikt noodzakelijk is voor een legitiem doel, kan een auditor eenvoudig vaststellen dat de gekozen configuratie proportioneel en verdedigbaar is. Daarnaast is het belangrijk dat er voldoende auditbare sporen bestaan om aan te tonen dat het beleid in de praktijk daadwerkelijk wordt toegepast. Dit betekent dat wijzigingen in Intune-configuratieprofielen, toewijzingen aan groepen en eventuele uitzonderingen op dit beleid worden gelogd en periodiek worden beoordeeld. Beheerteams dienen rapportages te kunnen genereren die inzicht geven in welke apparaten het beleid hebben ontvangen, of er conflictsituaties zijn met andere profielen en of er apparaten buiten beheer vallen. Bij voorkeur wordt deze informatie gekoppeld aan interne controles, zoals periodieke reviews door de CISO-organisatie of interne auditdiensten. Tot slot speelt bewustwording een rol in naleving. Medewerkers moeten weten dat geolocatiediensten op beheerste werkplekken standaard zijn uitgeschakeld en dat het gebruik van alternatieve oplossingen, zoals mobiele apparaten met afzonderlijke beleidsinstellingen, alleen binnen de vastgestelde kaders is toegestaan. Door dit te combineren met duidelijke communicatie, regelmatige controles en goed bijgehouden documentatie kan de organisatie aantonen dat zij locatiegegevens op een zorgvuldige en controleerbare manier behandelt. Dit helpt bij externe audits, interne reviews en bij het kunnen onderbouwen van keuzes richting toezichthouders wanneer er vragen ontstaan over de verwerking van persoonsgegevens binnen de digitale werkplek.
Compliance & Frameworks
- CIS M365: Control 18.9.19.2 (L1) - CIS Security Benchmark aanbevelingen
- BIO: 16.01 - BIO Baseline Informatiebeveiliging Overheid - 16.01 - Gebeurtenissen logging en audittrails
- ISO 27001:2022: A.12.4.1 - ISO 27001:2022 - Gebeurtenissen logging en audittrails
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Intune Privacy: Geolocation Service (lfsvc) Disabled
.DESCRIPTION
CIS - Location Framework Service moet disabled.
.NOTES
Filename: geolocation-service-lfsvc-is-set-to-disabled.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Service: lfsvc|Expected: Disabled
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $ServiceName = "lfsvc"; $ExpectedValue = "Disabled"
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance {
$r = [PSCustomObject]@{ScriptName = "geolocation-service.ps1"; PolicyName = "Location Service"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = $ExpectedValue; Details = @() }; function Invoke-Revert { Set-Service -Name $ServiceName -StartupType Manual -ErrorAction SilentlyContinue }
try { $svc = Get-Service -Name $ServiceName -ErrorAction SilentlyContinue; if ($svc) { $startup = Get-CimInstance -ClassName Win32_Service -Filter "Name='$ServiceName'" | Select-Object -ExpandProperty StartMode; $r.CurrentValue = $startup; if ($startup -eq 'Disabled') { $r.IsCompliant = $true; $r.Details += "Location service disabled" }else { $r.Details += "Location service: $startup" } }else { $r.IsCompliant = $true; $r.Details += "Service niet gevonden" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r
}
function Invoke-Remediation { Stop-Service -Name $ServiceName -Force -ErrorAction SilentlyContinue; Set-Service -Name $ServiceName -StartupType Disabled -ErrorAction SilentlyContinue; Write-Host "Location service disabled" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { Set-Service -Name $ServiceName -StartupType Manual -ErrorAction SilentlyContinue }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
High: Als de geolocatieservice ingeschakeld blijft, kunnen onbeheerst locatiegegevens worden verzameld en gedeeld met toepassingen, wat leidt tot verhoogde privacyrisico’s, mogelijke non-compliance met AVG en BIO, en een gebrek aan aantoonbare controle over hoe en waarom locatiegegevens worden verwerkt.
Management Samenvatting
Schakel de Windows-geolocatieservice centraal uit via Intune, borg de beleidsdocumentatie en zorg voor inzichtelijke rapportages over de naleving.
- Implementatietijd: 2 uur
- FTE required: 0.01 FTE