💼 Management Samenvatting
Windows Cloud Search integreert Bing-webzoekresultaten in de lokale Windows-zoekfunctie, waardoor zoekopdrachten naar de Microsoft-cloud worden gestuurd. Deze functionaliteit moet worden uitgeschakeld om privacy te waarborgen en gegevenslekken te voorkomen.
Aanbeveling
IMPLEMENT
Risico zonder
Medium
Risk Score
4/10
Implementatie
1u (tech: 0.5u)
Van toepassing op:
✓ Windows 10
✓ Windows 11
✓ Windows 11
Windows Cloud Search vormt een significant privacyrisico voor Nederlandse overheidsorganisaties. Wanneer gebruikers de Windows-zoekbalk activeren via de Windows-toets, kan het systeem webresultaten van Bing weergeven. Om deze functionaliteit te leveren, stuurt Windows automatisch alle zoekopdrachten naar de Microsoft-cloud. Dit betekent dat organisaties onbewust gevoelige informatie delen met een externe partij. De gegevens die worden verzonden omvatten alle zoekopdrachten van gebruikers, inclusief zoekacties naar lokale bestanden en applicaties. Daarnaast worden gebruikersintentiegegevens gedeeld, wat betekent dat Microsoft inzicht krijgt in wat medewerkers zoeken en waarom. Ook timingpatronen worden vastgelegd, waardoor Microsoft kan analyseren wanneer bepaalde zoekacties plaatsvinden. Deze gegevens kunnen onthullende informatie bevatten over interne projecten, beveiligingsconfiguraties en vertrouwelijke klantgegevens. Bijvoorbeeld, wanneer een medewerker zoekt naar 'Project Falcon interne documenten', wordt deze zoekopdracht naar Bing gestuurd, waardoor Microsoft weet dat de organisatie werkt aan een project genaamd Falcon. Zoekopdrachten naar VPN-configuraties onthullen informatie over de beveiligingspositie van de organisatie. Wanneer vertrouwelijke klantnamen in zoekopdrachten voorkomen, leidt dit tot ongewenste gegevensdeling. Voor enterprise-omgevingen heeft deze functionaliteit geen toegevoegde waarde, omdat gebruikers primair zoeken naar lokale bestanden en applicaties. Webzoekresultaten zijn in deze context irrelevant, en gebruikers hebben altijd een aparte webbrowser beschikbaar voor webzoekopdrachten. Vanuit compliance-perspectief is het uitschakelen van Cloud Search essentieel. De Algemene Verordening Gegevensbescherming (AVG) vereist dat organisaties het principe van dataminimalisatie toepassen, wat betekent dat alleen de minimale hoeveelheid gegevens mag worden verzameld en verwerkt die noodzakelijk is voor het beoogde doel. Het automatisch delen van zoekopdrachten met een externe cloudprovider voldoet niet aan dit principe. Daarnaast vereist privacy by design dat privacybescherming vanaf het ontwerp wordt meegenomen, wat betekent dat systemen standaard privacyvriendelijk moeten zijn geconfigureerd.
PowerShell Modules Vereist
Primary API: Intune / Group Policy
Connection:
Required Modules:
Connection:
RegistryRequired Modules:
Implementatie
Het uitschakelen van Windows Cloud Search gebeurt via een registerinstelling. De specifieke registerwaarde die moet worden geconfigureerd is HKLM:\SOFTWARE\Policies\Microsoft\Windows\Windows Search\AllowCloudSearch, die moet worden ingesteld op 0 (niet toegestaan). Wanneer deze instelling correct is geconfigureerd, werkt Windows Search uitsluitend lokaal. Gebruikers kunnen nog steeds zoeken naar bestanden, applicaties en instellingen op hun lokale systeem, maar er worden geen Bing-webresultaten meer weergegeven. Bovendien worden er geen zoekopdrachten meer naar de Microsoft-cloud gestuurd, waardoor alle zoekactiviteit volledig lokaal blijft. De volledige lokale zoekfunctionaliteit blijft beschikbaar en functioneert normaal, waardoor gebruikers geen beperkingen ervaren in hun dagelijkse werkzaamheden.
Vereisten
Voor het implementeren van deze beveiligingsmaatregel zijn specifieke technische en organisatorische vereisten van toepassing. Allereerst moet de organisatie beschikken over Windows 10 of Windows 11 werkstations, aangezien deze functionaliteit alleen beschikbaar is op deze moderne versies van het Windows-besturingssysteem. Oudere versies zoals Windows 7 of Windows 8.1 hebben deze cloudintegratie niet, waardoor de maatregel daar niet van toepassing is. Het is belangrijk om te realiseren dat zowel Windows 10 als Windows 11 standaard Cloud Search ingeschakeld hebben, wat betekent dat organisaties actief moeten ingrijpen om deze functionaliteit uit te schakelen. Vanuit beheersperspectief is het essentieel dat de organisatie beschikt over een centraal beheersysteem voor het configureren van Windows-instellingen. Microsoft Intune vormt de moderne aanbevolen oplossing voor cloudgebaseerd beheer, waarbij beveiligingsinstellingen centraal kunnen worden geconfigureerd en automatisch worden toegepast op alle werkstations binnen de organisatie. Intune biedt de mogelijkheid om deze instelling te configureren via een administratieve sjabloon, wat een gestandaardiseerde en gecontroleerde implementatie mogelijk maakt. Alternatief kan Group Policy Objects (GPO) worden gebruikt in omgevingen die nog werken met een on-premises Active Directory-infrastructuur. GPO's bieden vergelijkbare functionaliteit voor het centraal beheren van Windows-instellingen, maar vereisen een lokale Active Directory Domain Services-omgeving. Voor organisaties die in transitie zijn naar een hybride of volledig cloudgebaseerde omgeving, is Intune de aanbevolen keuze. Naast deze technische vereisten zijn er ook organisatorische overwegingen. De IT-afdeling moet beschikken over de juiste rechten en toegang tot het beheersysteem om deze instelling te kunnen configureren. Daarnaast is het belangrijk dat er een duidelijk proces is voor het testen van configuratiewijzigingen voordat deze worden uitgerold naar de volledige organisatie. Dit voorkomt dat onbedoelde gevolgen optreden die de productiviteit van gebruikers kunnen beïnvloeden. Hoewel het uitschakelen van Cloud Search geen negatieve impact heeft op de functionaliteit van lokale zoekopdrachten, is het toch verstandig om gebruikers te informeren over deze wijziging, zodat zij begrijpen waarom webresultaten niet meer verschijnen in de Windows-zoekbalk.
Implementatie
Gebruik PowerShell-script allow-cloud-search-is-set-to-not-allowed.ps1 (functie Invoke-Remediation) – Schakel uit cloud search.
De implementatie van deze beveiligingsmaatregel kan worden uitgevoerd via verschillende methoden, afhankelijk van de beschikbare beheerinfrastructuur binnen de organisatie. Voor organisaties die Microsoft Intune gebruiken als hun primaire device management-oplossing, is de implementatie relatief eenvoudig. Binnen de Intune-portal kan een nieuwe configuratieprofiel worden aangemaakt specifiek voor Windows-beveiligingsinstellingen. Binnen dit profiel moet de categorie Windows Search worden geselecteerd, waarna de specifieke instelling AllowCloudSearch kan worden geconfigureerd. Deze instelling moet worden ingesteld op 'Niet toegestaan', wat overeenkomt met de registerwaarde 0. Het voordeel van deze aanpak is dat de configuratie centraal wordt beheerd en automatisch wordt gesynchroniseerd naar alle werkstations die zijn geregistreerd in Intune. Dit zorgt voor een consistente implementatie across de gehele organisatie en vermindert het risico op configuratiefouten die kunnen optreden bij handmatige implementatie. Voor organisaties die nog werken met een on-premises Active Directory-omgeving, kan Group Policy worden gebruikt als alternatieve implementatiemethode. Binnen de Group Policy Management Console moet een nieuwe Group Policy Object worden aangemaakt of een bestaand GPO worden bewerkt. Via Computer Configuration kunnen de Windows-instellingen worden geconfigureerd, specifiek onder het pad Administrative Templates, Windows Components, en vervolgens Windows Search. Hier kan de policy 'Allow Cloud Search' worden gevonden en ingesteld op 'Uitgeschakeld'. Deze configuratie wordt vervolgens automatisch toegepast op alle computers binnen de organisatie-eenheid waaraan het GPO is gekoppeld. Voor organisaties die een hybride omgeving hebben, waarbij sommige werkstations worden beheerd via Intune en andere via Group Policy, is het belangrijk om ervoor te zorgen dat beide systemen dezelfde configuratie toepassen om inconsistentie te voorkomen. Na de configuratie moet de implementatie worden gevalideerd door te controleren of de registerwaarde daadwerkelijk is aangepast op de werkstations. Dit kan worden gedaan door handmatig de registerwaarde te controleren op een testwerkstation, of door gebruik te maken van het bijbehorende monitoring script dat automatisch de configuratie verifieert. Het is aanbevolen om de implementatie eerst uit te voeren op een beperkte groep testwerkstations voordat de configuratie wordt uitgerold naar de volledige organisatie. Dit maakt het mogelijk om eventuele onverwachte problemen te identificeren en op te lossen voordat alle gebruikers worden beïnvloed.
Monitoring
Gebruik PowerShell-script allow-cloud-search-is-set-to-not-allowed.ps1 (functie Invoke-Monitoring) – Verifieer AllowCloudSearch is 0.
Effectieve monitoring van deze beveiligingsinstelling is essentieel om ervoor te zorgen dat de configuratie consistent blijft gehandhaafd op alle werkstations binnen de organisatie. Het monitoren van de AllowCloudSearch-registerwaarde moet regelmatig worden uitgevoerd om te detecteren of de instelling onbedoeld is gewijzigd of dat nieuwe werkstations niet correct zijn geconfigureerd. Het bijbehorende monitoring script biedt een geautomatiseerde methode om de configuratie te verifiëren op individuele werkstations. Het script controleert of de registerwaarde HKLM:\SOFTWARE\Policies\Microsoft\Windows\Windows Search\AllowCloudSearch daadwerkelijk is ingesteld op 0, wat overeenkomt met de gewenste configuratie waarbij Cloud Search is uitgeschakeld. Voor grootschalige omgevingen is het aanbevolen om dit monitoring script te integreren in een centrale monitoring-oplossing, zoals Microsoft Endpoint Manager of een Security Information and Event Management (SIEM) systeem. Dit maakt het mogelijk om de compliance status van alle werkstations centraal te monitoren en direct te worden gealarmeerd wanneer afwijkingen worden gedetecteerd. Naast geautomatiseerde monitoring is het ook belangrijk om periodiek handmatige controles uit te voeren, vooral na belangrijke wijzigingen in de IT-infrastructuur, zoals de implementatie van nieuwe Windows-versies of migraties naar nieuwe beheersystemen. Deze handmatige controles kunnen worden uitgevoerd door IT-beheerders die toegang hebben tot de werkstations, of door gebruik te maken van remote management tools die toegang bieden tot de registerinstellingen. Het is ook verstandig om monitoring te integreren in het change management proces, zodat bij elke wijziging aan Windows-configuraties automatisch wordt gecontroleerd of deze beveiligingsinstelling nog steeds correct is geconfigureerd. Dit voorkomt dat onbedoelde wijzigingen onopgemerkt blijven en de privacybescherming van de organisatie ondermijnen. Voor auditdoeleinden is het belangrijk om de resultaten van monitoring activiteiten te documenteren en te bewaren, zodat kan worden aangetoond dat de organisatie proactief controleert op compliance met deze beveiligingsmaatregel.
Compliance en Auditing
Het uitschakelen van Windows Cloud Search is direct gerelateerd aan verschillende compliance-vereisten die van toepassing zijn op Nederlandse overheidsorganisaties. De Algemene Verordening Gegevensbescherming (AVG) vormt de primaire privacywetgeving die van toepassing is, en specifiek Artikel 5 van de AVG bevat het principe van dataminimalisatie. Dit principe vereist dat persoonsgegevens worden verzameld en verwerkt in een vorm die toereikend, ter zake dienend en beperkt is tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. Het automatisch delen van zoekopdrachten met een externe cloudprovider, waarbij deze zoekopdrachten mogelijk persoonsgegevens bevatten, voldoet niet aan dit principe omdat deze gegevensverwerking niet noodzakelijk is voor het functioneren van de lokale zoekfunctionaliteit. Door Cloud Search uit te schakelen, zorgt de organisatie ervoor dat alleen de minimale hoeveelheid gegevens wordt verwerkt die nodig is voor de lokale zoekfunctionaliteit, zonder onnodige gegevensdeling met externe partijen. Voor Nederlandse overheidsorganisaties is de Baseline Informatiebeveiliging Overheid (BIO) van bijzonder belang. Binnen de BIO is norm 14.02 gericht op privacybescherming, wat specifiek vereist dat organisaties maatregelen treffen om de privacy van burgers en medewerkers te waarborgen. Het uitschakelen van Cloud Search draagt direct bij aan deze norm door te voorkomen dat gevoelige informatie, zoals interne projectnamen, beveiligingsconfiguraties en andere vertrouwelijke gegevens, onnodig worden gedeeld met externe cloudproviders. Dit is vooral relevant omdat overheidsorganisaties vaak werken met bijzondere categorieën van persoonsgegevens en gevoelige informatie die extra bescherming vereist. De internationale standaard ISO 27001 biedt een raamwerk voor informatiebeveiligingsmanagement, en specifiek controle A.18.1.4 richt zich op privacy en bescherming van persoonsgegevens. Deze controle vereist dat organisaties voldoen aan relevante wet- en regelgeving met betrekking tot privacy en dat zij passende maatregelen implementeren om persoonsgegevens te beschermen. Het uitschakelen van Cloud Search vormt een concrete implementatie van deze controle, omdat het voorkomt dat persoonsgegevens onnodig worden gedeeld met externe partijen. Voor auditdoeleinden is het belangrijk dat organisaties kunnen aantonen dat deze beveiligingsmaatregel is geïmplementeerd en wordt gehandhaafd. Dit betekent dat de registerwaarde regelmatig moet worden geverifieerd en dat deze verificaties moeten worden gedocumenteerd. Auditors zullen waarschijnlijk vragen naar het proces voor het monitoren van deze instelling en naar bewijs dat de configuratie daadwerkelijk is toegepast op alle relevante werkstations binnen de organisatie. Het is daarom essentieel dat er een duidelijk proces is voor het documenteren van compliance-activiteiten en dat deze documentatie beschikbaar is voor auditdoeleinden.
Remediatie
Gebruik PowerShell-script allow-cloud-search-is-set-to-not-allowed.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer monitoring activiteiten aangeven dat de AllowCloudSearch-instelling niet correct is geconfigureerd op een werkstation, moet onmiddellijk remediatie worden uitgevoerd om de beveiligingsconfiguratie te herstellen. Het bijbehorende remediatie script biedt een geautomatiseerde methode om de registerwaarde te corrigeren naar de gewenste configuratie waarbij Cloud Search is uitgeschakeld. Het script controleert eerst de huidige status van de registerwaarde en past deze automatisch aan indien deze niet overeenkomt met de gewenste configuratie. Voor werkstations die worden beheerd via Microsoft Intune, kan remediatie ook worden uitgevoerd door de configuratie opnieuw te synchroniseren vanuit de Intune-portal. Dit kan worden gedaan door de gebruiker te vragen om de synchronisatie handmatig te activeren via de Instellingen-app, of door gebruik te maken van de remote actions functionaliteit binnen Intune om een configuratiesynchronisatie te forceren. In gevallen waarbij de registerwaarde handmatig is gewijzigd door een gebruiker met lokale beheerrechten, is het belangrijk om te onderzoeken hoe deze wijziging heeft kunnen plaatsvinden en om aanvullende maatregelen te treffen om te voorkomen dat gebruikers deze beveiligingsinstelling kunnen wijzigen. Dit kan worden bereikt door het beperken van lokale beheerrechten of door gebruik te maken van aanvullende Group Policy-instellingen die voorkomen dat gebruikers specifieke registerwaarden kunnen wijzigen. Na het uitvoeren van remediatie moet altijd worden geverifieerd dat de configuratie correct is hersteld door het monitoring script opnieuw uit te voeren. Dit zorgt ervoor dat de remediatie succesvol is geweest en dat het werkstation weer voldoet aan de beveiligingsvereisten. Het is ook belangrijk om te documenteren wanneer en waarom remediatie is uitgevoerd, zodat patronen kunnen worden geïdentificeerd die kunnen wijzen op systematische problemen in de configuratiebeheerprocessen. Voor werkstations die herhaaldelijk afwijken van de gewenste configuratie, kan het nodig zijn om aanvullende maatregelen te treffen, zoals het isoleren van het werkstation voor verder onderzoek of het implementeren van aanvullende beveiligingscontroles om te voorkomen dat de configuratie opnieuw wordt gewijzigd.
Compliance & Frameworks
- BIO: 14.02.01 - Privacy bescherming
- ISO 27001:2022: A.18.1.4 - Privacy
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Intune Security Options: Cloud Search Not Allowed
.DESCRIPTION
CIS - Cloud search moet disabled voor privacy.
.NOTES
Filename: cloud-search.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Policies\Microsoft\Windows\Windows Search\AllowCloudSearch|Expected: 0
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\Windows Search"; $RegName = "AllowCloudSearch"; $ExpectedValue = 0
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance {
$r = [PSCustomObject]@{ScriptName = "cloud-search.ps1"; PolicyName = "Cloud Search"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = "Disabled"; Details = @() }; function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (Test-Path $RegPath) { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue; if ($v -and $v.$RegName -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Cloud search disabled" }else { $r.Details += "Cloud search enabled" } }else { $r.IsCompliant = $true; $r.Details += "Default" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r
}
function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Cloud search disabled" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
Medium: Gemiddeld privacyrisico: zoekopdrachten naar Microsoft-cloud onthullen bedrijfsactiviteiten. Dataminimalisatie best practice.
Management Samenvatting
Schakel Windows Cloud Search uit. Houdt zoeken lokaal. Voorkomt gegevenslekken via zoekopdrachten. Implementatie: 30-60 minuten.
- Implementatietijd: 1 uur
- FTE required: 0.01 FTE