๐ผ Management Samenvatting
Online tips in Windows Settings moeten worden geblokkeerd om te voorkomen dat Windows telemetrie naar Microsoft stuurt over welke instellingen gebruikers bekijken, wat privacy verbetert en data minimization ondersteunt.
Aanbeveling
IMPLEMENT
Risico zonder
Low
Risk Score
2/10
Implementatie
1u (tech: 0.5u)
Van toepassing op:
โ Windows 10
โ Windows 11
โ Windows 11
ONLINE TIPS privacy zorgen: Windows Settings kan 'online tips' tonen - contextual help van Microsoft servers. Hiervoor stuurt Windows: Welke settings page user bekijkt, User interactions met settings, Diagnostic data over settings usage. PRIVACY RISKS: Microsoft krijgt visibility in: Welke security/privacy settings users Configureer (potentieel revealing org beveiligingspositie), Troubleshooting patterns (what problems org experiences), Usage telemetry voor product improvement (but org heeft geen controle). DATA MINIMIZATION: AVG/GDPR vereist data minimization - alleen noodzakelijke data verzenden. Online tips zijn NIET noodzakelijk voor Windows functionaliteit. ENTERPRISE PERSPECTIVE: Help kan lokaal worden geboden (internal documentation), No need voor Cloud-gebaseerde tips (potential Gegevenslekage), Consistent gebruikerservaring zonder external dependencies.
PowerShell Modules Vereist
Primary API: Intune / Group Policy
Connection:
Required Modules:
Connection:
RegistryRequired Modules:
Implementatie
Blokkeer online tips via Registry: HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\AllowOnlineTips is 0. EFFECT: Windows Settings shows alleen local help (geen cloud tips), Geen telemetry naar Microsoft over settings usage, Minimale user impact (tips waren optioneel).
Vereisten
- Windows 10/11
- Intune of GPO
Implementatie
Gebruik PowerShell-script allow-online-tips-is-set-to-block.ps1 (functie Invoke-Remediation) โ Blokkeer online tips via registry.
Intune: Settings catalog โ AllowOnlineTips is 0 (Block)
monitoring
Gebruik PowerShell-script allow-online-tips-is-set-to-block.ps1 (functie Invoke-Monitoring) โ Verifieer AllowOnlineTips is 0.
Compliance en Auditing
- AVG Artikel 5 - Data minimization
- BIO 14.02 - Minimize unnecessary cloud connections
- ISO 27001 A.18.1.4 - Privacy
Remediatie
Gebruik PowerShell-script allow-online-tips-is-set-to-block.ps1 (functie Invoke-Remediation) โ Herstellen.
Compliance & Frameworks
- BIO: 14.02.01 - Minimize cloud telemetry
- ISO 27001:2022: A.18.1.4 - Privacy bescherming
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Intune Security Options: Online Tips Blocked
.DESCRIPTION
CIS - Online tips moet blocked.
.NOTES
Filename: online-tips.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\AllowOnlineTips|Expected: 0
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer"; $RegName = "AllowOnlineTips"; $ExpectedValue = 0
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance {
$r = [PSCustomObject]@{ScriptName = "online-tips.ps1"; PolicyName = "Online Tips"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = "Blocked"; Details = @() }; function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (Test-Path $RegPath) { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue; if ($v -and $v.$RegName -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Online tips blocked" }else { $r.Details += "Online tips enabled" } }else { $r.IsCompliant = $true; $r.Details += "Default" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r
}
function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Online tips blocked" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
Low: Laag privacy risk: Telemetry over settings usage naar Microsoft. Data minimization best practice.
Management Samenvatting
Blokkeer online tips in Windows Settings (AllowOnlineTips=0). Voorkomt telemetry, verbetert privacy. Minimale impact. Implementatie: 30-60 min.
- Implementatietijd: 1 uur
- FTE required: 0.01 FTE