💼 Management Samenvatting
De Advertising ID is een unieke identifier die Windows gebruikt om gebruikers te volgen voor gepersonaliseerde advertenties. Het uitschakelen van deze functie is essentieel voor privacybescherming en AVG-compliance.
Aanbeveling
IMPLEMENTEREN
Risico zonder
Medium
Risk Score
5/10
Implementatie
1.5u (tech: 1u)
Van toepassing op:
✓ Windows
De Windows Advertising ID vormt een significant privacyrisico voor organisaties, met name in de publieke sector waar strikte privacyregels gelden. Deze unieke identifier wordt door Microsoft en derde partijen gebruikt om gebruikersgedrag te volgen, advertentieprofielen op te bouwen en gepersonaliseerde marketing te leveren. Voor Nederlandse overheidsorganisaties is dit problematisch omdat het in strijd kan zijn met de Algemene Verordening Gegevensbescherming (AVG), die vereist dat persoonsgegevens alleen worden verwerkt voor specifieke, legitieme doeleinden. Bovendien kan de Advertising ID worden gekoppeld aan andere identifiers, waardoor uitgebreide gebruikersprofielen ontstaan zonder expliciete toestemming. Het uitschakelen van deze functie voorkomt ongewenste tracking, vermindert het privacyrisico en zorgt voor betere compliance met Nederlandse en Europese privacywetgeving.
PowerShell Modules Vereist
Primary API: Graph
Connection:
Required Modules: Microsoft.Graph.DeviceManagement
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.DeviceManagement
Implementatie
Deze beveiligingsmaatregel zorgt ervoor dat de Windows Advertising ID wordt uitgeschakeld via Microsoft Intune apparaatconfiguratiebeleid. Wanneer deze instelling is geconfigureerd, genereert Windows geen unieke Advertising ID meer voor het apparaat, waardoor tracking voor advertentiedoeleinden wordt voorkomen. De configuratie wordt afgedwongen via een Intune-beleid dat de registry-waarde wijzigt op alle beheerde Windows-apparaten, waardoor consistentie wordt gegarandeerd binnen de organisatie.
Vereisten
Voor de implementatie van deze beveiligingsmaatregel zijn verschillende technische en organisatorische vereisten van toepassing. Allereerst is een actieve Microsoft Intune-licentie vereist met de juiste rechten voor het beheren van apparaatconfiguratiebeleid. De organisatie moet beschikken over een Microsoft 365-tenant met Intune ingeschakeld en minimaal een Intune Plan 1 licentie voor alle beheerde apparaten. Daarnaast is toegang tot het Microsoft Intune Admin Center nodig met de rol 'Intune Administrator' of 'Global Administrator' voor het configureren van het beleid.
Vanuit technisch perspectief moeten alle doelapparaten Windows 10 versie 1809 of hoger draaien, of Windows 11. De apparaten moeten zijn ingeschreven in Microsoft Intune via een van de ondersteunde inschrijvingsmethoden, zoals Azure AD Join, Hybrid Azure AD Join, of Mobile Device Management (MDM) inschrijving. Voor hybride omgevingen is het belangrijk dat de apparaten correct zijn gesynchroniseerd tussen on-premises Active Directory en Azure Active Directory.
Organisatorisch gezien moet er duidelijkheid zijn over welke apparaten onder dit beleid vallen. Over het algemeen wordt aanbevolen om het beleid toe te passen op alle productieapparaten, maar er kunnen uitzonderingen nodig zijn voor specifieke ontwikkelomgevingen of testapparaten waar advertentietracking mogelijk nodig is voor applicatietests. Het is belangrijk om deze uitzonderingen te documenteren en periodiek te evalueren of ze nog steeds gerechtvaardigd zijn.
Tot slot is communicatie met gebruikers belangrijk, vooral omdat het uitschakelen van de Advertising ID kan leiden tot minder gepersonaliseerde ervaringen in sommige Microsoft-applicaties. Gebruikers moeten worden geïnformeerd over de privacyvoordelen en eventuele impact op hun dagelijkse werkzaamheden, hoewel deze impact meestal minimaal is.
Implementatie
Gebruik PowerShell-script disable-advertising-id-is-set-to-enabled.ps1 (functie Invoke-Remediation) – PowerShell script voor automatische configuratie van Advertising ID-beleid via Intune.
De implementatie van deze beveiligingsmaatregel begint met het aanmaken van een nieuw apparaatconfiguratiebeleid in Microsoft Intune. Navigeer naar het Microsoft Intune Admin Center en selecteer 'Apparaten' in het linkermenu, gevolgd door 'Configuratiebeleid'. Klik op 'Beleid maken' en selecteer het platform 'Windows 10 en later' met het profieltype 'Beheersjablonen' (Administrative Templates).
In de beleidsconfiguratie zoekt u naar de categorie 'Windows Components' en vervolgens naar 'Data Collection and Preview Builds'. Binnen deze categorie vindt u de instelling 'Allow Microsoft to use your advertising ID for experiences across apps'. Deze instelling moet worden geconfigureerd op 'Uitgeschakeld' (Disabled). Het is belangrijk om te controleren dat u de juiste instelling selecteert, aangezien er meerdere vergelijkbare instellingen zijn die betrekking hebben op datacollectie.
Na het configureren van de instelling moet u het beleid een duidelijke naam geven, zoals 'Disable Windows Advertising ID - Production', en een beschrijving toevoegen die uitlegt waarom dit beleid is geïmplementeerd. Voeg ook relevante tags toe voor eenvoudige identificatie en filtering in de toekomst. Vervolgens wijst u het beleid toe aan de juiste groepen. Het wordt aanbevolen om te beginnen met een pilotgroep van beperkte omvang om eventuele problemen te identificeren voordat u het beleid breed uitrolt.
De toewijzing gebeurt via Azure AD-groepen. Selecteer de gewenste beveiligingsgroepen of Microsoft 365-groepen die de doelapparaten bevatten. Voor een gefaseerde implementatie kunt u beginnen met een testgroep, gevolgd door een uitbreiding naar alle productieapparaten. Het is belangrijk om te weten dat het beleid wordt toegepast op apparaatniveau, niet op gebruikersniveau, dus de toewijzing moet gebaseerd zijn op apparaatgroepen of groepen die apparaten bevatten.
Na de toewijzing duurt het meestal 15 tot 30 minuten voordat het beleid wordt gesynchroniseerd naar de apparaten, afhankelijk van de Intune-synchronisatiecyclus. Apparaten controleren periodiek op nieuwe beleidsupdates, maar u kunt ook handmatig een synchronisatie forceren vanuit het apparaat via Instellingen > Accounts > Toegang tot werk of school > Info > Synchroniseren. Na de synchronisatie wordt de registry-waarde HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\AdvertisingInfo\Enabled automatisch ingesteld op 0, waardoor de Advertising ID wordt uitgeschakeld.
Voor organisaties die gebruik maken van Group Policy in plaats van of naast Intune, kan dezelfde instelling worden geconfigureerd via een Group Policy Object (GPO). Navigeer naar Computer Configuration > Administrative Templates > Windows Components > Data Collection and Preview Builds en configureer dezelfde instelling. Het gebruik van Intune heeft echter de voorkeur voor moderne cloud-first organisaties vanwege de betere integratie met andere Microsoft 365-services en de eenvoudigere beheerbaarheid op afstand.
Monitoring
Gebruik PowerShell-script disable-advertising-id-is-set-to-enabled.ps1 (functie Invoke-Monitoring) – PowerShell script voor het controleren van de Advertising ID-configuratie op beheerde apparaten.
Effectieve monitoring van deze beveiligingsmaatregel is essentieel om te garanderen dat het beleid correct wordt toegepast en blijft gehandhaafd op alle beheerde apparaten. Microsoft Intune biedt ingebouwde rapportagefunctionaliteit waarmee u de compliance-status van het beleid kunt volgen. In het Intune Admin Center kunt u naar 'Apparaten' > 'Configuratiebeleid' navigeren en het specifieke beleid selecteren om de compliance-rapportage te bekijken.
Het compliance-rapport toont drie belangrijke statussen: 'In overeenstemming' (Compliant), 'Niet in overeenstemming' (Non-compliant), en 'In behandeling' (Pending). Apparaten met de status 'In overeenstemming' hebben het beleid correct ontvangen en toegepast. Apparaten met de status 'Niet in overeenstemming' hebben het beleid ontvangen maar de configuratie is niet correct toegepast, wat kan wijzen op problemen met apparaatrechten, conflicterende beleidsregels, of handmatige wijzigingen door gebruikers met administratorrechten.
Voor gedetailleerde monitoring op apparaatniveau kunt u het bijgeleverde PowerShell-script gebruiken dat de registry-waarde controleert. Het script controleert de waarde van HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\AdvertisingInfo\Enabled en rapporteert of deze correct is ingesteld op 0 (uitgeschakeld). Het script kan worden uitgevoerd als onderdeel van een geautomatiseerde compliance-check via Microsoft Endpoint Manager of als onderdeel van een grotere security baseline-verificatie.
Naast technische monitoring is het belangrijk om periodiek te controleren of er nieuwe Windows-updates of functie-updates zijn die de werking van deze instelling kunnen beïnvloeden. Microsoft brengt regelmatig updates uit die nieuwe functies introduceren of bestaande functies wijzigen, en het is mogelijk dat nieuwe datacollectie-instellingen worden toegevoegd die aanvullende configuratie vereisen. Abonneer u op Microsoft Security Advisories en controleer regelmatig de release notes van Windows-updates voor relevante wijzigingen.
Voor organisaties met strikte compliance-eisen, zoals overheidsorganisaties die moeten voldoen aan BIO-normen, is het aanbevolen om maandelijks een compliance-rapport te genereren dat de status van alle apparaten documenteert. Dit rapport kan worden gebruikt als auditbewijs en moet worden bewaard volgens de organisatorische bewaartermijnen. Het rapport moet minimaal bevatten: het totaal aantal beheerde apparaten, het aantal apparaten in overeenstemming met het beleid, het aantal niet-conforme apparaten met bijbehorende redenen, en acties die zijn ondernomen om niet-conforme apparaten te herstellen.
Geavanceerde monitoring kan worden geïmplementeerd met behulp van Microsoft Sentinel of andere SIEM-oplossingen die registry-wijzigingen kunnen detecteren. Als een apparaat dat eerder compliant was plotseling non-compliant wordt, kan dit wijzen op een beveiligingsincident waarbij een aanvaller administratorrechten heeft verkregen en de instelling heeft gewijzigd. Dergelijke wijzigingen moeten worden onderzocht als potentiële beveiligingsindicatoren.
Remediatie
Gebruik PowerShell-script disable-advertising-id-is-set-to-enabled.ps1 (functie Invoke-Remediation) – PowerShell script voor automatische herstelacties wanneer Advertising ID onterecht is ingeschakeld.
Wanneer monitoring aangeeft dat een apparaat niet in overeenstemming is met het beleid, moeten er direct remediatiestappen worden ondernomen. De meest voorkomende oorzaak van non-compliance is dat het apparaat het beleid nog niet heeft ontvangen of gesynchroniseerd, wat meestal wordt opgelost door het forceren van een Intune-synchronisatie. Als het apparaat echter persistent non-compliant blijft, zijn er verschillende mogelijke oorzaken die moeten worden onderzocht.
De eerste stap in remediatie is het verifiëren van de apparaatinschrijving. Controleer of het apparaat correct is ingeschreven in Intune en of het lid is van de juiste Azure AD-groepen waaraan het beleid is toegewezen. Als het apparaat niet is ingeschreven of niet in de juiste groep zit, moet dit eerst worden opgelost voordat het beleid kan worden toegepast. Voor hybride omgevingen is het belangrijk om te controleren of de apparaatobjecten correct zijn gesynchroniseerd tussen on-premises Active Directory en Azure AD.
Als het apparaat wel correct is ingeschreven maar nog steeds non-compliant is, controleer dan of er conflicterende beleidsregels zijn. Het is mogelijk dat een andere Intune-beleidsregel of een Group Policy Object dezelfde registry-waarde probeert te configureren met een andere waarde, wat resulteert in een conflict. In dergelijke gevallen heeft het beleid met de hoogste prioriteit voorrang, of in het geval van gelijke prioriteit kan het laatste toegepaste beleid de winnaar zijn. Review alle beleidsregels die van invloed kunnen zijn op deze registry-waarde en zorg voor consistentie.
Een andere veelvoorkomende oorzaak is dat gebruikers met lokale administratorrechten handmatig de registry-waarde hebben gewijzigd. Dit kan gebeuren door onwetendheid, door kwaadwillende software, of door gebruikers die proberen bepaalde functionaliteit te herstellen. In dergelijke gevallen moet het remediatiescript worden uitgevoerd om de waarde opnieuw in te stellen op 0. Het script controleert eerst de huidige waarde, stelt deze in op 0 indien nodig, en rapporteert het resultaat terug naar Intune voor compliance-verificatie.
Voor persistente problemen kan het nodig zijn om het apparaat opnieuw in te schrijven in Intune of om een volledige beleidssynchronisatie te forceren. In extreme gevallen, wanneer het apparaat herhaaldelijk non-compliant wordt na remediatie, kan dit wijzen op een beveiligingsprobleem waarbij malware of een aanvaller de instellingen blijft wijzigen. In dergelijke scenario's moet het apparaat worden geïsoleerd van het netwerk en moet een volledige beveiligingsscan worden uitgevoerd voordat het opnieuw wordt toegelaten tot de productieomgeving.
Na succesvolle remediatie moet de compliance-status binnen 15 tot 30 minuten worden bijgewerkt in Intune. Als het apparaat na deze periode nog steeds als non-compliant wordt gerapporteerd, controleer dan de Intune-logboeken voor foutmeldingen en overweeg om Microsoft Support te contacteren als het probleem aanhoudt. Documenteer alle remediatieacties in het ticketing- of beheersysteem voor toekomstige referentie en auditdoeleinden.
Compliance en Auditing
Het uitschakelen van de Windows Advertising ID is een belangrijke maatregel voor compliance met verschillende privacy- en beveiligingsframeworks die van toepassing zijn op Nederlandse overheidsorganisaties. De Algemene Verordening Gegevensbescherming (AVG) vereist dat organisaties persoonsgegevens alleen verzamelen en verwerken voor specifieke, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. De Advertising ID wordt gebruikt voor advertentietracking en gepersonaliseerde marketing, wat voor de meeste overheidsorganisaties geen legitiem doel is. Door deze functie uit te schakelen, vermindert de organisatie het risico op niet-naleving van de AVG.
Binnen het BIO-framework (Baseline Informatiebeveiliging Overheid) valt deze maatregel onder verschillende controls, met name die gerelateerd aan privacybescherming en dataminimalisatie. Het BIO-principe van 'privacy by design' vereist dat privacybescherming wordt ingebouwd in systemen vanaf het begin, en het uitschakelen van onnodige tracking-functies is een concrete uitwerking van dit principe. Daarnaast draagt deze maatregel bij aan de BIO-vereisten voor transparantie en controle over gegevensverwerking door gebruikers.
Voor ISO 27001-certificering is deze maatregel relevant voor verschillende controls binnen de standaard. Met name control A.18.1.4 (Privacy and protection of personally identifiable information) vereist dat organisaties maatregelen nemen om persoonsgegevens te beschermen tegen ongeautoriseerde toegang, wijziging of verwijdering. Het uitschakelen van de Advertising ID voorkomt dat persoonsgegevens worden verzameld zonder expliciete toestemming en zonder duidelijk gedefinieerd doel, wat bijdraagt aan compliance met deze control.
Voor auditdoeleinden is het belangrijk om documentatie bij te houden die aantoont dat het beleid is geïmplementeerd en wordt gehandhaafd. Deze documentatie moet minimaal bevatten: een beschrijving van het beleid en de rationale, de implementatiedatum en scope, periodieke compliance-rapporten die aantonen dat het beleid actief is op alle relevante apparaten, en documentatie van eventuele uitzonderingen met bijbehorende rechtvaardigingen. Deze documentatie moet worden bewaard volgens de organisatorische bewaartermijnen, meestal minimaal 7 jaar voor overheidsorganisaties.
Tijdens externe audits, zoals die uitgevoerd door de Autoriteit Persoonsgegevens (AP) of certificeringsinstanties voor ISO 27001, kan worden gevraagd om bewijs dat deze privacybeschermende maatregel daadwerkelijk is geïmplementeerd. Het Intune compliance-rapport kan worden gebruikt als primair bewijs, aangevuld met screenshots van de beleidsconfiguratie en eventuele handmatige verificaties die zijn uitgevoerd. Zorg ervoor dat deze documentatie actueel is en regelmatig wordt bijgewerkt, vooral na wijzigingen in de omgeving of het beleid.
Compliance & Frameworks
- CIS M365: Control 18.9.19.2 (L1) - CIS Microsoft 365 Security Benchmark - Disable Advertising ID
- BIO: 16.01 - BIO Baseline Informatiebeveiliging Overheid - Privacybescherming en dataminimalisatie
- ISO 27001:2022: A.18.1.4 - ISO 27001:2022 - Privacy and protection of personally identifiable information
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Intune Security Options: Disable Advertising ID
.DESCRIPTION
CIS - Advertising ID uitschakelen voor privacy.
.NOTES
Filename: disable-advertising-id.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Feature: Privacy|Expected: Disabled
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\AdvertisingInfo"; $RegName = "DisabledByGroupPolicy"; $ExpectedValue = 1
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance {
$r = [PSCustomObject]@{ScriptName = "adv-id.ps1"; PolicyName = "Advertising ID"; IsCompliant = $false; CurrentValue = $null; Details = @() }; function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (Test-Path $RegPath) { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue; if ($v -and $v.$RegName -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Advertising ID disabled" }else { $r.Details += "Advertising ID enabled" } }else { $r.Details += "Not configured" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r
}
function Invoke-Remediation { if (-not(Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null }; Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force; Write-Host "Advertising ID disabled" -ForegroundColor Green }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
Medium: Privacyrisico door ongewenste tracking van gebruikersgedrag voor advertentiedoeleinden. Potentiële niet-naleving van AVG-vereisten voor dataminimalisatie en doelbinding. Mogelijkheid tot het opbouwen van uitgebreide gebruikersprofielen zonder expliciete toestemming, wat kan leiden tot privacyklachten en mogelijke boetes van de Autoriteit Persoonsgegevens.
Management Samenvatting
Schakel de Windows Advertising ID uit op alle productieapparaten om privacyrisico's te verminderen en AVG-compliance te verbeteren. Deze maatregel voorkomt ongewenste tracking en draagt bij aan het principe van dataminimalisatie. Implementatietijd: 1-2 uur. Prioriteit: Hoog voor organisaties met strikte privacyvereisten.
- Implementatietijd: 1.5 uur
- FTE required: 0.01 FTE