Moet ik admin-werk op een eigen PAW doen?

Een Privileged Access Workstation is een laptop die alleen voor admin-taken bestaat. Geen mail, geen browser-sessies, geen externe USB. Voor MKB is een full-blown PAW vaak overdadig, maar het principe (admin-taken niet op je dagelijkse laptop) is zinvol vanaf de eerste Global Admin.

Probeer dit eerst zelf

1. 1Beslis op rol: Global Admin in Microsoft 365, lokaal Domain Admin, en root op productie-systemen horen niet vanaf je dagelijkse laptop te draaien. Zeker niet vanaf de laptop waar je ook in mail en browser werkt.
2. 2Lichte versie: een aparte browser-profile (Edge of Chrome workspace) op dezelfde laptop, zonder extensies, alleen voor admin-portals. Combineer met een aparte admin-account die alleen via FIDO2-key inlogt.
3. 3Stevigere versie: een aparte virtuele machine of een Windows 365 Cloud PC met Intune-compliance, alleen voor admin-werk. Geen browsers van persoonlijk gebruik, geen Outlook gekoppeld.
4. 4Echte PAW: een fysieke laptop die alleen voor admin staat. Geen externe USB, geen persoonlijke browser, Conditional Access dwingt admin-taken alleen vanaf dat device.
5. 5Wat je ook kiest: gebruik break-glass-accounts voor noodgevallen, opgeslagen op fysieke key in een kluis, en test ze elk kwartaal.

Past het bovenstaande niet?

Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.