Hoe gebruik ik Microsoft Security Baselines voor onze servers?
Microsoft publiceert Security Compliance Toolkit met baseline-GPO's voor Windows Server, Windows 10/11 en Edge. Goed startpunt, niet klakkeloos importeren: testen en aanpassen aan je omgeving.
Probeer dit eerst zelf
- 1Download Security Compliance Toolkit van Microsoft Download Center, kies de versie die past bij je OS-versie (2022/2025).
- 2Importeer de baseline-GPO's met PolicyAnalyzer of LGPO.exe in een test-OU. Niet meteen in productie.
- 3Vergelijk met je huidige GPO's: PolicyAnalyzer kan twee policy-sets naast elkaar zetten en delta tonen.
- 4Pak per categorie (logging, lockdown, services, ciphers) wat je wilt overnemen, met expliciete uitzonderingen voor wat je echt nodig hebt (bijv. SMB1 voor een legacy printer, met einddatum).
- 5Test functioneel op een ring 1 server en werkstation. Sommige baseline-instellingen breken oude line-of-business apps.
Wanneer ons inschakelen
Bij sectoren met specifieke compliance (financieel, zorg) zijn er strakkere baselines (CIS, NIST). Daar is Microsoft Baseline een minimum, niet een eindstation.
Zie ook
- Eén DC of twee DC's voor een MKB-kantoor?Twee is bijna altijd het juiste antwoord; één DC is een single point of failure voor logon, DNS en GPO.
- Moet ik FSMO-rollen verdelen over twee DC's?Voor een klein domein mag alles op één DC; bij twee DC's is verdelen netter maar geen must.
- Hoe weet ik of mijn AD-replicatie gezond is?Replicatie-fouten sluipen er stilletjes in; ze worden pas zichtbaar als logins of GPO's gek doen.
Past het bovenstaande niet?
Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.
Of doe het helemaal niet zelf
Onze Managed IT-klanten zoeken dit soort vragen niet op. Eén aanspreekpunt, vaste prijs per maand, en het is binnen werktijd opgelost.