Onze admins beheren vanuit hun gewone laptop, dat voelt onveilig.

Een Privileged Access Workstation (PAW) is een gehard apparaat dat alleen voor admin-taken gebruikt wordt: geen mail, geen browsen, geen office. Voorkomt dat een phishing-mail meteen domain admin-rechten compromitteert.

Probeer dit eerst zelf

1. 1Bouw een schoon Windows 11 image met BitLocker, Defender for Endpoint, en strakke baseline. Geen Office, geen Slack, geen browser-plugins.
2. 2Joinen aan een aparte security-tier: tier-0 PAW alleen voor DC/AD-beheer, tier-1 voor server-beheer, tier-2 voor werkstation-beheer.
3. 3Network-zone: PAW mag alleen naar AD, beheer-VLANs, vendor-portals. Geen mail, geen algemene internet (of via een specifieke proxy).
4. 4Admin-accounts gebruiken alleen vanaf PAW. Op gewone laptop blijft het account-onbruikbaar voor admin-taken (deny logon to this computer GPO).
5. 5Maak het werkbaar: een tweede laptop kost wat, een gestolen domain admin-account kost meer. Voor een MKB volstaat soms één PAW gedeeld door 2 admins met goede logging.

Past het bovenstaande niet?

Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.