Security Baseline

26.001

Bijgewerkte baseline
De onderstaande settings zijn doorgevoerd in de 26.001 baseline.

CIS Level Setting Beschrijving Aanbevolen waarde Doel/risico
I Allow App Store Automatic Updates Laat Microsoft Store apps automatisch updaten. Aan Vermindert kwetsbaarheden door verouderde Store-apps.
I Allow apps to use voice activation above lock screen Apps die voice activation gebruiken op vergrendelscherm toestaan. Uit Voorkomt misbruik/privacylekken wanneer device vergrendeld is.
I Allow configuration of first RPC TCP printer port Staat configuratie van de eerste RPC TCP-printerpoort toe. Uit, tenzij strikt nodig Ongewenste poort-creatie.
I Allow configuring Raw TCP Printer Ports Staat configuratie van RAW TCP (9100) printerpoorten toe. Uit, tenzij noodzakelijk RAW 9100 kan misbruikt worden.
I Allow CredSSP: Block Oracle Encryption Vulnerability Workaround Blokkeert de tijdelijke workarounds; dwingt veilige CredSSP-onderhandeling af. Aan in volwassen omgevingen (geen workarounds) Voorkomt dat zwakke instellingen worden gebruikt.
I Allow Delegation of Non-Exportable Credentials to Remote Hosts Laat Windows Hello/TPM non-exportable credentials delegeren voor RDP/Remote scenario’s. Beperk tot vertrouwde hosts of Uit Overmatige delegatie kan risico op credential misbruik vergroten.
I Allow Encryption Oracle Remediation (CredSSP) Configureert CredSSP ‘Encryption Oracle Remediation’ compatibiliteitsniveau voor RDP/WinRM. Mitigated of Force Updated Clients (server en clients bijgewerkt) Voorkomt downgrade-aanvallen op CredSSP waardoor man-in-the-middle mogelijk is.
I Allow Full Scan of Removable Drives with Microsoft Defender Laat volledige scan van verwijderbare schijven toe. Aan Malware via USB kan onopgemerkt blijven.
I Allow ICMP Redirects to Override OSPF-Generated Routes Laat ICMP redirects routekeuzes overschrijven. Uit Omleiding naar malafide gateways.
I Allow Installing Printer Drivers Without Elevation Laat installatie van printerdrivers zonder adminrechten toe. Uit Privilege-escalatie/driver misbruik.
I Allow IOAV Protection in Microsoft Defender Activeert Internet/Origin-based scanning. Aan Risico op drive-by malware.
I Allow local log on: Administrators, Users Welke groepen lokaal mogen inloggen. Administrators + Users (standaard) Te brede toewijzing verhoogt risico op fysieke toegang.
I Allow Members of Administrators Group to Create Pagefile Admins mogen pagefile-instellingen beheren. Aan (alleen admins) Voorkomt dat niet-admins systeemgeheugenconfig wijzigen.
I Allow members of Administrators group to load and unload device drivers Admins mogen drivers laden/verwijderen. Aan (alleen admins) Driver loading kan rootkits introduceren als niet-admins toegang krijgen.
I Allow members of Administrators group to shut down the device remotely Admins mogen apparaten remote afsluiten. Aan (Admins only) Te brede toegang creëert risico op sabotage.
I Allow Microsoft Accounts to be Optional Maakt Microsoft-accounts optioneel in plaats van verplicht voor bepaalde functies. Aan in enterprise (of beperken via policy) Vermindert afhankelijkheid van MSA; voorkom shadow IT.
I Allow Microsoft Defender to scan email messages for threats Laat Defender e-mails scannen op bedreigingen. Aan Onopgemerkte malware in e-mails.
I Allow network access: Administrators and Remote Desktop Users Bepaalt wie remote netwerktoegang krijgt. Administrators + Remote Desktop Users Te brede toegang kan laterale beweging faciliteren.
I Allow only authorized RPC connections to network printers Alleen geauthenticeerde RPC-verbindingen naar netwerkprinters. Aan Anonieme verbindingen misbruikbaar.
I Allow or Block Printing over RPC Connections Regelt of RPC-printen is toegestaan. Toestaan met authenticatie (of blokkeren in strikte omgevingen) Open RPC vergroot attack surface.
I Allow printer RPC connections (protocol 0) Protocol 0 (autonegotiate) voor printer RPC. Uit; specificeer veilige protocollen Onzekere protocolkeuze.
I Allow Search to Use Device Location Zoekfunctie mag apparaatlocatie gebruiken. Uit Beperkt datadeling/telemetrie.
I Allow Unencrypted Traffic for Remote Management Staat onbeveiligd (onversleuteld) verkeer toe voor Remote Management (WS-Man/WinRM). Uit Onversleutelde beheerkanalen verhogen MitM-risico.
I Allow Unencrypted Traffic for Remote Management (Client) Clientzijde toestaan van onversleuteld Remote Management verkeer. Uit Voorkomt dat clients onveilig met servers praten.
I Allow users to control app installations via Microsoft Store Staat gebruikers toe om zelf app-installaties via de Store te beheren. Uit (beheer via Intune/Company Portal) Voorkomt ongeautoriseerde apps en shadow IT.
I Allow Windows Ink Workspace on Windows Devices Regelt toegang tot Windows Ink Workspace. Aan (toestaan) tenzij data-lek risico → dan beperken Productiviteit met pen/annotaties; risico bij delen op lockscreen.
I Allow Windows Logon Automatic Restart Sign-On Schakelt ARSO in: na update kan gebruiker automatisch opnieuw worden aangemeld om setup te voltooien. Aan in beheerde omgevingen Snellere post-update user experience; risico bij fysiek gedeelde devices.
I Allowed RPC protocols for printer connections Specificeert toegestane RPC-protocollen voor printers. Alleen noodzakelijke veilige protocollen Te brede lijst vergroot attack surface.
I Always Install MSI Apps with Elevated Privileges Installeert MSI’s standaard met verhoogde rechten. Uit Voorkomt privilege escalation en ongecontroleerde installaties.
I App Log Max File Size Policy (Event Log Service) Maximale grootte van het Application eventlog. 32 MB of hoger, afhankelijk van retentie Te kleine logs missen forensische data.
I Audit – Other Object Access Events (Success & Failure) Overige object access events. Aan indien SIEM aanwezig Detecteert ongebruikelijke resource access.
I Audit Account Lockout Events Logt account lockouts. Aan Detecteert password spraying/brute-force.
I Audit Authentication Policy Change (Success) Logt wijzigingen in authenticatiebeleid. Aan Detecteert policy‑wijzigingen die security verlagen.
I Audit Detailed File Share Access (Success & Failure) Detailniveau SMB-share toegang. Aan bij hoge security Vindt misbruik van shares.
I Audit File Share Access Events (Success & Failure) Logt share-toegang. Aan Detectie van data-exfil.
I Audit Group Membership Events Logt wijzigingen in groepslidmaatschap. Aan Detecteert privilege escalation.
I Audit Logon Events (Success & Failure) Logt alle logons. Aan Aanvalspaden en mislukte logins in kaart.
I Audit Other Logon/Logoff Events – Success and Failure Logt aanvullende login-gerelateerde events. Aan Biedt context rond sessies.
I Audit Other Policy Change Events (Success & Failure) Logt overige beleidswijzigingen. Aan Detecteert ongeautoriseerde wijzigingen.
I Audit Plug and Play Activity Logt USB/PnP hardware events. Aan Herkenning van ongeautoriseerde apparaten.
I Audit Policy Change – Success Logt alleen succesvolle beleidswijzigingen. Aan Detecteert config changes.
I Audit Process Creation (Detailed Tracking) Logt proces-creatie inclusief cmdline. Aan Detecteert malware, scripts, aanvalsketens.
I Audit Removable Storage Access (Success and Failure) Logt toegang tot verwisselbare opslag. Aan (Success+Failure) Belangrijk voor datalek-onderzoek en USB‑tracking.
I Audit Security Group Management (Success) Logt security group management. Aan Privilege wijzigingen.
I Audit Security State Change Events Logt security state transitions. Aan Detecteert wijzigingen in beveiligingsniveau.
I Audit Special Logon Events Logt bijzondere logons (admin, service accounts). Aan Detecteert privilege misbruik.
I Audit System Integrity (Success and Failure) Detecteert kernel-/boot-/drivers-integriteitsproblemen. Aan Detectie rootkits, manipulatie.
I Audit User Account Management – Success Only Logt wijzigingen aan user accounts. Aan Account-creatie, disable, PW-reset.
I Audit: Credential Validation (Account Logon) Logt credential-validatie bij accountaanmelding. Aan (Success+Failure) Detecteert brute-force, mislukte logons, credential misuse.
I Audit: Other System Events (Success) Logt aanvullende systeemgebeurtenissen. Aan Detecteert onverwacht systeemgedrag.
I Audit: Security System Extension Events Logt systeemextensies/security-adapters. Aan Detecteert ongeautoriseerde security-extensies.
I Audit: Windows Defender Firewall Policy Change (Success) Logt wijzigingen in firewallbeleid. Aan Detecteert manipulatie van firewall.
I Backup Files and Directories (Administrators) Admins mogen bestanden en mappen back-uppen. Aan (Admins) Ongeautoriseerde toegang kan datalekken creëren.
I BitLocker – Recovery Password: Allow use Staat gebruik van BitLocker recovery passwords toe. Aan Minder herstelopties bij uitschakelen.
I BitLocker – Require Startup Authentication with TPM and PIN Vereist TPM + PIN voor pre-boot authenticatie. Aan (TPM + PIN) Gebruikersimpact door PIN vereiste.
I BitLocker – Require Startup Key with TPM Vereist USB-startsleutel naast TPM. Uit tenzij hoge beveiliging vereist is USB sleutelbeheer vereist; frustrations.
I BitLocker – Save Fixed Drive Recovery Info to Azure AD Back-up van recovery info vaste schijven naar Azure AD. Aan Geen herstelmogelijkheid bij ontbrekende back-up.
I BitLocker encryption method for fixed drives (XTS-AES-128-bit) Encryptiemethode voor vaste datadrives (XTS-AES-128). XTS-AES-256 aanbevolen Foutieve methode kan performance beïnvloeden.
I BitLocker Encryption Method for Operating System Drives Stelt encryptiemethode in voor OS-schijven. XTS-AES-256 (of XTS-AES-128 voor compatibiliteit) Her-encryptie bij inconsistente instellingen.
I BitLocker Fixed Drives – Recovery Key Usage Bepaalt welke recovery opties toegestaan zijn op vaste drives. Beheerde recovery-opties toestaan Te open opties kunnen data risk geven.
I BitLocker Fixed Drives: Save Recovery Key to Active Directory Back-up recovery keys vaste drives naar AD DS. Aan in hybrid omgevingen Geen herstel via AD mogelijk.
I BitLocker OS Drive Encryption: XTS-AES 256-bit Encryptie OS-schijf met XTS-AES 256-bit. XTS-AES-256 Hogere systeembelasting.
I BitLocker OS Drive Recovery – Backup to Active Directory Back-up OS recovery keys naar AD DS. Aan Herstel niet beschikbaar bij ontbreken AD.
I BitLocker Recovery Keys: Backup to Azure AD Back-up alle BitLocker recovery keys naar Azure AD. Aan Herstel kan ontbreken.
I BitLocker Recovery Options for Fixed Drives Herstelopties voor vaste schijven instellen. Beheerde opties, back-up verplicht Te brede opties creëren risico’s.
I BitLocker System Drive Encryption: XTS-AES 128-bit OS-schijf encryptie XTS-AES 128-bit. Kies één standaard: 128 of 256 Inconsistente encryptieconfiguraties.
I BitLocker: Allow Data Recovery Agent for Fixed Drives Staat Data Recovery Agents toe voor vaste drives. Aan in gereguleerde omgevingen Misbruik van DRA-sleutels.
I BitLocker: Require device to back up recovery information for system drives Vereist back-up van recovery info voor OS-schijven. Aan Geen herstel als back-up faalt.
I Block Abuse of Exploited Vulnerable Signed Drivers (ASR Rule) Blokkeert misbruik van kwetsbare gesigneerde drivers. Aan Misbruik van kwetsbare drivers mogelijk.
I Block Adobe Reader from creating child processes Voorkomt dat Adobe Reader child processes start. Aan PDF-malware kan processen starten.
I Block anonymous enumeration of SAM accounts Blokkeert anonieme query’s naar SAM‑accounts. Aan Voorkomt reconnaissance door anonieme aanvallers.
I Block AutoPlay for All Drives Blokkeert AutoPlay voor alle stations. Aan Voorkomt automatische uitvoering van media die malware kan starten.
I Block AutoPlay for non-volume devices Blokkeert AutoPlay voor apparaten zonder volume (bijv. sommige MTP-apparaten). Aan Vermindert risico van automatische uitvoering.
I Block boot-start driver initialization Blokkeert initialisatie van niet‑goedgekeurde boot-start drivers. Aan (alleen vertrouwde/gesigneerde drivers) Voorkomt early‑boot rootkits.
I Block Connections to Non-domain Networks When Connected to Domain Network Blokkeert verbinding met niet-domeinnetwerken wanneer verbonden met domein. Aan Split-tunneling/bridging risico’s.
I Block Credential Stealing from Windows Local Security Authority Subsystem Beschermt LSASS tegen credential theft. Aan Credential diefstal mogelijk.
I Block Downloading Print Drivers over HTTP Blokkeert het downloaden van printerdrivers via onversleutelde HTTP. Aan Voorkomt tampering/mitm tijdens driverdownload.
I Block Executables from Email and Webmail (ASR Rule) Blokkeert uitvoerbare bestanden uit e-mail/webmail. Aan EXE-malware via mail.
I Block Game DVR (Disable Recording and Broadcasting Games) Schakelt Game DVR/Bar opname- en broadcastfuncties uit. Aan (blokkeren) Reduceert datalek/CPU-gebruik en ongewenste opnames.
I Block Input Personalization Blokkeert personalisatie/learning voor typ- en inktgegevens. Aan Beperkt privacyrisico’s.
I Block Installation of Imaging, Bluetooth, USB, and Cameras Device Classes Blokkeert installatie van imaging, Bluetooth, USB en camera devices. Aan, met uitzonderingen waar nodig Randapparatuur kan niet meer gebruikt worden.
I Block Installation of Specific Device Setup Classes Blokkeert installatie van gedefinieerde setup classes. Aan, met beheerde lijst Blokkeren van noodzakelijke hardware.
I Block Installation of Specified Device Setup Classes (Retroactive) Blokkeert installatie ook retroactief. Aan (impact: devices kunnen blokkeren) Onverwacht uitschakelen van apparaten.
I Block IP Source Routing (Legacy MSS Setting) Blokkeert IPv4 source routing (legacy). Aan Omleiding/manipulatie van verkeer.
I Block IPv6 Source Routing (MSS Legacy Policy) Blokkeert IPv6 source routing (legacy). Aan Voorkomt manipulatie van routepad.
I Block JavaScript/VBScript from Launching Downloaded Executables Blokkeert scripts die gedownloade EXE’s starten. Aan Script chains die malware starten.
I Block Local Firewall Rule Merge – Public Blokkeert lokale firewallregel merging. Aan Zeer belangrijk in public netwerken.
I Block Local IPsec Merge – Public Blokkeert lokale IPsec merge. Aan Voorkomt dat lokale regels public profiel verzwakken.
I Block Office Applications from Injecting Code into Other Processes Blokkeert Office code-injectie. Aan Macro-aanvallen via procesinjectie.
I Block Office Apps Creating Child Processes (Audit Mode) Office child processes blokkeren in audit-modus. Eerst audit, dan Aan Onveilige Office automatisering.
I Block Office Apps from Creating Executable Content Blokkeert Office van het maken van uitvoerbare bestanden. Aan Office kan malware wegschrijven.
I Block Persistence via WMI Event Subscription (ASR) Blokkeert WMI-event persistentie. Aan Aanvallers kunnen persistentie creëren.
I Block Printer Redirection Guard Policy Voorkomt printerredirectie in RDP (Guard). Aan in high-security omgevingen RDP printer redirect kan data lekken.
I Block Remote Desktop Printer Redirection Blokkeert printerredirectie in RDP-sessies. Aan in high-security/VDI Voorkomt dat data via lokale printers lekt.
I Block Remote Management Digest Authentication Schakelt Digest authenticatie uit voor remote management. Aan (blokkeren) Digest is zwakker; voorkom credential onthulling.
I Block SmartScreen in Windows Explorer Blokkeert SmartScreen in Verkenner. Uit (niet blokkeren) — SmartScreen aanhouden SmartScreen biedt bescherming tegen onbekende/beschadigde apps.
I Block Untrusted Unsigned Processes from USB Blokkeert niet-gesigneerde USB processen. Aan Malware via USB.
I Block Users from Overriding Exploit Protection Settings Voorkomt dat gebruikers Exploit Protection wijzigen. Aan Gebruikers kunnen bescherming omzeilen.
I Block Win32 API Calls from Office Macros (ASR Rule) Blokkeert Win32 API calls vanuit Office macros. Aan Gevaarlijke macros kunnen API’s misbruiken.
I Config Refresh Enabled / Cadence (90 Minutes) Intune Config Refresh dwingt MDM-instellingen periodiek opnieuw af; cadence bepaalt interval. Inschakelen; Cadence: 90 minuten (of 30-90 afhankelijk van behoefte) Houdt drift tegen; zonder refresh kunnen lokale wijzigingen blijven bestaan.
I Configure Print Driver Copy Files Policy Beperkt ‘copy files’ acties in printerdrivers (Point and Print). Streng beleid/Beperk Misbruik van driver copy files.
I Create global objects right: Administrators, Local Service, Network Service, Service Rechten om globale OS-objecten te maken. Standaardset is veilig Onjuiste toewijzing opent privilege escalation.
I Debug Programs Right – Local Administrators Recht om processen te debuggen. Admins only Debug-rechten = volledige controle → mogelijk misbruik.
I Default AutoRun Behavior Configuration Standaardgedrag voor AutoRun (uitvoeren van autorun.inf). Disable autorun for all drives Autorun is klassieke malwarevector.
I Default Inbound Action – Private: Block Blokkeert inkomend verkeer op private netwerken. Block Voorkomt ongewenste verbindingen.
I Defender – Allow Real-Time Monitoring Real-time monitoring van Defender. Aan Gebrek aan real-time bescherming.
I Defender – Enable Behavior Monitoring Gedragsmonitoring van malware. Aan Geen behavioural detectie.
I Defender ASR: Audit Block Executables Unless Prevalence/Age/Trusted List Met Blokkeert onbekende EXE’s (audit). Audit > daarna Aan indien mogelijk Onbekende malware kan draaien.
I Defender ASR: Audit Office Communication Apps Launching Child Processes Audit child processes door Office communicatie-apps. Audit > daarna Aan Misbruik via Office communicatie apps.
I Defender Quick Scan: Include Exclusions Laat quick scans exclusions negeren. Aan Exclusions kunnen misbruikt worden.
I Defender: Days Until Aggressive Catch-up Quick Scan (7) Stelt aantal dagen in voor automatische catch-up quick scan. 7 dagen (baseline) Systemen kunnen te lang ongescand blijven.
I Delivery Optimization Download Mode: Simple (Mode 0) Bepaalt DO-modus voor Windows/Store updates (Mode 0 = simpel, alleen Microsoft). Mode 0 voor kleine tenants; Mode 1/2/HTTP blended voor grotere om bandbreedte te sparen Controle over P2P; verkeerde keuze kan WAN belasten.
I Device Password History (24 passwords) Stelt in hoeveel eerdere wachtwoorden een gebruiker niet opnieuw mag gebruiken. 24 (Microsoft baseline) Voorkomt hergebruik van oude wachtwoorden en verhoogt PW-veiligheid.
I Device Password Not Required Staat toe dat een apparaat geen wachtwoord heeft ingesteld. Uit (altijd wachtwoord/PIN vereisen) Zonder wachtwoord is fysieke toegang volledig onbeveiligd.
I Digitally sign communications (always) for Microsoft network client Client moet SMB signen. Aan Voorkomt MITM op SMB.
I Disable AutoRun for All Drives Schakelt AutoRun uit voor alle stations. Aan (uitschakelen) Voorkomt autorun-malware.
I Disable Cortana Experience Schakelt Cortana (consumenten-assistent) uit. Aan (uitschakelen) Reduceert data-uitwisseling en afleiding.
I Disable downloading of enclosure files in Internet Explorer Blokkeert het downloaden van enclosure-bestanden (IE). Aan (uitschakelen) Vermindert legacy downloadrisico’s.
I Disable Heap Termination on Corruption in File Explorer Schakelt heap corruption termination uit voor Verkenner. Uit (niet uitschakelen) — laat mitigatie AAN Heap corruption termination is een beveiligingsmitigatie.
I Disable Inbound Notifications – Private Verbergt prompts. Aan Voorkomt user override.
I Disable Inbound Notifications – Public Verbergt publieke prompts. Aan Voorkomt users overrides.
I Disable insecure guest logons for LAN Manager Workstation Blokkeert onveilige SMB guest logons. Aan Voorkomt ongeauthenticeerde SMB-toegang.
I Disable Internet Downloads for Web Publishing and Online Ordering Wizards Schakelt internetdownloads uit voor verouderde Wizards (Web Publishing/Online Ordering). Aan (uitschakelen) Reduceert legacy aanvalsoppervlak.
I Disable IPv6 Source Routing Protection Blokkeert IPv6 source routing zodat zender het pad niet kan afdwingen. Aan Source-routed pakketten kunnen omleiding/MitM veroorzaken.
I Disable MPR Notifications at Windows Logon Schakelt MPR-netwerkverbinding prompts bij logon uit. Aan (uitschakelen) Minder verwarring/prompt-fatigue.
I Disable Multicast Name Resolution (LLMNR) Schakelt LLMNR uit om spoofing/poisoning te voorkomen. Aan (uitschakelen) LLMNR kan naar rogue responders lekken (spoofing).
I Disable News and Interests Feature Schakelt ‘News and interests’ op de taakbalk uit. Aan (uitschakelen) Minder afleiding en tracking.
II Disable PowerShell Script Block Invocation Logging Voorkomt het loggen van de daadwerkelijke script-invocaties om ruis te verminderen of privacy te verbeteren. Disabled (uitgeschakeld houden voor forensische volledigheid) Minimaliseert logging noise maar verlaagt forensische diepgang.
I Disable SMBv1 Client Driver Schakelt SMBv1 clientcomponent uit. Aan (uitschakelen) SMBv1 is onveilig (wormbaar).
I Disable SMBv1 Server Schakelt SMBv1 servercomponent uit. Aan (uitschakelen) Aanvalsvlak en wormbaar risico.
I Disable Sudo Privileges on Microsoft Devices Schakelt Windows ‘sudo’ functionaliteit uit (indien aanwezig). Aan (uitschakelen) Voorkomt privilege escalatie via CLI.
I Disable WDigest Authentication Schakelt WDigest (cleartext in memory) authenticatie uit. Aan (uitschakelen) Credential diefstal via LSASS.
I Disable Windows Spotlight Collection on Desktop Schakelt Windows Spotlight afbeeldingen/inhoud op bureaublad uit. Aan (uitschakelen) Minder netwerkverkeer en consumer content.
I Disallow Storing of RunAs Credentials for Remote Management Verhindert opslag van RunAs-credentials (CredSSP/WinRM) op systeem. Aan Voorkomt credential persistence.
I Do not allow anonymous enumeration of SAM accounts and shares Blokkeert anonieme enumeratie van accounts én shares. Aan Voorkomt account discovery.
I Do not store LAN Manager hash value on next password change Voorkomt opslag van zwakke LANMAN hashes. Aan LANMAN hashes zijn makkelijk te kraken.
I Domain Firewall Enabled Schakelt domain firewall profiel in. Aan Zonder firewall zijn endpoints kwetsbaar.
I Domain Firewall Max Log Size 16384 KB Maximale loggrootte. 16 MB Voorkomt log overwrites.
I Don’t allow indexing of encrypted items in Search Blokkeert het indexeren van versleutelde bestanden/mappen. Aan (niet indexeren) Voorkomt dat gevoelige inhoud in index terechtkomt.
II Enable Automatic Conversion of Warnings to Blocks in Microsoft Defender Zorgt ervoor dat Defender automatisch waarschuwingen omzet in blokkades voor een hoger beveiligingsniveau. Enabled Minimaliseert risico van gemiste bedreigingen doordat waarschuwingen automatisch worden geblokkeerd.
II Enable Defender File Hash Computation Activeert het genereren van bestands-hashes om detectie en onderzoek te verbeteren. Enabled Verbetert detectie van malware door hashing te gebruiken in analyses.
I Enable Defender Real-time Protection and Signature Updates during OOBE Updates en real-time bescherming tijdens OOBE. Aan OOBE minder veilig.
I Enable Firewall – Private Activeert Private profiel. Aan Zeer belangrijk profiel.
I Enable Firewall – Public Activeert Public firewall. Aan Beschermt op onbekende netwerken.
I Enable Local System Authority (LSA) protection / Run LSA as a protected process Draait LSA als beschermd proces tegen credential dumping. Aan Voorkomt LSASS-misbruik en credential theft.
I Enable MDM Config Refresh Activeert de MDM Config Refresh functionaliteit op Windows. Aan Voorkomt configuration drift en ongewenste lokale policy overrides.
I Enable Microsoft Defender Network Protection Blokkeert verbindingen naar malafide domeinen. Aan Web-based malware.
I Enable Structured Exception Handling Overwrite Protection (SEHOP) Activeert SEHOP om exploits via exception handling te blokkeren. Aan Zonder SEHOP zijn bepaalde exploits mogelijk.
I Enable System Guard Secure Launch Schakelt Secure Launch/Hypervisor-protected Code Integrity vroeg in de boot in. Aan (moderne hardware/UEFI) Beschermt tegen boot-/kernel attacks.
I Enable Virtualization-Based Security (VBS) Activeert VBS/HVCI voor isolatie van gevoelige processen. Aan (met HVCI op ‘Enabled’ of ‘Enabled with UEFI Lock’) Verhoogt weerbaarheid tegen kernel/rootkit aanvallen.
I Enable Web Threat Defense Service Activeert Web Threat Defense (onderdeel van Defender for Endpoint/M365). Aan Bescherming tegen schadelijke websites en credential leaks.
I Enable Windows Defender Potentially Unwanted App Protection Beschermt tegen PUA’s/adware. Aan Ongewenste apps geïnstalleerd.
I Enable Windows Explorer SmartScreen Filter Activeert SmartScreen in Verkenner. Aan Bescherming tegen onbekende/malafide bestanden.
I Enable Windows Settings Auditing Logt wijzigingen in Windows-instellingen voor auditing/forensics. Aan Biedt zicht op configuratiewijzigingen.
I Event Log Service – System Log Maximum Size 32MB Stelt System eventlog max. grootte op 32 MB. 32 MB (of groter afhankelijk van retentie/SIEM) Te kleine logs overwritten te snel.
I Event Log: Set Application Log Maximum Size to 32,768 KB Zet Application log max. grootte op 32 MB. 32 MB Ziet meer events; minder logverlies.
I Firewall – Default Inbound Action – Domain: Block Inbound verkeer wordt standaard geblokkeerd. Block Voorkomt ongewenste verbindingen binnen domein.
I Firewall – Disable Inbound Notifications – Domain Verbergt inkomende firewall prompts. Aan Voorkomt dat gebruikers firewallpopups accepteren.
I Hardened UNC Path – NETLOGON Dwingt UNC hardening (signing/sealing) op \etlogon. Aan (Require Mutual Authentication & Integrity) Onbeveiligd SMB-verkeer kan gemanipuleerd worden.
I Hardened UNC Path: \\<server>\SYSVOL Dwingt UNC hardening op SYSVOL-shares. Aan (Require Mutual Authentication & Integrity) Policy tampering via onbeveiligde toegang.
I Hardened UNC Paths Enforcement Schakelt afdwinging van UNC hardening in (globaal). Aan Zonder enforcement kan verkeer onbeschermd blijven.
I Hide Administrators on Credential UI Verbergt lokale/Domain Admin-accounts op de aanmeldingsinterface. Aan (verbergen) Vermindert accountdiscovery en brute-force op adminaccounts.
I Hide BitLocker Recovery Options from Operating System Recovery Page Verbergt recovery-opties in recovery omgeving. Aan op high-risk devices Gebruikers kunnen minder herstellen.
I Hide Exclusions from Local Users in Microsoft Defender Verbergt uitsluitingen voor lokale gebruikers. Aan Gebruikers zien exclusions en misbruiken ze.
I Hide Recovery Options Page for BitLocker Fixed Drives Verbergt recovery-opties voor vaste drives. Aan Minder zichtbaarheid van opties.
I Hide Windows consumer account state content Verbergt consumer account promoties/aanbevelingen. Aan Minimaliseert consumer bloat/afleiding.
I Hide Windows Feedback Notifications Verbergt feedback prompts/telemetry notificaties. Aan Minder verstoring voor gebruikers.
I Hypervisor-Enforced Code Integrity (HVCI) Enforcement Schakelt HVCI in om kernel- en driver-code te isoleren en alleen vertrouwde code toe te staan. Aan (Enable + UEFI Lock indien mogelijk) Voorkomt kernel-level malware, ongeautoriseerde drivers en rootkits.
I Ignore NetBIOS Release Requests Except from WINS Servers Negeer NetBIOS release-requests behalve van WINS. Aan (indien WINS gebruikt) / anders NetBIOS uitfaseren NBNS spoofing mogelijk zonder dit.
I Lan Manager Authentication Level: Send NTLMv2 response only Dwingt NTLMv2 als minimum authentication. Send NTLMv2 only NTLMv1/LM zijn onveilig.
I Limit local account use of blank passwords to console logon only (Enabled) Staat alleen lokale aanmelding zonder wachtwoord toe via fysieke console. Aan (Enabled) Voorkomt remote logons zonder wachtwoord.
I Local Administrators Group – Run Single Process Privilege Speciale privilege voor single-process adminacties. Admins only Kan privilege escalation mogelijk maken bij misconfig.
I Log Dropped Packets – Domain Logt geblokkeerde pakketten. Aan Detectie van scanning & misconfiguraties.
I Log Dropped Packets – Private Logt geblokkeerde pakketten. Aan Nuttig voor diagnose.
I Log Dropped Packets – Public Logt geblokkeerde pakketten. Aan Detecteert scanning.
I Log Successful Connections – Domain Logt succesvolle verbindingen. Aan Geeft inzicht in verkeer.
I Log Successful Connections – Private Logt succesvolle verbindingen. Aan Brengt verkeer in kaart.
I Log Successful Connections – Public Logt succesvolle verbindingen. Aan Biedt inzicht op risky netwerken.
I Machine Inactivity Timeout (15 minutes) Vergrendelt systeem na 15 minuten inactiviteit. 15 minuten Voorkomt toegang door onbevoegden.
I Manage Auditing and Security Log Rights – Administrators Wie security logs kan beheren. Admins only Onbevoegden kunnen logs wissen (forensic impact).
I Manage Volume User Rights Assignment for Administrators Wie volumes mag beheren (formatten, mounten, etc.). Admins only Kan leiden tot dataverlies of manipulatie.
I Microsoft Defender: Allow Script Scanning Laat Defender scripts scannen. Aan Script-malware blijft ongedetecteerd.
I Microsoft Defender: Disable IP Source Routing Defender-instelling om IP source routing uit te schakelen. Aan Voorkomt omleiding via aangevallen routes.
I Minimum Device Password Length: 14 Characters Stelt minimale lengte van het apparaatwachtwoord in op 14 tekens. 14 tekens (sterk advies voor security) of 12 bij gebruiksvriendelijkheid/compatibiliteit Verhoogt wachtwoordsterkte; voorkomt brute-force aanvallen.
I Minimum NTLM SSP Session Security for Clients Minimale sessiebeveiliging voor NTLM clients. 128-bit + NTLMv2 Zwakke sessies kunnen worden misbruikt.
I Minimum Session Security for NTLM SSP-based Servers Sessiebeveiliging NTLM servers. 128-bit + NTLMv2 Voorkomt downgrade‑aanvallen.
I Modify firmware environment variables — Administrators Wie firmware/bootvariabelen mag wijzigen. Admins only Critical: kan OS niet-bootable maken.
I No lock screen toast notifications Blokkeert toast-notificaties op het lockscreen. Aan Informatie kan lekken op vergrendeld scherm.
I Notify about Malicious Websites / Password Reuse / Unsafe App (Web Threat Defense) Notificaties van Web Threat Defense bij malafide sites, wachtwoordhergebruik en onveilige apps. Aan (alle notificaties) Verhoogt security awareness en blokkeert risico’s.
I Only elevate UIAccess apps installed in secure locations Alleen UIAccess‑apps in secure locations mogen elevaten. Aan Voorkomt misbruik via rogue UIAccess apps.
I Override Microsoft Defender Antivirus Cloud Protection Reporting Settings Cloud reporting instellingen afdwingen. Aan (Cloud block level hoog) Lagere cloud detectie kwaliteit.
II PowerShell Script Block Logging Enabled Logt alle PowerShell script blocks voor auditing en threat hunting. Enabled (CIS Benchmark) Verbetert zichtbaarheid op PowerShell-gebruik en detecteert malicious scripts.
I Prevent Lock Screen Slideshow Voorkomt diavoorstelling op vergrendelscherm. Aan Data-/informatie-lek en afleiding.
I Prevent Peripheral Device Enumeration (DMA Guard) Blokkeert DMA-apparaten pre-boot (DMA Guard). Aan (indien hardware ondersteunt) Thunderbolt apparaten kunnen niet werken.
I Prevent Use of Camera on Lock Screen Blokkeert cameragebruik vanaf lockscreen. Aan Misbruik/ongewenste toegang via camera.
I Printer Redirection Guard Policy Guard policy voor printerredirectie in RDP. Aan RDP print redirect risico’s.
I Private Firewall Max Log Size 16384 KB Max loggrootte. 16 MB Voorkomt dat logs te snel overschrijven.
I Public Firewall Default Inbound Action – Allow Standaard staat public inbound op Allow in sommige baselines. Aanpassen naar Block aanbevolen Allow op public is riskant.
I Public Firewall Max Log Size 16384 KB Maximale loggrootte. 16 MB Behoud langere geschiedenis.
I Remote Desktop Services — Client Connection: Encryption Level Low Stelt RDP-client encryptieniveau laag in. Uit (niet toestaan) — gebruik High of FIPS Laag niveau is onveilig.
I Remote Desktop: Prevent Password Saving Voorkomt opslaan van wachtwoorden in RDP-clients. Aan Voorkomt credential theft bij deviceverlies.
II Remote Encryption Protection Aggressiveness: Low Bepaalt hoe agressief Remote Encryption Protection reageert op verdachte encryptie-activiteiten. Low (aanbevolen voor balans tussen veiligheid en performance) Voorkomt te agressieve blokkades terwijl ransomware toch tijdig wordt gestopt.
I Require Always: Server Communications are Digitally Signed Server moet SMB signen. Aan Voorkomt SMB spoofing.
I Require Authentication for Printer RPC Connections Vereist authenticatie voor printer RPC-verbindingen. Aan Anonieme RPC kan misbruikt worden.
I Require BitLocker Device Encryption Verplicht BitLocker op het apparaat. Aan Geen device encryptie.
I Require BitLocker OS drive recovery key backup to Azure AD Vereist back-up van OS recovery keys naar Azure AD. Aan Onbeschikbaarheid van herstel.
I Require BitLocker startup authentication for system drives Verplicht pre-boot authenticatie voor OS-schijf. Aan (minimaal TPM) Meer gebruikersimpact.
I Require Device Password for Device Lock Eist dat een apparaat een wachtwoord/PIN heeft ingesteld om te kunnen vergrendelen. Aan Voorkomt onbeveiligde apparaten met alleen biometrie; vereist fallback credentials.
I Require enhanced anti-spoofing for facial recognition sign-in Verplicht verbeterde anti-spoofing voor Windows Hello gezichtsherkenning (geavanceerde liveness detection). Aan Voorkomt spoofing via foto’s/masks; verhoogt biometrische veiligheid.
I Require High Encryption Level for Remote Desktop Services Clients Dwingt hoog encryptieniveau voor RDP-clients af. Aan (High of FIPS waar vereist) Beschermt RDP-verbindingen tegen onderschepping.
I Require Password Prompt When Connecting via Remote Desktop Eist een wachtwoordprompt bij het verbinden via RDP. Aan Voorkomt silent SSO naar malafide hosts.
I Require password when computer wakes (on battery) Vereist opnieuw aanmelden na slaapstand/sluimer wanneer op batterij. Aan Voorkomt onbevoegde toegang bij verlaten laptop.
I Require password when device wakes while plugged in Vereist opnieuw aanmelden na slaapstand/sluimer wanneer op netstroom. Aan Zelfde als hierboven — voorkomt ongeautoriseerde toegang.
I Require printer RPC connections to use default authentication Dwingt standaard authentisatie voor printer RPC af. Aan Zwakke/geen auth kan worden gebruikt.
I Require Secure RPC Communication for Remote Desktop Services Eist beveiligde RPC voor RDP-diensten. Aan Zorgt voor versleutelde en geauthenticeerde RDP-kanaalcomponenten.
I Require Startup Key for BitLocker on Non-TPM System Drives Vereist USB-startsleutel op non-TPM systemen. Aan (maar liever TPM-systemen gebruiken) USB sleutelverlies = lockout risico.
I Require Trusted Platform Module (TPM) for Device Guard Eist TPM voor Device Guard/VBS features. Aan Borgt hardware root of trust.
I Restore files and directories rights – Administrators Recht om bestanden te herstellen. Admins only Kan ACLs omzeilen; risico op data-exposure.
I Restrict anonymous access to named pipes and shares Beperkt anonieme toegang tot named pipes/shares. Aan Voorkomt LLMNR/NBNS uitbreiding.
I Restrict Printer Driver Installation to Administrators Alleen administrators mogen printerdrivers installeren. Aan Gebruikers kunnen kwetsbare drivers plaatsen.
I Restrict Remote SAM Access to Administrators Only Alleen admins mogen remote SAM benaderen. Aan Voorkomt credential enumeration.
I Restrict Unauthenticated RPC Clients Beperkt of blokkeert RPC-verkeer van niet‑geverifieerde clients. Authenticated (of ‘None’ vermijden); voor servers: ‘Authenticated’ of ‘Authenticated+Privacy’ Voorkomt anonieme RPC‑aanvallen.
I Send Unencrypted Passwords to Third-Party SMB Servers (Disabled) Blokkeert verzenden van plain‑text wachtwoorden naar SMB. Disabled Voorkomt credential exposure.
I Set Default Network Location for Standard Domain Users Stelt standaard netwerklocatie in (bijv. Domain of Private). Domain/Private (geen Public) Foutieve profielen kunnen beveiliging verminderen.
I Set Maximum Size of Security Event Log Algemene instelling voor maximale grootte Security log. 192 MB (of SIEM-afhankelijk) Te kleine security logs verliezen kritieke events.
I Set Security Event Log Maximum Size to 192 MB Zet Security eventlog max. op 192 MB. 192 MB Borgt langere retentie van security-events.
I Show Shared Access UI in Network Connections Toont UI voor gedeelde toegang (ICS). Uit Users kunnen ICS/bridging aanzetten.
I Smart Card Removal Behavior: Lock Workstation Bij smartcard‑verwijdering wordt workstation vergrendeld. Lock Voorkomt unattended sessions.
I Solicited Remote Assistance (Disabled) Schakelt aangevraagde Remote Assistance uit. Uit (disabled) Vermindert remote support attack surface.
I System Boot-Start Driver Initialization: Only Allow Microsoft-Signed Drivers Staat alleen Microsoft‑gesigneerde boot-start drivers toe tijdens systeemstart. Aan in high‑security, anders ‘Good known + WHQL’ Minimaliseert risico op malicious early‑boot drivers.
I System Log Maximum File Size Policy Algemene instelling voor maximale grootte System log. 32 MB of hoger Voorkomt voortijdig overschrijven van events.
I Take Ownership Rights Assigned to Administrators Recht om eigenaarschap van bestanden over te nemen. Admins only Kan alle data toegankelijk maken → risico.
I Turn off Data Execution Prevention for File Explorer Zet DEP uit voor Verkenner. Uit (niet uitschakelen) — DEP ingeschakeld laten DEP is belangrijke exploit-mitigatie.
I UAC Prompt Behavior for Standard Users: Automatically deny elevation requests Staandaardgebruikers mogen niet elevaten. Automatically deny Voorkomt misuse van admin elevation.
I UAC Restrictions for Local Accounts on Network Logon Beperkt rechten van lokale accounts bij netwerklogons (UAC token filtering). Aan Zonder filtering hebben lokale admins volledige netwerkrechten.
I UAC: Detect application installations and prompt for elevation Detecteert installatiepogingen en vraagt elevation. Aan Voorkomt silent installers.
I UAC: Elevation prompt behavior for administrators (Prompt for credentials) UAC vraagt om opnieuw credentials in te voeren bij elevation. Prompt for credentials (strengste optie) Voorkomt silent elevation en malware-misbruik van admin-tokens.
I UAC: Run all administrators in Admin Approval Mode Admins krijgen split‑token en moeten elevaten. Aan Voorkomt silent privilege misuse.
I UAC: Use Admin Approval Mode for the built-in Administrator account Zet de ingebouwde Administrator in Admin Approval Mode. Aan Voorkomt dat de ingebouwde admin full-token krijgt.
I UAC: Virtualize file and registry write failures to per-user locations Virtualiseert writes van legacy apps. Aan Verhoogt compatibiliteit zonder admin rechten.
I Wi‑Fi Sense Auto‑Connect: Blocked Blokkeert automatisch verbinden met voorgestelde/openbare netwerken. Aan (blokkeren) Voorkomt onveilige wifi-verbindingen.
I Windows Telemetry: Required Data Only Beperkt diagnostische gegevens tot Required (minimaal). Required only Privacy verhoging; kan sommige inzichten beperken.

26.002

Nog nader te bepalen