GPO: Windows Firewall Domain Profile Ingeschakeld

Zodra een aanvaller één apparaat binnen het domeindomein compromitteert, wordt laterale beweging vaak uitgevoerd via openstaande diensten zoals SMB, RDP of WMI. Een actief domeinprofiel blokkeert deze ongewenste inkomende sessies standaard en verplicht beheerders om bewuste uitzonderingen te definiëren. Zo voorkom je dat interne segmenten als veilig worden verondersteld en voldoe je aan de BIO-eis dat netwerken altijd worden behandeld alsof zij onbetrouwbaar zijn.

Implementatie

Configureer het domeinprofiel via een centraal GPO of Intune Security-baseline met firewall state = On, inbound connections = Block en alleen expliciet gedefinieerde regels voor bedrijfsapplicaties. Bevestig na implementatie dat logging naar de Security-eventlog en Microsoft Defender Firewall logboeken is ingeschakeld, zodat je bewijs hebt dat de instelling actief blijft.

Vereisten

1. Voor een betrouwbare uitrol moeten de apparaten draaien op ondersteunde Windows 10 of 11 builds met de nieuwste cumulatieve updates, Windows Defender Firewall service ingeschakeld en Device Guard-functies zoals Credential Guard geactiveerd voor beheerderswerkplekken. Zorg dat er een gezondheidscontrole plaatsvindt op NIC-drivers en VPN-clients, omdat verouderde netwerkstacks de firewallprofielwisseling kunnen blokkeren. Domeingekoppelde systemen hebben een stabiele verbinding met minimaal één domeincontroller nodig zodat het domeinprofiel correct wordt getriggerd; voor Azure AD-joined apparaten die via Intune worden aangestuurd is een betrouwbare verbinding met de Microsoft 365 edge belangrijk. Documenteer daarnaast welke workloads uitzonderingen nodig hebben en valideer dat deze uitzonderingen via gesigneerde GPO's of Intune-regels worden uitgerold.
   
   De beheerorganisatie moet beschikken over accounts met de rollen GPO Creator Owners, Intune Endpoint Security Manager en ten minste één break-glass account binnen Azure AD. Alle beheeraccounts gebruiken meervoudige authenticatie, Just-In-Time privilege escalation en een gescheiden beheerswerkplek. Voor je de wijziging in productie brengt voer je een representatieve test uit in een sandbox- of pilot-OU. Sla bestaande policies op via `Backup-GPO` of `Save-MgDeviceManagementScript` zodat terugdraaien mogelijk blijft. Tot slot is een logboekvoorziening vereist: richt een centrale opslag in voor firewall logs (pfirewall.log) en beveiligingsgebeurtenissen zodat audittrail en forensisch onderzoek gegarandeerd zijn.
   
   Controleer bovendien dat randapparatuur zoals printers, OT-gateways en beheerinterfaces van storage-arrays geen ongeautoriseerde uitzonderingen afdwingen. Inventariseer samen met netwerkbeheer welke VLAN's of software defined networks aanvullende firewallregels vereisen en vertaal dat naar beheersbare objecten in het GPO. Door ook deze perifere componenten mee te nemen voorkom je dat een aanvaller alsnog via een slecht beveiligd subnet laterale beweging kan uitvoeren.
2. Naast technische voorwaarden heb je organisatorische randvoorwaarden nodig om de maatregel duurzaam te borgen. De CISO moet in het informatiebeveiligingsbeleid expliciet opnemen dat alle netwerksegmenten als onbetrouwbaar worden behandeld en dat het domeinprofiel nooit wordt uitgeschakeld zonder formele risk acceptance. Veranker de wijziging in het CAB-proces met een analyse van impact op bedrijfskritische diensten, inclusief fallbackscenario's. Communicatie en training zijn essentieel: informeer beheerders, servicedesks en key users over de nieuwe blokkades, het aanvraagproces voor uitzonderingen en de verwachte responstijd. Voorzie servicedeskmedewerkers van heldere scripts waarmee zij gebruikers kunnen begeleiden als legitieme applicaties geblokkeerd worden.
   
   Op governancegebied moet er een register zijn waarin alle firewalluitzonderingen worden bijgehouden, inclusief eigenaar, motivatie en herzieningsdatum. Leg tevens vast hoe vaak audits plaatsvinden (bijvoorbeeld elk kwartaal) en wie de resultaten beoordeelt. Koppel de vereisten aan leveranciers die beheerdiensten leveren, zodat zij contractueel worden verplicht om het domeinprofiel actief te houden op externe of gedelegeerde systemen. Door deze organisatorische randvoorwaarden net zo serieus te nemen als de technische eisen, voorkom je dat de maatregel na het project langzaam wordt uitgehold.
   
   Stel ten slotte indicatoren op waarmee je de volwassenheid van het proces meet: percentage compliant endpoints, gemiddelde doorlooptijd van uitzonderingsaanvragen, aantal incidenten waarbij het domeinprofiel bewust is uitgeschakeld en het aandeel endpoints waarvoor bewijsmateriaal beschikbaar is. Rapporteer deze indicatoren periodiek aan de security board zodat duidelijk is of extra maatregelen nodig zijn.

Implementatie

Gebruik PowerShell-script firewall-domain-profile-enabled.ps1 (functie Invoke-Implementation) – Het implementatiescript controleert of het doelapparaat het domeinprofiel correct herkent, maakt een backup van bestaande firewallregels en schrijft vervolgens de gewenste configuratie weg via de lokale Windows Defender Firewall API of via PowerShell remoting. Het script valideert dat de algemene firewallstate op 'On' staat, zet inkomende verbindingen op 'Block' en activeert logging naar `%SystemRoot%\System32\LogFiles\Firewall\pfirewall.log`. Daarnaast wordt gecontroleerd of beleidsregels afkomstig zijn van het juiste GPO of Intune-profiel; wanneer er conflicterende lokale regels bestaan, worden deze geëscaleerd in de uitvoer zodat je gericht kunt bijsturen. Door de parameter `-WhatIf` te gebruiken voer je een droge run uit waarmee je vooraf inzicht krijgt in de impact. Integreer het script in een DevOps-pijplijn zodat iedere versie wordt voorzien van code review, versiebeheer en een digitale handtekening. Tijdens de uitrol kunnen beheerders het script opnemen in een Intune Proactive Remediation of een GPO start-up script, waardoor zowel cloud- als domeingebonden endpoints dezelfde hardening ontvangen. Het script registreert elke wijziging in het Windows Event Log (bron "Baseline-Firewall") met details over de aangeraakte profielen, uitzonderingen en de gebruiker die het script uitvoerde. Deze logging vormt onderdeel van het auditdossier en maakt het mogelijk om achteraf precies te reconstrueren wanneer het domeinprofiel is aangepast. Wanneer de uitrol over meerdere golven plaatsvindt, kan het script worden aangeroepen met een CSV-bestand waarin de doelgroepen staan beschreven, inclusief verantwoordelijke lijnmanager en geplande onderhoudsvensters. Zo blijft de operatie controleerbaar, ook bij honderden werkplekken..

De handmatige configuratie verloopt via Group Policy Management Console: `Computer Configuration` → `Windows Settings` → `Security Settings` → `Windows Defender Firewall with Advanced Security` → `Windows Defender Firewall Properties` → tabblad `Domain Profile`. Zet de firewallstate op "On", configureer inkomende verbindingen op "Block (default)" en schakel meldingen in zodat gebruikers weten waarom verkeer wordt geblokkeerd. Activeer logging van gedropte pakketten en succesvolle verbindingen en stel een logboekretentie van minimaal dertig dagen in. Maak daarna expliciete regels voor essentiële bedrijfsapplicaties, bij voorkeur gebaseerd op gesigneerde programma's of specifieke poorten en adressen. Documenteer alle stappen in het change record: datum, verantwoordelijk beheerteam, testresultaten, rollbackplan en verwijzing naar de Nederlandse Baseline voor Veilige Cloud. Laat de configuratie na elke uitrolronde controleren door een tweede beheerder en voer steekproeven uit op verschillende OU's om te bevestigen dat het GPO niet door andere beleidslagen wordt overschreven. Voor Intune-omgevingen maak je een afzonderlijk Endpoint Security-profiel aan (Firewall > Domain Profile) zodat afwijkende instellingen voor Public of Private profielen niet per ongeluk worden meegekopieerd. Eindgebruikers ontvangen een communicatiepakket waarin staat hoe zij ondersteuning aanvragen als legitieme applicaties worden geblokkeerd. Zo ontstaat een reproduceerbare implementatie die zowel technisch als procesmatig voldoet.

Compliance

De CIS Windows 10/11 Benchmark op Level 1 schrijft expliciet voor dat het domeinprofiel van Windows Defender Firewall altijd ingeschakeld moet zijn en dat inkomende verbindingen standaard worden geweigerd. De benchmark verwacht bovendien dat organisaties aantonen hoe uitzonderingen worden beheerd, welke logging actief is en hoe snel afwijkingen worden verholpen. Door het GPO- of Intune-profiel te koppelen aan change- en auditdocumentatie kun je tijdens een CIS-audit direct laten zien dat de maatregel structureel is geformaliseerd. De Baseline Informatiebeveiliging Overheid (BIO) hoofdstuk 13.01 verplicht overheidsorganisaties om netwerkbeveiliging risicogestuurd te organiseren en om interne netwerken te behandelen alsof zij onbetrouwbaar zijn. Een actief domeinprofiel is een concrete invulling hiervan: het voorkomt dat een werkplek automatisch meer vertrouwen krijgt zodra hij zich binnen een gemeentelijk of rijkskantoor bevindt. Documenteer in het BIO-controleformulier welke OU's en Intune-profielen het beleid afdwingen, hoe uitzonderingen worden goedgekeurd door het CISO-office en op welke manier logging minimaal zeven jaar wordt bewaard. Combineer dit met periodieke penetratietests of red-team-oefeningen waarin wordt aangetoond dat laterale beweging daadwerkelijk wordt tegengehouden. Ook ISO 27001 control A.13.1.1 eist dat netwerkcommunicatie wordt beschermd. In het Statement of Applicability noteer je dat de organisatie kiest voor Windows Defender Firewall met een strikt domeinprofiel. Tijdens de audit lever je een combinatie van beleidsdocumenten, configuratie-exporten en monitoringrapportages aan. Laat zien dat incidenten waarbij de firewall tijdelijk moest worden uitgeschakeld altijd een risicoacceptatie bevatten en binnen een vastgesteld tijdsvenster zijn teruggedraaid. Voeg tot slot bewijs toe dat beheerderswerkplekken een afzonderlijk profiel gebruiken zodat beheeractiviteiten veilig verlopen. Daarnaast sluit de maatregel aan op de Microsoft Security Baseline voor Windows en Microsoft 365 Apps, waarin het continu afdwingen van firewallprofielen als kritieke control is opgenomen. Wanneer de organisatie gebruikmaakt van Microsoft Defender for Endpoint of Lighthouse voor centrale tenantbewaking, verwacht Microsoft dat afwijkingen automatisch worden geclassificeerd als beveiligingsincident en binnen vooraf gedefinieerde SLA's worden opgelost. Leg vast hoe dienstverleners deze verplichting invullen en welke rapportages zij wekelijks aanleveren. Voor organisaties die onder NIS2 of de Wet beveiliging netwerk- en informatiesystemen vallen, is het aantoonbaar segmenteren en beperken van netwerktoegang een expliciete wettelijke plicht. Het domeinprofiel biedt een tastbare maatregel waarmee je laat zien dat zogenaamde "trusted zones" niet bestaan en dat elk endpoint zijn eigen microperimeter vormt. Koppel de controle aan het register van essentiële diensten en licht toe hoe monitoringscripts, thresholds en escalatieprocedures zijn ingericht. Door deze compliance-eisen expliciet te koppelen aan operationele processen ontstaat een aantoonbare lijn van beleid → implementatie → monitoring → rapportage. Dit is precies wat de Nederlandse Baseline voor Veilige Cloud bedoelt met volwassen netwerkbeveiliging.

Monitoring

Gebruik PowerShell-script firewall-domain-profile-enabled.ps1 (functie Invoke-Monitoring) – De monitoringsfunctie van het script leest op ieder doelapparaat zowel de effectieve firewallstate als de policybron uit en vergelijkt die met de verwachte waarden uit het centrale configuratieregister. Resultaten worden weggeschreven naar een CSV-bestand en optioneel naar een Log Analytics workspace, inclusief de OU of Intune-groep waarin het device is opgenomen. Voeg parameters toe om de uitvoer te classificeren (bijvoorbeeld compliant, afwijkend of onbekend), zodat de servicedesk direct ziet welke actie nodig is. Door het script te schedulen via een Intune Proactive Remediation of een geplande taak met systemrechten krijg je dagelijks inzicht zonder handmatige interventies. Naast de configuratiecontrole registreert het script of logging daadwerkelijk actief is. Het controleert de instellingen van pfirewall.log, de loggrootte, retentie en of gedropte pakketten worden opgeslagen. Wanneer logging uitgeschakeld blijkt te zijn, genereert het script een kritieke melding die via webhook kan worden doorgestuurd naar Microsoft Teams of het SIEM. Breid de controlematrix uit met Event Viewer-queries op Event ID 2004 (firewallservice gestopt) en 2033 (beleid gewijzigd) zodat je manipulatiepogingen direct detecteert. Combineer de technische checks met procesindicatoren. Laat het script na voltooiing een record toevoegen aan het ITSM-systeem, zodat de change- en incidentcoördinatoren kunnen aantonen dat monitoring daadwerkelijk heeft plaatsgevonden. Voeg daarnaast een Power BI-dashboard toe dat de compliancegraad per organisatieonderdeel toont en de gemiddelde oplostijd van afwijkingen bewaakt. Wanneer het percentage compliant devices onder een afgesproken drempel zakt, wordt automatisch een probleemticket geopend. Versterk de monitoring door automatische trendanalyses toe te voegen. Laat Sentinel of Power BI maandelijks de wijken, provincies of afdelingen tonen waar het vaakst uitzonderingen worden aangevraagd en laat het SecOps-team beoordelen of hier aanvullende controles, segmentatie of bewustwording nodig is. Door metriekgestuurd te sturen, blijft de maatregel levend en kun je gericht investeren in de afdelingen die de grootste risico's vormen. Tot slot is het raadzaam om monitoringgegevens te koppelen aan dreigingsinformatie. Integreer Microsoft Sentinel watchlists met actuele TTP's voor laterale beweging, zodat afwijkende firewallinstellingen automatisch worden verrijkt met context over mogelijke aanvallers. Deze combinatie van configuratievalidatie, loggingcontrole, procesregistratie en dreigingskoppeling zorgt ervoor dat het domeinprofiel niet alleen wordt geconfigureerd, maar ook continu aantoonbaar effectief blijft..

Remediatie

Gebruik PowerShell-script firewall-domain-profile-enabled.ps1 (functie Invoke-Remediation) – Wanneer monitoring een afwijking signaleert, gebruik je het remediatiescript om het domeinprofiel in drie stappen te herstellen. Eerst wordt vastgesteld waarom het profiel is uitgeschakeld: staat de Windows Defender Firewall-service stil, is het apparaat in een ander profiel terechtgekomen of heeft een beheerder lokale regels overschreven? Het script verzamelt deze context en plaatst die in een herstelrapport dat automatisch naar het change- of incidentticket kan worden geüpload. Daarna draait het script een herconfiguratie waarbij alle niet-geautoriseerde inboundregels worden verwijderd, de standaardactie op Block wordt gezet en logging opnieuw wordt ingeschakeld. Tot slot voert het script een verificatieronde uit en schrijft het de resultaten weg naar het centrale logboek. Voer het script bij voorkeur uit via remote PowerShell met Just Enough Administration zodat alleen de benodigde cmdlets beschikbaar zijn. Voor grotere aantallen apparaten kun je het script publiceren als Intune-remediatie met een nauwkeurig gedefinieerde scope; combineer dit met onderhoudsvensters zodat bedrijfsprocessen niet worden verstoord. Documenteer steeds de oorzaak, oplossing en preventieve maatregel. Als bijvoorbeeld blijkt dat een leverancier lokale uitzonderingen heeft toegevoegd, leg je vast welke afspraken opnieuw gemaakt moeten worden en wie dit bewaakt. Wanneer een gebruiker het domeinprofiel bewust heeft uitgeschakeld om 'problemen' op te lossen, koppel je dat terug aan leidinggevenden en neem je aanvullende training of toegangsbeperking op. Bij wijdverspreide afwijkingen, zoals na het uitrollen van een foutief image, activeer je het calamiteitendraaiboek: informeer de CISO, schaal op naar het crisisteam en gebruik het script in combinatie met Configuration Manager of Intune om binnen enkele uren alle endpoints te herstellen. Houd ondertussen nauwkeurig bij welke systemen al compliant zijn en welke nog onderweg zijn. Pas als de monitoring aangeeft dat honderd procent van de apparaten het domeinprofiel weer afdwingt, sluit je de storing af en voer je een post-incident review uit. Leg alle remediatieacties vast in een centraal register dat toegankelijk is voor auditors en voor het Security Operations Center. Voeg logbestanden, screenshots en hashwaarden toe zodat de integriteit van het bewijsmateriaal vaststaat. Bespreek de inzichten ieder kwartaal in het Identity & Access-overleg en bepaal of aanvullende controles nodig zijn, bijvoorbeeld extra segmentatie, gedragstraining of aanscherpingen van het changeproces..

Compliance & Frameworks

• CIS M365: Control Windows - firewall (L1) -
• BIO: 13.01.01 -
• ISO 27001:2022: A.13.1.1 -

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

Risico zonder implementatie

Management Samenvatting

Activeer het domeinprofiel van Windows Defender Firewall via GPO of Intune, houd inkomende verbindingen standaard tegen, documenteer uitzonderingen en volg naleving dagelijks via scripts en dashboards. Zo blijft laterale beweging beperkt en voldoet de organisatie aantoonbaar aan de Nederlandse Baseline voor Veilige Cloud.

• Implementatietijd: 2 uur
• FTE required: 0.01 FTE