GPO: Windows Firewall Private Profile Ingeschakeld

Thuisnetwerken bestaan vaak uit slecht beheerde IoT-apparaten, verouderde routers van internetproviders en gedeelde apparatuur van gezinsleden. Deze mix vormt een aantrekkelijk doelwit voor aanvallers die proberen om via laterale beweging toegang te krijgen tot een gemeentelijke of rijkswerkplek. Door het private profiel verplicht in te schakelen, blijft elk apparaat zichzelf verdedigen, ook wanneer de organisatie geen controle heeft over de onderliggende infrastructuur.

Implementatie

Het private profiel wordt automatisch geactiveerd wanneer een gebruiker een netwerk als prive markeert; vanaf dat moment worden alle ongewenste inkomende verbindingen geblokkeerd en blijven alleen vooraf goedgekeurde uitzonderingen toegestaan. Outbound verkeer blijft mogelijk zodat cloudapplicaties, beheeragents en VPN-clients kunnen functioneren, maar iedere poging tot directe benadering van het apparaat wordt beoordeeld door de firewallregels die centraal zijn vastgesteld.

Vereisten

Het afdwingen van een actief Private Profile in Windows Firewall vraagt meer dan alleen een technische instelling; het vergt een stabiele beheeromgeving waarin Active Directory, Azure AD of een lokale beleidsstructuur betrouwbaar draait en waarin wijzigingen aantoonbaar worden getest voordat ze naar productie gaan. Organisaties moeten beginnen met een actueel overzicht van alle Windows 10- en Windows 11-endpoints, inclusief thuiswerkplekken die via VPN of DirectAccess verbinding maken, zodat duidelijk is welke apparaten het beleid ontvangen, hoe zij zijn gegroepeerd en welke uitzonderingen objectief worden onderbouwd. Een Configuration Management Database of vergelijkbare inventarisatiebron is onmisbaar om netwerklabels, eigenaarschap en gevoeligheid van datareeksen per apparaat vast te leggen en zo te voorkomen dat gebruikers willekeurig bepalen wanneer een netwerk als prive mag worden aangemerkt.

Een tweede randvoorwaarde betreft de infrastructuur rondom certificaten, authenticatie en netwerkdetectie. Alleen wanneer het apparaat de juiste rootcertificaten en beleidsinstellingen ontvangt, kan Windows betrouwbaar bepalen of een verbinding onderdeel is van het bedrijfsnetwerk of van een door de gebruiker geclassificeerd privenetwerk. Daarom moeten basislijnen voor 802.1X, WPA2-Enterprise of Zero Trust Network Access in samenhang worden beheerd, inclusief fallback-scenario's voor hotels en klantlocaties. In dezelfde voorbereiding hoort een analyse van applicaties die inkomende verbindingen gebruiken, zoals remote management agents, VoIP-softphones en lokale webservers, zodat vooraf wordt besloten welke uitzonderingen tijdelijk noodzakelijk zijn en hoe deze worden gedocumenteerd in het firewallbeleid.

Derde vereiste is organisatorische governance. Security officers, functioneel beheerders en service owners moeten gezamenlijk vastleggen welke risico's worden afgedekt, welk acceptatieniveau voor residual risk geldt en welke communicatie richting medewerkers nodig is om hen uit te leggen waarom het priveprofiel niet optioneel is. De servicedesk moet draaiboeken hebben voor scenario's waarin gebruikers geen printers of NAS-systemen op het thuisnetwerk kunnen bereiken, inclusief duidelijke instructies voor het registreren van tijdelijke vrijstellingen die automatisch verlopen. Bovendien moet het incidentproces afgestemd zijn op SOC-analisten zodat meldingen over geblokkeerde verbindingen in Microsoft Defender, Intune of SIEM-systemen snel kunnen worden geinterpreteerd en gecorreleerd aan wijzigingsverzoeken.

Tot slot zijn hulpmiddelen voor validatie en rapportage essentieel. Denk aan Intune compliance policies, Configuration Manager baselines of PowerShell-scripts die de status van Windows Defender Firewall per profiel uitlezen en terugkoppelen aan het centrale dashboard. Voorwaarde is dat logging naar een beveiligd logboekkanaal verloopt, bijvoorbeeld Azure Monitor of een on-premises syslogcollector, zodat audits kunnen aantonen dat het private profiel sinds implementatie continu actief is. Documentatie moet worden bijgewerkt in het beveiligingshandboek, inclusief verwijzingen naar BIO 13.01, ISO 27001 en het gemeentelijk of rijksbrede beleid, zodat auditors en bestuurders in een oogopslag begrijpen welke middelen, budgetten en rollen nodig zijn om deze maatregel duurzaam te borgen.

Ook de supply chain hoort expliciet in beeld te zijn: externe leveranciers die beheer uitvoeren op laptops of die remote support aanbieden, moeten contractueel gebonden zijn aan hetzelfde firewallbeleid en moeten kunnen aantonen dat hun tooling compatibel is met geblokkeerde inkomende verbindingen. Dat betekent dat zij gebruikmaken van beheeroplossingen die outbound tunnels initieren en dat zij meewerken aan penetratietesten die door de organisatie of een rijksbreed programma worden uitgevoerd. Door deze afhankelijkheden vooraf vast te leggen in service level agreements en ze te koppelen aan onboardingchecklists, wordt voorkomen dat een leverancier na livegang alsnog lokale poorten openzet en daarmee het volledige beveiligingsmodel ondermijnt.

Implementatie

Gebruik PowerShell-script firewall-private-profile-enabled.ps1 (functie Invoke-Implementation) – Implementeren.

De implementatie van het private firewallprofiel volgt een gefaseerde aanpak waarbij beleidsautomatisering en kwaliteitscontrole elkaar versterken. Start met het uitvoeren van het script firewall-private-profile-enabled.ps1 in de implementatiemodus zodat de gewenste registerwaarden, WMI-filters en beleidsinstellingen vooraf worden gevalideerd op een representatieve referentiemachine. Deze stap levert een duidelijk overzicht van de instellingen die de GPO gaat afdwingen, inclusief de impact op bestaande uitzonderingen voor beheeragents of legacysystemen. Zodra de referentie is gevalideerd, creeer je in de Group Policy Management Console een nieuwe computerconfiguratie waarin Windows Defender Firewall voor het private profiel expliciet wordt ingeschakeld, waarbij het profiel dataverkeer standaard blokkeert tenzij een regel expliciet is toegestaan. Documenteer binnen dezelfde GPO de rationale voor elke toegestane poort in de commentaarvelden zodat later kan worden aangetoond waarom een uitzondering noodzakelijk was. De tweede fase richt zich op het gecontroleerd uitrollen naar een pilotgroep. Gebruik WMI-filters of beveiligingsfiltering om de GPO alleen toe te passen op laptops die eigendom zijn van de organisatie en waarop het netwerkprofiel vaker wisselt, zoals apparaten van mobiele inspecteurs of wijkteams. Combineer dit met Intune of Configuration Manager om aanvullende settings, zoals het versterken van het notificatiegedrag of het afdwingen van logging naar een centrale Event Forwarder, mee te geven. Terwijl de pilot loopt, monitor je via het bijbehorende script in de monitoringsmodus of alle apparaten het private profiel daadwerkelijk inschakelen wanneer zij een netwerk als prive markeren. Afwijkingen worden direct teruggekoppeld naar het SOC, dat vervolgens kan bepalen of er sprake is van sabotage, verouderde agents of een device dat onterecht buiten beheer valt. In de derde fase wordt de GPO gekoppeld aan de bredere OU-structuur en wordt change management doorlopen. Voer een formele risicoanalyse uit waarin staat hoe de maatregel bijdraagt aan Zero Trust, welke afhankelijkheden er zijn met remote beheeroplossingen en welke fallbackprocedures gelden wanneer een tijdelijke vrijstelling toch noodzakelijk blijkt. Tijdens het CAB overleg wordt afgestemd hoe de communicatie naar gebruikers verloopt; zij moeten weten dat het aanzetten van het private profiel geen keuze is en dat het blokkeren van inkomende poorten onderdeel is van het beschermen van overheidsinformatie. Gebruik intranetartikelen, pop-upmeldingen en korte instructievideos om deze boodschap te ondersteunen en verwijs naar het feit dat IoT-apparaten op thuisnetwerken regelmatig worden misbruikt om gemeentelijke of rijkswerkplekken aan te vallen. Na goedkeuring volgt de technische uitrol waarbij replicatie tussen domeincontrollers, fallback naar lokale beveiligingsinstellingen en integratie met Azure AD Join worden getest. Controleer met gpresult, PowerShell en de ingebouwde Windows Defender Firewall GUI of alle componenten consistent rapporteren dat het private profiel actief is. Leg in het post-implementatieverslag vast welke metrieken zijn gehaald, bijvoorbeeld het percentage apparaten dat binnen 24 uur compliant was, hoeveel uitzonderingen tijdelijk zijn toegestaan en welke lessons learned gelden voor toekomstige firewallmaatregelen. Rond af door de monitoring- en remediatiescripts in het centrale automatiseringsplatform te publiceren, zodat dezelfde codebasis beschikbaar is voor SOC-analisten die afwijkingen moeten herstellen. Een volwassen implementatie omvat tenslotte een nazorgperiode waarin het projectteam expliciet overdraagt aan lijnbeheer, inclusief duidelijke RACI-afspraken en een evaluatie na dertig dagen om te bevestigen dat de maatregel daadwerkelijk bijdraagt aan minder incidenten van laterale beweging via thuisnetwerken.

Compliance

Het afdwingen van een actief private firewallprofiel sluit rechtstreeks aan op meerdere normen die binnen de Nederlandse publieke sector verplicht zijn. De Baseline Informatiebeveiliging Overheid benoemt in hoofdstuk 13.01 dat netwerkbeveiliging zowel aan de grens als op elk eindpunt moet worden gerealiseerd. Door het private profiel te verplichten toon je aan dat vertrouwelijke informatie op mobiele werkplekken ook buiten kantoor beschermd blijft tegen ongeautoriseerde binnenkomende verbindingen. Tijdens audits kan worden aangetoond dat het profiel de standaard is, dat uitzonderingen gedocumenteerd en tijdgebonden zijn en dat logbestanden beschikbaar zijn voor reconstructie. Hierdoor voldoet de organisatie aan de BIO-eisen rondom scheiding van omgevingen, beveiliging van beheerinterfaces en het minimaliseren van aanvalsvlakken bij thuiswerk. Ook de CIS Windows Benchmarks leggen nadruk op het inschakelen van alle drie de Windows Defender Firewall-profielen. Het private profiel is specifiek bedoeld voor netwerken die door gebruikers als vertrouwd worden aangemerkt, maar waar de organisatie geen controle heeft over routers, IoT-apparaten of andere clients. Door het profiel verplicht te activeren en inkomende verbindingen standaard te blokkeren, scoor je direct op meerdere CIS-controles, waaronder de eisen voor host-based firewalls, logging en change management rond uitzonderingen. In combinatie met aanvullende regels voor logging naar een centraal platform kan worden aangetoond dat elke wijziging wordt bewaakt en dat het beheerproces reproduceerbaar is. Auditors van het Centrum voor Internetbeveiliging zien in rapportages graag terug dat het beleid via GPO of MDM wordt afgedwongen, dat configuratiewijzigingen worden gevalideerd in een testomgeving en dat SOC-analisten alerts monitoren. Binnen ISO 27001 raakt dezelfde maatregel aan controles A.13.1.1 en A.13.1.3, die voorschrijven dat netwerken worden beheerd en beschermd volgens een vastgesteld beveiligingsbeleid. Door het private profiel te activeren laat de organisatie zien dat zij een netwerksegmentatiebeleid hanteert ongeacht de locatie van de gebruiker. Het is essentieel om in het Statement of Applicability vast te leggen dat host-based firewalls deel uitmaken van de beheersmaatregelen en dat er procedures zijn voor implementatie, wijziging, monitoring en herstel. Tijdens certificeringsaudits verwachten auditors bewijs van risicobeoordelingen waarin de dreiging van onbeheerde thuisnetwerken is beschreven, inclusief compenserende maatregelen zoals geautomatiseerde scripts, awarenesscampagnes en periodieke herbeoordelingen van vrijstellingen. Daarnaast ondersteunt deze maatregel juridische verplichtingen, waaronder de AVG. Wanneer apparaten persoonsgegevens verwerken, moet aantoonbaar zijn dat passende technische maatregelen zijn getroffen om ongeautoriseerde toegang te voorkomen. Het blokkeren van niet-gevraagde inkomende verbindingen wanneer een medewerker thuiswerkt vormt een concreet voorbeeld van zo'n maatregel en kan worden gebruikt om te laten zien dat artikel 32 AVG serieus wordt ingevuld. Combineer dit met logging waarmee incidenten kunnen worden onderzocht en je voldoet gelijktijdig aan bewijsvereisten uit de Archiefwet en specifieke sectorale kaders zoals de Baseline Informatiebeveiliging Gemeenten of Rijksdienst. Bestuurders en controllers kunnen deze maatregel bovendien koppelen aan hun interne controlekaders volgens de Rijksbrede Beheersing en Verantwoording, omdat er duidelijke key controls zijn: een technisch afdwingbare instelling, meetbare monitoringindicatoren en herstelacties met aantoonbaar eigenaarschap. Door deze elementen in de planning-en-controlcyclus op te nemen ontstaat een aantoonbare lijn tussen beleidsvoornemens, operationele uitvoering en externe assurance, wat essentieel is voor zowel de Algemene Rekenkamer als gemeenteraadscommissies. Hierdoor ontstaat duurzaam vertrouwen bij auditors.

Monitoring

Gebruik PowerShell-script firewall-private-profile-enabled.ps1 (functie Invoke-Monitoring) – Controleren.

Monitoring voor het private firewallprofiel begint met het in kaart brengen van welke telemetrie al beschikbaar is binnen Microsoft Defender for Endpoint, Intune en lokale Event Logs. Het bevoegd gezag moet bepalen welke indicatoren aantonen dat het profiel actief is, bijvoorbeeld Event ID 2004 uit Microsoft-Windows-Windows Firewall with Advanced Security of rapportages waarin de configuratiestatus door het script firewall-private-profile-enabled.ps1 wordt verzameld. Door deze gegevens naar een centraal logplatform zoals Azure Monitor of Splunk te sturen, kan een SOC binnen minuten afwijkingen signaleren, waaronder endpoints die plotseling het profiel uitschakelen, apparaten die uitzonderingen toevoegen buiten het changeproces of systemen die geen gegevens meer aanleveren. Essentieel is dat logtransport beveiligd is met TLS 1.2 of hoger en dat de gegevens minimaal zeven jaar beschikbaar blijven voor forensisch onderzoek, in lijn met de eisen uit de Archiefwet. Vervolgens definieer je drempelwaarden en responspatronen. Wanneer meer dan twee procent van de apparaten gedurende een etmaal het private profiel uitgeschakeld heeft, moet automatisch een incident worden geopend en moeten betrokken beheerders worden geinformeerd via Teams, e-mail en het ticketsysteem. Voor individuele apparaten kan een geautomatiseerde remediatie-actie worden gestart die via het script het profiel opnieuw forceert en de gebruiker informeert. Het is raadzaam om monitoringregels te verrijken met context zoals de OU-structuur, het type netwerk waarop het apparaat is verbonden en de laatst toegepaste wijziging. Dit stelt analisten in staat om snel te bepalen of het om een bekende pilot, een legitieme wijziging of een poging tot sabotage gaat. Bewaar daarnaast de resultaten van periodieke compliance-rapportages zodat trends zichtbaar worden en zodat audits kunnen toetsen dat de maatregel structureel aandacht krijgt. Naast technische signalen is gebruikersfeedback een waardevolle bron. Integreer servicedeskregistraties over geblokkeerde verbindingen met het SOC-dashboard zodat patronen eerder worden ontdekt. Bijvoorbeeld: wanneer meerdere medewerkers binnen hetzelfde wijkteam printerproblemen melden, kan dit duiden op een verkeerd geclassificeerd netwerksegment. Door monitoringdata te koppelen aan deze menselijke signalen ontstaat een sluitend beeld van de effectiviteit van het beleid. Vergeet ook niet om leveranciers die remote beheer uitvoeren toegang te geven tot relevante dashboards of rapportages, zodat zij kunnen aantonen dat hun tooling binnen de afgesproken grenzen functioneert. Tot slot moet monitoring periodiek worden getest. Voer elke kwartaal een gecontroleerde oefening uit waarbij een aantal testapparaten het private profiel bewust uitschakelt om te bevestigen dat detectieregels, notificatiestromen en automatische herstelacties werken zoals ontworpen. Documenteer de resultaten en voer verbeteringen door in zowel technische configuraties als procedures. Combineer deze testen met penetratietesten waarin wordt nagegaan of een aanvaller via een gecompromitteerd IoT-apparaat alsnog verbinding kan maken met een laptop. Wanneer blijkt dat aanvullende maatregelen nodig zijn, zoals het aanscherpen van lokale firewallregels of het blokkeren van legacy protocollen, neem je de lessons learned direct op in het monitoringdossier. Hierdoor blijft de maatregel aantoonbaar effectief gedurende de volledige lifecycle en voldoet de organisatie aan de eisen van zowel de BIO als de Rijksbrede richtlijnen voor security monitoring. Vul dit aan met dashboards die het bestuur maandelijks bespreekt zodat bestuurlijke aandacht gegarandeerd blijft. Maak daarnaast afspraken over escalatie naar de CISO wanneer KPI's gedurende twee opeenvolgende periodes worden overschreden.

Remediatie

Gebruik PowerShell-script firewall-private-profile-enabled.ps1 (functie Invoke-Remediation) – Herstellen.

Het herstellen van een uitgeschakeld private firewallprofiel begint met het direct inzetten van het script firewall-private-profile-enabled.ps1 in de remediatiemodus. Deze functie controleert eerst of er sprake is van een bewuste vrijstelling, bijvoorbeeld door te kijken naar een centraal bijgehouden uitzonderingslijst in Intune of Configuration Manager. Wanneer het apparaat niet voorkomt op die lijst, wordt de status van de Windows Defender Firewall-service gecontroleerd, worden relevante registersleutels hersteld en wordt het private profiel geforceerd naar de waarde On. Het script rapporteert de uitkomst naar het centrale logplatform, zodat SOC-analisten altijd kunnen zien welk herstelpad is gevolgd en of er handmatige acties nodig zijn. Tegelijkertijd ontvangt de gebruiker een melding waarin wordt uitgelegd waarom het profiel opnieuw is ingeschakeld en welke contactpunten beschikbaar zijn bij terugkerende problemen. Na de automatische herstelfase volgt een root cause analyse. De beheerder verzamelt eventlogs, Intune-rapportages en eventuele recente changes om te bepalen of het profiel is uitgeschakeld door een kwaadwillende gebruiker, een foutieve applicatie-installatie of een misgelopen beleidsupdate. Op basis hiervan wordt een passende maatregel gekozen: herinstallatie van agents, het blokkeren van een malafide executable, het intrekken van lokale administratorrechten of het terugdraaien van een recente wijziging. Indien er aanwijzingen zijn voor compromis, wordt het apparaat direct naar quarantaine verplaatst en wordt forensisch onderzoek gestart in lijn met de CSIRT-procedures. Gedurende dit proces blijft de firewall actief en worden aanvullende blokkades toegepast, bijvoorbeeld het uitschakelen van remote managementpoorten. Communicatie is een integraal onderdeel van remediatie. Zodra duidelijk is wat er is misgegaan, ontvangt de gebruiker een korte terugkoppeling, terwijl het management rapportages krijgt over aantallen incidenten, hersteltijd en lessons learned. Bij herhaaldelijke overtredingen wordt het onderwerp opgeschaald naar HR of naar de lijnmanager zodat bewust gedrag wordt geborgd. Tegelijkertijd wordt nagegaan of documentatie of awareness-materiaal moet worden bijgewerkt. Denk aan instructies voor thuisgebruik van printers, het veilig delen van bestanden of het gebruik van vertrouwde hotspots. Door deze inzichten te delen in nieuwsbrieven of tijdens kwartaaloverleggen, wordt voorkomen dat hetzelfde probleem zich opnieuw voordoet. Ten slotte wordt het gehele hersteltraject vastgelegd in het configuration management systeem en in het security-verbeterregister. Hierbij noteer je welke indicator het incident activeerde, welke scripts zijn gedraaid, welke wijzigingen zijn aangebracht en welke verificatie is uitgevoerd om te bevestigen dat het private profiel actief bleef. Combineer dit met een controle op compliancerapportages om te verifieren dat vergelijkbare apparaten de maatregel nog steeds naleven. Elke remediatiecase levert zo input op voor verbeteringen in beleid, tooling en training, waardoor de organisatie aantoonbaar leert van incidenten en de maatregel telkens sterker wordt geborgd. Om de kwaliteit van herstel te bewaken, stel je service levels vast: kritieke apparaten worden binnen een uur hersteld, overige endpoints binnen een werkdag. Deze afspraken worden vastgelegd in operationele level agreements tussen SOC, werkplekbeheer en leveranciers zodat iedereen weet welke verantwoordelijkheden gelden. Door maandelijks te rapporteren over het aantal uitgevoerde remediaties, gemiddelde doorlooptijd, aantal root causes per categorie en het percentage apparaten dat na herstel opnieuw compliant blijft, ontstaat transparantie richting bestuurders en auditors. Deze rapportages ondersteunen besluitvorming over verbeterbudgetten jaarlijks.

Compliance & Frameworks

• CIS M365: Control Windows - firewall (L1) -
• BIO: 13.01.01 -
• ISO 27001:2022: A.13.1.1 -

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

Risico zonder implementatie

Management Samenvatting

Door het private profiel te verplichten wordt thuiswerken onderdeel van het Zero Trust-beleid: inkomende verbindingen worden standaard geweigerd, uitzonderingen zijn gedocumenteerd en SOC-analisten zien direct welke endpoints afwijken. Deze maatregel kost weinig implementatietijd, is vereist door BIO, CIS en ISO 27001 en biedt een meetbaar schild tegen aanvallen via onbeheerde thuisnetwerken.

• Implementatietijd: 2 uur
• FTE required: 0.01 FTE