← Terug naar blog
Security

Windows 11 25H2-beveiligingsbasislijn in Intune: negen wijzigingen en hoe u uw profielen migreert

Door Zarioh Digital Solutions·23 juni 2026
Delen
Windows 11 25H2-beveiligingsbasislijn in Intune: negen wijzigingen en hoe u uw profielen migreert

Met Intune service release 2603 is de beveiligingsbasislijn voor Windows 11 25H2 beschikbaar. Negen instellingen zijn gewijzigd, bestaande 24H2-profielen worden niet automatisch bijgewerkt en worden alleen-lezen. Welke twee instellingen de meeste aandacht vragen en hoe u de migratie in vier stappen uitvoert.

Microsoft brengt regelmatig bijgewerkte beveiligingsbasislijnen uit voor Windows-apparaten die worden beheerd via Intune. Met Intune service release 2603, uitgebracht in april 2026, is de beveiligingsbasislijn voor Windows 11 versie 25H2 beschikbaar gesteld. De basislijn bevat negen wijzigingen ten opzichte van zijn voorganger voor versie 24H2 — vier nieuwe instellingen, drie bijgewerkte instellingen en twee verwijderde instellingen. Cruciaal daarbij: bestaande profielen worden niet automatisch bijgewerkt. Wie dat niet weet en niets onderneemt, loopt geruisloos achter op de aanbevolen beveiligingsconfiguratie.

Dit artikel gaat over wat er concreet verandert, waarom twee specifieke instellingen bijzondere aandacht verdienen, en welke vier stappen IT-teams de komende weken moeten zetten om hun Windows 11-apparaten op de actuele basislijn te brengen.

Wat is een Intune-beveiligingsbasislijn?

Een beveiligingsbasislijn in Intune is een verzameling vooraf geconfigureerde instellingen die de aanbevolen veiligheidsconfiguratie van Microsoft vertegenwoordigt voor Windows-apparaten. De instellingen bestrijken uiteenlopende onderdelen: BitLocker-schijfversleuteling, Windows Defender-configuratie, firewallregels, accountbeleid, auditlogboeken en protocollen als NetBIOS en SMB. De basislijn biedt een solide startpunt voor organisaties die hun eindpuntbeveiliging willen aanscherpen zonder elke instelling handmatig te hoeven samenstellen.

Basislijnen zijn versiegebonden: elke Windows-versie heeft zijn eigen basislijn. Wanneer Microsoft een bijgewerkte versie uitbrengt, doen IT-teams er verstandig aan die te adopteren — maar het systeem dwingt dit niet af. Bestaande profielen blijven actief maar worden niet automatisch bijgewerkt naar de nieuwe versie.

Waarom de 24H2-profielen nu niet langer bewerkbaar zijn

Dat is precies het knelpunt dat IT-teams nu tegenkomen. Met de komst van de 25H2-basislijn zijn de 24H2-profielen in Intune omgezet naar alleen-lezen. U kunt ze nog inzien en ze blijven actief op de al toegewezen apparaten, maar bewerken is niet meer mogelijk. Nieuwe apparaten kunt u niet meer aan een alleen-lezen profiel toevoegen. Wie nieuwe Windows 11-apparaten wil voorzien van een beveiligingsbasislijn, moet dit doen via een nieuw 25H2-profiel.

Het risico is niet dat uw bestaande configuratie direct stopt met werken. Het risico is dat u geruisloos achterop raakt: verouderde instellingen, geen toegang tot de nieuwe aanbevelingen, en geen mogelijkheid om het profiel aan te passen als dat nodig is. Voor organisaties die Intune actief gebruiken voor beveiligingsbeheer is dit een moment om te handelen.

De twee instellingen met het hoogste operationele risico

Van de negen gewijzigde instellingen verdienen er twee extra aandacht vanwege de mogelijke impact op de dagelijkse bedrijfsvoering. Beide zijn bewuste en aanbevolen beveiligingsstappen, maar ze vragen voorbereiding.

De eerste is het uitschakelen van NetBIOS op alle netwerkadapters, inclusief adapters die verbonden zijn met private en domeinnetwerken. NetBIOS is een verouderd nameresolutieprotocol dat in moderne omgevingen — waar DNS volledig is ingezet — geen actieve rol meer hoort te spelen. Het protocol is bovendien een bekende aanvalsvector: aanvallers misbruiken NetBIOS en het gerelateerde LLMNR-protocol voor poisoning-aanvallen waarbij netwerkreferenties kunnen worden onderschept. Het uitschakelen van NetBIOS is de juiste beveiligingsmaatregel. De kanttekening: als uw omgeving nog toepassingen of apparaten heeft die uitsluitend via NetBIOS worden bereikt — oudere bestandsservers, legacy printers of bepaalde ERP-systemen — kan het uitschakelen leiden tot verbindingsproblemen. Test deze instelling altijd in een pilotgroep voordat u hem breed uitrolt.

De tweede instelling met verhoogd risico is de activering van opdrachtregelargumenten in procescreatie-events onder Windows Security-audit. Wanneer Windows event 4688 — het aanmaken van een nieuw proces — wordt vastgelegd, bevat de logvermelding nu ook de volledige opdrachtregel waarmee dat proces werd gestart. Dit is waardevolle detectie-informatie: aanvallers die PowerShell misbruiken, obfuscated scripts uitvoeren of credential-theft-tools inzetten, laten een herkenbaar spoor achter in de procescreatie-logs. De trade-off is dat het logvolume toeneemt. Voor organisaties met een SIEM-omgeving is dit doorgaans beheersbaar en sterk aanbevolen. Wie nog geen centrale logmonitoring heeft, ziet de Windows Event Logs groeien en zal de retentieconfiguratie moeten aanpassen.

De migratiestrategie in vier stappen

Microsoft adviseert geen directe in-place update van een bestaand profiel, maar een gecontroleerde migratie via een nieuw profiel. Vier stappen voor een veilige overgang.

Stap één: maak een nieuw profiel aan in Intune op basis van de Windows 11 25H2-basislijn via Endpoint Security > Security Baselines. Geef het profiel een naam die de versie bevat, zodat u later het onderscheid kunt maken. Wijs het profiel nog niet toe aan productieapparaten.

Stap twee: beoordeel alle negen gewijzigde instellingen en stel per instelling vast of de nieuwe waarde van toepassing is op uw specifieke omgeving. Concentreer u op de twee hoogrisico-instellingen: NetBIOS-uitschakeling en procescreatie-logging. Pas instellingen alleen af als u een aantoonbare reden heeft die afwijkt van de Microsoft-aanbeveling.

Stap drie: wijs het nieuwe profiel toe aan een pilotgroep van tien tot vijftien apparaten, bij voorkeur verspreid over verschillende functies en applicatietypen. Monitor gedurende één tot twee weken of applicaties en netwerkverbindingen ongestoord werken, in het bijzonder bij omgevingen die mogelijk nog afhankelijk zijn van NetBIOS.

Stap vier: na een succesvolle pilot breidt u het 25H2-profiel uit naar de productiegroepen en verwijdert u tegelijkertijd het 24H2-profiel van de gemigreerde apparaten. Laat nooit beide profielen tegelijk actief zijn op hetzelfde apparaat — conflicterende instellingen kunnen leiden tot onverwacht gedrag en zijn lastig te diagnosticeren.

Edge-beveiligingsbasislijn ook bijgewerkt

Naast de Windows 11-basislijn heeft Microsoft in juni 2026 ook de Edge-beveiligingsbasislijn bijgewerkt met nieuwe instellingen en herziene standaardwaarden. Dezelfde migratielogica geldt: bestaande Edge-basislijnenprofielen worden niet automatisch bijgewerkt. Als u een Edge-beveiligingsbasislijn heeft ingericht in Intune, voert u dezelfde vier migratiestappen uit voor uw Edge-profielen. Controleer ook hier welke instellingen zijn toegevoegd of gewijzigd voordat u breed uitrolt.

Wat moet u deze maand controleren?

Drie gerichte checks voor de komende twee weken. Eerste check: open het Intune-portaal en navigeer naar Endpoint Security > Security Baselines. Controleer welke versie van de Windows-beveiligingsbasislijn actief is op uw apparaten. Als u de 24H2-versie of een oudere versie ziet, is migratie naar 25H2 de prioriteit. Tweede check: inventariseer of uw omgeving toepassingen of netwerkapparaten bevat die afhankelijk zijn van NetBIOS voor nameresolutie — dit is de meest kritieke variabele voor een probleemloze migratie. Derde check: controleer de logcapaciteit van uw SIEM of Windows Event Log-opslag als u de procescreatie-logging activeert, en stel de retentietijd bij indien nodig.

De Windows 11 25H2-beveiligingsbasislijn vereist geen ingrijpende wijzigingen, maar vraagt wel actieve aandacht en een gestructureerde aanpak. Wie wacht totdat een nieuw apparaat geen basislijnprofiel meer kan krijgen of totdat een instelling niet meer aanpasbaar is, lost een probleem op dat voorkomen had kunnen worden. Wilt u ondersteuning bij de migratie van uw Intune-beveiligingsbasislijnen, of bij het inrichten van procesaudit-logging in uw beveiligingsomgeving? Neem contact op met Zarioh voor een technisch gesprek.

Was dit artikel nuttig?

Nieuwsbrief

Laatste tech nieuws

Ontvang nieuwe artikelen direct in je inbox.

Geen spam. Afmelden kan altijd.

← Terug naar alle artikelen
Delen